Telepítési útmutató a többfelhasználós hibrid adatbiztonsághoz (HDS) (béta)

Új és módosított információk

Ez a táblázat ismerteti az új funkciókat vagy funkciókat, a meglévő tartalom módosításait, valamint a Több-bérlős hibrid adatbiztonsági szolgáltatás üzembehelyezési útmutatójában kijavított főbb hibákat.

Dátum	Módosítások
2024. december 13.	Első kiadás.

Több-bérlős hibrid adatbiztonsági szolgáltatás inaktiválása

Több-bérlős HDS-deaktiválási feladatfolyamat

Kövesse az alábbi lépéseket a több-bérlős HDS teljes kikapcsolásához.

Mielőtt elkezdené

Ezt a feladatot csak teljes jogú partnerrendszergazda végezheti el.

1	Távolítsa el az összes ügyfelet az összes fürtből, a Bérlői szervezetek eltávolítása részben említettek szerint.
2	Vonja vissza az összes ügyfél CMK-jét, a HDS-ből eltávolított bérlők CMK-jének visszavonása című részben említettek szerint.
3	Távolítsa el az összes csomópontot az összes fürtből, a Csomópont eltávolítása részben említettek szerint.
4	Törölje az összes fürtöt a Partnerközpontból a következő két módszer valamelyikével. Kattintson a törölni kívánt fürtre, majd az áttekintés oldal jobb felső sarkában válassza a Fürt törlése lehetőséget. Az Erőforrások oldalon kattintson a fürt jobb oldalán, és válassza a Fürt eltávolításalehetőséget.
5	Kattintson a Beállítások fülre a hibrid adatbiztonsági szolgáltatás áttekintő oldalán, majd kattintson a HDS inaktiválása gombra a HDS-állapotkártyán.

Első lépések a több-bérlős hibrid adatbiztonsági szolgáltatással

Több-bérlős hibrid adatbiztonsági szolgáltatás áttekintése

A Webex alkalmazás tervezésekor az első naptól kezdve az adatbiztonság volt az elsődleges hangsúly. A biztonság sarokköve a tartalom végpontok közötti titkosítása, amelyet a Key Management Service (KMS) szolgáltatással együttműködő Webex alkalmazás ügyfelei engedélyeznek. A KMS felelős az üzenetek és fájlok dinamikus titkosítására és visszafejtésére használt kriptográfiai kulcsok létrehozásáért és kezeléséért.

Alapértelmezés szerint a Webex alkalmazás összes ügyfele a felhőalapú KMS-ben, a Cisco biztonsági tartományában tárolt dinamikus kulcsokkal kap végpontok közötti titkosítást. A Hybrid Data Security a KMS-T és más, biztonsággal kapcsolatos funkciókat a vállalati adatközpontba helyezi át, így csak Ön rendelkezik a titkosított tartalom kulcsaival.

A több bérlős hibrid adatbiztonsági szolgáltatás lehetővé teszi a szervezetek számára a HDS kihasználását egy megbízható helyi partneren keresztül, aki szolgáltatóként tevékenykedhet, és kezelheti a helyszíni titkosítást és egyéb biztonsági szolgáltatásokat. Ez a beállítás lehetővé teszi a partnerszervezet számára, hogy teljes ellenőrzést gyakoroljon a titkosítási kulcsok telepítése és kezelése felett, valamint biztosítja az ügyfélszervezetek felhasználói adatainak külső hozzáféréstől való biztonságát. A partnerszervezetek szükség szerint HDS-példányokat állíthatnak be, és HDS-fürtöket hozhatnak létre. Minden egyes példány több ügyfélszervezetet is támogathat, ellentétben a rendszeres HDS-telepítéssel, amely egyetlen szervezetre korlátozódik.

Bár a partnerszervezetek felügyelik a telepítést és a kezelést, nem férnek hozzá az ügyfelek által generált adatokhoz és tartalmakhoz. Ez a hozzáférés az ügyfélszervezetekre és azok felhasználóira korlátozódik.

Ez lehetővé teszi a kisebb szervezetek számára, hogy kihasználják a HDS-t, mivel a kulcskezelési szolgáltatás és a biztonsági infrastruktúra, például az adatközpontok a megbízható helyi partner tulajdonában vannak.

Hogyan biztosítja a több-bérlős hibrid adatbiztonság az adatszuverenitást és adatvezérlést?

A felhasználók által létrehozott tartalmak védve vannak a külső hozzáféréstől, például a felhőszolgáltatóktól.
A helyi megbízható partnerek kezelik azoknak az ügyfeleknek a titkosítási kulcsait, akikkel már kialakult kapcsolatuk.
Helyi műszaki támogatási lehetőség, ha azt a partner biztosítja.
Támogatja az értekezleteket, az üzenetküldést és a hívást.

Ez a dokumentum célja, hogy segítse a partnerszervezeteket az ügyfelek létrehozásában és kezelésében egy több-bérlős hibrid adatbiztonsági rendszer keretében.

Szerepkörök a többbérlős hibrid adatbiztonsági szolgáltatásban

Partner teljes jogú rendszergazdája – a partner által kezelt összes ügyfél beállításait kezelheti. A szervezetben már meglévő felhasználókhoz rendszergazdai szerepköröket is hozzárendelhet, és kijelölhet bizonyos ügyfeleket, akiket a partner rendszergazdái kezelhetnek.
Partnerrendszergazda – Kezelheti a rendszergazda által biztosított vagy a felhasználóhoz rendelt ügyfelek beállításait.
Teljes jogú rendszergazda – A partnerszervezet olyan rendszergazdája, aki jogosult olyan feladatok elvégzésére, mint például a szervezeti beállítások módosítása, a licencek kezelése és szerepkörök hozzárendelése.

Végponttól végpontig több-bérlős HDS beállítása és kezelése az összes ügyfélszervezet esetében – Partneri rendszergazdai és teljes körű rendszergazdai jogok szükségesek.
Hozzárendelt bérlő szervezetek kezelése – Partnerrendszergazdai és teljes körű rendszergazdai jogok szükségesek.

Biztonsági tartomány architektúrája

A Webex felhőarchitektúra a különböző típusú szolgáltatásokat külön tartományokra vagy megbízható tartományokra osztja szét, az alábbiakban bemutatottak szerint.

***Szétválasztás birodalmai (hibrid adatbiztonsági szolgáltatás nélkül)***

A hibrid adatbiztonság további megértéséhez először tekintsük meg ezt a tiszta felhőalapú esetet, amelyben a Cisco a felhőbirodalmában minden funkciót biztosít. Az identitásszolgáltatás, az egyetlen hely, ahol a felhasználók közvetlenül korrelálhatók személyes adataikkal, például az e-mail-címükkel, logikusan és fizikailag elkülönül a B adatközpont biztonsági tartományától. Mindkettő viszont elkülönül attól a tartománytól, ahol a titkosított tartalmat végül tárolják, a C adatközpontban.

Ezen az ábrán az ügyfél a felhasználó laptopján futó Webex alkalmazás, és az azonosítási szolgáltatással van hitelesítve. Amikor a felhasználó egy szobába küldendő üzenetet állít össze, a következő lépések történnek:

Az ügyfél biztonságos kapcsolatot létesít a kulcskezelési szolgáltatással (KMS), majd egy kulcsot kér az üzenet titkosításához. A biztonságos kapcsolat ECDH-t használ, a KMS pedig AES-256 mesterkulccsal titkosítja a kulcsot.
Az üzenet titkosítva van, mielőtt elhagyja a klienst. Az ügyfél elküldi azt az indexelő szolgáltatásnak, amely titkosított keresési indexeket hoz létre, hogy segítse a jövőbeli tartalmi kereséseket.
A titkosított üzenetet a rendszer elküldi a megfelelőségi szolgáltatásnak megfelelőségi ellenőrzésre.
A titkosított üzenet a tárhely tartományában tárolódik.

A hibrid adatbiztonsági szolgáltatás telepítésekor a biztonsági tartomány funkcióit (KMS, indexelés és megfelelőség) áthelyezi a helyszíni adatközpontba. A Webexet alkotó egyéb felhőszolgáltatások (beleértve az identitást és a tartalomtárolást) a Cisco birodalmában maradnak.

Együttműködés más szervezetekkel

A szervezetéhez tartozó felhasználók rendszeresen használhatják a Webex alkalmazást, hogy együttműködjenek más szervezetek külső résztvevőivel. Amikor az egyik felhasználó kulcsot kér egy olyan szobához, amely az Ön szervezetének tulajdona (mivel azt az egyik felhasználó hozta létre), a KMS egy ECDH-biztonságos csatornán keresztül elküldi a kulcsot az ügyfélnek. Ha azonban egy másik szervezet tulajdonában van a szoba kulcsa, a KMS egy külön ECDH-csatornán keresztül továbbítja a kérést a Webex felhőbe, hogy megkapja a kulcsot a megfelelő KMS-ből, majd visszaküldi a kulcsot a felhasználónak az eredeti csatornán.

Az „A” szervezeten futó KMS-szolgáltatás x.509 PKI-tanúsítványok használatával ellenőrzi a más szervezetek KMS-eihez való kapcsolatokat. A több-bérlős hibrid adatbiztonsági szolgáltatás telepítéséhez használandó x.509-tanúsítvány létrehozásával kapcsolatos részletekért lásd: Környezet előkészítése .

Elvárások a hibrid adatbiztonsági szolgáltatás telepítésével kapcsolatban

A hibrid adatbiztonsági szolgáltatás telepítéséhez jelentős elkötelezettségre és a titkosítási kulcsok tulajdonosi kockázataira van szükség.

A hibrid adatbiztonsági szolgáltatás telepítéséhez meg kell adnia a következőket:

Biztonságos adatközpont egy olyan országban, amely a Cisco Webex Teams-csomagok támogatott helyszíne.
A Környezet előkészítése részben leírt berendezések, szoftverek és hálózati hozzáférés.

A hibrid adatbiztonsági szolgáltatáshoz létrehozott konfigurációs ISO vagy az Ön által megadott adatbázis teljes elvesztése a kulcsok elvesztését eredményezi. A kulcsvesztés megakadályozza, hogy a felhasználók visszafejtsék a tárhelytartalmakat és egyéb titkosított adatokat a Webex alkalmazásban. Ha ez megtörténik, új telepítést hozhat létre, de csak az új tartalom lesz látható. Az adatokhoz való hozzáférés elvesztésének elkerülése érdekében:

Kezelje az adatbázis és a konfiguráció ISO biztonsági mentését és helyreállítását.
Készüljön fel a gyors katasztrófa-helyreállításra, ha katasztrófa történik, mint például az adatbázis lemezhibája vagy az adatközpont-katasztrófa.

HDS-telepítés után nincs mechanizmus a kulcsok felhőbe való visszahelyezésére.

Magas szintű beállítási folyamat

Ez a dokumentum egy több-bérlős hibrid adatbiztonsági szolgáltatás telepítésének beállításával és kezelésével foglalkozik:

Hibrid adatbiztonsági szolgáltatás beállítása – Ez magában foglalja a szükséges infrastruktúra előkészítését és a hibrid adatbiztonsági szolgáltatás szoftverének telepítését, egy HDS-fürt létrehozását, bérlői szervezetek hozzáadását a fürthöz, valamint az ügyfél fő kulcsainak (CMK-k) kezelését. Ez lehetővé teszi az ügyfélszervezetek minden felhasználója számára, hogy a hibrid adatbiztonsági szolgáltatás-fürtöt használja a biztonsági funkciókhoz.

A beállítási, aktiválási és kezelési szakaszt a következő három fejezet részletesen ismerteti.
A hibrid adatbiztonsági szolgáltatás telepítésének fenntartása – A Webex felhő automatikusan folyamatos frissítéseket biztosít. Az Ön informatikai osztálya első szintű támogatást nyújthat ehhez a telepítéshez, és szükség szerint bevonhatja a Cisco-támogatást. A Partner Hubban használhatja a képernyőn megjelenő értesítéseket, és beállíthat e-mail-alapú riasztásokat.
A gyakori riasztások, hibaelhárítási lépések és ismert problémák megértése – Ha problémába ütközik a hibrid adatbiztonsági szolgáltatás telepítése vagy használata során, az útmutató utolsó fejezete és az Ismert problémák függelék segíthet a probléma meghatározásában és megoldásában.

Hibrid adatbiztonsági szolgáltatás telepítési modellje

A vállalati adatközponton belül a hibrid adatbiztonsági szolgáltatást egyetlen csomópontfürtként telepíti különálló virtuális szervezőkre. A csomópontok biztonságos websocket-eken és biztonságos HTTP-n keresztül kommunikálnak a Webex Clouddal.

A telepítési folyamat során az OVA fájlt biztosítjuk Önnek a virtuális készülékek beállításához az Ön által biztosított VM-eken. A HDS telepítőeszköz segítségével egyéni fürtkonfigurációs ISO-fájlt hozhat létre, amelyet minden csomópontra rögzíthet. A hibrid adatbiztonsági szolgáltatás-fürt a megadott Syslogd-kiszolgálót és PostgreSQL vagy Microsoft SQL Server adatbázist használja. (A Syslogd és az adatbázis-kapcsolat részleteit a HDS telepítőeszközben konfigurálhatja.)

Hibrid adatbiztonsági szolgáltatás telepítési modellje

Egy fürtben minimálisan elérhető csomópontok száma kettő. Fürtönként legalább hármat ajánlunk. A több csomópont biztosítja, hogy a szolgáltatás ne szakadjon meg egy csomóponton végzett szoftverfrissítés vagy egyéb karbantartási tevékenység során. (A Webex-felhő egyszerre csak egy csomópontot frissít.)

A fürtben lévő összes csomópont ugyanahhoz a kulcsadatkészlethez és ugyanahhoz a syslog szerverhez fér hozzá a naplótevékenységhez. Maguk a csomópontok státustalanok, és a kulcskéréseket kerek-robin módon kezelik, a felhő utasításai szerint.

A csomópontok aktiválódnak, amikor regisztrálja őket a Partner Hubban. Ha egy egyedi csomópontot ki szeretne zárni a szolgáltatásból, törölheti a regisztrációját, majd szükség esetén később újra regisztrálhatja.

Készenléti adatközpont a katasztrófa-helyreállításhoz

A telepítés során biztonságos készenléti adatközpontot állít be. Adatközpont-katasztrófa esetén manuálisan meghiúsulhat a telepítés a készenléti adatközpontba.

A feladatátvétel előtt az A adatközpontnak aktív HDS csomópontjai és az elsődleges PostgreSQL vagy Microsoft SQL Server adatbázisa van, míg B-nek van egy másolata az ISO fájlról, amely további konfigurációkat, a szervezetbe regisztrált VM-eket és egy készenléti adatbázist tartalmaz. A feladatátvétel után a B adatközpont aktív HDS csomópontokkal és az elsődleges adatbázissal rendelkezik, míg az A nem regisztrált VM-ekkel és az ISO fájl másolatával rendelkezik, az adatbázis pedig készenléti módban van. — ***Manuális feladatátvitel a készenléti adatközpontba***

Az aktív és készenléti adatközpontok adatbázisai szinkronizálva vannak egymással, ami minimalizálja a feladatátvétel elvégzéséhez szükséges időt.

Az aktív hibrid adatbiztonsági szolgáltatás-csomópontoknak mindig ugyanabban az adatközpontban kell lenniük, mint az aktív adatbázis-kiszolgálónak.

Proxy támogatás

A Hibrid adatbiztonság támogatja az explicit, átlátható ellenőrzést és a nem ellenőrző proxykat. Ezeket a proxykat az üzembe helyezéshez kötheti, így biztonságossá teheti és figyelheti a vállalattól a felhőig irányuló forgalmat. A tanúsítványkezeléshez platformfelügyeleti felületet használhat a csomópontokon, és ellenőrizheti a kapcsolat általános állapotát, miután beállította a proxyt a csomópontokon.

A hibrid adatbiztonsági csomópontok a következő proxybeállításokat támogatják:

Nincs proxy – Az alapértelmezett, ha nem használja a Megbízhatósági tároló és proxy konfigurációt a HDS-csomópont beállításához a proxy integrálásához. Nincs szükség tanúsítványfrissítésre.
Átlátszó, nem ellenőrző proxy – A csomópontok nincsenek konfigurálva meghatározott proxykiszolgáló-cím használatára, és nem igényelhetnek módosításokat ahhoz, hogy a nem ellenőrző proxyval működjenek. Nincs szükség tanúsítványfrissítésre.
Átlátszó alagútépítés vagy ellenőrzés proxy – A csomópontok nincsenek konfigurálva konkrét proxykiszolgáló-cím használatára. A csomópontokon nincs szükség HTTP- vagy HTTPS-konfigurációs módosításokra. A csomópontoknak azonban főtanúsítványra van szükségük, hogy megbízzanak a proxyban. A proxyk ellenőrzését az IT általában arra használja, hogy betartassa azokat az irányelveket, amelyeken a webhelyek látogathatók, és milyen típusú tartalom nem engedélyezett. Ez a fajta proxy visszafejti az összes forgalmat (még HTTPS-t is).
Explicit proxy – Az explicit proxy segítségével megmondja a HDS-csomópontoknak, hogy melyik proxykiszolgálót és hitelesítési sémát kell használni. Explicit proxy konfigurálásához minden csomóponton a következő adatokat kell megadnia:
1. Proxy IP/FQDN – a proxygép elérésére használható cím.
2. Proxyport – Olyan portszám, amelyet a proxy a lekerekített forgalom figyelésére használ.
3. Proxyprotokoll – Attól függően, hogy a proxykiszolgáló mit támogat, válasszon a következő protokollok közül:
  - HTTP – Az ügyfél által küldött összes kérés megtekintése és ellenőrzése.
  - HTTPS – Csatornát biztosít a kiszolgálónak. Az ügyfél megkapja és ellenőrzi a kiszolgáló tanúsítványát.
4. Hitelesítési típus – Válasszon a következő hitelesítési típusok közül:
  - Nincs – Nincs szükség további hitelesítésre.
    
    Akkor érhető el, ha a HTTP-t vagy a HTTPS-t választja proxyprotokollként.
  - Alapszintű – HTTP-felhasználói ügynökként használatos a felhasználónév és jelszó megadására kéréskor. Base64 kódolást használ.
    
    Akkor érhető el, ha a HTTP-t vagy a HTTPS-t választja proxyprotokollként.
    
    Meg kell adnia a felhasználónevet és a jelszót az egyes csomópontokon.
  - Kivonás – A fiók megerősítésére szolgál, mielőtt érzékeny információkat küldene be. Kivonatfüggvényt alkalmaz a felhasználónévre és a jelszóra, mielőtt elküldené a hálózaton keresztül.
    
    Csak akkor érhető el, ha a HTTPS-t választja proxyprotokollként.
    
    Meg kell adnia a felhasználónevet és a jelszót az egyes csomópontokon.

Példa hibrid adatbiztonsági csomópontokra és proxykra

Ez a diagram egy példakapcsolatot mutat be a hibrid adatbiztonság, a hálózat és a proxy között. Az átlátható ellenőrzési és HTTPS-explicit ellenőrző proxybeállításokhoz ugyanazt a főtanúsítványt kell telepíteni a proxyra és a hibrid adatbiztonsági csomópontokra.

Blokkolt külső DNS-feloldási mód (explicit proxykonfigurációk)

Amikor regisztrál egy csomópontot, vagy ellenőrzi a csomópont proxykonfigurációját, a folyamat teszteli a DNS-ellenőrzést és a Cisco Webex felhővel való kapcsolatot. Az explicit proxykonfigurációkkal rendelkező központi telepítések esetében, amelyek nem teszik lehetővé a külső DNS-feloldást a belső ügyfelek számára, ha a csomópont nem tudja lekérdezni a DNS-kiszolgálókat, automatikusan blokkolt külső DNS-feloldási módba lép. Ebben az üzemmódban folytatódhat a csomópont-regisztráció és más proxykapcsolati tesztek.

Készítse elő környezetét

A több-bérlős hibrid adatbiztonságra vonatkozó követelmények

Cisco Webex licenckövetelmények

A több-bérlős hibrid adatbiztonsági szolgáltatás telepítéséhez:

Partnerszervezetek: Forduljon Cisco-partneréhez vagy fiókkezelőjéhez, és bizonyosodjon meg arról, hogy engedélyezve van a több-bérlős funkció.
Bérlői szervezetek: Rendelkeznie kell a Cisco Webex Control Hub Pro Packkel. (Lásd: https://www.cisco.com/go/pro-pack.)

Docker asztali követelmények

A HDS-csomópontok telepítése előtt a telepítőprogram futtatásához a Docker Desktop alkalmazásra van szükség. A Docker nemrég frissítette licencelési modelljét. Előfordulhat, hogy szervezetének fizetős előfizetést kell igényelnie a Docker Desktophoz. További részletekért lásd a Docker blogbejegyzést, "A Docker frissíti és bővíti termékelőfizetéseinket".

X.509 tanúsítványkövetelmények

A tanúsítványláncnak az alábbi követelményeknek kell megfelelnie:

1. táblázat X.509 Tanúsítványkövetelmények a hibrid adatbiztonsági szolgáltatás telepítéséhez
Követelmény	részletei
Megbízható hitelesítésszolgáltató (CA) által aláírt	Alapértelmezés szerint megbízunk a Mozilla listában szereplő hitelesítésszolgáltatókban (a WoSign és a StartCom kivételével) a következő címen: https://wiki.mozilla.org/CA:IncludedCAs.
Közös név (CN) tartománynévvel rendelkezik, amely azonosítja a hibrid adatbiztonsági szolgáltatás telepítését Nem helyettesítő kód tanúsítvány	A CN-nek nem kell elérhetőnek vagy élő szervezőnek lennie. Javasoljuk, hogy olyan nevet használjon, amely tükrözi a szervezetét, például `hds.company.com`. A CN nem tartalmazhat * karaktert (helyettesítő karaktert). A CN-t a Webex alkalmazás ügyfeleihez tartozó hibrid adatbiztonsági szolgáltatás-csomópontok ellenőrzésére használják. A fürtben lévő összes hibrid adatbiztonsági szolgáltatás-csomópont ugyanazt a tanúsítványt használja. A KMS a CN tartomány használatával azonosítja magát, nem az x.509v3 SAN mezőkben definiált tartományt. Miután regisztrált egy csomópontot ezzel a tanúsítvánnyal, nem támogatjuk a CN-tartomány nevének megváltoztatását.
Nem SHA1-aláírás	A KMS szoftver nem támogatja az SHA1-aláírásokat a más szervezetek KMS-jeihez való kapcsolatok érvényesítéséhez.
Jelszóval védett PKCS #12 fájlként formázva A tanúsítvány, a titkos kulcs és a feltölteni kívánt közbenső tanúsítványok címkézéséhez használja a `kms-private-key` felhasználóbarát nevét.	A tanúsítvány formátumának megváltoztatásához használjon konvertálót, például OpenSSL-t. A HDS telepítőeszköz futtatásakor meg kell adnia a jelszót.

A KMS szoftver nem kényszeríti ki a kulcshasználatot vagy a kiterjesztett kulcshasználati korlátozásokat. Egyes hitelesítésszolgáltatók megkövetelik, hogy kiterjesztett kulcshasználati korlátozásokat alkalmazzanak minden tanúsítványra, például a kiszolgáló hitelesítésére. Megfelelő a kiszolgálóhitelesítés vagy egyéb beállítások használata.

Virtuális szervezőre vonatkozó követelmények

A fürtben hibrid adatbiztonsági szolgáltatás-csomópontként beállított virtuális szervezőkre a következő követelmények vonatkoznak:

Legalább két különálló szervező (3 ajánlott) ugyanabban a biztonságos adatközpontban van elhelyezve
A VMware ESXi 6.5 (vagy újabb) telepítve és fut.

Frissítenie kell, ha az ESXi egy korábbi verziójával rendelkezik.
Legalább 4 vCPU, 8 GB fő memória, 30 GB helyi merevlemez kiszolgálónként

Adatbázis-kiszolgáló követelmények

Hozzon létre egy új adatbázist a kulcstároláshoz. Ne használja az alapértelmezett adatbázist. A HDS alkalmazások telepítésekor létrehozzák az adatbázis-sémát.

Az adatbázis-kiszolgálónak két lehetősége van. Az egyes követelményekre vonatkozó követelmények a következők:

2. táblázat Adatbázis-kiszolgáló követelmények az adatbázis típusa szerint
PostgreSQL csevegés	Microsoft SQL kiszolgáló
A PostgreSQL 14, 15 vagy 16 telepítve és fut.	Az SQL Server 2016, 2017 vagy 2019 (Enterprise vagy Standard) telepítve van. Az SQL Server 2016 használatához 2. szervizcsomag és 2. vagy újabb kumulatív frissítés szükséges.
Legalább 8 vCPU, 16 GB fő memória, elegendő tárhely a merevlemezen és figyelés, hogy ne lépje túl (2 TB ajánlott, ha hosszú ideig szeretné futtatni az adatbázist a tárhely növelése nélkül)	Legalább 8 vCPU, 16 GB fő memória, elegendő tárhely a merevlemezen és figyelés, hogy ne lépje túl (2 TB ajánlott, ha hosszú ideig szeretné futtatni az adatbázist a tárhely növelése nélkül)

A HDS szoftver jelenleg a következő illesztőprogramokat telepíti az adatbázis-kiszolgálóval való kommunikációhoz:

PostgreSQL csevegés	Microsoft SQL kiszolgáló
Postgres JDBC illesztőprogram 42.2.5	SQL Server JDBC illesztőprogram 4.6 Ez az illesztőprogram-verzió támogatja az SQL Server Always On ( Always On Failover Cluster Instances és Always On Availability Groups) szolgáltatást.

PostgreSQL csevegés

Microsoft SQL kiszolgáló

Postgres JDBC illesztőprogram 42.2.5

SQL Server JDBC illesztőprogram 4.6

Ez az illesztőprogram-verzió támogatja az SQL Server Always On ( Always On Failover Cluster Instances és Always On Availability Groups) szolgáltatást.

A Microsoft SQL Server elleni Windows-hitelesítés további követelményei

Ha azt szeretné, hogy a HDS csomópontok Windows hitelesítést használjanak, hogy hozzáférjenek a Microsoft SQL Server kulcstári adatbázisához, akkor a következő konfigurációra van szükség a környezetben:

A HDS csomópontokat, az Active Directory infrastruktúrát és az MS SQL Server-t mind szinkronizálni kell az NTP-vel.
A HDS-csomópontok számára megadott Windows-fióknak olvasási/írási hozzáféréssel kell rendelkeznie az adatbázishoz.
A HDS-csomópontokhoz megadott DNS-kiszolgálóknak képesnek kell lenniük a kulcselosztó központ (KDC) feloldására.
A HDS adatbázis-példányát a Microsoft SQL Server kiszolgálón a szolgáltatás fő neveként (SPN) regisztrálhatja az Active Directoryban. Lásd: Szolgáltatás fő nevének regisztrálása Kerberos-kapcsolatokhoz.

A HDS telepítőeszköznek, a HDS indítónak és a helyi KMS-nek mind Windows-hitelesítést kell használnia a keystore adatbázishoz való hozzáféréshez. Az ISO-konfiguráció részleteit használják az SPN megépítéséhez, amikor Kerberos hitelesítéssel kívánnak hozzáférni.

Külső kapcsolódási követelmények

Konfigurálja úgy a tűzfalát, hogy engedélyezze a következő csatlakozást a HDS-alkalmazásokhoz:

Alkalmazás	Protokoll	Port	Irány az alkalmazásból	Cél
Hibrid adatbiztonsági szolgáltatás-csomópontok	TCP	443	Kimenő HTTPS és WSS	Webex-kiszolgálók: .wbx2.com .ciscospark.com Minden Common Identity-szervező A hibrid adatbiztonságra vonatkozóan felsorolt egyéb URL-címek a Webex hibrid szolgáltatásokhoz további URL-címekWebex-szolgáltatások hálózati követelményei táblázatban
HDS-beállító eszköz	TCP	443	Kimenő HTTPS	*.wbx2.com Minden Common Identity-szervező hub.docker.com

A hibrid adatbiztonsági szolgáltatás-csomópontok hálózati hozzáférési fordítással (NAT) vagy tűzfal mögött működnek, amennyiben a NAT vagy a tűzfal lehetővé teszi a szükséges kimenő kapcsolatokat az előző táblázatban szereplő tartománycélhelyekhez. A hibrid adatbiztonsági szolgáltatás-csomópontokra bejövő kapcsolatok esetében nem szabad, hogy a portok látszódjanak az internetről. Az adatközponton belül az ügyfeleknek adminisztratív okokból hozzá kell férniük a hibrid adatbiztonsági szolgáltatás-csomópontokhoz a 443-as és 22-es TCP-portokon.

A Common Identity (CI) gazdagépek URL-címe régiónkénti. Ezek a jelenlegi CI-szervezők:

Régió	Common Identity Host URL-címek
Amerika	https://idbroker.webex.com https://identity.webex.com https://idbroker-b-us.webex.com https://identity-b-us.webex.com
Európai Unió	https://idbroker-eu.webex.com https://identity-eu.webex.com
Kanada	https://idbroker-ca.webex.com https://identity-ca.webex.com
Szingapúr	https://idbroker-sg.webex.com https://identity-sg.webex.com
Egyesült Arab Emírségek	https://idbroker-ae.webex.com https://identity-ae.webex.com

Proxykiszolgálói követelmények

Hivatalosan is támogatjuk a következő proxy megoldásokat, amelyek integrálhatók a hibrid adatbiztonsági csomópontjaival.
- Átlátszó proxy – Cisco Web Security Appliance (WSA).
- Explicit proxy – tintahal.
  
  A HTTPS-forgalmat ellenőrző Squid-proxyk zavarhatják a websocket (wss:) kapcsolatok létrehozását. A probléma megoldásához lásd: Squid-proxyk konfigurálása hibrid adatbiztonsághoz.
Az explicit proxyk esetében a következő hitelesítési típuskombinációkat támogatjuk:
- Nincs hitelesítés HTTP-vel vagy HTTPS-rel
- Alapszintű hitelesítés HTTP-vel vagy HTTPS-rel
- Hitelesítés megemésztése csak HTTPS-rel
Átlátszó ellenőrző proxyhoz vagy HTTPS explicit proxyhoz rendelkeznie kell a proxy főtanúsítványának másolatával. Az útmutató üzembe helyezési utasításaiból az útmutató ismerteti, hogyan töltheti fel a másolatot a hibrid adatbiztonsági csomópontok megbízhatósági tárolóiba.
A HDS-csomópontokat üzemeltető hálózatot úgy kell konfigurálni, hogy a 443-as port kimenő TCP-forgalmát kényszerítse a proxyn való áthaladásra.
A webes forgalmat ellenőrző proxyk zavarhatják a webfoglalat-kapcsolatokat. Ha ez a probléma bekövetkezik, a forgalom megkerülése (nem ellenőrzése) wbx2.com és ciscospark.com megoldja a problémát.

A hibrid adatbiztonság előfeltételeinek teljesítése

Ezzel az ellenőrzőlistával győződjön meg arról, hogy készen áll a hibrid adatbiztonsági szolgáltatás-fürt telepítésére és konfigurálására.

1	Győződjön meg arról, hogy partnerszervezete engedélyezte a Több-bérlős HDS funkciót, és kérje le egy teljes körű partnerrendszergazdai jogosultsággal és teljes körű rendszergazdai jogosultsággal rendelkező fiók hitelesítő adatait. Győződjön meg arról, hogy Webex-ügyfélszervezete engedélyezve van a Cisco Webex Control Hub Pro Pack csomagja. A folyamattal kapcsolatos segítségért forduljon Cisco-partneréhez vagy fiókkezelőjéhez. Az ügyfélszervezetek nem rendelkezhetnek meglévő HDS-telepítéssel.
2	Válasszon ki egy tartománynevet a HDS telepítéséhez (például `hds.company.com`), és szerezzen be egy X.509 tanúsítványt, titkos kulcsot és bármely közbenső tanúsítványt tartalmazó tanúsítványláncot. A tanúsítványláncnak meg kell felelnie az X.509 tanúsítványkövetelmények előírásainak.
3	Készítse elő azokat az azonos virtuális szervezőket, akiket hibrid adatbiztonsági szolgáltatás-csomópontként fog beállítani a fürtben. Legalább két különálló szervezőre (3 ajánlott) van szükség ugyanabban a biztonságos adatközpontban, amelyek megfelelnek a Virtuális szervező követelményei pontban foglalt követelményeknek.
4	Készítse elő az adatbázis-kiszolgálót, amely a fürt kulcsadattáraként fog működni, az Adatbázis-kiszolgáló követelményei szerint. Az adatbázis-kiszolgálót a biztonságos adatközpontban kell elhelyezni a virtuális gazdagépekkel. Hozzon létre egy adatbázist a kulcstároláshoz. (Létre kell hoznia ezt az adatbázist – ne használja az alapértelmezett adatbázist. A HDS alkalmazások telepítésekor létrehozzák az adatbázis sémát.) Gyűjtse össze azokat a részleteket, amelyeket a csomópontok az adatbázis-kiszolgálóval való kommunikációhoz használnak: a gazdagép neve vagy IP-címe (gazdagép) és a port az adatbázis neve (dbname) a kulcstároláshoz a kulcstárolási adatbázis összes jogosultságával rendelkező felhasználó felhasználóneve és jelszava
5	A gyors katasztrófa-helyreállításhoz állítson be biztonsági mentési környezetet egy másik adatközpontban. A biztonsági mentési környezet a VM-ek és a biztonsági mentési adatbázis szerver termelési környezetét tükrözi. Ha például a gyártásnak 3 HDS csomópontot futtató VM-je van, a biztonsági mentési környezetnek 3 VM-je van.
6	Állítson be egy syslog-állomást a fürt csomópontjairól érkező naplók összegyűjtésére. A hálózati cím és a syslog port összegyűjtése (alapértelmezés: UDP 514).
7	Hozzon létre biztonságos biztonsági mentési szabályzatot a hibrid adatbiztonsági szolgáltatás-csomópontokhoz, az adatbázis-kiszolgálóhoz és a syslog-állomáshoz. A visszafordíthatatlan adatvesztés elkerülése érdekében legalább biztonsági másolatot kell készítenie az adatbázist és a hibrid adatbiztonsági szolgáltatás csomópontokhoz generált konfigurációs ISO-fájlt. Mivel a hibrid adatbiztonsági csomópontok tárolják a tartalom titkosításához és visszafejtéséhez használt kulcsokat, a működőképes telepítés karbantartásának elmulasztása a tartalom VISSZAFORDÍTHATATLAN ELVESZTÉSÉT eredményezi. A Webex alkalmazás ügyfelei gyorsítják a kulcsaikat, így előfordulhat, hogy a kimaradás nem lesz azonnal észrevehető, de idővel nyilvánvalóvá válik. Míg az ideiglenes kimaradást lehetetlen megelőzni, azok visszafordíthatóak. Az adatbázis vagy konfigurációs ISO fájl teljes elvesztése (nincs elérhető biztonsági mentés) azonban visszafordíthatatlan ügyféladatokat eredményez. A hibrid adatbiztonsági szolgáltatás-csomópontok üzemeltetői várhatóan gyakori biztonsági másolatot készítenek az adatbázisról és a konfigurációs ISO-fájlról, és készen állnak a hibrid adatbiztonsági szolgáltatás-adatközpont újbóli felépítésére, ha katasztrofális hiba lép fel.
8	Győződjön meg arról, hogy a tűzfalkonfiguráció engedélyezi a csatlakozást a hibrid adatbiztonsági szolgáltatás-csomópontok számára, a Külső kapcsolódási követelmények pontban leírtak szerint.
9	Telepítse a Docker-t ( https://www.docker.com) bármely támogatott operációs rendszert futtató helyi gépre (Microsoft Windows 10 Professional vagy Enterprise 64 bites vagy Mac OSX Yosemite 10.10.3 vagy újabb) olyan webböngészővel, amely a következő címen tud hozzáférni: http://127.0.0.1:8080. A Docker-példány segítségével letöltheti és futtathatja a HDS telepítőeszközt, amely az összes hibrid adatbiztonsági szolgáltatás-csomópont helyi konfigurációs információit összeállítja. Lehet, hogy Docker asztali licencre van szüksége. További információkért lásd: Docker asztali követelmények . A HDS-telepítőeszköz telepítéséhez és futtatásához a helyi gépnek rendelkeznie kell a kapcsolattal a Külső kapcsolódási követelmények pontban leírtak szerint.
10	Ha egy proxyt a hibrid adatbiztonsággal integrál, győződjön meg arról, hogy az megfelel a proxykiszolgáló követelményeinek.

Hibrid adatbiztonsági szolgáltatás-fürt beállítása

Hibrid adatbiztonsági szolgáltatás telepítési feladatfolyama

Mielőtt elkezdené

1	Kezdeti beállítási és telepítési fájlok letöltése Töltse le az OVA-fájlt a helyi gépre későbbi használatra.
2	Konfigurációs ISO létrehozása a HDS szervezők számára A HDS-telepítőeszköz segítségével ISO-konfigurációs fájlt hozhat létre a hibrid adatbiztonsági szolgáltatás-csomópontokhoz.
3	A HDS Host OVA telepítése Hozzon létre virtuális gépet az OVA fájlból, és végezze el a kezdeti konfigurációkat, például a hálózati beállításokat. Az OVA telepítése során a hálózati beállítások konfigurálásának lehetőségét teszteltük az ESXi 6.5-ös verzióval. Előfordulhat, hogy a beállítás a korábbi verziókban nem érhető el.
4	Hibrid adatbiztonsági szolgáltatás (VM) beállítása Jelentkezzen be a VM-konzolba, és állítsa be a bejelentkezési hitelesítő adatokat. Konfigurálja a csomópont hálózati beállításait, ha az OVA telepítésekor nem konfigurálta azokat.
5	A HDS-konfigurációs ISO feltöltése és csatlakoztatása Konfigurálja a VM-et a HDS telepítőeszközzel létrehozott ISO konfigurációs fájlból.
6	A HDS-csomópont konfigurálása proxyintegrációhoz Ha a hálózati környezet proxykonfigurációt igényel, adja meg a csomóponthoz használni kívánt proxy típusát, és szükség esetén adja hozzá a proxytanúsítványt a megbízhatósági tárolóhoz.
7	A fürtben lévő első csomópont regisztrálása Regisztrálja a VM-et a Cisco Webex felhővel hibrid adatbiztonsági szolgáltatás-csomópontként.
8	További csomópontok létrehozása és regisztrálása Fejezze be a fürt beállítását.
9	Aktiválja a több-bérlős HDS-t a Partnerközpontban. Aktiválja a HDS-t és kezelje a bérlői szervezeteket a Partner Hubban.

Kezdeti beállítási és telepítési fájlok letöltése

Ebben a feladatban letölt egy OVA-fájlt a számítógépére (nem a hibrid adatbiztonsági szolgáltatás-csomópontokként beállított kiszolgálókra). Ezt a fájlt később a telepítési folyamat során használhatja.

1	Jelentkezzen be a Partnerközpontba, majd kattintson a Szolgáltatások lehetőségre.
2	A Felhőszolgáltatások részben keresse meg a hibrid adatbiztonsági kártyát, majd kattintson a Beállítás gombra.
3	Kattintson az Erőforrás hozzáadása lehetőségre, majd a Szoftver telepítése és konfigurálása kártyán kattintson a .OVA-fájl letöltése gombra. A szoftvercsomag (OVA) régebbi verziói nem lesznek kompatibilisek a hibrid adatbiztonsági szolgáltatás legújabb frissítéseivel. Ez problémákat okozhat az alkalmazás verziófrissítése során. Ügyeljen arra, hogy az OVA-fájl legújabb verzióját töltse le. Az OVA-t bármikor letöltheti a Súgó részből. Kattintson a Beállítások > Súgó > Hibrid adatbiztonsági szolgáltatás letöltése lehetőségre. Az OVA-fájl letöltése automatikusan elkezdődik. Mentse a fájlt a gépén lévő helyre.
4	Opcionálisan kattintson a Hibrid adatbiztonsági szolgáltatás telepítési útmutatójának megtekintése opcióra annak ellenőrzéséhez, hogy rendelkezésre áll-e ennek az útmutatónak egy későbbi verziója.

Konfigurációs ISO létrehozása a HDS szervezők számára

A hibrid adatbiztonsági szolgáltatás beállítási folyamata ISO-fájlt hoz létre. Ezután az ISO-t használja a hibrid adatbiztonsági szolgáltatás-szervező konfigurálásához.

Mielőtt elkezdené

A HDS Setup eszköz Docker konténerként fut egy helyi gépen. Ha hozzá akarsz férni, futtasd a Dockert azon a gépen. A beállítási folyamat megköveteli a teljes rendszergazdai jogosultságokkal rendelkező Partner Hub-fiók hitelesítő adatait.

Ha a HDS-beállító eszköz a környezetében lévő proxy mögött fut, adja meg a proxybeállításokat (kiszolgáló, port, hitelesítő adatokat) a Dokkolókörnyezeti változókon keresztül a Dokkolótároló alábbi 5 . lépésben. Ez a táblázat néhány lehetséges környezeti változót tartalmaz:

Leírás	Változó
Http-proxy hitelesítés nélkül	`GLOBÁLIS_ÜGYNÖK_HTTP_PROXY=HTTP://KISZOLGÁLÓ_IP:PORT`
HTTPS-proxy hitelesítés nélkül	`GLOBÁLIS_ÜGYNÖK_HTTPS_PROXY=http://KISZOLGÁLÓ_IP:PORT`
Http-proxy hitelesítéssel	`GLOBÁLIS_ÜGYNÖK_HTTP_PROXY=http://felhasználónév:jelszó@kiszolgáló_IP:PORT`
HTTPS-proxy hitelesítéssel	`GLOBÁLIS_ÜGYNÖK_HTTPS_PROXY=http://felhasználónév:jelszó@kiszolgáló_IP:PORT`

A létrehozott konfigurációs ISO fájl tartalmazza a PostgreSQL vagy Microsoft SQL Server adatbázist titkosító mesterkulcsot. Szükség van a fájl legutóbbi másolatára, amikor konfigurációs módosításokat hajt végre, mint például:
- Adatbázis hitelesítő adatai
- Tanúsítványfrissítések
- Az engedélyezési szabályzat változásai
Ha adatbázis-kapcsolatokat szeretne titkosítani, állítsa be a PostgreSQL vagy SQL Server telepítés TLS-hez.

1

A gép parancssorában adja meg a környezetének megfelelő parancsot:

Rendszeres környezetben:

docker rmi ciscocitg/hds-setup:stabil

FedRAMP környezetben:

docker rmi ciscocitg/hds-setup-fedramp:stabil

Ezzel a lépéssel törölhetők a HDS telepítőeszköz korábbi képei. Ha nincsenek korábbi képek, akkor olyan hibát ad vissza, amelyet figyelmen kívül hagyhat.

2

A Docker-képtárba való bejelentkezéshez írja be a következőket:

dokkoló bejelentkezés -u hdscustomersro

3

A jelszókéréskor írja be ezt a hash-t:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

4

Töltse le a legfrissebb stabil képet a környezetéről:

Rendszeres környezetben:

dokkoló húzás ciscocitg/hds-setup:stabil

FedRAMP környezetben:

dokkoló húzás ciscocitg/hds-setup-fedramp:stabil

5

Amikor a húzás befejeződött, adja meg a környezetének megfelelő parancsot:

Rendszeres környezetben, proxy nélkül:

dokkoló futtatása -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

Http proxyval rendelkező normál környezetben:

docker run -p 8080:8080 --rm -it-e GLOBAL_AGENT_HTTP_PROXY=http://SERVER IP:PORT_ ciscocitg/hds-setup:stable

Normál környezetben HTTPS proxyval:

docker run -p 8080:8080 --rm -it-e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER IP:PORT_ ciscocitg/hds-setup:stable

FedRAMP környezetben, proxy nélkül:

dokkoló futtatása -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

Http proxyval rendelkező FedRAMP környezetben:

docker run -p 8080:8080 --rm -it-e GLOBAL_AGENT_HTTP_PROXY=http://SERVER IP:PORT_ ciscocitg/hds-setup-fedramp:stable

FedRAMP környezetben https proxyval:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER IP:PORT_ ciscocitg/hds-setup-fedramp:stable

Amikor a konténer fut, az "Express szerver figyeli a 8080-as portot."

6

A beállítóeszköz nem támogatja a localhost-hoz való csatlakozást a http://localhost:8080-on keresztül. A(z) http://127.0.0.1:8080 használatával kapcsolódhat a localhost-hoz.

Webböngészővel lépjen a(z) http://127.0.0.1:8080 helyszínállomásra, majd adja meg a rendszergazda felhasználónevét a Partner Hubhoz a kérésben.

Az eszköz a felhasználónév első bejegyzésével állítja be a fiókhoz tartozó megfelelő környezetet. Az eszköz ezután megjeleníti a normál bejelentkezési üzenetet.

7

Amikor a rendszer kéri, adja meg a Partner Hub rendszergazdájának bejelentkezési hitelesítő adatait, majd kattintson a Bejelentkezés gombra, hogy engedélyezze a hozzáférést a hibrid adatbiztonsági szolgáltatáshoz szükséges szolgáltatásokhoz.

8

A Beállítóeszköz áttekintése oldalon kattintson az Első lépések gombra.

9

Az ISO-importálás oldalon az alábbi lehetőségek közül választhat:

Nem – Ha az első HDS-csomópontot hozza létre, nincs feltöltendő ISO-fájl.
Igen – Ha már létrehozott HDS-csomópontokat, akkor válassza ki az ISO-fájlt a böngészőben, és töltse fel.

10

Ellenőrizze, hogy az X.509-es tanúsítvány megfelel-e az X.509-es tanúsítványkövetelmények előírásainak.

Ha még soha nem töltött fel tanúsítványt, töltse fel az X.509 tanúsítványt, adja meg a jelszót, majd kattintson a Folytatás gombra.
Ha a tanúsítványa rendben van, kattintson a Folytatás gombra.
Ha a tanúsítvány lejárt, vagy szeretné lecserélni, válassza a Nem lehetőséget a Folytatás a HDS tanúsítványlánc és a korábbi ISO titkos kulcs használata? lehetőséghez. Töltsön fel egy új X.509-tanúsítványt, adja meg a jelszót, majd kattintson a Folytatás gombra.

11

Adja meg a HDS adatbáziscímét és fiókját a kulcsadatkészlet eléréséhez:

Válassza ki az Adatbázis típusát (PostgreSQL vagy Microsoft SQL Server).

Ha a Microsoft SQL Server opciót választja, Hitelesítési típus mezőt kap.
(Csak Microsoft SQL Server ) Válassza ki a Hitelesítési típust:
- Alapszintű hitelesítés: Helyi SQL Server-fiók nevére van szükség a Felhasználónév mezőben.
- Windows-hitelesítés: felhasználónév@tartomány formátumú Windows-fiókra van szükség a Felhasználónév mezőben.
Adja meg az adatbázis-kiszolgáló címét a következő formában: : vagy :.

Példa:
dbhost.example.org:1433 vagy 198.51.100.17:1433

Alapszintű hitelesítéshez használhat IP-címet, ha a csomópontok nem tudnak DNS-t használni az állomásnév feloldásához.

Ha Windows-hitelesítést használ, akkor meg kell adnia egy teljesen minősített tartománynevet a következő formátumban: dbhost.example.org:1433
Adja meg az Adatbázis nevét.
Adja meg annak a felhasználónak a Felhasználónevét és Jelszavát , aki minden jogosultsággal rendelkezik a kulcstárolási adatbázisban.

12

Válassza ki a TLS-adatbázis csatlakozási módját:

Mód	Leírás
TLS előnyben részesítése (alapértelmezett beállítás)	A HDS csomópontok nem igénylik a TLS csatlakozását az adatbázis szerverhez. Ha engedélyezi a TLS-t az adatbázis kiszolgálón, a csomópontok titkosított kapcsolatot próbálnak meg létesíteni.
Kötelező TLS	A HDS csomópontok csak akkor kapcsolódnak, ha az adatbázis-kiszolgáló képes egyeztetni a TLS-t.
TLS igénylése és a tanúsítvány aláírójának ellenőrzése	Ez a mód nem alkalmazható SQL Server adatbázisokra. A HDS csomópontok csak akkor kapcsolódnak, ha az adatbázis-kiszolgáló képes egyeztetni a TLS-t. A TLS-kapcsolat létrehozása után a csomópont összehasonlítja az adatbázis-kiszolgálóról származó tanúsítvány aláíróját a hitelesítésszolgáltatóval az Adatbázis gyökértanúsítványban. Ha nem egyeznek, a csomópont megszakítja a kapcsolatot. A legördülő menü alatti Adatbázis gyökértanúsítvány vezérlőelem segítségével töltse fel a beállítás gyökértanúsítványát.
TLS megkövetelése és a tanúsítvány aláírójának és a gépnévnek az ellenőrzése	A HDS csomópontok csak akkor kapcsolódnak, ha az adatbázis-kiszolgáló képes egyeztetni a TLS-t. A TLS-kapcsolat létrehozása után a csomópont összehasonlítja az adatbázis-kiszolgálóról származó tanúsítvány aláíróját a hitelesítésszolgáltatóval az Adatbázis gyökértanúsítványban. Ha nem egyeznek, a csomópont megszakítja a kapcsolatot. A csomópontok azt is ellenőrzik, hogy a kiszolgáló tanúsítványában szereplő gazdagép neve megegyezik-e az Adatbázis gazdagép és port mezőben található gazdagép nevével. A neveknek pontosan egyezniük kell, vagy a csomópont megszakítja a kapcsolatot. A legördülő menü alatti Adatbázis gyökértanúsítvány vezérlőelem segítségével töltse fel a beállítás gyökértanúsítványát.

Amikor feltölti a gyökértanúsítványt (ha szükséges), és a Folytatás gombra kattint, a HDS telepítőeszköz teszteli a TLS-kapcsolatot az adatbázis-kiszolgálóval. Az eszköz ellenőrzi a tanúsítvány aláíróját és a gépnevet is, ha van ilyen. Ha egy teszt sikertelen, az eszköz hibaüzenetet jelenít meg, amely leírja a problémát. Kiválaszthatja, hogy figyelmen kívül hagyja-e a hibát, és folytatja-e a beállítást. (A kapcsolódási különbségek miatt a HDS-csomópontok akkor is képesek lehetnek létrehozni a TLS-kapcsolatot, ha a HDS telepítőeszköz gépe nem tudja sikeresen tesztelni.)

13

A Rendszernaplók oldalon konfigurálja a Syslogd kiszolgálót:

Adja meg a syslog szerver URL-címét.

Ha a kiszolgáló nem DNS-feloldható a HDS-fürthöz tartozó csomópontokról, használjon egy IP-címet az URL-ben.

Példa:
Az udp://10.92.43.23:514 a 10.92.43.23 Syslogd állomásra való bejelentkezést jelzi az 514-es UDP-porton.
Ha úgy állítja be a kiszolgálóját, hogy TLS-titkosítást használjon, jelölje be a Be van állítva a syslog kiszolgáló SSL-titkosításra? jelölőnégyzetet.

Ha bejelöli ezt a jelölőnégyzetet, mindenképpen adjon meg egy TCP URL-címet, például tcp://10.92.43.23:514.
A Syslog-rekord termináljának kiválasztása legördülő menüből válassza ki az ISO fájlhoz megfelelő beállítást: Válassza ki, hogy az Újsor legyen-e használatban Graylog és Rsyslog TCP esetén
- Null bájt -- \x00
- Új vonal -- \n—Válassza ezt a lehetőséget a Graylog és Rsyslog TCP esetén.
Kattintson a Folytatás gombra.

14

(Opcionális) Bizonyos adatbázis-kapcsolati paraméterek alapértelmezett értékét a Speciális beállítások menüpontban módosíthatja. Általában ez az egyetlen paraméter, amit érdemes megváltoztatni:

app_datasource_connection_pool_maxMéret: 10

15

Kattintson a Folytatás gombra a Szolgáltatásfiókok jelszavának visszaállítása képernyőn.

A szolgáltatásfiók jelszavainak élettartama kilenc hónap. Akkor használja ezt a képernyőt, ha a jelszavak hamarosan lejárnak, vagy vissza szeretné állítani őket, hogy érvénytelenítsék a korábbi ISO-fájlokat.

16

Kattintson az ISO-fájl letöltése lehetőségre. Mentse el a fájlt egy könnyen megtalálható helyre.

17

Készítsen biztonsági másolatot az ISO fájlról a helyi rendszerre.

Tartsa biztonságban a biztonsági másolatot. Ez a fájl az adatbázis tartalmához tartozó fő titkosítási kulcsot tartalmaz. Korlátozza a hozzáférést csak azokra a hibrid adatbiztonsági szolgáltatás-rendszergazdákra, akiknek konfigurációs módosításokat kell végrehajtaniuk.

18

A beállítóeszköz leállításához gépelje be a CTRL+C billentyűkombinációt.

Mi a következő teendő

Biztonsági másolat készítése a konfigurációs ISO fájlról. A helyreállításhoz további csomópontok létrehozásához, illetve konfigurációs módosítások elvégzéséhez szükség van rá. Ha az ISO fájl összes másolatát elveszíti, akkor a mesterkulcs is elveszett. A PostgreSQL vagy Microsoft SQL Server adatbázisából nem lehet visszaállítani a kulcsokat.

Soha nem lesz másolatunk erről a kulcsról, és nem tudunk segíteni, ha elveszíti.

A HDS Host OVA telepítése

Ezzel az eljárással virtuális gépet hozhat létre az OVA-fájlból.

1	A számítógépén lévő VMware vSphere kliens használatával jelentkezzen be az ESXi virtuális állomásba.
2	Válassza a Fájl > OVF-sablon telepítése lehetőséget.
3	A varázslóban adja meg a korábban letöltött OVA-fájl helyét, majd kattintson a Tovább gombra.
4	A Név és mappa kiválasztása oldalon adja meg a csomópont Virtuális gép nevét (például „HDS_Node_1”), válasszon ki egy helyet, ahol a virtuálisgép-csomópont telepítése élhet, majd kattintson a Tovább gombra.
5	A Számítási erőforrás kiválasztása oldalon válassza ki a cél számítási erőforrást, majd kattintson a Tovább gombra. Egy érvényesítési ellenőrzés lefut. A befejezés után megjelennek a sablon adatai.
6	Ellenőrizze a sablon részleteit, majd kattintson a Tovább gombra.
7	Ha a rendszer arra kéri, hogy a Konfiguráció oldalon válassza ki az erőforrás konfigurációját, kattintson a 4 CPU gombra, majd kattintson a Tovább gombra.
8	A Tárhely kiválasztása oldalon kattintson a Tovább gombra az alapértelmezett lemezformátum és a VM-tárhely házirendjének elfogadásához.
9	A Hálózatok kiválasztása oldalon válassza ki a hálózati lehetőséget a bejegyzések listájából, hogy biztosítsa a kívánt kapcsolatot a VM-mel.
10	A Sablon testreszabása oldalon konfigurálja a következő hálózati beállításokat: Gazdagép neve – Adja meg a csomópont FQDN-jét (gazdagép neve és tartománya), vagy egyetlen szó gazdagép nevét. Nem kell úgy beállítania a tartományt, hogy megfeleljen az X.509 tanúsítvány beszerzéséhez használt tartománynak. A felhőbe történő sikeres regisztráció érdekében csak kisbetűs karaktereket használjon a csomóponthoz beállított FQDN-ben vagy állomásnévben. A nagybetűs írásmód jelenleg nem támogatott. Az FQDN teljes hossza nem haladhatja meg a 64 karaktert. IP-cím— Adja meg a csomópont belső interfészének IP-címét. A csomópontnak belső IP-címmel és DNS-névvel kell rendelkeznie. A DHCP nem támogatott. Maszk – Adja meg az alhálózati maszk címét pont-decimális jelölésben. Például: 255.255.255.0. Átjáró—Adja meg az átjáró IP-címét. Az átjáró olyan hálózati csomópont, amely egy másik hálózat hozzáférési pontjaként szolgál. DNS-kiszolgálók – Adja meg a DNS-kiszolgálók vesszővel elválasztott listáját, amely a tartománynevek numerikus IP-címekre történő fordítását kezeli. (Legfeljebb 4 DNS-bejegyzés engedélyezett.) NTP-kiszolgálók – Adja meg a szervezet NTP-kiszolgálóját vagy egy másik, a szervezetben használható külső NTP-kiszolgálót. Előfordulhat, hogy az alapértelmezett NTP-kiszolgálók nem működnek minden vállalatnál. Több NTP-kiszolgáló megadásához vesszővel elválasztott listát is használhat. Telepítse az összes csomópontot ugyanazon az alhálózaton vagy VLAN-on, hogy a fürtben lévő összes csomópont adminisztratív okokból elérhető legyen a hálózaton lévő ügyfelektől. Ha szeretné, átugorhatja a hálózati beállítási konfigurációt, és a Hibrid adatbiztonsági szolgáltatás beállítása szakasz lépéseit követve konfigurálhatja a beállításokat a csomópont-konzolról. Az OVA telepítése során a hálózati beállítások konfigurálásának lehetőségét teszteltük az ESXi 6.5-ös verzióval. Előfordulhat, hogy a beállítás a korábbi verziókban nem érhető el.
11	Kattintson az egér jobb oldali gombjával a csomópont VM-jére, majd válassza a Bekapcsolás > Bekapcsolás lehetőséget. A hibrid adatbiztonsági szolgáltatás-szoftver vendégként van telepítve a VM-állomásra. Most már bejelentkezhet a konzolba, és konfigurálhatja a csomópontot. Hibaelhárítási tippek Előfordulhat, hogy a csomópont-konténerek megjelenése előtt néhány percet késik. Az első rendszerindítás során hídtűzfalüzenet jelenik meg a konzolon, amelynek során nem tud bejelentkezni.

Hibrid adatbiztonsági szolgáltatás (VM) beállítása

Ezzel az eljárással először jelentkezzen be a hibrid adatbiztonsági szolgáltatás-csomópont VM-konzoljába, és állítsa be a bejelentkezési hitelesítő adatokat. A konzol segítségével konfigurálhatja a csomópont hálózati beállításait is, ha az OVA telepítésekor nem konfigurálta azokat.

1	A VMware vSphere kliensben válassza ki a hibrid adatbiztonsági szolgáltatás-csomópont VM-jét, és válassza a Konzol lapot. A VM elindul, és bejelentkezési üzenet jelenik meg. Ha a bejelentkezési üzenet nem jelenik meg, nyomja meg az Enter billentyűt.
2	A bejelentkezéshez és a hitelesítő adatok módosításához használja a következő alapértelmezett bejelentkezést és jelszót: Bejelentkezés: `rendszergazda` Jelszó: `cisco` Mivel először jelentkezik be a VM-be, meg kell változtatnia a rendszergazda jelszavát.
3	Ha már konfigurálta a hálózati beállításokat a HDS Host OVA telepítése menüben, hagyja ki az eljárás hátralévő részét. Ellenkező esetben a főmenüben válassza a Konfiguráció szerkesztése lehetőséget.
4	Állítson be statikus konfigurációt IP-címmel, maszkkal, átjáróval és DNS-adatokkal. A csomópontnak belső IP-címmel és DNS-névvel kell rendelkeznie. A DHCP nem támogatott.
5	(Opcionális) Módosítsa az állomásnevet, a tartományt vagy az NTP-kiszolgáló(k)t, ha a hálózati házirendnek megfelel. Nem kell úgy beállítania a tartományt, hogy megfeleljen az X.509 tanúsítvány beszerzéséhez használt tartománynak.
6	Mentse a hálózati konfigurációt, és indítsa újra a VM-et, hogy a módosítások életbe lépjenek.

A HDS-konfigurációs ISO feltöltése és csatlakoztatása

Ezzel az eljárással konfigurálhatja a virtuális gépet a HDS telepítőeszközzel létrehozott ISO-fájlból.

Mielőtt elkezdené

Mivel az ISO-fájl tartalmazza a mesterkulcsot, csak „tudni kell” alapon szabad közzétenni, hogy hozzáférhessen a hibrid adatbiztonsági szolgáltatás-kezelők és minden olyan rendszergazda számára, akinek esetleg módosításokat kell végrehajtania. Győződjön meg arról, hogy csak ezek a rendszergazdák férhetnek hozzá az adatkészlethez.

1

Töltse fel az ISO-fájlt a számítógépéről:

A VMware vSphere kliens bal oldali navigációs ablaktáblájában kattintson az ESXi szerverre.
A Konfiguráció lap Hardver listáján kattintson a Tárhelyelemre.
Az Adatkészlet listában kattintson a jobb gombbal a VM-ek adatkészletére, majd kattintson az Adatkészlet tallózása gombra.
Kattintson a Fájlok feltöltése ikonra, majd kattintson a Fájl feltöltésegombra.
Keresse meg azt a helyet, ahol letöltötte az ISO-fájlt a számítógépére, majd kattintson a Megnyitás gombra.
Kattintson az Igen gombra a feltöltési/letöltési műveletre vonatkozó figyelmeztetés elfogadásához, és zárja be az adatkészlet-párbeszédablakot.

2

ISO- fájl csatolása:

A VMware vSphere kliens bal oldali navigációs ablakában kattintson jobb gombbal a VM-re, majd kattintson a Beállítások szerkesztése lehetőségre.
Kattintson az OK gombra a korlátozott szerkesztési beállítások figyelmeztetésének elfogadásához.
Kattintson a CD/DVD-meghajtó 1elemre, válassza ki az ISO-fájlból való csatlakoztatást, és keresse meg azt a helyet, ahol a konfigurációs ISO-fájlt feltöltötte.
Jelölje be a Csatlakoztatva és a Kapcsolódás bekapcsolva lehetőséget.
Mentse a módosításokat és indítsa újra a virtuális gépet.

Mi a következő teendő

Ha az IT-házirend megköveteli, akkor opcionálisan eltávolíthatja az ISO-fájlt, miután az összes csomópont elvette a konfigurációs módosításokat. Részletekért lásd: (nem kötelező) Az ISO leválasztása a HDS-konfiguráció után .

A HDS-csomópont konfigurálása proxyintegrációhoz

Ha a hálózati környezet proxyt igényel, ezzel az eljárással adhatja meg a hibrid adatbiztonsággal integrálni kívánt proxy típusát. Ha átlátszó ellenőrző proxyt vagy HTTPS explicit proxyt választ, a csomópont felületével feltöltheti és telepítheti a főtanúsítványt. A proxykapcsolatot az interfészről is ellenőrizheti, és elháríthatja az esetleges problémákat.

Mielőtt elkezdené

A támogatott proxybeállítások áttekintését lásd: Proxytámogatás.
Proxykiszolgálói követelmények

1	Adja meg a HDS-csomópont beállítási `URL-címét https://[HDS Node IP vagy FQDN]/setup` egy webböngészőben, adja meg a csomóponthoz beállított rendszergazdai hitelesítő adatokat, majd kattintson a Bejelentkezésgombra.
2	Lépjen a Trust Store & Proxyelemre, majd válasszon egy lehetőséget: Nincs proxy – Az alapértelmezett beállítás a proxy integrálása előtt. Nincs szükség tanúsítványfrissítésre. Átlátszó nem ellenőrző proxy – A csomópontok nincsenek konfigurálva meghatározott proxykiszolgáló-cím használatára, és nem igényelhetnek módosításokat ahhoz, hogy a nem ellenőrző proxyval működjenek. Nincs szükség tanúsítványfrissítésre. Átlátszó ellenőrző proxy – A csomópontok nincsenek konfigurálva konkrét proxykiszolgáló-cím használatára. A hibrid adatbiztonsági üzembe helyezés során nincs szükség HTTPS-konfigurációs módosításokra, azonban a HDS-csomópontoknak főtanúsítványra van szükségük, hogy megbízzanak a proxyban. A proxyk ellenőrzését az IT általában arra használja, hogy betartassa azokat az irányelveket, amelyeken a webhelyek látogathatók, és milyen típusú tartalom nem engedélyezett. Ez a fajta proxy visszafejti az összes forgalmat (még HTTPS-t is). Explicit proxy – Az explicit proxy segítségével megmondja az ügyfélnek (HDS-csomópontok), hogy melyik proxykiszolgálót kell használni, és ez a beállítás több hitelesítési típust támogat. Miután kiválasztotta ezt a beállítást, meg kell adnia a következő adatokat: Proxy IP/FQDN – a proxygép elérésére használható cím. Proxyport – Olyan portszám, amelyet a proxy a lekerekített forgalom figyelésére használ. Proxyprotokoll – Válassza a http lehetőséget (az ügyféltől kapott összes kérést megtekintheti és vezérli) vagy a https lehetőséget (csatornát biztosít a szervernek, és az ügyfél megkapja és érvényesíti a szerver tanúsítványát). Válasszon egy lehetőséget a proxykiszolgáló által támogatott lehetőségek alapján. Hitelesítési típus – Válasszon a következő hitelesítési típusok közül: Nincs – Nincs szükség további hitelesítésre. Elérhető HTTP- vagy HTTPS-proxykhoz. Alapszintű – HTTP-felhasználói ügynökként használatos a felhasználónév és jelszó megadására kéréskor. Base64 kódolást használ. Elérhető HTTP- vagy HTTPS-proxykhoz. Ha ezt a lehetőséget választja, meg kell adnia a felhasználónevet és a jelszót is. Kivonás – A fiók megerősítésére szolgál, mielőtt érzékeny információkat küldene be. Kivonatfüggvényt alkalmaz a felhasználónévre és a jelszóra, mielőtt elküldené a hálózaton keresztül. Csak HTTPS proxykhoz érhető el. Ha ezt a lehetőséget választja, meg kell adnia a felhasználónevet és a jelszót is. Kövesse az átlátható ellenőrző proxy, az alapszintű hitelesítéssel rendelkező HTTP-explicit proxy vagy a HTTPS explicit proxy következő lépéseit.
3	Kattintson a Főtanúsítvány feltöltése vagy a Végfelhasználói tanúsítványlétrehozása elemre, majd keresse meg a proxy főtanúsítványát. A tanúsítvány feltöltésre került, de még nincs telepítve, mert a tanúsítvány telepítéséhez újra kell indítania a csomópontot. További részleteket szeretne megtudni a tanúsítványkibocsátó nevével a ékzár nyílra, vagy kattintson a Törlés gombra, ha hibát követett el, és újra szeretné tölteni a fájlt.
4	Kattintson a Proxykapcsolat ellenőrzése gombra a csomópont és a proxy közötti hálózati kapcsolat teszteléséhez. Ha a kapcsolati teszt sikertelen, hibaüzenet jelenik meg, amely bemutatja az okot és a probléma kijavítást. Ha olyan üzenet jelenik meg, amely szerint a külső DNS-felbontás nem sikerült, a csomópont nem tudta elérni a DNS-kiszolgálót. Ez a feltétel számos explicit proxykonfigurációban várható. Folytathatja a beállítást, és a csomópont blokkolt külső DNS-feloldási módban fog működni. Ha úgy gondolja, hogy ez hiba, hajtsa végre ezeket a lépéseket, majd tekintse meg a Blokkolt külső DNS-feloldási mód kikapcsolása című ismertetőt.
5	A csatlakozási teszt elvégzése után, ha csak https-re van állítva explicit proxy, kapcsolja be a kapcsolót a 443/444 https port útvonala parancsra az explicit proxynkeresztül. Ez a beállítás 15 másodpercet igényel a hatályba lépéshez.
6	Kattintson az Összes tanúsítvány telepítése a megbízhatósági tárolóba (HTTPS explicit proxy vagy átlátszó ellenőrző proxy esetén jelenik meg) vagy Indítsa újra (HTTP explicit proxy esetén jelenik meg), olvassa el a parancsot, majd kattintson a Telepítés gombra, ha készen áll. A csomópont néhány percen belül újraindul.
7	A csomópont újraindítása után jelentkezzen be újra, ha szükséges, majd nyissa meg az Áttekintés lapot, hogy ellenőrizze a kapcsolatellenőrzéseket, és győződjön meg arról, hogy mindegyik zöld állapotban van. A proxykapcsolat ellenőrzése csak webex.com aldomainét teszteli. Kapcsolódási problémák esetén gyakori probléma, hogy a telepítési utasításokban felsorolt felhőtartományok némelyike le van tiltva a proxyn.

A fürtben lévő első csomópont regisztrálása

Ez a feladat elvégzi a Hibrid adatbiztonsági szolgáltatás beállítása menüben létrehozott általános csomópontot, regisztrálja a csomópontot a Webex-felhővel, és hibrid adatbiztonsági szolgáltatás-csomóponttá alakítja.

Az első csomópont regisztrálásakor létrehoz egy fürtöt, amelyhez a csomópont hozzá van rendelve. A fürt egy vagy több, redundancia biztosítására telepített csomópontot tartalmaz.

Mielőtt elkezdené

Miután megkezdi egy csomópont regisztrációját, azt 60 percen belül el kell végeznie, különben el kell kezdenie a folyamatot.
Győződjön meg arról, hogy az előugró ablakok blokkolói le vannak tiltva a böngészőjében, vagy engedélyezze a kivételt az admin.webex.com számára.

1	Jelentkezzen be ide: https://admin.webex.com.
2	A képernyő bal oldalán található menüből válassza a Szolgáltatásoklehetőséget.
3	A Felhőszolgáltatások részben keresse meg a hibrid adatbiztonsági kártyát, majd kattintson a Beállítás gombra.
4	A megnyíló oldalon kattintson az Erőforrás hozzáadása lehetőségre.
5	A Csomópont hozzáadása kártya első mezőjében adja meg annak a fürtnek a nevét, amelyhez hozzá kívánja rendelni a hibrid adatbiztonsági szolgáltatás-csomópontot. Javasoljuk, hogy a fürtöt attól függően nevezze el, hogy a fürt csomópontjai földrajzilag hol helyezkednek el. Példák: "San Francisco" vagy "New York" vagy "Dallas"
6	A második mezőben adja meg a csomópont belső IP-címét vagy teljesen minősített tartománynevét (FQDN), majd kattintson a képernyő alján található Hozzáadás gombra. Ennek az IP-címnek vagy FQDN-nek meg kell egyeznie azzal az IP-címmel vagy állomásnévvel és tartománynévvel, amelyet a Hibrid adatbiztonsági szolgáltatás beállítása során használt. Megjelenik egy üzenet, amely azt jelzi, hogy regisztrálhatja a csomópontot a Webex rendszerében.
7	Kattintson az Ugrás a csomópontra lehetőségre. Néhány perc múlva átirányítja a rendszer a Webex-szolgáltatások csomóponti kapcsolódási tesztelésére. Ha az összes teszt sikeres, megjelenik a „Hibrid adatbiztonsági szolgáltatás-csomópont hozzáférésének engedélyezése” oldal. Ott megerősíti, hogy engedélyeket szeretne adni a Webex-szervezetnek a csomóponthoz való hozzáféréshez.
8	Jelölje be a Hozzáférés engedélyezése a hibrid adatbiztonsági szolgáltatás-csomóponthoz jelölőnégyzetet, majd kattintson a Folytatás gombra. Az Ön fiókja hitelesítve van, és a „Regisztráció befejezve” üzenet azt jelzi, hogy a csomópont mostantól regisztrálva van a Webex-felhőbe.
9	Kattintson a hivatkozásra, vagy zárja be a lapot, hogy visszatérjen a Partner Hub hibrid adatbiztonsági szolgáltatás oldalára. A Hibrid adatbiztonsági szolgáltatás oldalon az Ön által regisztrált csomópontot tartalmazó új fürt az Erőforrások lapon jelenik meg. A csomópont automatikusan letölti a legújabb szoftvert a felhőből.

További csomópontok létrehozása és regisztrálása

Ha további csomópontokat szeretne hozzáadni a fürthöz, egyszerűen hozzon létre további VM-eket, és szerelje fel ugyanazt a konfigurációs ISO-fájlt, majd regisztrálja a csomópontot. Javasoljuk, hogy legyen legalább 3 csomópontja.

Mielőtt elkezdené

Miután megkezdi egy csomópont regisztrációját, azt 60 percen belül el kell végeznie, különben el kell kezdenie a folyamatot.
Győződjön meg arról, hogy az előugró ablakok blokkolói le vannak tiltva a böngészőjében, vagy engedélyezze a kivételt az admin.webex.com számára.

1	Hozzon létre egy új virtuális gépet az OVA-ból, ismételje meg a HDS Host OVA telepítése című rész lépéseit.
2	Állítsa be a kezdeti konfigurációt az új VM-en, ismételve a Hibrid adatbiztonsági szolgáltatás VM beállítása lépéseit.
3	Az új VM-en ismételje meg a HDS-konfiguráció ISO feltöltése és csatlakoztatása című rész lépéseit.
4	Ha proxyt állít be az üzembe helyezéshez, ismételje meg a HDS-csomópont konfigurálása proxyintegrációhoz lépéseit az új csomóponthoz szükség szerint.
5	Regisztrálja a csomópontot. A(z) https://admin.webex.com alkalmazásban válassza a Szolgáltatások lehetőséget a képernyő bal oldalán található menüből. A Felhőszolgáltatások részben keresse meg a hibrid adatbiztonsági kártyát, és kattintson az Összes megtekintése gombra. Megjelenik a Hibrid adatbiztonsági erőforrások oldal. Az újonnan létrehozott fürt megjelenik az Erőforrások oldalon. Kattintson a fürtre a fürthöz hozzárendelt csomópontok megtekintéséhez. Kattintson a Csomópont hozzáadása elemre a képernyő jobb oldalán. Adja meg a csomópont belső IP-címét vagy teljesen minősített tartománynevét (FQDN), majd kattintson a Hozzáadás gombra. Megnyílik egy oldal egy üzenettel, amely jelzi, hogy regisztrálhatja a csomópontot a Webex-felhőbe. Néhány perc múlva átirányítja a rendszer a Webex-szolgáltatások csomóponti kapcsolódási tesztelésére. Ha az összes teszt sikeres, megjelenik a „Hibrid adatbiztonsági szolgáltatás-csomópont hozzáférésének engedélyezése” oldal. Itt megerősíti, hogy engedélyeket szeretne adni a szervezetének a csomóponthoz való hozzáféréshez. Jelölje be a Hozzáférés engedélyezése a hibrid adatbiztonsági szolgáltatás-csomóponthoz jelölőnégyzetet, majd kattintson a Folytatás gombra. Az Ön fiókja hitelesítve van, és a „Regisztráció befejezve” üzenet azt jelzi, hogy a csomópont mostantól regisztrálva van a Webex-felhőbe. Kattintson a hivatkozásra, vagy zárja be a lapot, hogy visszatérjen a Partner Hub hibrid adatbiztonsági szolgáltatás oldalára. A Csomópont hozzáadva felugró üzenet szintén megjelenik a Partnerközpontban a képernyő alján. A csomópont regisztrálva van.

Bérlői szervezetek kezelése a több-bérlős hibrid adatbiztonsági szolgáltatásban

Több-bérlős HDS aktiválása a Partner Hubban

Ez a feladat biztosítja, hogy az ügyfélszervezetek minden felhasználója megkezdhesse a HDS kihasználását a Helyszíni titkosítási kulcsok és egyéb biztonsági szolgáltatások esetében.

Mielőtt elkezdené

Győződjön meg arról, hogy befejezte a több-bérlős HDS-fürt beállítását a szükséges számú csomóponttal.

1	Jelentkezzen be ide: https://admin.webex.com.
2	A képernyő bal oldalán található menüből válassza a Szolgáltatásoklehetőséget.
3	A Felhőszolgáltatások részben keresse meg a hibrid adatbiztonsági szolgáltatást, majd kattintson a Beállítások szerkesztése lehetőségre.
4	Kattintson a HDS aktiválása lehetőségre a HDS állapot kártyán.

Bérlő szervezetek hozzáadása a Partner Hubban

Ebben a feladatban ügyfélszervezeteket rendel hozzá a hibrid adatbiztonsági szolgáltatás-fürthöz.

1	Jelentkezzen be ide: https://admin.webex.com.
2	A képernyő bal oldalán található menüből válassza a Szolgáltatásoklehetőséget.
3	A Felhőszolgáltatások részben keresse meg a hibrid adatbiztonsági szolgáltatást, majd kattintson az Összes megtekintése gombra.
4	Kattintson arra a fürtre, amelyhez ügyfelet szeretne hozzárendelni.
5	Lépjen a Hozzárendelt ügyfelek lapra.
6	Kattintson az Ügyfelek hozzáadása lehetőségre.
7	A legördülő menüből válassza ki a hozzáadni kívánt ügyfelet.
8	Kattintson a Hozzáadás lehetőségre, az ügyfél hozzá lesz adva a fürthöz.
9	Ismételje meg a 6–8. lépéseket több ügyfél hozzáadásához a fürthöz.
10	Kattintson a Kész gombra a képernyő alján, miután hozzáadta az ügyfeleket.

Mi a következő teendő

A beállítási folyamat befejezéséhez futtassa a HDS-telepítőeszközt az Ügyfél fő kulcsainak (CMK-k) létrehozása a HDS-telepítőeszköz használatával című részben részletezett módon.

Ügyfél fő kulcsainak (CMK-k) létrehozása a HDS-beállító eszköz használatával

Mielőtt elkezdené

Rendelje hozzá az ügyfeleket a megfelelő fürthöz a Bérlői szervezetek hozzáadása a Partnerközpontban című részben részletezett módon. Futtassa a HDS telepítőeszközt, hogy befejezze az újonnan hozzáadott ügyfélszervezetek beállítási folyamatát.

A HDS Setup eszköz Docker konténerként fut egy helyi gépen. Ha hozzá akarsz férni, futtasd a Dockert azon a gépen. A beállítási folyamat megköveteli a szervezet számára teljes rendszergazdai jogosultságokkal rendelkező Partner Hub-fiók hitelesítő adatait.

Ha a HDS-beállító eszköz a környezetben proxy mögött fut, az 5. lépésben adja meg a proxybeállításokat (kiszolgáló, port, hitelesítő adatokat) a Docker környezeti változókon keresztül. Ez a táblázat néhány lehetséges környezeti változót tartalmaz:

Leírás	Változó
Http-proxy hitelesítés nélkül	`GLOBÁLIS_ÜGYNÖK_HTTP_PROXY=HTTP://KISZOLGÁLÓ_IP:PORT`
HTTPS-proxy hitelesítés nélkül	`GLOBÁLIS_ÜGYNÖK_HTTPS_PROXY=http://KISZOLGÁLÓ_IP:PORT`
Http-proxy hitelesítéssel	`GLOBÁLIS_ÜGYNÖK_HTTP_PROXY=http://felhasználónév:jelszó@kiszolgáló_IP:PORT`
HTTPS-proxy hitelesítéssel	`GLOBÁLIS_ÜGYNÖK_HTTPS_PROXY=http://felhasználónév:jelszó@kiszolgáló_IP:PORT`

A létrehozott konfigurációs ISO fájl tartalmazza a PostgreSQL vagy Microsoft SQL Server adatbázist titkosító mesterkulcsot. Szükség van a fájl legutóbbi másolatára, amikor konfigurációs módosításokat hajt végre, mint például:
- Adatbázis hitelesítő adatai
- Tanúsítványfrissítések
- Az engedélyezési szabályzat változásai
Ha adatbázis-kapcsolatokat szeretne titkosítani, állítsa be a PostgreSQL vagy SQL Server telepítés TLS-hez.

A hibrid adatbiztonsági szolgáltatás beállítási folyamata ISO-fájlt hoz létre. Ezután az ISO-t használja a hibrid adatbiztonsági szolgáltatás-szervező konfigurálásához.

1	A gép parancssorában adja meg a környezetének megfelelő parancsot: Rendszeres környezetben: `docker rmi ciscocitg/hds-setup:stabil` FedRAMP környezetben: `docker rmi ciscocitg/hds-setup-fedramp:stabil` Ezzel a lépéssel törölhetők a HDS telepítőeszköz korábbi képei. Ha nincsenek korábbi képek, akkor olyan hibát ad vissza, amelyet figyelmen kívül hagyhat.
2	A Docker-képtárba való bejelentkezéshez írja be a következőket: `dokkoló bejelentkezés -u hdscustomersro`
3	A jelszókéréskor írja be ezt a hash-t: `dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo`
4	Töltse le a legfrissebb stabil képet a környezetéről: Rendszeres környezetben: `dokkoló húzás ciscocitg/hds-setup:stabil` FedRAMP környezetben: `dokkoló húzás ciscocitg/hds-setup-fedramp:stabil`
5	Amikor a húzás befejeződött, adja meg a környezetének megfelelő parancsot: Rendszeres környezetben, proxy nélkül: `dokkoló futtatása -p 8080:8080 --rm -it ciscocitg/hds-setup:stable` Http proxyval rendelkező normál környezetben: `docker run -p 8080:8080 --rm -it-e GLOBAL_AGENT_HTTP_PROXY=http://SERVER IP:PORT_ ciscocitg/hds-setup:stable` Normál környezetben HTTPS proxyval: `docker run -p 8080:8080 --rm -it-e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER IP:PORT_ ciscocitg/hds-setup:stable` FedRAMP környezetben, proxy nélkül: `dokkoló futtatása -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable` Http proxyval rendelkező FedRAMP környezetben: `docker run -p 8080:8080 --rm -it-e GLOBAL_AGENT_HTTP_PROXY=http://SERVER IP:PORT_ ciscocitg/hds-setup-fedramp:stable` FedRAMP környezetben https proxyval: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER IP:PORT_ ciscocitg/hds-setup-fedramp:stable` Amikor a konténer fut, az "Express szerver figyeli a 8080-as portot."
6	A beállítóeszköz nem támogatja a localhost-hoz való csatlakozást a http://localhost:8080-on keresztül. A(z) http://127.0.0.1:8080 használatával kapcsolódhat a localhost-hoz. Webböngészővel lépjen a(z) `http://127.0.0.1:8080` helyszínállomásra, majd adja meg a rendszergazda felhasználónevét a Partner Hubhoz a kérésben. Az eszköz a felhasználónév első bejegyzésével állítja be a fiókhoz tartozó megfelelő környezetet. Az eszköz ezután megjeleníti a normál bejelentkezési üzenetet.
7	Amikor a rendszer kéri, adja meg a Partner Hub rendszergazdájának bejelentkezési hitelesítő adatait, majd kattintson a Bejelentkezés gombra, hogy engedélyezze a hozzáférést a hibrid adatbiztonsági szolgáltatáshoz szükséges szolgáltatásokhoz.
8	A Beállítóeszköz áttekintése oldalon kattintson az Első lépések gombra.
9	Az ISO-importálás oldalon kattintson az Igen gombra.
10	Válassza ki az ISO-fájlt a böngészőben, és töltse fel. A CMK-kezelés végrehajtásához biztosítsa a kapcsolatot az adatbázisával.
11	Menjen a Bérlő CMK kezelése lapra, ahol a bérlő CMK-k kezelésének alábbi három módja található. CMK létrehozása minden ORG számára vagy CMK létrehozása – Kattintson erre a gombra a képernyő tetején látható sávon, ha CMK-t szeretne létrehozni minden újonnan hozzáadott szervezet számára. Kattintson a CMK kezelése gombra a képernyő jobb oldalán, majd kattintson a CMK létrehozása gombra, ha CMK-ket szeretne létrehozni az összes újonnan hozzáadott szervezet számára. Kattintson az adott szervezet CMK-kezelése függőben lévő állapotának közelében a táblázatban, majd kattintson a CMK létrehozása gombra a szervezet CMK létrehozásához.
12	Ha a CMK létrehozása sikeres, a táblázatban szereplő állapot a CMK-kezelés függőben állapotról CMK-kezelés állapotra változik.
13	Ha a CMK létrehozása sikertelen, egy hiba jelenik meg.

Bérlői szervezetek eltávolítása

Mielőtt elkezdené

Az eltávolítás után az ügyfélszervezetek felhasználói nem tudják majd kihasználni a HDS-t a titkosítási igényeikhez, és elveszítik az összes meglévő tárhelyet. Az ügyfélszervezetek eltávolítása előtt kérjük, lépjen kapcsolatba Cisco-partnerével vagy fiókkezelőjével.

1	Jelentkezzen be ide: https://admin.webex.com.
2	A képernyő bal oldalán található menüből válassza a Szolgáltatásoklehetőséget.
3	A Felhőszolgáltatások részben keresse meg a hibrid adatbiztonsági szolgáltatást, majd kattintson az Összes megtekintése gombra.
4	Az Erőforrások lapon kattintson arra a fürtre, amelyről el szeretné távolítani az ügyfélszervezeteket.
5	A megnyíló oldalon kattintson a Hozzárendelt ügyfelek lehetőségre.
6	A megjelenített ügyfélszervezetek listájában kattintson az eltávolítani kívánt ügyfélszervezet jobb oldalán található ... elemre, majd kattintson az Eltávolítás a fürtből lehetőségre.

Mi a következő teendő

Az eltávolítási folyamat befejezéséhez vonja vissza az ügyfélszervezetek CMK-jeit a HDS-ből eltávolított bérlők CMK-jének visszavonása című részben foglaltak szerint.

Vonja vissza a HDS-ből eltávolított bérlők CMK-jeit.

Mielőtt elkezdené

Ügyfelek eltávolítása a megfelelő fürtből a Bérlői szervezetek eltávolítása pontban részletezett módon. Futtassa a HDS-telepítő eszközt az eltávolított ügyfélszervezetek eltávolítási folyamatának befejezéséhez.

A HDS Setup eszköz Docker konténerként fut egy helyi gépen. Ha hozzá akarsz férni, futtasd a Dockert azon a gépen. A beállítási folyamat megköveteli a szervezet számára teljes rendszergazdai jogosultságokkal rendelkező Partner Hub-fiók hitelesítő adatait.

Ha a HDS-beállító eszköz a környezetben proxy mögött fut, az 5. lépésben adja meg a proxybeállításokat (kiszolgáló, port, hitelesítő adatokat) a Docker környezeti változókon keresztül. Ez a táblázat néhány lehetséges környezeti változót tartalmaz:

Leírás	Változó
Http-proxy hitelesítés nélkül	`GLOBÁLIS_ÜGYNÖK_HTTP_PROXY=HTTP://KISZOLGÁLÓ_IP:PORT`
HTTPS-proxy hitelesítés nélkül	`GLOBÁLIS_ÜGYNÖK_HTTPS_PROXY=http://KISZOLGÁLÓ_IP:PORT`
Http-proxy hitelesítéssel	`GLOBÁLIS_ÜGYNÖK_HTTP_PROXY=http://felhasználónév:jelszó@kiszolgáló_IP:PORT`
HTTPS-proxy hitelesítéssel	`GLOBÁLIS_ÜGYNÖK_HTTPS_PROXY=http://felhasználónév:jelszó@kiszolgáló_IP:PORT`

A létrehozott konfigurációs ISO fájl tartalmazza a PostgreSQL vagy Microsoft SQL Server adatbázist titkosító mesterkulcsot. Szükség van a fájl legutóbbi másolatára, amikor konfigurációs módosításokat hajt végre, mint például:
- Adatbázis hitelesítő adatai
- Tanúsítványfrissítések
- Az engedélyezési szabályzat változásai
Ha adatbázis-kapcsolatokat szeretne titkosítani, állítsa be a PostgreSQL vagy SQL Server telepítés TLS-hez.

A hibrid adatbiztonsági szolgáltatás beállítási folyamata ISO-fájlt hoz létre. Ezután az ISO-t használja a hibrid adatbiztonsági szolgáltatás-szervező konfigurálásához.

1	A gép parancssorában adja meg a környezetének megfelelő parancsot: Rendszeres környezetben: `docker rmi ciscocitg/hds-setup:stabil` FedRAMP környezetben: `docker rmi ciscocitg/hds-setup-fedramp:stabil` Ezzel a lépéssel törölhetők a HDS telepítőeszköz korábbi képei. Ha nincsenek korábbi képek, akkor olyan hibát ad vissza, amelyet figyelmen kívül hagyhat.
2	A Docker-képtárba való bejelentkezéshez írja be a következőket: `dokkoló bejelentkezés -u hdscustomersro`
3	A jelszókéréskor írja be ezt a hash-t: `dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo`
4	Töltse le a legfrissebb stabil képet a környezetéről: Rendszeres környezetben: `dokkoló húzás ciscocitg/hds-setup:stabil` FedRAMP környezetben: `dokkoló húzás ciscocitg/hds-setup-fedramp:stabil`
5	Amikor a húzás befejeződött, adja meg a környezetének megfelelő parancsot: Rendszeres környezetben, proxy nélkül: `dokkoló futtatása -p 8080:8080 --rm -it ciscocitg/hds-setup:stable` Http proxyval rendelkező normál környezetben: `docker run -p 8080:8080 --rm -it-e GLOBAL_AGENT_HTTP_PROXY=http://SERVER IP:PORT_ ciscocitg/hds-setup:stable` Normál környezetben HTTPS proxyval: `docker run -p 8080:8080 --rm -it-e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER IP:PORT_ ciscocitg/hds-setup:stable` FedRAMP környezetben, proxy nélkül: `dokkoló futtatása -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable` Http proxyval rendelkező FedRAMP környezetben: `docker run -p 8080:8080 --rm -it-e GLOBAL_AGENT_HTTP_PROXY=http://SERVER IP:PORT_ ciscocitg/hds-setup-fedramp:stable` FedRAMP környezetben https proxyval: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER IP:PORT_ ciscocitg/hds-setup-fedramp:stable` Amikor a konténer fut, az "Express szerver figyeli a 8080-as portot."
6	A beállítóeszköz nem támogatja a localhost-hoz való csatlakozást a http://localhost:8080-on keresztül. A(z) http://127.0.0.1:8080 használatával kapcsolódhat a localhost-hoz. Webböngészővel lépjen a(z) `http://127.0.0.1:8080` helyszínállomásra, majd adja meg a rendszergazda felhasználónevét a Partner Hubhoz a kérésben. Az eszköz a felhasználónév első bejegyzésével állítja be a fiókhoz tartozó megfelelő környezetet. Az eszköz ezután megjeleníti a normál bejelentkezési üzenetet.
7	Amikor a rendszer kéri, adja meg a Partner Hub rendszergazdájának bejelentkezési hitelesítő adatait, majd kattintson a Bejelentkezés gombra, hogy engedélyezze a hozzáférést a hibrid adatbiztonsági szolgáltatáshoz szükséges szolgáltatásokhoz.
8	A Beállítóeszköz áttekintése oldalon kattintson az Első lépések gombra.
9	Az ISO-importálás oldalon kattintson az Igen gombra.
10	Válassza ki az ISO-fájlt a böngészőben, és töltse fel.
11	Menjen a Bérlő CMK kezelése lapra, ahol a bérlő CMK-k kezelésének alábbi három módja található. CMK visszavonása az összes szervezet számára vagy CMK visszavonása – kattintson erre a gombra a képernyő tetején látható szalagon, ha szeretné visszavonni az összes eltávolított szervezet CMK-ját. Kattintson a CMK kezelése gombra a képernyő jobb oldalán, majd kattintson a CMK visszavonása gombra az összes eltávolított szervezet CMK-jének visszavonásához. Kattintson a gombra egy adott szervezet CMK visszavonásához állapot közelében a táblázatban, majd kattintson a CMK visszavonása gombra az adott szervezet CMK visszavonásához.
12	A CMK visszavonása sikeres, az ügyfél szervezete többé nem jelenik meg a táblázatban.
13	Ha a CMK visszavonása sikertelen, egy hiba jelenik meg.

Tesztelje hibrid adatbiztonsági szolgáltatás telepítését

A hibrid adatbiztonsági szolgáltatás telepítésének tesztelése

Ezzel az eljárással tesztelheti a több-bérlős hibrid adatbiztonsági titkosítási forgatókönyveket.

Mielőtt elkezdené

Állítsa be a több-bérlős hibrid adatbiztonsági szolgáltatás üzembe helyezését.
Bizonyosodjon meg arról, hogy rendelkezik-e hozzáféréssel a syslog-hoz, és ellenőrizze, hogy a kulcskérések továbbításra kerülnek-e a többbérlős hibrid adatbiztonsági szolgáltatás telepítésébe.

1

Az adott szoba kulcsait a szoba létrehozója állítja be. Jelentkezzen be a Webex alkalmazásba az ügyfél szervezetének egyik felhasználójaként, majd hozzon létre egy szobát.

Ha inaktiválja a hibrid adatbiztonsági szolgáltatás telepítését, a felhasználók által létrehozott terekben lévő tartalom többé nem érhető el, miután kicserélték a titkosítási kulcsok kliens által gyorsítótárazott másolatait.

2

Üzenetek küldése az új szobába.

3

Ellenőrizze a syslog kimenetet, és ellenőrizze, hogy a kulcskérések eljutnak-e a hibrid adatbiztonsági szolgáltatáshoz.

Ha ellenőrizni szeretné, hogy egy felhasználó először létrehoz-e biztonságos csatornát a KMS-hez, szűrőt a következő helyeken: kms.data.method=create és kms.data.type=EPHEMERAL_KEY_COLLECTION:

Meg kell találni egy bejegyzést, mint például a következő (az azonosítók rövidítve olvashatóság):

2020-07-21 17:35:34.562 (+0000) INFO KMS [pool-14-thread-1] - [KMS:REQUEST] fogadva, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.host=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

Ha ellenőrizni szeretné, hogy egy felhasználó kér-e meglévő kulcsot a KMS-ből, szűrőt a kms.data.method=retrieve és a kms.data.type=KEY oldalon:

Olyan bejegyzést kell találnia, mint:

2020-07-21 17:44:19.889 (+0000) INFO KMS [pool-14-thread-31] - [KMS:REQUEST] fogadva, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

Egy új KMS-kulcs létrehozását kérő felhasználó megkereséséhez szűrje a kms.data.method=create és a kms.data.type=KEY_COLLECTION elemekre:

Olyan bejegyzést kell találnia, mint:

2020-07-21 17:44:21.975 (+0000) INFO KMS [pool-14-thread-33] - [KMS:REQUEST] fogadva, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

Ha ellenőrizni szeretné, hogy egy felhasználó új KMS-erőforrásobjektum (KRO) létrehozását kéri-e egy tér vagy más védett erőforrás létrehozásakor, a szűrőt a kms.data.method=create és a kms.data.type=RESOURCE_COLLECTION elemekre:

Olyan bejegyzést kell találnia, mint:

2020-07-21 17:44:22.808 (+0000) INFO KMS [pool-15-thread-1] - [KMS:REQUEST] fogadva, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

Hibrid adatbiztonsági szolgáltatás állapotának megfigyelése

A Partner Hubon belül egy állapotjelző mutatja, hogy minden rendben van-e a több-bérlős hibrid adatbiztonsági szolgáltatás telepítésével. A proaktívabb riasztáshoz regisztráljon az e-mail-értesítésekre. Értesítést kap, ha szolgáltatást befolyásoló riasztások vagy szoftverfrissítések érkeznek.

1	A Partnerközpontban válassza a Szolgáltatások lehetőséget a képernyő bal oldalán található menüből.
2	A Felhőszolgáltatások részben keresse meg a hibrid adatbiztonsági szolgáltatást, majd kattintson a Beállítások szerkesztése lehetőségre. Megjelenik a Hibrid adatbiztonsági beállítások oldal.
3	Az E-mail-értesítések szakaszban adjon meg egy vagy több e-mail-címet vesszővel elválasztva, majd nyomja meg az Enter billentyűt.

HDS-telepítés kezelése

Az itt ismertetett feladatokat a hibrid adatbiztonsági szolgáltatás telepítésének kezeléséhez használja.

Fürtverziófrissítési ütemezés beállítása

A hibrid adatbiztonságra vonatkozó szoftverfrissítések a fürt szintjén automatikusan végrehajtásra kerülnek, ami biztosítja, hogy minden csomópont mindig ugyanazt a szoftververziót használja. A frissítések a fürt frissítési ütemezése szerint zajlanak. Amikor egy szoftverfrissítés elérhetővé válik, lehetősége van arra, hogy a beütemezett frissítési idő előtt manuálisan frissítse a fürtöt. Beállíthat egy konkrét frissítési ütemezést, vagy használhatja az alapértelmezett 3:00-as ütemezést: Amerika/Los Angeles. Szükség esetén elhalaszthatja a soron következő verziófrissítést is.

A verziófrissítési ütemezés beállítása:

1	Jelentkezzen be a Partnerközpontba.
2	A képernyő bal oldalán található menüből válassza a Szolgáltatásoklehetőséget.
3	A Felhőszolgáltatások részben keresse meg a hibrid adatbiztonsági szolgáltatást, majd kattintson a Beállítás gombra
4	A Hibrid adatbiztonsági erőforrások oldalon válassza ki a fürtöt.
5	Kattintson a Fürtbeállítások fülre.
6	A Fürtbeállítások oldalon a Verziófrissítési ütemezés alatt válassza ki a verziófrissítési ütemezéshez tartozó időt és időzónát. Megjegyzés: Az időzóna alatt a következő elérhető verziófrissítés dátuma és ideje jelenik meg. Ha szükséges, a Halasztás 24 órával opcióra kattintva elhalaszthatja a frissítést a következő napra.

A csomópont konfigurációjának módosítása

Előfordulhat, hogy időnként módosítania kell a hibrid adatbiztonsági csomópont konfigurációját olyan okok miatt, mint például:

Az x.509 tanúsítványok módosítása lejárati vagy egyéb okok miatt.

Nem támogatjuk a tanúsítvány CN domain nevének megváltoztatását. A domainnek egyeznie kell a fürt regisztrálásához használt eredeti domainnel.
Adatbázis-beállítások frissítése a PostgreSQL vagy a Microsoft SQL Server adatbázis kópiájára való váltáshoz.

Nem támogatjuk az adatok áttelepítését PostgreSQL-ről Microsoft SQL Server-re, vagy fordítva. Az adatbázis-környezet megváltoztatásához indítsa el a Hybrid Data Security új telepítését.
Új konfiguráció létrehozása új adatközpont előkészítéséhez.

Biztonsági okokból a Hybrid Data Security kilenc hónapos élettartamú szolgáltatási fiókjelszavakat is használ. Miután a HDS telepítőeszköz létrehozza ezeket a jelszavakat, az ISO konfigurációs fájlban minden HDS-csomópontra telepíti őket. Amikor a szervezet jelszavai a lejárathoz közelednek, értesítést kap a Webex csapatától a gépfiók jelszavának visszaállításáról. (Az e-mail tartalmazza a szöveget: "Használja a gép fiók API frissíteni a jelszót.") Ha jelszavai még nem jártak le, az eszköz két lehetőséget kínál:

Soft reset – A régi és az új jelszó egyaránt legfeljebb 10 napig használható. Használja ezt az időszakot a csomópontok ISO-fájljának fokozatos cseréjére.
Kemény alaphelyzetbe állítás – A régi jelszavak azonnal leállnak.

Ha jelszavai alaphelyzetbe állítás nélkül járnak le, az hatással van a HDS-szolgáltatásra, és az összes csomóponton az ISO-fájl azonnali hardveres alaphelyzetbe állítását és cseréjét igényli.

Használja ezt az eljárást egy új konfigurációs ISO-fájl létrehozásához és alkalmazásához a fürtön.

Mielőtt elkezdené

A HDS Setup eszköz Docker konténerként fut egy helyi gépen. Ha hozzá akarsz férni, futtasd a Dockert azon a gépen. A beállítási folyamat megköveteli a partner teljes körű rendszergazdai jogosultságokkal rendelkező Partner Hub-fiók hitelesítő adatait.

Ha a HDS-beállító eszköz a környezetben proxy mögött fut, adja meg a proxybeállításokat (kiszolgáló, port, hitelesítő adatokat) a Docker környezeti változókon keresztül, amikor a Docker tárolót az 1.e-ben helyezi üzembe. Ez a táblázat néhány lehetséges környezeti változót tartalmaz:

Leírás	Változó
Http-proxy hitelesítés nélkül	`GLOBÁLIS_ÜGYNÖK_HTTP_PROXY=HTTP://KISZOLGÁLÓ_IP:PORT`
HTTPS-proxy hitelesítés nélkül	`GLOBÁLIS_ÜGYNÖK_HTTPS_PROXY=http://KISZOLGÁLÓ_IP:PORT`
Http-proxy hitelesítéssel	`GLOBÁLIS_ÜGYNÖK_HTTP_PROXY=http://felhasználónév:jelszó@kiszolgáló_IP:PORT`
HTTPS-proxy hitelesítéssel	`GLOBÁLIS_ÜGYNÖK_HTTPS_PROXY=http://felhasználónév:jelszó@kiszolgáló_IP:PORT`

Új konfiguráció létrehozásához az aktuális konfigurációs ISO-fájl másolata szükséges. Az ISO tartalmazza a PostgreSQL vagy Microsoft SQL Server adatbázist titkosító mesterkulcsot. Konfiguráció-módosításkor, beleértve az adatbázis-hitelesítő adatokat, a tanúsítványok frissítését vagy az engedélyezési irányelv módosítását, ISO-szabványra van szüksége.

1	A Docker helyi gépen történő használata esetén futtassa a HDS Setup Tool alkalmazást. A gép parancssorában adja meg a környezetének megfelelő parancsot: Rendszeres környezetben: `docker rmi ciscocitg/hds-setup:stabil` FedRAMP környezetben: `docker rmi ciscocitg/hds-setup-fedramp:stabil` Ezzel a lépéssel törölhetők a HDS telepítőeszköz korábbi képei. Ha nincsenek korábbi képek, akkor olyan hibát ad vissza, amelyet figyelmen kívül hagyhat. A Docker-képtárba való bejelentkezéshez írja be a következőket: `dokkoló bejelentkezés -u hdscustomersro` A jelszókéréskor írja be ezt a hash-t: `dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo` Töltse le a legfrissebb stabil képet a környezetéről: Rendszeres környezetben: `dokkoló húzás ciscocitg/hds-setup:stabil` FedRAMP környezetben: `dokkoló húzás ciscocitg/hds-setup-fedramp:stabil` Győződjön meg róla, hogy az eljáráshoz a legújabb telepítőeszközt választotta. Az eszköz 2018. február 22. előtt létrehozott verziói nem rendelkeznek jelszó-visszaállító képernyővel. Amikor a húzás befejeződött, adja meg a környezetének megfelelő parancsot: Rendszeres környezetben, proxy nélkül: `dokkoló futtatása -p 8080:8080 --rm -it ciscocitg/hds-setup:stable` Http proxyval rendelkező normál környezetben: `docker run -p 8080:8080 --rm -it-e GLOBAL_AGENT_HTTP_PROXY=http://SERVER IP:PORT_ ciscocitg/hds-setup:stable` Rendszeres környezetben, HTTPSproxyval: `docker run -p 8080:8080 --rm -it-e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER IP:PORT_ ciscocitg/hds-setup:stable` FedRAMP környezetben, proxy nélkül: `dokkoló futtatása -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable` Http proxyval rendelkező FedRAMP környezetben: `docker run -p 8080:8080 --rm -it-e GLOBAL_AGENT_HTTP_PROXY=http://SERVER IP:PORT_ ciscocitg/hds-setup-fedramp:stable` FedRAMP környezetben https proxyval: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER IP:PORT_ ciscocitg/hds-setup-fedramp:stable` Amikor a tároló fut, megjelenik az "Express szerver hallgat a 8080-as porton". Használjon böngészőt a localhosthoz való `http://127.0.0.1:8080`csatlakozáshoz. A beállítóeszköz nem támogatja a localhost-hoz való csatlakozást a http://localhost:8080-on keresztül. A(z) http://127.0.0.1:8080 használatával kapcsolódhat a localhost-hoz. Amikor a rendszer kéri, adja meg a Partner Hub ügyfél bejelentkezési hitelesítő adatait, majd kattintson az Elfogadás gombra a folytatáshoz. Importálja az aktuális konfigurációs ISO-fájlt. Kövesse a figyelmeztetéseket az eszköz befejezéséhez és a frissített fájl letöltéséhez. A beállítóeszköz leállításához gépelje be a `CTRL+C` billentyűkombinációt. Készítsen biztonsági másolatot a frissített fájlról egy másik adatközpontban.
2	Ha csak egy HDS-csomópont fut, hozzon létre egy új hibrid adatbiztonsági szolgáltatás-csomópontot, és regisztrálja azt az új konfigurációs ISO-fájl használatával. Részletes útmutatásért lásd: További csomópontok létrehozása és regisztrálása. Telepítse a HDS GAZDAPETEFÉSZKET. A HDS VM beállítása. Csatolja a frissített konfigurációs fájlt. Regisztrálja az új csomópontot a Partnerközpontban.
3	A régebbi konfigurációs fájlt futtató HDS-csomópontok esetében csatlakoztassa az ISO-fájlt. Végezze el a következő eljárást minden csomóponton, majd frissítse az egyes csomópontokat, mielőtt kikapcsolná a következő csomópontot: Kapcsolja ki a virtuális gépet. A VMware vSphere kliens bal oldali navigációs ablakában kattintson jobb gombbal a VM-re, majd kattintson a Beállítások szerkesztése lehetőségre. Kattintson `a CD/DVD Drive 1`elemre, válassza ki az ISO-fájlból való csatlakoztatás lehetőségét, és keresse meg azt a helyet, ahol letöltötte az új konfigurációs ISO-fájlt. Bekapcsoláskor ellenőrizze a csatlakoztatást. Mentsd el a módosításokat és az energiát a virtuális gépen.
4	Ismételje meg a 3. lépést a konfiguráció cseréjéhez a régi konfigurációt futtató minden megmaradt csomóponton.

A blokkolt külső DNS-feloldási mód kikapcsolása

Amikor regisztrál egy csomópontot, vagy ellenőrzi a csomópont proxykonfigurációját, a folyamat teszteli a DNS-ellenőrzést és a Cisco Webex felhővel való kapcsolatot. Ha a csomópont DNS-kiszolgálója nem tudja feloldani a nyilvános DNS-neveket, a csomópont automatikusan blokkolt külső DNS-feloldási módba lép.

Ha a csomópontok képesek feloldani a nyilvános DNS-neveket a belső DNS-kiszolgálókon keresztül, kikapcsolhatja ezt a módot az egyes csomópontok proxykapcsolati tesztjének újrafuttatásával.

Mielőtt elkezdené

Győződjön meg arról, hogy a belső DNS-kiszolgálók képesek megoldani a nyilvános DNS-neveket, és hogy a csomópontok képesek kommunikálni velük.

1	Webböngészőben nyissa meg a hibrid adatbiztonsági csomópont felületét (például IP-cím/beállítás https://192.0.2.0/setup), adja meg a csomóponthoz beállított rendszergazdai hitelesítő adatokat, majd kattintson a Bejelentkezésgombra.
2	Lépjen az Áttekintés (az alapértelmezett lap) oldalra. Ha engedélyezve van, a letiltott külső DNS-felbontás igen értékre van állítva.
3	Lépjen a Megbízhatósági áruház és proxy oldalra.
4	Kattintson a Proxykapcsolat ellenőrzéseelemre. Ha olyan üzenet jelenik meg, amely szerint a külső DNS-felbontás nem sikerült, a csomópont nem tudta elérni a DNS-kiszolgálót, és ebben a módban marad. Ellenkező esetben a csomópont újraindítása és az Áttekintés lapra való visszalépés után a blokkolt külső DNS-felbontást nemre kell állítani.

Mi a következő lépés

Ismételje meg a proxykapcsolati tesztet a hibrid adatbiztonsági fürt minden csomópontján.

Csomópont eltávolítása

Ezzel az eljárással eltávolíthat egy hibrid adatbiztonsági szolgáltatás-csomópontot a Webex-felhőből. Miután eltávolította a csomópontot a fürtből, törölje a virtuális gépet, hogy megakadályozza a további hozzáférést a biztonsági adatokhoz.

1

A számítógépén lévő VMware vSphere kliens használatával jelentkezzen be az ESXi virtuális állomásba, és kapcsolja ki a virtuális gépet.

2

Csomópont eltávolítása:

Jelentkezzen be a Partnerközpontba, majd válassza a Szolgáltatásoklehetőséget.
A hibrid adatbiztonsági szolgáltatás kártyán kattintson az Összes megtekintése gombra a hibrid adatbiztonsági erőforrások oldal megjelenítéséhez.
Válassza ki a fürtöt az Áttekintés panel megjelenítéséhez.
Kattintson az eltávolítani kívánt csomópontra.
Kattintson a Csomópont regisztrációjának törlése lehetőségre a jobb oldalon megjelenő panelen
A csomópont regisztrációját úgy is törölheti, hogy rákattint a csomópont jobb oldalára, és kiválasztja a Csomópont eltávolítása lehetőséget.

3

A vSphere kliensben törölje a VM-et. (A bal oldali navigációs panelen kattintson a jobb gombbal a VM-re, majd kattintson a Törlés gombra.)

Ha nem törli a VM-et, ne felejtse el eltávolítani a konfigurációs ISO-fájlt. Az ISO fájl nélkül nem lehet hozzáférni a biztonsági adatokhoz a VM segítségével.

Katasztrófa-helyreállítás a készenléti adatközpont használatával

A hibrid adatbiztonsági szolgáltatás-fürt által nyújtott legkritikusabb szolgáltatás az üzenetek és más tartalmak titkosításához használt kulcsok létrehozása és tárolása a Webex-felhőben. A szervezeten belüli minden olyan felhasználó számára, aki hozzá van rendelve a hibrid adatbiztonsághoz, a rendszer átirányítja az új kulcslétrehozási kérelmeket a fürthöz. A fürt felelős a létrehozott kulcsok visszaküldéséért is bármely, a lekérésre jogosult felhasználónak, például egy beszélgetési szoba tagjainak.

Mivel a fürt a kulcsok biztosításának kritikus funkcióját végzi, elengedhetetlen, hogy a fürt továbbra is fusson, és megfelelő biztonsági mentéseket tartson fenn. A hibrid adatbiztonsági szolgáltatás-adatbázis vagy a sémához használt konfigurációs ISO elvesztése az ügyféltartalom VISSZAFORDÍTHATATLAN ELVESZTÉSÉT eredményezi. Az ilyen veszteség megelőzése érdekében a következő gyakorlatok kötelezőek:

Ha egy katasztrófa miatt a HDS telepítése nem érhető el az elsődleges adatközpontban, kövesse ezt az eljárást a készenléti adatközpontba való manuális feladatátvételhez.

Mielőtt elkezdené

Törölje az összes csomópont regisztrációját a Partner Hubból a Csomópont eltávolítása részben említettek szerint. Az alább említett feladatátvételi eljárás végrehajtásához használja a korábban aktív fürt csomópontjain konfigurált legújabb ISO-fájlt.

1	Indítsa el a HDS telepítőeszközt, és kövesse a Konfigurációs ISO létrehozása a HDS szervezők számára című részben említett lépéseket.
2	Végezze el a konfigurációs folyamatot, és mentse el az ISO fájlt egy könnyen megtalálható helyre.
3	Készítsen biztonsági másolatot az ISO fájlról a helyi rendszerre. Tartsa biztonságban a biztonsági másolatot. Ez a fájl az adatbázis tartalmához tartozó fő titkosítási kulcsot tartalmaz. Korlátozza a hozzáférést csak azokra a hibrid adatbiztonsági szolgáltatás-rendszergazdákra, akiknek konfigurációs módosításokat kell végrehajtaniuk.
4	A VMware vSphere kliens bal oldali navigációs ablakában kattintson jobb gombbal a VM-re, majd kattintson a Beállítások szerkesztése lehetőségre.
5	Kattintson a Beállítások szerkesztése >CD/DVD Drive 1 elemre, és válassza a Datastore ISO-fájl lehetőséget. Győződjön meg arról, hogy a Csatlakoztatva és a Kapcsolódás bekapcsolva be van jelölve, hogy a frissített konfigurációs módosítások a csomópontok elindítása után életbe lépjenek.
6	Kapcsolja be a HDS-csomópontot, és győződjön meg arról, hogy legalább 15 percig nincs riasztás.
7	Regisztrálja a csomópontot a Partnerközpontban. Lásd: A fürt első csomópontjának regisztrálása.
8	Ismételje meg a folyamatot minden csomóponthoz a készenléti adatközpontban.

Mi a következő teendő

A feladatátvétel után, ha az elsődleges adatközpont ismét aktívvá válik, törölje a készenléti adatközpont csomópontjainak regisztrációját, és ismételje meg az ISO konfigurálását és az elsődleges adatközpont csomópontjainak regisztrálását a fent említettek szerint.

(Opcionális) ISO leválasztása a HDS-konfiguráció után

A standard HDS konfiguráció az ISO csatlakozóval fut. Néhány ügyfél azonban nem szeretné, ha az ISO fájlokat folyamatosan csatlakoztatva hagyná. Az ISO fájl leszerelhető, miután az összes HDS-csomópont felvette az új konfigurációt.

A konfiguráció módosításához továbbra is az ISO-fájlokat használja. Amikor új ISO-t hoz létre vagy frissít egy ISO-t a Telepítőeszköz segítségével, a frissített ISO-t minden HDS-csomópontra fel kell szerelnie. Miután az összes csomópont átvette a konfigurációs módosításokat, újra leszerelheti az ISO-t ezzel az eljárással.

Mielőtt elkezdené

Frissítse az összes HDS-csomópontot a 2021.01.22.4720-as vagy újabb verzióra.

1	Állítsa le az egyik HDS-csomópontot.
2	A vCenter Server Appliance-ben válassza ki a HDS csomópontot.
3	Válassza a Beállítások szerkesztése > CD-/DVD-meghajtó lehetőséget, és törölje az ISO-fájl jelölését.
4	Kapcsolja be a HDS-csomópontot, és biztosítsa, hogy legalább 20 percig ne legyen riasztás.
5	Ismételje meg egymás után minden HDS-csomópont esetében.

Hibrid adatbiztonsági szolgáltatás hibaelhárítása

Riasztások és hibaelhárítás megtekintése

A hibrid adatbiztonsági szolgáltatás telepítése nem érhető el, ha a fürtben lévő összes csomópont nem érhető el, vagy a fürt olyan lassan működik, hogy időtúllépést igényel. Ha a felhasználók nem tudják elérni a hibrid adatbiztonsági szolgáltatás-fürtöt, a következő tüneteket tapasztalják:

Nem lehet új szobákat létrehozni (nem lehet új kulcsot létrehozni)
Nem sikerült visszafejteni az üzeneteket és a szobák címeit a következőhöz:
- Új felhasználók hozzáadva egy szobához (nem lehet lekérni a kulcsokat)
- Meglévő felhasználók egy szobában új klienssel (nem lehet lekérni a kulcsokat)
A szobában lévő meglévő felhasználók továbbra is sikeresen futnak, amennyiben az ügyfeleik rendelkeznek a titkosítási kulcsok gyorsítótárával

Fontos, hogy megfelelően figyelje a hibrid adatbiztonsági szolgáltatás-fürtöt, és azonnal kezelje az esetleges riasztásokat, hogy elkerülje a szolgáltatás megszakadását.

Riasztások

Ha probléma van a hibrid adatbiztonsági szolgáltatás beállításával, a Partner Hub riasztásokat jelenít meg a szervezet rendszergazdájának, és e-maileket küld a konfigurált e-mail-címre. A riasztások számos gyakori forgatókönyvet fednek le.

1. táblázat Gyakori problémák és a megoldásukhoz szükséges lépések
Riasztás	Művelet
Helyi adatbázis-hozzáférés sikertelen.	Keressen adatbázishibákat vagy helyi hálózati problémákat.
Nem sikerült csatlakozni a helyi adatbázishoz.	Ellenőrizze, hogy az adatbázis szerver elérhető-e, és a megfelelő szolgáltatásfiók hitelesítő adatokat használták-e a csomópont konfigurációjában.
Sikertelen volt a felhőszolgáltatás-hozzáférés.	Ellenőrizze, hogy a csomópontok hozzáférhetnek-e a Webex kiszolgálókhoz a Külső kapcsolódási követelmények pontban meghatározottak szerint.
A felhőszolgáltatás regisztrációjának megújítása.	A felhőszolgáltatásokba való regisztráció megszakadt. A lajstromozás megújítása folyamatban van.
A felhőszolgáltatás regisztrációja megszakadt.	A felhőszolgáltatásokba való regisztráció leállt. A szolgáltatás leáll.
A szolgáltatás még nincs aktiválva.	Aktiválja a HDS-t a Partnerközpontban.
A konfigurált tartomány nem egyezik a kiszolgáló tanúsítványával.	Győződjön meg arról, hogy a kiszolgálótanúsítvány megegyezik a konfigurált szolgáltatásaktiválási tartománygal. A legvalószínűbb ok az, hogy a CN tanúsítványt nemrégiben módosították, és mostantól különbözik a kezdeti beállítás során használt CN-től.
A felhőszolgáltatásokhoz való hitelesítés sikertelen.	Ellenőrizze a szolgáltatásfiók hitelesítő adatainak pontosságát és esetleges lejáratát.
Nem sikerült megnyitni a helyi kulcstár fájlját.	Ellenőrizze az integritást és a jelszó pontosságát a helyi kulcstárfájlban.
A helyi kiszolgáló tanúsítványa érvénytelen.	Ellenőrizze a kiszolgáló tanúsítványának lejárati dátumát, és erősítse meg, hogy azt egy megbízható hitelesítésszolgáltató állította ki.
Nem lehet mérőszámokat közzétenni.	Ellenőrizze a külső felhőszolgáltatásokhoz való helyi hálózati hozzáférést.
A /media/configdrive/hds könyvtár nem létezik.	Ellenőrizze az ISO rögzítési konfigurációt a virtuális állomáson. Ellenőrizze, hogy az ISO fájl létezik-e, hogy újraindításkor csatlakoztatásra van-e konfigurálva, és hogy sikeresen csatlakozik-e.
A bérlő szervezetének beállítása nem fejeződött be a hozzáadott szervezetek esetében	A beállítást úgy fejezze be, hogy CMK-ket hoz létre az újonnan hozzáadott bérlő szervezetek számára a HDS-telepítőeszköz használatával.
A bérlő szervezeti beállítása az eltávolított szervezetek esetében nem fejeződött be	A telepítést végezze el az olyan bérlő szervezetek CMK-jének visszavonásával, amelyeket a HDS telepítőeszköz használatával távolítottak el.

Hibrid adatbiztonsági szolgáltatás hibaelhárítása

A hibrid adatbiztonsági szolgáltatással kapcsolatos problémák elhárításakor használja a következő általános irányelveket.

1	Ellenőrizze a Partner Hubot az esetleges riasztások miatt, és javítsa ki az ott található elemeket. Bővebb tájékoztatásért lásd az alábbi képet.
2	Ellenőrizze a Hibrid adatbiztonsági szolgáltatás telepítésből származó tevékenységhez tartozó syslog szerver kimenetét. A hibaelhárítás érdekében szűrje az olyan szavakra, mint a „Figyelmeztetés” és a „Hiba”.
3	Forduljon a Cisco ügyfélszolgálatához.

Egyéb megjegyzések

A hibrid adatbiztonsági szolgáltatás ismert problémái

Ha leállítja a hibrid adatbiztonsági szolgáltatás-fürtöt (a Partner Hubban történő törléssel vagy az összes csomópont leállításával), elveszíti a konfigurációs ISO-fájlt, vagy elveszíti a kulcsrakész-adatbázishoz való hozzáférést, az ügyfélszervezetek Webex alkalmazás felhasználói többé nem használhatják a KMS-ből kulcsokkal létrehozott Személyek listában szereplő szobákat. Jelenleg nem rendelkezünk megoldással vagy megoldással ehhez a problémához, és arra kérjük, hogy ne állítsa le a HDS-szolgáltatásait, miután azok aktív felhasználói fiókokat kezelnek.
Az az ügyfél, amely meglévő ECDH-kapcsolattal rendelkezik egy KMS-sel, egy ideig (valószínűleg egy órán keresztül) tartja fenn a kapcsolatot.

OpenSSL használata PKCS12 fájl létrehozásához

Mielőtt elkezdené

Az OpenSSL egy olyan eszköz, amellyel a PKCS12 fájlt a megfelelő formátumban lehet betölteni a HDS telepítőeszközben. Ennek más módjai is vannak, és nem támogatjuk vagy támogatjuk az egyik módot a másikkal szemben.
Ha az OpenSSL használatát választja, útmutatóként biztosítjuk ezt az eljárást, hogy segítsen létrehozni egy olyan fájlt, amely megfelel az X.509 Certificate Requirements (X.509 Certificate Requirements) X.509 tanúsítványkövetelményeinek. Mielőtt folytatná, ismerje meg ezeket a követelményeket.
Telepítse az OpenSSL-t támogatott környezetben. Lásd: https://www.openssl.org a szoftver és a dokumentáció.
Hozzon létre egy privát kulcsot.
Indítsa el ezt az eljárást, amikor megkapja a kiszolgáló tanúsítványt a hitelesítésszolgáltatótól (CA).

1	Amikor megkapja a kiszolgálótanúsítványt a hitelesítésszolgáltatótól, mentse el `hdsnode.pem` formátumban.
2	A tanúsítvány megjelenítése szövegként, és ellenőrizze a részleteket. `openssl x509 - text - noout - in hdsnode.pem`
3	Használjon szövegszerkesztőt egy `hdsnode-bundle.pem` nevű tanúsítványkötegfájl létrehozásához. A csomagfájlnak tartalmaznia kell a kiszolgáló tanúsítványt, a közbenső CA-tanúsítványokat és a legfelső CA-tanúsítványokat az alábbi formátumban: `-----kezdési tanúsítvány----- ### Kiszolgáló tanúsítvány. ### -----befejező tanúsítvány----------------------------------------------------------------------------------------------------------------------- ### Közbenső CA-tanúsítvány. ### -----befejező tanúsítvány----------------------------------------------------------------------------------------------------------------------- ### Legfelső szintű CA-tanúsítvány. ### -----befejező tanúsítvány-----`
4	Hozza létre a .p12 fájlt `kms-private-key` névvel. `openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -név kms-private-key -caname kms-private-key -out hdsnode.p12`
5	Ellenőrizze a kiszolgáló tanúsítványának részleteit. `nyissa meg a pkcs12 -t a hdsnode.p12-ben` Adjon meg egy jelszót a titkos kulcs titkosítására vonatkozó kérésnél, hogy az megjelenjen a kimenetben. Ezután ellenőrizze, hogy a titkos kulcs és az első tanúsítvány tartalmazza-e a `friendlyName vonalakat: kms-private-key`. Példa: bash$ openssl pkcs12 -in hdsnode.p12 Adja meg az importálási jelszót: MAC által ellenőrzött OK táska attribútumok friendlyName: kms-private-key localKeyId: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Kulcsattribútumok: Adja meg a PEM-belépési kifejezést: Ellenőrzés – Adja meg a PEM-belépési kifejezést: -----KEZDJE EL TITKOSÍTOTT TITKOS KULCS----- -----END TITKOSÍTOTT TITKOS KULCS------ Táska attribútumai friendlyName: kms-private-key localKeyId: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 ------BEGIN CERTIFICATE---- -----END CERTIFICATE----- Bag Attributes friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US tárgy=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 kibocsátó=/O=Digital Signature Trust Co./CN=DST legfelső szintű hitelesítésszolgáltató X3 -----BEGIN CERTIFICATE---- -----END CERTIFICATE-----

Mi a következő teendő

Visszatérés a Hibrid adatbiztonsági szolgáltatás előfeltételeinek teljesítése lehetőséghez. A hdsnode.p12 fájlt és a hozzá beállított jelszót fogja használni az ISO-konfiguráció létrehozása a HDS-állomásoknál menüpontban.

Ezeket a fájlokat újra felhasználhatja új tanúsítvány kéréséhez, amikor az eredeti tanúsítvány lejár.

HDS-csomópontok és a felhő közötti forgalom

Kimenő mérőszámok gyűjtésének forgalma

A hibrid adatbiztonsági csomópontok bizonyos mérőszámokat küldenek a Webex felhőbe. Ezek közé tartoznak a heap max, a használt heap, a CPU terhelése és a szálszám rendszermérőszámai; a szinkronizált és aszinkron szálak mérőszámai; a titkosítási kapcsolatok küszöbértékét, a késleltetést vagy a kérés sor hosszát érintő riasztások mérőszámai; az adatkészlet mérőszámai; és a titkosítási kapcsolat mérőszámai. A csomópontok titkosított kulcs anyagot küldenek egy sávon kívüli (a kérelemtől elkülönülő) csatornán keresztül.

Bejövő forgalom

A hibrid adatbiztonsági szolgáltatás-csomópontok a bejövő forgalom alábbi típusait kapják meg a Webex-felhőből:

Az ügyfelektől érkező, a titkosítási szolgáltatás által irányított titkosítási kérések
A csomópont szoftverének frissítései

Squid-proxyk konfigurálása a hibrid adatbiztonsághoz

A Websocket nem tud tintahal-proxyn keresztül csatlakozni

A HTTPS-forgalmat ellenőrző Squid-proxyk zavarhatják a websocket (wss:) kapcsolatok létrehozását, amelyeket a Hibrid adatbiztonsági szolgáltatás igényel. Ezek a szakaszok útmutatást nyújtanak arról, hogyan konfigurálhatja a Squid különböző verzióit a wss figyelmen kívül hagyásához: a szolgáltatások megfelelő működéséhez szükséges forgalom.

Tintahal 4 és 5

Adja hozzá az on_unsupported_protocol irányelvet a squid.conf fájlhoz:

on_unsupported_protocol az alagút

Tintahal 3.5.27

Sikeresen teszteltük a hibrid adatbiztonságot a következő szabályokkal, amelyek hozzáadva vannak a squid.conf.conf-hez. Ezek a szabályok változhatnak a funkciók fejlesztése és a Webex felhő frissítése során.

acl wssMercuryConnection ssl::server_name_regex Mercury-kapcsolat ssl_bump splice wssMercuryConnection acl step1 at_step SslBump1 acl step2 at_step SslBump2 acl step3 at_step SslBump3 ssl_bump peek step1 all ssl_bump stare step2 all ssl_bump bump step3 all

Új és módosított információk

Ez a táblázat ismerteti az új funkciókat vagy funkciókat, a meglévő tartalom módosításait, valamint a Több-bérlős hibrid adatbiztonsági szolgáltatás üzembehelyezési útmutatójában kijavított főbb hibákat.

Dátum	Módosítások
2025. január 8.	Hozzáadtunk egy megjegyzést a Kezdeti beállítási és telepítési fájlok letöltése részben, amely kimondja, hogy a Beállítás elemre kattintva a Partner Hubban a HDS-kártyán, a telepítési folyamat fontos lépése.
2025. január 7.	Frissült a Virtuális szervezőre vonatkozó követelmények, a Hibrid adatbiztonsági szolgáltatás telepítési feladatfolyama, és a HDS Host OVA telepítése az ESXi 7.0 új követelményének megjelenítéséhez.
2024. december 13.	Először megjelent.

Több-bérlős hibrid adatbiztonsági szolgáltatás inaktiválása

Több-bérlős HDS-deaktiválási feladatfolyamat

Kövesse az alábbi lépéseket a több-bérlős HDS teljes kikapcsolásához.

Mielőtt elkezdené

Ezt a feladatot csak teljes jogú partnerrendszergazda végezheti el.

1	Távolítsa el az összes ügyfelet az összes fürtből, a Bérlői szervezetek eltávolítása részben említettek szerint.
2	Vonja vissza az összes ügyfél CMK-jét, a HDS-ből eltávolított bérlők CMK-jének visszavonása című részben említettek szerint.
3	Távolítsa el az összes csomópontot az összes fürtből, a Csomópont eltávolítása részben említettek szerint.
4	Törölje az összes fürtöt a Partnerközpontból a következő két módszer valamelyikével. Kattintson a törölni kívánt fürtre, majd az áttekintés oldal jobb felső sarkában válassza a Fürt törlése lehetőséget. Az Erőforrások oldalon kattintson a fürt jobb oldalán, és válassza a Fürt eltávolításalehetőséget.
5	Kattintson a Beállítások fülre a hibrid adatbiztonsági szolgáltatás áttekintő oldalán, majd kattintson a HDS inaktiválása gombra a HDS-állapotkártyán.

Első lépések a több-bérlős hibrid adatbiztonsági szolgáltatással

Több-bérlős hibrid adatbiztonsági szolgáltatás áttekintése

A Webex alkalmazás tervezésekor az első naptól kezdve az adatbiztonság volt az elsődleges hangsúly. A biztonság sarokköve a tartalom végpontok közötti titkosítása, amelyet a Key Management Service (KMS) szolgáltatással együttműködő Webex alkalmazás ügyfelei engedélyeznek. A KMS felelős az üzenetek és fájlok dinamikus titkosítására és visszafejtésére használt kriptográfiai kulcsok létrehozásáért és kezeléséért.

Alapértelmezés szerint a Webex alkalmazás összes ügyfele a felhőalapú KMS-ben, a Cisco biztonsági tartományában tárolt dinamikus kulcsokkal kap végpontok közötti titkosítást. A Hybrid Data Security a KMS-T és más, biztonsággal kapcsolatos funkciókat a vállalati adatközpontba helyezi át, így csak Ön rendelkezik a titkosított tartalom kulcsaival.

A több bérlős hibrid adatbiztonsági szolgáltatás lehetővé teszi a szervezetek számára a HDS kihasználását egy megbízható helyi partneren keresztül, aki szolgáltatóként tevékenykedhet, és kezelheti a helyszíni titkosítást és egyéb biztonsági szolgáltatásokat. Ez a beállítás lehetővé teszi a partnerszervezet számára, hogy teljes ellenőrzést gyakoroljon a titkosítási kulcsok telepítése és kezelése felett, valamint biztosítja az ügyfélszervezetek felhasználói adatainak külső hozzáféréstől való biztonságát. A partnerszervezetek szükség szerint HDS-példányokat állíthatnak be, és HDS-fürtöket hozhatnak létre. Minden egyes példány több ügyfélszervezetet is támogathat, ellentétben a rendszeres HDS-telepítéssel, amely egyetlen szervezetre korlátozódik.

Bár a partnerszervezetek felügyelik a telepítést és a kezelést, nem férnek hozzá az ügyfelek által generált adatokhoz és tartalmakhoz. Ez a hozzáférés az ügyfélszervezetekre és azok felhasználóira korlátozódik.

Ez lehetővé teszi a kisebb szervezetek számára, hogy kihasználják a HDS-t, mivel a kulcskezelési szolgáltatás és a biztonsági infrastruktúra, például az adatközpontok a megbízható helyi partner tulajdonában vannak.

Hogyan biztosítja a több-bérlős hibrid adatbiztonság az adatszuverenitást és adatvezérlést?

A felhasználók által létrehozott tartalmak védve vannak a külső hozzáféréstől, például a felhőszolgáltatóktól.
A helyi megbízható partnerek kezelik azoknak az ügyfeleknek a titkosítási kulcsait, akikkel már kialakult kapcsolatuk.
Helyi műszaki támogatási lehetőség, ha azt a partner biztosítja.
Támogatja az értekezleteket, az üzenetküldést és a hívást.

Ez a dokumentum célja, hogy segítse a partnerszervezeteket az ügyfelek létrehozásában és kezelésében egy több-bérlős hibrid adatbiztonsági rendszer keretében.

Szerepkörök a többbérlős hibrid adatbiztonsági szolgáltatásban

Partner teljes jogú rendszergazdája – a partner által kezelt összes ügyfél beállításait kezelheti. A szervezetben már meglévő felhasználókhoz rendszergazdai szerepköröket is hozzárendelhet, és kijelölhet bizonyos ügyfeleket, akiket a partner rendszergazdái kezelhetnek.
Partnerrendszergazda – Kezelheti a rendszergazda által biztosított vagy a felhasználóhoz rendelt ügyfelek beállításait.
Teljes jogú rendszergazda – A partnerszervezet olyan rendszergazdája, aki jogosult olyan feladatok elvégzésére, mint például a szervezeti beállítások módosítása, a licencek kezelése és szerepkörök hozzárendelése.

Végponttól végpontig több-bérlős HDS beállítása és kezelése az összes ügyfélszervezet esetében – Partneri rendszergazdai és teljes körű rendszergazdai jogok szükségesek.
Hozzárendelt bérlő szervezetek kezelése – Partnerrendszergazdai és teljes körű rendszergazdai jogok szükségesek.

Biztonsági tartomány architektúrája

A Webex felhőarchitektúra a különböző típusú szolgáltatásokat külön tartományokra vagy megbízható tartományokra osztja szét, az alábbiakban bemutatottak szerint.

A hibrid adatbiztonság további megértéséhez először tekintsük meg ezt a tiszta felhőalapú esetet, amelyben a Cisco a felhőbirodalmában minden funkciót biztosít. Az identitásszolgáltatás, az egyetlen hely, ahol a felhasználók közvetlenül korrelálhatók személyes adataikkal, például az e-mail-címükkel, logikusan és fizikailag elkülönül a B adatközpont biztonsági tartományától. Mindkettő viszont elkülönül attól a tartománytól, ahol a titkosított tartalmat végül tárolják, a C adatközpontban.

Ezen az ábrán az ügyfél a felhasználó laptopján futó Webex alkalmazás, és az azonosítási szolgáltatással van hitelesítve. Amikor a felhasználó egy szobába küldendő üzenetet állít össze, a következő lépések történnek:

Az ügyfél biztonságos kapcsolatot létesít a kulcskezelési szolgáltatással (KMS), majd egy kulcsot kér az üzenet titkosításához. A biztonságos kapcsolat ECDH-t használ, a KMS pedig AES-256 mesterkulccsal titkosítja a kulcsot.
Az üzenet titkosítva van, mielőtt elhagyja a klienst. Az ügyfél elküldi azt az indexelő szolgáltatásnak, amely titkosított keresési indexeket hoz létre, hogy segítse a jövőbeli tartalmi kereséseket.
A titkosított üzenetet a rendszer elküldi a megfelelőségi szolgáltatásnak megfelelőségi ellenőrzésre.
A titkosított üzenet a tárhely tartományában tárolódik.

A hibrid adatbiztonsági szolgáltatás telepítésekor a biztonsági tartomány funkcióit (KMS, indexelés és megfelelőség) áthelyezi a helyszíni adatközpontba. A Webexet alkotó egyéb felhőszolgáltatások (beleértve az identitást és a tartalomtárolást) a Cisco birodalmában maradnak.

Együttműködés más szervezetekkel

A szervezetéhez tartozó felhasználók rendszeresen használhatják a Webex alkalmazást, hogy együttműködjenek más szervezetek külső résztvevőivel. Amikor az egyik felhasználó kulcsot kér egy olyan szobához, amely az Ön szervezetének tulajdona (mivel azt az egyik felhasználó hozta létre), a KMS egy ECDH-biztonságos csatornán keresztül elküldi a kulcsot az ügyfélnek. Ha azonban egy másik szervezet tulajdonában van a szoba kulcsa, a KMS egy külön ECDH-csatornán keresztül továbbítja a kérést a Webex felhőbe, hogy megkapja a kulcsot a megfelelő KMS-ből, majd visszaküldi a kulcsot a felhasználónak az eredeti csatornán.

Az „A” szervezeten futó KMS-szolgáltatás x.509 PKI-tanúsítványok használatával ellenőrzi a más szervezetek KMS-eihez való kapcsolatokat. A több-bérlős hibrid adatbiztonsági szolgáltatás telepítéséhez használandó x.509-tanúsítvány létrehozásával kapcsolatos részletekért lásd: Környezet előkészítése .

Elvárások a hibrid adatbiztonsági szolgáltatás telepítésével kapcsolatban

A hibrid adatbiztonsági szolgáltatás telepítéséhez jelentős elkötelezettségre és a titkosítási kulcsok tulajdonosi kockázataira van szükség.

A hibrid adatbiztonsági szolgáltatás telepítéséhez meg kell adnia a következőket:

Biztonságos adatközpont egy olyan országban, amely a Cisco Webex Teams-csomagok támogatott helyszíne.
A Környezet előkészítése részben leírt berendezések, szoftverek és hálózati hozzáférés.

A hibrid adatbiztonsági szolgáltatáshoz létrehozott konfigurációs ISO vagy az Ön által megadott adatbázis teljes elvesztése a kulcsok elvesztését eredményezi. A kulcsvesztés megakadályozza, hogy a felhasználók visszafejtsék a tárhelytartalmakat és egyéb titkosított adatokat a Webex alkalmazásban. Ha ez megtörténik, új telepítést hozhat létre, de csak az új tartalom lesz látható. Az adatokhoz való hozzáférés elvesztésének elkerülése érdekében:

Kezelje az adatbázis és a konfiguráció ISO biztonsági mentését és helyreállítását.
Készüljön fel a gyors katasztrófa-helyreállításra, ha katasztrófa történik, mint például az adatbázis lemezhibája vagy az adatközpont-katasztrófa.

HDS-telepítés után nincs mechanizmus a kulcsok felhőbe való visszahelyezésére.

Magas szintű beállítási folyamat

Ez a dokumentum egy több-bérlős hibrid adatbiztonsági szolgáltatás telepítésének beállításával és kezelésével foglalkozik:

Hibrid adatbiztonsági szolgáltatás beállítása – Ez magában foglalja a szükséges infrastruktúra előkészítését és a hibrid adatbiztonsági szolgáltatás szoftverének telepítését, egy HDS-fürt létrehozását, bérlői szervezetek hozzáadását a fürthöz, valamint az ügyfél fő kulcsainak (CMK-k) kezelését. Ez lehetővé teszi az ügyfélszervezetek minden felhasználója számára, hogy a hibrid adatbiztonsági szolgáltatás-fürtöt használja a biztonsági funkciókhoz.

A beállítási, aktiválási és kezelési szakaszt a következő három fejezet részletesen ismerteti.
A hibrid adatbiztonsági szolgáltatás telepítésének fenntartása – A Webex felhő automatikusan folyamatos frissítéseket biztosít. Az Ön informatikai osztálya első szintű támogatást nyújthat ehhez a telepítéshez, és szükség szerint bevonhatja a Cisco-támogatást. A Partner Hubban használhatja a képernyőn megjelenő értesítéseket, és beállíthat e-mail-alapú riasztásokat.
A gyakori riasztások, hibaelhárítási lépések és ismert problémák megértése – Ha problémába ütközik a hibrid adatbiztonsági szolgáltatás telepítése vagy használata során, az útmutató utolsó fejezete és az Ismert problémák függelék segíthet a probléma meghatározásában és megoldásában.

Hibrid adatbiztonsági szolgáltatás telepítési modellje

A vállalati adatközponton belül a hibrid adatbiztonsági szolgáltatást egyetlen csomópontfürtként telepíti különálló virtuális szervezőkre. A csomópontok biztonságos websocket-eken és biztonságos HTTP-n keresztül kommunikálnak a Webex Clouddal.

A telepítési folyamat során az OVA fájlt biztosítjuk Önnek a virtuális készülékek beállításához az Ön által biztosított VM-eken. A HDS telepítőeszköz segítségével egyéni fürtkonfigurációs ISO-fájlt hozhat létre, amelyet minden csomópontra rögzíthet. A hibrid adatbiztonsági szolgáltatás-fürt a megadott Syslogd-kiszolgálót és PostgreSQL vagy Microsoft SQL Server adatbázist használja. (A Syslogd és az adatbázis-kapcsolat részleteit a HDS telepítőeszközben konfigurálhatja.)

Hibrid adatbiztonsági szolgáltatás telepítési modellje

Egy fürtben minimálisan elérhető csomópontok száma kettő. Fürtönként legalább hármat ajánlunk. A több csomópont biztosítja, hogy a szolgáltatás ne szakadjon meg egy csomóponton végzett szoftverfrissítés vagy egyéb karbantartási tevékenység során. (A Webex-felhő egyszerre csak egy csomópontot frissít.)

A fürtben lévő összes csomópont ugyanahhoz a kulcsadatkészlethez és ugyanahhoz a syslog szerverhez fér hozzá a naplótevékenységhez. Maguk a csomópontok státustalanok, és a kulcskéréseket kerek-robin módon kezelik, a felhő utasításai szerint.

A csomópontok aktiválódnak, amikor regisztrálja őket a Partner Hubban. Ha egy egyedi csomópontot ki szeretne zárni a szolgáltatásból, törölheti a regisztrációját, majd szükség esetén később újra regisztrálhatja.

Készenléti adatközpont a katasztrófa-helyreállításhoz

A telepítés során biztonságos készenléti adatközpontot állít be. Adatközpont-katasztrófa esetén manuálisan meghiúsulhat a telepítés a készenléti adatközpontba.

Az aktív és készenléti adatközpontok adatbázisai szinkronizálva vannak egymással, ami minimalizálja a feladatátvétel elvégzéséhez szükséges időt.

Az aktív hibrid adatbiztonsági szolgáltatás-csomópontoknak mindig ugyanabban az adatközpontban kell lenniük, mint az aktív adatbázis-kiszolgálónak.

Proxy támogatás

A Hibrid adatbiztonság támogatja az explicit, átlátható ellenőrzést és a nem ellenőrző proxykat. Ezeket a proxykat az üzembe helyezéshez kötheti, így biztonságossá teheti és figyelheti a vállalattól a felhőig irányuló forgalmat. A tanúsítványkezeléshez platformfelügyeleti felületet használhat a csomópontokon, és ellenőrizheti a kapcsolat általános állapotát, miután beállította a proxyt a csomópontokon.

A hibrid adatbiztonsági csomópontok a következő proxybeállításokat támogatják:

Nincs proxy – Az alapértelmezett, ha nem használja a Megbízhatósági tároló és proxy konfigurációt a HDS-csomópont beállításához a proxy integrálásához. Nincs szükség tanúsítványfrissítésre.
Átlátszó, nem ellenőrző proxy – A csomópontok nincsenek konfigurálva meghatározott proxykiszolgáló-cím használatára, és nem igényelhetnek módosításokat ahhoz, hogy a nem ellenőrző proxyval működjenek. Nincs szükség tanúsítványfrissítésre.
Átlátszó alagútépítés vagy ellenőrzés proxy – A csomópontok nincsenek konfigurálva konkrét proxykiszolgáló-cím használatára. A csomópontokon nincs szükség HTTP- vagy HTTPS-konfigurációs módosításokra. A csomópontoknak azonban főtanúsítványra van szükségük, hogy megbízzanak a proxyban. A proxyk ellenőrzését az IT általában arra használja, hogy betartassa azokat az irányelveket, amelyeken a webhelyek látogathatók, és milyen típusú tartalom nem engedélyezett. Ez a fajta proxy visszafejti az összes forgalmat (még HTTPS-t is).
Explicit proxy – Az explicit proxy segítségével megmondja a HDS-csomópontoknak, hogy melyik proxykiszolgálót és hitelesítési sémát kell használni. Explicit proxy konfigurálásához minden csomóponton a következő adatokat kell megadnia:
1. Proxy IP/FQDN – a proxygép elérésére használható cím.
2. Proxyport – Olyan portszám, amelyet a proxy a lekerekített forgalom figyelésére használ.
3. Proxyprotokoll – Attól függően, hogy a proxykiszolgáló mit támogat, válasszon a következő protokollok közül:
  - HTTP – Az ügyfél által küldött összes kérés megtekintése és ellenőrzése.
  - HTTPS – Csatornát biztosít a kiszolgálónak. Az ügyfél megkapja és ellenőrzi a kiszolgáló tanúsítványát.
4. Hitelesítési típus – Válasszon a következő hitelesítési típusok közül:
  - Nincs – Nincs szükség további hitelesítésre.
    
    Akkor érhető el, ha a HTTP-t vagy a HTTPS-t választja proxyprotokollként.
  - Alapszintű – HTTP-felhasználói ügynökként használatos a felhasználónév és jelszó megadására kéréskor. Base64 kódolást használ.
    
    Akkor érhető el, ha a HTTP-t vagy a HTTPS-t választja proxyprotokollként.
    
    Meg kell adnia a felhasználónevet és a jelszót az egyes csomópontokon.
  - Kivonás – A fiók megerősítésére szolgál, mielőtt érzékeny információkat küldene be. Kivonatfüggvényt alkalmaz a felhasználónévre és a jelszóra, mielőtt elküldené a hálózaton keresztül.
    
    Csak akkor érhető el, ha a HTTPS-t választja proxyprotokollként.
    
    Meg kell adnia a felhasználónevet és a jelszót az egyes csomópontokon.

Példa hibrid adatbiztonsági csomópontokra és proxykra

Ez a diagram egy példakapcsolatot mutat be a hibrid adatbiztonság, a hálózat és a proxy között. Az átlátható ellenőrzési és HTTPS-explicit ellenőrző proxybeállításokhoz ugyanazt a főtanúsítványt kell telepíteni a proxyra és a hibrid adatbiztonsági csomópontokra.

Blokkolt külső DNS-feloldási mód (explicit proxykonfigurációk)

Amikor regisztrál egy csomópontot, vagy ellenőrzi a csomópont proxykonfigurációját, a folyamat teszteli a DNS-ellenőrzést és a Cisco Webex felhővel való kapcsolatot. Az explicit proxykonfigurációkkal rendelkező központi telepítések esetében, amelyek nem teszik lehetővé a külső DNS-feloldást a belső ügyfelek számára, ha a csomópont nem tudja lekérdezni a DNS-kiszolgálókat, automatikusan blokkolt külső DNS-feloldási módba lép. Ebben az üzemmódban folytatódhat a csomópont-regisztráció és más proxykapcsolati tesztek.

Készítse elő környezetét

A több-bérlős hibrid adatbiztonságra vonatkozó követelmények

Cisco Webex licenckövetelmények

A több-bérlős hibrid adatbiztonsági szolgáltatás telepítéséhez:

Partnerszervezetek: Forduljon Cisco-partneréhez vagy fiókkezelőjéhez, és bizonyosodjon meg arról, hogy engedélyezve van a több-bérlős funkció.
Bérlői szervezetek: Rendelkeznie kell a Cisco Webex Control Hub Pro Packkel. (Lásd: https://www.cisco.com/go/pro-pack.)

Docker asztali követelmények

A HDS-csomópontok telepítése előtt a telepítőprogram futtatásához a Docker Desktop alkalmazásra van szükség. A Docker nemrég frissítette licencelési modelljét. Előfordulhat, hogy szervezetének fizetős előfizetést kell igényelnie a Docker Desktophoz. További részletekért lásd a Docker blogbejegyzést, "A Docker frissíti és bővíti termékelőfizetéseinket".

X.509 tanúsítványkövetelmények

A tanúsítványláncnak az alábbi követelményeknek kell megfelelnie:

1. táblázat X.509 Tanúsítványkövetelmények a hibrid adatbiztonsági szolgáltatás telepítéséhez
Követelmény	részletei
Megbízható hitelesítésszolgáltató (CA) által aláírt	Alapértelmezés szerint megbízunk a Mozilla listában szereplő hitelesítésszolgáltatókban (a WoSign és a StartCom kivételével) a következő címen: https://wiki.mozilla.org/CA:IncludedCAs.
Közös név (CN) tartománynévvel rendelkezik, amely azonosítja a hibrid adatbiztonsági szolgáltatás telepítését Nem helyettesítő kód tanúsítvány	A CN-nek nem kell elérhetőnek vagy élő szervezőnek lennie. Javasoljuk, hogy olyan nevet használjon, amely tükrözi a szervezetét, például `hds.company.com`. A CN nem tartalmazhat * karaktert (helyettesítő karaktert). A CN-t a Webex alkalmazás ügyfeleihez tartozó hibrid adatbiztonsági szolgáltatás-csomópontok ellenőrzésére használják. A fürtben lévő összes hibrid adatbiztonsági szolgáltatás-csomópont ugyanazt a tanúsítványt használja. A KMS a CN tartomány használatával azonosítja magát, nem az x.509v3 SAN mezőkben definiált tartományt. Miután regisztrált egy csomópontot ezzel a tanúsítvánnyal, nem támogatjuk a CN-tartomány nevének megváltoztatását.
Nem SHA1-aláírás	A KMS szoftver nem támogatja az SHA1-aláírásokat a más szervezetek KMS-jeihez való kapcsolatok érvényesítéséhez.
Jelszóval védett PKCS #12 fájlként formázva A tanúsítvány, a titkos kulcs és a feltölteni kívánt közbenső tanúsítványok címkézéséhez használja a `kms-private-key` felhasználóbarát nevét.	A tanúsítvány formátumának megváltoztatásához használjon konvertálót, például OpenSSL-t. A HDS telepítőeszköz futtatásakor meg kell adnia a jelszót.

A KMS szoftver nem kényszeríti ki a kulcshasználatot vagy a kiterjesztett kulcshasználati korlátozásokat. Egyes hitelesítésszolgáltatók megkövetelik, hogy kiterjesztett kulcshasználati korlátozásokat alkalmazzanak minden tanúsítványra, például a kiszolgáló hitelesítésére. Megfelelő a kiszolgálóhitelesítés vagy egyéb beállítások használata.

Virtuális szervezőre vonatkozó követelmények

A fürtben hibrid adatbiztonsági szolgáltatás-csomópontként beállított virtuális szervezőkre a következő követelmények vonatkoznak:

Legalább két különálló szervező (3 ajánlott) ugyanabban a biztonságos adatközpontban van elhelyezve
A VMware ESXi 7.0 (vagy későbbi) verzió telepítve és fut.

Frissítenie kell, ha az ESXi egy korábbi verziójával rendelkezik.
Legalább 4 vCPU, 8 GB fő memória, 30 GB helyi merevlemez kiszolgálónként

Adatbázis-kiszolgáló követelmények

Hozzon létre egy új adatbázist a kulcstároláshoz. Ne használja az alapértelmezett adatbázist. A HDS alkalmazások telepítésekor létrehozzák az adatbázis-sémát.

Az adatbázis-kiszolgálónak két lehetősége van. Az egyes követelményekre vonatkozó követelmények a következők:

2. táblázat Adatbázis-kiszolgáló követelmények az adatbázis típusa szerint
PostgreSQL csevegés	Microsoft SQL kiszolgáló
A PostgreSQL 14, 15 vagy 16 telepítve és fut.	Az SQL Server 2016, 2017 vagy 2019 (Enterprise vagy Standard) telepítve van. Az SQL Server 2016 használatához 2. szervizcsomag és 2. vagy újabb kumulatív frissítés szükséges.
Legalább 8 vCPU, 16 GB fő memória, elegendő tárhely a merevlemezen és figyelés, hogy ne lépje túl (2 TB ajánlott, ha hosszú ideig szeretné futtatni az adatbázist a tárhely növelése nélkül)	Legalább 8 vCPU, 16 GB fő memória, elegendő tárhely a merevlemezen és figyelés, hogy ne lépje túl (2 TB ajánlott, ha hosszú ideig szeretné futtatni az adatbázist a tárhely növelése nélkül)

A HDS szoftver jelenleg a következő illesztőprogramokat telepíti az adatbázis-kiszolgálóval való kommunikációhoz:

PostgreSQL csevegés	Microsoft SQL kiszolgáló
Postgres JDBC illesztőprogram 42.2.5	SQL Server JDBC illesztőprogram 4.6 Ez az illesztőprogram-verzió támogatja az SQL Server Always On ( Always On Failover Cluster Instances és Always On Availability Groups) szolgáltatást.

PostgreSQL csevegés

Microsoft SQL kiszolgáló

Postgres JDBC illesztőprogram 42.2.5

SQL Server JDBC illesztőprogram 4.6

Ez az illesztőprogram-verzió támogatja az SQL Server Always On ( Always On Failover Cluster Instances és Always On Availability Groups) szolgáltatást.

A Microsoft SQL Server elleni Windows-hitelesítés további követelményei

Ha azt szeretné, hogy a HDS csomópontok Windows hitelesítést használjanak, hogy hozzáférjenek a Microsoft SQL Server kulcstári adatbázisához, akkor a következő konfigurációra van szükség a környezetben:

A HDS csomópontokat, az Active Directory infrastruktúrát és az MS SQL Server-t mind szinkronizálni kell az NTP-vel.
A HDS-csomópontok számára megadott Windows-fióknak olvasási/írási hozzáféréssel kell rendelkeznie az adatbázishoz.
A HDS-csomópontokhoz megadott DNS-kiszolgálóknak képesnek kell lenniük a kulcselosztó központ (KDC) feloldására.
A HDS adatbázis-példányát a Microsoft SQL Server kiszolgálón a szolgáltatás fő neveként (SPN) regisztrálhatja az Active Directoryban. Lásd: Szolgáltatás fő nevének regisztrálása Kerberos-kapcsolatokhoz.

A HDS telepítőeszköznek, a HDS indítónak és a helyi KMS-nek mind Windows-hitelesítést kell használnia a keystore adatbázishoz való hozzáféréshez. Az ISO-konfiguráció részleteit használják az SPN megépítéséhez, amikor Kerberos hitelesítéssel kívánnak hozzáférni.

Külső kapcsolódási követelmények

Konfigurálja úgy a tűzfalát, hogy engedélyezze a következő csatlakozást a HDS-alkalmazásokhoz:

Alkalmazás	Protokoll	Port	Irány az alkalmazásból	Cél
Hibrid adatbiztonsági szolgáltatás-csomópontok	TCP	443	Kimenő HTTPS és WSS	Webex-kiszolgálók: .wbx2.com .ciscospark.com Minden Common Identity-szervező A hibrid adatbiztonságra vonatkozóan felsorolt egyéb URL-címek a Webex hibrid szolgáltatásokhoz további URL-címekWebex-szolgáltatások hálózati követelményei táblázatban
HDS-beállító eszköz	TCP	443	Kimenő HTTPS	*.wbx2.com Minden Common Identity-szervező hub.docker.com

A hibrid adatbiztonsági szolgáltatás-csomópontok hálózati hozzáférési fordítással (NAT) vagy tűzfal mögött működnek, amennyiben a NAT vagy a tűzfal lehetővé teszi a szükséges kimenő kapcsolatokat az előző táblázatban szereplő tartománycélhelyekhez. A hibrid adatbiztonsági szolgáltatás-csomópontokra bejövő kapcsolatok esetében nem szabad, hogy a portok látszódjanak az internetről. Az adatközponton belül az ügyfeleknek adminisztratív okokból hozzá kell férniük a hibrid adatbiztonsági szolgáltatás-csomópontokhoz a 443-as és 22-es TCP-portokon.

A Common Identity (CI) gazdagépek URL-címe régiónkénti. Ezek a jelenlegi CI-szervezők:

Régió	Common Identity Host URL-címek
Amerika	https://idbroker.webex.com https://identity.webex.com https://idbroker-b-us.webex.com https://identity-b-us.webex.com
Európai Unió	https://idbroker-eu.webex.com https://identity-eu.webex.com
Kanada	https://idbroker-ca.webex.com https://identity-ca.webex.com
Szingapúr	https://idbroker-sg.webex.com https://identity-sg.webex.com
Egyesült Arab Emírségek	https://idbroker-ae.webex.com https://identity-ae.webex.com

Proxykiszolgálói követelmények

Hivatalosan is támogatjuk a következő proxy megoldásokat, amelyek integrálhatók a hibrid adatbiztonsági csomópontjaival.
- Átlátszó proxy – Cisco Web Security Appliance (WSA).
- Explicit proxy – tintahal.
  
  A HTTPS-forgalmat ellenőrző Squid-proxyk zavarhatják a websocket (wss:) kapcsolatok létrehozását. A probléma megoldásához lásd: Squid-proxyk konfigurálása hibrid adatbiztonsághoz.
Az explicit proxyk esetében a következő hitelesítési típuskombinációkat támogatjuk:
- Nincs hitelesítés HTTP-vel vagy HTTPS-rel
- Alapszintű hitelesítés HTTP-vel vagy HTTPS-rel
- Hitelesítés megemésztése csak HTTPS-rel
Átlátszó ellenőrző proxyhoz vagy HTTPS explicit proxyhoz rendelkeznie kell a proxy főtanúsítványának másolatával. Az útmutató üzembe helyezési utasításaiból az útmutató ismerteti, hogyan töltheti fel a másolatot a hibrid adatbiztonsági csomópontok megbízhatósági tárolóiba.
A HDS-csomópontokat üzemeltető hálózatot úgy kell konfigurálni, hogy a 443-as port kimenő TCP-forgalmát kényszerítse a proxyn való áthaladásra.
A webes forgalmat ellenőrző proxyk zavarhatják a webfoglalat-kapcsolatokat. Ha ez a probléma bekövetkezik, a forgalom megkerülése (nem ellenőrzése) wbx2.com és ciscospark.com megoldja a problémát.

A hibrid adatbiztonság előfeltételeinek teljesítése

Ezzel az ellenőrzőlistával győződjön meg arról, hogy készen áll a hibrid adatbiztonsági szolgáltatás-fürt telepítésére és konfigurálására.

1	Győződjön meg arról, hogy partnerszervezete engedélyezte a Több-bérlős HDS funkciót, és kérje le egy teljes körű partnerrendszergazdai jogosultsággal és teljes körű rendszergazdai jogosultsággal rendelkező fiók hitelesítő adatait. Győződjön meg arról, hogy Webex-ügyfélszervezete engedélyezve van a Cisco Webex Control Hub Pro Pack csomagja. A folyamattal kapcsolatos segítségért forduljon Cisco-partneréhez vagy fiókkezelőjéhez. Az ügyfélszervezetek nem rendelkezhetnek meglévő HDS-telepítéssel.
2	Válasszon ki egy tartománynevet a HDS telepítéséhez (például `hds.company.com`), és szerezzen be egy X.509 tanúsítványt, titkos kulcsot és bármely közbenső tanúsítványt tartalmazó tanúsítványláncot. A tanúsítványláncnak meg kell felelnie az X.509 tanúsítványkövetelmények előírásainak.
3	Készítse elő azokat az azonos virtuális szervezőket, akiket hibrid adatbiztonsági szolgáltatás-csomópontként fog beállítani a fürtben. Legalább két különálló szervezőre (3 ajánlott) van szükség ugyanabban a biztonságos adatközpontban, amelyek megfelelnek a Virtuális szervező követelményei pontban foglalt követelményeknek.
4	Készítse elő az adatbázis-kiszolgálót, amely a fürt kulcsadattáraként fog működni, az Adatbázis-kiszolgáló követelményei szerint. Az adatbázis-kiszolgálót a biztonságos adatközpontban kell elhelyezni a virtuális gazdagépekkel. Hozzon létre egy adatbázist a kulcstároláshoz. (Létre kell hoznia ezt az adatbázist – ne használja az alapértelmezett adatbázist. A HDS alkalmazások telepítésekor létrehozzák az adatbázis sémát.) Gyűjtse össze azokat a részleteket, amelyeket a csomópontok az adatbázis-kiszolgálóval való kommunikációhoz használnak: a gazdagép neve vagy IP-címe (gazdagép) és a port az adatbázis neve (dbname) a kulcstároláshoz a kulcstárolási adatbázis összes jogosultságával rendelkező felhasználó felhasználóneve és jelszava
5	A gyors katasztrófa-helyreállításhoz állítson be biztonsági mentési környezetet egy másik adatközpontban. A biztonsági mentési környezet a VM-ek és a biztonsági mentési adatbázis szerver termelési környezetét tükrözi. Ha például a gyártásnak 3 HDS csomópontot futtató VM-je van, a biztonsági mentési környezetnek 3 VM-je van.
6	Állítson be egy syslog-állomást a fürt csomópontjairól érkező naplók összegyűjtésére. A hálózati cím és a syslog port összegyűjtése (alapértelmezés: UDP 514).
7	Hozzon létre biztonságos biztonsági mentési szabályzatot a hibrid adatbiztonsági szolgáltatás-csomópontokhoz, az adatbázis-kiszolgálóhoz és a syslog-állomáshoz. A visszafordíthatatlan adatvesztés elkerülése érdekében legalább biztonsági másolatot kell készítenie az adatbázist és a hibrid adatbiztonsági szolgáltatás csomópontokhoz generált konfigurációs ISO-fájlt. Mivel a hibrid adatbiztonsági csomópontok tárolják a tartalom titkosításához és visszafejtéséhez használt kulcsokat, a működőképes telepítés karbantartásának elmulasztása a tartalom VISSZAFORDÍTHATATLAN ELVESZTÉSÉT eredményezi. A Webex alkalmazás ügyfelei gyorsítják a kulcsaikat, így előfordulhat, hogy a kimaradás nem lesz azonnal észrevehető, de idővel nyilvánvalóvá válik. Míg az ideiglenes kimaradást lehetetlen megelőzni, azok visszafordíthatóak. Az adatbázis vagy konfigurációs ISO fájl teljes elvesztése (nincs elérhető biztonsági mentés) azonban visszafordíthatatlan ügyféladatokat eredményez. A hibrid adatbiztonsági szolgáltatás-csomópontok üzemeltetői várhatóan gyakori biztonsági másolatot készítenek az adatbázisról és a konfigurációs ISO-fájlról, és készen állnak a hibrid adatbiztonsági szolgáltatás-adatközpont újbóli felépítésére, ha katasztrofális hiba lép fel.
8	Győződjön meg arról, hogy a tűzfalkonfiguráció engedélyezi a csatlakozást a hibrid adatbiztonsági szolgáltatás-csomópontok számára, a Külső kapcsolódási követelmények pontban leírtak szerint.
9	Telepítse a Docker-t ( https://www.docker.com) bármely támogatott operációs rendszert futtató helyi gépre (Microsoft Windows 10 Professional vagy Enterprise 64 bites vagy Mac OSX Yosemite 10.10.3 vagy újabb) olyan webböngészővel, amely a következő címen tud hozzáférni: http://127.0.0.1:8080. A Docker-példány segítségével letöltheti és futtathatja a HDS telepítőeszközt, amely az összes hibrid adatbiztonsági szolgáltatás-csomópont helyi konfigurációs információit összeállítja. Lehet, hogy Docker asztali licencre van szüksége. További információkért lásd: Docker asztali követelmények . A HDS-telepítőeszköz telepítéséhez és futtatásához a helyi gépnek rendelkeznie kell a kapcsolattal a Külső kapcsolódási követelmények pontban leírtak szerint.
10	Ha egy proxyt a hibrid adatbiztonsággal integrál, győződjön meg arról, hogy az megfelel a proxykiszolgáló követelményeinek.

Hibrid adatbiztonsági szolgáltatás-fürt beállítása

Hibrid adatbiztonsági szolgáltatás telepítési feladatfolyama

Mielőtt elkezdené

1	Kezdeti beállítási és telepítési fájlok letöltése Töltse le az OVA-fájlt a helyi gépre későbbi használatra.
2	Konfigurációs ISO létrehozása a HDS szervezők számára A HDS-telepítőeszköz segítségével ISO-konfigurációs fájlt hozhat létre a hibrid adatbiztonsági szolgáltatás-csomópontokhoz.
3	A HDS Host OVA telepítése Hozzon létre virtuális gépet az OVA fájlból, és végezze el a kezdeti konfigurációkat, például a hálózati beállításokat. Az OVA telepítése során a hálózati beállítások konfigurálásának lehetőségét teszteltük az ESXi 7.0 verzióval. Előfordulhat, hogy a beállítás a korábbi verziókban nem érhető el.
4	Hibrid adatbiztonsági szolgáltatás (VM) beállítása Jelentkezzen be a VM-konzolba, és állítsa be a bejelentkezési hitelesítő adatokat. Konfigurálja a csomópont hálózati beállításait, ha az OVA telepítésekor nem konfigurálta azokat.
5	A HDS-konfigurációs ISO feltöltése és csatlakoztatása Konfigurálja a VM-et a HDS telepítőeszközzel létrehozott ISO konfigurációs fájlból.
6	A HDS-csomópont konfigurálása proxyintegrációhoz Ha a hálózati környezet proxykonfigurációt igényel, adja meg a csomóponthoz használni kívánt proxy típusát, és szükség esetén adja hozzá a proxytanúsítványt a megbízhatósági tárolóhoz.
7	A fürtben lévő első csomópont regisztrálása Regisztrálja a VM-et a Cisco Webex felhővel hibrid adatbiztonsági szolgáltatás-csomópontként.
8	További csomópontok létrehozása és regisztrálása Fejezze be a fürt beállítását.
9	Aktiválja a több-bérlős HDS-t a Partnerközpontban. Aktiválja a HDS-t és kezelje a bérlői szervezeteket a Partner Hubban.

Kezdeti beállítási és telepítési fájlok letöltése

Ebben a feladatban letölt egy OVA-fájlt a számítógépére (nem a hibrid adatbiztonsági szolgáltatás-csomópontokként beállított kiszolgálókra). Ezt a fájlt később a telepítési folyamat során használhatja.

1	Jelentkezzen be a Partnerközpontba, majd kattintson a Szolgáltatások lehetőségre.
2	A Felhőszolgáltatások részben keresse meg a hibrid adatbiztonsági kártyát, majd kattintson a Beállítás gombra. A Partner Hubban a Beállítás gombra kattintva kulcsfontosságú a telepítési folyamat szempontjából. Ne folytassa a telepítést ennek a lépésnek a befejezése nélkül.
3	Kattintson az Erőforrás hozzáadása lehetőségre, majd a Szoftver telepítése és konfigurálása kártyán kattintson a .OVA-fájl letöltése gombra. A szoftvercsomag (OVA) régebbi verziói nem lesznek kompatibilisek a hibrid adatbiztonsági szolgáltatás legújabb frissítéseivel. Ez problémákat okozhat az alkalmazás verziófrissítése során. Ügyeljen arra, hogy az OVA-fájl legújabb verzióját töltse le. Az OVA-t bármikor letöltheti a Súgó részből. Kattintson a Beállítások > Súgó > Hibrid adatbiztonsági szolgáltatás letöltése lehetőségre. Az OVA-fájl letöltése automatikusan elkezdődik. Mentse a fájlt a gépén lévő helyre.
4	Opcionálisan kattintson a Hibrid adatbiztonsági szolgáltatás telepítési útmutatójának megtekintése opcióra annak ellenőrzéséhez, hogy rendelkezésre áll-e ennek az útmutatónak egy későbbi verziója.

Konfigurációs ISO létrehozása a HDS szervezők számára

A hibrid adatbiztonsági szolgáltatás beállítási folyamata ISO-fájlt hoz létre. Ezután az ISO-t használja a hibrid adatbiztonsági szolgáltatás-szervező konfigurálásához.

Mielőtt elkezdené

A HDS Setup eszköz Docker konténerként fut egy helyi gépen. Ha hozzá akarsz férni, futtasd a Dockert azon a gépen. A beállítási folyamat megköveteli a teljes rendszergazdai jogosultságokkal rendelkező Partner Hub-fiók hitelesítő adatait.

Ha a HDS-beállító eszköz a környezetében lévő proxy mögött fut, adja meg a proxybeállításokat (kiszolgáló, port, hitelesítő adatokat) a Dokkolókörnyezeti változókon keresztül a Dokkolótároló alábbi 5 . lépésben. Ez a táblázat néhány lehetséges környezeti változót tartalmaz:

Leírás	Változó
Http-proxy hitelesítés nélkül	`GLOBÁLIS_ÜGYNÖK_HTTP_PROXY=HTTP://KISZOLGÁLÓ_IP:PORT`
HTTPS-proxy hitelesítés nélkül	`GLOBÁLIS_ÜGYNÖK_HTTPS_PROXY=http://KISZOLGÁLÓ_IP:PORT`
Http-proxy hitelesítéssel	`GLOBÁLIS_ÜGYNÖK_HTTP_PROXY=http://felhasználónév:jelszó@kiszolgáló_IP:PORT`
HTTPS-proxy hitelesítéssel	`GLOBÁLIS_ÜGYNÖK_HTTPS_PROXY=http://felhasználónév:jelszó@kiszolgáló_IP:PORT`

A létrehozott konfigurációs ISO fájl tartalmazza a PostgreSQL vagy Microsoft SQL Server adatbázist titkosító mesterkulcsot. Szükség van a fájl legutóbbi másolatára, amikor konfigurációs módosításokat hajt végre, mint például:
- Adatbázis hitelesítő adatai
- Tanúsítványfrissítések
- Az engedélyezési szabályzat változásai
Ha adatbázis-kapcsolatokat szeretne titkosítani, állítsa be a PostgreSQL vagy SQL Server telepítés TLS-hez.

1

A gép parancssorában adja meg a környezetének megfelelő parancsot:

Rendszeres környezetben:

docker rmi ciscocitg/hds-setup:stabil

FedRAMP környezetben:

docker rmi ciscocitg/hds-setup-fedramp:stabil

Ezzel a lépéssel törölhetők a HDS telepítőeszköz korábbi képei. Ha nincsenek korábbi képek, akkor olyan hibát ad vissza, amelyet figyelmen kívül hagyhat.

2

A Docker-képtárba való bejelentkezéshez írja be a következőket:

dokkoló bejelentkezés -u hdscustomersro

3

A jelszókéréskor írja be ezt a hash-t:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

4

Töltse le a legfrissebb stabil képet a környezetéről:

Rendszeres környezetben:

dokkoló húzás ciscocitg/hds-setup:stabil

FedRAMP környezetben:

dokkoló húzás ciscocitg/hds-setup-fedramp:stabil

5

Amikor a húzás befejeződött, adja meg a környezetének megfelelő parancsot:

Rendszeres környezetben, proxy nélkül:

dokkoló futtatása -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

Http proxyval rendelkező normál környezetben:

docker run -p 8080:8080 --rm -it-e GLOBAL_AGENT_HTTP_PROXY=http://SERVER IP:PORT_ ciscocitg/hds-setup:stable

Normál környezetben HTTPS proxyval:

docker run -p 8080:8080 --rm -it-e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER IP:PORT_ ciscocitg/hds-setup:stable

FedRAMP környezetben, proxy nélkül:

dokkoló futtatása -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

Http proxyval rendelkező FedRAMP környezetben:

docker run -p 8080:8080 --rm -it-e GLOBAL_AGENT_HTTP_PROXY=http://SERVER IP:PORT_ ciscocitg/hds-setup-fedramp:stable

FedRAMP környezetben https proxyval:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER IP:PORT_ ciscocitg/hds-setup-fedramp:stable

Amikor a konténer fut, az "Express szerver figyeli a 8080-as portot."

6

A beállítóeszköz nem támogatja a localhost-hoz való csatlakozást a http://localhost:8080-on keresztül. A(z) http://127.0.0.1:8080 használatával kapcsolódhat a localhost-hoz.

Webböngészővel lépjen a(z) http://127.0.0.1:8080 helyszínállomásra, majd adja meg a rendszergazda felhasználónevét a Partner Hubhoz a kérésben.

Az eszköz a felhasználónév első bejegyzésével állítja be a fiókhoz tartozó megfelelő környezetet. Az eszköz ezután megjeleníti a normál bejelentkezési üzenetet.

7

Amikor a rendszer kéri, adja meg a Partner Hub rendszergazdájának bejelentkezési hitelesítő adatait, majd kattintson a Bejelentkezés gombra, hogy engedélyezze a hozzáférést a hibrid adatbiztonsági szolgáltatáshoz szükséges szolgáltatásokhoz.

8

A Beállítóeszköz áttekintése oldalon kattintson az Első lépések gombra.

9

Az ISO-importálás oldalon az alábbi lehetőségek közül választhat:

Nem – Ha az első HDS-csomópontot hozza létre, nincs feltöltendő ISO-fájl.
Igen – Ha már létrehozott HDS-csomópontokat, akkor válassza ki az ISO-fájlt a böngészőben, és töltse fel.

10

Ellenőrizze, hogy az X.509-es tanúsítvány megfelel-e az X.509-es tanúsítványkövetelmények előírásainak.

Ha még soha nem töltött fel tanúsítványt, töltse fel az X.509 tanúsítványt, adja meg a jelszót, majd kattintson a Folytatás gombra.
Ha a tanúsítványa rendben van, kattintson a Folytatás gombra.
Ha a tanúsítvány lejárt, vagy szeretné lecserélni, válassza a Nem lehetőséget a Folytatás a HDS tanúsítványlánc és a korábbi ISO titkos kulcs használata? lehetőséghez. Töltsön fel egy új X.509-tanúsítványt, adja meg a jelszót, majd kattintson a Folytatás gombra.

11

Adja meg a HDS adatbáziscímét és fiókját a kulcsadatkészlet eléréséhez:

Válassza ki az Adatbázis típusát (PostgreSQL vagy Microsoft SQL Server).

Ha a Microsoft SQL Server opciót választja, Hitelesítési típus mezőt kap.
(Csak Microsoft SQL Server ) Válassza ki a Hitelesítési típust:
- Alapszintű hitelesítés: Helyi SQL Server-fiók nevére van szükség a Felhasználónév mezőben.
- Windows-hitelesítés: felhasználónév@tartomány formátumú Windows-fiókra van szükség a Felhasználónév mezőben.
Adja meg az adatbázis-kiszolgáló címét a következő formában: : vagy :.

Példa:
dbhost.example.org:1433 vagy 198.51.100.17:1433

Alapszintű hitelesítéshez használhat IP-címet, ha a csomópontok nem tudnak DNS-t használni az állomásnév feloldásához.

Ha Windows-hitelesítést használ, akkor meg kell adnia egy teljesen minősített tartománynevet a következő formátumban: dbhost.example.org:1433
Adja meg az Adatbázis nevét.
Adja meg annak a felhasználónak a Felhasználónevét és Jelszavát , aki minden jogosultsággal rendelkezik a kulcstárolási adatbázisban.

12

Válassza ki a TLS-adatbázis csatlakozási módját:

Mód	Leírás
TLS előnyben részesítése (alapértelmezett beállítás)	A HDS csomópontok nem igénylik a TLS csatlakozását az adatbázis szerverhez. Ha engedélyezi a TLS-t az adatbázis kiszolgálón, a csomópontok titkosított kapcsolatot próbálnak meg létesíteni.
Kötelező TLS	A HDS csomópontok csak akkor kapcsolódnak, ha az adatbázis-kiszolgáló képes egyeztetni a TLS-t.
TLS igénylése és a tanúsítvány aláírójának ellenőrzése	Ez a mód nem alkalmazható SQL Server adatbázisokra. A HDS csomópontok csak akkor kapcsolódnak, ha az adatbázis-kiszolgáló képes egyeztetni a TLS-t. A TLS-kapcsolat létrehozása után a csomópont összehasonlítja az adatbázis-kiszolgálóról származó tanúsítvány aláíróját a hitelesítésszolgáltatóval az Adatbázis gyökértanúsítványban. Ha nem egyeznek, a csomópont megszakítja a kapcsolatot. A legördülő menü alatti Adatbázis gyökértanúsítvány vezérlőelem segítségével töltse fel a beállítás gyökértanúsítványát.
TLS megkövetelése és a tanúsítvány aláírójának és a gépnévnek az ellenőrzése	A HDS csomópontok csak akkor kapcsolódnak, ha az adatbázis-kiszolgáló képes egyeztetni a TLS-t. A TLS-kapcsolat létrehozása után a csomópont összehasonlítja az adatbázis-kiszolgálóról származó tanúsítvány aláíróját a hitelesítésszolgáltatóval az Adatbázis gyökértanúsítványban. Ha nem egyeznek, a csomópont megszakítja a kapcsolatot. A csomópontok azt is ellenőrzik, hogy a kiszolgáló tanúsítványában szereplő gazdagép neve megegyezik-e az Adatbázis gazdagép és port mezőben található gazdagép nevével. A neveknek pontosan egyezniük kell, vagy a csomópont megszakítja a kapcsolatot. A legördülő menü alatti Adatbázis gyökértanúsítvány vezérlőelem segítségével töltse fel a beállítás gyökértanúsítványát.

Amikor feltölti a gyökértanúsítványt (ha szükséges), és a Folytatás gombra kattint, a HDS telepítőeszköz teszteli a TLS-kapcsolatot az adatbázis-kiszolgálóval. Az eszköz ellenőrzi a tanúsítvány aláíróját és a gépnevet is, ha van ilyen. Ha egy teszt sikertelen, az eszköz hibaüzenetet jelenít meg, amely leírja a problémát. Kiválaszthatja, hogy figyelmen kívül hagyja-e a hibát, és folytatja-e a beállítást. (A kapcsolódási különbségek miatt a HDS-csomópontok akkor is képesek lehetnek létrehozni a TLS-kapcsolatot, ha a HDS telepítőeszköz gépe nem tudja sikeresen tesztelni.)

13

A Rendszernaplók oldalon konfigurálja a Syslogd kiszolgálót:

Adja meg a syslog szerver URL-címét.

Ha a kiszolgáló nem DNS-feloldható a HDS-fürthöz tartozó csomópontokról, használjon egy IP-címet az URL-ben.

Példa:
Az udp://10.92.43.23:514 a 10.92.43.23 Syslogd állomásra való bejelentkezést jelzi az 514-es UDP-porton.
Ha úgy állítja be a kiszolgálóját, hogy TLS-titkosítást használjon, jelölje be a Be van állítva a syslog kiszolgáló SSL-titkosításra? jelölőnégyzetet.

Ha bejelöli ezt a jelölőnégyzetet, mindenképpen adjon meg egy TCP URL-címet, például tcp://10.92.43.23:514.
A Syslog-rekord termináljának kiválasztása legördülő menüből válassza ki az ISO fájlhoz megfelelő beállítást: Válassza ki, hogy az Újsor legyen-e használatban Graylog és Rsyslog TCP esetén
- Null bájt -- \x00
- Új vonal -- \n—Válassza ezt a lehetőséget a Graylog és Rsyslog TCP esetén.
Kattintson a Folytatás gombra.

14

(Opcionális) Bizonyos adatbázis-kapcsolati paraméterek alapértelmezett értékét a Speciális beállítások menüpontban módosíthatja. Általában ez az egyetlen paraméter, amit érdemes megváltoztatni:

app_datasource_connection_pool_maxMéret: 10

15

Kattintson a Folytatás gombra a Szolgáltatásfiókok jelszavának visszaállítása képernyőn.

A szolgáltatásfiók jelszavainak élettartama kilenc hónap. Akkor használja ezt a képernyőt, ha a jelszavak hamarosan lejárnak, vagy vissza szeretné állítani őket, hogy érvénytelenítsék a korábbi ISO-fájlokat.

16

Kattintson az ISO-fájl letöltése lehetőségre. Mentse el a fájlt egy könnyen megtalálható helyre.

17

Készítsen biztonsági másolatot az ISO fájlról a helyi rendszerre.

Tartsa biztonságban a biztonsági másolatot. Ez a fájl az adatbázis tartalmához tartozó fő titkosítási kulcsot tartalmaz. Korlátozza a hozzáférést csak azokra a hibrid adatbiztonsági szolgáltatás-rendszergazdákra, akiknek konfigurációs módosításokat kell végrehajtaniuk.

18

A beállítóeszköz leállításához gépelje be a CTRL+C billentyűkombinációt.

Mi a következő teendő

Biztonsági másolat készítése a konfigurációs ISO fájlról. A helyreállításhoz további csomópontok létrehozásához, illetve konfigurációs módosítások elvégzéséhez szükség van rá. Ha az ISO fájl összes másolatát elveszíti, akkor a mesterkulcs is elveszett. A PostgreSQL vagy Microsoft SQL Server adatbázisából nem lehet visszaállítani a kulcsokat.

Soha nem lesz másolatunk erről a kulcsról, és nem tudunk segíteni, ha elveszíti.

A HDS Host OVA telepítése

Ezzel az eljárással virtuális gépet hozhat létre az OVA-fájlból.

1	A számítógépén lévő VMware vSphere kliens használatával jelentkezzen be az ESXi virtuális állomásba.
2	Válassza a Fájl > OVF-sablon telepítése lehetőséget.
3	A varázslóban adja meg a korábban letöltött OVA-fájl helyét, majd kattintson a Tovább gombra.
4	A Név és mappa kiválasztása oldalon adja meg a csomópont Virtuális gép nevét (például „HDS_Node_1”), válasszon ki egy helyet, ahol a virtuálisgép-csomópont telepítése élhet, majd kattintson a Tovább gombra.
5	A Számítási erőforrás kiválasztása oldalon válassza ki a cél számítási erőforrást, majd kattintson a Tovább gombra. Egy érvényesítési ellenőrzés lefut. A befejezés után megjelennek a sablon adatai.
6	Ellenőrizze a sablon részleteit, majd kattintson a Tovább gombra.
7	Ha a rendszer arra kéri, hogy a Konfiguráció oldalon válassza ki az erőforrás konfigurációját, kattintson a 4 CPU gombra, majd kattintson a Tovább gombra.
8	A Tárhely kiválasztása oldalon kattintson a Tovább gombra az alapértelmezett lemezformátum és a VM-tárhely házirendjének elfogadásához.
9	A Hálózatok kiválasztása oldalon válassza ki a hálózati lehetőséget a bejegyzések listájából, hogy biztosítsa a kívánt kapcsolatot a VM-mel.
10	A Sablon testreszabása oldalon konfigurálja a következő hálózati beállításokat: Gazdagép neve – Adja meg a csomópont FQDN-jét (gazdagép neve és tartománya), vagy egyetlen szó gazdagép nevét. Nem kell úgy beállítania a tartományt, hogy megfeleljen az X.509 tanúsítvány beszerzéséhez használt tartománynak. A felhőbe történő sikeres regisztráció érdekében csak kisbetűs karaktereket használjon a csomóponthoz beállított FQDN-ben vagy állomásnévben. A nagybetűs írásmód jelenleg nem támogatott. Az FQDN teljes hossza nem haladhatja meg a 64 karaktert. IP-cím— Adja meg a csomópont belső interfészének IP-címét. A csomópontnak belső IP-címmel és DNS-névvel kell rendelkeznie. A DHCP nem támogatott. Maszk – Adja meg az alhálózati maszk címét pont-decimális jelölésben. Például: 255.255.255.0. Átjáró—Adja meg az átjáró IP-címét. Az átjáró olyan hálózati csomópont, amely egy másik hálózat hozzáférési pontjaként szolgál. DNS-kiszolgálók – Adja meg a DNS-kiszolgálók vesszővel elválasztott listáját, amely a tartománynevek numerikus IP-címekre történő fordítását kezeli. (Legfeljebb 4 DNS-bejegyzés engedélyezett.) NTP-kiszolgálók – Adja meg a szervezet NTP-kiszolgálóját vagy egy másik, a szervezetben használható külső NTP-kiszolgálót. Előfordulhat, hogy az alapértelmezett NTP-kiszolgálók nem működnek minden vállalatnál. Több NTP-kiszolgáló megadásához vesszővel elválasztott listát is használhat. Telepítse az összes csomópontot ugyanazon az alhálózaton vagy VLAN-on, hogy a fürtben lévő összes csomópont adminisztratív okokból elérhető legyen a hálózaton lévő ügyfelektől. Ha szeretné, átugorhatja a hálózati beállítási konfigurációt, és a Hibrid adatbiztonsági szolgáltatás beállítása szakasz lépéseit követve konfigurálhatja a beállításokat a csomópont-konzolról. Az OVA telepítése során a hálózati beállítások konfigurálásának lehetőségét teszteltük az ESXi 7.0 verzióval. Előfordulhat, hogy a beállítás a korábbi verziókban nem érhető el.
11	Kattintson az egér jobb oldali gombjával a csomópont VM-jére, majd válassza a Bekapcsolás > Bekapcsolás lehetőséget. A hibrid adatbiztonsági szolgáltatás-szoftver vendégként van telepítve a VM-állomásra. Most már bejelentkezhet a konzolba, és konfigurálhatja a csomópontot. Hibaelhárítási tippek Előfordulhat, hogy a csomópont-konténerek megjelenése előtt néhány percet késik. Az első rendszerindítás során hídtűzfalüzenet jelenik meg a konzolon, amelynek során nem tud bejelentkezni.

Hibrid adatbiztonsági szolgáltatás (VM) beállítása

Ezzel az eljárással először jelentkezzen be a hibrid adatbiztonsági szolgáltatás-csomópont VM-konzoljába, és állítsa be a bejelentkezési hitelesítő adatokat. A konzol segítségével konfigurálhatja a csomópont hálózati beállításait is, ha az OVA telepítésekor nem konfigurálta azokat.

1	A VMware vSphere kliensben válassza ki a hibrid adatbiztonsági szolgáltatás-csomópont VM-jét, és válassza a Konzol lapot. A VM elindul, és bejelentkezési üzenet jelenik meg. Ha a bejelentkezési üzenet nem jelenik meg, nyomja meg az Enter billentyűt.
2	A bejelentkezéshez és a hitelesítő adatok módosításához használja a következő alapértelmezett bejelentkezést és jelszót: Bejelentkezés: `rendszergazda` Jelszó: `cisco` Mivel először jelentkezik be a VM-be, meg kell változtatnia a rendszergazda jelszavát.
3	Ha már konfigurálta a hálózati beállításokat a HDS Host OVA telepítése menüben, hagyja ki az eljárás hátralévő részét. Ellenkező esetben a főmenüben válassza a Konfiguráció szerkesztése lehetőséget.
4	Állítson be statikus konfigurációt IP-címmel, maszkkal, átjáróval és DNS-adatokkal. A csomópontnak belső IP-címmel és DNS-névvel kell rendelkeznie. A DHCP nem támogatott.
5	(Opcionális) Módosítsa az állomásnevet, a tartományt vagy az NTP-kiszolgáló(k)t, ha a hálózati házirendnek megfelel. Nem kell úgy beállítania a tartományt, hogy megfeleljen az X.509 tanúsítvány beszerzéséhez használt tartománynak.
6	Mentse a hálózati konfigurációt, és indítsa újra a VM-et, hogy a módosítások életbe lépjenek.

A HDS-konfigurációs ISO feltöltése és csatlakoztatása

Ezzel az eljárással konfigurálhatja a virtuális gépet a HDS telepítőeszközzel létrehozott ISO-fájlból.

Mielőtt elkezdené

Mivel az ISO-fájl tartalmazza a mesterkulcsot, csak „tudni kell” alapon szabad közzétenni, hogy hozzáférhessen a hibrid adatbiztonsági szolgáltatás-kezelők és minden olyan rendszergazda számára, akinek esetleg módosításokat kell végrehajtania. Győződjön meg arról, hogy csak ezek a rendszergazdák férhetnek hozzá az adatkészlethez.

1

Töltse fel az ISO-fájlt a számítógépéről:

A VMware vSphere kliens bal oldali navigációs ablaktáblájában kattintson az ESXi szerverre.
A Konfiguráció lap Hardver listáján kattintson a Tárhelyelemre.
Az Adatkészlet listában kattintson a jobb gombbal a VM-ek adatkészletére, majd kattintson az Adatkészlet tallózása gombra.
Kattintson a Fájlok feltöltése ikonra, majd kattintson a Fájl feltöltésegombra.
Keresse meg azt a helyet, ahol letöltötte az ISO-fájlt a számítógépére, majd kattintson a Megnyitás gombra.
Kattintson az Igen gombra a feltöltési/letöltési műveletre vonatkozó figyelmeztetés elfogadásához, és zárja be az adatkészlet-párbeszédablakot.

2

ISO- fájl csatolása:

A VMware vSphere kliens bal oldali navigációs ablakában kattintson jobb gombbal a VM-re, majd kattintson a Beállítások szerkesztése lehetőségre.
Kattintson az OK gombra a korlátozott szerkesztési beállítások figyelmeztetésének elfogadásához.
Kattintson a CD/DVD-meghajtó 1elemre, válassza ki az ISO-fájlból való csatlakoztatást, és keresse meg azt a helyet, ahol a konfigurációs ISO-fájlt feltöltötte.
Jelölje be a Csatlakoztatva és a Kapcsolódás bekapcsolva lehetőséget.
Mentse a módosításokat és indítsa újra a virtuális gépet.

Mi a következő teendő

Ha az IT-házirend megköveteli, akkor opcionálisan eltávolíthatja az ISO-fájlt, miután az összes csomópont elvette a konfigurációs módosításokat. Részletekért lásd: (nem kötelező) Az ISO leválasztása a HDS-konfiguráció után .

A HDS-csomópont konfigurálása proxyintegrációhoz

Ha a hálózati környezet proxyt igényel, ezzel az eljárással adhatja meg a hibrid adatbiztonsággal integrálni kívánt proxy típusát. Ha átlátszó ellenőrző proxyt vagy HTTPS explicit proxyt választ, a csomópont felületével feltöltheti és telepítheti a főtanúsítványt. A proxykapcsolatot az interfészről is ellenőrizheti, és elháríthatja az esetleges problémákat.

Mielőtt elkezdené

A támogatott proxybeállítások áttekintését lásd: Proxytámogatás.
Proxykiszolgálói követelmények

1	Adja meg a HDS-csomópont beállítási `URL-címét https://[HDS Node IP vagy FQDN]/setup` egy webböngészőben, adja meg a csomóponthoz beállított rendszergazdai hitelesítő adatokat, majd kattintson a Bejelentkezésgombra.
2	Lépjen a Trust Store & Proxyelemre, majd válasszon egy lehetőséget: Nincs proxy – Az alapértelmezett beállítás a proxy integrálása előtt. Nincs szükség tanúsítványfrissítésre. Átlátszó nem ellenőrző proxy – A csomópontok nincsenek konfigurálva meghatározott proxykiszolgáló-cím használatára, és nem igényelhetnek módosításokat ahhoz, hogy a nem ellenőrző proxyval működjenek. Nincs szükség tanúsítványfrissítésre. Átlátszó ellenőrző proxy – A csomópontok nincsenek konfigurálva konkrét proxykiszolgáló-cím használatára. A hibrid adatbiztonsági üzembe helyezés során nincs szükség HTTPS-konfigurációs módosításokra, azonban a HDS-csomópontoknak főtanúsítványra van szükségük, hogy megbízzanak a proxyban. A proxyk ellenőrzését az IT általában arra használja, hogy betartassa azokat az irányelveket, amelyeken a webhelyek látogathatók, és milyen típusú tartalom nem engedélyezett. Ez a fajta proxy visszafejti az összes forgalmat (még HTTPS-t is). Explicit proxy – Az explicit proxy segítségével megmondja az ügyfélnek (HDS-csomópontok), hogy melyik proxykiszolgálót kell használni, és ez a beállítás több hitelesítési típust támogat. Miután kiválasztotta ezt a beállítást, meg kell adnia a következő adatokat: Proxy IP/FQDN – a proxygép elérésére használható cím. Proxyport – Olyan portszám, amelyet a proxy a lekerekített forgalom figyelésére használ. Proxyprotokoll – Válassza a http lehetőséget (az ügyféltől kapott összes kérést megtekintheti és vezérli) vagy a https lehetőséget (csatornát biztosít a szervernek, és az ügyfél megkapja és érvényesíti a szerver tanúsítványát). Válasszon egy lehetőséget a proxykiszolgáló által támogatott lehetőségek alapján. Hitelesítési típus – Válasszon a következő hitelesítési típusok közül: Nincs – Nincs szükség további hitelesítésre. Elérhető HTTP- vagy HTTPS-proxykhoz. Alapszintű – HTTP-felhasználói ügynökként használatos a felhasználónév és jelszó megadására kéréskor. Base64 kódolást használ. Elérhető HTTP- vagy HTTPS-proxykhoz. Ha ezt a lehetőséget választja, meg kell adnia a felhasználónevet és a jelszót is. Kivonás – A fiók megerősítésére szolgál, mielőtt érzékeny információkat küldene be. Kivonatfüggvényt alkalmaz a felhasználónévre és a jelszóra, mielőtt elküldené a hálózaton keresztül. Csak HTTPS proxykhoz érhető el. Ha ezt a lehetőséget választja, meg kell adnia a felhasználónevet és a jelszót is. Kövesse az átlátható ellenőrző proxy, az alapszintű hitelesítéssel rendelkező HTTP-explicit proxy vagy a HTTPS explicit proxy következő lépéseit.
3	Kattintson a Főtanúsítvány feltöltése vagy a Végfelhasználói tanúsítványlétrehozása elemre, majd keresse meg a proxy főtanúsítványát. A tanúsítvány feltöltésre került, de még nincs telepítve, mert a tanúsítvány telepítéséhez újra kell indítania a csomópontot. További részleteket szeretne megtudni a tanúsítványkibocsátó nevével a ékzár nyílra, vagy kattintson a Törlés gombra, ha hibát követett el, és újra szeretné tölteni a fájlt.
4	Kattintson a Proxykapcsolat ellenőrzése gombra a csomópont és a proxy közötti hálózati kapcsolat teszteléséhez. Ha a kapcsolati teszt sikertelen, hibaüzenet jelenik meg, amely bemutatja az okot és a probléma kijavítást. Ha olyan üzenet jelenik meg, amely szerint a külső DNS-felbontás nem sikerült, a csomópont nem tudta elérni a DNS-kiszolgálót. Ez a feltétel számos explicit proxykonfigurációban várható. Folytathatja a beállítást, és a csomópont blokkolt külső DNS-feloldási módban fog működni. Ha úgy gondolja, hogy ez hiba, hajtsa végre ezeket a lépéseket, majd tekintse meg a Blokkolt külső DNS-feloldási mód kikapcsolása című ismertetőt.
5	A csatlakozási teszt elvégzése után, ha csak https-re van állítva explicit proxy, kapcsolja be a kapcsolót a 443/444 https port útvonala parancsra az explicit proxynkeresztül. Ez a beállítás 15 másodpercet igényel a hatályba lépéshez.
6	Kattintson az Összes tanúsítvány telepítése a megbízhatósági tárolóba (HTTPS explicit proxy vagy átlátszó ellenőrző proxy esetén jelenik meg) vagy Indítsa újra (HTTP explicit proxy esetén jelenik meg), olvassa el a parancsot, majd kattintson a Telepítés gombra, ha készen áll. A csomópont néhány percen belül újraindul.
7	A csomópont újraindítása után jelentkezzen be újra, ha szükséges, majd nyissa meg az Áttekintés lapot, hogy ellenőrizze a kapcsolatellenőrzéseket, és győződjön meg arról, hogy mindegyik zöld állapotban van. A proxykapcsolat ellenőrzése csak webex.com aldomainét teszteli. Kapcsolódási problémák esetén gyakori probléma, hogy a telepítési utasításokban felsorolt felhőtartományok némelyike le van tiltva a proxyn.

A fürtben lévő első csomópont regisztrálása

Ez a feladat elvégzi a Hibrid adatbiztonsági szolgáltatás beállítása menüben létrehozott általános csomópontot, regisztrálja a csomópontot a Webex-felhővel, és hibrid adatbiztonsági szolgáltatás-csomóponttá alakítja.

Az első csomópont regisztrálásakor létrehoz egy fürtöt, amelyhez a csomópont hozzá van rendelve. A fürt egy vagy több, redundancia biztosítására telepített csomópontot tartalmaz.

Mielőtt elkezdené

Miután megkezdi egy csomópont regisztrációját, azt 60 percen belül el kell végeznie, különben el kell kezdenie a folyamatot.
Győződjön meg arról, hogy az előugró ablakok blokkolói le vannak tiltva a böngészőjében, vagy engedélyezze a kivételt az admin.webex.com számára.

1	Jelentkezzen be ide: https://admin.webex.com.
2	A képernyő bal oldalán található menüből válassza a Szolgáltatásoklehetőséget.
3	A Felhőszolgáltatások részben keresse meg a hibrid adatbiztonsági kártyát, majd kattintson a Beállítás gombra.
4	A megnyíló oldalon kattintson az Erőforrás hozzáadása lehetőségre.
5	A Csomópont hozzáadása kártya első mezőjében adja meg annak a fürtnek a nevét, amelyhez hozzá kívánja rendelni a hibrid adatbiztonsági szolgáltatás-csomópontot. Javasoljuk, hogy a fürtöt attól függően nevezze el, hogy a fürt csomópontjai földrajzilag hol helyezkednek el. Példák: "San Francisco" vagy "New York" vagy "Dallas"
6	A második mezőben adja meg a csomópont belső IP-címét vagy teljesen minősített tartománynevét (FQDN), majd kattintson a képernyő alján található Hozzáadás gombra. Ennek az IP-címnek vagy FQDN-nek meg kell egyeznie azzal az IP-címmel vagy állomásnévvel és tartománynévvel, amelyet a Hibrid adatbiztonsági szolgáltatás beállítása során használt. Megjelenik egy üzenet, amely azt jelzi, hogy regisztrálhatja a csomópontot a Webex rendszerében.
7	Kattintson az Ugrás a csomópontra lehetőségre. Néhány perc múlva átirányítja a rendszer a Webex-szolgáltatások csomóponti kapcsolódási tesztelésére. Ha az összes teszt sikeres, megjelenik a „Hibrid adatbiztonsági szolgáltatás-csomópont hozzáférésének engedélyezése” oldal. Ott megerősíti, hogy engedélyeket szeretne adni a Webex-szervezetnek a csomóponthoz való hozzáféréshez.
8	Jelölje be a Hozzáférés engedélyezése a hibrid adatbiztonsági szolgáltatás-csomóponthoz jelölőnégyzetet, majd kattintson a Folytatás gombra. Az Ön fiókja hitelesítve van, és a „Regisztráció befejezve” üzenet azt jelzi, hogy a csomópont mostantól regisztrálva van a Webex-felhőbe.
9	Kattintson a hivatkozásra, vagy zárja be a lapot, hogy visszatérjen a Partner Hub hibrid adatbiztonsági szolgáltatás oldalára. A Hibrid adatbiztonsági szolgáltatás oldalon az Ön által regisztrált csomópontot tartalmazó új fürt az Erőforrások lapon jelenik meg. A csomópont automatikusan letölti a legújabb szoftvert a felhőből.

További csomópontok létrehozása és regisztrálása

Ha további csomópontokat szeretne hozzáadni a fürthöz, egyszerűen hozzon létre további VM-eket, és szerelje fel ugyanazt a konfigurációs ISO-fájlt, majd regisztrálja a csomópontot. Javasoljuk, hogy legyen legalább 3 csomópontja.

Mielőtt elkezdené

Miután megkezdi egy csomópont regisztrációját, azt 60 percen belül el kell végeznie, különben el kell kezdenie a folyamatot.
Győződjön meg arról, hogy az előugró ablakok blokkolói le vannak tiltva a böngészőjében, vagy engedélyezze a kivételt az admin.webex.com számára.

1	Hozzon létre egy új virtuális gépet az OVA-ból, ismételje meg a HDS Host OVA telepítése című rész lépéseit.
2	Állítsa be a kezdeti konfigurációt az új VM-en, ismételve a Hibrid adatbiztonsági szolgáltatás VM beállítása lépéseit.
3	Az új VM-en ismételje meg a HDS-konfiguráció ISO feltöltése és csatlakoztatása című rész lépéseit.
4	Ha proxyt állít be az üzembe helyezéshez, ismételje meg a HDS-csomópont konfigurálása proxyintegrációhoz lépéseit az új csomóponthoz szükség szerint.
5	Regisztrálja a csomópontot. A(z) https://admin.webex.com alkalmazásban válassza a Szolgáltatások lehetőséget a képernyő bal oldalán található menüből. A Felhőszolgáltatások részben keresse meg a hibrid adatbiztonsági kártyát, és kattintson az Összes megtekintése gombra. Megjelenik a Hibrid adatbiztonsági erőforrások oldal. Az újonnan létrehozott fürt megjelenik az Erőforrások oldalon. Kattintson a fürtre a fürthöz hozzárendelt csomópontok megtekintéséhez. Kattintson a Csomópont hozzáadása elemre a képernyő jobb oldalán. Adja meg a csomópont belső IP-címét vagy teljesen minősített tartománynevét (FQDN), majd kattintson a Hozzáadás gombra. Megnyílik egy oldal egy üzenettel, amely jelzi, hogy regisztrálhatja a csomópontot a Webex-felhőbe. Néhány perc múlva átirányítja a rendszer a Webex-szolgáltatások csomóponti kapcsolódási tesztelésére. Ha az összes teszt sikeres, megjelenik a „Hibrid adatbiztonsági szolgáltatás-csomópont hozzáférésének engedélyezése” oldal. Itt megerősíti, hogy engedélyeket szeretne adni a szervezetének a csomóponthoz való hozzáféréshez. Jelölje be a Hozzáférés engedélyezése a hibrid adatbiztonsági szolgáltatás-csomóponthoz jelölőnégyzetet, majd kattintson a Folytatás gombra. Az Ön fiókja hitelesítve van, és a „Regisztráció befejezve” üzenet azt jelzi, hogy a csomópont mostantól regisztrálva van a Webex-felhőbe. Kattintson a hivatkozásra, vagy zárja be a lapot, hogy visszatérjen a Partner Hub hibrid adatbiztonsági szolgáltatás oldalára. A Csomópont hozzáadva felugró üzenet szintén megjelenik a Partnerközpontban a képernyő alján. A csomópont regisztrálva van.

Bérlői szervezetek kezelése a több-bérlős hibrid adatbiztonsági szolgáltatásban

Több-bérlős HDS aktiválása a Partner Hubban

Ez a feladat biztosítja, hogy az ügyfélszervezetek minden felhasználója megkezdhesse a HDS kihasználását a Helyszíni titkosítási kulcsok és egyéb biztonsági szolgáltatások esetében.

Mielőtt elkezdené

Győződjön meg arról, hogy befejezte a több-bérlős HDS-fürt beállítását a szükséges számú csomóponttal.

1	Jelentkezzen be ide: https://admin.webex.com.
2	A képernyő bal oldalán található menüből válassza a Szolgáltatásoklehetőséget.
3	A Felhőszolgáltatások részben keresse meg a hibrid adatbiztonsági szolgáltatást, majd kattintson a Beállítások szerkesztése lehetőségre.
4	Kattintson a HDS aktiválása lehetőségre a HDS állapot kártyán.

Bérlő szervezetek hozzáadása a Partner Hubban

Ebben a feladatban ügyfélszervezeteket rendel hozzá a hibrid adatbiztonsági szolgáltatás-fürthöz.

1	Jelentkezzen be ide: https://admin.webex.com.
2	A képernyő bal oldalán található menüből válassza a Szolgáltatásoklehetőséget.
3	A Felhőszolgáltatások részben keresse meg a hibrid adatbiztonsági szolgáltatást, majd kattintson az Összes megtekintése gombra.
4	Kattintson arra a fürtre, amelyhez ügyfelet szeretne hozzárendelni.
5	Lépjen a Hozzárendelt ügyfelek lapra.
6	Kattintson az Ügyfelek hozzáadása lehetőségre.
7	A legördülő menüből válassza ki a hozzáadni kívánt ügyfelet.
8	Kattintson a Hozzáadás lehetőségre, az ügyfél hozzá lesz adva a fürthöz.
9	Ismételje meg a 6–8. lépéseket több ügyfél hozzáadásához a fürthöz.
10	Kattintson a Kész gombra a képernyő alján, miután hozzáadta az ügyfeleket.

Mi a következő teendő

A beállítási folyamat befejezéséhez futtassa a HDS-telepítőeszközt az Ügyfél fő kulcsainak (CMK-k) létrehozása a HDS-telepítőeszköz használatával című részben részletezett módon.

Ügyfél fő kulcsainak (CMK-k) létrehozása a HDS-beállító eszköz használatával

Mielőtt elkezdené

Rendelje hozzá az ügyfeleket a megfelelő fürthöz a Bérlői szervezetek hozzáadása a Partnerközpontban című részben részletezett módon. Futtassa a HDS telepítőeszközt, hogy befejezze az újonnan hozzáadott ügyfélszervezetek beállítási folyamatát.

A HDS Setup eszköz Docker konténerként fut egy helyi gépen. Ha hozzá akarsz férni, futtasd a Dockert azon a gépen. A beállítási folyamat megköveteli a szervezet számára teljes rendszergazdai jogosultságokkal rendelkező Partner Hub-fiók hitelesítő adatait.

Ha a HDS-beállító eszköz a környezetben proxy mögött fut, az 5. lépésben adja meg a proxybeállításokat (kiszolgáló, port, hitelesítő adatokat) a Docker környezeti változókon keresztül. Ez a táblázat néhány lehetséges környezeti változót tartalmaz:

Leírás	Változó
Http-proxy hitelesítés nélkül	`GLOBÁLIS_ÜGYNÖK_HTTP_PROXY=HTTP://KISZOLGÁLÓ_IP:PORT`
HTTPS-proxy hitelesítés nélkül	`GLOBÁLIS_ÜGYNÖK_HTTPS_PROXY=http://KISZOLGÁLÓ_IP:PORT`
Http-proxy hitelesítéssel	`GLOBÁLIS_ÜGYNÖK_HTTP_PROXY=http://felhasználónév:jelszó@kiszolgáló_IP:PORT`
HTTPS-proxy hitelesítéssel	`GLOBÁLIS_ÜGYNÖK_HTTPS_PROXY=http://felhasználónév:jelszó@kiszolgáló_IP:PORT`

A létrehozott konfigurációs ISO fájl tartalmazza a PostgreSQL vagy Microsoft SQL Server adatbázist titkosító mesterkulcsot. Szükség van a fájl legutóbbi másolatára, amikor konfigurációs módosításokat hajt végre, mint például:
- Adatbázis hitelesítő adatai
- Tanúsítványfrissítések
- Az engedélyezési szabályzat változásai
Ha adatbázis-kapcsolatokat szeretne titkosítani, állítsa be a PostgreSQL vagy SQL Server telepítés TLS-hez.

A hibrid adatbiztonsági szolgáltatás beállítási folyamata ISO-fájlt hoz létre. Ezután az ISO-t használja a hibrid adatbiztonsági szolgáltatás-szervező konfigurálásához.

1	A gép parancssorában adja meg a környezetének megfelelő parancsot: Rendszeres környezetben: `docker rmi ciscocitg/hds-setup:stabil` FedRAMP környezetben: `docker rmi ciscocitg/hds-setup-fedramp:stabil` Ezzel a lépéssel törölhetők a HDS telepítőeszköz korábbi képei. Ha nincsenek korábbi képek, akkor olyan hibát ad vissza, amelyet figyelmen kívül hagyhat.
2	A Docker-képtárba való bejelentkezéshez írja be a következőket: `dokkoló bejelentkezés -u hdscustomersro`
3	A jelszókéréskor írja be ezt a hash-t: `dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo`
4	Töltse le a legfrissebb stabil képet a környezetéről: Rendszeres környezetben: `dokkoló húzás ciscocitg/hds-setup:stabil` FedRAMP környezetben: `dokkoló húzás ciscocitg/hds-setup-fedramp:stabil`
5	Amikor a húzás befejeződött, adja meg a környezetének megfelelő parancsot: Rendszeres környezetben, proxy nélkül: `dokkoló futtatása -p 8080:8080 --rm -it ciscocitg/hds-setup:stable` Http proxyval rendelkező normál környezetben: `docker run -p 8080:8080 --rm -it-e GLOBAL_AGENT_HTTP_PROXY=http://SERVER IP:PORT_ ciscocitg/hds-setup:stable` Normál környezetben HTTPS proxyval: `docker run -p 8080:8080 --rm -it-e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER IP:PORT_ ciscocitg/hds-setup:stable` FedRAMP környezetben, proxy nélkül: `dokkoló futtatása -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable` Http proxyval rendelkező FedRAMP környezetben: `docker run -p 8080:8080 --rm -it-e GLOBAL_AGENT_HTTP_PROXY=http://SERVER IP:PORT_ ciscocitg/hds-setup-fedramp:stable` FedRAMP környezetben https proxyval: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER IP:PORT_ ciscocitg/hds-setup-fedramp:stable` Amikor a konténer fut, az "Express szerver figyeli a 8080-as portot."
6	A beállítóeszköz nem támogatja a localhost-hoz való csatlakozást a http://localhost:8080-on keresztül. A(z) http://127.0.0.1:8080 használatával kapcsolódhat a localhost-hoz. Webböngészővel lépjen a(z) `http://127.0.0.1:8080` helyszínállomásra, majd adja meg a rendszergazda felhasználónevét a Partner Hubhoz a kérésben. Az eszköz a felhasználónév első bejegyzésével állítja be a fiókhoz tartozó megfelelő környezetet. Az eszköz ezután megjeleníti a normál bejelentkezési üzenetet.
7	Amikor a rendszer kéri, adja meg a Partner Hub rendszergazdájának bejelentkezési hitelesítő adatait, majd kattintson a Bejelentkezés gombra, hogy engedélyezze a hozzáférést a hibrid adatbiztonsági szolgáltatáshoz szükséges szolgáltatásokhoz.
8	A Beállítóeszköz áttekintése oldalon kattintson az Első lépések gombra.
9	Az ISO-importálás oldalon kattintson az Igen gombra.
10	Válassza ki az ISO-fájlt a böngészőben, és töltse fel. A CMK-kezelés végrehajtásához biztosítsa a kapcsolatot az adatbázisával.
11	Menjen a Bérlő CMK kezelése lapra, ahol a bérlő CMK-k kezelésének alábbi három módja található. CMK létrehozása minden ORG számára vagy CMK létrehozása – Kattintson erre a gombra a képernyő tetején látható sávon, ha CMK-t szeretne létrehozni minden újonnan hozzáadott szervezet számára. Kattintson a CMK kezelése gombra a képernyő jobb oldalán, majd kattintson a CMK létrehozása gombra, ha CMK-ket szeretne létrehozni az összes újonnan hozzáadott szervezet számára. Kattintson az adott szervezet CMK-kezelése függőben lévő állapotának közelében a táblázatban, majd kattintson a CMK létrehozása gombra a szervezet CMK létrehozásához.
12	Ha a CMK létrehozása sikeres, a táblázatban szereplő állapot a CMK-kezelés függőben állapotról CMK-kezelés állapotra változik.
13	Ha a CMK létrehozása sikertelen, egy hiba jelenik meg.

Bérlői szervezetek eltávolítása

Mielőtt elkezdené

Az eltávolítás után az ügyfélszervezetek felhasználói nem tudják majd kihasználni a HDS-t a titkosítási igényeikhez, és elveszítik az összes meglévő tárhelyet. Az ügyfélszervezetek eltávolítása előtt kérjük, lépjen kapcsolatba Cisco-partnerével vagy fiókkezelőjével.

1	Jelentkezzen be ide: https://admin.webex.com.
2	A képernyő bal oldalán található menüből válassza a Szolgáltatásoklehetőséget.
3	A Felhőszolgáltatások részben keresse meg a hibrid adatbiztonsági szolgáltatást, majd kattintson az Összes megtekintése gombra.
4	Az Erőforrások lapon kattintson arra a fürtre, amelyről el szeretné távolítani az ügyfélszervezeteket.
5	A megnyíló oldalon kattintson a Hozzárendelt ügyfelek lehetőségre.
6	A megjelenített ügyfélszervezetek listájában kattintson az eltávolítani kívánt ügyfélszervezet jobb oldalán található ... elemre, majd kattintson az Eltávolítás a fürtből lehetőségre.

Mi a következő teendő

Az eltávolítási folyamat befejezéséhez vonja vissza az ügyfélszervezetek CMK-jeit a HDS-ből eltávolított bérlők CMK-jének visszavonása című részben foglaltak szerint.

Vonja vissza a HDS-ből eltávolított bérlők CMK-jeit.

Mielőtt elkezdené

Ügyfelek eltávolítása a megfelelő fürtből a Bérlői szervezetek eltávolítása pontban részletezett módon. Futtassa a HDS-telepítő eszközt az eltávolított ügyfélszervezetek eltávolítási folyamatának befejezéséhez.

A HDS Setup eszköz Docker konténerként fut egy helyi gépen. Ha hozzá akarsz férni, futtasd a Dockert azon a gépen. A beállítási folyamat megköveteli a szervezet számára teljes rendszergazdai jogosultságokkal rendelkező Partner Hub-fiók hitelesítő adatait.

Ha a HDS-beállító eszköz a környezetben proxy mögött fut, az 5. lépésben adja meg a proxybeállításokat (kiszolgáló, port, hitelesítő adatokat) a Docker környezeti változókon keresztül. Ez a táblázat néhány lehetséges környezeti változót tartalmaz:

Leírás	Változó
Http-proxy hitelesítés nélkül	`GLOBÁLIS_ÜGYNÖK_HTTP_PROXY=HTTP://KISZOLGÁLÓ_IP:PORT`
HTTPS-proxy hitelesítés nélkül	`GLOBÁLIS_ÜGYNÖK_HTTPS_PROXY=http://KISZOLGÁLÓ_IP:PORT`
Http-proxy hitelesítéssel	`GLOBÁLIS_ÜGYNÖK_HTTP_PROXY=http://felhasználónév:jelszó@kiszolgáló_IP:PORT`
HTTPS-proxy hitelesítéssel	`GLOBÁLIS_ÜGYNÖK_HTTPS_PROXY=http://felhasználónév:jelszó@kiszolgáló_IP:PORT`

A létrehozott konfigurációs ISO fájl tartalmazza a PostgreSQL vagy Microsoft SQL Server adatbázist titkosító mesterkulcsot. Szükség van a fájl legutóbbi másolatára, amikor konfigurációs módosításokat hajt végre, mint például:
- Adatbázis hitelesítő adatai
- Tanúsítványfrissítések
- Az engedélyezési szabályzat változásai
Ha adatbázis-kapcsolatokat szeretne titkosítani, állítsa be a PostgreSQL vagy SQL Server telepítés TLS-hez.

A hibrid adatbiztonsági szolgáltatás beállítási folyamata ISO-fájlt hoz létre. Ezután az ISO-t használja a hibrid adatbiztonsági szolgáltatás-szervező konfigurálásához.

1	A gép parancssorában adja meg a környezetének megfelelő parancsot: Rendszeres környezetben: `docker rmi ciscocitg/hds-setup:stabil` FedRAMP környezetben: `docker rmi ciscocitg/hds-setup-fedramp:stabil` Ezzel a lépéssel törölhetők a HDS telepítőeszköz korábbi képei. Ha nincsenek korábbi képek, akkor olyan hibát ad vissza, amelyet figyelmen kívül hagyhat.
2	A Docker-képtárba való bejelentkezéshez írja be a következőket: `dokkoló bejelentkezés -u hdscustomersro`
3	A jelszókéréskor írja be ezt a hash-t: `dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo`
4	Töltse le a legfrissebb stabil képet a környezetéről: Rendszeres környezetben: `dokkoló húzás ciscocitg/hds-setup:stabil` FedRAMP környezetben: `dokkoló húzás ciscocitg/hds-setup-fedramp:stabil`
5	Amikor a húzás befejeződött, adja meg a környezetének megfelelő parancsot: Rendszeres környezetben, proxy nélkül: `dokkoló futtatása -p 8080:8080 --rm -it ciscocitg/hds-setup:stable` Http proxyval rendelkező normál környezetben: `docker run -p 8080:8080 --rm -it-e GLOBAL_AGENT_HTTP_PROXY=http://SERVER IP:PORT_ ciscocitg/hds-setup:stable` Normál környezetben HTTPS proxyval: `docker run -p 8080:8080 --rm -it-e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER IP:PORT_ ciscocitg/hds-setup:stable` FedRAMP környezetben, proxy nélkül: `dokkoló futtatása -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable` Http proxyval rendelkező FedRAMP környezetben: `docker run -p 8080:8080 --rm -it-e GLOBAL_AGENT_HTTP_PROXY=http://SERVER IP:PORT_ ciscocitg/hds-setup-fedramp:stable` FedRAMP környezetben https proxyval: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER IP:PORT_ ciscocitg/hds-setup-fedramp:stable` Amikor a konténer fut, az "Express szerver figyeli a 8080-as portot."
6	A beállítóeszköz nem támogatja a localhost-hoz való csatlakozást a http://localhost:8080-on keresztül. A(z) http://127.0.0.1:8080 használatával kapcsolódhat a localhost-hoz. Webböngészővel lépjen a(z) `http://127.0.0.1:8080` helyszínállomásra, majd adja meg a rendszergazda felhasználónevét a Partner Hubhoz a kérésben. Az eszköz a felhasználónév első bejegyzésével állítja be a fiókhoz tartozó megfelelő környezetet. Az eszköz ezután megjeleníti a normál bejelentkezési üzenetet.
7	Amikor a rendszer kéri, adja meg a Partner Hub rendszergazdájának bejelentkezési hitelesítő adatait, majd kattintson a Bejelentkezés gombra, hogy engedélyezze a hozzáférést a hibrid adatbiztonsági szolgáltatáshoz szükséges szolgáltatásokhoz.
8	A Beállítóeszköz áttekintése oldalon kattintson az Első lépések gombra.
9	Az ISO-importálás oldalon kattintson az Igen gombra.
10	Válassza ki az ISO-fájlt a böngészőben, és töltse fel.
11	Menjen a Bérlő CMK kezelése lapra, ahol a bérlő CMK-k kezelésének alábbi három módja található. CMK visszavonása az összes szervezet számára vagy CMK visszavonása – kattintson erre a gombra a képernyő tetején látható szalagon, ha szeretné visszavonni az összes eltávolított szervezet CMK-ját. Kattintson a CMK kezelése gombra a képernyő jobb oldalán, majd kattintson a CMK visszavonása gombra az összes eltávolított szervezet CMK-jének visszavonásához. Kattintson a gombra egy adott szervezet CMK visszavonásához állapot közelében a táblázatban, majd kattintson a CMK visszavonása gombra az adott szervezet CMK visszavonásához.
12	A CMK visszavonása sikeres, az ügyfél szervezete többé nem jelenik meg a táblázatban.
13	Ha a CMK visszavonása sikertelen, egy hiba jelenik meg.

Tesztelje hibrid adatbiztonsági szolgáltatás telepítését

A hibrid adatbiztonsági szolgáltatás telepítésének tesztelése

Ezzel az eljárással tesztelheti a több-bérlős hibrid adatbiztonsági titkosítási forgatókönyveket.

Mielőtt elkezdené

Állítsa be a több-bérlős hibrid adatbiztonsági szolgáltatás üzembe helyezését.
Bizonyosodjon meg arról, hogy rendelkezik-e hozzáféréssel a syslog-hoz, és ellenőrizze, hogy a kulcskérések továbbításra kerülnek-e a többbérlős hibrid adatbiztonsági szolgáltatás telepítésébe.

1

Az adott szoba kulcsait a szoba létrehozója állítja be. Jelentkezzen be a Webex alkalmazásba az ügyfél szervezetének egyik felhasználójaként, majd hozzon létre egy szobát.

Ha inaktiválja a hibrid adatbiztonsági szolgáltatás telepítését, a felhasználók által létrehozott terekben lévő tartalom többé nem érhető el, miután kicserélték a titkosítási kulcsok kliens által gyorsítótárazott másolatait.

2

Üzenetek küldése az új szobába.

3

Ellenőrizze a syslog kimenetet, és ellenőrizze, hogy a kulcskérések eljutnak-e a hibrid adatbiztonsági szolgáltatáshoz.

Ha ellenőrizni szeretné, hogy egy felhasználó először létrehoz-e biztonságos csatornát a KMS-hez, szűrőt a következő helyeken: kms.data.method=create és kms.data.type=EPHEMERAL_KEY_COLLECTION:

Meg kell találni egy bejegyzést, mint például a következő (az azonosítók rövidítve olvashatóság):

2020-07-21 17:35:34.562 (+0000) INFO KMS [pool-14-thread-1] - [KMS:REQUEST] fogadva, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.host=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

Ha ellenőrizni szeretné, hogy egy felhasználó kér-e meglévő kulcsot a KMS-ből, szűrőt a kms.data.method=retrieve és a kms.data.type=KEY oldalon:

Olyan bejegyzést kell találnia, mint:

2020-07-21 17:44:19.889 (+0000) INFO KMS [pool-14-thread-31] - [KMS:REQUEST] fogadva, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

Egy új KMS-kulcs létrehozását kérő felhasználó megkereséséhez szűrje a kms.data.method=create és a kms.data.type=KEY_COLLECTION elemekre:

Olyan bejegyzést kell találnia, mint:

2020-07-21 17:44:21.975 (+0000) INFO KMS [pool-14-thread-33] - [KMS:REQUEST] fogadva, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

Ha ellenőrizni szeretné, hogy egy felhasználó új KMS-erőforrásobjektum (KRO) létrehozását kéri-e egy tér vagy más védett erőforrás létrehozásakor, a szűrőt a kms.data.method=create és a kms.data.type=RESOURCE_COLLECTION elemekre:

Olyan bejegyzést kell találnia, mint:

2020-07-21 17:44:22.808 (+0000) INFO KMS [pool-15-thread-1] - [KMS:REQUEST] fogadva, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

Hibrid adatbiztonsági szolgáltatás állapotának megfigyelése

A Partner Hubon belül egy állapotjelző mutatja, hogy minden rendben van-e a több-bérlős hibrid adatbiztonsági szolgáltatás telepítésével. A proaktívabb riasztáshoz regisztráljon az e-mail-értesítésekre. Értesítést kap, ha szolgáltatást befolyásoló riasztások vagy szoftverfrissítések érkeznek.

1	A Partnerközpontban válassza a Szolgáltatások lehetőséget a képernyő bal oldalán található menüből.
2	A Felhőszolgáltatások részben keresse meg a hibrid adatbiztonsági szolgáltatást, majd kattintson a Beállítások szerkesztése lehetőségre. Megjelenik a Hibrid adatbiztonsági beállítások oldal.
3	Az E-mail-értesítések szakaszban adjon meg egy vagy több e-mail-címet vesszővel elválasztva, majd nyomja meg az Enter billentyűt.

HDS-telepítés kezelése

Az itt ismertetett feladatokat a hibrid adatbiztonsági szolgáltatás telepítésének kezeléséhez használja.

Fürtverziófrissítési ütemezés beállítása

A hibrid adatbiztonságra vonatkozó szoftverfrissítések a fürt szintjén automatikusan végrehajtásra kerülnek, ami biztosítja, hogy minden csomópont mindig ugyanazt a szoftververziót használja. A frissítések a fürt frissítési ütemezése szerint zajlanak. Amikor egy szoftverfrissítés elérhetővé válik, lehetősége van arra, hogy a beütemezett frissítési idő előtt manuálisan frissítse a fürtöt. Beállíthat egy konkrét frissítési ütemezést, vagy használhatja az alapértelmezett 3:00-as ütemezést: Amerika/Los Angeles. Szükség esetén elhalaszthatja a soron következő verziófrissítést is.

A verziófrissítési ütemezés beállítása:

1	Jelentkezzen be a Partnerközpontba.
2	A képernyő bal oldalán található menüből válassza a Szolgáltatásoklehetőséget.
3	A Felhőszolgáltatások részben keresse meg a hibrid adatbiztonsági szolgáltatást, majd kattintson a Beállítás gombra
4	A Hibrid adatbiztonsági erőforrások oldalon válassza ki a fürtöt.
5	Kattintson a Fürtbeállítások fülre.
6	A Fürtbeállítások oldalon a Verziófrissítési ütemezés alatt válassza ki a verziófrissítési ütemezéshez tartozó időt és időzónát. Megjegyzés: Az időzóna alatt a következő elérhető verziófrissítés dátuma és ideje jelenik meg. Ha szükséges, a Halasztás 24 órával opcióra kattintva elhalaszthatja a frissítést a következő napra.

A csomópont konfigurációjának módosítása

Előfordulhat, hogy időnként módosítania kell a hibrid adatbiztonsági csomópont konfigurációját olyan okok miatt, mint például:

Az x.509 tanúsítványok módosítása lejárati vagy egyéb okok miatt.

Nem támogatjuk a tanúsítvány CN domain nevének megváltoztatását. A domainnek egyeznie kell a fürt regisztrálásához használt eredeti domainnel.
Adatbázis-beállítások frissítése a PostgreSQL vagy a Microsoft SQL Server adatbázis kópiájára való váltáshoz.

Nem támogatjuk az adatok áttelepítését PostgreSQL-ről Microsoft SQL Server-re, vagy fordítva. Az adatbázis-környezet megváltoztatásához indítsa el a Hybrid Data Security új telepítését.
Új konfiguráció létrehozása új adatközpont előkészítéséhez.

Biztonsági okokból a Hybrid Data Security kilenc hónapos élettartamú szolgáltatási fiókjelszavakat is használ. Miután a HDS telepítőeszköz létrehozza ezeket a jelszavakat, az ISO konfigurációs fájlban minden HDS-csomópontra telepíti őket. Amikor a szervezet jelszavai a lejárathoz közelednek, értesítést kap a Webex csapatától a gépfiók jelszavának visszaállításáról. (Az e-mail tartalmazza a szöveget: "Használja a gép fiók API frissíteni a jelszót.") Ha jelszavai még nem jártak le, az eszköz két lehetőséget kínál:

Soft reset – A régi és az új jelszó egyaránt legfeljebb 10 napig használható. Használja ezt az időszakot a csomópontok ISO-fájljának fokozatos cseréjére.
Kemény alaphelyzetbe állítás – A régi jelszavak azonnal leállnak.

Ha jelszavai alaphelyzetbe állítás nélkül járnak le, az hatással van a HDS-szolgáltatásra, és az összes csomóponton az ISO-fájl azonnali hardveres alaphelyzetbe állítását és cseréjét igényli.

Használja ezt az eljárást egy új konfigurációs ISO-fájl létrehozásához és alkalmazásához a fürtön.

Mielőtt elkezdené

A HDS Setup eszköz Docker konténerként fut egy helyi gépen. Ha hozzá akarsz férni, futtasd a Dockert azon a gépen. A beállítási folyamat megköveteli a partner teljes körű rendszergazdai jogosultságokkal rendelkező Partner Hub-fiók hitelesítő adatait.

Ha a HDS-beállító eszköz a környezetben proxy mögött fut, adja meg a proxybeállításokat (kiszolgáló, port, hitelesítő adatokat) a Docker környezeti változókon keresztül, amikor a Docker tárolót az 1.e-ben helyezi üzembe. Ez a táblázat néhány lehetséges környezeti változót tartalmaz:

Leírás	Változó
Http-proxy hitelesítés nélkül	`GLOBÁLIS_ÜGYNÖK_HTTP_PROXY=HTTP://KISZOLGÁLÓ_IP:PORT`
HTTPS-proxy hitelesítés nélkül	`GLOBÁLIS_ÜGYNÖK_HTTPS_PROXY=http://KISZOLGÁLÓ_IP:PORT`
Http-proxy hitelesítéssel	`GLOBÁLIS_ÜGYNÖK_HTTP_PROXY=http://felhasználónév:jelszó@kiszolgáló_IP:PORT`
HTTPS-proxy hitelesítéssel	`GLOBÁLIS_ÜGYNÖK_HTTPS_PROXY=http://felhasználónév:jelszó@kiszolgáló_IP:PORT`

Új konfiguráció létrehozásához az aktuális konfigurációs ISO-fájl másolata szükséges. Az ISO tartalmazza a PostgreSQL vagy Microsoft SQL Server adatbázist titkosító mesterkulcsot. Konfiguráció-módosításkor, beleértve az adatbázis-hitelesítő adatokat, a tanúsítványok frissítését vagy az engedélyezési irányelv módosítását, ISO-szabványra van szüksége.

1	A Docker helyi gépen történő használata esetén futtassa a HDS Setup Tool alkalmazást. A gép parancssorában adja meg a környezetének megfelelő parancsot: Rendszeres környezetben: `docker rmi ciscocitg/hds-setup:stabil` FedRAMP környezetben: `docker rmi ciscocitg/hds-setup-fedramp:stabil` Ezzel a lépéssel törölhetők a HDS telepítőeszköz korábbi képei. Ha nincsenek korábbi képek, akkor olyan hibát ad vissza, amelyet figyelmen kívül hagyhat. A Docker-képtárba való bejelentkezéshez írja be a következőket: `dokkoló bejelentkezés -u hdscustomersro` A jelszókéréskor írja be ezt a hash-t: `dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo` Töltse le a legfrissebb stabil képet a környezetéről: Rendszeres környezetben: `dokkoló húzás ciscocitg/hds-setup:stabil` FedRAMP környezetben: `dokkoló húzás ciscocitg/hds-setup-fedramp:stabil` Győződjön meg róla, hogy az eljáráshoz a legújabb telepítőeszközt választotta. Az eszköz 2018. február 22. előtt létrehozott verziói nem rendelkeznek jelszó-visszaállító képernyővel. Amikor a húzás befejeződött, adja meg a környezetének megfelelő parancsot: Rendszeres környezetben, proxy nélkül: `dokkoló futtatása -p 8080:8080 --rm -it ciscocitg/hds-setup:stable` Http proxyval rendelkező normál környezetben: `docker run -p 8080:8080 --rm -it-e GLOBAL_AGENT_HTTP_PROXY=http://SERVER IP:PORT_ ciscocitg/hds-setup:stable` Rendszeres környezetben, HTTPSproxyval: `docker run -p 8080:8080 --rm -it-e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER IP:PORT_ ciscocitg/hds-setup:stable` FedRAMP környezetben, proxy nélkül: `dokkoló futtatása -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable` Http proxyval rendelkező FedRAMP környezetben: `docker run -p 8080:8080 --rm -it-e GLOBAL_AGENT_HTTP_PROXY=http://SERVER IP:PORT_ ciscocitg/hds-setup-fedramp:stable` FedRAMP környezetben https proxyval: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER IP:PORT_ ciscocitg/hds-setup-fedramp:stable` Amikor a tároló fut, megjelenik az "Express szerver hallgat a 8080-as porton". Használjon böngészőt a localhosthoz való `http://127.0.0.1:8080`csatlakozáshoz. A beállítóeszköz nem támogatja a localhost-hoz való csatlakozást a http://localhost:8080-on keresztül. A(z) http://127.0.0.1:8080 használatával kapcsolódhat a localhost-hoz. Amikor a rendszer kéri, adja meg a Partner Hub ügyfél bejelentkezési hitelesítő adatait, majd kattintson az Elfogadás gombra a folytatáshoz. Importálja az aktuális konfigurációs ISO-fájlt. Kövesse a figyelmeztetéseket az eszköz befejezéséhez és a frissített fájl letöltéséhez. A beállítóeszköz leállításához gépelje be a `CTRL+C` billentyűkombinációt. Készítsen biztonsági másolatot a frissített fájlról egy másik adatközpontban.
2	Ha csak egy HDS-csomópont fut, hozzon létre egy új hibrid adatbiztonsági szolgáltatás-csomópontot, és regisztrálja azt az új konfigurációs ISO-fájl használatával. Részletes útmutatásért lásd: További csomópontok létrehozása és regisztrálása. Telepítse a HDS GAZDAPETEFÉSZKET. A HDS VM beállítása. Csatolja a frissített konfigurációs fájlt. Regisztrálja az új csomópontot a Partnerközpontban.
3	A régebbi konfigurációs fájlt futtató HDS-csomópontok esetében csatlakoztassa az ISO-fájlt. Végezze el a következő eljárást minden csomóponton, majd frissítse az egyes csomópontokat, mielőtt kikapcsolná a következő csomópontot: Kapcsolja ki a virtuális gépet. A VMware vSphere kliens bal oldali navigációs ablakában kattintson jobb gombbal a VM-re, majd kattintson a Beállítások szerkesztése lehetőségre. Kattintson `a CD/DVD Drive 1`elemre, válassza ki az ISO-fájlból való csatlakoztatás lehetőségét, és keresse meg azt a helyet, ahol letöltötte az új konfigurációs ISO-fájlt. Bekapcsoláskor ellenőrizze a csatlakoztatást. Mentsd el a módosításokat és az energiát a virtuális gépen.
4	Ismételje meg a 3. lépést a konfiguráció cseréjéhez a régi konfigurációt futtató minden megmaradt csomóponton.

A blokkolt külső DNS-feloldási mód kikapcsolása

Amikor regisztrál egy csomópontot, vagy ellenőrzi a csomópont proxykonfigurációját, a folyamat teszteli a DNS-ellenőrzést és a Cisco Webex felhővel való kapcsolatot. Ha a csomópont DNS-kiszolgálója nem tudja feloldani a nyilvános DNS-neveket, a csomópont automatikusan blokkolt külső DNS-feloldási módba lép.

Ha a csomópontok képesek feloldani a nyilvános DNS-neveket a belső DNS-kiszolgálókon keresztül, kikapcsolhatja ezt a módot az egyes csomópontok proxykapcsolati tesztjének újrafuttatásával.

Mielőtt elkezdené

Győződjön meg arról, hogy a belső DNS-kiszolgálók képesek megoldani a nyilvános DNS-neveket, és hogy a csomópontok képesek kommunikálni velük.

1	Webböngészőben nyissa meg a hibrid adatbiztonsági csomópont felületét (például IP-cím/beállítás https://192.0.2.0/setup), adja meg a csomóponthoz beállított rendszergazdai hitelesítő adatokat, majd kattintson a Bejelentkezésgombra.
2	Lépjen az Áttekintés (az alapértelmezett lap) oldalra. Ha engedélyezve van, a letiltott külső DNS-felbontás igen értékre van állítva.
3	Lépjen a Megbízhatósági áruház és proxy oldalra.
4	Kattintson a Proxykapcsolat ellenőrzéseelemre. Ha olyan üzenet jelenik meg, amely szerint a külső DNS-felbontás nem sikerült, a csomópont nem tudta elérni a DNS-kiszolgálót, és ebben a módban marad. Ellenkező esetben a csomópont újraindítása és az Áttekintés lapra való visszalépés után a blokkolt külső DNS-felbontást nemre kell állítani.

Mi a következő lépés

Ismételje meg a proxykapcsolati tesztet a hibrid adatbiztonsági fürt minden csomópontján.

Csomópont eltávolítása

Ezzel az eljárással eltávolíthat egy hibrid adatbiztonsági szolgáltatás-csomópontot a Webex-felhőből. Miután eltávolította a csomópontot a fürtből, törölje a virtuális gépet, hogy megakadályozza a további hozzáférést a biztonsági adatokhoz.

1

A számítógépén lévő VMware vSphere kliens használatával jelentkezzen be az ESXi virtuális állomásba, és kapcsolja ki a virtuális gépet.

2

Csomópont eltávolítása:

Jelentkezzen be a Partnerközpontba, majd válassza a Szolgáltatásoklehetőséget.
A hibrid adatbiztonsági szolgáltatás kártyán kattintson az Összes megtekintése gombra a hibrid adatbiztonsági erőforrások oldal megjelenítéséhez.
Válassza ki a fürtöt az Áttekintés panel megjelenítéséhez.
Kattintson az eltávolítani kívánt csomópontra.
Kattintson a Csomópont regisztrációjának törlése lehetőségre a jobb oldalon megjelenő panelen
A csomópont regisztrációját úgy is törölheti, hogy rákattint a csomópont jobb oldalára, és kiválasztja a Csomópont eltávolítása lehetőséget.

3

A vSphere kliensben törölje a VM-et. (A bal oldali navigációs panelen kattintson a jobb gombbal a VM-re, majd kattintson a Törlés gombra.)

Ha nem törli a VM-et, ne felejtse el eltávolítani a konfigurációs ISO-fájlt. Az ISO fájl nélkül nem lehet hozzáférni a biztonsági adatokhoz a VM segítségével.

Katasztrófa-helyreállítás a készenléti adatközpont használatával

A hibrid adatbiztonsági szolgáltatás-fürt által nyújtott legkritikusabb szolgáltatás az üzenetek és más tartalmak titkosításához használt kulcsok létrehozása és tárolása a Webex-felhőben. A szervezeten belüli minden olyan felhasználó számára, aki hozzá van rendelve a hibrid adatbiztonsághoz, a rendszer átirányítja az új kulcslétrehozási kérelmeket a fürthöz. A fürt felelős a létrehozott kulcsok visszaküldéséért is bármely, a lekérésre jogosult felhasználónak, például egy beszélgetési szoba tagjainak.

Mivel a fürt a kulcsok biztosításának kritikus funkcióját végzi, elengedhetetlen, hogy a fürt továbbra is fusson, és megfelelő biztonsági mentéseket tartson fenn. A hibrid adatbiztonsági szolgáltatás-adatbázis vagy a sémához használt konfigurációs ISO elvesztése az ügyféltartalom VISSZAFORDÍTHATATLAN ELVESZTÉSÉT eredményezi. Az ilyen veszteség megelőzése érdekében a következő gyakorlatok kötelezőek:

Ha egy katasztrófa miatt a HDS telepítése nem érhető el az elsődleges adatközpontban, kövesse ezt az eljárást a készenléti adatközpontba való manuális feladatátvételhez.

Mielőtt elkezdené

Törölje az összes csomópont regisztrációját a Partner Hubból a Csomópont eltávolítása részben említettek szerint. Az alább említett feladatátvételi eljárás végrehajtásához használja a korábban aktív fürt csomópontjain konfigurált legújabb ISO-fájlt.

1	Indítsa el a HDS telepítőeszközt, és kövesse a Konfigurációs ISO létrehozása a HDS szervezők számára című részben említett lépéseket.
2	Végezze el a konfigurációs folyamatot, és mentse el az ISO fájlt egy könnyen megtalálható helyre.
3	Készítsen biztonsági másolatot az ISO fájlról a helyi rendszerre. Tartsa biztonságban a biztonsági másolatot. Ez a fájl az adatbázis tartalmához tartozó fő titkosítási kulcsot tartalmaz. Korlátozza a hozzáférést csak azokra a hibrid adatbiztonsági szolgáltatás-rendszergazdákra, akiknek konfigurációs módosításokat kell végrehajtaniuk.
4	A VMware vSphere kliens bal oldali navigációs ablakában kattintson jobb gombbal a VM-re, majd kattintson a Beállítások szerkesztése lehetőségre.
5	Kattintson a Beállítások szerkesztése >CD/DVD Drive 1 elemre, és válassza a Datastore ISO-fájl lehetőséget. Győződjön meg arról, hogy a Csatlakoztatva és a Kapcsolódás bekapcsolva be van jelölve, hogy a frissített konfigurációs módosítások a csomópontok elindítása után életbe lépjenek.
6	Kapcsolja be a HDS-csomópontot, és győződjön meg arról, hogy legalább 15 percig nincs riasztás.
7	Regisztrálja a csomópontot a Partnerközpontban. Lásd: A fürt első csomópontjának regisztrálása.
8	Ismételje meg a folyamatot minden csomóponthoz a készenléti adatközpontban.

Mi a következő teendő

A feladatátvétel után, ha az elsődleges adatközpont ismét aktívvá válik, törölje a készenléti adatközpont csomópontjainak regisztrációját, és ismételje meg az ISO konfigurálását és az elsődleges adatközpont csomópontjainak regisztrálását a fent említettek szerint.

(Opcionális) ISO leválasztása a HDS-konfiguráció után

A standard HDS konfiguráció az ISO csatlakozóval fut. Néhány ügyfél azonban nem szeretné, ha az ISO fájlokat folyamatosan csatlakoztatva hagyná. Az ISO fájl leszerelhető, miután az összes HDS-csomópont felvette az új konfigurációt.

A konfiguráció módosításához továbbra is az ISO-fájlokat használja. Amikor új ISO-t hoz létre vagy frissít egy ISO-t a Telepítőeszköz segítségével, a frissített ISO-t minden HDS-csomópontra fel kell szerelnie. Miután az összes csomópont átvette a konfigurációs módosításokat, újra leszerelheti az ISO-t ezzel az eljárással.

Mielőtt elkezdené

Frissítse az összes HDS-csomópontot a 2021.01.22.4720-as vagy újabb verzióra.

1	Állítsa le az egyik HDS-csomópontot.
2	A vCenter Server Appliance-ben válassza ki a HDS csomópontot.
3	Válassza a Beállítások szerkesztése > CD-/DVD-meghajtó lehetőséget, és törölje az ISO-fájl jelölését.
4	Kapcsolja be a HDS-csomópontot, és biztosítsa, hogy legalább 20 percig ne legyen riasztás.
5	Ismételje meg egymás után minden HDS-csomópont esetében.

Hibrid adatbiztonsági szolgáltatás hibaelhárítása

Riasztások és hibaelhárítás megtekintése

A hibrid adatbiztonsági szolgáltatás telepítése nem érhető el, ha a fürtben lévő összes csomópont nem érhető el, vagy a fürt olyan lassan működik, hogy időtúllépést igényel. Ha a felhasználók nem tudják elérni a hibrid adatbiztonsági szolgáltatás-fürtöt, a következő tüneteket tapasztalják:

Nem lehet új szobákat létrehozni (nem lehet új kulcsot létrehozni)
Nem sikerült visszafejteni az üzeneteket és a szobák címeit a következőhöz:
- Új felhasználók hozzáadva egy szobához (nem lehet lekérni a kulcsokat)
- Meglévő felhasználók egy szobában új klienssel (nem lehet lekérni a kulcsokat)
A szobában lévő meglévő felhasználók továbbra is sikeresen futnak, amennyiben az ügyfeleik rendelkeznek a titkosítási kulcsok gyorsítótárával

Fontos, hogy megfelelően figyelje a hibrid adatbiztonsági szolgáltatás-fürtöt, és azonnal kezelje az esetleges riasztásokat, hogy elkerülje a szolgáltatás megszakadását.

Riasztások

Ha probléma van a hibrid adatbiztonsági szolgáltatás beállításával, a Partner Hub riasztásokat jelenít meg a szervezet rendszergazdájának, és e-maileket küld a konfigurált e-mail-címre. A riasztások számos gyakori forgatókönyvet fednek le.

1. táblázat Gyakori problémák és a megoldásukhoz szükséges lépések
Riasztás	Művelet
Helyi adatbázis-hozzáférés sikertelen.	Keressen adatbázishibákat vagy helyi hálózati problémákat.
Nem sikerült csatlakozni a helyi adatbázishoz.	Ellenőrizze, hogy az adatbázis szerver elérhető-e, és a megfelelő szolgáltatásfiók hitelesítő adatokat használták-e a csomópont konfigurációjában.
Sikertelen volt a felhőszolgáltatás-hozzáférés.	Ellenőrizze, hogy a csomópontok hozzáférhetnek-e a Webex kiszolgálókhoz a Külső kapcsolódási követelmények pontban meghatározottak szerint.
A felhőszolgáltatás regisztrációjának megújítása.	A felhőszolgáltatásokba való regisztráció megszakadt. A lajstromozás megújítása folyamatban van.
A felhőszolgáltatás regisztrációja megszakadt.	A felhőszolgáltatásokba való regisztráció leállt. A szolgáltatás leáll.
A szolgáltatás még nincs aktiválva.	Aktiválja a HDS-t a Partnerközpontban.
A konfigurált tartomány nem egyezik a kiszolgáló tanúsítványával.	Győződjön meg arról, hogy a kiszolgálótanúsítvány megegyezik a konfigurált szolgáltatásaktiválási tartománygal. A legvalószínűbb ok az, hogy a CN tanúsítványt nemrégiben módosították, és mostantól különbözik a kezdeti beállítás során használt CN-től.
A felhőszolgáltatásokhoz való hitelesítés sikertelen.	Ellenőrizze a szolgáltatásfiók hitelesítő adatainak pontosságát és esetleges lejáratát.
Nem sikerült megnyitni a helyi kulcstár fájlját.	Ellenőrizze az integritást és a jelszó pontosságát a helyi kulcstárfájlban.
A helyi kiszolgáló tanúsítványa érvénytelen.	Ellenőrizze a kiszolgáló tanúsítványának lejárati dátumát, és erősítse meg, hogy azt egy megbízható hitelesítésszolgáltató állította ki.
Nem lehet mérőszámokat közzétenni.	Ellenőrizze a külső felhőszolgáltatásokhoz való helyi hálózati hozzáférést.
A /media/configdrive/hds könyvtár nem létezik.	Ellenőrizze az ISO rögzítési konfigurációt a virtuális állomáson. Ellenőrizze, hogy az ISO fájl létezik-e, hogy újraindításkor csatlakoztatásra van-e konfigurálva, és hogy sikeresen csatlakozik-e.
A bérlő szervezetének beállítása nem fejeződött be a hozzáadott szervezetek esetében	A beállítást úgy fejezze be, hogy CMK-ket hoz létre az újonnan hozzáadott bérlő szervezetek számára a HDS-telepítőeszköz használatával.
A bérlő szervezeti beállítása az eltávolított szervezetek esetében nem fejeződött be	A telepítést végezze el az olyan bérlő szervezetek CMK-jének visszavonásával, amelyeket a HDS telepítőeszköz használatával távolítottak el.

Hibrid adatbiztonsági szolgáltatás hibaelhárítása

A hibrid adatbiztonsági szolgáltatással kapcsolatos problémák elhárításakor használja a következő általános irányelveket.

1	Ellenőrizze a Partner Hubot az esetleges riasztások miatt, és javítsa ki az ott található elemeket. Bővebb tájékoztatásért lásd az alábbi képet.
2	Ellenőrizze a Hibrid adatbiztonsági szolgáltatás telepítésből származó tevékenységhez tartozó syslog szerver kimenetét. A hibaelhárítás érdekében szűrje az olyan szavakra, mint a „Figyelmeztetés” és a „Hiba”.
3	Forduljon a Cisco ügyfélszolgálatához.

Egyéb megjegyzések

A hibrid adatbiztonsági szolgáltatás ismert problémái

Ha leállítja a hibrid adatbiztonsági szolgáltatás-fürtöt (a Partner Hubban történő törléssel vagy az összes csomópont leállításával), elveszíti a konfigurációs ISO-fájlt, vagy elveszíti a kulcsrakész-adatbázishoz való hozzáférést, az ügyfélszervezetek Webex alkalmazás felhasználói többé nem használhatják a KMS-ből kulcsokkal létrehozott Személyek listában szereplő szobákat. Jelenleg nem rendelkezünk megoldással vagy megoldással ehhez a problémához, és arra kérjük, hogy ne állítsa le a HDS-szolgáltatásait, miután azok aktív felhasználói fiókokat kezelnek.
Az az ügyfél, amely meglévő ECDH-kapcsolattal rendelkezik egy KMS-sel, egy ideig (valószínűleg egy órán keresztül) tartja fenn a kapcsolatot.

OpenSSL használata PKCS12 fájl létrehozásához

Mielőtt elkezdené

Az OpenSSL egy olyan eszköz, amellyel a PKCS12 fájlt a megfelelő formátumban lehet betölteni a HDS telepítőeszközben. Ennek más módjai is vannak, és nem támogatjuk vagy támogatjuk az egyik módot a másikkal szemben.
Ha az OpenSSL használatát választja, útmutatóként biztosítjuk ezt az eljárást, hogy segítsen létrehozni egy olyan fájlt, amely megfelel az X.509 Certificate Requirements (X.509 Certificate Requirements) X.509 tanúsítványkövetelményeinek. Mielőtt folytatná, ismerje meg ezeket a követelményeket.
Telepítse az OpenSSL-t támogatott környezetben. Lásd: https://www.openssl.org a szoftver és a dokumentáció.
Hozzon létre egy privát kulcsot.
Indítsa el ezt az eljárást, amikor megkapja a kiszolgáló tanúsítványt a hitelesítésszolgáltatótól (CA).

1	Amikor megkapja a kiszolgálótanúsítványt a hitelesítésszolgáltatótól, mentse el `hdsnode.pem` formátumban.
2	A tanúsítvány megjelenítése szövegként, és ellenőrizze a részleteket. `openssl x509 - text - noout - in hdsnode.pem`
3	Használjon szövegszerkesztőt egy `hdsnode-bundle.pem` nevű tanúsítványkötegfájl létrehozásához. A csomagfájlnak tartalmaznia kell a kiszolgáló tanúsítványt, a közbenső CA-tanúsítványokat és a legfelső CA-tanúsítványokat az alábbi formátumban: `-----kezdési tanúsítvány----- ### Kiszolgáló tanúsítvány. ### -----befejező tanúsítvány----------------------------------------------------------------------------------------------------------------------- ### Közbenső CA-tanúsítvány. ### -----befejező tanúsítvány----------------------------------------------------------------------------------------------------------------------- ### Legfelső szintű CA-tanúsítvány. ### -----befejező tanúsítvány-----`
4	Hozza létre a .p12 fájlt `kms-private-key` névvel. `openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -név kms-private-key -caname kms-private-key -out hdsnode.p12`
5	Ellenőrizze a kiszolgáló tanúsítványának részleteit. `nyissa meg a pkcs12 -t a hdsnode.p12-ben` Adjon meg egy jelszót a titkos kulcs titkosítására vonatkozó kérésnél, hogy az megjelenjen a kimenetben. Ezután ellenőrizze, hogy a titkos kulcs és az első tanúsítvány tartalmazza-e a `friendlyName vonalakat: kms-private-key`. Példa: bash$ openssl pkcs12 -in hdsnode.p12 Adja meg az importálási jelszót: MAC által ellenőrzött OK táska attribútumok friendlyName: kms-private-key localKeyId: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Kulcsattribútumok: Adja meg a PEM-belépési kifejezést: Ellenőrzés – Adja meg a PEM-belépési kifejezést: -----KEZDJE EL TITKOSÍTOTT TITKOS KULCS----- -----END TITKOSÍTOTT TITKOS KULCS------ Táska attribútumai friendlyName: kms-private-key localKeyId: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 ------BEGIN CERTIFICATE---- -----END CERTIFICATE----- Bag Attributes friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US tárgy=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 kibocsátó=/O=Digital Signature Trust Co./CN=DST legfelső szintű hitelesítésszolgáltató X3 -----BEGIN CERTIFICATE---- -----END CERTIFICATE-----

Mi a következő teendő

Visszatérés a Hibrid adatbiztonsági szolgáltatás előfeltételeinek teljesítése lehetőséghez. A hdsnode.p12 fájlt és a hozzá beállított jelszót fogja használni az ISO-konfiguráció létrehozása a HDS-állomásoknál menüpontban.

Ezeket a fájlokat újra felhasználhatja új tanúsítvány kéréséhez, amikor az eredeti tanúsítvány lejár.

HDS-csomópontok és a felhő közötti forgalom

Kimenő mérőszámok gyűjtésének forgalma

A hibrid adatbiztonsági csomópontok bizonyos mérőszámokat küldenek a Webex felhőbe. Ezek közé tartoznak a heap max, a használt heap, a CPU terhelése és a szálszám rendszermérőszámai; a szinkronizált és aszinkron szálak mérőszámai; a titkosítási kapcsolatok küszöbértékét, a késleltetést vagy a kérés sor hosszát érintő riasztások mérőszámai; az adatkészlet mérőszámai; és a titkosítási kapcsolat mérőszámai. A csomópontok titkosított kulcs anyagot küldenek egy sávon kívüli (a kérelemtől elkülönülő) csatornán keresztül.

Bejövő forgalom

A hibrid adatbiztonsági szolgáltatás-csomópontok a bejövő forgalom alábbi típusait kapják meg a Webex-felhőből:

Az ügyfelektől érkező, a titkosítási szolgáltatás által irányított titkosítási kérések
A csomópont szoftverének frissítései

Squid-proxyk konfigurálása a hibrid adatbiztonsághoz

A Websocket nem tud tintahal-proxyn keresztül csatlakozni

A HTTPS-forgalmat ellenőrző Squid-proxyk zavarhatják a websocket (wss:) kapcsolatok létrehozását, amelyeket a Hibrid adatbiztonsági szolgáltatás igényel. Ezek a szakaszok útmutatást nyújtanak arról, hogyan konfigurálhatja a Squid különböző verzióit a wss figyelmen kívül hagyásához: a szolgáltatások megfelelő működéséhez szükséges forgalom.

Tintahal 4 és 5

Adja hozzá az on_unsupported_protocol irányelvet a squid.conf fájlhoz:

on_unsupported_protocol az alagút

Tintahal 3.5.27

Sikeresen teszteltük a hibrid adatbiztonságot a következő szabályokkal, amelyek hozzáadva vannak a squid.conf.conf-hez. Ezek a szabályok változhatnak a funkciók fejlesztése és a Webex felhő frissítése során.

acl wssMercuryConnection ssl::server_name_regex Mercury-kapcsolat ssl_bump splice wssMercuryConnection acl step1 at_step SslBump1 acl step2 at_step SslBump2 acl step3 at_step SslBump3 ssl_bump peek step1 all ssl_bump stare step2 all ssl_bump bump step3 all

Új és módosított információk

Ez a táblázat ismerteti az új funkciókat vagy funkciókat, a meglévő tartalom módosításait, valamint a Több-bérlős hibrid adatbiztonsági szolgáltatás üzembehelyezési útmutatójában kijavított főbb hibákat.

Dátum	Módosítások
2025. január 8.	Hozzáadtunk egy megjegyzést a Kezdeti beállítási és telepítési fájlok letöltése részben, amely kimondja, hogy a Beállítás elemre kattintva a Partner Hubban a HDS-kártyán, a telepítési folyamat fontos lépése.
2025. január 7.	Frissült a Virtuális szervezőre vonatkozó követelmények, a Hibrid adatbiztonsági szolgáltatás telepítési feladatfolyama, és a HDS Host OVA telepítése az ESXi 7.0 új követelményének megjelenítéséhez.
2024. december 13.	Először megjelent.

Több-bérlős hibrid adatbiztonsági szolgáltatás inaktiválása

Több-bérlős HDS-deaktiválási feladatfolyamat

Kövesse az alábbi lépéseket a több-bérlős HDS teljes kikapcsolásához.

Mielőtt elkezdené

Ezt a feladatot csak teljes jogú partnerrendszergazda végezheti el.

1	Távolítsa el az összes ügyfelet az összes fürtből, a Bérlői szervezetek eltávolítása részben említettek szerint.
2	Vonja vissza az összes ügyfél CMK-jét, a HDS-ből eltávolított bérlők CMK-jének visszavonása című részben említettek szerint.
3	Távolítsa el az összes csomópontot az összes fürtből, a Csomópont eltávolítása részben említettek szerint.
4	Törölje az összes fürtöt a Partnerközpontból a következő két módszer valamelyikével. Kattintson a törölni kívánt fürtre, majd az áttekintés oldal jobb felső sarkában válassza a Fürt törlése lehetőséget. Az Erőforrások oldalon kattintson a fürt jobb oldalán, és válassza a Fürt eltávolításalehetőséget.
5	Kattintson a Beállítások fülre a hibrid adatbiztonsági szolgáltatás áttekintő oldalán, majd kattintson a HDS inaktiválása gombra a HDS-állapotkártyán.

Első lépések a több-bérlős hibrid adatbiztonsági szolgáltatással

Több-bérlős hibrid adatbiztonsági szolgáltatás áttekintése

A Webex alkalmazás tervezésekor az első naptól kezdve az adatbiztonság volt az elsődleges hangsúly. A biztonság sarokköve a tartalom végpontok közötti titkosítása, amelyet a Key Management Service (KMS) szolgáltatással együttműködő Webex alkalmazás ügyfelei engedélyeznek. A KMS felelős az üzenetek és fájlok dinamikus titkosítására és visszafejtésére használt kriptográfiai kulcsok létrehozásáért és kezeléséért.

Alapértelmezés szerint a Webex alkalmazás összes ügyfele a felhőalapú KMS-ben, a Cisco biztonsági tartományában tárolt dinamikus kulcsokkal kap végpontok közötti titkosítást. A Hybrid Data Security a KMS-T és más, biztonsággal kapcsolatos funkciókat a vállalati adatközpontba helyezi át, így csak Ön rendelkezik a titkosított tartalom kulcsaival.

A több bérlős hibrid adatbiztonsági szolgáltatás lehetővé teszi a szervezetek számára a HDS kihasználását egy megbízható helyi partneren keresztül, aki szolgáltatóként tevékenykedhet, és kezelheti a helyszíni titkosítást és egyéb biztonsági szolgáltatásokat. Ez a beállítás lehetővé teszi a partnerszervezet számára, hogy teljes ellenőrzést gyakoroljon a titkosítási kulcsok telepítése és kezelése felett, valamint biztosítja az ügyfélszervezetek felhasználói adatainak külső hozzáféréstől való biztonságát. A partnerszervezetek szükség szerint HDS-példányokat állíthatnak be, és HDS-fürtöket hozhatnak létre. Minden egyes példány több ügyfélszervezetet is támogathat, ellentétben a rendszeres HDS-telepítéssel, amely egyetlen szervezetre korlátozódik.

Bár a partnerszervezetek felügyelik a telepítést és a kezelést, nem férnek hozzá az ügyfelek által generált adatokhoz és tartalmakhoz. Ez a hozzáférés az ügyfélszervezetekre és azok felhasználóira korlátozódik.

Ez lehetővé teszi a kisebb szervezetek számára, hogy kihasználják a HDS-t, mivel a kulcskezelési szolgáltatás és a biztonsági infrastruktúra, például az adatközpontok a megbízható helyi partner tulajdonában vannak.

Hogyan biztosítja a több-bérlős hibrid adatbiztonság az adatszuverenitást és adatvezérlést?

A felhasználók által létrehozott tartalmak védve vannak a külső hozzáféréstől, például a felhőszolgáltatóktól.
A helyi megbízható partnerek kezelik azoknak az ügyfeleknek a titkosítási kulcsait, akikkel már kialakult kapcsolatuk.
Helyi műszaki támogatási lehetőség, ha azt a partner biztosítja.
Támogatja az értekezleteket, az üzenetküldést és a hívást.

Ez a dokumentum célja, hogy segítse a partnerszervezeteket az ügyfelek létrehozásában és kezelésében egy több-bérlős hibrid adatbiztonsági rendszer keretében.

Szerepkörök a többbérlős hibrid adatbiztonsági szolgáltatásban

Partner teljes jogú rendszergazdája – a partner által kezelt összes ügyfél beállításait kezelheti. A szervezetben már meglévő felhasználókhoz rendszergazdai szerepköröket is hozzárendelhet, és kijelölhet bizonyos ügyfeleket, akiket a partner rendszergazdái kezelhetnek.
Partnerrendszergazda – Kezelheti a rendszergazda által biztosított vagy a felhasználóhoz rendelt ügyfelek beállításait.
Teljes jogú rendszergazda – A partnerszervezet olyan rendszergazdája, aki jogosult olyan feladatok elvégzésére, mint például a szervezeti beállítások módosítása, a licencek kezelése és szerepkörök hozzárendelése.

Végponttól végpontig több-bérlős HDS beállítása és kezelése az összes ügyfélszervezet esetében – Partneri rendszergazdai és teljes körű rendszergazdai jogok szükségesek.
Hozzárendelt bérlő szervezetek kezelése – Partnerrendszergazdai és teljes körű rendszergazdai jogok szükségesek.

Biztonsági tartomány architektúrája

A Webex felhőarchitektúra a különböző típusú szolgáltatásokat külön tartományokra vagy megbízható tartományokra osztja szét, az alábbiakban bemutatottak szerint.

A hibrid adatbiztonság további megértéséhez először tekintsük meg ezt a tiszta felhőalapú esetet, amelyben a Cisco a felhőbirodalmában minden funkciót biztosít. Az identitásszolgáltatás, az egyetlen hely, ahol a felhasználók közvetlenül korrelálhatók személyes adataikkal, például az e-mail-címükkel, logikusan és fizikailag elkülönül a B adatközpont biztonsági tartományától. Mindkettő viszont elkülönül attól a tartománytól, ahol a titkosított tartalmat végül tárolják, a C adatközpontban.

Ezen az ábrán az ügyfél a felhasználó laptopján futó Webex alkalmazás, és az azonosítási szolgáltatással van hitelesítve. Amikor a felhasználó egy szobába küldendő üzenetet állít össze, a következő lépések történnek:

Az ügyfél biztonságos kapcsolatot létesít a kulcskezelési szolgáltatással (KMS), majd egy kulcsot kér az üzenet titkosításához. A biztonságos kapcsolat ECDH-t használ, a KMS pedig AES-256 mesterkulccsal titkosítja a kulcsot.
Az üzenet titkosítva van, mielőtt elhagyja a klienst. Az ügyfél elküldi azt az indexelő szolgáltatásnak, amely titkosított keresési indexeket hoz létre, hogy segítse a jövőbeli tartalmi kereséseket.
A titkosított üzenetet a rendszer elküldi a megfelelőségi szolgáltatásnak megfelelőségi ellenőrzésre.
A titkosított üzenet a tárhely tartományában tárolódik.

A hibrid adatbiztonsági szolgáltatás telepítésekor a biztonsági tartomány funkcióit (KMS, indexelés és megfelelőség) áthelyezi a helyszíni adatközpontba. A Webexet alkotó egyéb felhőszolgáltatások (beleértve az identitást és a tartalomtárolást) a Cisco birodalmában maradnak.

Együttműködés más szervezetekkel

A szervezetéhez tartozó felhasználók rendszeresen használhatják a Webex alkalmazást, hogy együttműködjenek más szervezetek külső résztvevőivel. Amikor az egyik felhasználó kulcsot kér egy olyan szobához, amely az Ön szervezetének tulajdona (mivel azt az egyik felhasználó hozta létre), a KMS egy ECDH-biztonságos csatornán keresztül elküldi a kulcsot az ügyfélnek. Ha azonban egy másik szervezet tulajdonában van a szoba kulcsa, a KMS egy külön ECDH-csatornán keresztül továbbítja a kérést a Webex felhőbe, hogy megkapja a kulcsot a megfelelő KMS-ből, majd visszaküldi a kulcsot a felhasználónak az eredeti csatornán.

Az „A” szervezeten futó KMS-szolgáltatás x.509 PKI-tanúsítványok használatával ellenőrzi a más szervezetek KMS-eihez való kapcsolatokat. A több-bérlős hibrid adatbiztonsági szolgáltatás telepítéséhez használandó x.509-tanúsítvány létrehozásával kapcsolatos részletekért lásd: Környezet előkészítése .

Elvárások a hibrid adatbiztonsági szolgáltatás telepítésével kapcsolatban

A hibrid adatbiztonsági szolgáltatás telepítéséhez jelentős elkötelezettségre és a titkosítási kulcsok tulajdonosi kockázataira van szükség.

A hibrid adatbiztonsági szolgáltatás telepítéséhez meg kell adnia a következőket:

Biztonságos adatközpont egy olyan országban, amely a Cisco Webex Teams-csomagok támogatott helyszíne.
A Környezet előkészítése részben leírt berendezések, szoftverek és hálózati hozzáférés.

A hibrid adatbiztonsági szolgáltatáshoz létrehozott konfigurációs ISO vagy az Ön által megadott adatbázis teljes elvesztése a kulcsok elvesztését eredményezi. A kulcsvesztés megakadályozza, hogy a felhasználók visszafejtsék a tárhelytartalmakat és egyéb titkosított adatokat a Webex alkalmazásban. Ha ez megtörténik, új telepítést hozhat létre, de csak az új tartalom lesz látható. Az adatokhoz való hozzáférés elvesztésének elkerülése érdekében:

Kezelje az adatbázis és a konfiguráció ISO biztonsági mentését és helyreállítását.
Készüljön fel a gyors katasztrófa-helyreállításra, ha katasztrófa történik, mint például az adatbázis lemezhibája vagy az adatközpont-katasztrófa.

HDS-telepítés után nincs mechanizmus a kulcsok felhőbe való visszahelyezésére.

Magas szintű beállítási folyamat

Ez a dokumentum egy több-bérlős hibrid adatbiztonsági szolgáltatás telepítésének beállításával és kezelésével foglalkozik:

Hibrid adatbiztonsági szolgáltatás beállítása – Ez magában foglalja a szükséges infrastruktúra előkészítését és a hibrid adatbiztonsági szolgáltatás szoftverének telepítését, egy HDS-fürt létrehozását, bérlői szervezetek hozzáadását a fürthöz, valamint az ügyfél fő kulcsainak (CMK-k) kezelését. Ez lehetővé teszi az ügyfélszervezetek minden felhasználója számára, hogy a hibrid adatbiztonsági szolgáltatás-fürtöt használja a biztonsági funkciókhoz.

A beállítási, aktiválási és kezelési szakaszt a következő három fejezet részletesen ismerteti.
A hibrid adatbiztonsági szolgáltatás telepítésének fenntartása – A Webex felhő automatikusan folyamatos frissítéseket biztosít. Az Ön informatikai osztálya első szintű támogatást nyújthat ehhez a telepítéshez, és szükség szerint bevonhatja a Cisco-támogatást. A Partner Hubban használhatja a képernyőn megjelenő értesítéseket, és beállíthat e-mail-alapú riasztásokat.
A gyakori riasztások, hibaelhárítási lépések és ismert problémák megértése – Ha problémába ütközik a hibrid adatbiztonsági szolgáltatás telepítése vagy használata során, az útmutató utolsó fejezete és az Ismert problémák függelék segíthet a probléma meghatározásában és megoldásában.

Hibrid adatbiztonsági szolgáltatás telepítési modellje

A vállalati adatközponton belül a hibrid adatbiztonsági szolgáltatást egyetlen csomópontfürtként telepíti különálló virtuális szervezőkre. A csomópontok biztonságos websocket-eken és biztonságos HTTP-n keresztül kommunikálnak a Webex Clouddal.

A telepítési folyamat során az OVA fájlt biztosítjuk Önnek a virtuális készülékek beállításához az Ön által biztosított VM-eken. A HDS telepítőeszköz segítségével egyéni fürtkonfigurációs ISO-fájlt hozhat létre, amelyet minden csomópontra rögzíthet. A hibrid adatbiztonsági szolgáltatás-fürt a megadott Syslogd-kiszolgálót és PostgreSQL vagy Microsoft SQL Server adatbázist használja. (A Syslogd és az adatbázis-kapcsolat részleteit a HDS telepítőeszközben konfigurálhatja.)

Hibrid adatbiztonsági szolgáltatás telepítési modellje

Egy fürtben minimálisan elérhető csomópontok száma kettő. Fürtönként legalább hármat ajánlunk. A több csomópont biztosítja, hogy a szolgáltatás ne szakadjon meg egy csomóponton végzett szoftverfrissítés vagy egyéb karbantartási tevékenység során. (A Webex-felhő egyszerre csak egy csomópontot frissít.)

A fürtben lévő összes csomópont ugyanahhoz a kulcsadatkészlethez és ugyanahhoz a syslog szerverhez fér hozzá a naplótevékenységhez. Maguk a csomópontok státustalanok, és a kulcskéréseket kerek-robin módon kezelik, a felhő utasításai szerint.

A csomópontok aktiválódnak, amikor regisztrálja őket a Partner Hubban. Ha egy egyedi csomópontot ki szeretne zárni a szolgáltatásból, törölheti a regisztrációját, majd szükség esetén később újra regisztrálhatja.

Készenléti adatközpont a katasztrófa-helyreállításhoz

A telepítés során biztonságos készenléti adatközpontot állít be. Adatközpont-katasztrófa esetén manuálisan meghiúsulhat a telepítés a készenléti adatközpontba.

Az aktív és készenléti adatközpontok adatbázisai szinkronizálva vannak egymással, ami minimalizálja a feladatátvétel elvégzéséhez szükséges időt.

Az aktív hibrid adatbiztonsági szolgáltatás-csomópontoknak mindig ugyanabban az adatközpontban kell lenniük, mint az aktív adatbázis-kiszolgálónak.

Proxy támogatás

A Hibrid adatbiztonság támogatja az explicit, átlátható ellenőrzést és a nem ellenőrző proxykat. Ezeket a proxykat az üzembe helyezéshez kötheti, így biztonságossá teheti és figyelheti a vállalattól a felhőig irányuló forgalmat. A tanúsítványkezeléshez platformfelügyeleti felületet használhat a csomópontokon, és ellenőrizheti a kapcsolat általános állapotát, miután beállította a proxyt a csomópontokon.

A hibrid adatbiztonsági csomópontok a következő proxybeállításokat támogatják:

Nincs proxy – Az alapértelmezett, ha nem használja a Megbízhatósági tároló és proxy konfigurációt a HDS-csomópont beállításához a proxy integrálásához. Nincs szükség tanúsítványfrissítésre.
Átlátszó, nem ellenőrző proxy – A csomópontok nincsenek konfigurálva meghatározott proxykiszolgáló-cím használatára, és nem igényelhetnek módosításokat ahhoz, hogy a nem ellenőrző proxyval működjenek. Nincs szükség tanúsítványfrissítésre.
Átlátszó alagútépítés vagy ellenőrzés proxy – A csomópontok nincsenek konfigurálva konkrét proxykiszolgáló-cím használatára. A csomópontokon nincs szükség HTTP- vagy HTTPS-konfigurációs módosításokra. A csomópontoknak azonban főtanúsítványra van szükségük, hogy megbízzanak a proxyban. A proxyk ellenőrzését az IT általában arra használja, hogy betartassa azokat az irányelveket, amelyeken a webhelyek látogathatók, és milyen típusú tartalom nem engedélyezett. Ez a fajta proxy visszafejti az összes forgalmat (még HTTPS-t is).
Explicit proxy – Az explicit proxy segítségével megmondja a HDS-csomópontoknak, hogy melyik proxykiszolgálót és hitelesítési sémát kell használni. Explicit proxy konfigurálásához minden csomóponton a következő adatokat kell megadnia:
1. Proxy IP/FQDN – a proxygép elérésére használható cím.
2. Proxyport – Olyan portszám, amelyet a proxy a lekerekített forgalom figyelésére használ.
3. Proxyprotokoll – Attól függően, hogy a proxykiszolgáló mit támogat, válasszon a következő protokollok közül:
  - HTTP – Az ügyfél által küldött összes kérés megtekintése és ellenőrzése.
  - HTTPS – Csatornát biztosít a kiszolgálónak. Az ügyfél megkapja és ellenőrzi a kiszolgáló tanúsítványát.
4. Hitelesítési típus – Válasszon a következő hitelesítési típusok közül:
  - Nincs – Nincs szükség további hitelesítésre.
    
    Akkor érhető el, ha a HTTP-t vagy a HTTPS-t választja proxyprotokollként.
  - Alapszintű – HTTP-felhasználói ügynökként használatos a felhasználónév és jelszó megadására kéréskor. Base64 kódolást használ.
    
    Akkor érhető el, ha a HTTP-t vagy a HTTPS-t választja proxyprotokollként.
    
    Meg kell adnia a felhasználónevet és a jelszót az egyes csomópontokon.
  - Kivonás – A fiók megerősítésére szolgál, mielőtt érzékeny információkat küldene be. Kivonatfüggvényt alkalmaz a felhasználónévre és a jelszóra, mielőtt elküldené a hálózaton keresztül.
    
    Csak akkor érhető el, ha a HTTPS-t választja proxyprotokollként.
    
    Meg kell adnia a felhasználónevet és a jelszót az egyes csomópontokon.

Példa hibrid adatbiztonsági csomópontokra és proxykra

Ez a diagram egy példakapcsolatot mutat be a hibrid adatbiztonság, a hálózat és a proxy között. Az átlátható ellenőrzési és HTTPS-explicit ellenőrző proxybeállításokhoz ugyanazt a főtanúsítványt kell telepíteni a proxyra és a hibrid adatbiztonsági csomópontokra.

Blokkolt külső DNS-feloldási mód (explicit proxykonfigurációk)

Amikor regisztrál egy csomópontot, vagy ellenőrzi a csomópont proxykonfigurációját, a folyamat teszteli a DNS-ellenőrzést és a Cisco Webex felhővel való kapcsolatot. Az explicit proxykonfigurációkkal rendelkező központi telepítések esetében, amelyek nem teszik lehetővé a külső DNS-feloldást a belső ügyfelek számára, ha a csomópont nem tudja lekérdezni a DNS-kiszolgálókat, automatikusan blokkolt külső DNS-feloldási módba lép. Ebben az üzemmódban folytatódhat a csomópont-regisztráció és más proxykapcsolati tesztek.

Készítse elő környezetét

A több-bérlős hibrid adatbiztonságra vonatkozó követelmények

Cisco Webex licenckövetelmények

A több-bérlős hibrid adatbiztonsági szolgáltatás telepítéséhez:

Partnerszervezetek: Forduljon Cisco-partneréhez vagy fiókkezelőjéhez, és bizonyosodjon meg arról, hogy engedélyezve van a több-bérlős funkció.
Bérlői szervezetek: Rendelkeznie kell a Cisco Webex Control Hub Pro Packkel. (Lásd: https://www.cisco.com/go/pro-pack.)

Docker asztali követelmények

A HDS-csomópontok telepítése előtt a telepítőprogram futtatásához a Docker Desktop alkalmazásra van szükség. A Docker nemrég frissítette licencelési modelljét. Előfordulhat, hogy szervezetének fizetős előfizetést kell igényelnie a Docker Desktophoz. További részletekért lásd a Docker blogbejegyzést, "A Docker frissíti és bővíti termékelőfizetéseinket".

X.509 tanúsítványkövetelmények

A tanúsítványláncnak az alábbi követelményeknek kell megfelelnie:

1. táblázat X.509 Tanúsítványkövetelmények a hibrid adatbiztonsági szolgáltatás telepítéséhez
Követelmény	részletei
Megbízható hitelesítésszolgáltató (CA) által aláírt	Alapértelmezés szerint megbízunk a Mozilla listában szereplő hitelesítésszolgáltatókban (a WoSign és a StartCom kivételével) a következő címen: https://wiki.mozilla.org/CA:IncludedCAs.
Közös név (CN) tartománynévvel rendelkezik, amely azonosítja a hibrid adatbiztonsági szolgáltatás telepítését Nem helyettesítő kód tanúsítvány	A CN-nek nem kell elérhetőnek vagy élő szervezőnek lennie. Javasoljuk, hogy olyan nevet használjon, amely tükrözi a szervezetét, például `hds.company.com`. A CN nem tartalmazhat * karaktert (helyettesítő karaktert). A CN-t a Webex alkalmazás ügyfeleihez tartozó hibrid adatbiztonsági szolgáltatás-csomópontok ellenőrzésére használják. A fürtben lévő összes hibrid adatbiztonsági szolgáltatás-csomópont ugyanazt a tanúsítványt használja. A KMS a CN tartomány használatával azonosítja magát, nem az x.509v3 SAN mezőkben definiált tartományt. Miután regisztrált egy csomópontot ezzel a tanúsítvánnyal, nem támogatjuk a CN-tartomány nevének megváltoztatását.
Nem SHA1-aláírás	A KMS szoftver nem támogatja az SHA1-aláírásokat a más szervezetek KMS-jeihez való kapcsolatok érvényesítéséhez.
Jelszóval védett PKCS #12 fájlként formázva A tanúsítvány, a titkos kulcs és a feltölteni kívánt közbenső tanúsítványok címkézéséhez használja a `kms-private-key` felhasználóbarát nevét.	A tanúsítvány formátumának megváltoztatásához használjon konvertálót, például OpenSSL-t. A HDS telepítőeszköz futtatásakor meg kell adnia a jelszót.

A KMS szoftver nem kényszeríti ki a kulcshasználatot vagy a kiterjesztett kulcshasználati korlátozásokat. Egyes hitelesítésszolgáltatók megkövetelik, hogy kiterjesztett kulcshasználati korlátozásokat alkalmazzanak minden tanúsítványra, például a kiszolgáló hitelesítésére. Megfelelő a kiszolgálóhitelesítés vagy egyéb beállítások használata.

Virtuális szervezőre vonatkozó követelmények

A fürtben hibrid adatbiztonsági szolgáltatás-csomópontként beállított virtuális szervezőkre a következő követelmények vonatkoznak:

Legalább két különálló szervező (3 ajánlott) ugyanabban a biztonságos adatközpontban van elhelyezve
A VMware ESXi 7.0 (vagy későbbi) verzió telepítve és fut.

Frissítenie kell, ha az ESXi egy korábbi verziójával rendelkezik.
Legalább 4 vCPU, 8 GB fő memória, 30 GB helyi merevlemez kiszolgálónként

Adatbázis-kiszolgáló követelmények

Hozzon létre egy új adatbázist a kulcstároláshoz. Ne használja az alapértelmezett adatbázist. A HDS alkalmazások telepítésekor létrehozzák az adatbázis-sémát.

Az adatbázis-kiszolgálónak két lehetősége van. Az egyes követelményekre vonatkozó követelmények a következők:

2. táblázat Adatbázis-kiszolgáló követelmények az adatbázis típusa szerint
PostgreSQL csevegés	Microsoft SQL kiszolgáló
A PostgreSQL 14, 15 vagy 16 telepítve és fut.	Az SQL Server 2016, 2017 vagy 2019 (Enterprise vagy Standard) telepítve van. Az SQL Server 2016 használatához 2. szervizcsomag és 2. vagy újabb kumulatív frissítés szükséges.
Legalább 8 vCPU, 16 GB fő memória, elegendő tárhely a merevlemezen és figyelés, hogy ne lépje túl (2 TB ajánlott, ha hosszú ideig szeretné futtatni az adatbázist a tárhely növelése nélkül)	Legalább 8 vCPU, 16 GB fő memória, elegendő tárhely a merevlemezen és figyelés, hogy ne lépje túl (2 TB ajánlott, ha hosszú ideig szeretné futtatni az adatbázist a tárhely növelése nélkül)

A HDS szoftver jelenleg a következő illesztőprogramokat telepíti az adatbázis-kiszolgálóval való kommunikációhoz:

PostgreSQL csevegés

Microsoft SQL kiszolgáló

Postgres JDBC illesztőprogram 42.2.5

SQL Server JDBC illesztőprogram 4.6

Ez az illesztőprogram-verzió támogatja az SQL Server Always On ( Always On Failover Cluster Instances és Always On Availability Groups) szolgáltatást.

A Microsoft SQL Server elleni Windows-hitelesítés további követelményei

Ha azt szeretné, hogy a HDS csomópontok Windows hitelesítést használjanak, hogy hozzáférjenek a Microsoft SQL Server kulcstári adatbázisához, akkor a következő konfigurációra van szükség a környezetben:

A HDS csomópontokat, az Active Directory infrastruktúrát és az MS SQL Server-t mind szinkronizálni kell az NTP-vel.
A HDS-csomópontok számára megadott Windows-fióknak olvasási/írási hozzáféréssel kell rendelkeznie az adatbázishoz.
A HDS-csomópontokhoz megadott DNS-kiszolgálóknak képesnek kell lenniük a kulcselosztó központ (KDC) feloldására.
A HDS adatbázis-példányát a Microsoft SQL Server kiszolgálón a szolgáltatás fő neveként (SPN) regisztrálhatja az Active Directoryban. Lásd: Szolgáltatás fő nevének regisztrálása Kerberos-kapcsolatokhoz.

A HDS telepítőeszköznek, a HDS indítónak és a helyi KMS-nek mind Windows-hitelesítést kell használnia a keystore adatbázishoz való hozzáféréshez. Az ISO-konfiguráció részleteit használják az SPN megépítéséhez, amikor Kerberos hitelesítéssel kívánnak hozzáférni.

Külső kapcsolódási követelmények

Konfigurálja úgy a tűzfalát, hogy engedélyezze a következő csatlakozást a HDS-alkalmazásokhoz:

Alkalmazás	Protokoll	Port	Irány az alkalmazásból	Cél
Hibrid adatbiztonsági szolgáltatás-csomópontok	TCP	443	Kimenő HTTPS és WSS	Webex-kiszolgálók: .wbx2.com .ciscospark.com Minden Common Identity-szervező A hibrid adatbiztonságra vonatkozóan felsorolt egyéb URL-címek a Webex hibrid szolgáltatásokhoz további URL-címekWebex-szolgáltatások hálózati követelményei táblázatban
HDS-beállító eszköz	TCP	443	Kimenő HTTPS	*.wbx2.com Minden Common Identity-szervező hub.docker.com

A hibrid adatbiztonsági szolgáltatás-csomópontok hálózati hozzáférési fordítással (NAT) vagy tűzfal mögött működnek, amennyiben a NAT vagy a tűzfal lehetővé teszi a szükséges kimenő kapcsolatokat az előző táblázatban szereplő tartománycélhelyekhez. A hibrid adatbiztonsági szolgáltatás-csomópontokra bejövő kapcsolatok esetében nem szabad, hogy a portok látszódjanak az internetről. Az adatközponton belül az ügyfeleknek adminisztratív okokból hozzá kell férniük a hibrid adatbiztonsági szolgáltatás-csomópontokhoz a 443-as és 22-es TCP-portokon.

A Common Identity (CI) gazdagépek URL-címe régiónkénti. Ezek a jelenlegi CI-szervezők:

Régió	Common Identity Host URL-címek
Amerika	https://idbroker.webex.com https://identity.webex.com https://idbroker-b-us.webex.com https://identity-b-us.webex.com
Európai Unió	https://idbroker-eu.webex.com https://identity-eu.webex.com
Kanada	https://idbroker-ca.webex.com https://identity-ca.webex.com
Szingapúr	https://idbroker-sg.webex.com https://identity-sg.webex.com
Egyesült Arab Emírségek	https://idbroker-ae.webex.com https://identity-ae.webex.com

Proxykiszolgálói követelmények

Hivatalosan is támogatjuk a következő proxy megoldásokat, amelyek integrálhatók a hibrid adatbiztonsági csomópontjaival.
- Átlátszó proxy – Cisco Web Security Appliance (WSA).
- Explicit proxy – tintahal.
  
  A HTTPS-forgalmat ellenőrző Squid-proxyk zavarhatják a websocket (wss:) kapcsolatok létrehozását. A probléma megoldásához lásd: Squid-proxyk konfigurálása hibrid adatbiztonsághoz.
Az explicit proxyk esetében a következő hitelesítési típuskombinációkat támogatjuk:
- Nincs hitelesítés HTTP-vel vagy HTTPS-rel
- Alapszintű hitelesítés HTTP-vel vagy HTTPS-rel
- Hitelesítés megemésztése csak HTTPS-rel
Átlátszó ellenőrző proxyhoz vagy HTTPS explicit proxyhoz rendelkeznie kell a proxy főtanúsítványának másolatával. Az útmutató üzembe helyezési utasításaiból az útmutató ismerteti, hogyan töltheti fel a másolatot a hibrid adatbiztonsági csomópontok megbízhatósági tárolóiba.
A HDS-csomópontokat üzemeltető hálózatot úgy kell konfigurálni, hogy a 443-as port kimenő TCP-forgalmát kényszerítse a proxyn való áthaladásra.
A webes forgalmat ellenőrző proxyk zavarhatják a webfoglalat-kapcsolatokat. Ha ez a probléma bekövetkezik, a forgalom megkerülése (nem ellenőrzése) wbx2.com és ciscospark.com megoldja a problémát.

A hibrid adatbiztonság előfeltételeinek teljesítése

Ezzel az ellenőrzőlistával győződjön meg arról, hogy készen áll a hibrid adatbiztonsági szolgáltatás-fürt telepítésére és konfigurálására.

1	Győződjön meg arról, hogy partnerszervezete engedélyezte a Több-bérlős HDS funkciót, és kérje le egy teljes körű partnerrendszergazdai jogosultsággal és teljes körű rendszergazdai jogosultsággal rendelkező fiók hitelesítő adatait. Győződjön meg arról, hogy Webex-ügyfélszervezete engedélyezve van a Cisco Webex Control Hub Pro Pack csomagja. A folyamattal kapcsolatos segítségért forduljon Cisco-partneréhez vagy fiókkezelőjéhez. Az ügyfélszervezetek nem rendelkezhetnek meglévő HDS-telepítéssel.
2	Válasszon ki egy tartománynevet a HDS telepítéséhez (például `hds.company.com`), és szerezzen be egy X.509 tanúsítványt, titkos kulcsot és bármely közbenső tanúsítványt tartalmazó tanúsítványláncot. A tanúsítványláncnak meg kell felelnie az X.509 tanúsítványkövetelmények előírásainak.
3	Készítse elő azokat az azonos virtuális szervezőket, akiket hibrid adatbiztonsági szolgáltatás-csomópontként fog beállítani a fürtben. Legalább két különálló szervezőre (3 ajánlott) van szükség ugyanabban a biztonságos adatközpontban, amelyek megfelelnek a Virtuális szervező követelményei pontban foglalt követelményeknek.
4	Készítse elő az adatbázis-kiszolgálót, amely a fürt kulcsadattáraként fog működni, az Adatbázis-kiszolgáló követelményei szerint. Az adatbázis-kiszolgálót a biztonságos adatközpontban kell elhelyezni a virtuális gazdagépekkel. Hozzon létre egy adatbázist a kulcstároláshoz. (Létre kell hoznia ezt az adatbázist – ne használja az alapértelmezett adatbázist. A HDS alkalmazások telepítésekor létrehozzák az adatbázis sémát.) Gyűjtse össze azokat a részleteket, amelyeket a csomópontok az adatbázis-kiszolgálóval való kommunikációhoz használnak: a gazdagép neve vagy IP-címe (gazdagép) és a port az adatbázis neve (dbname) a kulcstároláshoz a kulcstárolási adatbázis összes jogosultságával rendelkező felhasználó felhasználóneve és jelszava
5	A gyors katasztrófa-helyreállításhoz állítson be biztonsági mentési környezetet egy másik adatközpontban. A biztonsági mentési környezet a VM-ek és a biztonsági mentési adatbázis szerver termelési környezetét tükrözi. Ha például a gyártásnak 3 HDS csomópontot futtató VM-je van, a biztonsági mentési környezetnek 3 VM-je van.
6	Állítson be egy syslog-állomást a fürt csomópontjairól érkező naplók összegyűjtésére. A hálózati cím és a syslog port összegyűjtése (alapértelmezés: UDP 514).
7	Hozzon létre biztonságos biztonsági mentési szabályzatot a hibrid adatbiztonsági szolgáltatás-csomópontokhoz, az adatbázis-kiszolgálóhoz és a syslog-állomáshoz. A visszafordíthatatlan adatvesztés elkerülése érdekében legalább biztonsági másolatot kell készítenie az adatbázist és a hibrid adatbiztonsági szolgáltatás csomópontokhoz generált konfigurációs ISO-fájlt. Mivel a hibrid adatbiztonsági csomópontok tárolják a tartalom titkosításához és visszafejtéséhez használt kulcsokat, a működőképes telepítés karbantartásának elmulasztása a tartalom VISSZAFORDÍTHATATLAN ELVESZTÉSÉT eredményezi. A Webex alkalmazás ügyfelei gyorsítják a kulcsaikat, így előfordulhat, hogy a kimaradás nem lesz azonnal észrevehető, de idővel nyilvánvalóvá válik. Míg az ideiglenes kimaradást lehetetlen megelőzni, azok visszafordíthatóak. Az adatbázis vagy konfigurációs ISO fájl teljes elvesztése (nincs elérhető biztonsági mentés) azonban visszafordíthatatlan ügyféladatokat eredményez. A hibrid adatbiztonsági szolgáltatás-csomópontok üzemeltetői várhatóan gyakori biztonsági másolatot készítenek az adatbázisról és a konfigurációs ISO-fájlról, és készen állnak a hibrid adatbiztonsági szolgáltatás-adatközpont újbóli felépítésére, ha katasztrofális hiba lép fel.
8	Győződjön meg arról, hogy a tűzfalkonfiguráció engedélyezi a csatlakozást a hibrid adatbiztonsági szolgáltatás-csomópontok számára, a Külső kapcsolódási követelmények pontban leírtak szerint.
9	Telepítse a Docker-t ( https://www.docker.com) bármely támogatott operációs rendszert futtató helyi gépre (Microsoft Windows 10 Professional vagy Enterprise 64 bites vagy Mac OSX Yosemite 10.10.3 vagy újabb) olyan webböngészővel, amely a következő címen tud hozzáférni: http://127.0.0.1:8080. A Docker-példány segítségével letöltheti és futtathatja a HDS telepítőeszközt, amely az összes hibrid adatbiztonsági szolgáltatás-csomópont helyi konfigurációs információit összeállítja. Lehet, hogy Docker asztali licencre van szüksége. További információkért lásd: Docker asztali követelmények . A HDS-telepítőeszköz telepítéséhez és futtatásához a helyi gépnek rendelkeznie kell a kapcsolattal a Külső kapcsolódási követelmények pontban leírtak szerint.
10	Ha egy proxyt a hibrid adatbiztonsággal integrál, győződjön meg arról, hogy az megfelel a proxykiszolgáló követelményeinek.

Hibrid adatbiztonsági szolgáltatás-fürt beállítása

Hibrid adatbiztonsági szolgáltatás telepítési feladatfolyama

Mielőtt elkezdené

1	Kezdeti beállítási és telepítési fájlok letöltése Töltse le az OVA-fájlt a helyi gépre későbbi használatra.
2	Konfigurációs ISO létrehozása a HDS szervezők számára A HDS-telepítőeszköz segítségével ISO-konfigurációs fájlt hozhat létre a hibrid adatbiztonsági szolgáltatás-csomópontokhoz.
3	A HDS Host OVA telepítése Hozzon létre virtuális gépet az OVA fájlból, és végezze el a kezdeti konfigurációkat, például a hálózati beállításokat. Az OVA telepítése során a hálózati beállítások konfigurálásának lehetőségét teszteltük az ESXi 7.0 verzióval. Előfordulhat, hogy a beállítás a korábbi verziókban nem érhető el.
4	Hibrid adatbiztonsági szolgáltatás (VM) beállítása Jelentkezzen be a VM-konzolba, és állítsa be a bejelentkezési hitelesítő adatokat. Konfigurálja a csomópont hálózati beállításait, ha az OVA telepítésekor nem konfigurálta azokat.
5	A HDS-konfigurációs ISO feltöltése és csatlakoztatása Konfigurálja a VM-et a HDS telepítőeszközzel létrehozott ISO konfigurációs fájlból.
6	A HDS-csomópont konfigurálása proxyintegrációhoz Ha a hálózati környezet proxykonfigurációt igényel, adja meg a csomóponthoz használni kívánt proxy típusát, és szükség esetén adja hozzá a proxytanúsítványt a megbízhatósági tárolóhoz.
7	A fürtben lévő első csomópont regisztrálása Regisztrálja a VM-et a Cisco Webex felhővel hibrid adatbiztonsági szolgáltatás-csomópontként.
8	További csomópontok létrehozása és regisztrálása Fejezze be a fürt beállítását.
9	Aktiválja a több-bérlős HDS-t a Partnerközpontban. Aktiválja a HDS-t és kezelje a bérlői szervezeteket a Partner Hubban.

Kezdeti beállítási és telepítési fájlok letöltése

Ebben a feladatban letölt egy OVA-fájlt a számítógépére (nem a hibrid adatbiztonsági szolgáltatás-csomópontokként beállított kiszolgálókra). Ezt a fájlt később a telepítési folyamat során használhatja.

1	Jelentkezzen be a Partnerközpontba, majd kattintson a Szolgáltatások lehetőségre.
2	A Felhőszolgáltatások részben keresse meg a hibrid adatbiztonsági kártyát, majd kattintson a Beállítás gombra. A Partner Hubban a Beállítás gombra kattintva kulcsfontosságú a telepítési folyamat szempontjából. Ne folytassa a telepítést ennek a lépésnek a befejezése nélkül.
3	Kattintson az Erőforrás hozzáadása lehetőségre, majd a Szoftver telepítése és konfigurálása kártyán kattintson a .OVA-fájl letöltése gombra. A szoftvercsomag (OVA) régebbi verziói nem lesznek kompatibilisek a hibrid adatbiztonsági szolgáltatás legújabb frissítéseivel. Ez problémákat okozhat az alkalmazás verziófrissítése során. Ügyeljen arra, hogy az OVA-fájl legújabb verzióját töltse le. Az OVA-t bármikor letöltheti a Súgó részből. Kattintson a Beállítások > Súgó > Hibrid adatbiztonsági szolgáltatás letöltése lehetőségre. Az OVA-fájl letöltése automatikusan elkezdődik. Mentse a fájlt a gépén lévő helyre.
4	Opcionálisan kattintson a Hibrid adatbiztonsági szolgáltatás telepítési útmutatójának megtekintése opcióra annak ellenőrzéséhez, hogy rendelkezésre áll-e ennek az útmutatónak egy későbbi verziója.

Konfigurációs ISO létrehozása a HDS szervezők számára

A hibrid adatbiztonsági szolgáltatás beállítási folyamata ISO-fájlt hoz létre. Ezután az ISO-t használja a hibrid adatbiztonsági szolgáltatás-szervező konfigurálásához.

Mielőtt elkezdené

A HDS Setup eszköz Docker konténerként fut egy helyi gépen. Ha hozzá akarsz férni, futtasd a Dockert azon a gépen. A beállítási folyamat megköveteli a teljes rendszergazdai jogosultságokkal rendelkező Partner Hub-fiók hitelesítő adatait.

Ha a HDS-beállító eszköz a környezetében lévő proxy mögött fut, adja meg a proxybeállításokat (kiszolgáló, port, hitelesítő adatokat) a Dokkolókörnyezeti változókon keresztül a Dokkolótároló alábbi 5 . lépésben. Ez a táblázat néhány lehetséges környezeti változót tartalmaz:

Leírás	Változó
Http-proxy hitelesítés nélkül	`GLOBÁLIS_ÜGYNÖK_HTTP_PROXY=HTTP://KISZOLGÁLÓ_IP:PORT`
HTTPS-proxy hitelesítés nélkül	`GLOBÁLIS_ÜGYNÖK_HTTPS_PROXY=http://KISZOLGÁLÓ_IP:PORT`
Http-proxy hitelesítéssel	`GLOBÁLIS_ÜGYNÖK_HTTP_PROXY=http://felhasználónév:jelszó@kiszolgáló_IP:PORT`
HTTPS-proxy hitelesítéssel	`GLOBÁLIS_ÜGYNÖK_HTTPS_PROXY=http://felhasználónév:jelszó@kiszolgáló_IP:PORT`

A létrehozott konfigurációs ISO fájl tartalmazza a PostgreSQL vagy Microsoft SQL Server adatbázist titkosító mesterkulcsot. Szükség van a fájl legutóbbi másolatára, amikor konfigurációs módosításokat hajt végre, mint például:
- Adatbázis hitelesítő adatai
- Tanúsítványfrissítések
- Az engedélyezési szabályzat változásai
Ha adatbázis-kapcsolatokat szeretne titkosítani, állítsa be a PostgreSQL vagy SQL Server telepítés TLS-hez.

1

A gép parancssorában adja meg a környezetének megfelelő parancsot:

Rendszeres környezetben:

docker rmi ciscocitg/hds-setup:stabil

FedRAMP környezetben:

docker rmi ciscocitg/hds-setup-fedramp:stabil

Ezzel a lépéssel törölhetők a HDS telepítőeszköz korábbi képei. Ha nincsenek korábbi képek, akkor olyan hibát ad vissza, amelyet figyelmen kívül hagyhat.

2

A Docker-képtárba való bejelentkezéshez írja be a következőket:

dokkoló bejelentkezés -u hdscustomersro

3

A jelszókéréskor írja be ezt a hash-t:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

4

Töltse le a legfrissebb stabil képet a környezetéről:

Rendszeres környezetben:

dokkoló húzás ciscocitg/hds-setup:stabil

FedRAMP környezetben:

dokkoló húzás ciscocitg/hds-setup-fedramp:stabil

5

Amikor a húzás befejeződött, adja meg a környezetének megfelelő parancsot:

Rendszeres környezetben, proxy nélkül:

dokkoló futtatása -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

Http proxyval rendelkező normál környezetben:

docker run -p 8080:8080 --rm -it-e GLOBAL_AGENT_HTTP_PROXY=http://SERVER IP:PORT_ ciscocitg/hds-setup:stable

Normál környezetben HTTPS proxyval:

docker run -p 8080:8080 --rm -it-e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER IP:PORT_ ciscocitg/hds-setup:stable

FedRAMP környezetben, proxy nélkül:

dokkoló futtatása -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

Http proxyval rendelkező FedRAMP környezetben:

docker run -p 8080:8080 --rm -it-e GLOBAL_AGENT_HTTP_PROXY=http://SERVER IP:PORT_ ciscocitg/hds-setup-fedramp:stable

FedRAMP környezetben https proxyval:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER IP:PORT_ ciscocitg/hds-setup-fedramp:stable

Amikor a konténer fut, az "Express szerver figyeli a 8080-as portot."

6

A beállítóeszköz nem támogatja a localhost-hoz való csatlakozást a http://localhost:8080-on keresztül. A(z) http://127.0.0.1:8080 használatával kapcsolódhat a localhost-hoz.

Webböngészővel lépjen a(z) http://127.0.0.1:8080 helyszínállomásra, majd adja meg a rendszergazda felhasználónevét a Partner Hubhoz a kérésben.

Az eszköz a felhasználónév első bejegyzésével állítja be a fiókhoz tartozó megfelelő környezetet. Az eszköz ezután megjeleníti a normál bejelentkezési üzenetet.

7

Amikor a rendszer kéri, adja meg a Partner Hub rendszergazdájának bejelentkezési hitelesítő adatait, majd kattintson a Bejelentkezés gombra, hogy engedélyezze a hozzáférést a hibrid adatbiztonsági szolgáltatáshoz szükséges szolgáltatásokhoz.

8

A Beállítóeszköz áttekintése oldalon kattintson az Első lépések gombra.

9

Az ISO-importálás oldalon az alábbi lehetőségek közül választhat:

Nem – Ha az első HDS-csomópontot hozza létre, nincs feltöltendő ISO-fájl.
Igen – Ha már létrehozott HDS-csomópontokat, akkor válassza ki az ISO-fájlt a böngészőben, és töltse fel.

10

Ellenőrizze, hogy az X.509-es tanúsítvány megfelel-e az X.509-es tanúsítványkövetelmények előírásainak.

Ha még soha nem töltött fel tanúsítványt, töltse fel az X.509 tanúsítványt, adja meg a jelszót, majd kattintson a Folytatás gombra.
Ha a tanúsítványa rendben van, kattintson a Folytatás gombra.
Ha a tanúsítvány lejárt, vagy szeretné lecserélni, válassza a Nem lehetőséget a Folytatás a HDS tanúsítványlánc és a korábbi ISO titkos kulcs használata? lehetőséghez. Töltsön fel egy új X.509-tanúsítványt, adja meg a jelszót, majd kattintson a Folytatás gombra.

11

Adja meg a HDS adatbáziscímét és fiókját a kulcsadatkészlet eléréséhez:

Válassza ki az Adatbázis típusát (PostgreSQL vagy Microsoft SQL Server).

Ha a Microsoft SQL Server opciót választja, Hitelesítési típus mezőt kap.
(Csak Microsoft SQL Server ) Válassza ki a Hitelesítési típust:
- Alapszintű hitelesítés: Helyi SQL Server-fiók nevére van szükség a Felhasználónév mezőben.
- Windows-hitelesítés: felhasználónév@tartomány formátumú Windows-fiókra van szükség a Felhasználónév mezőben.
Adja meg az adatbázis-kiszolgáló címét a következő formában: : vagy :.

Példa:
dbhost.example.org:1433 vagy 198.51.100.17:1433

Alapszintű hitelesítéshez használhat IP-címet, ha a csomópontok nem tudnak DNS-t használni az állomásnév feloldásához.

Ha Windows-hitelesítést használ, akkor meg kell adnia egy teljesen minősített tartománynevet a következő formátumban: dbhost.example.org:1433
Adja meg az Adatbázis nevét.
Adja meg annak a felhasználónak a Felhasználónevét és Jelszavát , aki minden jogosultsággal rendelkezik a kulcstárolási adatbázisban.

12

Válassza ki a TLS-adatbázis csatlakozási módját:

Mód	Leírás
TLS előnyben részesítése (alapértelmezett beállítás)	A HDS csomópontok nem igénylik a TLS csatlakozását az adatbázis szerverhez. Ha engedélyezi a TLS-t az adatbázis kiszolgálón, a csomópontok titkosított kapcsolatot próbálnak meg létesíteni.
Kötelező TLS	A HDS csomópontok csak akkor kapcsolódnak, ha az adatbázis-kiszolgáló képes egyeztetni a TLS-t.
TLS igénylése és a tanúsítvány aláírójának ellenőrzése	Ez a mód nem alkalmazható SQL Server adatbázisokra. A HDS csomópontok csak akkor kapcsolódnak, ha az adatbázis-kiszolgáló képes egyeztetni a TLS-t. A TLS-kapcsolat létrehozása után a csomópont összehasonlítja az adatbázis-kiszolgálóról származó tanúsítvány aláíróját a hitelesítésszolgáltatóval az Adatbázis gyökértanúsítványban. Ha nem egyeznek, a csomópont megszakítja a kapcsolatot. A legördülő menü alatti Adatbázis gyökértanúsítvány vezérlőelem segítségével töltse fel a beállítás gyökértanúsítványát.
TLS megkövetelése és a tanúsítvány aláírójának és a gépnévnek az ellenőrzése	A HDS csomópontok csak akkor kapcsolódnak, ha az adatbázis-kiszolgáló képes egyeztetni a TLS-t. A TLS-kapcsolat létrehozása után a csomópont összehasonlítja az adatbázis-kiszolgálóról származó tanúsítvány aláíróját a hitelesítésszolgáltatóval az Adatbázis gyökértanúsítványban. Ha nem egyeznek, a csomópont megszakítja a kapcsolatot. A csomópontok azt is ellenőrzik, hogy a kiszolgáló tanúsítványában szereplő gazdagép neve megegyezik-e az Adatbázis gazdagép és port mezőben található gazdagép nevével. A neveknek pontosan egyezniük kell, vagy a csomópont megszakítja a kapcsolatot. A legördülő menü alatti Adatbázis gyökértanúsítvány vezérlőelem segítségével töltse fel a beállítás gyökértanúsítványát.

Amikor feltölti a gyökértanúsítványt (ha szükséges), és a Folytatás gombra kattint, a HDS telepítőeszköz teszteli a TLS-kapcsolatot az adatbázis-kiszolgálóval. Az eszköz ellenőrzi a tanúsítvány aláíróját és a gépnevet is, ha van ilyen. Ha egy teszt sikertelen, az eszköz hibaüzenetet jelenít meg, amely leírja a problémát. Kiválaszthatja, hogy figyelmen kívül hagyja-e a hibát, és folytatja-e a beállítást. (A kapcsolódási különbségek miatt a HDS-csomópontok akkor is képesek lehetnek létrehozni a TLS-kapcsolatot, ha a HDS telepítőeszköz gépe nem tudja sikeresen tesztelni.)

13

A Rendszernaplók oldalon konfigurálja a Syslogd kiszolgálót:

Adja meg a syslog szerver URL-címét.

Ha a kiszolgáló nem DNS-feloldható a HDS-fürthöz tartozó csomópontokról, használjon egy IP-címet az URL-ben.

Példa:
Az udp://10.92.43.23:514 a 10.92.43.23 Syslogd állomásra való bejelentkezést jelzi az 514-es UDP-porton.
Ha úgy állítja be a kiszolgálóját, hogy TLS-titkosítást használjon, jelölje be a Be van állítva a syslog kiszolgáló SSL-titkosításra? jelölőnégyzetet.

Ha bejelöli ezt a jelölőnégyzetet, mindenképpen adjon meg egy TCP URL-címet, például tcp://10.92.43.23:514.
A Syslog-rekord termináljának kiválasztása legördülő menüből válassza ki az ISO fájlhoz megfelelő beállítást: Válassza ki, hogy az Újsor legyen-e használatban Graylog és Rsyslog TCP esetén
- Null bájt -- \x00
- Új vonal -- \n—Válassza ezt a lehetőséget a Graylog és Rsyslog TCP esetén.
Kattintson a Folytatás gombra.

14

(Opcionális) Bizonyos adatbázis-kapcsolati paraméterek alapértelmezett értékét a Speciális beállítások menüpontban módosíthatja. Általában ez az egyetlen paraméter, amit érdemes megváltoztatni:

app_datasource_connection_pool_maxMéret: 10

15

Kattintson a Folytatás gombra a Szolgáltatásfiókok jelszavának visszaállítása képernyőn.

A szolgáltatásfiók jelszavainak élettartama kilenc hónap. Akkor használja ezt a képernyőt, ha a jelszavak hamarosan lejárnak, vagy vissza szeretné állítani őket, hogy érvénytelenítsék a korábbi ISO-fájlokat.

16

Kattintson az ISO-fájl letöltése lehetőségre. Mentse el a fájlt egy könnyen megtalálható helyre.

17

Készítsen biztonsági másolatot az ISO fájlról a helyi rendszerre.

Tartsa biztonságban a biztonsági másolatot. Ez a fájl az adatbázis tartalmához tartozó fő titkosítási kulcsot tartalmaz. Korlátozza a hozzáférést csak azokra a hibrid adatbiztonsági szolgáltatás-rendszergazdákra, akiknek konfigurációs módosításokat kell végrehajtaniuk.

18

A beállítóeszköz leállításához gépelje be a CTRL+C billentyűkombinációt.

Mi a következő teendő

Biztonsági másolat készítése a konfigurációs ISO fájlról. A helyreállításhoz további csomópontok létrehozásához, illetve konfigurációs módosítások elvégzéséhez szükség van rá. Ha az ISO fájl összes másolatát elveszíti, akkor a mesterkulcs is elveszett. A PostgreSQL vagy Microsoft SQL Server adatbázisából nem lehet visszaállítani a kulcsokat.

Soha nem lesz másolatunk erről a kulcsról, és nem tudunk segíteni, ha elveszíti.

A HDS Host OVA telepítése

Ezzel az eljárással virtuális gépet hozhat létre az OVA-fájlból.

1	A számítógépén lévő VMware vSphere kliens használatával jelentkezzen be az ESXi virtuális állomásba.
2	Válassza a Fájl > OVF-sablon telepítése lehetőséget.
3	A varázslóban adja meg a korábban letöltött OVA-fájl helyét, majd kattintson a Tovább gombra.
4	A Név és mappa kiválasztása oldalon adja meg a csomópont Virtuális gép nevét (például „HDS_Node_1”), válasszon ki egy helyet, ahol a virtuálisgép-csomópont telepítése élhet, majd kattintson a Tovább gombra.
5	A Számítási erőforrás kiválasztása oldalon válassza ki a cél számítási erőforrást, majd kattintson a Tovább gombra. Egy érvényesítési ellenőrzés lefut. A befejezés után megjelennek a sablon adatai.
6	Ellenőrizze a sablon részleteit, majd kattintson a Tovább gombra.
7	Ha a rendszer arra kéri, hogy a Konfiguráció oldalon válassza ki az erőforrás konfigurációját, kattintson a 4 CPU gombra, majd kattintson a Tovább gombra.
8	A Tárhely kiválasztása oldalon kattintson a Tovább gombra az alapértelmezett lemezformátum és a VM-tárhely házirendjének elfogadásához.
9	A Hálózatok kiválasztása oldalon válassza ki a hálózati lehetőséget a bejegyzések listájából, hogy biztosítsa a kívánt kapcsolatot a VM-mel.
10	A Sablon testreszabása oldalon konfigurálja a következő hálózati beállításokat: Gazdagép neve – Adja meg a csomópont FQDN-jét (gazdagép neve és tartománya), vagy egyetlen szó gazdagép nevét. Nem kell úgy beállítania a tartományt, hogy megfeleljen az X.509 tanúsítvány beszerzéséhez használt tartománynak. A felhőbe történő sikeres regisztráció érdekében csak kisbetűs karaktereket használjon a csomóponthoz beállított FQDN-ben vagy állomásnévben. A nagybetűs írásmód jelenleg nem támogatott. Az FQDN teljes hossza nem haladhatja meg a 64 karaktert. IP-cím— Adja meg a csomópont belső interfészének IP-címét. A csomópontnak belső IP-címmel és DNS-névvel kell rendelkeznie. A DHCP nem támogatott. Maszk – Adja meg az alhálózati maszk címét pont-decimális jelölésben. Például: 255.255.255.0. Átjáró—Adja meg az átjáró IP-címét. Az átjáró olyan hálózati csomópont, amely egy másik hálózat hozzáférési pontjaként szolgál. DNS-kiszolgálók – Adja meg a DNS-kiszolgálók vesszővel elválasztott listáját, amely a tartománynevek numerikus IP-címekre történő fordítását kezeli. (Legfeljebb 4 DNS-bejegyzés engedélyezett.) NTP-kiszolgálók – Adja meg a szervezet NTP-kiszolgálóját vagy egy másik, a szervezetben használható külső NTP-kiszolgálót. Előfordulhat, hogy az alapértelmezett NTP-kiszolgálók nem működnek minden vállalatnál. Több NTP-kiszolgáló megadásához vesszővel elválasztott listát is használhat. Telepítse az összes csomópontot ugyanazon az alhálózaton vagy VLAN-on, hogy a fürtben lévő összes csomópont adminisztratív okokból elérhető legyen a hálózaton lévő ügyfelektől. Ha szeretné, átugorhatja a hálózati beállítási konfigurációt, és a Hibrid adatbiztonsági szolgáltatás beállítása szakasz lépéseit követve konfigurálhatja a beállításokat a csomópont-konzolról. Az OVA telepítése során a hálózati beállítások konfigurálásának lehetőségét teszteltük az ESXi 7.0 verzióval. Előfordulhat, hogy a beállítás a korábbi verziókban nem érhető el.
11	Kattintson az egér jobb oldali gombjával a csomópont VM-jére, majd válassza a Bekapcsolás > Bekapcsolás lehetőséget. A hibrid adatbiztonsági szolgáltatás-szoftver vendégként van telepítve a VM-állomásra. Most már bejelentkezhet a konzolba, és konfigurálhatja a csomópontot. Hibaelhárítási tippek Előfordulhat, hogy a csomópont-konténerek megjelenése előtt néhány percet késik. Az első rendszerindítás során hídtűzfalüzenet jelenik meg a konzolon, amelynek során nem tud bejelentkezni.

Hibrid adatbiztonsági szolgáltatás (VM) beállítása

Ezzel az eljárással először jelentkezzen be a hibrid adatbiztonsági szolgáltatás-csomópont VM-konzoljába, és állítsa be a bejelentkezési hitelesítő adatokat. A konzol segítségével konfigurálhatja a csomópont hálózati beállításait is, ha az OVA telepítésekor nem konfigurálta azokat.

1	A VMware vSphere kliensben válassza ki a hibrid adatbiztonsági szolgáltatás-csomópont VM-jét, és válassza a Konzol lapot. A VM elindul, és bejelentkezési üzenet jelenik meg. Ha a bejelentkezési üzenet nem jelenik meg, nyomja meg az Enter billentyűt.
2	A bejelentkezéshez és a hitelesítő adatok módosításához használja a következő alapértelmezett bejelentkezést és jelszót: Bejelentkezés: `rendszergazda` Jelszó: `cisco` Mivel először jelentkezik be a VM-be, meg kell változtatnia a rendszergazda jelszavát.
3	Ha már konfigurálta a hálózati beállításokat a HDS Host OVA telepítése menüben, hagyja ki az eljárás hátralévő részét. Ellenkező esetben a főmenüben válassza a Konfiguráció szerkesztése lehetőséget.
4	Állítson be statikus konfigurációt IP-címmel, maszkkal, átjáróval és DNS-adatokkal. A csomópontnak belső IP-címmel és DNS-névvel kell rendelkeznie. A DHCP nem támogatott.
5	(Opcionális) Módosítsa az állomásnevet, a tartományt vagy az NTP-kiszolgáló(k)t, ha a hálózati házirendnek megfelel. Nem kell úgy beállítania a tartományt, hogy megfeleljen az X.509 tanúsítvány beszerzéséhez használt tartománynak.
6	Mentse a hálózati konfigurációt, és indítsa újra a VM-et, hogy a módosítások életbe lépjenek.

A HDS-konfigurációs ISO feltöltése és csatlakoztatása

Ezzel az eljárással konfigurálhatja a virtuális gépet a HDS telepítőeszközzel létrehozott ISO-fájlból.

Mielőtt elkezdené

Mivel az ISO-fájl tartalmazza a mesterkulcsot, csak „tudni kell” alapon szabad közzétenni, hogy hozzáférhessen a hibrid adatbiztonsági szolgáltatás-kezelők és minden olyan rendszergazda számára, akinek esetleg módosításokat kell végrehajtania. Győződjön meg arról, hogy csak ezek a rendszergazdák férhetnek hozzá az adatkészlethez.

1

Töltse fel az ISO-fájlt a számítógépéről:

A VMware vSphere kliens bal oldali navigációs ablaktáblájában kattintson az ESXi szerverre.
A Konfiguráció lap Hardver listáján kattintson a Tárhelyelemre.
Az Adatkészlet listában kattintson a jobb gombbal a VM-ek adatkészletére, majd kattintson az Adatkészlet tallózása gombra.
Kattintson a Fájlok feltöltése ikonra, majd kattintson a Fájl feltöltésegombra.
Keresse meg azt a helyet, ahol letöltötte az ISO-fájlt a számítógépére, majd kattintson a Megnyitás gombra.
Kattintson az Igen gombra a feltöltési/letöltési műveletre vonatkozó figyelmeztetés elfogadásához, és zárja be az adatkészlet-párbeszédablakot.

2

ISO- fájl csatolása:

A VMware vSphere kliens bal oldali navigációs ablakában kattintson jobb gombbal a VM-re, majd kattintson a Beállítások szerkesztése lehetőségre.
Kattintson az OK gombra a korlátozott szerkesztési beállítások figyelmeztetésének elfogadásához.
Kattintson a CD/DVD-meghajtó 1elemre, válassza ki az ISO-fájlból való csatlakoztatást, és keresse meg azt a helyet, ahol a konfigurációs ISO-fájlt feltöltötte.
Jelölje be a Csatlakoztatva és a Kapcsolódás bekapcsolva lehetőséget.
Mentse a módosításokat és indítsa újra a virtuális gépet.

Mi a következő teendő

Ha az IT-házirend megköveteli, akkor opcionálisan eltávolíthatja az ISO-fájlt, miután az összes csomópont elvette a konfigurációs módosításokat. Részletekért lásd: (nem kötelező) Az ISO leválasztása a HDS-konfiguráció után .

A HDS-csomópont konfigurálása proxyintegrációhoz

Ha a hálózati környezet proxyt igényel, ezzel az eljárással adhatja meg a hibrid adatbiztonsággal integrálni kívánt proxy típusát. Ha átlátszó ellenőrző proxyt vagy HTTPS explicit proxyt választ, a csomópont felületével feltöltheti és telepítheti a főtanúsítványt. A proxykapcsolatot az interfészről is ellenőrizheti, és elháríthatja az esetleges problémákat.

Mielőtt elkezdené

A támogatott proxybeállítások áttekintését lásd: Proxytámogatás.
Proxykiszolgálói követelmények

1	Adja meg a HDS-csomópont beállítási `URL-címét https://[HDS Node IP vagy FQDN]/setup` egy webböngészőben, adja meg a csomóponthoz beállított rendszergazdai hitelesítő adatokat, majd kattintson a Bejelentkezésgombra.
2	Lépjen a Trust Store & Proxyelemre, majd válasszon egy lehetőséget: Nincs proxy – Az alapértelmezett beállítás a proxy integrálása előtt. Nincs szükség tanúsítványfrissítésre. Átlátszó nem ellenőrző proxy – A csomópontok nincsenek konfigurálva meghatározott proxykiszolgáló-cím használatára, és nem igényelhetnek módosításokat ahhoz, hogy a nem ellenőrző proxyval működjenek. Nincs szükség tanúsítványfrissítésre. Átlátszó ellenőrző proxy – A csomópontok nincsenek konfigurálva konkrét proxykiszolgáló-cím használatára. A hibrid adatbiztonsági üzembe helyezés során nincs szükség HTTPS-konfigurációs módosításokra, azonban a HDS-csomópontoknak főtanúsítványra van szükségük, hogy megbízzanak a proxyban. A proxyk ellenőrzését az IT általában arra használja, hogy betartassa azokat az irányelveket, amelyeken a webhelyek látogathatók, és milyen típusú tartalom nem engedélyezett. Ez a fajta proxy visszafejti az összes forgalmat (még HTTPS-t is). Explicit proxy – Az explicit proxy segítségével megmondja az ügyfélnek (HDS-csomópontok), hogy melyik proxykiszolgálót kell használni, és ez a beállítás több hitelesítési típust támogat. Miután kiválasztotta ezt a beállítást, meg kell adnia a következő adatokat: Proxy IP/FQDN – a proxygép elérésére használható cím. Proxyport – Olyan portszám, amelyet a proxy a lekerekített forgalom figyelésére használ. Proxyprotokoll – Válassza a http lehetőséget (az ügyféltől kapott összes kérést megtekintheti és vezérli) vagy a https lehetőséget (csatornát biztosít a szervernek, és az ügyfél megkapja és érvényesíti a szerver tanúsítványát). Válasszon egy lehetőséget a proxykiszolgáló által támogatott lehetőségek alapján. Hitelesítési típus – Válasszon a következő hitelesítési típusok közül: Nincs – Nincs szükség további hitelesítésre. Elérhető HTTP- vagy HTTPS-proxykhoz. Alapszintű – HTTP-felhasználói ügynökként használatos a felhasználónév és jelszó megadására kéréskor. Base64 kódolást használ. Elérhető HTTP- vagy HTTPS-proxykhoz. Ha ezt a lehetőséget választja, meg kell adnia a felhasználónevet és a jelszót is. Kivonás – A fiók megerősítésére szolgál, mielőtt érzékeny információkat küldene be. Kivonatfüggvényt alkalmaz a felhasználónévre és a jelszóra, mielőtt elküldené a hálózaton keresztül. Csak HTTPS proxykhoz érhető el. Ha ezt a lehetőséget választja, meg kell adnia a felhasználónevet és a jelszót is. Kövesse az átlátható ellenőrző proxy, az alapszintű hitelesítéssel rendelkező HTTP-explicit proxy vagy a HTTPS explicit proxy következő lépéseit.
3	Kattintson a Főtanúsítvány feltöltése vagy a Végfelhasználói tanúsítványlétrehozása elemre, majd keresse meg a proxy főtanúsítványát. A tanúsítvány feltöltésre került, de még nincs telepítve, mert a tanúsítvány telepítéséhez újra kell indítania a csomópontot. További részleteket szeretne megtudni a tanúsítványkibocsátó nevével a ékzár nyílra, vagy kattintson a Törlés gombra, ha hibát követett el, és újra szeretné tölteni a fájlt.
4	Kattintson a Proxykapcsolat ellenőrzése gombra a csomópont és a proxy közötti hálózati kapcsolat teszteléséhez. Ha a kapcsolati teszt sikertelen, hibaüzenet jelenik meg, amely bemutatja az okot és a probléma kijavítást. Ha olyan üzenet jelenik meg, amely szerint a külső DNS-felbontás nem sikerült, a csomópont nem tudta elérni a DNS-kiszolgálót. Ez a feltétel számos explicit proxykonfigurációban várható. Folytathatja a beállítást, és a csomópont blokkolt külső DNS-feloldási módban fog működni. Ha úgy gondolja, hogy ez hiba, hajtsa végre ezeket a lépéseket, majd tekintse meg a Blokkolt külső DNS-feloldási mód kikapcsolása című ismertetőt.
5	A csatlakozási teszt elvégzése után, ha csak https-re van állítva explicit proxy, kapcsolja be a kapcsolót a 443/444 https port útvonala parancsra az explicit proxynkeresztül. Ez a beállítás 15 másodpercet igényel a hatályba lépéshez.
6	Kattintson az Összes tanúsítvány telepítése a megbízhatósági tárolóba (HTTPS explicit proxy vagy átlátszó ellenőrző proxy esetén jelenik meg) vagy Indítsa újra (HTTP explicit proxy esetén jelenik meg), olvassa el a parancsot, majd kattintson a Telepítés gombra, ha készen áll. A csomópont néhány percen belül újraindul.
7	A csomópont újraindítása után jelentkezzen be újra, ha szükséges, majd nyissa meg az Áttekintés lapot, hogy ellenőrizze a kapcsolatellenőrzéseket, és győződjön meg arról, hogy mindegyik zöld állapotban van. A proxykapcsolat ellenőrzése csak webex.com aldomainét teszteli. Kapcsolódási problémák esetén gyakori probléma, hogy a telepítési utasításokban felsorolt felhőtartományok némelyike le van tiltva a proxyn.

A fürtben lévő első csomópont regisztrálása

Ez a feladat elvégzi a Hibrid adatbiztonsági szolgáltatás beállítása menüben létrehozott általános csomópontot, regisztrálja a csomópontot a Webex-felhővel, és hibrid adatbiztonsági szolgáltatás-csomóponttá alakítja.

Az első csomópont regisztrálásakor létrehoz egy fürtöt, amelyhez a csomópont hozzá van rendelve. A fürt egy vagy több, redundancia biztosítására telepített csomópontot tartalmaz.

Mielőtt elkezdené

Miután megkezdi egy csomópont regisztrációját, azt 60 percen belül el kell végeznie, különben el kell kezdenie a folyamatot.
Győződjön meg arról, hogy az előugró ablakok blokkolói le vannak tiltva a böngészőjében, vagy engedélyezze a kivételt az admin.webex.com számára.

1	Jelentkezzen be ide: https://admin.webex.com.
2	A képernyő bal oldalán található menüből válassza a Szolgáltatásoklehetőséget.
3	A Felhőszolgáltatások részben keresse meg a hibrid adatbiztonsági kártyát, majd kattintson a Beállítás gombra.
4	A megnyíló oldalon kattintson az Erőforrás hozzáadása lehetőségre.
5	A Csomópont hozzáadása kártya első mezőjében adja meg annak a fürtnek a nevét, amelyhez hozzá kívánja rendelni a hibrid adatbiztonsági szolgáltatás-csomópontot. Javasoljuk, hogy a fürtöt attól függően nevezze el, hogy a fürt csomópontjai földrajzilag hol helyezkednek el. Példák: "San Francisco" vagy "New York" vagy "Dallas"
6	A második mezőben adja meg a csomópont belső IP-címét vagy teljesen minősített tartománynevét (FQDN), majd kattintson a képernyő alján található Hozzáadás gombra. Ennek az IP-címnek vagy FQDN-nek meg kell egyeznie azzal az IP-címmel vagy állomásnévvel és tartománynévvel, amelyet a Hibrid adatbiztonsági szolgáltatás beállítása során használt. Megjelenik egy üzenet, amely azt jelzi, hogy regisztrálhatja a csomópontot a Webex rendszerében.
7	Kattintson az Ugrás a csomópontra lehetőségre. Néhány perc múlva átirányítja a rendszer a Webex-szolgáltatások csomóponti kapcsolódási tesztelésére. Ha az összes teszt sikeres, megjelenik a „Hibrid adatbiztonsági szolgáltatás-csomópont hozzáférésének engedélyezése” oldal. Ott megerősíti, hogy engedélyeket szeretne adni a Webex-szervezetnek a csomóponthoz való hozzáféréshez.
8	Jelölje be a Hozzáférés engedélyezése a hibrid adatbiztonsági szolgáltatás-csomóponthoz jelölőnégyzetet, majd kattintson a Folytatás gombra. Az Ön fiókja hitelesítve van, és a „Regisztráció befejezve” üzenet azt jelzi, hogy a csomópont mostantól regisztrálva van a Webex-felhőbe.
9	Kattintson a hivatkozásra, vagy zárja be a lapot, hogy visszatérjen a Partner Hub hibrid adatbiztonsági szolgáltatás oldalára. A Hibrid adatbiztonsági szolgáltatás oldalon az Ön által regisztrált csomópontot tartalmazó új fürt az Erőforrások lapon jelenik meg. A csomópont automatikusan letölti a legújabb szoftvert a felhőből.

További csomópontok létrehozása és regisztrálása

Ha további csomópontokat szeretne hozzáadni a fürthöz, egyszerűen hozzon létre további VM-eket, és szerelje fel ugyanazt a konfigurációs ISO-fájlt, majd regisztrálja a csomópontot. Javasoljuk, hogy legyen legalább 3 csomópontja.

Mielőtt elkezdené

Miután megkezdi egy csomópont regisztrációját, azt 60 percen belül el kell végeznie, különben el kell kezdenie a folyamatot.
Győződjön meg arról, hogy az előugró ablakok blokkolói le vannak tiltva a böngészőjében, vagy engedélyezze a kivételt az admin.webex.com számára.

1	Hozzon létre egy új virtuális gépet az OVA-ból, ismételje meg a HDS Host OVA telepítése című rész lépéseit.
2	Állítsa be a kezdeti konfigurációt az új VM-en, ismételve a Hibrid adatbiztonsági szolgáltatás VM beállítása lépéseit.
3	Az új VM-en ismételje meg a HDS-konfiguráció ISO feltöltése és csatlakoztatása című rész lépéseit.
4	Ha proxyt állít be az üzembe helyezéshez, ismételje meg a HDS-csomópont konfigurálása proxyintegrációhoz lépéseit az új csomóponthoz szükség szerint.
5	Regisztrálja a csomópontot. A(z) https://admin.webex.com alkalmazásban válassza a Szolgáltatások lehetőséget a képernyő bal oldalán található menüből. A Felhőszolgáltatások részben keresse meg a hibrid adatbiztonsági kártyát, és kattintson az Összes megtekintése gombra. Megjelenik a Hibrid adatbiztonsági erőforrások oldal. Az újonnan létrehozott fürt megjelenik az Erőforrások oldalon. Kattintson a fürtre a fürthöz hozzárendelt csomópontok megtekintéséhez. Kattintson a Csomópont hozzáadása elemre a képernyő jobb oldalán. Adja meg a csomópont belső IP-címét vagy teljesen minősített tartománynevét (FQDN), majd kattintson a Hozzáadás gombra. Megnyílik egy oldal egy üzenettel, amely jelzi, hogy regisztrálhatja a csomópontot a Webex-felhőbe. Néhány perc múlva átirányítja a rendszer a Webex-szolgáltatások csomóponti kapcsolódási tesztelésére. Ha az összes teszt sikeres, megjelenik a „Hibrid adatbiztonsági szolgáltatás-csomópont hozzáférésének engedélyezése” oldal. Itt megerősíti, hogy engedélyeket szeretne adni a szervezetének a csomóponthoz való hozzáféréshez. Jelölje be a Hozzáférés engedélyezése a hibrid adatbiztonsági szolgáltatás-csomóponthoz jelölőnégyzetet, majd kattintson a Folytatás gombra. Az Ön fiókja hitelesítve van, és a „Regisztráció befejezve” üzenet azt jelzi, hogy a csomópont mostantól regisztrálva van a Webex-felhőbe. Kattintson a hivatkozásra, vagy zárja be a lapot, hogy visszatérjen a Partner Hub hibrid adatbiztonsági szolgáltatás oldalára. A Csomópont hozzáadva felugró üzenet szintén megjelenik a Partnerközpontban a képernyő alján. A csomópont regisztrálva van.

Bérlői szervezetek kezelése a több-bérlős hibrid adatbiztonsági szolgáltatásban

Több-bérlős HDS aktiválása a Partner Hubban

Ez a feladat biztosítja, hogy az ügyfélszervezetek minden felhasználója megkezdhesse a HDS kihasználását a Helyszíni titkosítási kulcsok és egyéb biztonsági szolgáltatások esetében.

Mielőtt elkezdené

Győződjön meg arról, hogy befejezte a több-bérlős HDS-fürt beállítását a szükséges számú csomóponttal.

1	Jelentkezzen be ide: https://admin.webex.com.
2	A képernyő bal oldalán található menüből válassza a Szolgáltatásoklehetőséget.
3	A Felhőszolgáltatások részben keresse meg a hibrid adatbiztonsági szolgáltatást, majd kattintson a Beállítások szerkesztése lehetőségre.
4	Kattintson a HDS aktiválása lehetőségre a HDS állapot kártyán.

Bérlő szervezetek hozzáadása a Partner Hubban

Ebben a feladatban ügyfélszervezeteket rendel hozzá a hibrid adatbiztonsági szolgáltatás-fürthöz.

1	Jelentkezzen be ide: https://admin.webex.com.
2	A képernyő bal oldalán található menüből válassza a Szolgáltatásoklehetőséget.
3	A Felhőszolgáltatások részben keresse meg a hibrid adatbiztonsági szolgáltatást, majd kattintson az Összes megtekintése gombra.
4	Kattintson arra a fürtre, amelyhez ügyfelet szeretne hozzárendelni.
5	Lépjen a Hozzárendelt ügyfelek lapra.
6	Kattintson az Ügyfelek hozzáadása lehetőségre.
7	A legördülő menüből válassza ki a hozzáadni kívánt ügyfelet.
8	Kattintson a Hozzáadás lehetőségre, az ügyfél hozzá lesz adva a fürthöz.
9	Ismételje meg a 6–8. lépéseket több ügyfél hozzáadásához a fürthöz.
10	Kattintson a Kész gombra a képernyő alján, miután hozzáadta az ügyfeleket.

Mi a következő teendő

A beállítási folyamat befejezéséhez futtassa a HDS-telepítőeszközt az Ügyfél fő kulcsainak (CMK-k) létrehozása a HDS-telepítőeszköz használatával című részben részletezett módon.

Ügyfél fő kulcsainak (CMK-k) létrehozása a HDS-beállító eszköz használatával

Mielőtt elkezdené

Rendelje hozzá az ügyfeleket a megfelelő fürthöz a Bérlői szervezetek hozzáadása a Partnerközpontban című részben részletezett módon. Futtassa a HDS telepítőeszközt, hogy befejezze az újonnan hozzáadott ügyfélszervezetek beállítási folyamatát.

A HDS Setup eszköz Docker konténerként fut egy helyi gépen. Ha hozzá akarsz férni, futtasd a Dockert azon a gépen. A beállítási folyamat megköveteli a szervezet számára teljes rendszergazdai jogosultságokkal rendelkező Partner Hub-fiók hitelesítő adatait.

Ha a HDS-beállító eszköz a környezetben proxy mögött fut, az 5. lépésben adja meg a proxybeállításokat (kiszolgáló, port, hitelesítő adatokat) a Docker környezeti változókon keresztül. Ez a táblázat néhány lehetséges környezeti változót tartalmaz:

Leírás	Változó
Http-proxy hitelesítés nélkül	`GLOBÁLIS_ÜGYNÖK_HTTP_PROXY=HTTP://KISZOLGÁLÓ_IP:PORT`
HTTPS-proxy hitelesítés nélkül	`GLOBÁLIS_ÜGYNÖK_HTTPS_PROXY=http://KISZOLGÁLÓ_IP:PORT`
Http-proxy hitelesítéssel	`GLOBÁLIS_ÜGYNÖK_HTTP_PROXY=http://felhasználónév:jelszó@kiszolgáló_IP:PORT`
HTTPS-proxy hitelesítéssel	`GLOBÁLIS_ÜGYNÖK_HTTPS_PROXY=http://felhasználónév:jelszó@kiszolgáló_IP:PORT`

A létrehozott konfigurációs ISO fájl tartalmazza a PostgreSQL vagy Microsoft SQL Server adatbázist titkosító mesterkulcsot. Szükség van a fájl legutóbbi másolatára, amikor konfigurációs módosításokat hajt végre, mint például:
- Adatbázis hitelesítő adatai
- Tanúsítványfrissítések
- Az engedélyezési szabályzat változásai
Ha adatbázis-kapcsolatokat szeretne titkosítani, állítsa be a PostgreSQL vagy SQL Server telepítés TLS-hez.

A hibrid adatbiztonsági szolgáltatás beállítási folyamata ISO-fájlt hoz létre. Ezután az ISO-t használja a hibrid adatbiztonsági szolgáltatás-szervező konfigurálásához.

1	A gép parancssorában adja meg a környezetének megfelelő parancsot: Rendszeres környezetben: `docker rmi ciscocitg/hds-setup:stabil` FedRAMP környezetben: `docker rmi ciscocitg/hds-setup-fedramp:stabil` Ezzel a lépéssel törölhetők a HDS telepítőeszköz korábbi képei. Ha nincsenek korábbi képek, akkor olyan hibát ad vissza, amelyet figyelmen kívül hagyhat.
2	A Docker-képtárba való bejelentkezéshez írja be a következőket: `dokkoló bejelentkezés -u hdscustomersro`
3	A jelszókéréskor írja be ezt a hash-t: `dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo`
4	Töltse le a legfrissebb stabil képet a környezetéről: Rendszeres környezetben: `dokkoló húzás ciscocitg/hds-setup:stabil` FedRAMP környezetben: `dokkoló húzás ciscocitg/hds-setup-fedramp:stabil`
5	Amikor a húzás befejeződött, adja meg a környezetének megfelelő parancsot: Rendszeres környezetben, proxy nélkül: `dokkoló futtatása -p 8080:8080 --rm -it ciscocitg/hds-setup:stable` Http proxyval rendelkező normál környezetben: `docker run -p 8080:8080 --rm -it-e GLOBAL_AGENT_HTTP_PROXY=http://SERVER IP:PORT_ ciscocitg/hds-setup:stable` Normál környezetben HTTPS proxyval: `docker run -p 8080:8080 --rm -it-e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER IP:PORT_ ciscocitg/hds-setup:stable` FedRAMP környezetben, proxy nélkül: `dokkoló futtatása -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable` Http proxyval rendelkező FedRAMP környezetben: `docker run -p 8080:8080 --rm -it-e GLOBAL_AGENT_HTTP_PROXY=http://SERVER IP:PORT_ ciscocitg/hds-setup-fedramp:stable` FedRAMP környezetben https proxyval: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER IP:PORT_ ciscocitg/hds-setup-fedramp:stable` Amikor a konténer fut, az "Express szerver figyeli a 8080-as portot."
6	A beállítóeszköz nem támogatja a localhost-hoz való csatlakozást a http://localhost:8080-on keresztül. A(z) http://127.0.0.1:8080 használatával kapcsolódhat a localhost-hoz. Webböngészővel lépjen a(z) `http://127.0.0.1:8080` helyszínállomásra, majd adja meg a rendszergazda felhasználónevét a Partner Hubhoz a kérésben. Az eszköz a felhasználónév első bejegyzésével állítja be a fiókhoz tartozó megfelelő környezetet. Az eszköz ezután megjeleníti a normál bejelentkezési üzenetet.
7	Amikor a rendszer kéri, adja meg a Partner Hub rendszergazdájának bejelentkezési hitelesítő adatait, majd kattintson a Bejelentkezés gombra, hogy engedélyezze a hozzáférést a hibrid adatbiztonsági szolgáltatáshoz szükséges szolgáltatásokhoz.
8	A Beállítóeszköz áttekintése oldalon kattintson az Első lépések gombra.
9	Az ISO-importálás oldalon kattintson az Igen gombra.
10	Válassza ki az ISO-fájlt a böngészőben, és töltse fel. A CMK-kezelés végrehajtásához biztosítsa a kapcsolatot az adatbázisával.
11	Menjen a Bérlő CMK kezelése lapra, ahol a bérlő CMK-k kezelésének alábbi három módja található. CMK létrehozása minden ORG számára vagy CMK létrehozása – Kattintson erre a gombra a képernyő tetején látható sávon, ha CMK-t szeretne létrehozni minden újonnan hozzáadott szervezet számára. Kattintson a CMK kezelése gombra a képernyő jobb oldalán, majd kattintson a CMK létrehozása gombra, ha CMK-ket szeretne létrehozni az összes újonnan hozzáadott szervezet számára. Kattintson az adott szervezet CMK-kezelése függőben lévő állapotának közelében a táblázatban, majd kattintson a CMK létrehozása gombra a szervezet CMK létrehozásához.
12	Ha a CMK létrehozása sikeres, a táblázatban szereplő állapot a CMK-kezelés függőben állapotról CMK-kezelés állapotra változik.
13	Ha a CMK létrehozása sikertelen, egy hiba jelenik meg.

Bérlői szervezetek eltávolítása

Mielőtt elkezdené

Az eltávolítás után az ügyfélszervezetek felhasználói nem tudják majd kihasználni a HDS-t a titkosítási igényeikhez, és elveszítik az összes meglévő tárhelyet. Az ügyfélszervezetek eltávolítása előtt kérjük, lépjen kapcsolatba Cisco-partnerével vagy fiókkezelőjével.

1	Jelentkezzen be ide: https://admin.webex.com.
2	A képernyő bal oldalán található menüből válassza a Szolgáltatásoklehetőséget.
3	A Felhőszolgáltatások részben keresse meg a hibrid adatbiztonsági szolgáltatást, majd kattintson az Összes megtekintése gombra.
4	Az Erőforrások lapon kattintson arra a fürtre, amelyről el szeretné távolítani az ügyfélszervezeteket.
5	A megnyíló oldalon kattintson a Hozzárendelt ügyfelek lehetőségre.
6	A megjelenített ügyfélszervezetek listájában kattintson az eltávolítani kívánt ügyfélszervezet jobb oldalán található ... elemre, majd kattintson az Eltávolítás a fürtből lehetőségre.

Mi a következő teendő

Az eltávolítási folyamat befejezéséhez vonja vissza az ügyfélszervezetek CMK-jeit a HDS-ből eltávolított bérlők CMK-jének visszavonása című részben foglaltak szerint.

Vonja vissza a HDS-ből eltávolított bérlők CMK-jeit.

Mielőtt elkezdené

Ügyfelek eltávolítása a megfelelő fürtből a Bérlői szervezetek eltávolítása pontban részletezett módon. Futtassa a HDS-telepítő eszközt az eltávolított ügyfélszervezetek eltávolítási folyamatának befejezéséhez.

A HDS Setup eszköz Docker konténerként fut egy helyi gépen. Ha hozzá akarsz férni, futtasd a Dockert azon a gépen. A beállítási folyamat megköveteli a szervezet számára teljes rendszergazdai jogosultságokkal rendelkező Partner Hub-fiók hitelesítő adatait.

Ha a HDS-beállító eszköz a környezetben proxy mögött fut, az 5. lépésben adja meg a proxybeállításokat (kiszolgáló, port, hitelesítő adatokat) a Docker környezeti változókon keresztül. Ez a táblázat néhány lehetséges környezeti változót tartalmaz:

Leírás	Változó
Http-proxy hitelesítés nélkül	`GLOBÁLIS_ÜGYNÖK_HTTP_PROXY=HTTP://KISZOLGÁLÓ_IP:PORT`
HTTPS-proxy hitelesítés nélkül	`GLOBÁLIS_ÜGYNÖK_HTTPS_PROXY=http://KISZOLGÁLÓ_IP:PORT`
Http-proxy hitelesítéssel	`GLOBÁLIS_ÜGYNÖK_HTTP_PROXY=http://felhasználónév:jelszó@kiszolgáló_IP:PORT`
HTTPS-proxy hitelesítéssel	`GLOBÁLIS_ÜGYNÖK_HTTPS_PROXY=http://felhasználónév:jelszó@kiszolgáló_IP:PORT`

A létrehozott konfigurációs ISO fájl tartalmazza a PostgreSQL vagy Microsoft SQL Server adatbázist titkosító mesterkulcsot. Szükség van a fájl legutóbbi másolatára, amikor konfigurációs módosításokat hajt végre, mint például:
- Adatbázis hitelesítő adatai
- Tanúsítványfrissítések
- Az engedélyezési szabályzat változásai
Ha adatbázis-kapcsolatokat szeretne titkosítani, állítsa be a PostgreSQL vagy SQL Server telepítés TLS-hez.

A hibrid adatbiztonsági szolgáltatás beállítási folyamata ISO-fájlt hoz létre. Ezután az ISO-t használja a hibrid adatbiztonsági szolgáltatás-szervező konfigurálásához.

1	A gép parancssorában adja meg a környezetének megfelelő parancsot: Rendszeres környezetben: `docker rmi ciscocitg/hds-setup:stabil` FedRAMP környezetben: `docker rmi ciscocitg/hds-setup-fedramp:stabil` Ezzel a lépéssel törölhetők a HDS telepítőeszköz korábbi képei. Ha nincsenek korábbi képek, akkor olyan hibát ad vissza, amelyet figyelmen kívül hagyhat.
2	A Docker-képtárba való bejelentkezéshez írja be a következőket: `dokkoló bejelentkezés -u hdscustomersro`
3	A jelszókéréskor írja be ezt a hash-t: `dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo`
4	Töltse le a legfrissebb stabil képet a környezetéről: Rendszeres környezetben: `dokkoló húzás ciscocitg/hds-setup:stabil` FedRAMP környezetben: `dokkoló húzás ciscocitg/hds-setup-fedramp:stabil`
5	Amikor a húzás befejeződött, adja meg a környezetének megfelelő parancsot: Rendszeres környezetben, proxy nélkül: `dokkoló futtatása -p 8080:8080 --rm -it ciscocitg/hds-setup:stable` Http proxyval rendelkező normál környezetben: `docker run -p 8080:8080 --rm -it-e GLOBAL_AGENT_HTTP_PROXY=http://SERVER IP:PORT_ ciscocitg/hds-setup:stable` Normál környezetben HTTPS proxyval: `docker run -p 8080:8080 --rm -it-e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER IP:PORT_ ciscocitg/hds-setup:stable` FedRAMP környezetben, proxy nélkül: `dokkoló futtatása -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable` Http proxyval rendelkező FedRAMP környezetben: `docker run -p 8080:8080 --rm -it-e GLOBAL_AGENT_HTTP_PROXY=http://SERVER IP:PORT_ ciscocitg/hds-setup-fedramp:stable` FedRAMP környezetben https proxyval: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER IP:PORT_ ciscocitg/hds-setup-fedramp:stable` Amikor a konténer fut, az "Express szerver figyeli a 8080-as portot."
6	A beállítóeszköz nem támogatja a localhost-hoz való csatlakozást a http://localhost:8080-on keresztül. A(z) http://127.0.0.1:8080 használatával kapcsolódhat a localhost-hoz. Webböngészővel lépjen a(z) `http://127.0.0.1:8080` helyszínállomásra, majd adja meg a rendszergazda felhasználónevét a Partner Hubhoz a kérésben. Az eszköz a felhasználónév első bejegyzésével állítja be a fiókhoz tartozó megfelelő környezetet. Az eszköz ezután megjeleníti a normál bejelentkezési üzenetet.
7	Amikor a rendszer kéri, adja meg a Partner Hub rendszergazdájának bejelentkezési hitelesítő adatait, majd kattintson a Bejelentkezés gombra, hogy engedélyezze a hozzáférést a hibrid adatbiztonsági szolgáltatáshoz szükséges szolgáltatásokhoz.
8	A Beállítóeszköz áttekintése oldalon kattintson az Első lépések gombra.
9	Az ISO-importálás oldalon kattintson az Igen gombra.
10	Válassza ki az ISO-fájlt a böngészőben, és töltse fel.
11	Menjen a Bérlő CMK kezelése lapra, ahol a bérlő CMK-k kezelésének alábbi három módja található. CMK visszavonása az összes szervezet számára vagy CMK visszavonása – kattintson erre a gombra a képernyő tetején látható szalagon, ha szeretné visszavonni az összes eltávolított szervezet CMK-ját. Kattintson a CMK kezelése gombra a képernyő jobb oldalán, majd kattintson a CMK visszavonása gombra az összes eltávolított szervezet CMK-jének visszavonásához. Kattintson a gombra egy adott szervezet CMK visszavonásához állapot közelében a táblázatban, majd kattintson a CMK visszavonása gombra az adott szervezet CMK visszavonásához.
12	A CMK visszavonása sikeres, az ügyfél szervezete többé nem jelenik meg a táblázatban.
13	Ha a CMK visszavonása sikertelen, egy hiba jelenik meg.

Tesztelje hibrid adatbiztonsági szolgáltatás telepítését

A hibrid adatbiztonsági szolgáltatás telepítésének tesztelése

Ezzel az eljárással tesztelheti a több-bérlős hibrid adatbiztonsági titkosítási forgatókönyveket.

Mielőtt elkezdené

Állítsa be a több-bérlős hibrid adatbiztonsági szolgáltatás üzembe helyezését.
Bizonyosodjon meg arról, hogy rendelkezik-e hozzáféréssel a syslog-hoz, és ellenőrizze, hogy a kulcskérések továbbításra kerülnek-e a többbérlős hibrid adatbiztonsági szolgáltatás telepítésébe.

1

Az adott szoba kulcsait a szoba létrehozója állítja be. Jelentkezzen be a Webex alkalmazásba az ügyfél szervezetének egyik felhasználójaként, majd hozzon létre egy szobát.

Ha inaktiválja a hibrid adatbiztonsági szolgáltatás telepítését, a felhasználók által létrehozott terekben lévő tartalom többé nem érhető el, miután kicserélték a titkosítási kulcsok kliens által gyorsítótárazott másolatait.

2

Üzenetek küldése az új szobába.

3

Ellenőrizze a syslog kimenetet, és ellenőrizze, hogy a kulcskérések eljutnak-e a hibrid adatbiztonsági szolgáltatáshoz.

Ha ellenőrizni szeretné, hogy egy felhasználó először létrehoz-e biztonságos csatornát a KMS-hez, szűrőt a következő helyeken: kms.data.method=create és kms.data.type=EPHEMERAL_KEY_COLLECTION:

Meg kell találni egy bejegyzést, mint például a következő (az azonosítók rövidítve olvashatóság):

2020-07-21 17:35:34.562 (+0000) INFO KMS [pool-14-thread-1] - [KMS:REQUEST] fogadva, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.host=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

Ha ellenőrizni szeretné, hogy egy felhasználó kér-e meglévő kulcsot a KMS-ből, szűrőt a kms.data.method=retrieve és a kms.data.type=KEY oldalon:

Olyan bejegyzést kell találnia, mint:

2020-07-21 17:44:19.889 (+0000) INFO KMS [pool-14-thread-31] - [KMS:REQUEST] fogadva, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

Egy új KMS-kulcs létrehozását kérő felhasználó megkereséséhez szűrje a kms.data.method=create és a kms.data.type=KEY_COLLECTION elemekre:

Olyan bejegyzést kell találnia, mint:

2020-07-21 17:44:21.975 (+0000) INFO KMS [pool-14-thread-33] - [KMS:REQUEST] fogadva, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

Ha ellenőrizni szeretné, hogy egy felhasználó új KMS-erőforrásobjektum (KRO) létrehozását kéri-e egy tér vagy más védett erőforrás létrehozásakor, a szűrőt a kms.data.method=create és a kms.data.type=RESOURCE_COLLECTION elemekre:

Olyan bejegyzést kell találnia, mint:

2020-07-21 17:44:22.808 (+0000) INFO KMS [pool-15-thread-1] - [KMS:REQUEST] fogadva, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

Hibrid adatbiztonsági szolgáltatás állapotának megfigyelése

A Partner Hubon belül egy állapotjelző mutatja, hogy minden rendben van-e a több-bérlős hibrid adatbiztonsági szolgáltatás telepítésével. A proaktívabb riasztáshoz regisztráljon az e-mail-értesítésekre. Értesítést kap, ha szolgáltatást befolyásoló riasztások vagy szoftverfrissítések érkeznek.

1	A Partnerközpontban válassza a Szolgáltatások lehetőséget a képernyő bal oldalán található menüből.
2	A Felhőszolgáltatások részben keresse meg a hibrid adatbiztonsági szolgáltatást, majd kattintson a Beállítások szerkesztése lehetőségre. Megjelenik a Hibrid adatbiztonsági beállítások oldal.
3	Az E-mail-értesítések szakaszban adjon meg egy vagy több e-mail-címet vesszővel elválasztva, majd nyomja meg az Enter billentyűt.

HDS-telepítés kezelése

Az itt ismertetett feladatokat a hibrid adatbiztonsági szolgáltatás telepítésének kezeléséhez használja.

Fürtverziófrissítési ütemezés beállítása

A hibrid adatbiztonságra vonatkozó szoftverfrissítések a fürt szintjén automatikusan végrehajtásra kerülnek, ami biztosítja, hogy minden csomópont mindig ugyanazt a szoftververziót használja. A frissítések a fürt frissítési ütemezése szerint zajlanak. Amikor egy szoftverfrissítés elérhetővé válik, lehetősége van arra, hogy a beütemezett frissítési idő előtt manuálisan frissítse a fürtöt. Beállíthat egy konkrét frissítési ütemezést, vagy használhatja az alapértelmezett 3:00-as ütemezést: Amerika/Los Angeles. Szükség esetén elhalaszthatja a soron következő verziófrissítést is.

A verziófrissítési ütemezés beállítása:

1	Jelentkezzen be a Partnerközpontba.
2	A képernyő bal oldalán található menüből válassza a Szolgáltatásoklehetőséget.
3	A Felhőszolgáltatások részben keresse meg a hibrid adatbiztonsági szolgáltatást, majd kattintson a Beállítás gombra
4	A Hibrid adatbiztonsági erőforrások oldalon válassza ki a fürtöt.
5	Kattintson a Fürtbeállítások fülre.
6	A Fürtbeállítások oldalon a Verziófrissítési ütemezés alatt válassza ki a verziófrissítési ütemezéshez tartozó időt és időzónát. Megjegyzés: Az időzóna alatt a következő elérhető verziófrissítés dátuma és ideje jelenik meg. Ha szükséges, a Halasztás 24 órával opcióra kattintva elhalaszthatja a frissítést a következő napra.

A csomópont konfigurációjának módosítása

Előfordulhat, hogy időnként módosítania kell a hibrid adatbiztonsági csomópont konfigurációját olyan okok miatt, mint például:

Az x.509 tanúsítványok módosítása lejárati vagy egyéb okok miatt.

Nem támogatjuk a tanúsítvány CN domain nevének megváltoztatását. A domainnek egyeznie kell a fürt regisztrálásához használt eredeti domainnel.
Adatbázis-beállítások frissítése a PostgreSQL vagy a Microsoft SQL Server adatbázis kópiájára való váltáshoz.

Nem támogatjuk az adatok áttelepítését PostgreSQL-ről Microsoft SQL Server-re, vagy fordítva. Az adatbázis-környezet megváltoztatásához indítsa el a Hybrid Data Security új telepítését.
Új konfiguráció létrehozása új adatközpont előkészítéséhez.

Biztonsági okokból a Hybrid Data Security kilenc hónapos élettartamú szolgáltatási fiókjelszavakat is használ. Miután a HDS telepítőeszköz létrehozza ezeket a jelszavakat, az ISO konfigurációs fájlban minden HDS-csomópontra telepíti őket. Amikor a szervezet jelszavai a lejárathoz közelednek, értesítést kap a Webex csapatától a gépfiók jelszavának visszaállításáról. (Az e-mail tartalmazza a szöveget: "Használja a gép fiók API frissíteni a jelszót.") Ha jelszavai még nem jártak le, az eszköz két lehetőséget kínál:

Soft reset – A régi és az új jelszó egyaránt legfeljebb 10 napig használható. Használja ezt az időszakot a csomópontok ISO-fájljának fokozatos cseréjére.
Kemény alaphelyzetbe állítás – A régi jelszavak azonnal leállnak.

Ha jelszavai alaphelyzetbe állítás nélkül járnak le, az hatással van a HDS-szolgáltatásra, és az összes csomóponton az ISO-fájl azonnali hardveres alaphelyzetbe állítását és cseréjét igényli.

Használja ezt az eljárást egy új konfigurációs ISO-fájl létrehozásához és alkalmazásához a fürtön.

Mielőtt elkezdené

A HDS Setup eszköz Docker konténerként fut egy helyi gépen. Ha hozzá akarsz férni, futtasd a Dockert azon a gépen. A beállítási folyamat megköveteli a partner teljes körű rendszergazdai jogosultságokkal rendelkező Partner Hub-fiók hitelesítő adatait.

Ha a HDS-beállító eszköz a környezetben proxy mögött fut, adja meg a proxybeállításokat (kiszolgáló, port, hitelesítő adatokat) a Docker környezeti változókon keresztül, amikor a Docker tárolót az 1.e-ben helyezi üzembe. Ez a táblázat néhány lehetséges környezeti változót tartalmaz:

Leírás	Változó
Http-proxy hitelesítés nélkül	`GLOBÁLIS_ÜGYNÖK_HTTP_PROXY=HTTP://KISZOLGÁLÓ_IP:PORT`
HTTPS-proxy hitelesítés nélkül	`GLOBÁLIS_ÜGYNÖK_HTTPS_PROXY=http://KISZOLGÁLÓ_IP:PORT`
Http-proxy hitelesítéssel	`GLOBÁLIS_ÜGYNÖK_HTTP_PROXY=http://felhasználónév:jelszó@kiszolgáló_IP:PORT`
HTTPS-proxy hitelesítéssel	`GLOBÁLIS_ÜGYNÖK_HTTPS_PROXY=http://felhasználónév:jelszó@kiszolgáló_IP:PORT`

Új konfiguráció létrehozásához az aktuális konfigurációs ISO-fájl másolata szükséges. Az ISO tartalmazza a PostgreSQL vagy Microsoft SQL Server adatbázist titkosító mesterkulcsot. Konfiguráció-módosításkor, beleértve az adatbázis-hitelesítő adatokat, a tanúsítványok frissítését vagy az engedélyezési irányelv módosítását, ISO-szabványra van szüksége.

1	A Docker helyi gépen történő használata esetén futtassa a HDS Setup Tool alkalmazást. A gép parancssorában adja meg a környezetének megfelelő parancsot: Rendszeres környezetben: `docker rmi ciscocitg/hds-setup:stabil` FedRAMP környezetben: `docker rmi ciscocitg/hds-setup-fedramp:stabil` Ezzel a lépéssel törölhetők a HDS telepítőeszköz korábbi képei. Ha nincsenek korábbi képek, akkor olyan hibát ad vissza, amelyet figyelmen kívül hagyhat. A Docker-képtárba való bejelentkezéshez írja be a következőket: `dokkoló bejelentkezés -u hdscustomersro` A jelszókéréskor írja be ezt a hash-t: `dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo` Töltse le a legfrissebb stabil képet a környezetéről: Rendszeres környezetben: `dokkoló húzás ciscocitg/hds-setup:stabil` FedRAMP környezetben: `dokkoló húzás ciscocitg/hds-setup-fedramp:stabil` Győződjön meg róla, hogy az eljáráshoz a legújabb telepítőeszközt választotta. Az eszköz 2018. február 22. előtt létrehozott verziói nem rendelkeznek jelszó-visszaállító képernyővel. Amikor a húzás befejeződött, adja meg a környezetének megfelelő parancsot: Rendszeres környezetben, proxy nélkül: `dokkoló futtatása -p 8080:8080 --rm -it ciscocitg/hds-setup:stable` Http proxyval rendelkező normál környezetben: `docker run -p 8080:8080 --rm -it-e GLOBAL_AGENT_HTTP_PROXY=http://SERVER IP:PORT_ ciscocitg/hds-setup:stable` Rendszeres környezetben, HTTPSproxyval: `docker run -p 8080:8080 --rm -it-e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER IP:PORT_ ciscocitg/hds-setup:stable` FedRAMP környezetben, proxy nélkül: `dokkoló futtatása -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable` Http proxyval rendelkező FedRAMP környezetben: `docker run -p 8080:8080 --rm -it-e GLOBAL_AGENT_HTTP_PROXY=http://SERVER IP:PORT_ ciscocitg/hds-setup-fedramp:stable` FedRAMP környezetben https proxyval: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER IP:PORT_ ciscocitg/hds-setup-fedramp:stable` Amikor a tároló fut, megjelenik az "Express szerver hallgat a 8080-as porton". Használjon böngészőt a localhosthoz való `http://127.0.0.1:8080`csatlakozáshoz. A beállítóeszköz nem támogatja a localhost-hoz való csatlakozást a http://localhost:8080-on keresztül. A(z) http://127.0.0.1:8080 használatával kapcsolódhat a localhost-hoz. Amikor a rendszer kéri, adja meg a Partner Hub ügyfél bejelentkezési hitelesítő adatait, majd kattintson az Elfogadás gombra a folytatáshoz. Importálja az aktuális konfigurációs ISO-fájlt. Kövesse a figyelmeztetéseket az eszköz befejezéséhez és a frissített fájl letöltéséhez. A beállítóeszköz leállításához gépelje be a `CTRL+C` billentyűkombinációt. Készítsen biztonsági másolatot a frissített fájlról egy másik adatközpontban.
2	Ha csak egy HDS-csomópont fut, hozzon létre egy új hibrid adatbiztonsági szolgáltatás-csomópontot, és regisztrálja azt az új konfigurációs ISO-fájl használatával. Részletes útmutatásért lásd: További csomópontok létrehozása és regisztrálása. Telepítse a HDS GAZDAPETEFÉSZKET. A HDS VM beállítása. Csatolja a frissített konfigurációs fájlt. Regisztrálja az új csomópontot a Partnerközpontban.
3	A régebbi konfigurációs fájlt futtató HDS-csomópontok esetében csatlakoztassa az ISO-fájlt. Végezze el a következő eljárást minden csomóponton, majd frissítse az egyes csomópontokat, mielőtt kikapcsolná a következő csomópontot: Kapcsolja ki a virtuális gépet. A VMware vSphere kliens bal oldali navigációs ablakában kattintson jobb gombbal a VM-re, majd kattintson a Beállítások szerkesztése lehetőségre. Kattintson `a CD/DVD Drive 1`elemre, válassza ki az ISO-fájlból való csatlakoztatás lehetőségét, és keresse meg azt a helyet, ahol letöltötte az új konfigurációs ISO-fájlt. Bekapcsoláskor ellenőrizze a csatlakoztatást. Mentsd el a módosításokat és az energiát a virtuális gépen.
4	Ismételje meg a 3. lépést a konfiguráció cseréjéhez a régi konfigurációt futtató minden megmaradt csomóponton.

A blokkolt külső DNS-feloldási mód kikapcsolása

Amikor regisztrál egy csomópontot, vagy ellenőrzi a csomópont proxykonfigurációját, a folyamat teszteli a DNS-ellenőrzést és a Cisco Webex felhővel való kapcsolatot. Ha a csomópont DNS-kiszolgálója nem tudja feloldani a nyilvános DNS-neveket, a csomópont automatikusan blokkolt külső DNS-feloldási módba lép.

Ha a csomópontok képesek feloldani a nyilvános DNS-neveket a belső DNS-kiszolgálókon keresztül, kikapcsolhatja ezt a módot az egyes csomópontok proxykapcsolati tesztjének újrafuttatásával.

Mielőtt elkezdené

Győződjön meg arról, hogy a belső DNS-kiszolgálók képesek megoldani a nyilvános DNS-neveket, és hogy a csomópontok képesek kommunikálni velük.

1	Webböngészőben nyissa meg a hibrid adatbiztonsági csomópont felületét (például IP-cím/beállítás https://192.0.2.0/setup), adja meg a csomóponthoz beállított rendszergazdai hitelesítő adatokat, majd kattintson a Bejelentkezésgombra.
2	Lépjen az Áttekintés (az alapértelmezett lap) oldalra. Ha engedélyezve van, a letiltott külső DNS-felbontás igen értékre van állítva.
3	Lépjen a Megbízhatósági áruház és proxy oldalra.
4	Kattintson a Proxykapcsolat ellenőrzéseelemre. Ha olyan üzenet jelenik meg, amely szerint a külső DNS-felbontás nem sikerült, a csomópont nem tudta elérni a DNS-kiszolgálót, és ebben a módban marad. Ellenkező esetben a csomópont újraindítása és az Áttekintés lapra való visszalépés után a blokkolt külső DNS-felbontást nemre kell állítani.

Mi a következő lépés

Ismételje meg a proxykapcsolati tesztet a hibrid adatbiztonsági fürt minden csomópontján.

Csomópont eltávolítása

Ezzel az eljárással eltávolíthat egy hibrid adatbiztonsági szolgáltatás-csomópontot a Webex-felhőből. Miután eltávolította a csomópontot a fürtből, törölje a virtuális gépet, hogy megakadályozza a további hozzáférést a biztonsági adatokhoz.

1

A számítógépén lévő VMware vSphere kliens használatával jelentkezzen be az ESXi virtuális állomásba, és kapcsolja ki a virtuális gépet.

2

Csomópont eltávolítása:

Jelentkezzen be a Partnerközpontba, majd válassza a Szolgáltatásoklehetőséget.
A hibrid adatbiztonsági szolgáltatás kártyán kattintson az Összes megtekintése gombra a hibrid adatbiztonsági erőforrások oldal megjelenítéséhez.
Válassza ki a fürtöt az Áttekintés panel megjelenítéséhez.
Kattintson az eltávolítani kívánt csomópontra.
Kattintson a Csomópont regisztrációjának törlése lehetőségre a jobb oldalon megjelenő panelen
A csomópont regisztrációját úgy is törölheti, hogy rákattint a csomópont jobb oldalára, és kiválasztja a Csomópont eltávolítása lehetőséget.

3

A vSphere kliensben törölje a VM-et. (A bal oldali navigációs panelen kattintson a jobb gombbal a VM-re, majd kattintson a Törlés gombra.)

Ha nem törli a VM-et, ne felejtse el eltávolítani a konfigurációs ISO-fájlt. Az ISO fájl nélkül nem lehet hozzáférni a biztonsági adatokhoz a VM segítségével.

Katasztrófa-helyreállítás a készenléti adatközpont használatával

A hibrid adatbiztonsági szolgáltatás-fürt által nyújtott legkritikusabb szolgáltatás az üzenetek és más tartalmak titkosításához használt kulcsok létrehozása és tárolása a Webex-felhőben. A szervezeten belüli minden olyan felhasználó számára, aki hozzá van rendelve a hibrid adatbiztonsághoz, a rendszer átirányítja az új kulcslétrehozási kérelmeket a fürthöz. A fürt felelős a létrehozott kulcsok visszaküldéséért is bármely, a lekérésre jogosult felhasználónak, például egy beszélgetési szoba tagjainak.

Mivel a fürt a kulcsok biztosításának kritikus funkcióját végzi, elengedhetetlen, hogy a fürt továbbra is fusson, és megfelelő biztonsági mentéseket tartson fenn. A hibrid adatbiztonsági szolgáltatás-adatbázis vagy a sémához használt konfigurációs ISO elvesztése az ügyféltartalom VISSZAFORDÍTHATATLAN ELVESZTÉSÉT eredményezi. Az ilyen veszteség megelőzése érdekében a következő gyakorlatok kötelezőek:

Ha egy katasztrófa miatt a HDS telepítése nem érhető el az elsődleges adatközpontban, kövesse ezt az eljárást a készenléti adatközpontba való manuális feladatátvételhez.

Mielőtt elkezdené

Törölje az összes csomópont regisztrációját a Partner Hubból a Csomópont eltávolítása részben említettek szerint. Az alább említett feladatátvételi eljárás végrehajtásához használja a korábban aktív fürt csomópontjain konfigurált legújabb ISO-fájlt.

1	Indítsa el a HDS telepítőeszközt, és kövesse a Konfigurációs ISO létrehozása a HDS szervezők számára című részben említett lépéseket.
2	Végezze el a konfigurációs folyamatot, és mentse el az ISO fájlt egy könnyen megtalálható helyre.
3	Készítsen biztonsági másolatot az ISO fájlról a helyi rendszerre. Tartsa biztonságban a biztonsági másolatot. Ez a fájl az adatbázis tartalmához tartozó fő titkosítási kulcsot tartalmaz. Korlátozza a hozzáférést csak azokra a hibrid adatbiztonsági szolgáltatás-rendszergazdákra, akiknek konfigurációs módosításokat kell végrehajtaniuk.
4	A VMware vSphere kliens bal oldali navigációs ablakában kattintson jobb gombbal a VM-re, majd kattintson a Beállítások szerkesztése lehetőségre.
5	Kattintson a Beállítások szerkesztése >CD/DVD Drive 1 elemre, és válassza a Datastore ISO-fájl lehetőséget. Győződjön meg arról, hogy a Csatlakoztatva és a Kapcsolódás bekapcsolva be van jelölve, hogy a frissített konfigurációs módosítások a csomópontok elindítása után életbe lépjenek.
6	Kapcsolja be a HDS-csomópontot, és győződjön meg arról, hogy legalább 15 percig nincs riasztás.
7	Regisztrálja a csomópontot a Partnerközpontban. Lásd: A fürt első csomópontjának regisztrálása.
8	Ismételje meg a folyamatot minden csomóponthoz a készenléti adatközpontban.

Mi a következő teendő

A feladatátvétel után, ha az elsődleges adatközpont ismét aktívvá válik, törölje a készenléti adatközpont csomópontjainak regisztrációját, és ismételje meg az ISO konfigurálását és az elsődleges adatközpont csomópontjainak regisztrálását a fent említettek szerint.

(Opcionális) ISO leválasztása a HDS-konfiguráció után

A standard HDS konfiguráció az ISO csatlakozóval fut. Néhány ügyfél azonban nem szeretné, ha az ISO fájlokat folyamatosan csatlakoztatva hagyná. Az ISO fájl leszerelhető, miután az összes HDS-csomópont felvette az új konfigurációt.

A konfiguráció módosításához továbbra is az ISO-fájlokat használja. Amikor új ISO-t hoz létre vagy frissít egy ISO-t a Telepítőeszköz segítségével, a frissített ISO-t minden HDS-csomópontra fel kell szerelnie. Miután az összes csomópont átvette a konfigurációs módosításokat, újra leszerelheti az ISO-t ezzel az eljárással.

Mielőtt elkezdené

Frissítse az összes HDS-csomópontot a 2021.01.22.4720-as vagy újabb verzióra.

1	Állítsa le az egyik HDS-csomópontot.
2	A vCenter Server Appliance-ben válassza ki a HDS csomópontot.
3	Válassza a Beállítások szerkesztése > CD-/DVD-meghajtó lehetőséget, és törölje az ISO-fájl jelölését.
4	Kapcsolja be a HDS-csomópontot, és biztosítsa, hogy legalább 20 percig ne legyen riasztás.
5	Ismételje meg egymás után minden HDS-csomópont esetében.

Hibrid adatbiztonsági szolgáltatás hibaelhárítása

Riasztások és hibaelhárítás megtekintése

A hibrid adatbiztonsági szolgáltatás telepítése nem érhető el, ha a fürtben lévő összes csomópont nem érhető el, vagy a fürt olyan lassan működik, hogy időtúllépést igényel. Ha a felhasználók nem tudják elérni a hibrid adatbiztonsági szolgáltatás-fürtöt, a következő tüneteket tapasztalják:

Nem lehet új szobákat létrehozni (nem lehet új kulcsot létrehozni)
Nem sikerült visszafejteni az üzeneteket és a szobák címeit a következőhöz:
- Új felhasználók hozzáadva egy szobához (nem lehet lekérni a kulcsokat)
- Meglévő felhasználók egy szobában új klienssel (nem lehet lekérni a kulcsokat)
A szobában lévő meglévő felhasználók továbbra is sikeresen futnak, amennyiben az ügyfeleik rendelkeznek a titkosítási kulcsok gyorsítótárával

Fontos, hogy megfelelően figyelje a hibrid adatbiztonsági szolgáltatás-fürtöt, és azonnal kezelje az esetleges riasztásokat, hogy elkerülje a szolgáltatás megszakadását.

Riasztások

Ha probléma van a hibrid adatbiztonsági szolgáltatás beállításával, a Partner Hub riasztásokat jelenít meg a szervezet rendszergazdájának, és e-maileket küld a konfigurált e-mail-címre. A riasztások számos gyakori forgatókönyvet fednek le.

1. táblázat Gyakori problémák és a megoldásukhoz szükséges lépések
Riasztás	Művelet
Helyi adatbázis-hozzáférés sikertelen.	Keressen adatbázishibákat vagy helyi hálózati problémákat.
Nem sikerült csatlakozni a helyi adatbázishoz.	Ellenőrizze, hogy az adatbázis szerver elérhető-e, és a megfelelő szolgáltatásfiók hitelesítő adatokat használták-e a csomópont konfigurációjában.
Sikertelen volt a felhőszolgáltatás-hozzáférés.	Ellenőrizze, hogy a csomópontok hozzáférhetnek-e a Webex kiszolgálókhoz a Külső kapcsolódási követelmények pontban meghatározottak szerint.
A felhőszolgáltatás regisztrációjának megújítása.	A felhőszolgáltatásokba való regisztráció megszakadt. A lajstromozás megújítása folyamatban van.
A felhőszolgáltatás regisztrációja megszakadt.	A felhőszolgáltatásokba való regisztráció leállt. A szolgáltatás leáll.
A szolgáltatás még nincs aktiválva.	Aktiválja a HDS-t a Partnerközpontban.
A konfigurált tartomány nem egyezik a kiszolgáló tanúsítványával.	Győződjön meg arról, hogy a kiszolgálótanúsítvány megegyezik a konfigurált szolgáltatásaktiválási tartománygal. A legvalószínűbb ok az, hogy a CN tanúsítványt nemrégiben módosították, és mostantól különbözik a kezdeti beállítás során használt CN-től.
A felhőszolgáltatásokhoz való hitelesítés sikertelen.	Ellenőrizze a szolgáltatásfiók hitelesítő adatainak pontosságát és esetleges lejáratát.
Nem sikerült megnyitni a helyi kulcstár fájlját.	Ellenőrizze az integritást és a jelszó pontosságát a helyi kulcstárfájlban.
A helyi kiszolgáló tanúsítványa érvénytelen.	Ellenőrizze a kiszolgáló tanúsítványának lejárati dátumát, és erősítse meg, hogy azt egy megbízható hitelesítésszolgáltató állította ki.
Nem lehet mérőszámokat közzétenni.	Ellenőrizze a külső felhőszolgáltatásokhoz való helyi hálózati hozzáférést.
A /media/configdrive/hds könyvtár nem létezik.	Ellenőrizze az ISO rögzítési konfigurációt a virtuális állomáson. Ellenőrizze, hogy az ISO fájl létezik-e, hogy újraindításkor csatlakoztatásra van-e konfigurálva, és hogy sikeresen csatlakozik-e.
A bérlő szervezetének beállítása nem fejeződött be a hozzáadott szervezetek esetében	A beállítást úgy fejezze be, hogy CMK-ket hoz létre az újonnan hozzáadott bérlő szervezetek számára a HDS-telepítőeszköz használatával.
A bérlő szervezeti beállítása az eltávolított szervezetek esetében nem fejeződött be	A telepítést végezze el az olyan bérlő szervezetek CMK-jének visszavonásával, amelyeket a HDS telepítőeszköz használatával távolítottak el.

Hibrid adatbiztonsági szolgáltatás hibaelhárítása

A hibrid adatbiztonsági szolgáltatással kapcsolatos problémák elhárításakor használja a következő általános irányelveket.

1	Ellenőrizze a Partner Hubot az esetleges riasztások miatt, és javítsa ki az ott található elemeket. Bővebb tájékoztatásért lásd az alábbi képet.
2	Ellenőrizze a Hibrid adatbiztonsági szolgáltatás telepítésből származó tevékenységhez tartozó syslog szerver kimenetét. A hibaelhárítás érdekében szűrje az olyan szavakra, mint a „Figyelmeztetés” és a „Hiba”.
3	Forduljon a Cisco ügyfélszolgálatához.

Egyéb megjegyzések

A hibrid adatbiztonsági szolgáltatás ismert problémái

Ha leállítja a hibrid adatbiztonsági szolgáltatás-fürtöt (a Partner Hubban történő törléssel vagy az összes csomópont leállításával), elveszíti a konfigurációs ISO-fájlt, vagy elveszíti a kulcsrakész-adatbázishoz való hozzáférést, az ügyfélszervezetek Webex alkalmazás felhasználói többé nem használhatják a KMS-ből kulcsokkal létrehozott Személyek listában szereplő szobákat. Jelenleg nem rendelkezünk megoldással vagy megoldással ehhez a problémához, és arra kérjük, hogy ne állítsa le a HDS-szolgáltatásait, miután azok aktív felhasználói fiókokat kezelnek.
Az az ügyfél, amely meglévő ECDH-kapcsolattal rendelkezik egy KMS-sel, egy ideig (valószínűleg egy órán keresztül) tartja fenn a kapcsolatot.

OpenSSL használata PKCS12 fájl létrehozásához

Mielőtt elkezdené

Az OpenSSL egy olyan eszköz, amellyel a PKCS12 fájlt a megfelelő formátumban lehet betölteni a HDS telepítőeszközben. Ennek más módjai is vannak, és nem támogatjuk vagy támogatjuk az egyik módot a másikkal szemben.
Ha az OpenSSL használatát választja, útmutatóként biztosítjuk ezt az eljárást, hogy segítsen létrehozni egy olyan fájlt, amely megfelel az X.509 Certificate Requirements (X.509 Certificate Requirements) X.509 tanúsítványkövetelményeinek. Mielőtt folytatná, ismerje meg ezeket a követelményeket.
Telepítse az OpenSSL-t támogatott környezetben. Lásd: https://www.openssl.org a szoftver és a dokumentáció.
Hozzon létre egy privát kulcsot.
Indítsa el ezt az eljárást, amikor megkapja a kiszolgáló tanúsítványt a hitelesítésszolgáltatótól (CA).

1	Amikor megkapja a kiszolgálótanúsítványt a hitelesítésszolgáltatótól, mentse el `hdsnode.pem` formátumban.
2	A tanúsítvány megjelenítése szövegként, és ellenőrizze a részleteket. `openssl x509 - text - noout - in hdsnode.pem`
3	Használjon szövegszerkesztőt egy `hdsnode-bundle.pem` nevű tanúsítványkötegfájl létrehozásához. A csomagfájlnak tartalmaznia kell a kiszolgáló tanúsítványt, a közbenső CA-tanúsítványokat és a legfelső CA-tanúsítványokat az alábbi formátumban: `-----kezdési tanúsítvány----- ### Kiszolgáló tanúsítvány. ### -----befejező tanúsítvány----------------------------------------------------------------------------------------------------------------------- ### Közbenső CA-tanúsítvány. ### -----befejező tanúsítvány----------------------------------------------------------------------------------------------------------------------- ### Legfelső szintű CA-tanúsítvány. ### -----befejező tanúsítvány-----`
4	Hozza létre a .p12 fájlt `kms-private-key` névvel. `openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -név kms-private-key -caname kms-private-key -out hdsnode.p12`
5	Ellenőrizze a kiszolgáló tanúsítványának részleteit. `nyissa meg a pkcs12 -t a hdsnode.p12-ben` Adjon meg egy jelszót a titkos kulcs titkosítására vonatkozó kérésnél, hogy az megjelenjen a kimenetben. Ezután ellenőrizze, hogy a titkos kulcs és az első tanúsítvány tartalmazza-e a `friendlyName vonalakat: kms-private-key`. Példa: bash$ openssl pkcs12 -in hdsnode.p12 Adja meg az importálási jelszót: MAC által ellenőrzött OK táska attribútumok friendlyName: kms-private-key localKeyId: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Kulcsattribútumok: Adja meg a PEM-belépési kifejezést: Ellenőrzés – Adja meg a PEM-belépési kifejezést: -----KEZDJE EL TITKOSÍTOTT TITKOS KULCS----- -----END TITKOSÍTOTT TITKOS KULCS------ Táska attribútumai friendlyName: kms-private-key localKeyId: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 ------BEGIN CERTIFICATE---- -----END CERTIFICATE----- Bag Attributes friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US tárgy=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 kibocsátó=/O=Digital Signature Trust Co./CN=DST legfelső szintű hitelesítésszolgáltató X3 -----BEGIN CERTIFICATE---- -----END CERTIFICATE-----

Mi a következő teendő

Visszatérés a Hibrid adatbiztonsági szolgáltatás előfeltételeinek teljesítése lehetőséghez. A hdsnode.p12 fájlt és a hozzá beállított jelszót fogja használni az ISO-konfiguráció létrehozása a HDS-állomásoknál menüpontban.

Ezeket a fájlokat újra felhasználhatja új tanúsítvány kéréséhez, amikor az eredeti tanúsítvány lejár.

HDS-csomópontok és a felhő közötti forgalom

Kimenő mérőszámok gyűjtésének forgalma

A hibrid adatbiztonsági csomópontok bizonyos mérőszámokat küldenek a Webex felhőbe. Ezek közé tartoznak a heap max, a használt heap, a CPU terhelése és a szálszám rendszermérőszámai; a szinkronizált és aszinkron szálak mérőszámai; a titkosítási kapcsolatok küszöbértékét, a késleltetést vagy a kérés sor hosszát érintő riasztások mérőszámai; az adatkészlet mérőszámai; és a titkosítási kapcsolat mérőszámai. A csomópontok titkosított kulcs anyagot küldenek egy sávon kívüli (a kérelemtől elkülönülő) csatornán keresztül.

Bejövő forgalom

A hibrid adatbiztonsági szolgáltatás-csomópontok a bejövő forgalom alábbi típusait kapják meg a Webex-felhőből:

Az ügyfelektől érkező, a titkosítási szolgáltatás által irányított titkosítási kérések
A csomópont szoftverének frissítései

Squid-proxyk konfigurálása a hibrid adatbiztonsághoz

A Websocket nem tud tintahal-proxyn keresztül csatlakozni

A HTTPS-forgalmat ellenőrző Squid-proxyk zavarhatják a websocket (wss:) kapcsolatok létrehozását, amelyeket a Hibrid adatbiztonsági szolgáltatás igényel. Ezek a szakaszok útmutatást nyújtanak arról, hogyan konfigurálhatja a Squid különböző verzióit a wss figyelmen kívül hagyásához: a szolgáltatások megfelelő működéséhez szükséges forgalom.

Tintahal 4 és 5

Adja hozzá az on_unsupported_protocol irányelvet a squid.conf fájlhoz:

on_unsupported_protocol az alagút

Tintahal 3.5.27

Sikeresen teszteltük a hibrid adatbiztonságot a következő szabályokkal, amelyek hozzáadva vannak a squid.conf.conf-hez. Ezek a szabályok változhatnak a funkciók fejlesztése és a Webex felhő frissítése során.

acl wssMercuryConnection ssl::server_name_regex Mercury-kapcsolat ssl_bump splice wssMercuryConnection acl step1 at_step SslBump1 acl step2 at_step SslBump2 acl step3 at_step SslBump3 ssl_bump peek step1 all ssl_bump stare step2 all ssl_bump bump step3 all

Új és módosított információk

Ez a táblázat ismerteti az új funkciókat vagy funkciókat, a meglévő tartalom módosításait, valamint a Több-bérlős hibrid adatbiztonsági szolgáltatás üzembehelyezési útmutatójában kijavított főbb hibákat.

Dátum	Módosítások
2025. január 8.	Hozzáadtunk egy megjegyzést a Kezdeti beállítási és telepítési fájlok letöltése részben, amely kimondja, hogy a Beállítás elemre kattintva a Partner Hubban a HDS-kártyán, a telepítési folyamat fontos lépése.
2025. január 7.	Frissült a Virtuális szervezőre vonatkozó követelmények, a Hibrid adatbiztonsági szolgáltatás telepítési feladatfolyama, és a HDS Host OVA telepítése az ESXi 7.0 új követelményének megjelenítéséhez.
2024. december 13.	Először megjelent.

Több-bérlős hibrid adatbiztonsági szolgáltatás inaktiválása

Több-bérlős HDS-deaktiválási feladatfolyamat

Kövesse az alábbi lépéseket a több-bérlős HDS teljes kikapcsolásához.

Mielőtt elkezdené

Ezt a feladatot csak teljes jogú partnerrendszergazda végezheti el.

1	Távolítsa el az összes ügyfelet az összes fürtből, a Bérlői szervezetek eltávolítása részben említettek szerint.
2	Vonja vissza az összes ügyfél CMK-jét, a HDS-ből eltávolított bérlők CMK-jének visszavonása című részben említettek szerint.
3	Távolítsa el az összes csomópontot az összes fürtből, a Csomópont eltávolítása részben említettek szerint.
4	Törölje az összes fürtöt a Partnerközpontból a következő két módszer valamelyikével. Kattintson a törölni kívánt fürtre, majd az áttekintés oldal jobb felső sarkában válassza a Fürt törlése lehetőséget. Az Erőforrások oldalon kattintson a fürt jobb oldalán, és válassza a Fürt eltávolításalehetőséget.
5	Kattintson a Beállítások fülre a hibrid adatbiztonsági szolgáltatás áttekintő oldalán, majd kattintson a HDS inaktiválása gombra a HDS-állapotkártyán.

Első lépések a több-bérlős hibrid adatbiztonsági szolgáltatással

Több-bérlős hibrid adatbiztonsági szolgáltatás áttekintése

A Webex alkalmazás tervezésekor az első naptól kezdve az adatbiztonság volt az elsődleges hangsúly. A biztonság sarokköve a tartalom végpontok közötti titkosítása, amelyet a Key Management Service (KMS) szolgáltatással együttműködő Webex alkalmazás ügyfelei engedélyeznek. A KMS felelős az üzenetek és fájlok dinamikus titkosítására és visszafejtésére használt kriptográfiai kulcsok létrehozásáért és kezeléséért.

Alapértelmezés szerint a Webex alkalmazás összes ügyfele a felhőalapú KMS-ben, a Cisco biztonsági tartományában tárolt dinamikus kulcsokkal kap végpontok közötti titkosítást. A Hybrid Data Security a KMS-T és más, biztonsággal kapcsolatos funkciókat a vállalati adatközpontba helyezi át, így csak Ön rendelkezik a titkosított tartalom kulcsaival.

A több bérlős hibrid adatbiztonsági szolgáltatás lehetővé teszi a szervezetek számára a HDS kihasználását egy megbízható helyi partneren keresztül, aki szolgáltatóként tevékenykedhet, és kezelheti a helyszíni titkosítást és egyéb biztonsági szolgáltatásokat. Ez a beállítás lehetővé teszi a partnerszervezet számára, hogy teljes ellenőrzést gyakoroljon a titkosítási kulcsok telepítése és kezelése felett, valamint biztosítja az ügyfélszervezetek felhasználói adatainak külső hozzáféréstől való biztonságát. A partnerszervezetek szükség szerint HDS-példányokat állíthatnak be, és HDS-fürtöket hozhatnak létre. Minden egyes példány több ügyfélszervezetet is támogathat, ellentétben a rendszeres HDS-telepítéssel, amely egyetlen szervezetre korlátozódik.

Bár a partnerszervezetek felügyelik a telepítést és a kezelést, nem férnek hozzá az ügyfelek által generált adatokhoz és tartalmakhoz. Ez a hozzáférés az ügyfélszervezetekre és azok felhasználóira korlátozódik.

Ez lehetővé teszi a kisebb szervezetek számára, hogy kihasználják a HDS-t, mivel a kulcskezelési szolgáltatás és a biztonsági infrastruktúra, például az adatközpontok a megbízható helyi partner tulajdonában vannak.

Hogyan biztosítja a több-bérlős hibrid adatbiztonság az adatszuverenitást és adatvezérlést?

A felhasználók által létrehozott tartalmak védve vannak a külső hozzáféréstől, például a felhőszolgáltatóktól.
A helyi megbízható partnerek kezelik azoknak az ügyfeleknek a titkosítási kulcsait, akikkel már kialakult kapcsolatuk.
Helyi műszaki támogatási lehetőség, ha azt a partner biztosítja.
Támogatja az értekezleteket, az üzenetküldést és a hívást.

Ez a dokumentum célja, hogy segítse a partnerszervezeteket az ügyfelek létrehozásában és kezelésében egy több-bérlős hibrid adatbiztonsági rendszer keretében.

Szerepkörök a többbérlős hibrid adatbiztonsági szolgáltatásban

Partner teljes jogú rendszergazdája – a partner által kezelt összes ügyfél beállításait kezelheti. A szervezetben már meglévő felhasználókhoz rendszergazdai szerepköröket is hozzárendelhet, és kijelölhet bizonyos ügyfeleket, akiket a partner rendszergazdái kezelhetnek.
Partnerrendszergazda – Kezelheti a rendszergazda által biztosított vagy a felhasználóhoz rendelt ügyfelek beállításait.
Teljes jogú rendszergazda – A partnerszervezet olyan rendszergazdája, aki jogosult olyan feladatok elvégzésére, mint például a szervezeti beállítások módosítása, a licencek kezelése és szerepkörök hozzárendelése.

Végponttól végpontig több-bérlős HDS beállítása és kezelése az összes ügyfélszervezet esetében – Partneri rendszergazdai és teljes körű rendszergazdai jogok szükségesek.
Hozzárendelt bérlő szervezetek kezelése – Partnerrendszergazdai és teljes körű rendszergazdai jogok szükségesek.

Biztonsági tartomány architektúrája

A Webex felhőarchitektúra a különböző típusú szolgáltatásokat külön tartományokra vagy megbízható tartományokra osztja szét, az alábbiakban bemutatottak szerint.

A hibrid adatbiztonság további megértéséhez először tekintsük meg ezt a tiszta felhőalapú esetet, amelyben a Cisco a felhőbirodalmában minden funkciót biztosít. Az identitásszolgáltatás, az egyetlen hely, ahol a felhasználók közvetlenül korrelálhatók személyes adataikkal, például az e-mail-címükkel, logikusan és fizikailag elkülönül a B adatközpont biztonsági tartományától. Mindkettő viszont elkülönül attól a tartománytól, ahol a titkosított tartalmat végül tárolják, a C adatközpontban.

Ezen az ábrán az ügyfél a felhasználó laptopján futó Webex alkalmazás, és az azonosítási szolgáltatással van hitelesítve. Amikor a felhasználó egy szobába küldendő üzenetet állít össze, a következő lépések történnek:

Az ügyfél biztonságos kapcsolatot létesít a kulcskezelési szolgáltatással (KMS), majd egy kulcsot kér az üzenet titkosításához. A biztonságos kapcsolat ECDH-t használ, a KMS pedig AES-256 mesterkulccsal titkosítja a kulcsot.
Az üzenet titkosítva van, mielőtt elhagyja a klienst. Az ügyfél elküldi azt az indexelő szolgáltatásnak, amely titkosított keresési indexeket hoz létre, hogy segítse a jövőbeli tartalmi kereséseket.
A titkosított üzenetet a rendszer elküldi a megfelelőségi szolgáltatásnak megfelelőségi ellenőrzésre.
A titkosított üzenet a tárhely tartományában tárolódik.

A hibrid adatbiztonsági szolgáltatás telepítésekor a biztonsági tartomány funkcióit (KMS, indexelés és megfelelőség) áthelyezi a helyszíni adatközpontba. A Webexet alkotó egyéb felhőszolgáltatások (beleértve az identitást és a tartalomtárolást) a Cisco birodalmában maradnak.

Együttműködés más szervezetekkel

A szervezetéhez tartozó felhasználók rendszeresen használhatják a Webex alkalmazást, hogy együttműködjenek más szervezetek külső résztvevőivel. Amikor az egyik felhasználó kulcsot kér egy olyan szobához, amely az Ön szervezetének tulajdona (mivel azt az egyik felhasználó hozta létre), a KMS egy ECDH-biztonságos csatornán keresztül elküldi a kulcsot az ügyfélnek. Ha azonban egy másik szervezet tulajdonában van a szoba kulcsa, a KMS egy külön ECDH-csatornán keresztül továbbítja a kérést a Webex felhőbe, hogy megkapja a kulcsot a megfelelő KMS-ből, majd visszaküldi a kulcsot a felhasználónak az eredeti csatornán.

Az „A” szervezeten futó KMS-szolgáltatás x.509 PKI-tanúsítványok használatával ellenőrzi a más szervezetek KMS-eihez való kapcsolatokat. A több-bérlős hibrid adatbiztonsági szolgáltatás telepítéséhez használandó x.509-tanúsítvány létrehozásával kapcsolatos részletekért lásd: Környezet előkészítése .

Elvárások a hibrid adatbiztonsági szolgáltatás telepítésével kapcsolatban

A hibrid adatbiztonsági szolgáltatás telepítéséhez jelentős elkötelezettségre és a titkosítási kulcsok tulajdonosi kockázataira van szükség.

A hibrid adatbiztonsági szolgáltatás telepítéséhez meg kell adnia a következőket:

Biztonságos adatközpont egy olyan országban, amely a Cisco Webex Teams-csomagok támogatott helyszíne.
A Környezet előkészítése részben leírt berendezések, szoftverek és hálózati hozzáférés.

A hibrid adatbiztonsági szolgáltatáshoz létrehozott konfigurációs ISO vagy az Ön által megadott adatbázis teljes elvesztése a kulcsok elvesztését eredményezi. A kulcsvesztés megakadályozza, hogy a felhasználók visszafejtsék a tárhelytartalmakat és egyéb titkosított adatokat a Webex alkalmazásban. Ha ez megtörténik, új telepítést hozhat létre, de csak az új tartalom lesz látható. Az adatokhoz való hozzáférés elvesztésének elkerülése érdekében:

Kezelje az adatbázis és a konfiguráció ISO biztonsági mentését és helyreállítását.
Készüljön fel a gyors katasztrófa-helyreállításra, ha katasztrófa történik, mint például az adatbázis lemezhibája vagy az adatközpont-katasztrófa.

HDS-telepítés után nincs mechanizmus a kulcsok felhőbe való visszahelyezésére.

Magas szintű beállítási folyamat

Ez a dokumentum egy több-bérlős hibrid adatbiztonsági szolgáltatás telepítésének beállításával és kezelésével foglalkozik:

Hibrid adatbiztonsági szolgáltatás beállítása – Ez magában foglalja a szükséges infrastruktúra előkészítését és a hibrid adatbiztonsági szolgáltatás szoftverének telepítését, egy HDS-fürt létrehozását, bérlői szervezetek hozzáadását a fürthöz, valamint az ügyfél fő kulcsainak (CMK-k) kezelését. Ez lehetővé teszi az ügyfélszervezetek minden felhasználója számára, hogy a hibrid adatbiztonsági szolgáltatás-fürtöt használja a biztonsági funkciókhoz.

A beállítási, aktiválási és kezelési szakaszt a következő három fejezet részletesen ismerteti.
A hibrid adatbiztonsági szolgáltatás telepítésének fenntartása – A Webex felhő automatikusan folyamatos frissítéseket biztosít. Az Ön informatikai osztálya első szintű támogatást nyújthat ehhez a telepítéshez, és szükség szerint bevonhatja a Cisco-támogatást. A Partner Hubban használhatja a képernyőn megjelenő értesítéseket, és beállíthat e-mail-alapú riasztásokat.
A gyakori riasztások, hibaelhárítási lépések és ismert problémák megértése – Ha problémába ütközik a hibrid adatbiztonsági szolgáltatás telepítése vagy használata során, az útmutató utolsó fejezete és az Ismert problémák függelék segíthet a probléma meghatározásában és megoldásában.

Hibrid adatbiztonsági szolgáltatás telepítési modellje

A vállalati adatközponton belül a hibrid adatbiztonsági szolgáltatást egyetlen csomópontfürtként telepíti különálló virtuális szervezőkre. A csomópontok biztonságos websocket-eken és biztonságos HTTP-n keresztül kommunikálnak a Webex Clouddal.

A telepítési folyamat során az OVA fájlt biztosítjuk Önnek a virtuális készülékek beállításához az Ön által biztosított VM-eken. A HDS telepítőeszköz segítségével egyéni fürtkonfigurációs ISO-fájlt hozhat létre, amelyet minden csomópontra rögzíthet. A hibrid adatbiztonsági szolgáltatás-fürt a megadott Syslogd-kiszolgálót és PostgreSQL vagy Microsoft SQL Server adatbázist használja. (A Syslogd és az adatbázis-kapcsolat részleteit a HDS telepítőeszközben konfigurálhatja.)

Hibrid adatbiztonsági szolgáltatás telepítési modellje

Egy fürtben minimálisan elérhető csomópontok száma kettő. Fürtönként legalább hármat ajánlunk. A több csomópont biztosítja, hogy a szolgáltatás ne szakadjon meg egy csomóponton végzett szoftverfrissítés vagy egyéb karbantartási tevékenység során. (A Webex-felhő egyszerre csak egy csomópontot frissít.)

A fürtben lévő összes csomópont ugyanahhoz a kulcsadatkészlethez és ugyanahhoz a syslog szerverhez fér hozzá a naplótevékenységhez. Maguk a csomópontok státustalanok, és a kulcskéréseket kerek-robin módon kezelik, a felhő utasításai szerint.

A csomópontok aktiválódnak, amikor regisztrálja őket a Partner Hubban. Ha egy egyedi csomópontot ki szeretne zárni a szolgáltatásból, törölheti a regisztrációját, majd szükség esetén később újra regisztrálhatja.

Készenléti adatközpont a katasztrófa-helyreállításhoz

A telepítés során biztonságos készenléti adatközpontot állít be. Adatközpont-katasztrófa esetén manuálisan meghiúsulhat a telepítés a készenléti adatközpontba.

Az aktív és készenléti adatközpontok adatbázisai szinkronizálva vannak egymással, ami minimalizálja a feladatátvétel elvégzéséhez szükséges időt.

Az aktív hibrid adatbiztonsági szolgáltatás-csomópontoknak mindig ugyanabban az adatközpontban kell lenniük, mint az aktív adatbázis-kiszolgálónak.

Proxy támogatás

A Hibrid adatbiztonság támogatja az explicit, átlátható ellenőrzést és a nem ellenőrző proxykat. Ezeket a proxykat az üzembe helyezéshez kötheti, így biztonságossá teheti és figyelheti a vállalattól a felhőig irányuló forgalmat. A tanúsítványkezeléshez platformfelügyeleti felületet használhat a csomópontokon, és ellenőrizheti a kapcsolat általános állapotát, miután beállította a proxyt a csomópontokon.

A hibrid adatbiztonsági csomópontok a következő proxybeállításokat támogatják:

Nincs proxy – Az alapértelmezett, ha nem használja a Megbízhatósági tároló és proxy konfigurációt a HDS-csomópont beállításához a proxy integrálásához. Nincs szükség tanúsítványfrissítésre.
Átlátszó, nem ellenőrző proxy – A csomópontok nincsenek konfigurálva meghatározott proxykiszolgáló-cím használatára, és nem igényelhetnek módosításokat ahhoz, hogy a nem ellenőrző proxyval működjenek. Nincs szükség tanúsítványfrissítésre.
Átlátszó alagútépítés vagy ellenőrzés proxy – A csomópontok nincsenek konfigurálva konkrét proxykiszolgáló-cím használatára. A csomópontokon nincs szükség HTTP- vagy HTTPS-konfigurációs módosításokra. A csomópontoknak azonban főtanúsítványra van szükségük, hogy megbízzanak a proxyban. A proxyk ellenőrzését az IT általában arra használja, hogy betartassa azokat az irányelveket, amelyeken a webhelyek látogathatók, és milyen típusú tartalom nem engedélyezett. Ez a fajta proxy visszafejti az összes forgalmat (még HTTPS-t is).
Explicit proxy – Az explicit proxy segítségével megmondja a HDS-csomópontoknak, hogy melyik proxykiszolgálót és hitelesítési sémát kell használni. Explicit proxy konfigurálásához minden csomóponton a következő adatokat kell megadnia:
1. Proxy IP/FQDN – a proxygép elérésére használható cím.
2. Proxyport – Olyan portszám, amelyet a proxy a lekerekített forgalom figyelésére használ.
3. Proxyprotokoll – Attól függően, hogy a proxykiszolgáló mit támogat, válasszon a következő protokollok közül:
  - HTTP – Az ügyfél által küldött összes kérés megtekintése és ellenőrzése.
  - HTTPS – Csatornát biztosít a kiszolgálónak. Az ügyfél megkapja és ellenőrzi a kiszolgáló tanúsítványát.
4. Hitelesítési típus – Válasszon a következő hitelesítési típusok közül:
  - Nincs – Nincs szükség további hitelesítésre.
    
    Akkor érhető el, ha a HTTP-t vagy a HTTPS-t választja proxyprotokollként.
  - Alapszintű – HTTP-felhasználói ügynökként használatos a felhasználónév és jelszó megadására kéréskor. Base64 kódolást használ.
    
    Akkor érhető el, ha a HTTP-t vagy a HTTPS-t választja proxyprotokollként.
    
    Meg kell adnia a felhasználónevet és a jelszót az egyes csomópontokon.
  - Kivonás – A fiók megerősítésére szolgál, mielőtt érzékeny információkat küldene be. Kivonatfüggvényt alkalmaz a felhasználónévre és a jelszóra, mielőtt elküldené a hálózaton keresztül.
    
    Csak akkor érhető el, ha a HTTPS-t választja proxyprotokollként.
    
    Meg kell adnia a felhasználónevet és a jelszót az egyes csomópontokon.

Példa hibrid adatbiztonsági csomópontokra és proxykra

Ez a diagram egy példakapcsolatot mutat be a hibrid adatbiztonság, a hálózat és a proxy között. Az átlátható ellenőrzési és HTTPS-explicit ellenőrző proxybeállításokhoz ugyanazt a főtanúsítványt kell telepíteni a proxyra és a hibrid adatbiztonsági csomópontokra.

Blokkolt külső DNS-feloldási mód (explicit proxykonfigurációk)

Amikor regisztrál egy csomópontot, vagy ellenőrzi a csomópont proxykonfigurációját, a folyamat teszteli a DNS-ellenőrzést és a Cisco Webex felhővel való kapcsolatot. Az explicit proxykonfigurációkkal rendelkező központi telepítések esetében, amelyek nem teszik lehetővé a külső DNS-feloldást a belső ügyfelek számára, ha a csomópont nem tudja lekérdezni a DNS-kiszolgálókat, automatikusan blokkolt külső DNS-feloldási módba lép. Ebben az üzemmódban folytatódhat a csomópont-regisztráció és más proxykapcsolati tesztek.

Készítse elő környezetét

A több-bérlős hibrid adatbiztonságra vonatkozó követelmények

Cisco Webex licenckövetelmények

A több-bérlős hibrid adatbiztonsági szolgáltatás telepítéséhez:

Partnerszervezetek: Forduljon Cisco-partneréhez vagy fiókkezelőjéhez, és bizonyosodjon meg arról, hogy engedélyezve van a több-bérlős funkció.
Bérlői szervezetek: Rendelkeznie kell a Cisco Webex Control Hub Pro Packkel. (Lásd: https://www.cisco.com/go/pro-pack.)

Docker asztali követelmények

A HDS-csomópontok telepítése előtt a telepítőprogram futtatásához a Docker Desktop alkalmazásra van szükség. A Docker nemrég frissítette licencelési modelljét. Előfordulhat, hogy szervezetének fizetős előfizetést kell igényelnie a Docker Desktophoz. További részletekért lásd a Docker blogbejegyzést, "A Docker frissíti és bővíti termékelőfizetéseinket".

X.509 tanúsítványkövetelmények

A tanúsítványláncnak az alábbi követelményeknek kell megfelelnie:

1. táblázat X.509 Tanúsítványkövetelmények a hibrid adatbiztonsági szolgáltatás telepítéséhez
Követelmény	részletei
Megbízható hitelesítésszolgáltató (CA) által aláírt	Alapértelmezés szerint megbízunk a Mozilla listában szereplő hitelesítésszolgáltatókban (a WoSign és a StartCom kivételével) a következő címen: https://wiki.mozilla.org/CA:IncludedCAs.
Közös név (CN) tartománynévvel rendelkezik, amely azonosítja a hibrid adatbiztonsági szolgáltatás telepítését Nem helyettesítő kód tanúsítvány	A CN-nek nem kell elérhetőnek vagy élő szervezőnek lennie. Javasoljuk, hogy olyan nevet használjon, amely tükrözi a szervezetét, például `hds.company.com`. A CN nem tartalmazhat * karaktert (helyettesítő karaktert). A CN-t a Webex alkalmazás ügyfeleihez tartozó hibrid adatbiztonsági szolgáltatás-csomópontok ellenőrzésére használják. A fürtben lévő összes hibrid adatbiztonsági szolgáltatás-csomópont ugyanazt a tanúsítványt használja. A KMS a CN tartomány használatával azonosítja magát, nem az x.509v3 SAN mezőkben definiált tartományt. Miután regisztrált egy csomópontot ezzel a tanúsítvánnyal, nem támogatjuk a CN-tartomány nevének megváltoztatását.
Nem SHA1-aláírás	A KMS szoftver nem támogatja az SHA1-aláírásokat a más szervezetek KMS-jeihez való kapcsolatok érvényesítéséhez.
Jelszóval védett PKCS #12 fájlként formázva A tanúsítvány, a titkos kulcs és a feltölteni kívánt közbenső tanúsítványok címkézéséhez használja a `kms-private-key` felhasználóbarát nevét.	A tanúsítvány formátumának megváltoztatásához használjon konvertálót, például OpenSSL-t. A HDS telepítőeszköz futtatásakor meg kell adnia a jelszót.

A KMS szoftver nem kényszeríti ki a kulcshasználatot vagy a kiterjesztett kulcshasználati korlátozásokat. Egyes hitelesítésszolgáltatók megkövetelik, hogy kiterjesztett kulcshasználati korlátozásokat alkalmazzanak minden tanúsítványra, például a kiszolgáló hitelesítésére. Megfelelő a kiszolgálóhitelesítés vagy egyéb beállítások használata.

Virtuális szervezőre vonatkozó követelmények

A fürtben hibrid adatbiztonsági szolgáltatás-csomópontként beállított virtuális szervezőkre a következő követelmények vonatkoznak:

Legalább két különálló szervező (3 ajánlott) ugyanabban a biztonságos adatközpontban van elhelyezve
A VMware ESXi 7.0 (vagy későbbi) verzió telepítve és fut.

Frissítenie kell, ha az ESXi egy korábbi verziójával rendelkezik.
Legalább 4 vCPU, 8 GB fő memória, 30 GB helyi merevlemez kiszolgálónként

Adatbázis-kiszolgáló követelmények

Hozzon létre egy új adatbázist a kulcstároláshoz. Ne használja az alapértelmezett adatbázist. A HDS alkalmazások telepítésekor létrehozzák az adatbázis-sémát.

Az adatbázis-kiszolgálónak két lehetősége van. Az egyes követelményekre vonatkozó követelmények a következők:

2. táblázat Adatbázis-kiszolgáló követelmények az adatbázis típusa szerint
PostgreSQL csevegés	Microsoft SQL kiszolgáló
A PostgreSQL 14, 15 vagy 16 telepítve és fut.	Az SQL Server 2016, 2017 vagy 2019 (Enterprise vagy Standard) telepítve van. Az SQL Server 2016 használatához 2. szervizcsomag és 2. vagy újabb kumulatív frissítés szükséges.
Legalább 8 vCPU, 16 GB fő memória, elegendő tárhely a merevlemezen és figyelés, hogy ne lépje túl (2 TB ajánlott, ha hosszú ideig szeretné futtatni az adatbázist a tárhely növelése nélkül)	Legalább 8 vCPU, 16 GB fő memória, elegendő tárhely a merevlemezen és figyelés, hogy ne lépje túl (2 TB ajánlott, ha hosszú ideig szeretné futtatni az adatbázist a tárhely növelése nélkül)

A HDS szoftver jelenleg a következő illesztőprogramokat telepíti az adatbázis-kiszolgálóval való kommunikációhoz:

PostgreSQL csevegés

Microsoft SQL kiszolgáló

Postgres JDBC illesztőprogram 42.2.5

SQL Server JDBC illesztőprogram 4.6

Ez az illesztőprogram-verzió támogatja az SQL Server Always On ( Always On Failover Cluster Instances és Always On Availability Groups) szolgáltatást.

A Microsoft SQL Server elleni Windows-hitelesítés további követelményei

Ha azt szeretné, hogy a HDS csomópontok Windows hitelesítést használjanak, hogy hozzáférjenek a Microsoft SQL Server kulcstári adatbázisához, akkor a következő konfigurációra van szükség a környezetben:

A HDS csomópontokat, az Active Directory infrastruktúrát és az MS SQL Server-t mind szinkronizálni kell az NTP-vel.
A HDS-csomópontok számára megadott Windows-fióknak olvasási/írási hozzáféréssel kell rendelkeznie az adatbázishoz.
A HDS-csomópontokhoz megadott DNS-kiszolgálóknak képesnek kell lenniük a kulcselosztó központ (KDC) feloldására.
A HDS adatbázis-példányát a Microsoft SQL Server kiszolgálón a szolgáltatás fő neveként (SPN) regisztrálhatja az Active Directoryban. Lásd: Szolgáltatás fő nevének regisztrálása Kerberos-kapcsolatokhoz.

A HDS telepítőeszköznek, a HDS indítónak és a helyi KMS-nek mind Windows-hitelesítést kell használnia a keystore adatbázishoz való hozzáféréshez. Az ISO-konfiguráció részleteit használják az SPN megépítéséhez, amikor Kerberos hitelesítéssel kívánnak hozzáférni.

Külső kapcsolódási követelmények

Konfigurálja úgy a tűzfalát, hogy engedélyezze a következő csatlakozást a HDS-alkalmazásokhoz:

Alkalmazás	Protokoll	Port	Irány az alkalmazásból	Cél
Hibrid adatbiztonsági szolgáltatás-csomópontok	TCP	443	Kimenő HTTPS és WSS	Webex-kiszolgálók: .wbx2.com .ciscospark.com Minden Common Identity-szervező A hibrid adatbiztonságra vonatkozóan felsorolt egyéb URL-címek a Webex hibrid szolgáltatásokhoz további URL-címekWebex-szolgáltatások hálózati követelményei táblázatban
HDS-beállító eszköz	TCP	443	Kimenő HTTPS	*.wbx2.com Minden Common Identity-szervező hub.docker.com

A hibrid adatbiztonsági szolgáltatás-csomópontok hálózati hozzáférési fordítással (NAT) vagy tűzfal mögött működnek, amennyiben a NAT vagy a tűzfal lehetővé teszi a szükséges kimenő kapcsolatokat az előző táblázatban szereplő tartománycélhelyekhez. A hibrid adatbiztonsági szolgáltatás-csomópontokra bejövő kapcsolatok esetében nem szabad, hogy a portok látszódjanak az internetről. Az adatközponton belül az ügyfeleknek adminisztratív okokból hozzá kell férniük a hibrid adatbiztonsági szolgáltatás-csomópontokhoz a 443-as és 22-es TCP-portokon.

A Common Identity (CI) gazdagépek URL-címe régiónkénti. Ezek a jelenlegi CI-szervezők:

Régió	Common Identity Host URL-címek
Amerika	https://idbroker.webex.com https://identity.webex.com https://idbroker-b-us.webex.com https://identity-b-us.webex.com
Európai Unió	https://idbroker-eu.webex.com https://identity-eu.webex.com
Kanada	https://idbroker-ca.webex.com https://identity-ca.webex.com
Szingapúr	https://idbroker-sg.webex.com https://identity-sg.webex.com
Egyesült Arab Emírségek	https://idbroker-ae.webex.com https://identity-ae.webex.com

Proxykiszolgálói követelmények

Hivatalosan is támogatjuk a következő proxy megoldásokat, amelyek integrálhatók a hibrid adatbiztonsági csomópontjaival.
- Átlátszó proxy – Cisco Web Security Appliance (WSA).
- Explicit proxy – tintahal.
  
  A HTTPS-forgalmat ellenőrző Squid-proxyk zavarhatják a websocket (wss:) kapcsolatok létrehozását. A probléma megoldásához lásd: Squid-proxyk konfigurálása hibrid adatbiztonsághoz.
Az explicit proxyk esetében a következő hitelesítési típuskombinációkat támogatjuk:
- Nincs hitelesítés HTTP-vel vagy HTTPS-rel
- Alapszintű hitelesítés HTTP-vel vagy HTTPS-rel
- Hitelesítés megemésztése csak HTTPS-rel
Átlátszó ellenőrző proxyhoz vagy HTTPS explicit proxyhoz rendelkeznie kell a proxy főtanúsítványának másolatával. Az útmutató üzembe helyezési utasításaiból az útmutató ismerteti, hogyan töltheti fel a másolatot a hibrid adatbiztonsági csomópontok megbízhatósági tárolóiba.
A HDS-csomópontokat üzemeltető hálózatot úgy kell konfigurálni, hogy a 443-as port kimenő TCP-forgalmát kényszerítse a proxyn való áthaladásra.
A webes forgalmat ellenőrző proxyk zavarhatják a webfoglalat-kapcsolatokat. Ha ez a probléma bekövetkezik, a forgalom megkerülése (nem ellenőrzése) wbx2.com és ciscospark.com megoldja a problémát.

A hibrid adatbiztonság előfeltételeinek teljesítése

Ezzel az ellenőrzőlistával győződjön meg arról, hogy készen áll a hibrid adatbiztonsági szolgáltatás-fürt telepítésére és konfigurálására.

1	Győződjön meg arról, hogy partnerszervezete engedélyezte a Több-bérlős HDS funkciót, és kérje le egy teljes körű partnerrendszergazdai jogosultsággal és teljes körű rendszergazdai jogosultsággal rendelkező fiók hitelesítő adatait. Győződjön meg arról, hogy Webex-ügyfélszervezete engedélyezve van a Cisco Webex Control Hub Pro Pack csomagja. A folyamattal kapcsolatos segítségért forduljon Cisco-partneréhez vagy fiókkezelőjéhez. Az ügyfélszervezetek nem rendelkezhetnek meglévő HDS-telepítéssel.
2	Válasszon ki egy tartománynevet a HDS telepítéséhez (például `hds.company.com`), és szerezzen be egy X.509 tanúsítványt, titkos kulcsot és bármely közbenső tanúsítványt tartalmazó tanúsítványláncot. A tanúsítványláncnak meg kell felelnie az X.509 tanúsítványkövetelmények előírásainak.
3	Készítse elő azokat az azonos virtuális szervezőket, akiket hibrid adatbiztonsági szolgáltatás-csomópontként fog beállítani a fürtben. Legalább két különálló szervezőre (3 ajánlott) van szükség ugyanabban a biztonságos adatközpontban, amelyek megfelelnek a Virtuális szervező követelményei pontban foglalt követelményeknek.
4	Készítse elő az adatbázis-kiszolgálót, amely a fürt kulcsadattáraként fog működni, az Adatbázis-kiszolgáló követelményei szerint. Az adatbázis-kiszolgálót a biztonságos adatközpontban kell elhelyezni a virtuális gazdagépekkel. Hozzon létre egy adatbázist a kulcstároláshoz. (Létre kell hoznia ezt az adatbázist – ne használja az alapértelmezett adatbázist. A HDS alkalmazások telepítésekor létrehozzák az adatbázis sémát.) Gyűjtse össze azokat a részleteket, amelyeket a csomópontok az adatbázis-kiszolgálóval való kommunikációhoz használnak: a gazdagép neve vagy IP-címe (gazdagép) és a port az adatbázis neve (dbname) a kulcstároláshoz a kulcstárolási adatbázis összes jogosultságával rendelkező felhasználó felhasználóneve és jelszava
5	A gyors katasztrófa-helyreállításhoz állítson be biztonsági mentési környezetet egy másik adatközpontban. A biztonsági mentési környezet a VM-ek és a biztonsági mentési adatbázis szerver termelési környezetét tükrözi. Ha például a gyártásnak 3 HDS csomópontot futtató VM-je van, a biztonsági mentési környezetnek 3 VM-je van.
6	Állítson be egy syslog-állomást a fürt csomópontjairól érkező naplók összegyűjtésére. A hálózati cím és a syslog port összegyűjtése (alapértelmezés: UDP 514).
7	Hozzon létre biztonságos biztonsági mentési szabályzatot a hibrid adatbiztonsági szolgáltatás-csomópontokhoz, az adatbázis-kiszolgálóhoz és a syslog-állomáshoz. A visszafordíthatatlan adatvesztés elkerülése érdekében legalább biztonsági másolatot kell készítenie az adatbázist és a hibrid adatbiztonsági szolgáltatás csomópontokhoz generált konfigurációs ISO-fájlt. Mivel a hibrid adatbiztonsági csomópontok tárolják a tartalom titkosításához és visszafejtéséhez használt kulcsokat, a működőképes telepítés karbantartásának elmulasztása a tartalom VISSZAFORDÍTHATATLAN ELVESZTÉSÉT eredményezi. A Webex alkalmazás ügyfelei gyorsítják a kulcsaikat, így előfordulhat, hogy a kimaradás nem lesz azonnal észrevehető, de idővel nyilvánvalóvá válik. Míg az ideiglenes kimaradást lehetetlen megelőzni, azok visszafordíthatóak. Az adatbázis vagy konfigurációs ISO fájl teljes elvesztése (nincs elérhető biztonsági mentés) azonban visszafordíthatatlan ügyféladatokat eredményez. A hibrid adatbiztonsági szolgáltatás-csomópontok üzemeltetői várhatóan gyakori biztonsági másolatot készítenek az adatbázisról és a konfigurációs ISO-fájlról, és készen állnak a hibrid adatbiztonsági szolgáltatás-adatközpont újbóli felépítésére, ha katasztrofális hiba lép fel.
8	Győződjön meg arról, hogy a tűzfalkonfiguráció engedélyezi a csatlakozást a hibrid adatbiztonsági szolgáltatás-csomópontok számára, a Külső kapcsolódási követelmények pontban leírtak szerint.
9	Telepítse a Docker-t ( https://www.docker.com) bármely támogatott operációs rendszert futtató helyi gépre (Microsoft Windows 10 Professional vagy Enterprise 64 bites vagy Mac OSX Yosemite 10.10.3 vagy újabb) olyan webböngészővel, amely a következő címen tud hozzáférni: http://127.0.0.1:8080. A Docker-példány segítségével letöltheti és futtathatja a HDS telepítőeszközt, amely az összes hibrid adatbiztonsági szolgáltatás-csomópont helyi konfigurációs információit összeállítja. Lehet, hogy Docker asztali licencre van szüksége. További információkért lásd: Docker asztali követelmények . A HDS-telepítőeszköz telepítéséhez és futtatásához a helyi gépnek rendelkeznie kell a kapcsolattal a Külső kapcsolódási követelmények pontban leírtak szerint.
10	Ha egy proxyt a hibrid adatbiztonsággal integrál, győződjön meg arról, hogy az megfelel a proxykiszolgáló követelményeinek.

Hibrid adatbiztonsági szolgáltatás-fürt beállítása

Hibrid adatbiztonsági szolgáltatás telepítési feladatfolyama

Mielőtt elkezdené

1	Kezdeti beállítási és telepítési fájlok letöltése Töltse le az OVA-fájlt a helyi gépre későbbi használatra.
2	Konfigurációs ISO létrehozása a HDS szervezők számára A HDS-telepítőeszköz segítségével ISO-konfigurációs fájlt hozhat létre a hibrid adatbiztonsági szolgáltatás-csomópontokhoz.
3	A HDS Host OVA telepítése Hozzon létre virtuális gépet az OVA fájlból, és végezze el a kezdeti konfigurációkat, például a hálózati beállításokat. Az OVA telepítése során a hálózati beállítások konfigurálásának lehetőségét teszteltük az ESXi 7.0 verzióval. Előfordulhat, hogy a beállítás a korábbi verziókban nem érhető el.
4	Hibrid adatbiztonsági szolgáltatás (VM) beállítása Jelentkezzen be a VM-konzolba, és állítsa be a bejelentkezési hitelesítő adatokat. Konfigurálja a csomópont hálózati beállításait, ha az OVA telepítésekor nem konfigurálta azokat.
5	A HDS-konfigurációs ISO feltöltése és csatlakoztatása Konfigurálja a VM-et a HDS telepítőeszközzel létrehozott ISO konfigurációs fájlból.
6	A HDS-csomópont konfigurálása proxyintegrációhoz Ha a hálózati környezet proxykonfigurációt igényel, adja meg a csomóponthoz használni kívánt proxy típusát, és szükség esetén adja hozzá a proxytanúsítványt a megbízhatósági tárolóhoz.
7	A fürtben lévő első csomópont regisztrálása Regisztrálja a VM-et a Cisco Webex felhővel hibrid adatbiztonsági szolgáltatás-csomópontként.
8	További csomópontok létrehozása és regisztrálása Fejezze be a fürt beállítását.
9	Aktiválja a több-bérlős HDS-t a Partnerközpontban. Aktiválja a HDS-t és kezelje a bérlői szervezeteket a Partner Hubban.

Kezdeti beállítási és telepítési fájlok letöltése

Ebben a feladatban letölt egy OVA-fájlt a számítógépére (nem a hibrid adatbiztonsági szolgáltatás-csomópontokként beállított kiszolgálókra). Ezt a fájlt később a telepítési folyamat során használhatja.

1	Jelentkezzen be a Partnerközpontba, majd kattintson a Szolgáltatások lehetőségre.
2	A Felhőszolgáltatások részben keresse meg a hibrid adatbiztonsági kártyát, majd kattintson a Beállítás gombra. A Partner Hubban a Beállítás gombra kattintva kulcsfontosságú a telepítési folyamat szempontjából. Ne folytassa a telepítést ennek a lépésnek a befejezése nélkül.
3	Kattintson az Erőforrás hozzáadása lehetőségre, majd a Szoftver telepítése és konfigurálása kártyán kattintson a .OVA-fájl letöltése gombra. A szoftvercsomag (OVA) régebbi verziói nem lesznek kompatibilisek a hibrid adatbiztonsági szolgáltatás legújabb frissítéseivel. Ez problémákat okozhat az alkalmazás verziófrissítése során. Ügyeljen arra, hogy az OVA-fájl legújabb verzióját töltse le. Az OVA-t bármikor letöltheti a Súgó részből. Kattintson a Beállítások > Súgó > Hibrid adatbiztonsági szolgáltatás letöltése lehetőségre. Az OVA-fájl letöltése automatikusan elkezdődik. Mentse a fájlt a gépén lévő helyre.
4	Opcionálisan kattintson a Hibrid adatbiztonsági szolgáltatás telepítési útmutatójának megtekintése opcióra annak ellenőrzéséhez, hogy rendelkezésre áll-e ennek az útmutatónak egy későbbi verziója.

Konfigurációs ISO létrehozása a HDS szervezők számára

A hibrid adatbiztonsági szolgáltatás beállítási folyamata ISO-fájlt hoz létre. Ezután az ISO-t használja a hibrid adatbiztonsági szolgáltatás-szervező konfigurálásához.

Mielőtt elkezdené

A HDS Setup eszköz Docker konténerként fut egy helyi gépen. Ha hozzá akarsz férni, futtasd a Dockert azon a gépen. A beállítási folyamat megköveteli a teljes rendszergazdai jogosultságokkal rendelkező Partner Hub-fiók hitelesítő adatait.

Ha a HDS-beállító eszköz a környezetében lévő proxy mögött fut, adja meg a proxybeállításokat (kiszolgáló, port, hitelesítő adatokat) a Dokkolókörnyezeti változókon keresztül a Dokkolótároló alábbi 5 . lépésben. Ez a táblázat néhány lehetséges környezeti változót tartalmaz:

Leírás	Változó
Http-proxy hitelesítés nélkül	`GLOBÁLIS_ÜGYNÖK_HTTP_PROXY=HTTP://KISZOLGÁLÓ_IP:PORT`
HTTPS-proxy hitelesítés nélkül	`GLOBÁLIS_ÜGYNÖK_HTTPS_PROXY=http://KISZOLGÁLÓ_IP:PORT`
Http-proxy hitelesítéssel	`GLOBÁLIS_ÜGYNÖK_HTTP_PROXY=http://felhasználónév:jelszó@kiszolgáló_IP:PORT`
HTTPS-proxy hitelesítéssel	`GLOBÁLIS_ÜGYNÖK_HTTPS_PROXY=http://felhasználónév:jelszó@kiszolgáló_IP:PORT`

A létrehozott konfigurációs ISO fájl tartalmazza a PostgreSQL vagy Microsoft SQL Server adatbázist titkosító mesterkulcsot. Szükség van a fájl legutóbbi másolatára, amikor konfigurációs módosításokat hajt végre, mint például:
- Adatbázis hitelesítő adatai
- Tanúsítványfrissítések
- Az engedélyezési szabályzat változásai
Ha adatbázis-kapcsolatokat szeretne titkosítani, állítsa be a PostgreSQL vagy SQL Server telepítés TLS-hez.

1

A gép parancssorában adja meg a környezetének megfelelő parancsot:

Rendszeres környezetben:

docker rmi ciscocitg/hds-setup:stabil

FedRAMP környezetben:

docker rmi ciscocitg/hds-setup-fedramp:stabil

Ezzel a lépéssel törölhetők a HDS telepítőeszköz korábbi képei. Ha nincsenek korábbi képek, akkor olyan hibát ad vissza, amelyet figyelmen kívül hagyhat.

2

A Docker-képtárba való bejelentkezéshez írja be a következőket:

dokkoló bejelentkezés -u hdscustomersro

3

A jelszókéréskor írja be ezt a hash-t:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

4

Töltse le a legfrissebb stabil képet a környezetéről:

Rendszeres környezetben:

dokkoló húzás ciscocitg/hds-setup:stabil

FedRAMP környezetben:

dokkoló húzás ciscocitg/hds-setup-fedramp:stabil

5

Amikor a húzás befejeződött, adja meg a környezetének megfelelő parancsot:

Rendszeres környezetben, proxy nélkül:

dokkoló futtatása -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

Http proxyval rendelkező normál környezetben:

docker run -p 8080:8080 --rm -it-e GLOBAL_AGENT_HTTP_PROXY=http://SERVER IP:PORT_ ciscocitg/hds-setup:stable

Normál környezetben HTTPS proxyval:

docker run -p 8080:8080 --rm -it-e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER IP:PORT_ ciscocitg/hds-setup:stable

FedRAMP környezetben, proxy nélkül:

dokkoló futtatása -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

Http proxyval rendelkező FedRAMP környezetben:

docker run -p 8080:8080 --rm -it-e GLOBAL_AGENT_HTTP_PROXY=http://SERVER IP:PORT_ ciscocitg/hds-setup-fedramp:stable

FedRAMP környezetben https proxyval:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER IP:PORT_ ciscocitg/hds-setup-fedramp:stable

Amikor a konténer fut, az "Express szerver figyeli a 8080-as portot."

6

A beállítóeszköz nem támogatja a localhost-hoz való csatlakozást a http://localhost:8080-on keresztül. A(z) http://127.0.0.1:8080 használatával kapcsolódhat a localhost-hoz.

Webböngészővel lépjen a(z) http://127.0.0.1:8080 helyszínállomásra, majd adja meg a rendszergazda felhasználónevét a Partner Hubhoz a kérésben.

Az eszköz a felhasználónév első bejegyzésével állítja be a fiókhoz tartozó megfelelő környezetet. Az eszköz ezután megjeleníti a normál bejelentkezési üzenetet.

7

Amikor a rendszer kéri, adja meg a Partner Hub rendszergazdájának bejelentkezési hitelesítő adatait, majd kattintson a Bejelentkezés gombra, hogy engedélyezze a hozzáférést a hibrid adatbiztonsági szolgáltatáshoz szükséges szolgáltatásokhoz.

8

A Beállítóeszköz áttekintése oldalon kattintson az Első lépések gombra.

9

Az ISO-importálás oldalon az alábbi lehetőségek közül választhat:

Nem – Ha az első HDS-csomópontot hozza létre, nincs feltöltendő ISO-fájl.
Igen – Ha már létrehozott HDS-csomópontokat, akkor válassza ki az ISO-fájlt a böngészőben, és töltse fel.

10

Ellenőrizze, hogy az X.509-es tanúsítvány megfelel-e az X.509-es tanúsítványkövetelmények előírásainak.

Ha még soha nem töltött fel tanúsítványt, töltse fel az X.509 tanúsítványt, adja meg a jelszót, majd kattintson a Folytatás gombra.
Ha a tanúsítványa rendben van, kattintson a Folytatás gombra.
Ha a tanúsítvány lejárt, vagy szeretné lecserélni, válassza a Nem lehetőséget a Folytatás a HDS tanúsítványlánc és a korábbi ISO titkos kulcs használata? lehetőséghez. Töltsön fel egy új X.509-tanúsítványt, adja meg a jelszót, majd kattintson a Folytatás gombra.

11

Adja meg a HDS adatbáziscímét és fiókját a kulcsadatkészlet eléréséhez:

Válassza ki az Adatbázis típusát (PostgreSQL vagy Microsoft SQL Server).

Ha a Microsoft SQL Server opciót választja, Hitelesítési típus mezőt kap.
(Csak Microsoft SQL Server ) Válassza ki a Hitelesítési típust:
- Alapszintű hitelesítés: Helyi SQL Server-fiók nevére van szükség a Felhasználónév mezőben.
- Windows-hitelesítés: felhasználónév@tartomány formátumú Windows-fiókra van szükség a Felhasználónév mezőben.
Adja meg az adatbázis-kiszolgáló címét a következő formában: : vagy :.

Példa:
dbhost.example.org:1433 vagy 198.51.100.17:1433

Alapszintű hitelesítéshez használhat IP-címet, ha a csomópontok nem tudnak DNS-t használni az állomásnév feloldásához.

Ha Windows-hitelesítést használ, akkor meg kell adnia egy teljesen minősített tartománynevet a következő formátumban: dbhost.example.org:1433
Adja meg az Adatbázis nevét.
Adja meg annak a felhasználónak a Felhasználónevét és Jelszavát , aki minden jogosultsággal rendelkezik a kulcstárolási adatbázisban.

12

Válassza ki a TLS-adatbázis csatlakozási módját:

Mód	Leírás
TLS előnyben részesítése (alapértelmezett beállítás)	A HDS csomópontok nem igénylik a TLS csatlakozását az adatbázis szerverhez. Ha engedélyezi a TLS-t az adatbázis kiszolgálón, a csomópontok titkosított kapcsolatot próbálnak meg létesíteni.
Kötelező TLS	A HDS csomópontok csak akkor kapcsolódnak, ha az adatbázis-kiszolgáló képes egyeztetni a TLS-t.
TLS igénylése és a tanúsítvány aláírójának ellenőrzése	Ez a mód nem alkalmazható SQL Server adatbázisokra. A HDS csomópontok csak akkor kapcsolódnak, ha az adatbázis-kiszolgáló képes egyeztetni a TLS-t. A TLS-kapcsolat létrehozása után a csomópont összehasonlítja az adatbázis-kiszolgálóról származó tanúsítvány aláíróját a hitelesítésszolgáltatóval az Adatbázis gyökértanúsítványban. Ha nem egyeznek, a csomópont megszakítja a kapcsolatot. A legördülő menü alatti Adatbázis gyökértanúsítvány vezérlőelem segítségével töltse fel a beállítás gyökértanúsítványát.
TLS megkövetelése és a tanúsítvány aláírójának és a gépnévnek az ellenőrzése	A HDS csomópontok csak akkor kapcsolódnak, ha az adatbázis-kiszolgáló képes egyeztetni a TLS-t. A TLS-kapcsolat létrehozása után a csomópont összehasonlítja az adatbázis-kiszolgálóról származó tanúsítvány aláíróját a hitelesítésszolgáltatóval az Adatbázis gyökértanúsítványban. Ha nem egyeznek, a csomópont megszakítja a kapcsolatot. A csomópontok azt is ellenőrzik, hogy a kiszolgáló tanúsítványában szereplő gazdagép neve megegyezik-e az Adatbázis gazdagép és port mezőben található gazdagép nevével. A neveknek pontosan egyezniük kell, vagy a csomópont megszakítja a kapcsolatot. A legördülő menü alatti Adatbázis gyökértanúsítvány vezérlőelem segítségével töltse fel a beállítás gyökértanúsítványát.

Amikor feltölti a gyökértanúsítványt (ha szükséges), és a Folytatás gombra kattint, a HDS telepítőeszköz teszteli a TLS-kapcsolatot az adatbázis-kiszolgálóval. Az eszköz ellenőrzi a tanúsítvány aláíróját és a gépnevet is, ha van ilyen. Ha egy teszt sikertelen, az eszköz hibaüzenetet jelenít meg, amely leírja a problémát. Kiválaszthatja, hogy figyelmen kívül hagyja-e a hibát, és folytatja-e a beállítást. (A kapcsolódási különbségek miatt a HDS-csomópontok akkor is képesek lehetnek létrehozni a TLS-kapcsolatot, ha a HDS telepítőeszköz gépe nem tudja sikeresen tesztelni.)

13

A Rendszernaplók oldalon konfigurálja a Syslogd kiszolgálót:

Adja meg a syslog szerver URL-címét.

Ha a kiszolgáló nem DNS-feloldható a HDS-fürthöz tartozó csomópontokról, használjon egy IP-címet az URL-ben.

Példa:
Az udp://10.92.43.23:514 a 10.92.43.23 Syslogd állomásra való bejelentkezést jelzi az 514-es UDP-porton.
Ha úgy állítja be a kiszolgálóját, hogy TLS-titkosítást használjon, jelölje be a Be van állítva a syslog kiszolgáló SSL-titkosításra? jelölőnégyzetet.

Ha bejelöli ezt a jelölőnégyzetet, mindenképpen adjon meg egy TCP URL-címet, például tcp://10.92.43.23:514.
A Syslog-rekord termináljának kiválasztása legördülő menüből válassza ki az ISO fájlhoz megfelelő beállítást: Válassza ki, hogy az Újsor legyen-e használatban Graylog és Rsyslog TCP esetén
- Null bájt -- \x00
- Új vonal -- \n—Válassza ezt a lehetőséget a Graylog és Rsyslog TCP esetén.
Kattintson a Folytatás gombra.

14

(Opcionális) Bizonyos adatbázis-kapcsolati paraméterek alapértelmezett értékét a Speciális beállítások menüpontban módosíthatja. Általában ez az egyetlen paraméter, amit érdemes megváltoztatni:

app_datasource_connection_pool_maxMéret: 10

15

Kattintson a Folytatás gombra a Szolgáltatásfiókok jelszavának visszaállítása képernyőn.

A szolgáltatásfiók jelszavainak élettartama kilenc hónap. Akkor használja ezt a képernyőt, ha a jelszavak hamarosan lejárnak, vagy vissza szeretné állítani őket, hogy érvénytelenítsék a korábbi ISO-fájlokat.

16

Kattintson az ISO-fájl letöltése lehetőségre. Mentse el a fájlt egy könnyen megtalálható helyre.

17

Készítsen biztonsági másolatot az ISO fájlról a helyi rendszerre.

Tartsa biztonságban a biztonsági másolatot. Ez a fájl az adatbázis tartalmához tartozó fő titkosítási kulcsot tartalmaz. Korlátozza a hozzáférést csak azokra a hibrid adatbiztonsági szolgáltatás-rendszergazdákra, akiknek konfigurációs módosításokat kell végrehajtaniuk.

18

A beállítóeszköz leállításához gépelje be a CTRL+C billentyűkombinációt.

Mi a következő teendő

Biztonsági másolat készítése a konfigurációs ISO fájlról. A helyreállításhoz további csomópontok létrehozásához, illetve konfigurációs módosítások elvégzéséhez szükség van rá. Ha az ISO fájl összes másolatát elveszíti, akkor a mesterkulcs is elveszett. A PostgreSQL vagy Microsoft SQL Server adatbázisából nem lehet visszaállítani a kulcsokat.

Soha nem lesz másolatunk erről a kulcsról, és nem tudunk segíteni, ha elveszíti.

A HDS Host OVA telepítése

Ezzel az eljárással virtuális gépet hozhat létre az OVA-fájlból.

1	A számítógépén lévő VMware vSphere kliens használatával jelentkezzen be az ESXi virtuális állomásba.
2	Válassza a Fájl > OVF-sablon telepítése lehetőséget.
3	A varázslóban adja meg a korábban letöltött OVA-fájl helyét, majd kattintson a Tovább gombra.
4	A Név és mappa kiválasztása oldalon adja meg a csomópont Virtuális gép nevét (például „HDS_Node_1”), válasszon ki egy helyet, ahol a virtuálisgép-csomópont telepítése élhet, majd kattintson a Tovább gombra.
5	A Számítási erőforrás kiválasztása oldalon válassza ki a cél számítási erőforrást, majd kattintson a Tovább gombra. Egy érvényesítési ellenőrzés lefut. A befejezés után megjelennek a sablon adatai.
6	Ellenőrizze a sablon részleteit, majd kattintson a Tovább gombra.
7	Ha a rendszer arra kéri, hogy a Konfiguráció oldalon válassza ki az erőforrás konfigurációját, kattintson a 4 CPU gombra, majd kattintson a Tovább gombra.
8	A Tárhely kiválasztása oldalon kattintson a Tovább gombra az alapértelmezett lemezformátum és a VM-tárhely házirendjének elfogadásához.
9	A Hálózatok kiválasztása oldalon válassza ki a hálózati lehetőséget a bejegyzések listájából, hogy biztosítsa a kívánt kapcsolatot a VM-mel.
10	A Sablon testreszabása oldalon konfigurálja a következő hálózati beállításokat: Gazdagép neve – Adja meg a csomópont FQDN-jét (gazdagép neve és tartománya), vagy egyetlen szó gazdagép nevét. Nem kell úgy beállítania a tartományt, hogy megfeleljen az X.509 tanúsítvány beszerzéséhez használt tartománynak. A felhőbe történő sikeres regisztráció érdekében csak kisbetűs karaktereket használjon a csomóponthoz beállított FQDN-ben vagy állomásnévben. A nagybetűs írásmód jelenleg nem támogatott. Az FQDN teljes hossza nem haladhatja meg a 64 karaktert. IP-cím— Adja meg a csomópont belső interfészének IP-címét. A csomópontnak belső IP-címmel és DNS-névvel kell rendelkeznie. A DHCP nem támogatott. Maszk – Adja meg az alhálózati maszk címét pont-decimális jelölésben. Például: 255.255.255.0. Átjáró—Adja meg az átjáró IP-címét. Az átjáró olyan hálózati csomópont, amely egy másik hálózat hozzáférési pontjaként szolgál. DNS-kiszolgálók – Adja meg a DNS-kiszolgálók vesszővel elválasztott listáját, amely a tartománynevek numerikus IP-címekre történő fordítását kezeli. (Legfeljebb 4 DNS-bejegyzés engedélyezett.) NTP-kiszolgálók – Adja meg a szervezet NTP-kiszolgálóját vagy egy másik, a szervezetben használható külső NTP-kiszolgálót. Előfordulhat, hogy az alapértelmezett NTP-kiszolgálók nem működnek minden vállalatnál. Több NTP-kiszolgáló megadásához vesszővel elválasztott listát is használhat. Telepítse az összes csomópontot ugyanazon az alhálózaton vagy VLAN-on, hogy a fürtben lévő összes csomópont adminisztratív okokból elérhető legyen a hálózaton lévő ügyfelektől. Ha szeretné, átugorhatja a hálózati beállítási konfigurációt, és a Hibrid adatbiztonsági szolgáltatás beállítása szakasz lépéseit követve konfigurálhatja a beállításokat a csomópont-konzolról. Az OVA telepítése során a hálózati beállítások konfigurálásának lehetőségét teszteltük az ESXi 7.0 verzióval. Előfordulhat, hogy a beállítás a korábbi verziókban nem érhető el.
11	Kattintson az egér jobb oldali gombjával a csomópont VM-jére, majd válassza a Bekapcsolás > Bekapcsolás lehetőséget. A hibrid adatbiztonsági szolgáltatás-szoftver vendégként van telepítve a VM-állomásra. Most már bejelentkezhet a konzolba, és konfigurálhatja a csomópontot. Hibaelhárítási tippek Előfordulhat, hogy a csomópont-konténerek megjelenése előtt néhány percet késik. Az első rendszerindítás során hídtűzfalüzenet jelenik meg a konzolon, amelynek során nem tud bejelentkezni.

Hibrid adatbiztonsági szolgáltatás (VM) beállítása

Ezzel az eljárással először jelentkezzen be a hibrid adatbiztonsági szolgáltatás-csomópont VM-konzoljába, és állítsa be a bejelentkezési hitelesítő adatokat. A konzol segítségével konfigurálhatja a csomópont hálózati beállításait is, ha az OVA telepítésekor nem konfigurálta azokat.

1	A VMware vSphere kliensben válassza ki a hibrid adatbiztonsági szolgáltatás-csomópont VM-jét, és válassza a Konzol lapot. A VM elindul, és bejelentkezési üzenet jelenik meg. Ha a bejelentkezési üzenet nem jelenik meg, nyomja meg az Enter billentyűt.
2	A bejelentkezéshez és a hitelesítő adatok módosításához használja a következő alapértelmezett bejelentkezést és jelszót: Bejelentkezés: `rendszergazda` Jelszó: `cisco` Mivel először jelentkezik be a VM-be, meg kell változtatnia a rendszergazda jelszavát.
3	Ha már konfigurálta a hálózati beállításokat a HDS Host OVA telepítése menüben, hagyja ki az eljárás hátralévő részét. Ellenkező esetben a főmenüben válassza a Konfiguráció szerkesztése lehetőséget.
4	Állítson be statikus konfigurációt IP-címmel, maszkkal, átjáróval és DNS-adatokkal. A csomópontnak belső IP-címmel és DNS-névvel kell rendelkeznie. A DHCP nem támogatott.
5	(Opcionális) Módosítsa az állomásnevet, a tartományt vagy az NTP-kiszolgáló(k)t, ha a hálózati házirendnek megfelel. Nem kell úgy beállítania a tartományt, hogy megfeleljen az X.509 tanúsítvány beszerzéséhez használt tartománynak.
6	Mentse a hálózati konfigurációt, és indítsa újra a VM-et, hogy a módosítások életbe lépjenek.

A HDS-konfigurációs ISO feltöltése és csatlakoztatása

Ezzel az eljárással konfigurálhatja a virtuális gépet a HDS telepítőeszközzel létrehozott ISO-fájlból.

Mielőtt elkezdené

Mivel az ISO-fájl tartalmazza a mesterkulcsot, csak „tudni kell” alapon szabad közzétenni, hogy hozzáférhessen a hibrid adatbiztonsági szolgáltatás-kezelők és minden olyan rendszergazda számára, akinek esetleg módosításokat kell végrehajtania. Győződjön meg arról, hogy csak ezek a rendszergazdák férhetnek hozzá az adatkészlethez.

1

Töltse fel az ISO-fájlt a számítógépéről:

A VMware vSphere kliens bal oldali navigációs ablaktáblájában kattintson az ESXi szerverre.
A Konfiguráció lap Hardver listáján kattintson a Tárhelyelemre.
Az Adatkészlet listában kattintson a jobb gombbal a VM-ek adatkészletére, majd kattintson az Adatkészlet tallózása gombra.
Kattintson a Fájlok feltöltése ikonra, majd kattintson a Fájl feltöltésegombra.
Keresse meg azt a helyet, ahol letöltötte az ISO-fájlt a számítógépére, majd kattintson a Megnyitás gombra.
Kattintson az Igen gombra a feltöltési/letöltési műveletre vonatkozó figyelmeztetés elfogadásához, és zárja be az adatkészlet-párbeszédablakot.

2

ISO- fájl csatolása:

A VMware vSphere kliens bal oldali navigációs ablakában kattintson jobb gombbal a VM-re, majd kattintson a Beállítások szerkesztése lehetőségre.
Kattintson az OK gombra a korlátozott szerkesztési beállítások figyelmeztetésének elfogadásához.
Kattintson a CD/DVD-meghajtó 1elemre, válassza ki az ISO-fájlból való csatlakoztatást, és keresse meg azt a helyet, ahol a konfigurációs ISO-fájlt feltöltötte.
Jelölje be a Csatlakoztatva és a Kapcsolódás bekapcsolva lehetőséget.
Mentse a módosításokat és indítsa újra a virtuális gépet.

Mi a következő teendő

Ha az IT-házirend megköveteli, akkor opcionálisan eltávolíthatja az ISO-fájlt, miután az összes csomópont elvette a konfigurációs módosításokat. Részletekért lásd: (nem kötelező) Az ISO leválasztása a HDS-konfiguráció után .

A HDS-csomópont konfigurálása proxyintegrációhoz

Ha a hálózati környezet proxyt igényel, ezzel az eljárással adhatja meg a hibrid adatbiztonsággal integrálni kívánt proxy típusát. Ha átlátszó ellenőrző proxyt vagy HTTPS explicit proxyt választ, a csomópont felületével feltöltheti és telepítheti a főtanúsítványt. A proxykapcsolatot az interfészről is ellenőrizheti, és elháríthatja az esetleges problémákat.

Mielőtt elkezdené

A támogatott proxybeállítások áttekintését lásd: Proxytámogatás.
Proxykiszolgálói követelmények

1	Adja meg a HDS-csomópont beállítási `URL-címét https://[HDS Node IP vagy FQDN]/setup` egy webböngészőben, adja meg a csomóponthoz beállított rendszergazdai hitelesítő adatokat, majd kattintson a Bejelentkezésgombra.
2	Lépjen a Trust Store & Proxyelemre, majd válasszon egy lehetőséget: Nincs proxy – Az alapértelmezett beállítás a proxy integrálása előtt. Nincs szükség tanúsítványfrissítésre. Átlátszó nem ellenőrző proxy – A csomópontok nincsenek konfigurálva meghatározott proxykiszolgáló-cím használatára, és nem igényelhetnek módosításokat ahhoz, hogy a nem ellenőrző proxyval működjenek. Nincs szükség tanúsítványfrissítésre. Átlátszó ellenőrző proxy – A csomópontok nincsenek konfigurálva konkrét proxykiszolgáló-cím használatára. A hibrid adatbiztonsági üzembe helyezés során nincs szükség HTTPS-konfigurációs módosításokra, azonban a HDS-csomópontoknak főtanúsítványra van szükségük, hogy megbízzanak a proxyban. A proxyk ellenőrzését az IT általában arra használja, hogy betartassa azokat az irányelveket, amelyeken a webhelyek látogathatók, és milyen típusú tartalom nem engedélyezett. Ez a fajta proxy visszafejti az összes forgalmat (még HTTPS-t is). Explicit proxy – Az explicit proxy segítségével megmondja az ügyfélnek (HDS-csomópontok), hogy melyik proxykiszolgálót kell használni, és ez a beállítás több hitelesítési típust támogat. Miután kiválasztotta ezt a beállítást, meg kell adnia a következő adatokat: Proxy IP/FQDN – a proxygép elérésére használható cím. Proxyport – Olyan portszám, amelyet a proxy a lekerekített forgalom figyelésére használ. Proxyprotokoll – Válassza a http lehetőséget (az ügyféltől kapott összes kérést megtekintheti és vezérli) vagy a https lehetőséget (csatornát biztosít a szervernek, és az ügyfél megkapja és érvényesíti a szerver tanúsítványát). Válasszon egy lehetőséget a proxykiszolgáló által támogatott lehetőségek alapján. Hitelesítési típus – Válasszon a következő hitelesítési típusok közül: Nincs – Nincs szükség további hitelesítésre. Elérhető HTTP- vagy HTTPS-proxykhoz. Alapszintű – HTTP-felhasználói ügynökként használatos a felhasználónév és jelszó megadására kéréskor. Base64 kódolást használ. Elérhető HTTP- vagy HTTPS-proxykhoz. Ha ezt a lehetőséget választja, meg kell adnia a felhasználónevet és a jelszót is. Kivonás – A fiók megerősítésére szolgál, mielőtt érzékeny információkat küldene be. Kivonatfüggvényt alkalmaz a felhasználónévre és a jelszóra, mielőtt elküldené a hálózaton keresztül. Csak HTTPS proxykhoz érhető el. Ha ezt a lehetőséget választja, meg kell adnia a felhasználónevet és a jelszót is. Kövesse az átlátható ellenőrző proxy, az alapszintű hitelesítéssel rendelkező HTTP-explicit proxy vagy a HTTPS explicit proxy következő lépéseit.
3	Kattintson a Főtanúsítvány feltöltése vagy a Végfelhasználói tanúsítványlétrehozása elemre, majd keresse meg a proxy főtanúsítványát. A tanúsítvány feltöltésre került, de még nincs telepítve, mert a tanúsítvány telepítéséhez újra kell indítania a csomópontot. További részleteket szeretne megtudni a tanúsítványkibocsátó nevével a ékzár nyílra, vagy kattintson a Törlés gombra, ha hibát követett el, és újra szeretné tölteni a fájlt.
4	Kattintson a Proxykapcsolat ellenőrzése gombra a csomópont és a proxy közötti hálózati kapcsolat teszteléséhez. Ha a kapcsolati teszt sikertelen, hibaüzenet jelenik meg, amely bemutatja az okot és a probléma kijavítást. Ha olyan üzenet jelenik meg, amely szerint a külső DNS-felbontás nem sikerült, a csomópont nem tudta elérni a DNS-kiszolgálót. Ez a feltétel számos explicit proxykonfigurációban várható. Folytathatja a beállítást, és a csomópont blokkolt külső DNS-feloldási módban fog működni. Ha úgy gondolja, hogy ez hiba, hajtsa végre ezeket a lépéseket, majd tekintse meg a Blokkolt külső DNS-feloldási mód kikapcsolása című ismertetőt.
5	A csatlakozási teszt elvégzése után, ha csak https-re van állítva explicit proxy, kapcsolja be a kapcsolót a 443/444 https port útvonala parancsra az explicit proxynkeresztül. Ez a beállítás 15 másodpercet igényel a hatályba lépéshez.
6	Kattintson az Összes tanúsítvány telepítése a megbízhatósági tárolóba (HTTPS explicit proxy vagy átlátszó ellenőrző proxy esetén jelenik meg) vagy Indítsa újra (HTTP explicit proxy esetén jelenik meg), olvassa el a parancsot, majd kattintson a Telepítés gombra, ha készen áll. A csomópont néhány percen belül újraindul.
7	A csomópont újraindítása után jelentkezzen be újra, ha szükséges, majd nyissa meg az Áttekintés lapot, hogy ellenőrizze a kapcsolatellenőrzéseket, és győződjön meg arról, hogy mindegyik zöld állapotban van. A proxykapcsolat ellenőrzése csak webex.com aldomainét teszteli. Kapcsolódási problémák esetén gyakori probléma, hogy a telepítési utasításokban felsorolt felhőtartományok némelyike le van tiltva a proxyn.

A fürtben lévő első csomópont regisztrálása

Ez a feladat elvégzi a Hibrid adatbiztonsági szolgáltatás beállítása menüben létrehozott általános csomópontot, regisztrálja a csomópontot a Webex-felhővel, és hibrid adatbiztonsági szolgáltatás-csomóponttá alakítja.

Az első csomópont regisztrálásakor létrehoz egy fürtöt, amelyhez a csomópont hozzá van rendelve. A fürt egy vagy több, redundancia biztosítására telepített csomópontot tartalmaz.

Mielőtt elkezdené

Miután megkezdi egy csomópont regisztrációját, azt 60 percen belül el kell végeznie, különben el kell kezdenie a folyamatot.
Győződjön meg arról, hogy az előugró ablakok blokkolói le vannak tiltva a böngészőjében, vagy engedélyezze a kivételt az admin.webex.com számára.

1	Jelentkezzen be ide: https://admin.webex.com.
2	A képernyő bal oldalán található menüből válassza a Szolgáltatásoklehetőséget.
3	A Felhőszolgáltatások részben keresse meg a hibrid adatbiztonsági kártyát, majd kattintson a Beállítás gombra.
4	A megnyíló oldalon kattintson az Erőforrás hozzáadása lehetőségre.
5	A Csomópont hozzáadása kártya első mezőjében adja meg annak a fürtnek a nevét, amelyhez hozzá kívánja rendelni a hibrid adatbiztonsági szolgáltatás-csomópontot. Javasoljuk, hogy a fürtöt attól függően nevezze el, hogy a fürt csomópontjai földrajzilag hol helyezkednek el. Példák: "San Francisco" vagy "New York" vagy "Dallas"
6	A második mezőben adja meg a csomópont belső IP-címét vagy teljesen minősített tartománynevét (FQDN), majd kattintson a képernyő alján található Hozzáadás gombra. Ennek az IP-címnek vagy FQDN-nek meg kell egyeznie azzal az IP-címmel vagy állomásnévvel és tartománynévvel, amelyet a Hibrid adatbiztonsági szolgáltatás beállítása során használt. Megjelenik egy üzenet, amely azt jelzi, hogy regisztrálhatja a csomópontot a Webex rendszerében.
7	Kattintson az Ugrás a csomópontra lehetőségre. Néhány perc múlva átirányítja a rendszer a Webex-szolgáltatások csomóponti kapcsolódási tesztelésére. Ha az összes teszt sikeres, megjelenik a „Hibrid adatbiztonsági szolgáltatás-csomópont hozzáférésének engedélyezése” oldal. Ott megerősíti, hogy engedélyeket szeretne adni a Webex-szervezetnek a csomóponthoz való hozzáféréshez.
8	Jelölje be a Hozzáférés engedélyezése a hibrid adatbiztonsági szolgáltatás-csomóponthoz jelölőnégyzetet, majd kattintson a Folytatás gombra. Az Ön fiókja hitelesítve van, és a „Regisztráció befejezve” üzenet azt jelzi, hogy a csomópont mostantól regisztrálva van a Webex-felhőbe.
9	Kattintson a hivatkozásra, vagy zárja be a lapot, hogy visszatérjen a Partner Hub hibrid adatbiztonsági szolgáltatás oldalára. A Hibrid adatbiztonsági szolgáltatás oldalon az Ön által regisztrált csomópontot tartalmazó új fürt az Erőforrások lapon jelenik meg. A csomópont automatikusan letölti a legújabb szoftvert a felhőből.

További csomópontok létrehozása és regisztrálása

Ha további csomópontokat szeretne hozzáadni a fürthöz, egyszerűen hozzon létre további VM-eket, és szerelje fel ugyanazt a konfigurációs ISO-fájlt, majd regisztrálja a csomópontot. Javasoljuk, hogy legyen legalább 3 csomópontja.

Mielőtt elkezdené

Miután megkezdi egy csomópont regisztrációját, azt 60 percen belül el kell végeznie, különben el kell kezdenie a folyamatot.
Győződjön meg arról, hogy az előugró ablakok blokkolói le vannak tiltva a böngészőjében, vagy engedélyezze a kivételt az admin.webex.com számára.

1	Hozzon létre egy új virtuális gépet az OVA-ból, ismételje meg a HDS Host OVA telepítése című rész lépéseit.
2	Állítsa be a kezdeti konfigurációt az új VM-en, ismételve a Hibrid adatbiztonsági szolgáltatás VM beállítása lépéseit.
3	Az új VM-en ismételje meg a HDS-konfiguráció ISO feltöltése és csatlakoztatása című rész lépéseit.
4	Ha proxyt állít be az üzembe helyezéshez, ismételje meg a HDS-csomópont konfigurálása proxyintegrációhoz lépéseit az új csomóponthoz szükség szerint.
5	Regisztrálja a csomópontot. A(z) https://admin.webex.com alkalmazásban válassza a Szolgáltatások lehetőséget a képernyő bal oldalán található menüből. A Felhőszolgáltatások részben keresse meg a hibrid adatbiztonsági kártyát, és kattintson az Összes megtekintése gombra. Megjelenik a Hibrid adatbiztonsági erőforrások oldal. Az újonnan létrehozott fürt megjelenik az Erőforrások oldalon. Kattintson a fürtre a fürthöz hozzárendelt csomópontok megtekintéséhez. Kattintson a Csomópont hozzáadása elemre a képernyő jobb oldalán. Adja meg a csomópont belső IP-címét vagy teljesen minősített tartománynevét (FQDN), majd kattintson a Hozzáadás gombra. Megnyílik egy oldal egy üzenettel, amely jelzi, hogy regisztrálhatja a csomópontot a Webex-felhőbe. Néhány perc múlva átirányítja a rendszer a Webex-szolgáltatások csomóponti kapcsolódási tesztelésére. Ha az összes teszt sikeres, megjelenik a „Hibrid adatbiztonsági szolgáltatás-csomópont hozzáférésének engedélyezése” oldal. Itt megerősíti, hogy engedélyeket szeretne adni a szervezetének a csomóponthoz való hozzáféréshez. Jelölje be a Hozzáférés engedélyezése a hibrid adatbiztonsági szolgáltatás-csomóponthoz jelölőnégyzetet, majd kattintson a Folytatás gombra. Az Ön fiókja hitelesítve van, és a „Regisztráció befejezve” üzenet azt jelzi, hogy a csomópont mostantól regisztrálva van a Webex-felhőbe. Kattintson a hivatkozásra, vagy zárja be a lapot, hogy visszatérjen a Partner Hub hibrid adatbiztonsági szolgáltatás oldalára. A Csomópont hozzáadva felugró üzenet szintén megjelenik a Partnerközpontban a képernyő alján. A csomópont regisztrálva van.

Bérlői szervezetek kezelése a több-bérlős hibrid adatbiztonsági szolgáltatásban

Több-bérlős HDS aktiválása a Partner Hubban

Ez a feladat biztosítja, hogy az ügyfélszervezetek minden felhasználója megkezdhesse a HDS kihasználását a Helyszíni titkosítási kulcsok és egyéb biztonsági szolgáltatások esetében.

Mielőtt elkezdené

Győződjön meg arról, hogy befejezte a több-bérlős HDS-fürt beállítását a szükséges számú csomóponttal.

1	Jelentkezzen be ide: https://admin.webex.com.
2	A képernyő bal oldalán található menüből válassza a Szolgáltatásoklehetőséget.
3	A Felhőszolgáltatások részben keresse meg a hibrid adatbiztonsági szolgáltatást, majd kattintson a Beállítások szerkesztése lehetőségre.
4	Kattintson a HDS aktiválása lehetőségre a HDS állapot kártyán.

Bérlő szervezetek hozzáadása a Partner Hubban

Ebben a feladatban ügyfélszervezeteket rendel hozzá a hibrid adatbiztonsági szolgáltatás-fürthöz.

1	Jelentkezzen be ide: https://admin.webex.com.
2	A képernyő bal oldalán található menüből válassza a Szolgáltatásoklehetőséget.
3	A Felhőszolgáltatások részben keresse meg a hibrid adatbiztonsági szolgáltatást, majd kattintson az Összes megtekintése gombra.
4	Kattintson arra a fürtre, amelyhez ügyfelet szeretne hozzárendelni.
5	Lépjen a Hozzárendelt ügyfelek lapra.
6	Kattintson az Ügyfelek hozzáadása lehetőségre.
7	A legördülő menüből válassza ki a hozzáadni kívánt ügyfelet.
8	Kattintson a Hozzáadás lehetőségre, az ügyfél hozzá lesz adva a fürthöz.
9	Ismételje meg a 6–8. lépéseket több ügyfél hozzáadásához a fürthöz.
10	Kattintson a Kész gombra a képernyő alján, miután hozzáadta az ügyfeleket.

Mi a következő teendő

A beállítási folyamat befejezéséhez futtassa a HDS-telepítőeszközt az Ügyfél fő kulcsainak (CMK-k) létrehozása a HDS-telepítőeszköz használatával című részben részletezett módon.

Ügyfél fő kulcsainak (CMK-k) létrehozása a HDS-beállító eszköz használatával

Mielőtt elkezdené

Rendelje hozzá az ügyfeleket a megfelelő fürthöz a Bérlői szervezetek hozzáadása a Partnerközpontban című részben részletezett módon. Futtassa a HDS telepítőeszközt, hogy befejezze az újonnan hozzáadott ügyfélszervezetek beállítási folyamatát.

A HDS Setup eszköz Docker konténerként fut egy helyi gépen. Ha hozzá akarsz férni, futtasd a Dockert azon a gépen. A beállítási folyamat megköveteli a szervezet számára teljes rendszergazdai jogosultságokkal rendelkező Partner Hub-fiók hitelesítő adatait.

Ha a HDS-beállító eszköz a környezetben proxy mögött fut, az 5. lépésben adja meg a proxybeállításokat (kiszolgáló, port, hitelesítő adatokat) a Docker környezeti változókon keresztül. Ez a táblázat néhány lehetséges környezeti változót tartalmaz:

Leírás	Változó
Http-proxy hitelesítés nélkül	`GLOBÁLIS_ÜGYNÖK_HTTP_PROXY=HTTP://KISZOLGÁLÓ_IP:PORT`
HTTPS-proxy hitelesítés nélkül	`GLOBÁLIS_ÜGYNÖK_HTTPS_PROXY=http://KISZOLGÁLÓ_IP:PORT`
Http-proxy hitelesítéssel	`GLOBÁLIS_ÜGYNÖK_HTTP_PROXY=http://felhasználónév:jelszó@kiszolgáló_IP:PORT`
HTTPS-proxy hitelesítéssel	`GLOBÁLIS_ÜGYNÖK_HTTPS_PROXY=http://felhasználónév:jelszó@kiszolgáló_IP:PORT`

A létrehozott konfigurációs ISO fájl tartalmazza a PostgreSQL vagy Microsoft SQL Server adatbázist titkosító mesterkulcsot. Szükség van a fájl legutóbbi másolatára, amikor konfigurációs módosításokat hajt végre, mint például:
- Adatbázis hitelesítő adatai
- Tanúsítványfrissítések
- Az engedélyezési szabályzat változásai
Ha adatbázis-kapcsolatokat szeretne titkosítani, állítsa be a PostgreSQL vagy SQL Server telepítés TLS-hez.

A hibrid adatbiztonsági szolgáltatás beállítási folyamata ISO-fájlt hoz létre. Ezután az ISO-t használja a hibrid adatbiztonsági szolgáltatás-szervező konfigurálásához.

1	A gép parancssorában adja meg a környezetének megfelelő parancsot: Rendszeres környezetben: `docker rmi ciscocitg/hds-setup:stabil` FedRAMP környezetben: `docker rmi ciscocitg/hds-setup-fedramp:stabil` Ezzel a lépéssel törölhetők a HDS telepítőeszköz korábbi képei. Ha nincsenek korábbi képek, akkor olyan hibát ad vissza, amelyet figyelmen kívül hagyhat.
2	A Docker-képtárba való bejelentkezéshez írja be a következőket: `dokkoló bejelentkezés -u hdscustomersro`
3	A jelszókéréskor írja be ezt a hash-t: `dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo`
4	Töltse le a legfrissebb stabil képet a környezetéről: Rendszeres környezetben: `dokkoló húzás ciscocitg/hds-setup:stabil` FedRAMP környezetben: `dokkoló húzás ciscocitg/hds-setup-fedramp:stabil`
5	Amikor a húzás befejeződött, adja meg a környezetének megfelelő parancsot: Rendszeres környezetben, proxy nélkül: `dokkoló futtatása -p 8080:8080 --rm -it ciscocitg/hds-setup:stable` Http proxyval rendelkező normál környezetben: `docker run -p 8080:8080 --rm -it-e GLOBAL_AGENT_HTTP_PROXY=http://SERVER IP:PORT_ ciscocitg/hds-setup:stable` Normál környezetben HTTPS proxyval: `docker run -p 8080:8080 --rm -it-e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER IP:PORT_ ciscocitg/hds-setup:stable` FedRAMP környezetben, proxy nélkül: `dokkoló futtatása -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable` Http proxyval rendelkező FedRAMP környezetben: `docker run -p 8080:8080 --rm -it-e GLOBAL_AGENT_HTTP_PROXY=http://SERVER IP:PORT_ ciscocitg/hds-setup-fedramp:stable` FedRAMP környezetben https proxyval: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER IP:PORT_ ciscocitg/hds-setup-fedramp:stable` Amikor a konténer fut, az "Express szerver figyeli a 8080-as portot."
6	A beállítóeszköz nem támogatja a localhost-hoz való csatlakozást a http://localhost:8080-on keresztül. A(z) http://127.0.0.1:8080 használatával kapcsolódhat a localhost-hoz. Webböngészővel lépjen a(z) `http://127.0.0.1:8080` helyszínállomásra, majd adja meg a rendszergazda felhasználónevét a Partner Hubhoz a kérésben. Az eszköz a felhasználónév első bejegyzésével állítja be a fiókhoz tartozó megfelelő környezetet. Az eszköz ezután megjeleníti a normál bejelentkezési üzenetet.
7	Amikor a rendszer kéri, adja meg a Partner Hub rendszergazdájának bejelentkezési hitelesítő adatait, majd kattintson a Bejelentkezés gombra, hogy engedélyezze a hozzáférést a hibrid adatbiztonsági szolgáltatáshoz szükséges szolgáltatásokhoz.
8	A Beállítóeszköz áttekintése oldalon kattintson az Első lépések gombra.
9	Az ISO-importálás oldalon kattintson az Igen gombra.
10	Válassza ki az ISO-fájlt a böngészőben, és töltse fel. A CMK-kezelés végrehajtásához biztosítsa a kapcsolatot az adatbázisával.
11	Menjen a Bérlő CMK kezelése lapra, ahol a bérlő CMK-k kezelésének alábbi három módja található. CMK létrehozása minden ORG számára vagy CMK létrehozása – Kattintson erre a gombra a képernyő tetején látható sávon, ha CMK-t szeretne létrehozni minden újonnan hozzáadott szervezet számára. Kattintson a CMK kezelése gombra a képernyő jobb oldalán, majd kattintson a CMK létrehozása gombra, ha CMK-ket szeretne létrehozni az összes újonnan hozzáadott szervezet számára. Kattintson az adott szervezet CMK-kezelése függőben lévő állapotának közelében a táblázatban, majd kattintson a CMK létrehozása gombra a szervezet CMK létrehozásához.
12	Ha a CMK létrehozása sikeres, a táblázatban szereplő állapot a CMK-kezelés függőben állapotról CMK-kezelés állapotra változik.
13	Ha a CMK létrehozása sikertelen, egy hiba jelenik meg.

Bérlői szervezetek eltávolítása

Mielőtt elkezdené

Az eltávolítás után az ügyfélszervezetek felhasználói nem tudják majd kihasználni a HDS-t a titkosítási igényeikhez, és elveszítik az összes meglévő tárhelyet. Az ügyfélszervezetek eltávolítása előtt kérjük, lépjen kapcsolatba Cisco-partnerével vagy fiókkezelőjével.

1	Jelentkezzen be ide: https://admin.webex.com.
2	A képernyő bal oldalán található menüből válassza a Szolgáltatásoklehetőséget.
3	A Felhőszolgáltatások részben keresse meg a hibrid adatbiztonsági szolgáltatást, majd kattintson az Összes megtekintése gombra.
4	Az Erőforrások lapon kattintson arra a fürtre, amelyről el szeretné távolítani az ügyfélszervezeteket.
5	A megnyíló oldalon kattintson a Hozzárendelt ügyfelek lehetőségre.
6	A megjelenített ügyfélszervezetek listájában kattintson az eltávolítani kívánt ügyfélszervezet jobb oldalán található ... elemre, majd kattintson az Eltávolítás a fürtből lehetőségre.

Mi a következő teendő

Az eltávolítási folyamat befejezéséhez vonja vissza az ügyfélszervezetek CMK-jeit a HDS-ből eltávolított bérlők CMK-jének visszavonása című részben foglaltak szerint.

Vonja vissza a HDS-ből eltávolított bérlők CMK-jeit.

Mielőtt elkezdené

Ügyfelek eltávolítása a megfelelő fürtből a Bérlői szervezetek eltávolítása pontban részletezett módon. Futtassa a HDS-telepítő eszközt az eltávolított ügyfélszervezetek eltávolítási folyamatának befejezéséhez.

A HDS Setup eszköz Docker konténerként fut egy helyi gépen. Ha hozzá akarsz férni, futtasd a Dockert azon a gépen. A beállítási folyamat megköveteli a szervezet számára teljes rendszergazdai jogosultságokkal rendelkező Partner Hub-fiók hitelesítő adatait.

Ha a HDS-beállító eszköz a környezetben proxy mögött fut, az 5. lépésben adja meg a proxybeállításokat (kiszolgáló, port, hitelesítő adatokat) a Docker környezeti változókon keresztül. Ez a táblázat néhány lehetséges környezeti változót tartalmaz:

Leírás	Változó
Http-proxy hitelesítés nélkül	`GLOBÁLIS_ÜGYNÖK_HTTP_PROXY=HTTP://KISZOLGÁLÓ_IP:PORT`
HTTPS-proxy hitelesítés nélkül	`GLOBÁLIS_ÜGYNÖK_HTTPS_PROXY=http://KISZOLGÁLÓ_IP:PORT`
Http-proxy hitelesítéssel	`GLOBÁLIS_ÜGYNÖK_HTTP_PROXY=http://felhasználónév:jelszó@kiszolgáló_IP:PORT`
HTTPS-proxy hitelesítéssel	`GLOBÁLIS_ÜGYNÖK_HTTPS_PROXY=http://felhasználónév:jelszó@kiszolgáló_IP:PORT`

A létrehozott konfigurációs ISO fájl tartalmazza a PostgreSQL vagy Microsoft SQL Server adatbázist titkosító mesterkulcsot. Szükség van a fájl legutóbbi másolatára, amikor konfigurációs módosításokat hajt végre, mint például:
- Adatbázis hitelesítő adatai
- Tanúsítványfrissítések
- Az engedélyezési szabályzat változásai
Ha adatbázis-kapcsolatokat szeretne titkosítani, állítsa be a PostgreSQL vagy SQL Server telepítés TLS-hez.

A hibrid adatbiztonsági szolgáltatás beállítási folyamata ISO-fájlt hoz létre. Ezután az ISO-t használja a hibrid adatbiztonsági szolgáltatás-szervező konfigurálásához.

1	A gép parancssorában adja meg a környezetének megfelelő parancsot: Rendszeres környezetben: `docker rmi ciscocitg/hds-setup:stabil` FedRAMP környezetben: `docker rmi ciscocitg/hds-setup-fedramp:stabil` Ezzel a lépéssel törölhetők a HDS telepítőeszköz korábbi képei. Ha nincsenek korábbi képek, akkor olyan hibát ad vissza, amelyet figyelmen kívül hagyhat.
2	A Docker-képtárba való bejelentkezéshez írja be a következőket: `dokkoló bejelentkezés -u hdscustomersro`
3	A jelszókéréskor írja be ezt a hash-t: `dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo`
4	Töltse le a legfrissebb stabil képet a környezetéről: Rendszeres környezetben: `dokkoló húzás ciscocitg/hds-setup:stabil` FedRAMP környezetben: `dokkoló húzás ciscocitg/hds-setup-fedramp:stabil`
5	Amikor a húzás befejeződött, adja meg a környezetének megfelelő parancsot: Rendszeres környezetben, proxy nélkül: `dokkoló futtatása -p 8080:8080 --rm -it ciscocitg/hds-setup:stable` Http proxyval rendelkező normál környezetben: `docker run -p 8080:8080 --rm -it-e GLOBAL_AGENT_HTTP_PROXY=http://SERVER IP:PORT_ ciscocitg/hds-setup:stable` Normál környezetben HTTPS proxyval: `docker run -p 8080:8080 --rm -it-e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER IP:PORT_ ciscocitg/hds-setup:stable` FedRAMP környezetben, proxy nélkül: `dokkoló futtatása -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable` Http proxyval rendelkező FedRAMP környezetben: `docker run -p 8080:8080 --rm -it-e GLOBAL_AGENT_HTTP_PROXY=http://SERVER IP:PORT_ ciscocitg/hds-setup-fedramp:stable` FedRAMP környezetben https proxyval: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER IP:PORT_ ciscocitg/hds-setup-fedramp:stable` Amikor a konténer fut, az "Express szerver figyeli a 8080-as portot."
6	A beállítóeszköz nem támogatja a localhost-hoz való csatlakozást a http://localhost:8080-on keresztül. A(z) http://127.0.0.1:8080 használatával kapcsolódhat a localhost-hoz. Webböngészővel lépjen a(z) `http://127.0.0.1:8080` helyszínállomásra, majd adja meg a rendszergazda felhasználónevét a Partner Hubhoz a kérésben. Az eszköz a felhasználónév első bejegyzésével állítja be a fiókhoz tartozó megfelelő környezetet. Az eszköz ezután megjeleníti a normál bejelentkezési üzenetet.
7	Amikor a rendszer kéri, adja meg a Partner Hub rendszergazdájának bejelentkezési hitelesítő adatait, majd kattintson a Bejelentkezés gombra, hogy engedélyezze a hozzáférést a hibrid adatbiztonsági szolgáltatáshoz szükséges szolgáltatásokhoz.
8	A Beállítóeszköz áttekintése oldalon kattintson az Első lépések gombra.
9	Az ISO-importálás oldalon kattintson az Igen gombra.
10	Válassza ki az ISO-fájlt a böngészőben, és töltse fel.
11	Menjen a Bérlő CMK kezelése lapra, ahol a bérlő CMK-k kezelésének alábbi három módja található. CMK visszavonása az összes szervezet számára vagy CMK visszavonása – kattintson erre a gombra a képernyő tetején látható szalagon, ha szeretné visszavonni az összes eltávolított szervezet CMK-ját. Kattintson a CMK kezelése gombra a képernyő jobb oldalán, majd kattintson a CMK visszavonása gombra az összes eltávolított szervezet CMK-jének visszavonásához. Kattintson a gombra egy adott szervezet CMK visszavonásához állapot közelében a táblázatban, majd kattintson a CMK visszavonása gombra az adott szervezet CMK visszavonásához.
12	A CMK visszavonása sikeres, az ügyfél szervezete többé nem jelenik meg a táblázatban.
13	Ha a CMK visszavonása sikertelen, egy hiba jelenik meg.

Tesztelje hibrid adatbiztonsági szolgáltatás telepítését

A hibrid adatbiztonsági szolgáltatás telepítésének tesztelése

Ezzel az eljárással tesztelheti a több-bérlős hibrid adatbiztonsági titkosítási forgatókönyveket.

Mielőtt elkezdené

Állítsa be a több-bérlős hibrid adatbiztonsági szolgáltatás üzembe helyezését.
Bizonyosodjon meg arról, hogy rendelkezik-e hozzáféréssel a syslog-hoz, és ellenőrizze, hogy a kulcskérések továbbításra kerülnek-e a többbérlős hibrid adatbiztonsági szolgáltatás telepítésébe.

1

Az adott szoba kulcsait a szoba létrehozója állítja be. Jelentkezzen be a Webex alkalmazásba az ügyfél szervezetének egyik felhasználójaként, majd hozzon létre egy szobát.

Ha inaktiválja a hibrid adatbiztonsági szolgáltatás telepítését, a felhasználók által létrehozott terekben lévő tartalom többé nem érhető el, miután kicserélték a titkosítási kulcsok kliens által gyorsítótárazott másolatait.

2

Üzenetek küldése az új szobába.

3

Ellenőrizze a syslog kimenetet, és ellenőrizze, hogy a kulcskérések eljutnak-e a hibrid adatbiztonsági szolgáltatáshoz.

Ha ellenőrizni szeretné, hogy egy felhasználó először létrehoz-e biztonságos csatornát a KMS-hez, szűrőt a következő helyeken: kms.data.method=create és kms.data.type=EPHEMERAL_KEY_COLLECTION:

Meg kell találni egy bejegyzést, mint például a következő (az azonosítók rövidítve olvashatóság):

2020-07-21 17:35:34.562 (+0000) INFO KMS [pool-14-thread-1] - [KMS:REQUEST] fogadva, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.host=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

Ha ellenőrizni szeretné, hogy egy felhasználó kér-e meglévő kulcsot a KMS-ből, szűrőt a kms.data.method=retrieve és a kms.data.type=KEY oldalon:

Olyan bejegyzést kell találnia, mint:

2020-07-21 17:44:19.889 (+0000) INFO KMS [pool-14-thread-31] - [KMS:REQUEST] fogadva, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

Egy új KMS-kulcs létrehozását kérő felhasználó megkereséséhez szűrje a kms.data.method=create és a kms.data.type=KEY_COLLECTION elemekre:

Olyan bejegyzést kell találnia, mint:

2020-07-21 17:44:21.975 (+0000) INFO KMS [pool-14-thread-33] - [KMS:REQUEST] fogadva, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

Ha ellenőrizni szeretné, hogy egy felhasználó új KMS-erőforrásobjektum (KRO) létrehozását kéri-e egy tér vagy más védett erőforrás létrehozásakor, a szűrőt a kms.data.method=create és a kms.data.type=RESOURCE_COLLECTION elemekre:

Olyan bejegyzést kell találnia, mint:

2020-07-21 17:44:22.808 (+0000) INFO KMS [pool-15-thread-1] - [KMS:REQUEST] fogadva, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

Hibrid adatbiztonsági szolgáltatás állapotának megfigyelése

A Partner Hubon belül egy állapotjelző mutatja, hogy minden rendben van-e a több-bérlős hibrid adatbiztonsági szolgáltatás telepítésével. A proaktívabb riasztáshoz regisztráljon az e-mail-értesítésekre. Értesítést kap, ha szolgáltatást befolyásoló riasztások vagy szoftverfrissítések érkeznek.

1	A Partnerközpontban válassza a Szolgáltatások lehetőséget a képernyő bal oldalán található menüből.
2	A Felhőszolgáltatások részben keresse meg a hibrid adatbiztonsági szolgáltatást, majd kattintson a Beállítások szerkesztése lehetőségre. Megjelenik a Hibrid adatbiztonsági beállítások oldal.
3	Az E-mail-értesítések szakaszban adjon meg egy vagy több e-mail-címet vesszővel elválasztva, majd nyomja meg az Enter billentyűt.

HDS-telepítés kezelése

Az itt ismertetett feladatokat a hibrid adatbiztonsági szolgáltatás telepítésének kezeléséhez használja.

Fürtverziófrissítési ütemezés beállítása

A hibrid adatbiztonságra vonatkozó szoftverfrissítések a fürt szintjén automatikusan végrehajtásra kerülnek, ami biztosítja, hogy minden csomópont mindig ugyanazt a szoftververziót használja. A frissítések a fürt frissítési ütemezése szerint zajlanak. Amikor egy szoftverfrissítés elérhetővé válik, lehetősége van arra, hogy a beütemezett frissítési idő előtt manuálisan frissítse a fürtöt. Beállíthat egy konkrét frissítési ütemezést, vagy használhatja az alapértelmezett 3:00-as ütemezést: Amerika/Los Angeles. Szükség esetén elhalaszthatja a soron következő verziófrissítést is.

A verziófrissítési ütemezés beállítása:

1	Jelentkezzen be a Partnerközpontba.
2	A képernyő bal oldalán található menüből válassza a Szolgáltatásoklehetőséget.
3	A Felhőszolgáltatások részben keresse meg a hibrid adatbiztonsági szolgáltatást, majd kattintson a Beállítás gombra
4	A Hibrid adatbiztonsági erőforrások oldalon válassza ki a fürtöt.
5	Kattintson a Fürtbeállítások fülre.
6	A Fürtbeállítások oldalon a Verziófrissítési ütemezés alatt válassza ki a verziófrissítési ütemezéshez tartozó időt és időzónát. Megjegyzés: Az időzóna alatt a következő elérhető verziófrissítés dátuma és ideje jelenik meg. Ha szükséges, a Halasztás 24 órával opcióra kattintva elhalaszthatja a frissítést a következő napra.

A csomópont konfigurációjának módosítása

Előfordulhat, hogy időnként módosítania kell a hibrid adatbiztonsági csomópont konfigurációját olyan okok miatt, mint például:

Az x.509 tanúsítványok módosítása lejárati vagy egyéb okok miatt.

Nem támogatjuk a tanúsítvány CN domain nevének megváltoztatását. A domainnek egyeznie kell a fürt regisztrálásához használt eredeti domainnel.
Adatbázis-beállítások frissítése a PostgreSQL vagy a Microsoft SQL Server adatbázis kópiájára való váltáshoz.

Nem támogatjuk az adatok áttelepítését PostgreSQL-ről Microsoft SQL Server-re, vagy fordítva. Az adatbázis-környezet megváltoztatásához indítsa el a Hybrid Data Security új telepítését.
Új konfiguráció létrehozása új adatközpont előkészítéséhez.

Biztonsági okokból a Hybrid Data Security kilenc hónapos élettartamú szolgáltatási fiókjelszavakat is használ. Miután a HDS telepítőeszköz létrehozza ezeket a jelszavakat, az ISO konfigurációs fájlban minden HDS-csomópontra telepíti őket. Amikor a szervezet jelszavai a lejárathoz közelednek, értesítést kap a Webex csapatától a gépfiók jelszavának visszaállításáról. (Az e-mail tartalmazza a szöveget: "Használja a gép fiók API frissíteni a jelszót.") Ha jelszavai még nem jártak le, az eszköz két lehetőséget kínál:

Soft reset – A régi és az új jelszó egyaránt legfeljebb 10 napig használható. Használja ezt az időszakot a csomópontok ISO-fájljának fokozatos cseréjére.
Kemény alaphelyzetbe állítás – A régi jelszavak azonnal leállnak.

Ha jelszavai alaphelyzetbe állítás nélkül járnak le, az hatással van a HDS-szolgáltatásra, és az összes csomóponton az ISO-fájl azonnali hardveres alaphelyzetbe állítását és cseréjét igényli.

Használja ezt az eljárást egy új konfigurációs ISO-fájl létrehozásához és alkalmazásához a fürtön.

Mielőtt elkezdené

A HDS Setup eszköz Docker konténerként fut egy helyi gépen. Ha hozzá akarsz férni, futtasd a Dockert azon a gépen. A beállítási folyamat megköveteli a partner teljes körű rendszergazdai jogosultságokkal rendelkező Partner Hub-fiók hitelesítő adatait.

Ha a HDS-beállító eszköz a környezetben proxy mögött fut, adja meg a proxybeállításokat (kiszolgáló, port, hitelesítő adatokat) a Docker környezeti változókon keresztül, amikor a Docker tárolót az 1.e-ben helyezi üzembe. Ez a táblázat néhány lehetséges környezeti változót tartalmaz:

Leírás	Változó
Http-proxy hitelesítés nélkül	`GLOBÁLIS_ÜGYNÖK_HTTP_PROXY=HTTP://KISZOLGÁLÓ_IP:PORT`
HTTPS-proxy hitelesítés nélkül	`GLOBÁLIS_ÜGYNÖK_HTTPS_PROXY=http://KISZOLGÁLÓ_IP:PORT`
Http-proxy hitelesítéssel	`GLOBÁLIS_ÜGYNÖK_HTTP_PROXY=http://felhasználónév:jelszó@kiszolgáló_IP:PORT`
HTTPS-proxy hitelesítéssel	`GLOBÁLIS_ÜGYNÖK_HTTPS_PROXY=http://felhasználónév:jelszó@kiszolgáló_IP:PORT`

Új konfiguráció létrehozásához az aktuális konfigurációs ISO-fájl másolata szükséges. Az ISO tartalmazza a PostgreSQL vagy Microsoft SQL Server adatbázist titkosító mesterkulcsot. Konfiguráció-módosításkor, beleértve az adatbázis-hitelesítő adatokat, a tanúsítványok frissítését vagy az engedélyezési irányelv módosítását, ISO-szabványra van szüksége.

1	A Docker helyi gépen történő használata esetén futtassa a HDS Setup Tool alkalmazást. A gép parancssorában adja meg a környezetének megfelelő parancsot: Rendszeres környezetben: `docker rmi ciscocitg/hds-setup:stabil` FedRAMP környezetben: `docker rmi ciscocitg/hds-setup-fedramp:stabil` Ezzel a lépéssel törölhetők a HDS telepítőeszköz korábbi képei. Ha nincsenek korábbi képek, akkor olyan hibát ad vissza, amelyet figyelmen kívül hagyhat. A Docker-képtárba való bejelentkezéshez írja be a következőket: `dokkoló bejelentkezés -u hdscustomersro` A jelszókéréskor írja be ezt a hash-t: `dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo` Töltse le a legfrissebb stabil képet a környezetéről: Rendszeres környezetben: `dokkoló húzás ciscocitg/hds-setup:stabil` FedRAMP környezetben: `dokkoló húzás ciscocitg/hds-setup-fedramp:stabil` Győződjön meg róla, hogy az eljáráshoz a legújabb telepítőeszközt választotta. Az eszköz 2018. február 22. előtt létrehozott verziói nem rendelkeznek jelszó-visszaállító képernyővel. Amikor a húzás befejeződött, adja meg a környezetének megfelelő parancsot: Rendszeres környezetben, proxy nélkül: `dokkoló futtatása -p 8080:8080 --rm -it ciscocitg/hds-setup:stable` Http proxyval rendelkező normál környezetben: `docker run -p 8080:8080 --rm -it-e GLOBAL_AGENT_HTTP_PROXY=http://SERVER IP:PORT_ ciscocitg/hds-setup:stable` Rendszeres környezetben, HTTPSproxyval: `docker run -p 8080:8080 --rm -it-e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER IP:PORT_ ciscocitg/hds-setup:stable` FedRAMP környezetben, proxy nélkül: `dokkoló futtatása -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable` Http proxyval rendelkező FedRAMP környezetben: `docker run -p 8080:8080 --rm -it-e GLOBAL_AGENT_HTTP_PROXY=http://SERVER IP:PORT_ ciscocitg/hds-setup-fedramp:stable` FedRAMP környezetben https proxyval: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER IP:PORT_ ciscocitg/hds-setup-fedramp:stable` Amikor a tároló fut, megjelenik az "Express szerver hallgat a 8080-as porton". Használjon böngészőt a localhosthoz való `http://127.0.0.1:8080`csatlakozáshoz. A beállítóeszköz nem támogatja a localhost-hoz való csatlakozást a http://localhost:8080-on keresztül. A(z) http://127.0.0.1:8080 használatával kapcsolódhat a localhost-hoz. Amikor a rendszer kéri, adja meg a Partner Hub ügyfél bejelentkezési hitelesítő adatait, majd kattintson az Elfogadás gombra a folytatáshoz. Importálja az aktuális konfigurációs ISO-fájlt. Kövesse a figyelmeztetéseket az eszköz befejezéséhez és a frissített fájl letöltéséhez. A beállítóeszköz leállításához gépelje be a `CTRL+C` billentyűkombinációt. Készítsen biztonsági másolatot a frissített fájlról egy másik adatközpontban.
2	Ha csak egy HDS-csomópont fut, hozzon létre egy új hibrid adatbiztonsági szolgáltatás-csomópontot, és regisztrálja azt az új konfigurációs ISO-fájl használatával. Részletes útmutatásért lásd: További csomópontok létrehozása és regisztrálása. Telepítse a HDS GAZDAPETEFÉSZKET. A HDS VM beállítása. Csatolja a frissített konfigurációs fájlt. Regisztrálja az új csomópontot a Partnerközpontban.
3	A régebbi konfigurációs fájlt futtató HDS-csomópontok esetében csatlakoztassa az ISO-fájlt. Végezze el a következő eljárást minden csomóponton, majd frissítse az egyes csomópontokat, mielőtt kikapcsolná a következő csomópontot: Kapcsolja ki a virtuális gépet. A VMware vSphere kliens bal oldali navigációs ablakában kattintson jobb gombbal a VM-re, majd kattintson a Beállítások szerkesztése lehetőségre. Kattintson `a CD/DVD Drive 1`elemre, válassza ki az ISO-fájlból való csatlakoztatás lehetőségét, és keresse meg azt a helyet, ahol letöltötte az új konfigurációs ISO-fájlt. Bekapcsoláskor ellenőrizze a csatlakoztatást. Mentsd el a módosításokat és az energiát a virtuális gépen.
4	Ismételje meg a 3. lépést a konfiguráció cseréjéhez a régi konfigurációt futtató minden megmaradt csomóponton.

A blokkolt külső DNS-feloldási mód kikapcsolása

Amikor regisztrál egy csomópontot, vagy ellenőrzi a csomópont proxykonfigurációját, a folyamat teszteli a DNS-ellenőrzést és a Cisco Webex felhővel való kapcsolatot. Ha a csomópont DNS-kiszolgálója nem tudja feloldani a nyilvános DNS-neveket, a csomópont automatikusan blokkolt külső DNS-feloldási módba lép.

Ha a csomópontok képesek feloldani a nyilvános DNS-neveket a belső DNS-kiszolgálókon keresztül, kikapcsolhatja ezt a módot az egyes csomópontok proxykapcsolati tesztjének újrafuttatásával.

Mielőtt elkezdené

Győződjön meg arról, hogy a belső DNS-kiszolgálók képesek megoldani a nyilvános DNS-neveket, és hogy a csomópontok képesek kommunikálni velük.

1	Webböngészőben nyissa meg a hibrid adatbiztonsági csomópont felületét (például IP-cím/beállítás https://192.0.2.0/setup), adja meg a csomóponthoz beállított rendszergazdai hitelesítő adatokat, majd kattintson a Bejelentkezésgombra.
2	Lépjen az Áttekintés (az alapértelmezett lap) oldalra. Ha engedélyezve van, a letiltott külső DNS-felbontás igen értékre van állítva.
3	Lépjen a Megbízhatósági áruház és proxy oldalra.
4	Kattintson a Proxykapcsolat ellenőrzéseelemre. Ha olyan üzenet jelenik meg, amely szerint a külső DNS-felbontás nem sikerült, a csomópont nem tudta elérni a DNS-kiszolgálót, és ebben a módban marad. Ellenkező esetben a csomópont újraindítása és az Áttekintés lapra való visszalépés után a blokkolt külső DNS-felbontást nemre kell állítani.

Mi a következő lépés

Ismételje meg a proxykapcsolati tesztet a hibrid adatbiztonsági fürt minden csomópontján.

Csomópont eltávolítása

Ezzel az eljárással eltávolíthat egy hibrid adatbiztonsági szolgáltatás-csomópontot a Webex-felhőből. Miután eltávolította a csomópontot a fürtből, törölje a virtuális gépet, hogy megakadályozza a további hozzáférést a biztonsági adatokhoz.

1

A számítógépén lévő VMware vSphere kliens használatával jelentkezzen be az ESXi virtuális állomásba, és kapcsolja ki a virtuális gépet.

2

Csomópont eltávolítása:

Jelentkezzen be a Partnerközpontba, majd válassza a Szolgáltatásoklehetőséget.
A hibrid adatbiztonsági szolgáltatás kártyán kattintson az Összes megtekintése gombra a hibrid adatbiztonsági erőforrások oldal megjelenítéséhez.
Válassza ki a fürtöt az Áttekintés panel megjelenítéséhez.
Kattintson az eltávolítani kívánt csomópontra.
Kattintson a Csomópont regisztrációjának törlése lehetőségre a jobb oldalon megjelenő panelen
A csomópont regisztrációját úgy is törölheti, hogy rákattint a csomópont jobb oldalára, és kiválasztja a Csomópont eltávolítása lehetőséget.

3

A vSphere kliensben törölje a VM-et. (A bal oldali navigációs panelen kattintson a jobb gombbal a VM-re, majd kattintson a Törlés gombra.)

Ha nem törli a VM-et, ne felejtse el eltávolítani a konfigurációs ISO-fájlt. Az ISO fájl nélkül nem lehet hozzáférni a biztonsági adatokhoz a VM segítségével.

Katasztrófa-helyreállítás a készenléti adatközpont használatával

A hibrid adatbiztonsági szolgáltatás-fürt által nyújtott legkritikusabb szolgáltatás az üzenetek és más tartalmak titkosításához használt kulcsok létrehozása és tárolása a Webex-felhőben. A szervezeten belüli minden olyan felhasználó számára, aki hozzá van rendelve a hibrid adatbiztonsághoz, a rendszer átirányítja az új kulcslétrehozási kérelmeket a fürthöz. A fürt felelős a létrehozott kulcsok visszaküldéséért is bármely, a lekérésre jogosult felhasználónak, például egy beszélgetési szoba tagjainak.

Mivel a fürt a kulcsok biztosításának kritikus funkcióját végzi, elengedhetetlen, hogy a fürt továbbra is fusson, és megfelelő biztonsági mentéseket tartson fenn. A hibrid adatbiztonsági szolgáltatás-adatbázis vagy a sémához használt konfigurációs ISO elvesztése az ügyféltartalom VISSZAFORDÍTHATATLAN ELVESZTÉSÉT eredményezi. Az ilyen veszteség megelőzése érdekében a következő gyakorlatok kötelezőek:

Ha egy katasztrófa miatt a HDS telepítése nem érhető el az elsődleges adatközpontban, kövesse ezt az eljárást a készenléti adatközpontba való manuális feladatátvételhez.

Mielőtt elkezdené

Törölje az összes csomópont regisztrációját a Partner Hubból a Csomópont eltávolítása részben említettek szerint. Az alább említett feladatátvételi eljárás végrehajtásához használja a korábban aktív fürt csomópontjain konfigurált legújabb ISO-fájlt.

1	Indítsa el a HDS telepítőeszközt, és kövesse a Konfigurációs ISO létrehozása a HDS szervezők számára című részben említett lépéseket.
2	Végezze el a konfigurációs folyamatot, és mentse el az ISO fájlt egy könnyen megtalálható helyre.
3	Készítsen biztonsági másolatot az ISO fájlról a helyi rendszerre. Tartsa biztonságban a biztonsági másolatot. Ez a fájl az adatbázis tartalmához tartozó fő titkosítási kulcsot tartalmaz. Korlátozza a hozzáférést csak azokra a hibrid adatbiztonsági szolgáltatás-rendszergazdákra, akiknek konfigurációs módosításokat kell végrehajtaniuk.
4	A VMware vSphere kliens bal oldali navigációs ablakában kattintson jobb gombbal a VM-re, majd kattintson a Beállítások szerkesztése lehetőségre.
5	Kattintson a Beállítások szerkesztése >CD/DVD Drive 1 elemre, és válassza a Datastore ISO-fájl lehetőséget. Győződjön meg arról, hogy a Csatlakoztatva és a Kapcsolódás bekapcsolva be van jelölve, hogy a frissített konfigurációs módosítások a csomópontok elindítása után életbe lépjenek.
6	Kapcsolja be a HDS-csomópontot, és győződjön meg arról, hogy legalább 15 percig nincs riasztás.
7	Regisztrálja a csomópontot a Partnerközpontban. Lásd: A fürt első csomópontjának regisztrálása.
8	Ismételje meg a folyamatot minden csomóponthoz a készenléti adatközpontban.

Mi a következő teendő

A feladatátvétel után, ha az elsődleges adatközpont ismét aktívvá válik, törölje a készenléti adatközpont csomópontjainak regisztrációját, és ismételje meg az ISO konfigurálását és az elsődleges adatközpont csomópontjainak regisztrálását a fent említettek szerint.

(Opcionális) ISO leválasztása a HDS-konfiguráció után

A standard HDS konfiguráció az ISO csatlakozóval fut. Néhány ügyfél azonban nem szeretné, ha az ISO fájlokat folyamatosan csatlakoztatva hagyná. Az ISO fájl leszerelhető, miután az összes HDS-csomópont felvette az új konfigurációt.

A konfiguráció módosításához továbbra is az ISO-fájlokat használja. Amikor új ISO-t hoz létre vagy frissít egy ISO-t a Telepítőeszköz segítségével, a frissített ISO-t minden HDS-csomópontra fel kell szerelnie. Miután az összes csomópont átvette a konfigurációs módosításokat, újra leszerelheti az ISO-t ezzel az eljárással.

Mielőtt elkezdené

Frissítse az összes HDS-csomópontot a 2021.01.22.4720-as vagy újabb verzióra.

1	Állítsa le az egyik HDS-csomópontot.
2	A vCenter Server Appliance-ben válassza ki a HDS csomópontot.
3	Válassza a Beállítások szerkesztése > CD-/DVD-meghajtó lehetőséget, és törölje az ISO-fájl jelölését.
4	Kapcsolja be a HDS-csomópontot, és biztosítsa, hogy legalább 20 percig ne legyen riasztás.
5	Ismételje meg egymás után minden HDS-csomópont esetében.

Hibrid adatbiztonsági szolgáltatás hibaelhárítása

Riasztások és hibaelhárítás megtekintése

A hibrid adatbiztonsági szolgáltatás telepítése nem érhető el, ha a fürtben lévő összes csomópont nem érhető el, vagy a fürt olyan lassan működik, hogy időtúllépést igényel. Ha a felhasználók nem tudják elérni a hibrid adatbiztonsági szolgáltatás-fürtöt, a következő tüneteket tapasztalják:

Nem lehet új szobákat létrehozni (nem lehet új kulcsot létrehozni)
Nem sikerült visszafejteni az üzeneteket és a szobák címeit a következőhöz:
- Új felhasználók hozzáadva egy szobához (nem lehet lekérni a kulcsokat)
- Meglévő felhasználók egy szobában új klienssel (nem lehet lekérni a kulcsokat)
A szobában lévő meglévő felhasználók továbbra is sikeresen futnak, amennyiben az ügyfeleik rendelkeznek a titkosítási kulcsok gyorsítótárával

Fontos, hogy megfelelően figyelje a hibrid adatbiztonsági szolgáltatás-fürtöt, és azonnal kezelje az esetleges riasztásokat, hogy elkerülje a szolgáltatás megszakadását.

Riasztások

Ha probléma van a hibrid adatbiztonsági szolgáltatás beállításával, a Partner Hub riasztásokat jelenít meg a szervezet rendszergazdájának, és e-maileket küld a konfigurált e-mail-címre. A riasztások számos gyakori forgatókönyvet fednek le.

1. táblázat Gyakori problémák és a megoldásukhoz szükséges lépések
Riasztás	Művelet
Helyi adatbázis-hozzáférés sikertelen.	Keressen adatbázishibákat vagy helyi hálózati problémákat.
Nem sikerült csatlakozni a helyi adatbázishoz.	Ellenőrizze, hogy az adatbázis szerver elérhető-e, és a megfelelő szolgáltatásfiók hitelesítő adatokat használták-e a csomópont konfigurációjában.
Sikertelen volt a felhőszolgáltatás-hozzáférés.	Ellenőrizze, hogy a csomópontok hozzáférhetnek-e a Webex kiszolgálókhoz a Külső kapcsolódási követelmények pontban meghatározottak szerint.
A felhőszolgáltatás regisztrációjának megújítása.	A felhőszolgáltatásokba való regisztráció megszakadt. A lajstromozás megújítása folyamatban van.
A felhőszolgáltatás regisztrációja megszakadt.	A felhőszolgáltatásokba való regisztráció leállt. A szolgáltatás leáll.
A szolgáltatás még nincs aktiválva.	Aktiválja a HDS-t a Partnerközpontban.
A konfigurált tartomány nem egyezik a kiszolgáló tanúsítványával.	Győződjön meg arról, hogy a kiszolgálótanúsítvány megegyezik a konfigurált szolgáltatásaktiválási tartománygal. A legvalószínűbb ok az, hogy a CN tanúsítványt nemrégiben módosították, és mostantól különbözik a kezdeti beállítás során használt CN-től.
A felhőszolgáltatásokhoz való hitelesítés sikertelen.	Ellenőrizze a szolgáltatásfiók hitelesítő adatainak pontosságát és esetleges lejáratát.
Nem sikerült megnyitni a helyi kulcstár fájlját.	Ellenőrizze az integritást és a jelszó pontosságát a helyi kulcstárfájlban.
A helyi kiszolgáló tanúsítványa érvénytelen.	Ellenőrizze a kiszolgáló tanúsítványának lejárati dátumát, és erősítse meg, hogy azt egy megbízható hitelesítésszolgáltató állította ki.
Nem lehet mérőszámokat közzétenni.	Ellenőrizze a külső felhőszolgáltatásokhoz való helyi hálózati hozzáférést.
A /media/configdrive/hds könyvtár nem létezik.	Ellenőrizze az ISO rögzítési konfigurációt a virtuális állomáson. Ellenőrizze, hogy az ISO fájl létezik-e, hogy újraindításkor csatlakoztatásra van-e konfigurálva, és hogy sikeresen csatlakozik-e.
A bérlő szervezetének beállítása nem fejeződött be a hozzáadott szervezetek esetében	A beállítást úgy fejezze be, hogy CMK-ket hoz létre az újonnan hozzáadott bérlő szervezetek számára a HDS-telepítőeszköz használatával.
A bérlő szervezeti beállítása az eltávolított szervezetek esetében nem fejeződött be	A telepítést végezze el az olyan bérlő szervezetek CMK-jének visszavonásával, amelyeket a HDS telepítőeszköz használatával távolítottak el.

Hibrid adatbiztonsági szolgáltatás hibaelhárítása

A hibrid adatbiztonsági szolgáltatással kapcsolatos problémák elhárításakor használja a következő általános irányelveket.

1	Ellenőrizze a Partner Hubot az esetleges riasztások miatt, és javítsa ki az ott található elemeket. Bővebb tájékoztatásért lásd az alábbi képet.
2	Ellenőrizze a Hibrid adatbiztonsági szolgáltatás telepítésből származó tevékenységhez tartozó syslog szerver kimenetét. A hibaelhárítás érdekében szűrje az olyan szavakra, mint a „Figyelmeztetés” és a „Hiba”.
3	Forduljon a Cisco ügyfélszolgálatához.

Egyéb megjegyzések

A hibrid adatbiztonsági szolgáltatás ismert problémái

Ha leállítja a hibrid adatbiztonsági szolgáltatás-fürtöt (a Partner Hubban történő törléssel vagy az összes csomópont leállításával), elveszíti a konfigurációs ISO-fájlt, vagy elveszíti a kulcsrakész-adatbázishoz való hozzáférést, az ügyfélszervezetek Webex alkalmazás felhasználói többé nem használhatják a KMS-ből kulcsokkal létrehozott Személyek listában szereplő szobákat. Jelenleg nem rendelkezünk megoldással vagy megoldással ehhez a problémához, és arra kérjük, hogy ne állítsa le a HDS-szolgáltatásait, miután azok aktív felhasználói fiókokat kezelnek.
Az az ügyfél, amely meglévő ECDH-kapcsolattal rendelkezik egy KMS-sel, egy ideig (valószínűleg egy órán keresztül) tartja fenn a kapcsolatot.

OpenSSL használata PKCS12 fájl létrehozásához

Mielőtt elkezdené

Az OpenSSL egy olyan eszköz, amellyel a PKCS12 fájlt a megfelelő formátumban lehet betölteni a HDS telepítőeszközben. Ennek más módjai is vannak, és nem támogatjuk vagy támogatjuk az egyik módot a másikkal szemben.
Ha az OpenSSL használatát választja, útmutatóként biztosítjuk ezt az eljárást, hogy segítsen létrehozni egy olyan fájlt, amely megfelel az X.509 Certificate Requirements (X.509 Certificate Requirements) X.509 tanúsítványkövetelményeinek. Mielőtt folytatná, ismerje meg ezeket a követelményeket.
Telepítse az OpenSSL-t támogatott környezetben. Lásd: https://www.openssl.org a szoftver és a dokumentáció.
Hozzon létre egy privát kulcsot.
Indítsa el ezt az eljárást, amikor megkapja a kiszolgáló tanúsítványt a hitelesítésszolgáltatótól (CA).

1	Amikor megkapja a kiszolgálótanúsítványt a hitelesítésszolgáltatótól, mentse el `hdsnode.pem` formátumban.
2	A tanúsítvány megjelenítése szövegként, és ellenőrizze a részleteket. `openssl x509 - text - noout - in hdsnode.pem`
3	Használjon szövegszerkesztőt egy `hdsnode-bundle.pem` nevű tanúsítványkötegfájl létrehozásához. A csomagfájlnak tartalmaznia kell a kiszolgáló tanúsítványt, a közbenső CA-tanúsítványokat és a legfelső CA-tanúsítványokat az alábbi formátumban: `-----kezdési tanúsítvány----- ### Kiszolgáló tanúsítvány. ### -----befejező tanúsítvány----------------------------------------------------------------------------------------------------------------------- ### Közbenső CA-tanúsítvány. ### -----befejező tanúsítvány----------------------------------------------------------------------------------------------------------------------- ### Legfelső szintű CA-tanúsítvány. ### -----befejező tanúsítvány-----`
4	Hozza létre a .p12 fájlt `kms-private-key` névvel. `openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -név kms-private-key -caname kms-private-key -out hdsnode.p12`
5	Ellenőrizze a kiszolgáló tanúsítványának részleteit. `nyissa meg a pkcs12 -t a hdsnode.p12-ben` Adjon meg egy jelszót a titkos kulcs titkosítására vonatkozó kérésnél, hogy az megjelenjen a kimenetben. Ezután ellenőrizze, hogy a titkos kulcs és az első tanúsítvány tartalmazza-e a `friendlyName vonalakat: kms-private-key`. Példa: bash$ openssl pkcs12 -in hdsnode.p12 Adja meg az importálási jelszót: MAC által ellenőrzött OK táska attribútumok friendlyName: kms-private-key localKeyId: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Kulcsattribútumok: Adja meg a PEM-belépési kifejezést: Ellenőrzés – Adja meg a PEM-belépési kifejezést: -----KEZDJE EL TITKOSÍTOTT TITKOS KULCS----- -----END TITKOSÍTOTT TITKOS KULCS------ Táska attribútumai friendlyName: kms-private-key localKeyId: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 ------BEGIN CERTIFICATE---- -----END CERTIFICATE----- Bag Attributes friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US tárgy=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 kibocsátó=/O=Digital Signature Trust Co./CN=DST legfelső szintű hitelesítésszolgáltató X3 -----BEGIN CERTIFICATE---- -----END CERTIFICATE-----

Mi a következő teendő

Visszatérés a Hibrid adatbiztonsági szolgáltatás előfeltételeinek teljesítése lehetőséghez. A hdsnode.p12 fájlt és a hozzá beállított jelszót fogja használni az ISO-konfiguráció létrehozása a HDS-állomásoknál menüpontban.

Ezeket a fájlokat újra felhasználhatja új tanúsítvány kéréséhez, amikor az eredeti tanúsítvány lejár.

HDS-csomópontok és a felhő közötti forgalom

Kimenő mérőszámok gyűjtésének forgalma

A hibrid adatbiztonsági csomópontok bizonyos mérőszámokat küldenek a Webex felhőbe. Ezek közé tartoznak a heap max, a használt heap, a CPU terhelése és a szálszám rendszermérőszámai; a szinkronizált és aszinkron szálak mérőszámai; a titkosítási kapcsolatok küszöbértékét, a késleltetést vagy a kérés sor hosszát érintő riasztások mérőszámai; az adatkészlet mérőszámai; és a titkosítási kapcsolat mérőszámai. A csomópontok titkosított kulcs anyagot küldenek egy sávon kívüli (a kérelemtől elkülönülő) csatornán keresztül.

Bejövő forgalom

A hibrid adatbiztonsági szolgáltatás-csomópontok a bejövő forgalom alábbi típusait kapják meg a Webex-felhőből:

Az ügyfelektől érkező, a titkosítási szolgáltatás által irányított titkosítási kérések
A csomópont szoftverének frissítései

Squid-proxyk konfigurálása a hibrid adatbiztonsághoz

A Websocket nem tud tintahal-proxyn keresztül csatlakozni

A HTTPS-forgalmat ellenőrző Squid-proxyk zavarhatják a websocket (wss:) kapcsolatok létrehozását, amelyeket a Hibrid adatbiztonsági szolgáltatás igényel. Ezek a szakaszok útmutatást nyújtanak arról, hogyan konfigurálhatja a Squid különböző verzióit a wss figyelmen kívül hagyásához: a szolgáltatások megfelelő működéséhez szükséges forgalom.

Tintahal 4 és 5

Adja hozzá az on_unsupported_protocol irányelvet a squid.conf fájlhoz:

on_unsupported_protocol az alagút

Tintahal 3.5.27

Sikeresen teszteltük a hibrid adatbiztonságot a következő szabályokkal, amelyek hozzáadva vannak a squid.conf.conf-hez. Ezek a szabályok változhatnak a funkciók fejlesztése és a Webex felhő frissítése során.

acl wssMercuryConnection ssl::server_name_regex Mercury-kapcsolat ssl_bump splice wssMercuryConnection acl step1 at_step SslBump1 acl step2 at_step SslBump2 acl step3 at_step SslBump3 ssl_bump peek step1 all ssl_bump stare step2 all ssl_bump bump step3 all

Új és módosított információk

Ez a táblázat ismerteti az új funkciókat vagy funkciókat, a meglévő tartalom módosításait, valamint a Több-bérlős hibrid adatbiztonsági szolgáltatás üzembehelyezési útmutatójában kijavított főbb hibákat.

Dátum	Módosítások
2025. január 15.	A több-bérlős hibrid adatbiztonsági szolgáltatás korlátai hozzáadva.
2025. január 8.	Hozzáadtunk egy megjegyzést a Kezdeti beállítási és telepítési fájlok letöltése részben, amely kimondja, hogy a Beállítás elemre kattintva a Partner Hubban a HDS-kártyán, a telepítési folyamat fontos lépése.
2025. január 7.	Frissült a Virtuális szervezőre vonatkozó követelmények, a Hibrid adatbiztonsági szolgáltatás telepítési feladatfolyama, és a HDS Host OVA telepítése az ESXi 7.0 új követelményének megjelenítéséhez.
2024. december 13.	Először megjelent.

Több-bérlős hibrid adatbiztonsági szolgáltatás inaktiválása

Több-bérlős HDS-deaktiválási feladatfolyamat

Kövesse az alábbi lépéseket a több-bérlős HDS teljes kikapcsolásához.

Mielőtt elkezdené

Ezt a feladatot csak teljes jogú partnerrendszergazda végezheti el.

1	Távolítsa el az összes ügyfelet az összes fürtből, a Bérlői szervezetek eltávolítása részben említettek szerint.
2	Vonja vissza az összes ügyfél CMK-jét, a HDS-ből eltávolított bérlők CMK-jének visszavonása című részben említettek szerint.
3	Távolítsa el az összes csomópontot az összes fürtből, a Csomópont eltávolítása részben említettek szerint.
4	Törölje az összes fürtöt a Partnerközpontból a következő két módszer valamelyikével. Kattintson a törölni kívánt fürtre, majd az áttekintés oldal jobb felső sarkában válassza a Fürt törlése lehetőséget. Az Erőforrások oldalon kattintson a fürt jobb oldalán, és válassza a Fürt eltávolításalehetőséget.
5	Kattintson a Beállítások fülre a hibrid adatbiztonsági szolgáltatás áttekintő oldalán, majd kattintson a HDS inaktiválása gombra a HDS-állapotkártyán.

Első lépések a több-bérlős hibrid adatbiztonsági szolgáltatással

Több-bérlős hibrid adatbiztonsági szolgáltatás áttekintése

A Webex alkalmazás tervezésekor az első naptól kezdve az adatbiztonság volt az elsődleges hangsúly. A biztonság sarokköve a tartalom végpontok közötti titkosítása, amelyet a Key Management Service (KMS) szolgáltatással együttműködő Webex alkalmazás ügyfelei engedélyeznek. A KMS felelős az üzenetek és fájlok dinamikus titkosítására és visszafejtésére használt kriptográfiai kulcsok létrehozásáért és kezeléséért.

Alapértelmezés szerint a Webex alkalmazás összes ügyfele a felhőalapú KMS-ben, a Cisco biztonsági tartományában tárolt dinamikus kulcsokkal kap végpontok közötti titkosítást. A Hybrid Data Security a KMS-T és más, biztonsággal kapcsolatos funkciókat a vállalati adatközpontba helyezi át, így csak Ön rendelkezik a titkosított tartalom kulcsaival.

A több bérlős hibrid adatbiztonsági szolgáltatás lehetővé teszi a szervezetek számára a HDS kihasználását egy megbízható helyi partneren keresztül, aki szolgáltatóként tevékenykedhet, és kezelheti a helyszíni titkosítást és egyéb biztonsági szolgáltatásokat. Ez a beállítás lehetővé teszi a partnerszervezet számára, hogy teljes ellenőrzést gyakoroljon a titkosítási kulcsok telepítése és kezelése felett, valamint biztosítja az ügyfélszervezetek felhasználói adatainak külső hozzáféréstől való biztonságát. A partnerszervezetek szükség szerint HDS-példányokat állíthatnak be, és HDS-fürtöket hozhatnak létre. Minden egyes példány több ügyfélszervezetet is támogathat, ellentétben a rendszeres HDS-telepítéssel, amely egyetlen szervezetre korlátozódik.

Bár a partnerszervezetek felügyelik a telepítést és a kezelést, nem férnek hozzá az ügyfelek által generált adatokhoz és tartalmakhoz. Ez a hozzáférés az ügyfélszervezetekre és azok felhasználóira korlátozódik.

Ez lehetővé teszi a kisebb szervezetek számára, hogy kihasználják a HDS-t, mivel a kulcskezelési szolgáltatás és a biztonsági infrastruktúra, például az adatközpontok a megbízható helyi partner tulajdonában vannak.

Hogyan biztosítja a több-bérlős hibrid adatbiztonság az adatszuverenitást és adatvezérlést?

A felhasználók által létrehozott tartalmak védve vannak a külső hozzáféréstől, például a felhőszolgáltatóktól.
A helyi megbízható partnerek kezelik azoknak az ügyfeleknek a titkosítási kulcsait, akikkel már kialakult kapcsolatuk.
Helyi műszaki támogatási lehetőség, ha azt a partner biztosítja.
Támogatja az értekezleteket, az üzenetküldést és a hívást.

Ez a dokumentum célja, hogy segítse a partnerszervezeteket az ügyfelek létrehozásában és kezelésében egy több-bérlős hibrid adatbiztonsági rendszer keretében.

A több-bérlős hibrid adatbiztonsági szolgáltatás korlátai

A partnerszervezetek nem rendelkezhetnek aktív meglévő HDS-telepítéssel a Control Hubban.
A partner által kezelni kívánt bérlői vagy ügyfélszervezetek nem rendelkezhetnek meglévő HDS-telepítéssel a Control Hubban.
Miután a partner bevezette a több-bérlős HDS-t, az ügyfélszervezetek összes felhasználója, valamint a partnerszervezet felhasználói elkezdik kihasználni a több-bérlős HDS-t a titkosítási szolgáltatásaikhoz.

Az általuk kezelt partnerszervezet és ügyfélszervezetek ugyanazon a több-bérlős HDS-telepítésen fognak részt venni.

A partnerszervezet a továbbiakban nem fogja használni a felhőalapú KMS-t a több-bérlős HDS telepítése után.
HDS-telepítés után nincs mechanizmus a kulcsok felhőalapú KMS-be való visszahelyezésére.
Jelenleg minden több-bérlős HDS telepítésnek csak egy fürtje lehet, és az alatt több csomópont is lehet.
A rendszergazdai szerepköröknek vannak bizonyos korlátai; a részleteket lásd az alábbi szakaszban.

Szerepkörök a többbérlős hibrid adatbiztonsági szolgáltatásban

Partner teljes jogú rendszergazdája – a partner által kezelt összes ügyfél beállításait kezelheti. A szervezetben már meglévő felhasználókhoz rendszergazdai szerepköröket is hozzárendelhet, és kijelölhet bizonyos ügyfeleket, akiket a partner rendszergazdái kezelhetnek.
Partnerrendszergazda – Kezelheti a rendszergazda által biztosított vagy a felhasználóhoz rendelt ügyfelek beállításait.
Teljes jogú rendszergazda – A partnerszervezet olyan rendszergazdája, aki jogosult olyan feladatok elvégzésére, mint például a szervezeti beállítások módosítása, a licencek kezelése és szerepkörök hozzárendelése.

Végponttól végpontig több-bérlős HDS beállítása és kezelése az összes ügyfélszervezet esetében – Partneri rendszergazdai és teljes körű rendszergazdai jogok szükségesek.
Hozzárendelt bérlő szervezetek kezelése – Partnerrendszergazdai és teljes körű rendszergazdai jogok szükségesek.

Biztonsági tartomány architektúrája

A Webex felhőarchitektúra a különböző típusú szolgáltatásokat külön tartományokra vagy megbízható tartományokra osztja szét, az alábbiakban bemutatottak szerint.

A hibrid adatbiztonság további megértéséhez először tekintsük meg ezt a tiszta felhőalapú esetet, amelyben a Cisco a felhőbirodalmában minden funkciót biztosít. Az identitásszolgáltatás, az egyetlen hely, ahol a felhasználók közvetlenül korrelálhatók személyes adataikkal, például az e-mail-címükkel, logikusan és fizikailag elkülönül a B adatközpont biztonsági tartományától. Mindkettő viszont elkülönül attól a tartománytól, ahol a titkosított tartalmat végül tárolják, a C adatközpontban.

Ezen az ábrán az ügyfél a felhasználó laptopján futó Webex alkalmazás, és az azonosítási szolgáltatással van hitelesítve. Amikor a felhasználó egy szobába küldendő üzenetet állít össze, a következő lépések történnek:

Az ügyfél biztonságos kapcsolatot létesít a kulcskezelési szolgáltatással (KMS), majd egy kulcsot kér az üzenet titkosításához. A biztonságos kapcsolat ECDH-t használ, a KMS pedig AES-256 mesterkulccsal titkosítja a kulcsot.
Az üzenet titkosítva van, mielőtt elhagyja a klienst. Az ügyfél elküldi azt az indexelő szolgáltatásnak, amely titkosított keresési indexeket hoz létre, hogy segítse a jövőbeli tartalmi kereséseket.
A titkosított üzenetet a rendszer elküldi a megfelelőségi szolgáltatásnak megfelelőségi ellenőrzésre.
A titkosított üzenet a tárhely tartományában tárolódik.

A hibrid adatbiztonsági szolgáltatás telepítésekor a biztonsági tartomány funkcióit (KMS, indexelés és megfelelőség) áthelyezi a helyszíni adatközpontba. A Webexet alkotó egyéb felhőszolgáltatások (beleértve az identitást és a tartalomtárolást) a Cisco birodalmában maradnak.

Együttműködés más szervezetekkel

A szervezetéhez tartozó felhasználók rendszeresen használhatják a Webex alkalmazást, hogy együttműködjenek más szervezetek külső résztvevőivel. Amikor az egyik felhasználó kulcsot kér egy olyan szobához, amely az Ön szervezetének tulajdona (mivel azt az egyik felhasználó hozta létre), a KMS egy ECDH-biztonságos csatornán keresztül elküldi a kulcsot az ügyfélnek. Ha azonban egy másik szervezet tulajdonában van a szoba kulcsa, a KMS egy külön ECDH-csatornán keresztül továbbítja a kérést a Webex felhőbe, hogy megkapja a kulcsot a megfelelő KMS-ből, majd visszaküldi a kulcsot a felhasználónak az eredeti csatornán.

Az „A” szervezeten futó KMS-szolgáltatás x.509 PKI-tanúsítványok használatával ellenőrzi a más szervezetek KMS-eihez való kapcsolatokat. A több-bérlős hibrid adatbiztonsági szolgáltatás telepítéséhez használandó x.509-tanúsítvány létrehozásával kapcsolatos részletekért lásd: Környezet előkészítése .

Elvárások a hibrid adatbiztonsági szolgáltatás telepítésével kapcsolatban

A hibrid adatbiztonsági szolgáltatás telepítéséhez jelentős elkötelezettségre és a titkosítási kulcsok tulajdonosi kockázataira van szükség.

A hibrid adatbiztonsági szolgáltatás telepítéséhez meg kell adnia a következőket:

Biztonságos adatközpont egy olyan országban, amely a Cisco Webex Teams-csomagok támogatott helyszíne.
A Környezet előkészítése részben leírt berendezések, szoftverek és hálózati hozzáférés.

A hibrid adatbiztonsági szolgáltatáshoz létrehozott konfigurációs ISO vagy az Ön által megadott adatbázis teljes elvesztése a kulcsok elvesztését eredményezi. A kulcsvesztés megakadályozza, hogy a felhasználók visszafejtsék a tárhelytartalmakat és egyéb titkosított adatokat a Webex alkalmazásban. Ha ez megtörténik, új telepítést hozhat létre, de csak az új tartalom lesz látható. Az adatokhoz való hozzáférés elvesztésének elkerülése érdekében:

Kezelje az adatbázis és a konfiguráció ISO biztonsági mentését és helyreállítását.
Készüljön fel a gyors katasztrófa-helyreállításra, ha katasztrófa történik, mint például az adatbázis lemezhibája vagy az adatközpont-katasztrófa.

HDS-telepítés után nincs mechanizmus a kulcsok felhőbe való visszahelyezésére.

Magas szintű beállítási folyamat

Ez a dokumentum egy több-bérlős hibrid adatbiztonsági szolgáltatás telepítésének beállításával és kezelésével foglalkozik:

Hibrid adatbiztonsági szolgáltatás beállítása – Ez magában foglalja a szükséges infrastruktúra előkészítését és a hibrid adatbiztonsági szolgáltatás szoftverének telepítését, egy HDS-fürt létrehozását, bérlői szervezetek hozzáadását a fürthöz, valamint az ügyfél fő kulcsainak (CMK-k) kezelését. Ez lehetővé teszi az ügyfélszervezetek minden felhasználója számára, hogy a hibrid adatbiztonsági szolgáltatás-fürtöt használja a biztonsági funkciókhoz.

A beállítási, aktiválási és kezelési szakaszt a következő három fejezet részletesen ismerteti.
A hibrid adatbiztonsági szolgáltatás telepítésének fenntartása – A Webex felhő automatikusan folyamatos frissítéseket biztosít. Az Ön informatikai osztálya első szintű támogatást nyújthat ehhez a telepítéshez, és szükség szerint bevonhatja a Cisco-támogatást. A Partner Hubban használhatja a képernyőn megjelenő értesítéseket, és beállíthat e-mail-alapú riasztásokat.
A gyakori riasztások, hibaelhárítási lépések és ismert problémák megértése – Ha problémába ütközik a hibrid adatbiztonsági szolgáltatás telepítése vagy használata során, az útmutató utolsó fejezete és az Ismert problémák függelék segíthet a probléma meghatározásában és megoldásában.

Hibrid adatbiztonsági szolgáltatás telepítési modellje

A vállalati adatközponton belül a hibrid adatbiztonsági szolgáltatást egyetlen csomópontfürtként telepíti különálló virtuális szervezőkre. A csomópontok biztonságos websocket-eken és biztonságos HTTP-n keresztül kommunikálnak a Webex Clouddal.

A telepítési folyamat során az OVA fájlt biztosítjuk Önnek a virtuális készülékek beállításához az Ön által biztosított VM-eken. A HDS telepítőeszköz segítségével egyéni fürtkonfigurációs ISO-fájlt hozhat létre, amelyet minden csomópontra rögzíthet. A hibrid adatbiztonsági szolgáltatás-fürt a megadott Syslogd-kiszolgálót és PostgreSQL vagy Microsoft SQL Server adatbázist használja. (A Syslogd és az adatbázis-kapcsolat részleteit a HDS telepítőeszközben konfigurálhatja.)

Hibrid adatbiztonsági szolgáltatás telepítési modellje

Egy fürtben minimálisan elérhető csomópontok száma kettő. Fürtönként legalább hármat ajánlunk. A több csomópont biztosítja, hogy a szolgáltatás ne szakadjon meg egy csomóponton végzett szoftverfrissítés vagy egyéb karbantartási tevékenység során. (A Webex-felhő egyszerre csak egy csomópontot frissít.)

A fürtben lévő összes csomópont ugyanahhoz a kulcsadatkészlethez és ugyanahhoz a syslog szerverhez fér hozzá a naplótevékenységhez. Maguk a csomópontok státustalanok, és a kulcskéréseket kerek-robin módon kezelik, a felhő utasításai szerint.

A csomópontok aktiválódnak, amikor regisztrálja őket a Partner Hubban. Ha egy egyedi csomópontot ki szeretne zárni a szolgáltatásból, törölheti a regisztrációját, majd szükség esetén később újra regisztrálhatja.

Készenléti adatközpont a katasztrófa-helyreállításhoz

A telepítés során biztonságos készenléti adatközpontot állít be. Adatközpont-katasztrófa esetén manuálisan meghiúsulhat a telepítés a készenléti adatközpontba.

Az aktív és készenléti adatközpontok adatbázisai szinkronizálva vannak egymással, ami minimalizálja a feladatátvétel elvégzéséhez szükséges időt.

Az aktív hibrid adatbiztonsági szolgáltatás-csomópontoknak mindig ugyanabban az adatközpontban kell lenniük, mint az aktív adatbázis-kiszolgálónak.

Proxy támogatás

A Hibrid adatbiztonság támogatja az explicit, átlátható ellenőrzést és a nem ellenőrző proxykat. Ezeket a proxykat az üzembe helyezéshez kötheti, így biztonságossá teheti és figyelheti a vállalattól a felhőig irányuló forgalmat. A tanúsítványkezeléshez platformfelügyeleti felületet használhat a csomópontokon, és ellenőrizheti a kapcsolat általános állapotát, miután beállította a proxyt a csomópontokon.

A hibrid adatbiztonsági csomópontok a következő proxybeállításokat támogatják:

Nincs proxy – Az alapértelmezett, ha nem használja a Megbízhatósági tároló és proxy konfigurációt a HDS-csomópont beállításához a proxy integrálásához. Nincs szükség tanúsítványfrissítésre.
Átlátszó, nem ellenőrző proxy – A csomópontok nincsenek konfigurálva meghatározott proxykiszolgáló-cím használatára, és nem igényelhetnek módosításokat ahhoz, hogy a nem ellenőrző proxyval működjenek. Nincs szükség tanúsítványfrissítésre.
Átlátszó alagútépítés vagy ellenőrzés proxy – A csomópontok nincsenek konfigurálva konkrét proxykiszolgáló-cím használatára. A csomópontokon nincs szükség HTTP- vagy HTTPS-konfigurációs módosításokra. A csomópontoknak azonban főtanúsítványra van szükségük, hogy megbízzanak a proxyban. A proxyk ellenőrzését az IT általában arra használja, hogy betartassa azokat az irányelveket, amelyeken a webhelyek látogathatók, és milyen típusú tartalom nem engedélyezett. Ez a fajta proxy visszafejti az összes forgalmat (még HTTPS-t is).
Explicit proxy – Az explicit proxy segítségével megmondja a HDS-csomópontoknak, hogy melyik proxykiszolgálót és hitelesítési sémát kell használni. Explicit proxy konfigurálásához minden csomóponton a következő adatokat kell megadnia:
1. Proxy IP/FQDN – a proxygép elérésére használható cím.
2. Proxyport – Olyan portszám, amelyet a proxy a lekerekített forgalom figyelésére használ.
3. Proxyprotokoll – Attól függően, hogy a proxykiszolgáló mit támogat, válasszon a következő protokollok közül:
  - HTTP – Az ügyfél által küldött összes kérés megtekintése és ellenőrzése.
  - HTTPS – Csatornát biztosít a kiszolgálónak. Az ügyfél megkapja és ellenőrzi a kiszolgáló tanúsítványát.
4. Hitelesítési típus – Válasszon a következő hitelesítési típusok közül:
  - Nincs – Nincs szükség további hitelesítésre.
    
    Akkor érhető el, ha a HTTP-t vagy a HTTPS-t választja proxyprotokollként.
  - Alapszintű – HTTP-felhasználói ügynökként használatos a felhasználónév és jelszó megadására kéréskor. Base64 kódolást használ.
    
    Akkor érhető el, ha a HTTP-t vagy a HTTPS-t választja proxyprotokollként.
    
    Meg kell adnia a felhasználónevet és a jelszót az egyes csomópontokon.
  - Kivonás – A fiók megerősítésére szolgál, mielőtt érzékeny információkat küldene be. Kivonatfüggvényt alkalmaz a felhasználónévre és a jelszóra, mielőtt elküldené a hálózaton keresztül.
    
    Csak akkor érhető el, ha a HTTPS-t választja proxyprotokollként.
    
    Meg kell adnia a felhasználónevet és a jelszót az egyes csomópontokon.

Példa hibrid adatbiztonsági csomópontokra és proxykra

Ez a diagram egy példakapcsolatot mutat be a hibrid adatbiztonság, a hálózat és a proxy között. Az átlátható ellenőrzési és HTTPS-explicit ellenőrző proxybeállításokhoz ugyanazt a főtanúsítványt kell telepíteni a proxyra és a hibrid adatbiztonsági csomópontokra.

Blokkolt külső DNS-feloldási mód (explicit proxykonfigurációk)

Amikor regisztrál egy csomópontot, vagy ellenőrzi a csomópont proxykonfigurációját, a folyamat teszteli a DNS-ellenőrzést és a Cisco Webex felhővel való kapcsolatot. Az explicit proxykonfigurációkkal rendelkező központi telepítések esetében, amelyek nem teszik lehetővé a külső DNS-feloldást a belső ügyfelek számára, ha a csomópont nem tudja lekérdezni a DNS-kiszolgálókat, automatikusan blokkolt külső DNS-feloldási módba lép. Ebben az üzemmódban folytatódhat a csomópont-regisztráció és más proxykapcsolati tesztek.

Készítse elő környezetét

A több-bérlős hibrid adatbiztonságra vonatkozó követelmények

Cisco Webex licenckövetelmények

A több-bérlős hibrid adatbiztonsági szolgáltatás telepítéséhez:

Partnerszervezetek: Forduljon Cisco-partneréhez vagy fiókkezelőjéhez, és bizonyosodjon meg arról, hogy engedélyezve van a több-bérlős funkció.
Bérlői szervezetek: Rendelkeznie kell a Cisco Webex Control Hub Pro Packkel. (Lásd: https://www.cisco.com/go/pro-pack.)

Docker asztali követelmények

A HDS-csomópontok telepítése előtt a telepítőprogram futtatásához a Docker Desktop alkalmazásra van szükség. A Docker nemrég frissítette licencelési modelljét. Előfordulhat, hogy szervezetének fizetős előfizetést kell igényelnie a Docker Desktophoz. További részletekért lásd a Docker blogbejegyzést, "A Docker frissíti és bővíti termékelőfizetéseinket".

X.509 tanúsítványkövetelmények

A tanúsítványláncnak az alábbi követelményeknek kell megfelelnie:

1. táblázat X.509 Tanúsítványkövetelmények a hibrid adatbiztonsági szolgáltatás telepítéséhez
Követelmény	részletei
Megbízható hitelesítésszolgáltató (CA) által aláírt	Alapértelmezés szerint megbízunk a Mozilla listában szereplő hitelesítésszolgáltatókban (a WoSign és a StartCom kivételével) a következő címen: https://wiki.mozilla.org/CA:IncludedCAs.
Közös név (CN) tartománynévvel rendelkezik, amely azonosítja a hibrid adatbiztonsági szolgáltatás telepítését Nem helyettesítő kód tanúsítvány	A CN-nek nem kell elérhetőnek vagy élő szervezőnek lennie. Javasoljuk, hogy olyan nevet használjon, amely tükrözi a szervezetét, például `hds.company.com`. A CN nem tartalmazhat * karaktert (helyettesítő karaktert). A CN-t a Webex alkalmazás ügyfeleihez tartozó hibrid adatbiztonsági szolgáltatás-csomópontok ellenőrzésére használják. A fürtben lévő összes hibrid adatbiztonsági szolgáltatás-csomópont ugyanazt a tanúsítványt használja. A KMS a CN tartomány használatával azonosítja magát, nem az x.509v3 SAN mezőkben definiált tartományt. Miután regisztrált egy csomópontot ezzel a tanúsítvánnyal, nem támogatjuk a CN-tartomány nevének megváltoztatását.
Nem SHA1-aláírás	A KMS szoftver nem támogatja az SHA1-aláírásokat a más szervezetek KMS-jeihez való kapcsolatok érvényesítéséhez.
Jelszóval védett PKCS #12 fájlként formázva A tanúsítvány, a titkos kulcs és a feltölteni kívánt közbenső tanúsítványok címkézéséhez használja a `kms-private-key` felhasználóbarát nevét.	A tanúsítvány formátumának megváltoztatásához használjon konvertálót, például OpenSSL-t. A HDS telepítőeszköz futtatásakor meg kell adnia a jelszót.

A KMS szoftver nem kényszeríti ki a kulcshasználatot vagy a kiterjesztett kulcshasználati korlátozásokat. Egyes hitelesítésszolgáltatók megkövetelik, hogy kiterjesztett kulcshasználati korlátozásokat alkalmazzanak minden tanúsítványra, például a kiszolgáló hitelesítésére. Megfelelő a kiszolgálóhitelesítés vagy egyéb beállítások használata.

Virtuális szervezőre vonatkozó követelmények

A fürtben hibrid adatbiztonsági szolgáltatás-csomópontként beállított virtuális szervezőkre a következő követelmények vonatkoznak:

Legalább két különálló szervező (3 ajánlott) ugyanabban a biztonságos adatközpontban van elhelyezve
A VMware ESXi 7.0 (vagy későbbi) verzió telepítve és fut.

Frissítenie kell, ha az ESXi egy korábbi verziójával rendelkezik.
Legalább 4 vCPU, 8 GB fő memória, 30 GB helyi merevlemez kiszolgálónként

Adatbázis-kiszolgáló követelmények

Hozzon létre egy új adatbázist a kulcstároláshoz. Ne használja az alapértelmezett adatbázist. A HDS alkalmazások telepítésekor létrehozzák az adatbázis-sémát.

Az adatbázis-kiszolgálónak két lehetősége van. Az egyes követelményekre vonatkozó követelmények a következők:

2. táblázat Adatbázis-kiszolgáló követelmények az adatbázis típusa szerint
PostgreSQL csevegés	Microsoft SQL kiszolgáló
A PostgreSQL 14, 15 vagy 16 telepítve és fut.	Az SQL Server 2016, 2017 vagy 2019 (Enterprise vagy Standard) telepítve van. Az SQL Server 2016 használatához 2. szervizcsomag és 2. vagy újabb kumulatív frissítés szükséges.
Legalább 8 vCPU, 16 GB fő memória, elegendő tárhely a merevlemezen és figyelés, hogy ne lépje túl (2 TB ajánlott, ha hosszú ideig szeretné futtatni az adatbázist a tárhely növelése nélkül)	Legalább 8 vCPU, 16 GB fő memória, elegendő tárhely a merevlemezen és figyelés, hogy ne lépje túl (2 TB ajánlott, ha hosszú ideig szeretné futtatni az adatbázist a tárhely növelése nélkül)

A HDS szoftver jelenleg a következő illesztőprogramokat telepíti az adatbázis-kiszolgálóval való kommunikációhoz:

PostgreSQL csevegés

Microsoft SQL kiszolgáló

Postgres JDBC illesztőprogram 42.2.5

SQL Server JDBC illesztőprogram 4.6

Ez az illesztőprogram-verzió támogatja az SQL Server Always On ( Always On Failover Cluster Instances és Always On Availability Groups) szolgáltatást.

A Microsoft SQL Server elleni Windows-hitelesítés további követelményei

Ha azt szeretné, hogy a HDS csomópontok Windows hitelesítést használjanak, hogy hozzáférjenek a Microsoft SQL Server kulcstári adatbázisához, akkor a következő konfigurációra van szükség a környezetben:

A HDS csomópontokat, az Active Directory infrastruktúrát és az MS SQL Server-t mind szinkronizálni kell az NTP-vel.
A HDS-csomópontok számára megadott Windows-fióknak olvasási/írási hozzáféréssel kell rendelkeznie az adatbázishoz.
A HDS-csomópontokhoz megadott DNS-kiszolgálóknak képesnek kell lenniük a kulcselosztó központ (KDC) feloldására.
A HDS adatbázis-példányát a Microsoft SQL Server kiszolgálón a szolgáltatás fő neveként (SPN) regisztrálhatja az Active Directoryban. Lásd: Szolgáltatás fő nevének regisztrálása Kerberos-kapcsolatokhoz.

A HDS telepítőeszköznek, a HDS indítónak és a helyi KMS-nek mind Windows-hitelesítést kell használnia a keystore adatbázishoz való hozzáféréshez. Az ISO-konfiguráció részleteit használják az SPN megépítéséhez, amikor Kerberos hitelesítéssel kívánnak hozzáférni.

Külső kapcsolódási követelmények

Konfigurálja úgy a tűzfalát, hogy engedélyezze a következő csatlakozást a HDS-alkalmazásokhoz:

Alkalmazás	Protokoll	Port	Irány az alkalmazásból	Cél
Hibrid adatbiztonsági szolgáltatás-csomópontok	TCP	443	Kimenő HTTPS és WSS	Webex-kiszolgálók: .wbx2.com .ciscospark.com Minden Common Identity-szervező A hibrid adatbiztonságra vonatkozóan felsorolt egyéb URL-címek a Webex hibrid szolgáltatásokhoz további URL-címekWebex-szolgáltatások hálózati követelményei táblázatban
HDS-beállító eszköz	TCP	443	Kimenő HTTPS	*.wbx2.com Minden Common Identity-szervező hub.docker.com

A hibrid adatbiztonsági szolgáltatás-csomópontok hálózati hozzáférési fordítással (NAT) vagy tűzfal mögött működnek, amennyiben a NAT vagy a tűzfal lehetővé teszi a szükséges kimenő kapcsolatokat az előző táblázatban szereplő tartománycélhelyekhez. A hibrid adatbiztonsági szolgáltatás-csomópontokra bejövő kapcsolatok esetében nem szabad, hogy a portok látszódjanak az internetről. Az adatközponton belül az ügyfeleknek adminisztratív okokból hozzá kell férniük a hibrid adatbiztonsági szolgáltatás-csomópontokhoz a 443-as és 22-es TCP-portokon.

A Common Identity (CI) gazdagépek URL-címe régiónkénti. Ezek a jelenlegi CI-szervezők:

Régió	Common Identity Host URL-címek
Amerika	https://idbroker.webex.com https://identity.webex.com https://idbroker-b-us.webex.com https://identity-b-us.webex.com
Európai Unió	https://idbroker-eu.webex.com https://identity-eu.webex.com
Kanada	https://idbroker-ca.webex.com https://identity-ca.webex.com
Szingapúr	https://idbroker-sg.webex.com https://identity-sg.webex.com
Egyesült Arab Emírségek	https://idbroker-ae.webex.com https://identity-ae.webex.com

Proxykiszolgálói követelmények

Hivatalosan is támogatjuk a következő proxy megoldásokat, amelyek integrálhatók a hibrid adatbiztonsági csomópontjaival.
- Átlátszó proxy – Cisco Web Security Appliance (WSA).
- Explicit proxy – tintahal.
  
  A HTTPS-forgalmat ellenőrző Squid-proxyk zavarhatják a websocket (wss:) kapcsolatok létrehozását. A probléma megoldásához lásd: Squid-proxyk konfigurálása hibrid adatbiztonsághoz.
Az explicit proxyk esetében a következő hitelesítési típuskombinációkat támogatjuk:
- Nincs hitelesítés HTTP-vel vagy HTTPS-rel
- Alapszintű hitelesítés HTTP-vel vagy HTTPS-rel
- Hitelesítés megemésztése csak HTTPS-rel
Átlátszó ellenőrző proxyhoz vagy HTTPS explicit proxyhoz rendelkeznie kell a proxy főtanúsítványának másolatával. Az útmutató üzembe helyezési utasításaiból az útmutató ismerteti, hogyan töltheti fel a másolatot a hibrid adatbiztonsági csomópontok megbízhatósági tárolóiba.
A HDS-csomópontokat üzemeltető hálózatot úgy kell konfigurálni, hogy a 443-as port kimenő TCP-forgalmát kényszerítse a proxyn való áthaladásra.
A webes forgalmat ellenőrző proxyk zavarhatják a webfoglalat-kapcsolatokat. Ha ez a probléma bekövetkezik, a forgalom megkerülése (nem ellenőrzése) wbx2.com és ciscospark.com megoldja a problémát.

A hibrid adatbiztonság előfeltételeinek teljesítése

Ezzel az ellenőrzőlistával győződjön meg arról, hogy készen áll a hibrid adatbiztonsági szolgáltatás-fürt telepítésére és konfigurálására.

1	Győződjön meg arról, hogy partnerszervezete engedélyezte a Több-bérlős HDS funkciót, és kérje le egy teljes körű partnerrendszergazdai jogosultsággal és teljes körű rendszergazdai jogosultsággal rendelkező fiók hitelesítő adatait. Győződjön meg arról, hogy Webex-ügyfélszervezete engedélyezve van a Cisco Webex Control Hub Pro Pack csomagja. A folyamattal kapcsolatos segítségért forduljon Cisco-partneréhez vagy fiókkezelőjéhez. Az ügyfélszervezetek nem rendelkezhetnek meglévő HDS-telepítéssel.
2	Válasszon ki egy tartománynevet a HDS telepítéséhez (például `hds.company.com`), és szerezzen be egy X.509 tanúsítványt, titkos kulcsot és bármely közbenső tanúsítványt tartalmazó tanúsítványláncot. A tanúsítványláncnak meg kell felelnie az X.509 tanúsítványkövetelmények előírásainak.
3	Készítse elő azokat az azonos virtuális szervezőket, akiket hibrid adatbiztonsági szolgáltatás-csomópontként fog beállítani a fürtben. Legalább két különálló szervezőre (3 ajánlott) van szükség ugyanabban a biztonságos adatközpontban, amelyek megfelelnek a Virtuális szervező követelményei pontban foglalt követelményeknek.
4	Készítse elő az adatbázis-kiszolgálót, amely a fürt kulcsadattáraként fog működni, az Adatbázis-kiszolgáló követelményei szerint. Az adatbázis-kiszolgálót a biztonságos adatközpontban kell elhelyezni a virtuális gazdagépekkel. Hozzon létre egy adatbázist a kulcstároláshoz. (Létre kell hoznia ezt az adatbázist – ne használja az alapértelmezett adatbázist. A HDS alkalmazások telepítésekor létrehozzák az adatbázis sémát.) Gyűjtse össze azokat a részleteket, amelyeket a csomópontok az adatbázis-kiszolgálóval való kommunikációhoz használnak: a gazdagép neve vagy IP-címe (gazdagép) és a port az adatbázis neve (dbname) a kulcstároláshoz a kulcstárolási adatbázis összes jogosultságával rendelkező felhasználó felhasználóneve és jelszava
5	A gyors katasztrófa-helyreállításhoz állítson be biztonsági mentési környezetet egy másik adatközpontban. A biztonsági mentési környezet a VM-ek és a biztonsági mentési adatbázis szerver termelési környezetét tükrözi. Ha például a gyártásnak 3 HDS csomópontot futtató VM-je van, a biztonsági mentési környezetnek 3 VM-je van.
6	Állítson be egy syslog-állomást a fürt csomópontjairól érkező naplók összegyűjtésére. A hálózati cím és a syslog port összegyűjtése (alapértelmezés: UDP 514).
7	Hozzon létre biztonságos biztonsági mentési szabályzatot a hibrid adatbiztonsági szolgáltatás-csomópontokhoz, az adatbázis-kiszolgálóhoz és a syslog-állomáshoz. A visszafordíthatatlan adatvesztés elkerülése érdekében legalább biztonsági másolatot kell készítenie az adatbázist és a hibrid adatbiztonsági szolgáltatás csomópontokhoz generált konfigurációs ISO-fájlt. Mivel a hibrid adatbiztonsági csomópontok tárolják a tartalom titkosításához és visszafejtéséhez használt kulcsokat, a működőképes telepítés karbantartásának elmulasztása a tartalom VISSZAFORDÍTHATATLAN ELVESZTÉSÉT eredményezi. A Webex alkalmazás ügyfelei gyorsítják a kulcsaikat, így előfordulhat, hogy a kimaradás nem lesz azonnal észrevehető, de idővel nyilvánvalóvá válik. Míg az ideiglenes kimaradást lehetetlen megelőzni, azok visszafordíthatóak. Az adatbázis vagy konfigurációs ISO fájl teljes elvesztése (nincs elérhető biztonsági mentés) azonban visszafordíthatatlan ügyféladatokat eredményez. A hibrid adatbiztonsági szolgáltatás-csomópontok üzemeltetői várhatóan gyakori biztonsági másolatot készítenek az adatbázisról és a konfigurációs ISO-fájlról, és készen állnak a hibrid adatbiztonsági szolgáltatás-adatközpont újbóli felépítésére, ha katasztrofális hiba lép fel.
8	Győződjön meg arról, hogy a tűzfalkonfiguráció engedélyezi a csatlakozást a hibrid adatbiztonsági szolgáltatás-csomópontok számára, a Külső kapcsolódási követelmények pontban leírtak szerint.
9	Telepítse a Docker-t ( https://www.docker.com) bármely támogatott operációs rendszert futtató helyi gépre (Microsoft Windows 10 Professional vagy Enterprise 64 bites vagy Mac OSX Yosemite 10.10.3 vagy újabb) olyan webböngészővel, amely a következő címen tud hozzáférni: http://127.0.0.1:8080. A Docker-példány segítségével letöltheti és futtathatja a HDS telepítőeszközt, amely az összes hibrid adatbiztonsági szolgáltatás-csomópont helyi konfigurációs információit összeállítja. Lehet, hogy Docker asztali licencre van szüksége. További információkért lásd: Docker asztali követelmények . A HDS-telepítőeszköz telepítéséhez és futtatásához a helyi gépnek rendelkeznie kell a kapcsolattal a Külső kapcsolódási követelmények pontban leírtak szerint.
10	Ha egy proxyt a hibrid adatbiztonsággal integrál, győződjön meg arról, hogy az megfelel a proxykiszolgáló követelményeinek.

Hibrid adatbiztonsági szolgáltatás-fürt beállítása

Hibrid adatbiztonsági szolgáltatás telepítési feladatfolyama

Mielőtt elkezdené

1	Kezdeti beállítási és telepítési fájlok letöltése Töltse le az OVA-fájlt a helyi gépre későbbi használatra.
2	Konfigurációs ISO létrehozása a HDS szervezők számára A HDS-telepítőeszköz segítségével ISO-konfigurációs fájlt hozhat létre a hibrid adatbiztonsági szolgáltatás-csomópontokhoz.
3	A HDS Host OVA telepítése Hozzon létre virtuális gépet az OVA fájlból, és végezze el a kezdeti konfigurációkat, például a hálózati beállításokat. Az OVA telepítése során a hálózati beállítások konfigurálásának lehetőségét teszteltük az ESXi 7.0 verzióval. Előfordulhat, hogy a beállítás a korábbi verziókban nem érhető el.
4	Hibrid adatbiztonsági szolgáltatás (VM) beállítása Jelentkezzen be a VM-konzolba, és állítsa be a bejelentkezési hitelesítő adatokat. Konfigurálja a csomópont hálózati beállításait, ha az OVA telepítésekor nem konfigurálta azokat.
5	A HDS-konfigurációs ISO feltöltése és csatlakoztatása Konfigurálja a VM-et a HDS telepítőeszközzel létrehozott ISO konfigurációs fájlból.
6	A HDS-csomópont konfigurálása proxyintegrációhoz Ha a hálózati környezet proxykonfigurációt igényel, adja meg a csomóponthoz használni kívánt proxy típusát, és szükség esetén adja hozzá a proxytanúsítványt a megbízhatósági tárolóhoz.
7	A fürtben lévő első csomópont regisztrálása Regisztrálja a VM-et a Cisco Webex felhővel hibrid adatbiztonsági szolgáltatás-csomópontként.
8	További csomópontok létrehozása és regisztrálása Fejezze be a fürt beállítását.
9	Aktiválja a több-bérlős HDS-t a Partnerközpontban. Aktiválja a HDS-t és kezelje a bérlői szervezeteket a Partner Hubban.

Kezdeti beállítási és telepítési fájlok letöltése

Ebben a feladatban letölt egy OVA-fájlt a számítógépére (nem a hibrid adatbiztonsági szolgáltatás-csomópontokként beállított kiszolgálókra). Ezt a fájlt később a telepítési folyamat során használhatja.

1	Jelentkezzen be a Partnerközpontba, majd kattintson a Szolgáltatások lehetőségre.
2	A Felhőszolgáltatások részben keresse meg a hibrid adatbiztonsági kártyát, majd kattintson a Beállítás gombra. A Partner Hubban a Beállítás gombra kattintva kulcsfontosságú a telepítési folyamat szempontjából. Ne folytassa a telepítést ennek a lépésnek a befejezése nélkül.
3	Kattintson az Erőforrás hozzáadása lehetőségre, majd a Szoftver telepítése és konfigurálása kártyán kattintson a .OVA-fájl letöltése gombra. A szoftvercsomag (OVA) régebbi verziói nem lesznek kompatibilisek a hibrid adatbiztonsági szolgáltatás legújabb frissítéseivel. Ez problémákat okozhat az alkalmazás verziófrissítése során. Ügyeljen arra, hogy az OVA-fájl legújabb verzióját töltse le. Az OVA-t bármikor letöltheti a Súgó részből. Kattintson a Beállítások > Súgó > Hibrid adatbiztonsági szolgáltatás letöltése lehetőségre. Az OVA-fájl letöltése automatikusan elkezdődik. Mentse a fájlt a gépén lévő helyre.
4	Opcionálisan kattintson a Hibrid adatbiztonsági szolgáltatás telepítési útmutatójának megtekintése opcióra annak ellenőrzéséhez, hogy rendelkezésre áll-e ennek az útmutatónak egy későbbi verziója.

Konfigurációs ISO létrehozása a HDS szervezők számára

A hibrid adatbiztonsági szolgáltatás beállítási folyamata ISO-fájlt hoz létre. Ezután az ISO-t használja a hibrid adatbiztonsági szolgáltatás-szervező konfigurálásához.

Mielőtt elkezdené

A HDS Setup eszköz Docker konténerként fut egy helyi gépen. Ha hozzá akarsz férni, futtasd a Dockert azon a gépen. A beállítási folyamat megköveteli a teljes rendszergazdai jogosultságokkal rendelkező Partner Hub-fiók hitelesítő adatait.

Ha a HDS-beállító eszköz a környezetében lévő proxy mögött fut, adja meg a proxybeállításokat (kiszolgáló, port, hitelesítő adatokat) a Dokkolókörnyezeti változókon keresztül a Dokkolótároló alábbi 5 . lépésben. Ez a táblázat néhány lehetséges környezeti változót tartalmaz:

Leírás	Változó
Http-proxy hitelesítés nélkül	`GLOBÁLIS_ÜGYNÖK_HTTP_PROXY=HTTP://KISZOLGÁLÓ_IP:PORT`
HTTPS-proxy hitelesítés nélkül	`GLOBÁLIS_ÜGYNÖK_HTTPS_PROXY=http://KISZOLGÁLÓ_IP:PORT`
Http-proxy hitelesítéssel	`GLOBÁLIS_ÜGYNÖK_HTTP_PROXY=http://felhasználónév:jelszó@kiszolgáló_IP:PORT`
HTTPS-proxy hitelesítéssel	`GLOBÁLIS_ÜGYNÖK_HTTPS_PROXY=http://felhasználónév:jelszó@kiszolgáló_IP:PORT`

A létrehozott konfigurációs ISO fájl tartalmazza a PostgreSQL vagy Microsoft SQL Server adatbázist titkosító mesterkulcsot. Szükség van a fájl legutóbbi másolatára, amikor konfigurációs módosításokat hajt végre, mint például:
- Adatbázis hitelesítő adatai
- Tanúsítványfrissítések
- Az engedélyezési szabályzat változásai
Ha adatbázis-kapcsolatokat szeretne titkosítani, állítsa be a PostgreSQL vagy SQL Server telepítés TLS-hez.

1

A gép parancssorában adja meg a környezetének megfelelő parancsot:

Rendszeres környezetben:

docker rmi ciscocitg/hds-setup:stabil

FedRAMP környezetben:

docker rmi ciscocitg/hds-setup-fedramp:stabil

Ezzel a lépéssel törölhetők a HDS telepítőeszköz korábbi képei. Ha nincsenek korábbi képek, akkor olyan hibát ad vissza, amelyet figyelmen kívül hagyhat.

2

A Docker-képtárba való bejelentkezéshez írja be a következőket:

dokkoló bejelentkezés -u hdscustomersro

3

A jelszókéréskor írja be ezt a hash-t:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

4

Töltse le a legfrissebb stabil képet a környezetéről:

Rendszeres környezetben:

dokkoló húzás ciscocitg/hds-setup:stabil

FedRAMP környezetben:

dokkoló húzás ciscocitg/hds-setup-fedramp:stabil

5

Amikor a húzás befejeződött, adja meg a környezetének megfelelő parancsot:

Rendszeres környezetben, proxy nélkül:

dokkoló futtatása -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

Http proxyval rendelkező normál környezetben:

docker run -p 8080:8080 --rm -it-e GLOBAL_AGENT_HTTP_PROXY=http://SERVER IP:PORT_ ciscocitg/hds-setup:stable

Normál környezetben HTTPS proxyval:

docker run -p 8080:8080 --rm -it-e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER IP:PORT_ ciscocitg/hds-setup:stable

FedRAMP környezetben, proxy nélkül:

dokkoló futtatása -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

Http proxyval rendelkező FedRAMP környezetben:

docker run -p 8080:8080 --rm -it-e GLOBAL_AGENT_HTTP_PROXY=http://SERVER IP:PORT_ ciscocitg/hds-setup-fedramp:stable

FedRAMP környezetben https proxyval:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER IP:PORT_ ciscocitg/hds-setup-fedramp:stable

Amikor a konténer fut, az "Express szerver figyeli a 8080-as portot."

6

A beállítóeszköz nem támogatja a localhost-hoz való csatlakozást a http://localhost:8080-on keresztül. A(z) http://127.0.0.1:8080 használatával kapcsolódhat a localhost-hoz.

Webböngészővel lépjen a(z) http://127.0.0.1:8080 helyszínállomásra, majd adja meg a rendszergazda felhasználónevét a Partner Hubhoz a kérésben.

Az eszköz a felhasználónév első bejegyzésével állítja be a fiókhoz tartozó megfelelő környezetet. Az eszköz ezután megjeleníti a normál bejelentkezési üzenetet.

7

Amikor a rendszer kéri, adja meg a Partner Hub rendszergazdájának bejelentkezési hitelesítő adatait, majd kattintson a Bejelentkezés gombra, hogy engedélyezze a hozzáférést a hibrid adatbiztonsági szolgáltatáshoz szükséges szolgáltatásokhoz.

8

A Beállítóeszköz áttekintése oldalon kattintson az Első lépések gombra.

9

Az ISO-importálás oldalon az alábbi lehetőségek közül választhat:

Nem – Ha az első HDS-csomópontot hozza létre, nincs feltöltendő ISO-fájl.
Igen – Ha már létrehozott HDS-csomópontokat, akkor válassza ki az ISO-fájlt a böngészőben, és töltse fel.

10

Ellenőrizze, hogy az X.509-es tanúsítvány megfelel-e az X.509-es tanúsítványkövetelmények előírásainak.

Ha még soha nem töltött fel tanúsítványt, töltse fel az X.509 tanúsítványt, adja meg a jelszót, majd kattintson a Folytatás gombra.
Ha a tanúsítványa rendben van, kattintson a Folytatás gombra.
Ha a tanúsítvány lejárt, vagy szeretné lecserélni, válassza a Nem lehetőséget a Folytatás a HDS tanúsítványlánc és a korábbi ISO titkos kulcs használata? lehetőséghez. Töltsön fel egy új X.509-tanúsítványt, adja meg a jelszót, majd kattintson a Folytatás gombra.

11

Adja meg a HDS adatbáziscímét és fiókját a kulcsadatkészlet eléréséhez:

Válassza ki az Adatbázis típusát (PostgreSQL vagy Microsoft SQL Server).

Ha a Microsoft SQL Server opciót választja, Hitelesítési típus mezőt kap.
(Csak Microsoft SQL Server ) Válassza ki a Hitelesítési típust:
- Alapszintű hitelesítés: Helyi SQL Server-fiók nevére van szükség a Felhasználónév mezőben.
- Windows-hitelesítés: felhasználónév@tartomány formátumú Windows-fiókra van szükség a Felhasználónév mezőben.
Adja meg az adatbázis-kiszolgáló címét a következő formában: : vagy :.

Példa:
dbhost.example.org:1433 vagy 198.51.100.17:1433

Alapszintű hitelesítéshez használhat IP-címet, ha a csomópontok nem tudnak DNS-t használni az állomásnév feloldásához.

Ha Windows-hitelesítést használ, akkor meg kell adnia egy teljesen minősített tartománynevet a következő formátumban: dbhost.example.org:1433
Adja meg az Adatbázis nevét.
Adja meg annak a felhasználónak a Felhasználónevét és Jelszavát , aki minden jogosultsággal rendelkezik a kulcstárolási adatbázisban.

12

Válassza ki a TLS-adatbázis csatlakozási módját:

Mód	Leírás
TLS előnyben részesítése (alapértelmezett beállítás)	A HDS csomópontok nem igénylik a TLS csatlakozását az adatbázis szerverhez. Ha engedélyezi a TLS-t az adatbázis kiszolgálón, a csomópontok titkosított kapcsolatot próbálnak meg létesíteni.
Kötelező TLS	A HDS csomópontok csak akkor kapcsolódnak, ha az adatbázis-kiszolgáló képes egyeztetni a TLS-t.
TLS igénylése és a tanúsítvány aláírójának ellenőrzése	Ez a mód nem alkalmazható SQL Server adatbázisokra. A HDS csomópontok csak akkor kapcsolódnak, ha az adatbázis-kiszolgáló képes egyeztetni a TLS-t. A TLS-kapcsolat létrehozása után a csomópont összehasonlítja az adatbázis-kiszolgálóról származó tanúsítvány aláíróját a hitelesítésszolgáltatóval az Adatbázis gyökértanúsítványban. Ha nem egyeznek, a csomópont megszakítja a kapcsolatot. A legördülő menü alatti Adatbázis gyökértanúsítvány vezérlőelem segítségével töltse fel a beállítás gyökértanúsítványát.
TLS megkövetelése és a tanúsítvány aláírójának és a gépnévnek az ellenőrzése	A HDS csomópontok csak akkor kapcsolódnak, ha az adatbázis-kiszolgáló képes egyeztetni a TLS-t. A TLS-kapcsolat létrehozása után a csomópont összehasonlítja az adatbázis-kiszolgálóról származó tanúsítvány aláíróját a hitelesítésszolgáltatóval az Adatbázis gyökértanúsítványban. Ha nem egyeznek, a csomópont megszakítja a kapcsolatot. A csomópontok azt is ellenőrzik, hogy a kiszolgáló tanúsítványában szereplő gazdagép neve megegyezik-e az Adatbázis gazdagép és port mezőben található gazdagép nevével. A neveknek pontosan egyezniük kell, vagy a csomópont megszakítja a kapcsolatot. A legördülő menü alatti Adatbázis gyökértanúsítvány vezérlőelem segítségével töltse fel a beállítás gyökértanúsítványát.

Amikor feltölti a gyökértanúsítványt (ha szükséges), és a Folytatás gombra kattint, a HDS telepítőeszköz teszteli a TLS-kapcsolatot az adatbázis-kiszolgálóval. Az eszköz ellenőrzi a tanúsítvány aláíróját és a gépnevet is, ha van ilyen. Ha egy teszt sikertelen, az eszköz hibaüzenetet jelenít meg, amely leírja a problémát. Kiválaszthatja, hogy figyelmen kívül hagyja-e a hibát, és folytatja-e a beállítást. (A kapcsolódási különbségek miatt a HDS-csomópontok akkor is képesek lehetnek létrehozni a TLS-kapcsolatot, ha a HDS telepítőeszköz gépe nem tudja sikeresen tesztelni.)

13

A Rendszernaplók oldalon konfigurálja a Syslogd kiszolgálót:

Adja meg a syslog szerver URL-címét.

Ha a kiszolgáló nem DNS-feloldható a HDS-fürthöz tartozó csomópontokról, használjon egy IP-címet az URL-ben.

Példa:
Az udp://10.92.43.23:514 a 10.92.43.23 Syslogd állomásra való bejelentkezést jelzi az 514-es UDP-porton.
Ha úgy állítja be a kiszolgálóját, hogy TLS-titkosítást használjon, jelölje be a Be van állítva a syslog kiszolgáló SSL-titkosításra? jelölőnégyzetet.

Ha bejelöli ezt a jelölőnégyzetet, mindenképpen adjon meg egy TCP URL-címet, például tcp://10.92.43.23:514.
A Syslog-rekord termináljának kiválasztása legördülő menüből válassza ki az ISO fájlhoz megfelelő beállítást: Válassza ki, hogy az Újsor legyen-e használatban Graylog és Rsyslog TCP esetén
- Null bájt -- \x00
- Új vonal -- \n—Válassza ezt a lehetőséget a Graylog és Rsyslog TCP esetén.
Kattintson a Folytatás gombra.

14

(Opcionális) Bizonyos adatbázis-kapcsolati paraméterek alapértelmezett értékét a Speciális beállítások menüpontban módosíthatja. Általában ez az egyetlen paraméter, amit érdemes megváltoztatni:

app_datasource_connection_pool_maxMéret: 10

15

Kattintson a Folytatás gombra a Szolgáltatásfiókok jelszavának visszaállítása képernyőn.

A szolgáltatásfiók jelszavainak élettartama kilenc hónap. Akkor használja ezt a képernyőt, ha a jelszavak hamarosan lejárnak, vagy vissza szeretné állítani őket, hogy érvénytelenítsék a korábbi ISO-fájlokat.

16

Kattintson az ISO-fájl letöltése lehetőségre. Mentse el a fájlt egy könnyen megtalálható helyre.

17

Készítsen biztonsági másolatot az ISO fájlról a helyi rendszerre.

Tartsa biztonságban a biztonsági másolatot. Ez a fájl az adatbázis tartalmához tartozó fő titkosítási kulcsot tartalmaz. Korlátozza a hozzáférést csak azokra a hibrid adatbiztonsági szolgáltatás-rendszergazdákra, akiknek konfigurációs módosításokat kell végrehajtaniuk.

18

A beállítóeszköz leállításához gépelje be a CTRL+C billentyűkombinációt.

Mi a következő teendő

Biztonsági másolat készítése a konfigurációs ISO fájlról. A helyreállításhoz további csomópontok létrehozásához, illetve konfigurációs módosítások elvégzéséhez szükség van rá. Ha az ISO fájl összes másolatát elveszíti, akkor a mesterkulcs is elveszett. A PostgreSQL vagy Microsoft SQL Server adatbázisából nem lehet visszaállítani a kulcsokat.

Soha nem lesz másolatunk erről a kulcsról, és nem tudunk segíteni, ha elveszíti.

A HDS Host OVA telepítése

Ezzel az eljárással virtuális gépet hozhat létre az OVA-fájlból.

1	A számítógépén lévő VMware vSphere kliens használatával jelentkezzen be az ESXi virtuális állomásba.
2	Válassza a Fájl > OVF-sablon telepítése lehetőséget.
3	A varázslóban adja meg a korábban letöltött OVA-fájl helyét, majd kattintson a Tovább gombra.
4	A Név és mappa kiválasztása oldalon adja meg a csomópont Virtuális gép nevét (például „HDS_Node_1”), válasszon ki egy helyet, ahol a virtuálisgép-csomópont telepítése élhet, majd kattintson a Tovább gombra.
5	A Számítási erőforrás kiválasztása oldalon válassza ki a cél számítási erőforrást, majd kattintson a Tovább gombra. Egy érvényesítési ellenőrzés lefut. A befejezés után megjelennek a sablon adatai.
6	Ellenőrizze a sablon részleteit, majd kattintson a Tovább gombra.
7	Ha a rendszer arra kéri, hogy a Konfiguráció oldalon válassza ki az erőforrás konfigurációját, kattintson a 4 CPU gombra, majd kattintson a Tovább gombra.
8	A Tárhely kiválasztása oldalon kattintson a Tovább gombra az alapértelmezett lemezformátum és a VM-tárhely házirendjének elfogadásához.
9	A Hálózatok kiválasztása oldalon válassza ki a hálózati lehetőséget a bejegyzések listájából, hogy biztosítsa a kívánt kapcsolatot a VM-mel.
10	A Sablon testreszabása oldalon konfigurálja a következő hálózati beállításokat: Gazdagép neve – Adja meg a csomópont FQDN-jét (gazdagép neve és tartománya), vagy egyetlen szó gazdagép nevét. Nem kell úgy beállítania a tartományt, hogy megfeleljen az X.509 tanúsítvány beszerzéséhez használt tartománynak. A felhőbe történő sikeres regisztráció érdekében csak kisbetűs karaktereket használjon a csomóponthoz beállított FQDN-ben vagy állomásnévben. A nagybetűs írásmód jelenleg nem támogatott. Az FQDN teljes hossza nem haladhatja meg a 64 karaktert. IP-cím— Adja meg a csomópont belső interfészének IP-címét. A csomópontnak belső IP-címmel és DNS-névvel kell rendelkeznie. A DHCP nem támogatott. Maszk – Adja meg az alhálózati maszk címét pont-decimális jelölésben. Például: 255.255.255.0. Átjáró—Adja meg az átjáró IP-címét. Az átjáró olyan hálózati csomópont, amely egy másik hálózat hozzáférési pontjaként szolgál. DNS-kiszolgálók – Adja meg a DNS-kiszolgálók vesszővel elválasztott listáját, amely a tartománynevek numerikus IP-címekre történő fordítását kezeli. (Legfeljebb 4 DNS-bejegyzés engedélyezett.) NTP-kiszolgálók – Adja meg a szervezet NTP-kiszolgálóját vagy egy másik, a szervezetben használható külső NTP-kiszolgálót. Előfordulhat, hogy az alapértelmezett NTP-kiszolgálók nem működnek minden vállalatnál. Több NTP-kiszolgáló megadásához vesszővel elválasztott listát is használhat. Telepítse az összes csomópontot ugyanazon az alhálózaton vagy VLAN-on, hogy a fürtben lévő összes csomópont adminisztratív okokból elérhető legyen a hálózaton lévő ügyfelektől. Ha szeretné, átugorhatja a hálózati beállítási konfigurációt, és a Hibrid adatbiztonsági szolgáltatás beállítása szakasz lépéseit követve konfigurálhatja a beállításokat a csomópont-konzolról. Az OVA telepítése során a hálózati beállítások konfigurálásának lehetőségét teszteltük az ESXi 7.0 verzióval. Előfordulhat, hogy a beállítás a korábbi verziókban nem érhető el.
11	Kattintson az egér jobb oldali gombjával a csomópont VM-jére, majd válassza a Bekapcsolás > Bekapcsolás lehetőséget. A hibrid adatbiztonsági szolgáltatás-szoftver vendégként van telepítve a VM-állomásra. Most már bejelentkezhet a konzolba, és konfigurálhatja a csomópontot. Hibaelhárítási tippek Előfordulhat, hogy a csomópont-konténerek megjelenése előtt néhány percet késik. Az első rendszerindítás során hídtűzfalüzenet jelenik meg a konzolon, amelynek során nem tud bejelentkezni.

Hibrid adatbiztonsági szolgáltatás (VM) beállítása

Ezzel az eljárással először jelentkezzen be a hibrid adatbiztonsági szolgáltatás-csomópont VM-konzoljába, és állítsa be a bejelentkezési hitelesítő adatokat. A konzol segítségével konfigurálhatja a csomópont hálózati beállításait is, ha az OVA telepítésekor nem konfigurálta azokat.

1	A VMware vSphere kliensben válassza ki a hibrid adatbiztonsági szolgáltatás-csomópont VM-jét, és válassza a Konzol lapot. A VM elindul, és bejelentkezési üzenet jelenik meg. Ha a bejelentkezési üzenet nem jelenik meg, nyomja meg az Enter billentyűt.
2	A bejelentkezéshez és a hitelesítő adatok módosításához használja a következő alapértelmezett bejelentkezést és jelszót: Bejelentkezés: `rendszergazda` Jelszó: `cisco` Mivel először jelentkezik be a VM-be, meg kell változtatnia a rendszergazda jelszavát.
3	Ha már konfigurálta a hálózati beállításokat a HDS Host OVA telepítése menüben, hagyja ki az eljárás hátralévő részét. Ellenkező esetben a főmenüben válassza a Konfiguráció szerkesztése lehetőséget.
4	Állítson be statikus konfigurációt IP-címmel, maszkkal, átjáróval és DNS-adatokkal. A csomópontnak belső IP-címmel és DNS-névvel kell rendelkeznie. A DHCP nem támogatott.
5	(Opcionális) Módosítsa az állomásnevet, a tartományt vagy az NTP-kiszolgáló(k)t, ha a hálózati házirendnek megfelel. Nem kell úgy beállítania a tartományt, hogy megfeleljen az X.509 tanúsítvány beszerzéséhez használt tartománynak.
6	Mentse a hálózati konfigurációt, és indítsa újra a VM-et, hogy a módosítások életbe lépjenek.

A HDS-konfigurációs ISO feltöltése és csatlakoztatása

Ezzel az eljárással konfigurálhatja a virtuális gépet a HDS telepítőeszközzel létrehozott ISO-fájlból.

Mielőtt elkezdené

Mivel az ISO-fájl tartalmazza a mesterkulcsot, csak „tudni kell” alapon szabad közzétenni, hogy hozzáférhessen a hibrid adatbiztonsági szolgáltatás-kezelők és minden olyan rendszergazda számára, akinek esetleg módosításokat kell végrehajtania. Győződjön meg arról, hogy csak ezek a rendszergazdák férhetnek hozzá az adatkészlethez.

1

Töltse fel az ISO-fájlt a számítógépéről:

A VMware vSphere kliens bal oldali navigációs ablaktáblájában kattintson az ESXi szerverre.
A Konfiguráció lap Hardver listáján kattintson a Tárhelyelemre.
Az Adatkészlet listában kattintson a jobb gombbal a VM-ek adatkészletére, majd kattintson az Adatkészlet tallózása gombra.
Kattintson a Fájlok feltöltése ikonra, majd kattintson a Fájl feltöltésegombra.
Keresse meg azt a helyet, ahol letöltötte az ISO-fájlt a számítógépére, majd kattintson a Megnyitás gombra.
Kattintson az Igen gombra a feltöltési/letöltési műveletre vonatkozó figyelmeztetés elfogadásához, és zárja be az adatkészlet-párbeszédablakot.

2

ISO- fájl csatolása:

A VMware vSphere kliens bal oldali navigációs ablakában kattintson jobb gombbal a VM-re, majd kattintson a Beállítások szerkesztése lehetőségre.
Kattintson az OK gombra a korlátozott szerkesztési beállítások figyelmeztetésének elfogadásához.
Kattintson a CD/DVD-meghajtó 1elemre, válassza ki az ISO-fájlból való csatlakoztatást, és keresse meg azt a helyet, ahol a konfigurációs ISO-fájlt feltöltötte.
Jelölje be a Csatlakoztatva és a Kapcsolódás bekapcsolva lehetőséget.
Mentse a módosításokat és indítsa újra a virtuális gépet.

Mi a következő teendő

Ha az IT-házirend megköveteli, akkor opcionálisan eltávolíthatja az ISO-fájlt, miután az összes csomópont elvette a konfigurációs módosításokat. Részletekért lásd: (nem kötelező) Az ISO leválasztása a HDS-konfiguráció után .

A HDS-csomópont konfigurálása proxyintegrációhoz

Ha a hálózati környezet proxyt igényel, ezzel az eljárással adhatja meg a hibrid adatbiztonsággal integrálni kívánt proxy típusát. Ha átlátszó ellenőrző proxyt vagy HTTPS explicit proxyt választ, a csomópont felületével feltöltheti és telepítheti a főtanúsítványt. A proxykapcsolatot az interfészről is ellenőrizheti, és elháríthatja az esetleges problémákat.

Mielőtt elkezdené

A támogatott proxybeállítások áttekintését lásd: Proxytámogatás.
Proxykiszolgálói követelmények

1	Adja meg a HDS-csomópont beállítási `URL-címét https://[HDS Node IP vagy FQDN]/setup` egy webböngészőben, adja meg a csomóponthoz beállított rendszergazdai hitelesítő adatokat, majd kattintson a Bejelentkezésgombra.
2	Lépjen a Trust Store & Proxyelemre, majd válasszon egy lehetőséget: Nincs proxy – Az alapértelmezett beállítás a proxy integrálása előtt. Nincs szükség tanúsítványfrissítésre. Átlátszó nem ellenőrző proxy – A csomópontok nincsenek konfigurálva meghatározott proxykiszolgáló-cím használatára, és nem igényelhetnek módosításokat ahhoz, hogy a nem ellenőrző proxyval működjenek. Nincs szükség tanúsítványfrissítésre. Átlátszó ellenőrző proxy – A csomópontok nincsenek konfigurálva konkrét proxykiszolgáló-cím használatára. A hibrid adatbiztonsági üzembe helyezés során nincs szükség HTTPS-konfigurációs módosításokra, azonban a HDS-csomópontoknak főtanúsítványra van szükségük, hogy megbízzanak a proxyban. A proxyk ellenőrzését az IT általában arra használja, hogy betartassa azokat az irányelveket, amelyeken a webhelyek látogathatók, és milyen típusú tartalom nem engedélyezett. Ez a fajta proxy visszafejti az összes forgalmat (még HTTPS-t is). Explicit proxy – Az explicit proxy segítségével megmondja az ügyfélnek (HDS-csomópontok), hogy melyik proxykiszolgálót kell használni, és ez a beállítás több hitelesítési típust támogat. Miután kiválasztotta ezt a beállítást, meg kell adnia a következő adatokat: Proxy IP/FQDN – a proxygép elérésére használható cím. Proxyport – Olyan portszám, amelyet a proxy a lekerekített forgalom figyelésére használ. Proxyprotokoll – Válassza a http lehetőséget (az ügyféltől kapott összes kérést megtekintheti és vezérli) vagy a https lehetőséget (csatornát biztosít a szervernek, és az ügyfél megkapja és érvényesíti a szerver tanúsítványát). Válasszon egy lehetőséget a proxykiszolgáló által támogatott lehetőségek alapján. Hitelesítési típus – Válasszon a következő hitelesítési típusok közül: Nincs – Nincs szükség további hitelesítésre. Elérhető HTTP- vagy HTTPS-proxykhoz. Alapszintű – HTTP-felhasználói ügynökként használatos a felhasználónév és jelszó megadására kéréskor. Base64 kódolást használ. Elérhető HTTP- vagy HTTPS-proxykhoz. Ha ezt a lehetőséget választja, meg kell adnia a felhasználónevet és a jelszót is. Kivonás – A fiók megerősítésére szolgál, mielőtt érzékeny információkat küldene be. Kivonatfüggvényt alkalmaz a felhasználónévre és a jelszóra, mielőtt elküldené a hálózaton keresztül. Csak HTTPS proxykhoz érhető el. Ha ezt a lehetőséget választja, meg kell adnia a felhasználónevet és a jelszót is. Kövesse az átlátható ellenőrző proxy, az alapszintű hitelesítéssel rendelkező HTTP-explicit proxy vagy a HTTPS explicit proxy következő lépéseit.
3	Kattintson a Főtanúsítvány feltöltése vagy a Végfelhasználói tanúsítványlétrehozása elemre, majd keresse meg a proxy főtanúsítványát. A tanúsítvány feltöltésre került, de még nincs telepítve, mert a tanúsítvány telepítéséhez újra kell indítania a csomópontot. További részleteket szeretne megtudni a tanúsítványkibocsátó nevével a ékzár nyílra, vagy kattintson a Törlés gombra, ha hibát követett el, és újra szeretné tölteni a fájlt.
4	Kattintson a Proxykapcsolat ellenőrzése gombra a csomópont és a proxy közötti hálózati kapcsolat teszteléséhez. Ha a kapcsolati teszt sikertelen, hibaüzenet jelenik meg, amely bemutatja az okot és a probléma kijavítást. Ha olyan üzenet jelenik meg, amely szerint a külső DNS-felbontás nem sikerült, a csomópont nem tudta elérni a DNS-kiszolgálót. Ez a feltétel számos explicit proxykonfigurációban várható. Folytathatja a beállítást, és a csomópont blokkolt külső DNS-feloldási módban fog működni. Ha úgy gondolja, hogy ez hiba, hajtsa végre ezeket a lépéseket, majd tekintse meg a Blokkolt külső DNS-feloldási mód kikapcsolása című ismertetőt.
5	A csatlakozási teszt elvégzése után, ha csak https-re van állítva explicit proxy, kapcsolja be a kapcsolót a 443/444 https port útvonala parancsra az explicit proxynkeresztül. Ez a beállítás 15 másodpercet igényel a hatályba lépéshez.
6	Kattintson az Összes tanúsítvány telepítése a megbízhatósági tárolóba (HTTPS explicit proxy vagy átlátszó ellenőrző proxy esetén jelenik meg) vagy Indítsa újra (HTTP explicit proxy esetén jelenik meg), olvassa el a parancsot, majd kattintson a Telepítés gombra, ha készen áll. A csomópont néhány percen belül újraindul.
7	A csomópont újraindítása után jelentkezzen be újra, ha szükséges, majd nyissa meg az Áttekintés lapot, hogy ellenőrizze a kapcsolatellenőrzéseket, és győződjön meg arról, hogy mindegyik zöld állapotban van. A proxykapcsolat ellenőrzése csak webex.com aldomainét teszteli. Kapcsolódási problémák esetén gyakori probléma, hogy a telepítési utasításokban felsorolt felhőtartományok némelyike le van tiltva a proxyn.

A fürtben lévő első csomópont regisztrálása

Ez a feladat elvégzi a Hibrid adatbiztonsági szolgáltatás beállítása menüben létrehozott általános csomópontot, regisztrálja a csomópontot a Webex-felhővel, és hibrid adatbiztonsági szolgáltatás-csomóponttá alakítja.

Az első csomópont regisztrálásakor létrehoz egy fürtöt, amelyhez a csomópont hozzá van rendelve. A fürt egy vagy több, redundancia biztosítására telepített csomópontot tartalmaz.

Mielőtt elkezdené

Miután megkezdi egy csomópont regisztrációját, azt 60 percen belül el kell végeznie, különben el kell kezdenie a folyamatot.
Győződjön meg arról, hogy az előugró ablakok blokkolói le vannak tiltva a böngészőjében, vagy engedélyezze a kivételt az admin.webex.com számára.

1	Jelentkezzen be ide: https://admin.webex.com.
2	A képernyő bal oldalán található menüből válassza a Szolgáltatásoklehetőséget.
3	A Felhőszolgáltatások részben keresse meg a hibrid adatbiztonsági kártyát, majd kattintson a Beállítás gombra.
4	A megnyíló oldalon kattintson az Erőforrás hozzáadása lehetőségre.
5	A Csomópont hozzáadása kártya első mezőjében adja meg annak a fürtnek a nevét, amelyhez hozzá kívánja rendelni a hibrid adatbiztonsági szolgáltatás-csomópontot. Javasoljuk, hogy a fürtöt attól függően nevezze el, hogy a fürt csomópontjai földrajzilag hol helyezkednek el. Példák: "San Francisco" vagy "New York" vagy "Dallas"
6	A második mezőben adja meg a csomópont belső IP-címét vagy teljesen minősített tartománynevét (FQDN), majd kattintson a képernyő alján található Hozzáadás gombra. Ennek az IP-címnek vagy FQDN-nek meg kell egyeznie azzal az IP-címmel vagy állomásnévvel és tartománynévvel, amelyet a Hibrid adatbiztonsági szolgáltatás beállítása során használt. Megjelenik egy üzenet, amely azt jelzi, hogy regisztrálhatja a csomópontot a Webex rendszerében.
7	Kattintson az Ugrás a csomópontra lehetőségre. Néhány perc múlva átirányítja a rendszer a Webex-szolgáltatások csomóponti kapcsolódási tesztelésére. Ha az összes teszt sikeres, megjelenik a „Hibrid adatbiztonsági szolgáltatás-csomópont hozzáférésének engedélyezése” oldal. Ott megerősíti, hogy engedélyeket szeretne adni a Webex-szervezetnek a csomóponthoz való hozzáféréshez.
8	Jelölje be a Hozzáférés engedélyezése a hibrid adatbiztonsági szolgáltatás-csomóponthoz jelölőnégyzetet, majd kattintson a Folytatás gombra. Az Ön fiókja hitelesítve van, és a „Regisztráció befejezve” üzenet azt jelzi, hogy a csomópont mostantól regisztrálva van a Webex-felhőbe.
9	Kattintson a hivatkozásra, vagy zárja be a lapot, hogy visszatérjen a Partner Hub hibrid adatbiztonsági szolgáltatás oldalára. A Hibrid adatbiztonsági szolgáltatás oldalon az Ön által regisztrált csomópontot tartalmazó új fürt az Erőforrások lapon jelenik meg. A csomópont automatikusan letölti a legújabb szoftvert a felhőből.

További csomópontok létrehozása és regisztrálása

Ha további csomópontokat szeretne hozzáadni a fürthöz, egyszerűen hozzon létre további VM-eket, és szerelje fel ugyanazt a konfigurációs ISO-fájlt, majd regisztrálja a csomópontot. Javasoljuk, hogy legyen legalább 3 csomópontja.

Mielőtt elkezdené

Miután megkezdi egy csomópont regisztrációját, azt 60 percen belül el kell végeznie, különben el kell kezdenie a folyamatot.
Győződjön meg arról, hogy az előugró ablakok blokkolói le vannak tiltva a böngészőjében, vagy engedélyezze a kivételt az admin.webex.com számára.

1	Hozzon létre egy új virtuális gépet az OVA-ból, ismételje meg a HDS Host OVA telepítése című rész lépéseit.
2	Állítsa be a kezdeti konfigurációt az új VM-en, ismételve a Hibrid adatbiztonsági szolgáltatás VM beállítása lépéseit.
3	Az új VM-en ismételje meg a HDS-konfiguráció ISO feltöltése és csatlakoztatása című rész lépéseit.
4	Ha proxyt állít be az üzembe helyezéshez, ismételje meg a HDS-csomópont konfigurálása proxyintegrációhoz lépéseit az új csomóponthoz szükség szerint.
5	Regisztrálja a csomópontot. A(z) https://admin.webex.com alkalmazásban válassza a Szolgáltatások lehetőséget a képernyő bal oldalán található menüből. A Felhőszolgáltatások részben keresse meg a hibrid adatbiztonsági kártyát, és kattintson az Összes megtekintése gombra. Megjelenik a Hibrid adatbiztonsági erőforrások oldal. Az újonnan létrehozott fürt megjelenik az Erőforrások oldalon. Kattintson a fürtre a fürthöz hozzárendelt csomópontok megtekintéséhez. Kattintson a Csomópont hozzáadása elemre a képernyő jobb oldalán. Adja meg a csomópont belső IP-címét vagy teljesen minősített tartománynevét (FQDN), majd kattintson a Hozzáadás gombra. Megnyílik egy oldal egy üzenettel, amely jelzi, hogy regisztrálhatja a csomópontot a Webex-felhőbe. Néhány perc múlva átirányítja a rendszer a Webex-szolgáltatások csomóponti kapcsolódási tesztelésére. Ha az összes teszt sikeres, megjelenik a „Hibrid adatbiztonsági szolgáltatás-csomópont hozzáférésének engedélyezése” oldal. Itt megerősíti, hogy engedélyeket szeretne adni a szervezetének a csomóponthoz való hozzáféréshez. Jelölje be a Hozzáférés engedélyezése a hibrid adatbiztonsági szolgáltatás-csomóponthoz jelölőnégyzetet, majd kattintson a Folytatás gombra. Az Ön fiókja hitelesítve van, és a „Regisztráció befejezve” üzenet azt jelzi, hogy a csomópont mostantól regisztrálva van a Webex-felhőbe. Kattintson a hivatkozásra, vagy zárja be a lapot, hogy visszatérjen a Partner Hub hibrid adatbiztonsági szolgáltatás oldalára. A Csomópont hozzáadva felugró üzenet szintén megjelenik a Partnerközpontban a képernyő alján. A csomópont regisztrálva van.

Bérlői szervezetek kezelése a több-bérlős hibrid adatbiztonsági szolgáltatásban

Több-bérlős HDS aktiválása a Partner Hubban

Ez a feladat biztosítja, hogy az ügyfélszervezetek minden felhasználója megkezdhesse a HDS kihasználását a Helyszíni titkosítási kulcsok és egyéb biztonsági szolgáltatások esetében.

Mielőtt elkezdené

Győződjön meg arról, hogy befejezte a több-bérlős HDS-fürt beállítását a szükséges számú csomóponttal.

1	Jelentkezzen be ide: https://admin.webex.com.
2	A képernyő bal oldalán található menüből válassza a Szolgáltatásoklehetőséget.
3	A Felhőszolgáltatások részben keresse meg a hibrid adatbiztonsági szolgáltatást, majd kattintson a Beállítások szerkesztése lehetőségre.
4	Kattintson a HDS aktiválása lehetőségre a HDS állapot kártyán.

Bérlő szervezetek hozzáadása a Partner Hubban

Ebben a feladatban ügyfélszervezeteket rendel hozzá a hibrid adatbiztonsági szolgáltatás-fürthöz.

1	Jelentkezzen be ide: https://admin.webex.com.
2	A képernyő bal oldalán található menüből válassza a Szolgáltatásoklehetőséget.
3	A Felhőszolgáltatások részben keresse meg a hibrid adatbiztonsági szolgáltatást, majd kattintson az Összes megtekintése gombra.
4	Kattintson arra a fürtre, amelyhez ügyfelet szeretne hozzárendelni.
5	Lépjen a Hozzárendelt ügyfelek lapra.
6	Kattintson az Ügyfelek hozzáadása lehetőségre.
7	A legördülő menüből válassza ki a hozzáadni kívánt ügyfelet.
8	Kattintson a Hozzáadás lehetőségre, az ügyfél hozzá lesz adva a fürthöz.
9	Ismételje meg a 6–8. lépéseket több ügyfél hozzáadásához a fürthöz.
10	Kattintson a Kész gombra a képernyő alján, miután hozzáadta az ügyfeleket.

Mi a következő teendő

A beállítási folyamat befejezéséhez futtassa a HDS-telepítőeszközt az Ügyfél fő kulcsainak (CMK-k) létrehozása a HDS-telepítőeszköz használatával című részben részletezett módon.

Ügyfél fő kulcsainak (CMK-k) létrehozása a HDS-beállító eszköz használatával

Mielőtt elkezdené

Rendelje hozzá az ügyfeleket a megfelelő fürthöz a Bérlői szervezetek hozzáadása a Partnerközpontban című részben részletezett módon. Futtassa a HDS telepítőeszközt, hogy befejezze az újonnan hozzáadott ügyfélszervezetek beállítási folyamatát.

A HDS Setup eszköz Docker konténerként fut egy helyi gépen. Ha hozzá akarsz férni, futtasd a Dockert azon a gépen. A beállítási folyamat megköveteli a szervezet számára teljes rendszergazdai jogosultságokkal rendelkező Partner Hub-fiók hitelesítő adatait.

Ha a HDS-beállító eszköz a környezetben proxy mögött fut, az 5. lépésben adja meg a proxybeállításokat (kiszolgáló, port, hitelesítő adatokat) a Docker környezeti változókon keresztül. Ez a táblázat néhány lehetséges környezeti változót tartalmaz:

Leírás	Változó
Http-proxy hitelesítés nélkül	`GLOBÁLIS_ÜGYNÖK_HTTP_PROXY=HTTP://KISZOLGÁLÓ_IP:PORT`
HTTPS-proxy hitelesítés nélkül	`GLOBÁLIS_ÜGYNÖK_HTTPS_PROXY=http://KISZOLGÁLÓ_IP:PORT`
Http-proxy hitelesítéssel	`GLOBÁLIS_ÜGYNÖK_HTTP_PROXY=http://felhasználónév:jelszó@kiszolgáló_IP:PORT`
HTTPS-proxy hitelesítéssel	`GLOBÁLIS_ÜGYNÖK_HTTPS_PROXY=http://felhasználónév:jelszó@kiszolgáló_IP:PORT`

A létrehozott konfigurációs ISO fájl tartalmazza a PostgreSQL vagy Microsoft SQL Server adatbázist titkosító mesterkulcsot. Szükség van a fájl legutóbbi másolatára, amikor konfigurációs módosításokat hajt végre, mint például:
- Adatbázis hitelesítő adatai
- Tanúsítványfrissítések
- Az engedélyezési szabályzat változásai
Ha adatbázis-kapcsolatokat szeretne titkosítani, állítsa be a PostgreSQL vagy SQL Server telepítés TLS-hez.

A hibrid adatbiztonsági szolgáltatás beállítási folyamata ISO-fájlt hoz létre. Ezután az ISO-t használja a hibrid adatbiztonsági szolgáltatás-szervező konfigurálásához.

1	A gép parancssorában adja meg a környezetének megfelelő parancsot: Rendszeres környezetben: `docker rmi ciscocitg/hds-setup:stabil` FedRAMP környezetben: `docker rmi ciscocitg/hds-setup-fedramp:stabil` Ezzel a lépéssel törölhetők a HDS telepítőeszköz korábbi képei. Ha nincsenek korábbi képek, akkor olyan hibát ad vissza, amelyet figyelmen kívül hagyhat.
2	A Docker-képtárba való bejelentkezéshez írja be a következőket: `dokkoló bejelentkezés -u hdscustomersro`
3	A jelszókéréskor írja be ezt a hash-t: `dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo`
4	Töltse le a legfrissebb stabil képet a környezetéről: Rendszeres környezetben: `dokkoló húzás ciscocitg/hds-setup:stabil` FedRAMP környezetben: `dokkoló húzás ciscocitg/hds-setup-fedramp:stabil`
5	Amikor a húzás befejeződött, adja meg a környezetének megfelelő parancsot: Rendszeres környezetben, proxy nélkül: `dokkoló futtatása -p 8080:8080 --rm -it ciscocitg/hds-setup:stable` Http proxyval rendelkező normál környezetben: `docker run -p 8080:8080 --rm -it-e GLOBAL_AGENT_HTTP_PROXY=http://SERVER IP:PORT_ ciscocitg/hds-setup:stable` Normál környezetben HTTPS proxyval: `docker run -p 8080:8080 --rm -it-e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER IP:PORT_ ciscocitg/hds-setup:stable` FedRAMP környezetben, proxy nélkül: `dokkoló futtatása -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable` Http proxyval rendelkező FedRAMP környezetben: `docker run -p 8080:8080 --rm -it-e GLOBAL_AGENT_HTTP_PROXY=http://SERVER IP:PORT_ ciscocitg/hds-setup-fedramp:stable` FedRAMP környezetben https proxyval: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER IP:PORT_ ciscocitg/hds-setup-fedramp:stable` Amikor a konténer fut, az "Express szerver figyeli a 8080-as portot."
6	A beállítóeszköz nem támogatja a localhost-hoz való csatlakozást a http://localhost:8080-on keresztül. A(z) http://127.0.0.1:8080 használatával kapcsolódhat a localhost-hoz. Webböngészővel lépjen a(z) `http://127.0.0.1:8080` helyszínállomásra, majd adja meg a rendszergazda felhasználónevét a Partner Hubhoz a kérésben. Az eszköz a felhasználónév első bejegyzésével állítja be a fiókhoz tartozó megfelelő környezetet. Az eszköz ezután megjeleníti a normál bejelentkezési üzenetet.
7	Amikor a rendszer kéri, adja meg a Partner Hub rendszergazdájának bejelentkezési hitelesítő adatait, majd kattintson a Bejelentkezés gombra, hogy engedélyezze a hozzáférést a hibrid adatbiztonsági szolgáltatáshoz szükséges szolgáltatásokhoz.
8	A Beállítóeszköz áttekintése oldalon kattintson az Első lépések gombra.
9	Az ISO-importálás oldalon kattintson az Igen gombra.
10	Válassza ki az ISO-fájlt a böngészőben, és töltse fel. A CMK-kezelés végrehajtásához biztosítsa a kapcsolatot az adatbázisával.
11	Menjen a Bérlő CMK kezelése lapra, ahol a bérlő CMK-k kezelésének alábbi három módja található. CMK létrehozása minden ORG számára vagy CMK létrehozása – Kattintson erre a gombra a képernyő tetején látható sávon, ha CMK-t szeretne létrehozni minden újonnan hozzáadott szervezet számára. Kattintson a CMK kezelése gombra a képernyő jobb oldalán, majd kattintson a CMK létrehozása gombra, ha CMK-ket szeretne létrehozni az összes újonnan hozzáadott szervezet számára. Kattintson az adott szervezet CMK-kezelése függőben lévő állapotának közelében a táblázatban, majd kattintson a CMK létrehozása gombra a szervezet CMK létrehozásához.
12	Ha a CMK létrehozása sikeres, a táblázatban szereplő állapot a CMK-kezelés függőben állapotról CMK-kezelés állapotra változik.
13	Ha a CMK létrehozása sikertelen, egy hiba jelenik meg.

Bérlői szervezetek eltávolítása

Mielőtt elkezdené

Az eltávolítás után az ügyfélszervezetek felhasználói nem tudják majd kihasználni a HDS-t a titkosítási igényeikhez, és elveszítik az összes meglévő tárhelyet. Az ügyfélszervezetek eltávolítása előtt kérjük, lépjen kapcsolatba Cisco-partnerével vagy fiókkezelőjével.

1	Jelentkezzen be ide: https://admin.webex.com.
2	A képernyő bal oldalán található menüből válassza a Szolgáltatásoklehetőséget.
3	A Felhőszolgáltatások részben keresse meg a hibrid adatbiztonsági szolgáltatást, majd kattintson az Összes megtekintése gombra.
4	Az Erőforrások lapon kattintson arra a fürtre, amelyről el szeretné távolítani az ügyfélszervezeteket.
5	A megnyíló oldalon kattintson a Hozzárendelt ügyfelek lehetőségre.
6	A megjelenített ügyfélszervezetek listájában kattintson az eltávolítani kívánt ügyfélszervezet jobb oldalán található ... elemre, majd kattintson az Eltávolítás a fürtből lehetőségre.

Mi a következő teendő

Az eltávolítási folyamat befejezéséhez vonja vissza az ügyfélszervezetek CMK-jeit a HDS-ből eltávolított bérlők CMK-jének visszavonása című részben foglaltak szerint.

Vonja vissza a HDS-ből eltávolított bérlők CMK-jeit.

Mielőtt elkezdené

Ügyfelek eltávolítása a megfelelő fürtből a Bérlői szervezetek eltávolítása pontban részletezett módon. Futtassa a HDS-telepítő eszközt az eltávolított ügyfélszervezetek eltávolítási folyamatának befejezéséhez.

A HDS Setup eszköz Docker konténerként fut egy helyi gépen. Ha hozzá akarsz férni, futtasd a Dockert azon a gépen. A beállítási folyamat megköveteli a szervezet számára teljes rendszergazdai jogosultságokkal rendelkező Partner Hub-fiók hitelesítő adatait.

Ha a HDS-beállító eszköz a környezetben proxy mögött fut, az 5. lépésben adja meg a proxybeállításokat (kiszolgáló, port, hitelesítő adatokat) a Docker környezeti változókon keresztül. Ez a táblázat néhány lehetséges környezeti változót tartalmaz:

Leírás	Változó
Http-proxy hitelesítés nélkül	`GLOBÁLIS_ÜGYNÖK_HTTP_PROXY=HTTP://KISZOLGÁLÓ_IP:PORT`
HTTPS-proxy hitelesítés nélkül	`GLOBÁLIS_ÜGYNÖK_HTTPS_PROXY=http://KISZOLGÁLÓ_IP:PORT`
Http-proxy hitelesítéssel	`GLOBÁLIS_ÜGYNÖK_HTTP_PROXY=http://felhasználónév:jelszó@kiszolgáló_IP:PORT`
HTTPS-proxy hitelesítéssel	`GLOBÁLIS_ÜGYNÖK_HTTPS_PROXY=http://felhasználónév:jelszó@kiszolgáló_IP:PORT`

A létrehozott konfigurációs ISO fájl tartalmazza a PostgreSQL vagy Microsoft SQL Server adatbázist titkosító mesterkulcsot. Szükség van a fájl legutóbbi másolatára, amikor konfigurációs módosításokat hajt végre, mint például:
- Adatbázis hitelesítő adatai
- Tanúsítványfrissítések
- Az engedélyezési szabályzat változásai
Ha adatbázis-kapcsolatokat szeretne titkosítani, állítsa be a PostgreSQL vagy SQL Server telepítés TLS-hez.

A hibrid adatbiztonsági szolgáltatás beállítási folyamata ISO-fájlt hoz létre. Ezután az ISO-t használja a hibrid adatbiztonsági szolgáltatás-szervező konfigurálásához.

1	A gép parancssorában adja meg a környezetének megfelelő parancsot: Rendszeres környezetben: `docker rmi ciscocitg/hds-setup:stabil` FedRAMP környezetben: `docker rmi ciscocitg/hds-setup-fedramp:stabil` Ezzel a lépéssel törölhetők a HDS telepítőeszköz korábbi képei. Ha nincsenek korábbi képek, akkor olyan hibát ad vissza, amelyet figyelmen kívül hagyhat.
2	A Docker-képtárba való bejelentkezéshez írja be a következőket: `dokkoló bejelentkezés -u hdscustomersro`
3	A jelszókéréskor írja be ezt a hash-t: `dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo`
4	Töltse le a legfrissebb stabil képet a környezetéről: Rendszeres környezetben: `dokkoló húzás ciscocitg/hds-setup:stabil` FedRAMP környezetben: `dokkoló húzás ciscocitg/hds-setup-fedramp:stabil`
5	Amikor a húzás befejeződött, adja meg a környezetének megfelelő parancsot: Rendszeres környezetben, proxy nélkül: `dokkoló futtatása -p 8080:8080 --rm -it ciscocitg/hds-setup:stable` Http proxyval rendelkező normál környezetben: `docker run -p 8080:8080 --rm -it-e GLOBAL_AGENT_HTTP_PROXY=http://SERVER IP:PORT_ ciscocitg/hds-setup:stable` Normál környezetben HTTPS proxyval: `docker run -p 8080:8080 --rm -it-e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER IP:PORT_ ciscocitg/hds-setup:stable` FedRAMP környezetben, proxy nélkül: `dokkoló futtatása -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable` Http proxyval rendelkező FedRAMP környezetben: `docker run -p 8080:8080 --rm -it-e GLOBAL_AGENT_HTTP_PROXY=http://SERVER IP:PORT_ ciscocitg/hds-setup-fedramp:stable` FedRAMP környezetben https proxyval: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER IP:PORT_ ciscocitg/hds-setup-fedramp:stable` Amikor a konténer fut, az "Express szerver figyeli a 8080-as portot."
6	A beállítóeszköz nem támogatja a localhost-hoz való csatlakozást a http://localhost:8080-on keresztül. A(z) http://127.0.0.1:8080 használatával kapcsolódhat a localhost-hoz. Webböngészővel lépjen a(z) `http://127.0.0.1:8080` helyszínállomásra, majd adja meg a rendszergazda felhasználónevét a Partner Hubhoz a kérésben. Az eszköz a felhasználónév első bejegyzésével állítja be a fiókhoz tartozó megfelelő környezetet. Az eszköz ezután megjeleníti a normál bejelentkezési üzenetet.
7	Amikor a rendszer kéri, adja meg a Partner Hub rendszergazdájának bejelentkezési hitelesítő adatait, majd kattintson a Bejelentkezés gombra, hogy engedélyezze a hozzáférést a hibrid adatbiztonsági szolgáltatáshoz szükséges szolgáltatásokhoz.
8	A Beállítóeszköz áttekintése oldalon kattintson az Első lépések gombra.
9	Az ISO-importálás oldalon kattintson az Igen gombra.
10	Válassza ki az ISO-fájlt a böngészőben, és töltse fel.
11	Menjen a Bérlő CMK kezelése lapra, ahol a bérlő CMK-k kezelésének alábbi három módja található. CMK visszavonása az összes szervezet számára vagy CMK visszavonása – kattintson erre a gombra a képernyő tetején látható szalagon, ha szeretné visszavonni az összes eltávolított szervezet CMK-ját. Kattintson a CMK kezelése gombra a képernyő jobb oldalán, majd kattintson a CMK visszavonása gombra az összes eltávolított szervezet CMK-jének visszavonásához. Kattintson a gombra egy adott szervezet CMK visszavonásához állapot közelében a táblázatban, majd kattintson a CMK visszavonása gombra az adott szervezet CMK visszavonásához.
12	A CMK visszavonása sikeres, az ügyfél szervezete többé nem jelenik meg a táblázatban.
13	Ha a CMK visszavonása sikertelen, egy hiba jelenik meg.

Tesztelje hibrid adatbiztonsági szolgáltatás telepítését

A hibrid adatbiztonsági szolgáltatás telepítésének tesztelése

Ezzel az eljárással tesztelheti a több-bérlős hibrid adatbiztonsági titkosítási forgatókönyveket.

Mielőtt elkezdené

Állítsa be a több-bérlős hibrid adatbiztonsági szolgáltatás üzembe helyezését.
Bizonyosodjon meg arról, hogy rendelkezik-e hozzáféréssel a syslog-hoz, és ellenőrizze, hogy a kulcskérések továbbításra kerülnek-e a többbérlős hibrid adatbiztonsági szolgáltatás telepítésébe.

1

Az adott szoba kulcsait a szoba létrehozója állítja be. Jelentkezzen be a Webex alkalmazásba az ügyfél szervezetének egyik felhasználójaként, majd hozzon létre egy szobát.

Ha inaktiválja a hibrid adatbiztonsági szolgáltatás telepítését, a felhasználók által létrehozott terekben lévő tartalom többé nem érhető el, miután kicserélték a titkosítási kulcsok kliens által gyorsítótárazott másolatait.

2

Üzenetek küldése az új szobába.

3

Ellenőrizze a syslog kimenetet, és ellenőrizze, hogy a kulcskérések eljutnak-e a hibrid adatbiztonsági szolgáltatáshoz.

Ha ellenőrizni szeretné, hogy egy felhasználó először létrehoz-e biztonságos csatornát a KMS-hez, szűrőt a következő helyeken: kms.data.method=create és kms.data.type=EPHEMERAL_KEY_COLLECTION:

Meg kell találni egy bejegyzést, mint például a következő (az azonosítók rövidítve olvashatóság):

2020-07-21 17:35:34.562 (+0000) INFO KMS [pool-14-thread-1] - [KMS:REQUEST] fogadva, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.host=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

Ha ellenőrizni szeretné, hogy egy felhasználó kér-e meglévő kulcsot a KMS-ből, szűrőt a kms.data.method=retrieve és a kms.data.type=KEY oldalon:

Olyan bejegyzést kell találnia, mint:

2020-07-21 17:44:19.889 (+0000) INFO KMS [pool-14-thread-31] - [KMS:REQUEST] fogadva, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

Egy új KMS-kulcs létrehozását kérő felhasználó megkereséséhez szűrje a kms.data.method=create és a kms.data.type=KEY_COLLECTION elemekre:

Olyan bejegyzést kell találnia, mint:

2020-07-21 17:44:21.975 (+0000) INFO KMS [pool-14-thread-33] - [KMS:REQUEST] fogadva, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

Ha ellenőrizni szeretné, hogy egy felhasználó új KMS-erőforrásobjektum (KRO) létrehozását kéri-e egy tér vagy más védett erőforrás létrehozásakor, a szűrőt a kms.data.method=create és a kms.data.type=RESOURCE_COLLECTION elemekre:

Olyan bejegyzést kell találnia, mint:

2020-07-21 17:44:22.808 (+0000) INFO KMS [pool-15-thread-1] - [KMS:REQUEST] fogadva, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

Hibrid adatbiztonsági szolgáltatás állapotának megfigyelése

A Partner Hubon belül egy állapotjelző mutatja, hogy minden rendben van-e a több-bérlős hibrid adatbiztonsági szolgáltatás telepítésével. A proaktívabb riasztáshoz regisztráljon az e-mail-értesítésekre. Értesítést kap, ha szolgáltatást befolyásoló riasztások vagy szoftverfrissítések érkeznek.

1	A Partnerközpontban válassza a Szolgáltatások lehetőséget a képernyő bal oldalán található menüből.
2	A Felhőszolgáltatások részben keresse meg a hibrid adatbiztonsági szolgáltatást, majd kattintson a Beállítások szerkesztése lehetőségre. Megjelenik a Hibrid adatbiztonsági beállítások oldal.
3	Az E-mail-értesítések szakaszban adjon meg egy vagy több e-mail-címet vesszővel elválasztva, majd nyomja meg az Enter billentyűt.

HDS-telepítés kezelése

Az itt ismertetett feladatokat a hibrid adatbiztonsági szolgáltatás telepítésének kezeléséhez használja.

Fürtverziófrissítési ütemezés beállítása

A hibrid adatbiztonságra vonatkozó szoftverfrissítések a fürt szintjén automatikusan végrehajtásra kerülnek, ami biztosítja, hogy minden csomópont mindig ugyanazt a szoftververziót használja. A frissítések a fürt frissítési ütemezése szerint zajlanak. Amikor egy szoftverfrissítés elérhetővé válik, lehetősége van arra, hogy a beütemezett frissítési idő előtt manuálisan frissítse a fürtöt. Beállíthat egy konkrét frissítési ütemezést, vagy használhatja az alapértelmezett 3:00-as ütemezést: Amerika/Los Angeles. Szükség esetén elhalaszthatja a soron következő verziófrissítést is.

A verziófrissítési ütemezés beállítása:

1	Jelentkezzen be a Partnerközpontba.
2	A képernyő bal oldalán található menüből válassza a Szolgáltatásoklehetőséget.
3	A Felhőszolgáltatások részben keresse meg a hibrid adatbiztonsági szolgáltatást, majd kattintson a Beállítás gombra
4	A Hibrid adatbiztonsági erőforrások oldalon válassza ki a fürtöt.
5	Kattintson a Fürtbeállítások fülre.
6	A Fürtbeállítások oldalon a Verziófrissítési ütemezés alatt válassza ki a verziófrissítési ütemezéshez tartozó időt és időzónát. Megjegyzés: Az időzóna alatt a következő elérhető verziófrissítés dátuma és ideje jelenik meg. Ha szükséges, a Halasztás 24 órával opcióra kattintva elhalaszthatja a frissítést a következő napra.

A csomópont konfigurációjának módosítása

Előfordulhat, hogy időnként módosítania kell a hibrid adatbiztonsági csomópont konfigurációját olyan okok miatt, mint például:

Az x.509 tanúsítványok módosítása lejárati vagy egyéb okok miatt.

Nem támogatjuk a tanúsítvány CN domain nevének megváltoztatását. A domainnek egyeznie kell a fürt regisztrálásához használt eredeti domainnel.
Adatbázis-beállítások frissítése a PostgreSQL vagy a Microsoft SQL Server adatbázis kópiájára való váltáshoz.

Nem támogatjuk az adatok áttelepítését PostgreSQL-ről Microsoft SQL Server-re, vagy fordítva. Az adatbázis-környezet megváltoztatásához indítsa el a Hybrid Data Security új telepítését.
Új konfiguráció létrehozása új adatközpont előkészítéséhez.

Biztonsági okokból a Hybrid Data Security kilenc hónapos élettartamú szolgáltatási fiókjelszavakat is használ. Miután a HDS telepítőeszköz létrehozza ezeket a jelszavakat, az ISO konfigurációs fájlban minden HDS-csomópontra telepíti őket. Amikor a szervezet jelszavai a lejárathoz közelednek, értesítést kap a Webex csapatától a gépfiók jelszavának visszaállításáról. (Az e-mail tartalmazza a szöveget: "Használja a gép fiók API frissíteni a jelszót.") Ha jelszavai még nem jártak le, az eszköz két lehetőséget kínál:

Soft reset – A régi és az új jelszó egyaránt legfeljebb 10 napig használható. Használja ezt az időszakot a csomópontok ISO-fájljának fokozatos cseréjére.
Kemény alaphelyzetbe állítás – A régi jelszavak azonnal leállnak.

Ha jelszavai alaphelyzetbe állítás nélkül járnak le, az hatással van a HDS-szolgáltatásra, és az összes csomóponton az ISO-fájl azonnali hardveres alaphelyzetbe állítását és cseréjét igényli.

Használja ezt az eljárást egy új konfigurációs ISO-fájl létrehozásához és alkalmazásához a fürtön.

Mielőtt elkezdené

A HDS Setup eszköz Docker konténerként fut egy helyi gépen. Ha hozzá akarsz férni, futtasd a Dockert azon a gépen. A beállítási folyamat megköveteli a partner teljes körű rendszergazdai jogosultságokkal rendelkező Partner Hub-fiók hitelesítő adatait.

Ha a HDS-beállító eszköz a környezetben proxy mögött fut, adja meg a proxybeállításokat (kiszolgáló, port, hitelesítő adatokat) a Docker környezeti változókon keresztül, amikor a Docker tárolót az 1.e-ben helyezi üzembe. Ez a táblázat néhány lehetséges környezeti változót tartalmaz:

Leírás	Változó
Http-proxy hitelesítés nélkül	`GLOBÁLIS_ÜGYNÖK_HTTP_PROXY=HTTP://KISZOLGÁLÓ_IP:PORT`
HTTPS-proxy hitelesítés nélkül	`GLOBÁLIS_ÜGYNÖK_HTTPS_PROXY=http://KISZOLGÁLÓ_IP:PORT`
Http-proxy hitelesítéssel	`GLOBÁLIS_ÜGYNÖK_HTTP_PROXY=http://felhasználónév:jelszó@kiszolgáló_IP:PORT`
HTTPS-proxy hitelesítéssel	`GLOBÁLIS_ÜGYNÖK_HTTPS_PROXY=http://felhasználónév:jelszó@kiszolgáló_IP:PORT`

Új konfiguráció létrehozásához az aktuális konfigurációs ISO-fájl másolata szükséges. Az ISO tartalmazza a PostgreSQL vagy Microsoft SQL Server adatbázist titkosító mesterkulcsot. Konfiguráció-módosításkor, beleértve az adatbázis-hitelesítő adatokat, a tanúsítványok frissítését vagy az engedélyezési irányelv módosítását, ISO-szabványra van szüksége.

1	A Docker helyi gépen történő használata esetén futtassa a HDS Setup Tool alkalmazást. A gép parancssorában adja meg a környezetének megfelelő parancsot: Rendszeres környezetben: `docker rmi ciscocitg/hds-setup:stabil` FedRAMP környezetben: `docker rmi ciscocitg/hds-setup-fedramp:stabil` Ezzel a lépéssel törölhetők a HDS telepítőeszköz korábbi képei. Ha nincsenek korábbi képek, akkor olyan hibát ad vissza, amelyet figyelmen kívül hagyhat. A Docker-képtárba való bejelentkezéshez írja be a következőket: `dokkoló bejelentkezés -u hdscustomersro` A jelszókéréskor írja be ezt a hash-t: `dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo` Töltse le a legfrissebb stabil képet a környezetéről: Rendszeres környezetben: `dokkoló húzás ciscocitg/hds-setup:stabil` FedRAMP környezetben: `dokkoló húzás ciscocitg/hds-setup-fedramp:stabil` Győződjön meg róla, hogy az eljáráshoz a legújabb telepítőeszközt választotta. Az eszköz 2018. február 22. előtt létrehozott verziói nem rendelkeznek jelszó-visszaállító képernyővel. Amikor a húzás befejeződött, adja meg a környezetének megfelelő parancsot: Rendszeres környezetben, proxy nélkül: `dokkoló futtatása -p 8080:8080 --rm -it ciscocitg/hds-setup:stable` Http proxyval rendelkező normál környezetben: `docker run -p 8080:8080 --rm -it-e GLOBAL_AGENT_HTTP_PROXY=http://SERVER IP:PORT_ ciscocitg/hds-setup:stable` Rendszeres környezetben, HTTPSproxyval: `docker run -p 8080:8080 --rm -it-e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER IP:PORT_ ciscocitg/hds-setup:stable` FedRAMP környezetben, proxy nélkül: `dokkoló futtatása -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable` Http proxyval rendelkező FedRAMP környezetben: `docker run -p 8080:8080 --rm -it-e GLOBAL_AGENT_HTTP_PROXY=http://SERVER IP:PORT_ ciscocitg/hds-setup-fedramp:stable` FedRAMP környezetben https proxyval: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER IP:PORT_ ciscocitg/hds-setup-fedramp:stable` Amikor a tároló fut, megjelenik az "Express szerver hallgat a 8080-as porton". Használjon böngészőt a localhosthoz való `http://127.0.0.1:8080`csatlakozáshoz. A beállítóeszköz nem támogatja a localhost-hoz való csatlakozást a http://localhost:8080-on keresztül. A(z) http://127.0.0.1:8080 használatával kapcsolódhat a localhost-hoz. Amikor a rendszer kéri, adja meg a Partner Hub ügyfél bejelentkezési hitelesítő adatait, majd kattintson az Elfogadás gombra a folytatáshoz. Importálja az aktuális konfigurációs ISO-fájlt. Kövesse a figyelmeztetéseket az eszköz befejezéséhez és a frissített fájl letöltéséhez. A beállítóeszköz leállításához gépelje be a `CTRL+C` billentyűkombinációt. Készítsen biztonsági másolatot a frissített fájlról egy másik adatközpontban.
2	Ha csak egy HDS-csomópont fut, hozzon létre egy új hibrid adatbiztonsági szolgáltatás-csomópontot, és regisztrálja azt az új konfigurációs ISO-fájl használatával. Részletes útmutatásért lásd: További csomópontok létrehozása és regisztrálása. Telepítse a HDS GAZDAPETEFÉSZKET. A HDS VM beállítása. Csatolja a frissített konfigurációs fájlt. Regisztrálja az új csomópontot a Partnerközpontban.
3	A régebbi konfigurációs fájlt futtató HDS-csomópontok esetében csatlakoztassa az ISO-fájlt. Végezze el a következő eljárást minden csomóponton, majd frissítse az egyes csomópontokat, mielőtt kikapcsolná a következő csomópontot: Kapcsolja ki a virtuális gépet. A VMware vSphere kliens bal oldali navigációs ablakában kattintson jobb gombbal a VM-re, majd kattintson a Beállítások szerkesztése lehetőségre. Kattintson `a CD/DVD Drive 1`elemre, válassza ki az ISO-fájlból való csatlakoztatás lehetőségét, és keresse meg azt a helyet, ahol letöltötte az új konfigurációs ISO-fájlt. Bekapcsoláskor ellenőrizze a csatlakoztatást. Mentsd el a módosításokat és az energiát a virtuális gépen.
4	Ismételje meg a 3. lépést a konfiguráció cseréjéhez a régi konfigurációt futtató minden megmaradt csomóponton.

A blokkolt külső DNS-feloldási mód kikapcsolása

Amikor regisztrál egy csomópontot, vagy ellenőrzi a csomópont proxykonfigurációját, a folyamat teszteli a DNS-ellenőrzést és a Cisco Webex felhővel való kapcsolatot. Ha a csomópont DNS-kiszolgálója nem tudja feloldani a nyilvános DNS-neveket, a csomópont automatikusan blokkolt külső DNS-feloldási módba lép.

Ha a csomópontok képesek feloldani a nyilvános DNS-neveket a belső DNS-kiszolgálókon keresztül, kikapcsolhatja ezt a módot az egyes csomópontok proxykapcsolati tesztjének újrafuttatásával.

Mielőtt elkezdené

Győződjön meg arról, hogy a belső DNS-kiszolgálók képesek megoldani a nyilvános DNS-neveket, és hogy a csomópontok képesek kommunikálni velük.

1	Webböngészőben nyissa meg a hibrid adatbiztonsági csomópont felületét (például IP-cím/beállítás https://192.0.2.0/setup), adja meg a csomóponthoz beállított rendszergazdai hitelesítő adatokat, majd kattintson a Bejelentkezésgombra.
2	Lépjen az Áttekintés (az alapértelmezett lap) oldalra. Ha engedélyezve van, a letiltott külső DNS-felbontás igen értékre van állítva.
3	Lépjen a Megbízhatósági áruház és proxy oldalra.
4	Kattintson a Proxykapcsolat ellenőrzéseelemre. Ha olyan üzenet jelenik meg, amely szerint a külső DNS-felbontás nem sikerült, a csomópont nem tudta elérni a DNS-kiszolgálót, és ebben a módban marad. Ellenkező esetben a csomópont újraindítása és az Áttekintés lapra való visszalépés után a blokkolt külső DNS-felbontást nemre kell állítani.

Mi a következő lépés

Ismételje meg a proxykapcsolati tesztet a hibrid adatbiztonsági fürt minden csomópontján.

Csomópont eltávolítása

Ezzel az eljárással eltávolíthat egy hibrid adatbiztonsági szolgáltatás-csomópontot a Webex-felhőből. Miután eltávolította a csomópontot a fürtből, törölje a virtuális gépet, hogy megakadályozza a további hozzáférést a biztonsági adatokhoz.

1

A számítógépén lévő VMware vSphere kliens használatával jelentkezzen be az ESXi virtuális állomásba, és kapcsolja ki a virtuális gépet.

2

Csomópont eltávolítása:

Jelentkezzen be a Partnerközpontba, majd válassza a Szolgáltatásoklehetőséget.
A hibrid adatbiztonsági szolgáltatás kártyán kattintson az Összes megtekintése gombra a hibrid adatbiztonsági erőforrások oldal megjelenítéséhez.
Válassza ki a fürtöt az Áttekintés panel megjelenítéséhez.
Kattintson az eltávolítani kívánt csomópontra.
Kattintson a Csomópont regisztrációjának törlése lehetőségre a jobb oldalon megjelenő panelen
A csomópont regisztrációját úgy is törölheti, hogy rákattint a csomópont jobb oldalára, és kiválasztja a Csomópont eltávolítása lehetőséget.

3

A vSphere kliensben törölje a VM-et. (A bal oldali navigációs panelen kattintson a jobb gombbal a VM-re, majd kattintson a Törlés gombra.)

Ha nem törli a VM-et, ne felejtse el eltávolítani a konfigurációs ISO-fájlt. Az ISO fájl nélkül nem lehet hozzáférni a biztonsági adatokhoz a VM segítségével.

Katasztrófa-helyreállítás a készenléti adatközpont használatával

A hibrid adatbiztonsági szolgáltatás-fürt által nyújtott legkritikusabb szolgáltatás az üzenetek és más tartalmak titkosításához használt kulcsok létrehozása és tárolása a Webex-felhőben. A szervezeten belüli minden olyan felhasználó számára, aki hozzá van rendelve a hibrid adatbiztonsághoz, a rendszer átirányítja az új kulcslétrehozási kérelmeket a fürthöz. A fürt felelős a létrehozott kulcsok visszaküldéséért is bármely, a lekérésre jogosult felhasználónak, például egy beszélgetési szoba tagjainak.

Mivel a fürt a kulcsok biztosításának kritikus funkcióját végzi, elengedhetetlen, hogy a fürt továbbra is fusson, és megfelelő biztonsági mentéseket tartson fenn. A hibrid adatbiztonsági szolgáltatás-adatbázis vagy a sémához használt konfigurációs ISO elvesztése az ügyféltartalom VISSZAFORDÍTHATATLAN ELVESZTÉSÉT eredményezi. Az ilyen veszteség megelőzése érdekében a következő gyakorlatok kötelezőek:

Ha egy katasztrófa miatt a HDS telepítése nem érhető el az elsődleges adatközpontban, kövesse ezt az eljárást a készenléti adatközpontba való manuális feladatátvételhez.

Mielőtt elkezdené

Törölje az összes csomópont regisztrációját a Partner Hubból a Csomópont eltávolítása részben említettek szerint. Az alább említett feladatátvételi eljárás végrehajtásához használja a korábban aktív fürt csomópontjain konfigurált legújabb ISO-fájlt.

1	Indítsa el a HDS telepítőeszközt, és kövesse a Konfigurációs ISO létrehozása a HDS szervezők számára című részben említett lépéseket.
2	Végezze el a konfigurációs folyamatot, és mentse el az ISO fájlt egy könnyen megtalálható helyre.
3	Készítsen biztonsági másolatot az ISO fájlról a helyi rendszerre. Tartsa biztonságban a biztonsági másolatot. Ez a fájl az adatbázis tartalmához tartozó fő titkosítási kulcsot tartalmaz. Korlátozza a hozzáférést csak azokra a hibrid adatbiztonsági szolgáltatás-rendszergazdákra, akiknek konfigurációs módosításokat kell végrehajtaniuk.
4	A VMware vSphere kliens bal oldali navigációs ablakában kattintson jobb gombbal a VM-re, majd kattintson a Beállítások szerkesztése lehetőségre.
5	Kattintson a Beállítások szerkesztése >CD/DVD Drive 1 elemre, és válassza a Datastore ISO-fájl lehetőséget. Győződjön meg arról, hogy a Csatlakoztatva és a Kapcsolódás bekapcsolva be van jelölve, hogy a frissített konfigurációs módosítások a csomópontok elindítása után életbe lépjenek.
6	Kapcsolja be a HDS-csomópontot, és győződjön meg arról, hogy legalább 15 percig nincs riasztás.
7	Regisztrálja a csomópontot a Partnerközpontban. Lásd: A fürt első csomópontjának regisztrálása.
8	Ismételje meg a folyamatot minden csomóponthoz a készenléti adatközpontban.

Mi a következő teendő

A feladatátvétel után, ha az elsődleges adatközpont ismét aktívvá válik, törölje a készenléti adatközpont csomópontjainak regisztrációját, és ismételje meg az ISO konfigurálását és az elsődleges adatközpont csomópontjainak regisztrálását a fent említettek szerint.

(Opcionális) ISO leválasztása a HDS-konfiguráció után

A standard HDS konfiguráció az ISO csatlakozóval fut. Néhány ügyfél azonban nem szeretné, ha az ISO fájlokat folyamatosan csatlakoztatva hagyná. Az ISO fájl leszerelhető, miután az összes HDS-csomópont felvette az új konfigurációt.

A konfiguráció módosításához továbbra is az ISO-fájlokat használja. Amikor új ISO-t hoz létre vagy frissít egy ISO-t a Telepítőeszköz segítségével, a frissített ISO-t minden HDS-csomópontra fel kell szerelnie. Miután az összes csomópont átvette a konfigurációs módosításokat, újra leszerelheti az ISO-t ezzel az eljárással.

Mielőtt elkezdené

Frissítse az összes HDS-csomópontot a 2021.01.22.4720-as vagy újabb verzióra.

1	Állítsa le az egyik HDS-csomópontot.
2	A vCenter Server Appliance-ben válassza ki a HDS csomópontot.
3	Válassza a Beállítások szerkesztése > CD-/DVD-meghajtó lehetőséget, és törölje az ISO-fájl jelölését.
4	Kapcsolja be a HDS-csomópontot, és biztosítsa, hogy legalább 20 percig ne legyen riasztás.
5	Ismételje meg egymás után minden HDS-csomópont esetében.

Hibrid adatbiztonsági szolgáltatás hibaelhárítása

Riasztások és hibaelhárítás megtekintése

A hibrid adatbiztonsági szolgáltatás telepítése nem érhető el, ha a fürtben lévő összes csomópont nem érhető el, vagy a fürt olyan lassan működik, hogy időtúllépést igényel. Ha a felhasználók nem tudják elérni a hibrid adatbiztonsági szolgáltatás-fürtöt, a következő tüneteket tapasztalják:

Nem lehet új szobákat létrehozni (nem lehet új kulcsot létrehozni)
Nem sikerült visszafejteni az üzeneteket és a szobák címeit a következőhöz:
- Új felhasználók hozzáadva egy szobához (nem lehet lekérni a kulcsokat)
- Meglévő felhasználók egy szobában új klienssel (nem lehet lekérni a kulcsokat)
A szobában lévő meglévő felhasználók továbbra is sikeresen futnak, amennyiben az ügyfeleik rendelkeznek a titkosítási kulcsok gyorsítótárával

Fontos, hogy megfelelően figyelje a hibrid adatbiztonsági szolgáltatás-fürtöt, és azonnal kezelje az esetleges riasztásokat, hogy elkerülje a szolgáltatás megszakadását.

Riasztások

Ha probléma van a hibrid adatbiztonsági szolgáltatás beállításával, a Partner Hub riasztásokat jelenít meg a szervezet rendszergazdájának, és e-maileket küld a konfigurált e-mail-címre. A riasztások számos gyakori forgatókönyvet fednek le.

1. táblázat Gyakori problémák és a megoldásukhoz szükséges lépések
Riasztás	Művelet
Helyi adatbázis-hozzáférés sikertelen.	Keressen adatbázishibákat vagy helyi hálózati problémákat.
Nem sikerült csatlakozni a helyi adatbázishoz.	Ellenőrizze, hogy az adatbázis szerver elérhető-e, és a megfelelő szolgáltatásfiók hitelesítő adatokat használták-e a csomópont konfigurációjában.
Sikertelen volt a felhőszolgáltatás-hozzáférés.	Ellenőrizze, hogy a csomópontok hozzáférhetnek-e a Webex kiszolgálókhoz a Külső kapcsolódási követelmények pontban meghatározottak szerint.
A felhőszolgáltatás regisztrációjának megújítása.	A felhőszolgáltatásokba való regisztráció megszakadt. A lajstromozás megújítása folyamatban van.
A felhőszolgáltatás regisztrációja megszakadt.	A felhőszolgáltatásokba való regisztráció leállt. A szolgáltatás leáll.
A szolgáltatás még nincs aktiválva.	Aktiválja a HDS-t a Partnerközpontban.
A konfigurált tartomány nem egyezik a kiszolgáló tanúsítványával.	Győződjön meg arról, hogy a kiszolgálótanúsítvány megegyezik a konfigurált szolgáltatásaktiválási tartománygal. A legvalószínűbb ok az, hogy a CN tanúsítványt nemrégiben módosították, és mostantól különbözik a kezdeti beállítás során használt CN-től.
A felhőszolgáltatásokhoz való hitelesítés sikertelen.	Ellenőrizze a szolgáltatásfiók hitelesítő adatainak pontosságát és esetleges lejáratát.
Nem sikerült megnyitni a helyi kulcstár fájlját.	Ellenőrizze az integritást és a jelszó pontosságát a helyi kulcstárfájlban.
A helyi kiszolgáló tanúsítványa érvénytelen.	Ellenőrizze a kiszolgáló tanúsítványának lejárati dátumát, és erősítse meg, hogy azt egy megbízható hitelesítésszolgáltató állította ki.
Nem lehet mérőszámokat közzétenni.	Ellenőrizze a külső felhőszolgáltatásokhoz való helyi hálózati hozzáférést.
A /media/configdrive/hds könyvtár nem létezik.	Ellenőrizze az ISO rögzítési konfigurációt a virtuális állomáson. Ellenőrizze, hogy az ISO fájl létezik-e, hogy újraindításkor csatlakoztatásra van-e konfigurálva, és hogy sikeresen csatlakozik-e.
A bérlő szervezetének beállítása nem fejeződött be a hozzáadott szervezetek esetében	A beállítást úgy fejezze be, hogy CMK-ket hoz létre az újonnan hozzáadott bérlő szervezetek számára a HDS-telepítőeszköz használatával.
A bérlő szervezeti beállítása az eltávolított szervezetek esetében nem fejeződött be	A telepítést végezze el az olyan bérlő szervezetek CMK-jének visszavonásával, amelyeket a HDS telepítőeszköz használatával távolítottak el.

Hibrid adatbiztonsági szolgáltatás hibaelhárítása

A hibrid adatbiztonsági szolgáltatással kapcsolatos problémák elhárításakor használja a következő általános irányelveket.

1	Ellenőrizze a Partner Hubot az esetleges riasztások miatt, és javítsa ki az ott található elemeket. Bővebb tájékoztatásért lásd az alábbi képet.
2	Ellenőrizze a Hibrid adatbiztonsági szolgáltatás telepítésből származó tevékenységhez tartozó syslog szerver kimenetét. A hibaelhárítás érdekében szűrje az olyan szavakra, mint a „Figyelmeztetés” és a „Hiba”.
3	Forduljon a Cisco ügyfélszolgálatához.

Egyéb megjegyzések

A hibrid adatbiztonsági szolgáltatás ismert problémái

Ha leállítja a hibrid adatbiztonsági szolgáltatás-fürtöt (a Partner Hubban történő törléssel vagy az összes csomópont leállításával), elveszíti a konfigurációs ISO-fájlt, vagy elveszíti a kulcsrakész-adatbázishoz való hozzáférést, az ügyfélszervezetek Webex alkalmazás felhasználói többé nem használhatják a KMS-ből kulcsokkal létrehozott Személyek listában szereplő szobákat. Jelenleg nem rendelkezünk megoldással vagy megoldással ehhez a problémához, és arra kérjük, hogy ne állítsa le a HDS-szolgáltatásait, miután azok aktív felhasználói fiókokat kezelnek.
Az az ügyfél, amely meglévő ECDH-kapcsolattal rendelkezik egy KMS-sel, egy ideig (valószínűleg egy órán keresztül) tartja fenn a kapcsolatot.

OpenSSL használata PKCS12 fájl létrehozásához

Mielőtt elkezdené

Az OpenSSL egy olyan eszköz, amellyel a PKCS12 fájlt a megfelelő formátumban lehet betölteni a HDS telepítőeszközben. Ennek más módjai is vannak, és nem támogatjuk vagy támogatjuk az egyik módot a másikkal szemben.
Ha az OpenSSL használatát választja, útmutatóként biztosítjuk ezt az eljárást, hogy segítsen létrehozni egy olyan fájlt, amely megfelel az X.509 Certificate Requirements (X.509 Certificate Requirements) X.509 tanúsítványkövetelményeinek. Mielőtt folytatná, ismerje meg ezeket a követelményeket.
Telepítse az OpenSSL-t támogatott környezetben. Lásd: https://www.openssl.org a szoftver és a dokumentáció.
Hozzon létre egy privát kulcsot.
Indítsa el ezt az eljárást, amikor megkapja a kiszolgáló tanúsítványt a hitelesítésszolgáltatótól (CA).

1	Amikor megkapja a kiszolgálótanúsítványt a hitelesítésszolgáltatótól, mentse el `hdsnode.pem` formátumban.
2	A tanúsítvány megjelenítése szövegként, és ellenőrizze a részleteket. `openssl x509 - text - noout - in hdsnode.pem`
3	Használjon szövegszerkesztőt egy `hdsnode-bundle.pem` nevű tanúsítványkötegfájl létrehozásához. A csomagfájlnak tartalmaznia kell a kiszolgáló tanúsítványt, a közbenső CA-tanúsítványokat és a legfelső CA-tanúsítványokat az alábbi formátumban: `-----kezdési tanúsítvány----- ### Kiszolgáló tanúsítvány. ### -----befejező tanúsítvány----------------------------------------------------------------------------------------------------------------------- ### Közbenső CA-tanúsítvány. ### -----befejező tanúsítvány----------------------------------------------------------------------------------------------------------------------- ### Legfelső szintű CA-tanúsítvány. ### -----befejező tanúsítvány-----`
4	Hozza létre a .p12 fájlt `kms-private-key` névvel. `openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -név kms-private-key -caname kms-private-key -out hdsnode.p12`
5	Ellenőrizze a kiszolgáló tanúsítványának részleteit. `nyissa meg a pkcs12 -t a hdsnode.p12-ben` Adjon meg egy jelszót a titkos kulcs titkosítására vonatkozó kérésnél, hogy az megjelenjen a kimenetben. Ezután ellenőrizze, hogy a titkos kulcs és az első tanúsítvány tartalmazza-e a `friendlyName vonalakat: kms-private-key`. Példa: bash$ openssl pkcs12 -in hdsnode.p12 Adja meg az importálási jelszót: MAC által ellenőrzött OK táska attribútumok friendlyName: kms-private-key localKeyId: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Kulcsattribútumok: Adja meg a PEM-belépési kifejezést: Ellenőrzés – Adja meg a PEM-belépési kifejezést: -----KEZDJE EL TITKOSÍTOTT TITKOS KULCS----- -----END TITKOSÍTOTT TITKOS KULCS------ Táska attribútumai friendlyName: kms-private-key localKeyId: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 ------BEGIN CERTIFICATE---- -----END CERTIFICATE----- Bag Attributes friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US tárgy=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 kibocsátó=/O=Digital Signature Trust Co./CN=DST legfelső szintű hitelesítésszolgáltató X3 -----BEGIN CERTIFICATE---- -----END CERTIFICATE-----

Mi a következő teendő

Visszatérés a Hibrid adatbiztonsági szolgáltatás előfeltételeinek teljesítése lehetőséghez. A hdsnode.p12 fájlt és a hozzá beállított jelszót fogja használni az ISO-konfiguráció létrehozása a HDS-állomásoknál menüpontban.

Ezeket a fájlokat újra felhasználhatja új tanúsítvány kéréséhez, amikor az eredeti tanúsítvány lejár.

HDS-csomópontok és a felhő közötti forgalom

Kimenő mérőszámok gyűjtésének forgalma

A hibrid adatbiztonsági csomópontok bizonyos mérőszámokat küldenek a Webex felhőbe. Ezek közé tartoznak a heap max, a használt heap, a CPU terhelése és a szálszám rendszermérőszámai; a szinkronizált és aszinkron szálak mérőszámai; a titkosítási kapcsolatok küszöbértékét, a késleltetést vagy a kérés sor hosszát érintő riasztások mérőszámai; az adatkészlet mérőszámai; és a titkosítási kapcsolat mérőszámai. A csomópontok titkosított kulcs anyagot küldenek egy sávon kívüli (a kérelemtől elkülönülő) csatornán keresztül.

Bejövő forgalom

A hibrid adatbiztonsági szolgáltatás-csomópontok a bejövő forgalom alábbi típusait kapják meg a Webex-felhőből:

Az ügyfelektől érkező, a titkosítási szolgáltatás által irányított titkosítási kérések
A csomópont szoftverének frissítései

Squid-proxyk konfigurálása a hibrid adatbiztonsághoz

A Websocket nem tud tintahal-proxyn keresztül csatlakozni

A HTTPS-forgalmat ellenőrző Squid-proxyk zavarhatják a websocket (wss:) kapcsolatok létrehozását, amelyeket a Hibrid adatbiztonsági szolgáltatás igényel. Ezek a szakaszok útmutatást nyújtanak arról, hogyan konfigurálhatja a Squid különböző verzióit a wss figyelmen kívül hagyásához: a szolgáltatások megfelelő működéséhez szükséges forgalom.

Tintahal 4 és 5

Adja hozzá az on_unsupported_protocol irányelvet a squid.conf fájlhoz:

on_unsupported_protocol az alagút

Tintahal 3.5.27

Sikeresen teszteltük a hibrid adatbiztonságot a következő szabályokkal, amelyek hozzáadva vannak a squid.conf.conf-hez. Ezek a szabályok változhatnak a funkciók fejlesztése és a Webex felhő frissítése során.

acl wssMercuryConnection ssl::server_name_regex Mercury-kapcsolat ssl_bump splice wssMercuryConnection acl step1 at_step SslBump1 acl step2 at_step SslBump2 acl step3 at_step SslBump3 ssl_bump peek step1 all ssl_bump stare step2 all ssl_bump bump step3 all

Új és módosított információk

Ez a táblázat ismerteti az új funkciókat vagy funkciókat, a meglévő tartalom módosításait, valamint a Több-bérlős hibrid adatbiztonsági szolgáltatás üzembehelyezési útmutatójában kijavított főbb hibákat.

Dátum	Módosítások
2025. január 30.	2022-es SQL server-verzió hozzáadva a támogatott SQL-kiszolgálók listájához az Adatbázis-kiszolgáló követelményei részben.
2025. január 15.	A több-bérlős hibrid adatbiztonsági szolgáltatás korlátai hozzáadva.
2025. január 8.	Hozzáadtunk egy megjegyzést a Kezdeti beállítási és telepítési fájlok letöltése részben, amely kimondja, hogy a Beállítás elemre kattintva a Partner Hubban a HDS-kártyán, a telepítési folyamat fontos lépése.
2025. január 7.	Frissült a Virtuális szervezőre vonatkozó követelmények, a Hibrid adatbiztonsági szolgáltatás telepítési feladatfolyama, és a HDS Host OVA telepítése az ESXi 7.0 új követelményének megjelenítéséhez.
2024. december 13.	Először megjelent.

Több-bérlős hibrid adatbiztonsági szolgáltatás inaktiválása

Több-bérlős HDS-deaktiválási feladatfolyamat

Kövesse az alábbi lépéseket a több-bérlős HDS teljes kikapcsolásához.

Mielőtt elkezdené

Ezt a feladatot csak teljes jogú partnerrendszergazda végezheti el.

1	Távolítsa el az összes ügyfelet az összes fürtből, a Bérlői szervezetek eltávolítása részben említettek szerint.
2	Vonja vissza az összes ügyfél CMK-jét, a HDS-ből eltávolított bérlők CMK-jének visszavonása című részben említettek szerint.
3	Távolítsa el az összes csomópontot az összes fürtből, a Csomópont eltávolítása részben említettek szerint.
4	Törölje az összes fürtöt a Partnerközpontból a következő két módszer valamelyikével. Kattintson a törölni kívánt fürtre, majd az áttekintés oldal jobb felső sarkában válassza a Fürt törlése lehetőséget. Az Erőforrások oldalon kattintson a fürt jobb oldalán, és válassza a Fürt eltávolításalehetőséget.
5	Kattintson a Beállítások fülre a hibrid adatbiztonsági szolgáltatás áttekintő oldalán, majd kattintson a HDS inaktiválása gombra a HDS-állapotkártyán.

Első lépések a több-bérlős hibrid adatbiztonsági szolgáltatással

Több-bérlős hibrid adatbiztonsági szolgáltatás áttekintése

A Webex alkalmazás tervezésekor az első naptól kezdve az adatbiztonság volt az elsődleges hangsúly. A biztonság sarokköve a tartalom végpontok közötti titkosítása, amelyet a Key Management Service (KMS) szolgáltatással együttműködő Webex alkalmazás ügyfelei engedélyeznek. A KMS felelős az üzenetek és fájlok dinamikus titkosítására és visszafejtésére használt kriptográfiai kulcsok létrehozásáért és kezeléséért.

Alapértelmezés szerint a Webex alkalmazás összes ügyfele a felhőalapú KMS-ben, a Cisco biztonsági tartományában tárolt dinamikus kulcsokkal kap végpontok közötti titkosítást. A Hybrid Data Security a KMS-T és más, biztonsággal kapcsolatos funkciókat a vállalati adatközpontba helyezi át, így csak Ön rendelkezik a titkosított tartalom kulcsaival.

A több bérlős hibrid adatbiztonsági szolgáltatás lehetővé teszi a szervezetek számára a HDS kihasználását egy megbízható helyi partneren keresztül, aki szolgáltatóként tevékenykedhet, és kezelheti a helyszíni titkosítást és egyéb biztonsági szolgáltatásokat. Ez a beállítás lehetővé teszi a partnerszervezet számára, hogy teljes ellenőrzést gyakoroljon a titkosítási kulcsok telepítése és kezelése felett, valamint biztosítja az ügyfélszervezetek felhasználói adatainak külső hozzáféréstől való biztonságát. A partnerszervezetek szükség szerint HDS-példányokat állíthatnak be, és HDS-fürtöket hozhatnak létre. Minden egyes példány több ügyfélszervezetet is támogathat, ellentétben a rendszeres HDS-telepítéssel, amely egyetlen szervezetre korlátozódik.

Bár a partnerszervezetek felügyelik a telepítést és a kezelést, nem férnek hozzá az ügyfelek által generált adatokhoz és tartalmakhoz. Ez a hozzáférés az ügyfélszervezetekre és azok felhasználóira korlátozódik.

Ez lehetővé teszi a kisebb szervezetek számára, hogy kihasználják a HDS-t, mivel a kulcskezelési szolgáltatás és a biztonsági infrastruktúra, például az adatközpontok a megbízható helyi partner tulajdonában vannak.

Hogyan biztosítja a több-bérlős hibrid adatbiztonság az adatszuverenitást és adatvezérlést?

A felhasználók által létrehozott tartalmak védve vannak a külső hozzáféréstől, például a felhőszolgáltatóktól.
A helyi megbízható partnerek kezelik azoknak az ügyfeleknek a titkosítási kulcsait, akikkel már kialakult kapcsolatuk.
Helyi műszaki támogatási lehetőség, ha azt a partner biztosítja.
Támogatja az értekezleteket, az üzenetküldést és a hívást.

Ez a dokumentum célja, hogy segítse a partnerszervezeteket az ügyfelek létrehozásában és kezelésében egy több-bérlős hibrid adatbiztonsági rendszer keretében.

A több-bérlős hibrid adatbiztonsági szolgáltatás korlátai

A partnerszervezetek nem rendelkezhetnek aktív meglévő HDS-telepítéssel a Control Hubban.
A partner által kezelni kívánt bérlői vagy ügyfélszervezetek nem rendelkezhetnek meglévő HDS-telepítéssel a Control Hubban.
Miután a partner bevezette a több-bérlős HDS-t, az ügyfélszervezetek összes felhasználója, valamint a partnerszervezet felhasználói elkezdik kihasználni a több-bérlős HDS-t a titkosítási szolgáltatásaikhoz.

Az általuk kezelt partnerszervezet és ügyfélszervezetek ugyanazon a több-bérlős HDS-telepítésen fognak részt venni.

A partnerszervezet a továbbiakban nem fogja használni a felhőalapú KMS-t a több-bérlős HDS telepítése után.
HDS-telepítés után nincs mechanizmus a kulcsok felhőalapú KMS-be való visszahelyezésére.
Jelenleg minden több-bérlős HDS telepítésnek csak egy fürtje lehet, és az alatt több csomópont is lehet.
A rendszergazdai szerepköröknek vannak bizonyos korlátai; a részleteket lásd az alábbi szakaszban.

Szerepkörök a többbérlős hibrid adatbiztonsági szolgáltatásban

Partner teljes jogú rendszergazdája – a partner által kezelt összes ügyfél beállításait kezelheti. A szervezetben már meglévő felhasználókhoz rendszergazdai szerepköröket is hozzárendelhet, és kijelölhet bizonyos ügyfeleket, akiket a partner rendszergazdái kezelhetnek.
Partnerrendszergazda – Kezelheti a rendszergazda által biztosított vagy a felhasználóhoz rendelt ügyfelek beállításait.
Teljes jogú rendszergazda – A partnerszervezet olyan rendszergazdája, aki jogosult olyan feladatok elvégzésére, mint például a szervezeti beállítások módosítása, a licencek kezelése és szerepkörök hozzárendelése.

Végponttól végpontig több-bérlős HDS beállítása és kezelése az összes ügyfélszervezet esetében – Partneri rendszergazdai és teljes körű rendszergazdai jogok szükségesek.
Hozzárendelt bérlő szervezetek kezelése – Partnerrendszergazdai és teljes körű rendszergazdai jogok szükségesek.

Biztonsági tartomány architektúrája

A Webex felhőarchitektúra a különböző típusú szolgáltatásokat külön tartományokra vagy megbízható tartományokra osztja szét, az alábbiakban bemutatottak szerint.

A hibrid adatbiztonság további megértéséhez először tekintsük meg ezt a tiszta felhőalapú esetet, amelyben a Cisco a felhőbirodalmában minden funkciót biztosít. Az identitásszolgáltatás, az egyetlen hely, ahol a felhasználók közvetlenül korrelálhatók személyes adataikkal, például az e-mail-címükkel, logikusan és fizikailag elkülönül a B adatközpont biztonsági tartományától. Mindkettő viszont elkülönül attól a tartománytól, ahol a titkosított tartalmat végül tárolják, a C adatközpontban.

Ezen az ábrán az ügyfél a felhasználó laptopján futó Webex alkalmazás, és az azonosítási szolgáltatással van hitelesítve. Amikor a felhasználó egy szobába küldendő üzenetet állít össze, a következő lépések történnek:

Az ügyfél biztonságos kapcsolatot létesít a kulcskezelési szolgáltatással (KMS), majd egy kulcsot kér az üzenet titkosításához. A biztonságos kapcsolat ECDH-t használ, a KMS pedig AES-256 mesterkulccsal titkosítja a kulcsot.
Az üzenet titkosítva van, mielőtt elhagyja a klienst. Az ügyfél elküldi azt az indexelő szolgáltatásnak, amely titkosított keresési indexeket hoz létre, hogy segítse a jövőbeli tartalmi kereséseket.
A titkosított üzenetet a rendszer elküldi a megfelelőségi szolgáltatásnak megfelelőségi ellenőrzésre.
A titkosított üzenet a tárhely tartományában tárolódik.

A hibrid adatbiztonsági szolgáltatás telepítésekor a biztonsági tartomány funkcióit (KMS, indexelés és megfelelőség) áthelyezi a helyszíni adatközpontba. A Webexet alkotó egyéb felhőszolgáltatások (beleértve az identitást és a tartalomtárolást) a Cisco birodalmában maradnak.

Együttműködés más szervezetekkel

A szervezetéhez tartozó felhasználók rendszeresen használhatják a Webex alkalmazást, hogy együttműködjenek más szervezetek külső résztvevőivel. Amikor az egyik felhasználó kulcsot kér egy olyan szobához, amely az Ön szervezetének tulajdona (mivel azt az egyik felhasználó hozta létre), a KMS egy ECDH-biztonságos csatornán keresztül elküldi a kulcsot az ügyfélnek. Ha azonban egy másik szervezet tulajdonában van a szoba kulcsa, a KMS egy külön ECDH-csatornán keresztül továbbítja a kérést a Webex felhőbe, hogy megkapja a kulcsot a megfelelő KMS-ből, majd visszaküldi a kulcsot a felhasználónak az eredeti csatornán.

Az „A” szervezeten futó KMS-szolgáltatás x.509 PKI-tanúsítványok használatával ellenőrzi a más szervezetek KMS-eihez való kapcsolatokat. A több-bérlős hibrid adatbiztonsági szolgáltatás telepítéséhez használandó x.509-tanúsítvány létrehozásával kapcsolatos részletekért lásd: Környezet előkészítése .

Elvárások a hibrid adatbiztonsági szolgáltatás telepítésével kapcsolatban

A hibrid adatbiztonsági szolgáltatás telepítéséhez jelentős elkötelezettségre és a titkosítási kulcsok tulajdonosi kockázataira van szükség.

A hibrid adatbiztonsági szolgáltatás telepítéséhez meg kell adnia a következőket:

Biztonságos adatközpont egy olyan országban, amely a Cisco Webex Teams-csomagok támogatott helyszíne.
A Környezet előkészítése részben leírt berendezések, szoftverek és hálózati hozzáférés.

A hibrid adatbiztonsági szolgáltatáshoz létrehozott konfigurációs ISO vagy az Ön által megadott adatbázis teljes elvesztése a kulcsok elvesztését eredményezi. A kulcsvesztés megakadályozza, hogy a felhasználók visszafejtsék a tárhelytartalmakat és egyéb titkosított adatokat a Webex alkalmazásban. Ha ez megtörténik, új telepítést hozhat létre, de csak az új tartalom lesz látható. Az adatokhoz való hozzáférés elvesztésének elkerülése érdekében:

Kezelje az adatbázis és a konfiguráció ISO biztonsági mentését és helyreállítását.
Készüljön fel a gyors katasztrófa-helyreállításra, ha katasztrófa történik, mint például az adatbázis lemezhibája vagy az adatközpont-katasztrófa.

HDS-telepítés után nincs mechanizmus a kulcsok felhőbe való visszahelyezésére.

Magas szintű beállítási folyamat

Ez a dokumentum egy több-bérlős hibrid adatbiztonsági szolgáltatás telepítésének beállításával és kezelésével foglalkozik:

Hibrid adatbiztonsági szolgáltatás beállítása – Ez magában foglalja a szükséges infrastruktúra előkészítését és a hibrid adatbiztonsági szolgáltatás szoftverének telepítését, egy HDS-fürt létrehozását, bérlői szervezetek hozzáadását a fürthöz, valamint az ügyfél fő kulcsainak (CMK-k) kezelését. Ez lehetővé teszi az ügyfélszervezetek minden felhasználója számára, hogy a hibrid adatbiztonsági szolgáltatás-fürtöt használja a biztonsági funkciókhoz.

A beállítási, aktiválási és kezelési szakaszt a következő három fejezet részletesen ismerteti.
A hibrid adatbiztonsági szolgáltatás telepítésének fenntartása – A Webex felhő automatikusan folyamatos frissítéseket biztosít. Az Ön informatikai osztálya első szintű támogatást nyújthat ehhez a telepítéshez, és szükség szerint bevonhatja a Cisco-támogatást. A Partner Hubban használhatja a képernyőn megjelenő értesítéseket, és beállíthat e-mail-alapú riasztásokat.
A gyakori riasztások, hibaelhárítási lépések és ismert problémák megértése – Ha problémába ütközik a hibrid adatbiztonsági szolgáltatás telepítése vagy használata során, az útmutató utolsó fejezete és az Ismert problémák függelék segíthet a probléma meghatározásában és megoldásában.

Hibrid adatbiztonsági szolgáltatás telepítési modellje

A vállalati adatközponton belül a hibrid adatbiztonsági szolgáltatást egyetlen csomópontfürtként telepíti különálló virtuális szervezőkre. A csomópontok biztonságos websocket-eken és biztonságos HTTP-n keresztül kommunikálnak a Webex Clouddal.

A telepítési folyamat során az OVA fájlt biztosítjuk Önnek a virtuális készülékek beállításához az Ön által biztosított VM-eken. A HDS telepítőeszköz segítségével egyéni fürtkonfigurációs ISO-fájlt hozhat létre, amelyet minden csomópontra rögzíthet. A hibrid adatbiztonsági szolgáltatás-fürt a megadott Syslogd-kiszolgálót és PostgreSQL vagy Microsoft SQL Server adatbázist használja. (A Syslogd és az adatbázis-kapcsolat részleteit a HDS telepítőeszközben konfigurálhatja.)

Hibrid adatbiztonsági szolgáltatás telepítési modellje

Egy fürtben minimálisan elérhető csomópontok száma kettő. Fürtönként legalább hármat ajánlunk. A több csomópont biztosítja, hogy a szolgáltatás ne szakadjon meg egy csomóponton végzett szoftverfrissítés vagy egyéb karbantartási tevékenység során. (A Webex-felhő egyszerre csak egy csomópontot frissít.)

A fürtben lévő összes csomópont ugyanahhoz a kulcsadatkészlethez és ugyanahhoz a syslog szerverhez fér hozzá a naplótevékenységhez. Maguk a csomópontok státustalanok, és a kulcskéréseket kerek-robin módon kezelik, a felhő utasításai szerint.

A csomópontok aktiválódnak, amikor regisztrálja őket a Partner Hubban. Ha egy egyedi csomópontot ki szeretne zárni a szolgáltatásból, törölheti a regisztrációját, majd szükség esetén később újra regisztrálhatja.

Készenléti adatközpont a katasztrófa-helyreállításhoz

A telepítés során biztonságos készenléti adatközpontot állít be. Adatközpont-katasztrófa esetén manuálisan meghiúsulhat a telepítés a készenléti adatközpontba.

Az aktív és készenléti adatközpontok adatbázisai szinkronizálva vannak egymással, ami minimalizálja a feladatátvétel elvégzéséhez szükséges időt.

Az aktív hibrid adatbiztonsági szolgáltatás-csomópontoknak mindig ugyanabban az adatközpontban kell lenniük, mint az aktív adatbázis-kiszolgálónak.

Proxy támogatás

A Hibrid adatbiztonság támogatja az explicit, átlátható ellenőrzést és a nem ellenőrző proxykat. Ezeket a proxykat az üzembe helyezéshez kötheti, így biztonságossá teheti és figyelheti a vállalattól a felhőig irányuló forgalmat. A tanúsítványkezeléshez platformfelügyeleti felületet használhat a csomópontokon, és ellenőrizheti a kapcsolat általános állapotát, miután beállította a proxyt a csomópontokon.

A hibrid adatbiztonsági csomópontok a következő proxybeállításokat támogatják:

Nincs proxy – Az alapértelmezett, ha nem használja a Megbízhatósági tároló és proxy konfigurációt a HDS-csomópont beállításához a proxy integrálásához. Nincs szükség tanúsítványfrissítésre.
Átlátszó, nem ellenőrző proxy – A csomópontok nincsenek konfigurálva meghatározott proxykiszolgáló-cím használatára, és nem igényelhetnek módosításokat ahhoz, hogy a nem ellenőrző proxyval működjenek. Nincs szükség tanúsítványfrissítésre.
Átlátszó alagútépítés vagy ellenőrzés proxy – A csomópontok nincsenek konfigurálva konkrét proxykiszolgáló-cím használatára. A csomópontokon nincs szükség HTTP- vagy HTTPS-konfigurációs módosításokra. A csomópontoknak azonban főtanúsítványra van szükségük, hogy megbízzanak a proxyban. A proxyk ellenőrzését az IT általában arra használja, hogy betartassa azokat az irányelveket, amelyeken a webhelyek látogathatók, és milyen típusú tartalom nem engedélyezett. Ez a fajta proxy visszafejti az összes forgalmat (még HTTPS-t is).
Explicit proxy – Az explicit proxy segítségével megmondja a HDS-csomópontoknak, hogy melyik proxykiszolgálót és hitelesítési sémát kell használni. Explicit proxy konfigurálásához minden csomóponton a következő adatokat kell megadnia:
1. Proxy IP/FQDN – a proxygép elérésére használható cím.
2. Proxyport – Olyan portszám, amelyet a proxy a lekerekített forgalom figyelésére használ.
3. Proxyprotokoll – Attól függően, hogy a proxykiszolgáló mit támogat, válasszon a következő protokollok közül:
  - HTTP – Az ügyfél által küldött összes kérés megtekintése és ellenőrzése.
  - HTTPS – Csatornát biztosít a kiszolgálónak. Az ügyfél megkapja és ellenőrzi a kiszolgáló tanúsítványát.
4. Hitelesítési típus – Válasszon a következő hitelesítési típusok közül:
  - Nincs – Nincs szükség további hitelesítésre.
    
    Akkor érhető el, ha a HTTP-t vagy a HTTPS-t választja proxyprotokollként.
  - Alapszintű – HTTP-felhasználói ügynökként használatos a felhasználónév és jelszó megadására kéréskor. Base64 kódolást használ.
    
    Akkor érhető el, ha a HTTP-t vagy a HTTPS-t választja proxyprotokollként.
    
    Meg kell adnia a felhasználónevet és a jelszót az egyes csomópontokon.
  - Kivonás – A fiók megerősítésére szolgál, mielőtt érzékeny információkat küldene be. Kivonatfüggvényt alkalmaz a felhasználónévre és a jelszóra, mielőtt elküldené a hálózaton keresztül.
    
    Csak akkor érhető el, ha a HTTPS-t választja proxyprotokollként.
    
    Meg kell adnia a felhasználónevet és a jelszót az egyes csomópontokon.

Példa hibrid adatbiztonsági csomópontokra és proxykra

Ez a diagram egy példakapcsolatot mutat be a hibrid adatbiztonság, a hálózat és a proxy között. Az átlátható ellenőrzési és HTTPS-explicit ellenőrző proxybeállításokhoz ugyanazt a főtanúsítványt kell telepíteni a proxyra és a hibrid adatbiztonsági csomópontokra.

Blokkolt külső DNS-feloldási mód (explicit proxykonfigurációk)

Amikor regisztrál egy csomópontot, vagy ellenőrzi a csomópont proxykonfigurációját, a folyamat teszteli a DNS-ellenőrzést és a Cisco Webex felhővel való kapcsolatot. Az explicit proxykonfigurációkkal rendelkező központi telepítések esetében, amelyek nem teszik lehetővé a külső DNS-feloldást a belső ügyfelek számára, ha a csomópont nem tudja lekérdezni a DNS-kiszolgálókat, automatikusan blokkolt külső DNS-feloldási módba lép. Ebben az üzemmódban folytatódhat a csomópont-regisztráció és más proxykapcsolati tesztek.

Készítse elő környezetét

A több-bérlős hibrid adatbiztonságra vonatkozó követelmények

Cisco Webex licenckövetelmények

A több-bérlős hibrid adatbiztonsági szolgáltatás telepítéséhez:

Partnerszervezetek: Forduljon Cisco-partneréhez vagy fiókkezelőjéhez, és bizonyosodjon meg arról, hogy engedélyezve van a több-bérlős funkció.
Bérlői szervezetek: Rendelkeznie kell a Cisco Webex Control Hub Pro Packkel. (Lásd: https://www.cisco.com/go/pro-pack.)

Docker asztali követelmények

A HDS-csomópontok telepítése előtt a telepítőprogram futtatásához a Docker Desktop alkalmazásra van szükség. A Docker nemrég frissítette licencelési modelljét. Előfordulhat, hogy szervezetének fizetős előfizetést kell igényelnie a Docker Desktophoz. További részletekért lásd a Docker blogbejegyzést, "A Docker frissíti és bővíti termékelőfizetéseinket".

X.509 tanúsítványkövetelmények

A tanúsítványláncnak az alábbi követelményeknek kell megfelelnie:

1. táblázat X.509 Tanúsítványkövetelmények a hibrid adatbiztonsági szolgáltatás telepítéséhez
Követelmény	részletei
Megbízható hitelesítésszolgáltató (CA) által aláírt	Alapértelmezés szerint megbízunk a Mozilla listában szereplő hitelesítésszolgáltatókban (a WoSign és a StartCom kivételével) a következő címen: https://wiki.mozilla.org/CA:IncludedCAs.
Közös név (CN) tartománynévvel rendelkezik, amely azonosítja a hibrid adatbiztonsági szolgáltatás telepítését Nem helyettesítő kód tanúsítvány	A CN-nek nem kell elérhetőnek vagy élő szervezőnek lennie. Javasoljuk, hogy olyan nevet használjon, amely tükrözi a szervezetét, például `hds.company.com`. A CN nem tartalmazhat * karaktert (helyettesítő karaktert). A CN-t a Webex alkalmazás ügyfeleihez tartozó hibrid adatbiztonsági szolgáltatás-csomópontok ellenőrzésére használják. A fürtben lévő összes hibrid adatbiztonsági szolgáltatás-csomópont ugyanazt a tanúsítványt használja. A KMS a CN tartomány használatával azonosítja magát, nem az x.509v3 SAN mezőkben definiált tartományt. Miután regisztrált egy csomópontot ezzel a tanúsítvánnyal, nem támogatjuk a CN-tartomány nevének megváltoztatását.
Nem SHA1-aláírás	A KMS szoftver nem támogatja az SHA1-aláírásokat a más szervezetek KMS-jeihez való kapcsolatok érvényesítéséhez.
Jelszóval védett PKCS #12 fájlként formázva A tanúsítvány, a titkos kulcs és a feltölteni kívánt közbenső tanúsítványok címkézéséhez használja a `kms-private-key` felhasználóbarát nevét.	A tanúsítvány formátumának megváltoztatásához használjon konvertálót, például OpenSSL-t. A HDS telepítőeszköz futtatásakor meg kell adnia a jelszót.

A KMS szoftver nem kényszeríti ki a kulcshasználatot vagy a kiterjesztett kulcshasználati korlátozásokat. Egyes hitelesítésszolgáltatók megkövetelik, hogy kiterjesztett kulcshasználati korlátozásokat alkalmazzanak minden tanúsítványra, például a kiszolgáló hitelesítésére. Megfelelő a kiszolgálóhitelesítés vagy egyéb beállítások használata.

Virtuális szervezőre vonatkozó követelmények

A fürtben hibrid adatbiztonsági szolgáltatás-csomópontként beállított virtuális szervezőkre a következő követelmények vonatkoznak:

Legalább két különálló szervező (3 ajánlott) ugyanabban a biztonságos adatközpontban van elhelyezve
A VMware ESXi 7.0 (vagy későbbi) verzió telepítve és fut.

Frissítenie kell, ha az ESXi egy korábbi verziójával rendelkezik.
Legalább 4 vCPU, 8 GB fő memória, 30 GB helyi merevlemez kiszolgálónként

Adatbázis-kiszolgáló követelmények

Hozzon létre egy új adatbázist a kulcstároláshoz. Ne használja az alapértelmezett adatbázist. A HDS alkalmazások telepítésekor létrehozzák az adatbázis-sémát.

Az adatbázis-kiszolgálónak két lehetősége van. Az egyes követelményekre vonatkozó követelmények a következők:

2. táblázat Adatbázis-kiszolgáló követelmények az adatbázis típusa szerint
PostgreSQL csevegés	Microsoft SQL kiszolgáló
A PostgreSQL 14, 15 vagy 16 telepítve és fut.	Az SQL Server 2016, 2017, 2019 vagy 2022 (Enterprise vagy Standard) telepítve van. Az SQL Server 2016 használatához 2. szervizcsomag és 2. vagy újabb kumulatív frissítés szükséges.
Legalább 8 vCPU, 16 GB fő memória, elegendő tárhely a merevlemezen és figyelés, hogy ne lépje túl (2 TB ajánlott, ha hosszú ideig szeretné futtatni az adatbázist a tárhely növelése nélkül)	Legalább 8 vCPU, 16 GB fő memória, elegendő tárhely a merevlemezen és figyelés, hogy ne lépje túl (2 TB ajánlott, ha hosszú ideig szeretné futtatni az adatbázist a tárhely növelése nélkül)

A HDS szoftver jelenleg a következő illesztőprogramokat telepíti az adatbázis-kiszolgálóval való kommunikációhoz:

PostgreSQL csevegés

Microsoft SQL kiszolgáló

Postgres JDBC illesztőprogram 42.2.5

SQL Server JDBC illesztőprogram 4.6

Ez az illesztőprogram-verzió támogatja az SQL Server Always On ( Always On Failover Cluster Instances és Always On Availability Groups) szolgáltatást.

A Microsoft SQL Server elleni Windows-hitelesítés további követelményei

Ha azt szeretné, hogy a HDS csomópontok Windows hitelesítést használjanak, hogy hozzáférjenek a Microsoft SQL Server kulcstári adatbázisához, akkor a következő konfigurációra van szükség a környezetben:

A HDS csomópontokat, az Active Directory infrastruktúrát és az MS SQL Server-t mind szinkronizálni kell az NTP-vel.
A HDS-csomópontok számára megadott Windows-fióknak olvasási/írási hozzáféréssel kell rendelkeznie az adatbázishoz.
A HDS-csomópontokhoz megadott DNS-kiszolgálóknak képesnek kell lenniük a kulcselosztó központ (KDC) feloldására.
A HDS adatbázis-példányát a Microsoft SQL Server kiszolgálón a szolgáltatás fő neveként (SPN) regisztrálhatja az Active Directoryban. Lásd: Szolgáltatás fő nevének regisztrálása Kerberos-kapcsolatokhoz.

A HDS telepítőeszköznek, a HDS indítónak és a helyi KMS-nek mind Windows-hitelesítést kell használnia a keystore adatbázishoz való hozzáféréshez. Az ISO-konfiguráció részleteit használják az SPN megépítéséhez, amikor Kerberos hitelesítéssel kívánnak hozzáférni.

Külső kapcsolódási követelmények

Konfigurálja úgy a tűzfalát, hogy engedélyezze a következő csatlakozást a HDS-alkalmazásokhoz:

Alkalmazás	Protokoll	Port	Irány az alkalmazásból	Cél
Hibrid adatbiztonsági szolgáltatás-csomópontok	TCP	443	Kimenő HTTPS és WSS	Webex-kiszolgálók: .wbx2.com .ciscospark.com Minden Common Identity-szervező A hibrid adatbiztonságra vonatkozóan felsorolt egyéb URL-címek a Webex hibrid szolgáltatásokhoz további URL-címekWebex-szolgáltatások hálózati követelményei táblázatban
HDS-beállító eszköz	TCP	443	Kimenő HTTPS	*.wbx2.com Minden Common Identity-szervező hub.docker.com

A hibrid adatbiztonsági szolgáltatás-csomópontok hálózati hozzáférési fordítással (NAT) vagy tűzfal mögött működnek, amennyiben a NAT vagy a tűzfal lehetővé teszi a szükséges kimenő kapcsolatokat az előző táblázatban szereplő tartománycélhelyekhez. A hibrid adatbiztonsági szolgáltatás-csomópontokra bejövő kapcsolatok esetében nem szabad, hogy a portok látszódjanak az internetről. Az adatközponton belül az ügyfeleknek adminisztratív okokból hozzá kell férniük a hibrid adatbiztonsági szolgáltatás-csomópontokhoz a 443-as és 22-es TCP-portokon.

A Common Identity (CI) gazdagépek URL-címe régiónkénti. Ezek a jelenlegi CI-szervezők:

Régió	Common Identity Host URL-címek
Amerika	https://idbroker.webex.com https://identity.webex.com https://idbroker-b-us.webex.com https://identity-b-us.webex.com
Európai Unió	https://idbroker-eu.webex.com https://identity-eu.webex.com
Kanada	https://idbroker-ca.webex.com https://identity-ca.webex.com
Szingapúr	https://idbroker-sg.webex.com https://identity-sg.webex.com
Egyesült Arab Emírségek	https://idbroker-ae.webex.com https://identity-ae.webex.com

Proxykiszolgálói követelmények

Hivatalosan is támogatjuk a következő proxy megoldásokat, amelyek integrálhatók a hibrid adatbiztonsági csomópontjaival.
- Átlátszó proxy – Cisco Web Security Appliance (WSA).
- Explicit proxy – tintahal.
  
  A HTTPS-forgalmat ellenőrző Squid-proxyk zavarhatják a websocket (wss:) kapcsolatok létrehozását. A probléma megoldásához lásd: Squid-proxyk konfigurálása hibrid adatbiztonsághoz.
Az explicit proxyk esetében a következő hitelesítési típuskombinációkat támogatjuk:
- Nincs hitelesítés HTTP-vel vagy HTTPS-rel
- Alapszintű hitelesítés HTTP-vel vagy HTTPS-rel
- Hitelesítés megemésztése csak HTTPS-rel
Átlátszó ellenőrző proxyhoz vagy HTTPS explicit proxyhoz rendelkeznie kell a proxy főtanúsítványának másolatával. Az útmutató üzembe helyezési utasításaiból az útmutató ismerteti, hogyan töltheti fel a másolatot a hibrid adatbiztonsági csomópontok megbízhatósági tárolóiba.
A HDS-csomópontokat üzemeltető hálózatot úgy kell konfigurálni, hogy a 443-as port kimenő TCP-forgalmát kényszerítse a proxyn való áthaladásra.
A webes forgalmat ellenőrző proxyk zavarhatják a webfoglalat-kapcsolatokat. Ha ez a probléma bekövetkezik, a forgalom megkerülése (nem ellenőrzése) wbx2.com és ciscospark.com megoldja a problémát.

A hibrid adatbiztonság előfeltételeinek teljesítése

Ezzel az ellenőrzőlistával győződjön meg arról, hogy készen áll a hibrid adatbiztonsági szolgáltatás-fürt telepítésére és konfigurálására.

1	Győződjön meg arról, hogy partnerszervezete engedélyezte a Több-bérlős HDS funkciót, és kérje le egy teljes körű partnerrendszergazdai jogosultsággal és teljes körű rendszergazdai jogosultsággal rendelkező fiók hitelesítő adatait. Győződjön meg arról, hogy Webex-ügyfélszervezete engedélyezve van a Cisco Webex Control Hub Pro Pack csomagja. A folyamattal kapcsolatos segítségért forduljon Cisco-partneréhez vagy fiókkezelőjéhez. Az ügyfélszervezetek nem rendelkezhetnek meglévő HDS-telepítéssel.
2	Válasszon ki egy tartománynevet a HDS telepítéséhez (például `hds.company.com`), és szerezzen be egy X.509 tanúsítványt, titkos kulcsot és bármely közbenső tanúsítványt tartalmazó tanúsítványláncot. A tanúsítványláncnak meg kell felelnie az X.509 tanúsítványkövetelmények előírásainak.
3	Készítse elő azokat az azonos virtuális szervezőket, akiket hibrid adatbiztonsági szolgáltatás-csomópontként fog beállítani a fürtben. Legalább két különálló szervezőre (3 ajánlott) van szükség ugyanabban a biztonságos adatközpontban, amelyek megfelelnek a Virtuális szervező követelményei pontban foglalt követelményeknek.
4	Készítse elő az adatbázis-kiszolgálót, amely a fürt kulcsadattáraként fog működni, az Adatbázis-kiszolgáló követelményei szerint. Az adatbázis-kiszolgálót a biztonságos adatközpontban kell elhelyezni a virtuális gazdagépekkel. Hozzon létre egy adatbázist a kulcstároláshoz. (Létre kell hoznia ezt az adatbázist – ne használja az alapértelmezett adatbázist. A HDS alkalmazások telepítésekor létrehozzák az adatbázis sémát.) Gyűjtse össze azokat a részleteket, amelyeket a csomópontok az adatbázis-kiszolgálóval való kommunikációhoz használnak: a gazdagép neve vagy IP-címe (gazdagép) és a port az adatbázis neve (dbname) a kulcstároláshoz a kulcstárolási adatbázis összes jogosultságával rendelkező felhasználó felhasználóneve és jelszava
5	A gyors katasztrófa-helyreállításhoz állítson be biztonsági mentési környezetet egy másik adatközpontban. A biztonsági mentési környezet a VM-ek és a biztonsági mentési adatbázis szerver termelési környezetét tükrözi. Ha például a gyártásnak 3 HDS csomópontot futtató VM-je van, a biztonsági mentési környezetnek 3 VM-je van.
6	Állítson be egy syslog-állomást a fürt csomópontjairól érkező naplók összegyűjtésére. A hálózati cím és a syslog port összegyűjtése (alapértelmezés: UDP 514).
7	Hozzon létre biztonságos biztonsági mentési szabályzatot a hibrid adatbiztonsági szolgáltatás-csomópontokhoz, az adatbázis-kiszolgálóhoz és a syslog-állomáshoz. A visszafordíthatatlan adatvesztés elkerülése érdekében legalább biztonsági másolatot kell készítenie az adatbázist és a hibrid adatbiztonsági szolgáltatás csomópontokhoz generált konfigurációs ISO-fájlt. Mivel a hibrid adatbiztonsági csomópontok tárolják a tartalom titkosításához és visszafejtéséhez használt kulcsokat, a működőképes telepítés karbantartásának elmulasztása a tartalom VISSZAFORDÍTHATATLAN ELVESZTÉSÉT eredményezi. A Webex alkalmazás ügyfelei gyorsítják a kulcsaikat, így előfordulhat, hogy a kimaradás nem lesz azonnal észrevehető, de idővel nyilvánvalóvá válik. Míg az ideiglenes kimaradást lehetetlen megelőzni, azok visszafordíthatóak. Az adatbázis vagy konfigurációs ISO fájl teljes elvesztése (nincs elérhető biztonsági mentés) azonban visszafordíthatatlan ügyféladatokat eredményez. A hibrid adatbiztonsági szolgáltatás-csomópontok üzemeltetői várhatóan gyakori biztonsági másolatot készítenek az adatbázisról és a konfigurációs ISO-fájlról, és készen állnak a hibrid adatbiztonsági szolgáltatás-adatközpont újbóli felépítésére, ha katasztrofális hiba lép fel.
8	Győződjön meg arról, hogy a tűzfalkonfiguráció engedélyezi a csatlakozást a hibrid adatbiztonsági szolgáltatás-csomópontok számára, a Külső kapcsolódási követelmények pontban leírtak szerint.
9	Telepítse a Docker-t ( https://www.docker.com) bármely támogatott operációs rendszert futtató helyi gépre (Microsoft Windows 10 Professional vagy Enterprise 64 bites vagy Mac OSX Yosemite 10.10.3 vagy újabb) olyan webböngészővel, amely a következő címen tud hozzáférni: http://127.0.0.1:8080. A Docker-példány segítségével letöltheti és futtathatja a HDS telepítőeszközt, amely az összes hibrid adatbiztonsági szolgáltatás-csomópont helyi konfigurációs információit összeállítja. Lehet, hogy Docker asztali licencre van szüksége. További információkért lásd: Docker asztali követelmények . A HDS-telepítőeszköz telepítéséhez és futtatásához a helyi gépnek rendelkeznie kell a kapcsolattal a Külső kapcsolódási követelmények pontban leírtak szerint.
10	Ha egy proxyt a hibrid adatbiztonsággal integrál, győződjön meg arról, hogy az megfelel a proxykiszolgáló követelményeinek.

Hibrid adatbiztonsági szolgáltatás-fürt beállítása

Hibrid adatbiztonsági szolgáltatás telepítési feladatfolyama

Mielőtt elkezdené

1	Kezdeti beállítási és telepítési fájlok letöltése Töltse le az OVA-fájlt a helyi gépre későbbi használatra.
2	Konfigurációs ISO létrehozása a HDS szervezők számára A HDS-telepítőeszköz segítségével ISO-konfigurációs fájlt hozhat létre a hibrid adatbiztonsági szolgáltatás-csomópontokhoz.
3	A HDS Host OVA telepítése Hozzon létre virtuális gépet az OVA fájlból, és végezze el a kezdeti konfigurációkat, például a hálózati beállításokat. Az OVA telepítése során a hálózati beállítások konfigurálásának lehetőségét teszteltük az ESXi 7.0 verzióval. Előfordulhat, hogy a beállítás a korábbi verziókban nem érhető el.
4	Hibrid adatbiztonsági szolgáltatás (VM) beállítása Jelentkezzen be a VM-konzolba, és állítsa be a bejelentkezési hitelesítő adatokat. Konfigurálja a csomópont hálózati beállításait, ha az OVA telepítésekor nem konfigurálta azokat.
5	A HDS-konfigurációs ISO feltöltése és csatlakoztatása Konfigurálja a VM-et a HDS telepítőeszközzel létrehozott ISO konfigurációs fájlból.
6	A HDS-csomópont konfigurálása proxyintegrációhoz Ha a hálózati környezet proxykonfigurációt igényel, adja meg a csomóponthoz használni kívánt proxy típusát, és szükség esetén adja hozzá a proxytanúsítványt a megbízhatósági tárolóhoz.
7	A fürtben lévő első csomópont regisztrálása Regisztrálja a VM-et a Cisco Webex felhővel hibrid adatbiztonsági szolgáltatás-csomópontként.
8	További csomópontok létrehozása és regisztrálása Fejezze be a fürt beállítását.
9	Aktiválja a több-bérlős HDS-t a Partnerközpontban. Aktiválja a HDS-t és kezelje a bérlői szervezeteket a Partner Hubban.

Kezdeti beállítási és telepítési fájlok letöltése

Ebben a feladatban letölt egy OVA-fájlt a számítógépére (nem a hibrid adatbiztonsági szolgáltatás-csomópontokként beállított kiszolgálókra). Ezt a fájlt később a telepítési folyamat során használhatja.

1	Jelentkezzen be a Partnerközpontba, majd kattintson a Szolgáltatások lehetőségre.
2	A Felhőszolgáltatások részben keresse meg a hibrid adatbiztonsági kártyát, majd kattintson a Beállítás gombra. A Partner Hubban a Beállítás gombra kattintva kulcsfontosságú a telepítési folyamat szempontjából. Ne folytassa a telepítést ennek a lépésnek a befejezése nélkül.
3	Kattintson az Erőforrás hozzáadása lehetőségre, majd a Szoftver telepítése és konfigurálása kártyán kattintson a .OVA-fájl letöltése gombra. A szoftvercsomag (OVA) régebbi verziói nem lesznek kompatibilisek a hibrid adatbiztonsági szolgáltatás legújabb frissítéseivel. Ez problémákat okozhat az alkalmazás verziófrissítése során. Ügyeljen arra, hogy az OVA-fájl legújabb verzióját töltse le. Az OVA-t bármikor letöltheti a Súgó részből. Kattintson a Beállítások > Súgó > Hibrid adatbiztonsági szolgáltatás letöltése lehetőségre. Az OVA-fájl letöltése automatikusan elkezdődik. Mentse a fájlt a gépén lévő helyre.
4	Opcionálisan kattintson a Hibrid adatbiztonsági szolgáltatás telepítési útmutatójának megtekintése opcióra annak ellenőrzéséhez, hogy rendelkezésre áll-e ennek az útmutatónak egy későbbi verziója.

Konfigurációs ISO létrehozása a HDS szervezők számára

A hibrid adatbiztonsági szolgáltatás beállítási folyamata ISO-fájlt hoz létre. Ezután az ISO-t használja a hibrid adatbiztonsági szolgáltatás-szervező konfigurálásához.

Mielőtt elkezdené

A HDS Setup eszköz Docker konténerként fut egy helyi gépen. Ha hozzá akarsz férni, futtasd a Dockert azon a gépen. A beállítási folyamat megköveteli a teljes rendszergazdai jogosultságokkal rendelkező Partner Hub-fiók hitelesítő adatait.

Ha a HDS-beállító eszköz a környezetében lévő proxy mögött fut, adja meg a proxybeállításokat (kiszolgáló, port, hitelesítő adatokat) a Dokkolókörnyezeti változókon keresztül a Dokkolótároló alábbi 5 . lépésben. Ez a táblázat néhány lehetséges környezeti változót tartalmaz:

Leírás	Változó
Http-proxy hitelesítés nélkül	`GLOBÁLIS_ÜGYNÖK_HTTP_PROXY=HTTP://KISZOLGÁLÓ_IP:PORT`
HTTPS-proxy hitelesítés nélkül	`GLOBÁLIS_ÜGYNÖK_HTTPS_PROXY=http://KISZOLGÁLÓ_IP:PORT`
Http-proxy hitelesítéssel	`GLOBÁLIS_ÜGYNÖK_HTTP_PROXY=http://felhasználónév:jelszó@kiszolgáló_IP:PORT`
HTTPS-proxy hitelesítéssel	`GLOBÁLIS_ÜGYNÖK_HTTPS_PROXY=http://felhasználónév:jelszó@kiszolgáló_IP:PORT`

A létrehozott konfigurációs ISO fájl tartalmazza a PostgreSQL vagy Microsoft SQL Server adatbázist titkosító mesterkulcsot. Szükség van a fájl legutóbbi másolatára, amikor konfigurációs módosításokat hajt végre, mint például:
- Adatbázis hitelesítő adatai
- Tanúsítványfrissítések
- Az engedélyezési szabályzat változásai
Ha adatbázis-kapcsolatokat szeretne titkosítani, állítsa be a PostgreSQL vagy SQL Server telepítés TLS-hez.

1

A gép parancssorában adja meg a környezetének megfelelő parancsot:

Rendszeres környezetben:

docker rmi ciscocitg/hds-setup:stabil

FedRAMP környezetben:

docker rmi ciscocitg/hds-setup-fedramp:stabil

Ezzel a lépéssel törölhetők a HDS telepítőeszköz korábbi képei. Ha nincsenek korábbi képek, akkor olyan hibát ad vissza, amelyet figyelmen kívül hagyhat.

2

A Docker-képtárba való bejelentkezéshez írja be a következőket:

dokkoló bejelentkezés -u hdscustomersro

3

A jelszókéréskor írja be ezt a hash-t:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

4

Töltse le a legfrissebb stabil képet a környezetéről:

Rendszeres környezetben:

dokkoló húzás ciscocitg/hds-setup:stabil

FedRAMP környezetben:

dokkoló húzás ciscocitg/hds-setup-fedramp:stabil

5

Amikor a húzás befejeződött, adja meg a környezetének megfelelő parancsot:

Rendszeres környezetben, proxy nélkül:

dokkoló futtatása -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

Http proxyval rendelkező normál környezetben:

docker run -p 8080:8080 --rm -it-e GLOBAL_AGENT_HTTP_PROXY=http://SERVER IP:PORT_ ciscocitg/hds-setup:stable

Normál környezetben HTTPS proxyval:

docker run -p 8080:8080 --rm -it-e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER IP:PORT_ ciscocitg/hds-setup:stable

FedRAMP környezetben, proxy nélkül:

dokkoló futtatása -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

Http proxyval rendelkező FedRAMP környezetben:

docker run -p 8080:8080 --rm -it-e GLOBAL_AGENT_HTTP_PROXY=http://SERVER IP:PORT_ ciscocitg/hds-setup-fedramp:stable

FedRAMP környezetben https proxyval:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER IP:PORT_ ciscocitg/hds-setup-fedramp:stable

Amikor a konténer fut, az "Express szerver figyeli a 8080-as portot."

6

A beállítóeszköz nem támogatja a localhost-hoz való csatlakozást a http://localhost:8080-on keresztül. A(z) http://127.0.0.1:8080 használatával kapcsolódhat a localhost-hoz.

Webböngészővel lépjen a(z) http://127.0.0.1:8080 helyszínállomásra, majd adja meg a rendszergazda felhasználónevét a Partner Hubhoz a kérésben.

Az eszköz a felhasználónév első bejegyzésével állítja be a fiókhoz tartozó megfelelő környezetet. Az eszköz ezután megjeleníti a normál bejelentkezési üzenetet.

7

Amikor a rendszer kéri, adja meg a Partner Hub rendszergazdájának bejelentkezési hitelesítő adatait, majd kattintson a Bejelentkezés gombra, hogy engedélyezze a hozzáférést a hibrid adatbiztonsági szolgáltatáshoz szükséges szolgáltatásokhoz.

8

A Beállítóeszköz áttekintése oldalon kattintson az Első lépések gombra.

9

Az ISO-importálás oldalon az alábbi lehetőségek közül választhat:

Nem – Ha az első HDS-csomópontot hozza létre, nincs feltöltendő ISO-fájl.
Igen – Ha már létrehozott HDS-csomópontokat, akkor válassza ki az ISO-fájlt a böngészőben, és töltse fel.

10

Ellenőrizze, hogy az X.509-es tanúsítvány megfelel-e az X.509-es tanúsítványkövetelmények előírásainak.

Ha még soha nem töltött fel tanúsítványt, töltse fel az X.509 tanúsítványt, adja meg a jelszót, majd kattintson a Folytatás gombra.
Ha a tanúsítványa rendben van, kattintson a Folytatás gombra.
Ha a tanúsítvány lejárt, vagy szeretné lecserélni, válassza a Nem lehetőséget a Folytatás a HDS tanúsítványlánc és a korábbi ISO titkos kulcs használata? lehetőséghez. Töltsön fel egy új X.509-tanúsítványt, adja meg a jelszót, majd kattintson a Folytatás gombra.

11

Adja meg a HDS adatbáziscímét és fiókját a kulcsadatkészlet eléréséhez:

Válassza ki az Adatbázis típusát (PostgreSQL vagy Microsoft SQL Server).

Ha a Microsoft SQL Server opciót választja, Hitelesítési típus mezőt kap.
(Csak Microsoft SQL Server ) Válassza ki a Hitelesítési típust:
- Alapszintű hitelesítés: Helyi SQL Server-fiók nevére van szükség a Felhasználónév mezőben.
- Windows-hitelesítés: felhasználónév@tartomány formátumú Windows-fiókra van szükség a Felhasználónév mezőben.
Adja meg az adatbázis-kiszolgáló címét a következő formában: : vagy :.

Példa:
dbhost.example.org:1433 vagy 198.51.100.17:1433

Alapszintű hitelesítéshez használhat IP-címet, ha a csomópontok nem tudnak DNS-t használni az állomásnév feloldásához.

Ha Windows-hitelesítést használ, akkor meg kell adnia egy teljesen minősített tartománynevet a következő formátumban: dbhost.example.org:1433
Adja meg az Adatbázis nevét.
Adja meg annak a felhasználónak a Felhasználónevét és Jelszavát , aki minden jogosultsággal rendelkezik a kulcstárolási adatbázisban.

12

Válassza ki a TLS-adatbázis csatlakozási módját:

Mód	Leírás
TLS előnyben részesítése (alapértelmezett beállítás)	A HDS csomópontok nem igénylik a TLS csatlakozását az adatbázis szerverhez. Ha engedélyezi a TLS-t az adatbázis kiszolgálón, a csomópontok titkosított kapcsolatot próbálnak meg létesíteni.
Kötelező TLS	A HDS csomópontok csak akkor kapcsolódnak, ha az adatbázis-kiszolgáló képes egyeztetni a TLS-t.
TLS igénylése és a tanúsítvány aláírójának ellenőrzése	Ez a mód nem alkalmazható SQL Server adatbázisokra. A HDS csomópontok csak akkor kapcsolódnak, ha az adatbázis-kiszolgáló képes egyeztetni a TLS-t. A TLS-kapcsolat létrehozása után a csomópont összehasonlítja az adatbázis-kiszolgálóról származó tanúsítvány aláíróját a hitelesítésszolgáltatóval az Adatbázis gyökértanúsítványban. Ha nem egyeznek, a csomópont megszakítja a kapcsolatot. A legördülő menü alatti Adatbázis gyökértanúsítvány vezérlőelem segítségével töltse fel a beállítás gyökértanúsítványát.
TLS megkövetelése és a tanúsítvány aláírójának és a gépnévnek az ellenőrzése	A HDS csomópontok csak akkor kapcsolódnak, ha az adatbázis-kiszolgáló képes egyeztetni a TLS-t. A TLS-kapcsolat létrehozása után a csomópont összehasonlítja az adatbázis-kiszolgálóról származó tanúsítvány aláíróját a hitelesítésszolgáltatóval az Adatbázis gyökértanúsítványban. Ha nem egyeznek, a csomópont megszakítja a kapcsolatot. A csomópontok azt is ellenőrzik, hogy a kiszolgáló tanúsítványában szereplő gazdagép neve megegyezik-e az Adatbázis gazdagép és port mezőben található gazdagép nevével. A neveknek pontosan egyezniük kell, vagy a csomópont megszakítja a kapcsolatot. A legördülő menü alatti Adatbázis gyökértanúsítvány vezérlőelem segítségével töltse fel a beállítás gyökértanúsítványát.

Amikor feltölti a gyökértanúsítványt (ha szükséges), és a Folytatás gombra kattint, a HDS telepítőeszköz teszteli a TLS-kapcsolatot az adatbázis-kiszolgálóval. Az eszköz ellenőrzi a tanúsítvány aláíróját és a gépnevet is, ha van ilyen. Ha egy teszt sikertelen, az eszköz hibaüzenetet jelenít meg, amely leírja a problémát. Kiválaszthatja, hogy figyelmen kívül hagyja-e a hibát, és folytatja-e a beállítást. (A kapcsolódási különbségek miatt a HDS-csomópontok akkor is képesek lehetnek létrehozni a TLS-kapcsolatot, ha a HDS telepítőeszköz gépe nem tudja sikeresen tesztelni.)

13

A Rendszernaplók oldalon konfigurálja a Syslogd kiszolgálót:

Adja meg a syslog szerver URL-címét.

Ha a kiszolgáló nem DNS-feloldható a HDS-fürthöz tartozó csomópontokról, használjon egy IP-címet az URL-ben.

Példa:
Az udp://10.92.43.23:514 a 10.92.43.23 Syslogd állomásra való bejelentkezést jelzi az 514-es UDP-porton.
Ha úgy állítja be a kiszolgálóját, hogy TLS-titkosítást használjon, jelölje be a Be van állítva a syslog kiszolgáló SSL-titkosításra? jelölőnégyzetet.

Ha bejelöli ezt a jelölőnégyzetet, mindenképpen adjon meg egy TCP URL-címet, például tcp://10.92.43.23:514.
A Syslog-rekord termináljának kiválasztása legördülő menüből válassza ki az ISO fájlhoz megfelelő beállítást: Válassza ki, hogy az Újsor legyen-e használatban Graylog és Rsyslog TCP esetén
- Null bájt -- \x00
- Új vonal -- \n—Válassza ezt a lehetőséget a Graylog és Rsyslog TCP esetén.
Kattintson a Folytatás gombra.

14

(Opcionális) Bizonyos adatbázis-kapcsolati paraméterek alapértelmezett értékét a Speciális beállítások menüpontban módosíthatja. Általában ez az egyetlen paraméter, amit érdemes megváltoztatni:

app_datasource_connection_pool_maxMéret: 10

15

Kattintson a Folytatás gombra a Szolgáltatásfiókok jelszavának visszaállítása képernyőn.

A szolgáltatásfiók jelszavainak élettartama kilenc hónap. Akkor használja ezt a képernyőt, ha a jelszavak hamarosan lejárnak, vagy vissza szeretné állítani őket, hogy érvénytelenítsék a korábbi ISO-fájlokat.

16

Kattintson az ISO-fájl letöltése lehetőségre. Mentse el a fájlt egy könnyen megtalálható helyre.

17

Készítsen biztonsági másolatot az ISO fájlról a helyi rendszerre.

Tartsa biztonságban a biztonsági másolatot. Ez a fájl az adatbázis tartalmához tartozó fő titkosítási kulcsot tartalmaz. Korlátozza a hozzáférést csak azokra a hibrid adatbiztonsági szolgáltatás-rendszergazdákra, akiknek konfigurációs módosításokat kell végrehajtaniuk.

18

A beállítóeszköz leállításához gépelje be a CTRL+C billentyűkombinációt.

Mi a következő teendő

Biztonsági másolat készítése a konfigurációs ISO fájlról. A helyreállításhoz további csomópontok létrehozásához, illetve konfigurációs módosítások elvégzéséhez szükség van rá. Ha az ISO fájl összes másolatát elveszíti, akkor a mesterkulcs is elveszett. A PostgreSQL vagy Microsoft SQL Server adatbázisából nem lehet visszaállítani a kulcsokat.

Soha nem lesz másolatunk erről a kulcsról, és nem tudunk segíteni, ha elveszíti.

A HDS Host OVA telepítése

Ezzel az eljárással virtuális gépet hozhat létre az OVA-fájlból.

1	A számítógépén lévő VMware vSphere kliens használatával jelentkezzen be az ESXi virtuális állomásba.
2	Válassza a Fájl > OVF-sablon telepítése lehetőséget.
3	A varázslóban adja meg a korábban letöltött OVA-fájl helyét, majd kattintson a Tovább gombra.
4	A Név és mappa kiválasztása oldalon adja meg a csomópont Virtuális gép nevét (például „HDS_Node_1”), válasszon ki egy helyet, ahol a virtuálisgép-csomópont telepítése élhet, majd kattintson a Tovább gombra.
5	A Számítási erőforrás kiválasztása oldalon válassza ki a cél számítási erőforrást, majd kattintson a Tovább gombra. Egy érvényesítési ellenőrzés lefut. A befejezés után megjelennek a sablon adatai.
6	Ellenőrizze a sablon részleteit, majd kattintson a Tovább gombra.
7	Ha a rendszer arra kéri, hogy a Konfiguráció oldalon válassza ki az erőforrás konfigurációját, kattintson a 4 CPU gombra, majd kattintson a Tovább gombra.
8	A Tárhely kiválasztása oldalon kattintson a Tovább gombra az alapértelmezett lemezformátum és a VM-tárhely házirendjének elfogadásához.
9	A Hálózatok kiválasztása oldalon válassza ki a hálózati lehetőséget a bejegyzések listájából, hogy biztosítsa a kívánt kapcsolatot a VM-mel.
10	A Sablon testreszabása oldalon konfigurálja a következő hálózati beállításokat: Gazdagép neve – Adja meg a csomópont FQDN-jét (gazdagép neve és tartománya), vagy egyetlen szó gazdagép nevét. Nem kell úgy beállítania a tartományt, hogy megfeleljen az X.509 tanúsítvány beszerzéséhez használt tartománynak. A felhőbe történő sikeres regisztráció érdekében csak kisbetűs karaktereket használjon a csomóponthoz beállított FQDN-ben vagy állomásnévben. A nagybetűs írásmód jelenleg nem támogatott. Az FQDN teljes hossza nem haladhatja meg a 64 karaktert. IP-cím— Adja meg a csomópont belső interfészének IP-címét. A csomópontnak belső IP-címmel és DNS-névvel kell rendelkeznie. A DHCP nem támogatott. Maszk – Adja meg az alhálózati maszk címét pont-decimális jelölésben. Például: 255.255.255.0. Átjáró—Adja meg az átjáró IP-címét. Az átjáró olyan hálózati csomópont, amely egy másik hálózat hozzáférési pontjaként szolgál. DNS-kiszolgálók – Adja meg a DNS-kiszolgálók vesszővel elválasztott listáját, amely a tartománynevek numerikus IP-címekre történő fordítását kezeli. (Legfeljebb 4 DNS-bejegyzés engedélyezett.) NTP-kiszolgálók – Adja meg a szervezet NTP-kiszolgálóját vagy egy másik, a szervezetben használható külső NTP-kiszolgálót. Előfordulhat, hogy az alapértelmezett NTP-kiszolgálók nem működnek minden vállalatnál. Több NTP-kiszolgáló megadásához vesszővel elválasztott listát is használhat. Telepítse az összes csomópontot ugyanazon az alhálózaton vagy VLAN-on, hogy a fürtben lévő összes csomópont adminisztratív okokból elérhető legyen a hálózaton lévő ügyfelektől. Ha szeretné, átugorhatja a hálózati beállítási konfigurációt, és a Hibrid adatbiztonsági szolgáltatás beállítása szakasz lépéseit követve konfigurálhatja a beállításokat a csomópont-konzolról. Az OVA telepítése során a hálózati beállítások konfigurálásának lehetőségét teszteltük az ESXi 7.0 verzióval. Előfordulhat, hogy a beállítás a korábbi verziókban nem érhető el.
11	Kattintson az egér jobb oldali gombjával a csomópont VM-jére, majd válassza a Bekapcsolás > Bekapcsolás lehetőséget. A hibrid adatbiztonsági szolgáltatás-szoftver vendégként van telepítve a VM-állomásra. Most már bejelentkezhet a konzolba, és konfigurálhatja a csomópontot. Hibaelhárítási tippek Előfordulhat, hogy a csomópont-konténerek megjelenése előtt néhány percet késik. Az első rendszerindítás során hídtűzfalüzenet jelenik meg a konzolon, amelynek során nem tud bejelentkezni.

Hibrid adatbiztonsági szolgáltatás (VM) beállítása

Ezzel az eljárással először jelentkezzen be a hibrid adatbiztonsági szolgáltatás-csomópont VM-konzoljába, és állítsa be a bejelentkezési hitelesítő adatokat. A konzol segítségével konfigurálhatja a csomópont hálózati beállításait is, ha az OVA telepítésekor nem konfigurálta azokat.

1	A VMware vSphere kliensben válassza ki a hibrid adatbiztonsági szolgáltatás-csomópont VM-jét, és válassza a Konzol lapot. A VM elindul, és bejelentkezési üzenet jelenik meg. Ha a bejelentkezési üzenet nem jelenik meg, nyomja meg az Enter billentyűt.
2	A bejelentkezéshez és a hitelesítő adatok módosításához használja a következő alapértelmezett bejelentkezést és jelszót: Bejelentkezés: `rendszergazda` Jelszó: `cisco` Mivel először jelentkezik be a VM-be, meg kell változtatnia a rendszergazda jelszavát.
3	Ha már konfigurálta a hálózati beállításokat a HDS Host OVA telepítése menüben, hagyja ki az eljárás hátralévő részét. Ellenkező esetben a főmenüben válassza a Konfiguráció szerkesztése lehetőséget.
4	Állítson be statikus konfigurációt IP-címmel, maszkkal, átjáróval és DNS-adatokkal. A csomópontnak belső IP-címmel és DNS-névvel kell rendelkeznie. A DHCP nem támogatott.
5	(Opcionális) Módosítsa az állomásnevet, a tartományt vagy az NTP-kiszolgáló(k)t, ha a hálózati házirendnek megfelel. Nem kell úgy beállítania a tartományt, hogy megfeleljen az X.509 tanúsítvány beszerzéséhez használt tartománynak.
6	Mentse a hálózati konfigurációt, és indítsa újra a VM-et, hogy a módosítások életbe lépjenek.

A HDS-konfigurációs ISO feltöltése és csatlakoztatása

Ezzel az eljárással konfigurálhatja a virtuális gépet a HDS telepítőeszközzel létrehozott ISO-fájlból.

Mielőtt elkezdené

Mivel az ISO-fájl tartalmazza a mesterkulcsot, csak „tudni kell” alapon szabad közzétenni, hogy hozzáférhessen a hibrid adatbiztonsági szolgáltatás-kezelők és minden olyan rendszergazda számára, akinek esetleg módosításokat kell végrehajtania. Győződjön meg arról, hogy csak ezek a rendszergazdák férhetnek hozzá az adatkészlethez.

1

Töltse fel az ISO-fájlt a számítógépéről:

A VMware vSphere kliens bal oldali navigációs ablaktáblájában kattintson az ESXi szerverre.
A Konfiguráció lap Hardver listáján kattintson a Tárhelyelemre.
Az Adatkészlet listában kattintson a jobb gombbal a VM-ek adatkészletére, majd kattintson az Adatkészlet tallózása gombra.
Kattintson a Fájlok feltöltése ikonra, majd kattintson a Fájl feltöltésegombra.
Keresse meg azt a helyet, ahol letöltötte az ISO-fájlt a számítógépére, majd kattintson a Megnyitás gombra.
Kattintson az Igen gombra a feltöltési/letöltési műveletre vonatkozó figyelmeztetés elfogadásához, és zárja be az adatkészlet-párbeszédablakot.

2

ISO- fájl csatolása:

A VMware vSphere kliens bal oldali navigációs ablakában kattintson jobb gombbal a VM-re, majd kattintson a Beállítások szerkesztése lehetőségre.
Kattintson az OK gombra a korlátozott szerkesztési beállítások figyelmeztetésének elfogadásához.
Kattintson a CD/DVD-meghajtó 1elemre, válassza ki az ISO-fájlból való csatlakoztatást, és keresse meg azt a helyet, ahol a konfigurációs ISO-fájlt feltöltötte.
Jelölje be a Csatlakoztatva és a Kapcsolódás bekapcsolva lehetőséget.
Mentse a módosításokat és indítsa újra a virtuális gépet.

Mi a következő teendő

Ha az IT-házirend megköveteli, akkor opcionálisan eltávolíthatja az ISO-fájlt, miután az összes csomópont elvette a konfigurációs módosításokat. Részletekért lásd: (nem kötelező) Az ISO leválasztása a HDS-konfiguráció után .

A HDS-csomópont konfigurálása proxyintegrációhoz

Ha a hálózati környezet proxyt igényel, ezzel az eljárással adhatja meg a hibrid adatbiztonsággal integrálni kívánt proxy típusát. Ha átlátszó ellenőrző proxyt vagy HTTPS explicit proxyt választ, a csomópont felületével feltöltheti és telepítheti a főtanúsítványt. A proxykapcsolatot az interfészről is ellenőrizheti, és elháríthatja az esetleges problémákat.

Mielőtt elkezdené

A támogatott proxybeállítások áttekintését lásd: Proxytámogatás.
Proxykiszolgálói követelmények

1	Adja meg a HDS-csomópont beállítási `URL-címét https://[HDS Node IP vagy FQDN]/setup` egy webböngészőben, adja meg a csomóponthoz beállított rendszergazdai hitelesítő adatokat, majd kattintson a Bejelentkezésgombra.
2	Lépjen a Trust Store & Proxyelemre, majd válasszon egy lehetőséget: Nincs proxy – Az alapértelmezett beállítás a proxy integrálása előtt. Nincs szükség tanúsítványfrissítésre. Átlátszó nem ellenőrző proxy – A csomópontok nincsenek konfigurálva meghatározott proxykiszolgáló-cím használatára, és nem igényelhetnek módosításokat ahhoz, hogy a nem ellenőrző proxyval működjenek. Nincs szükség tanúsítványfrissítésre. Átlátszó ellenőrző proxy – A csomópontok nincsenek konfigurálva konkrét proxykiszolgáló-cím használatára. A hibrid adatbiztonsági üzembe helyezés során nincs szükség HTTPS-konfigurációs módosításokra, azonban a HDS-csomópontoknak főtanúsítványra van szükségük, hogy megbízzanak a proxyban. A proxyk ellenőrzését az IT általában arra használja, hogy betartassa azokat az irányelveket, amelyeken a webhelyek látogathatók, és milyen típusú tartalom nem engedélyezett. Ez a fajta proxy visszafejti az összes forgalmat (még HTTPS-t is). Explicit proxy – Az explicit proxy segítségével megmondja az ügyfélnek (HDS-csomópontok), hogy melyik proxykiszolgálót kell használni, és ez a beállítás több hitelesítési típust támogat. Miután kiválasztotta ezt a beállítást, meg kell adnia a következő adatokat: Proxy IP/FQDN – a proxygép elérésére használható cím. Proxyport – Olyan portszám, amelyet a proxy a lekerekített forgalom figyelésére használ. Proxyprotokoll – Válassza a http lehetőséget (az ügyféltől kapott összes kérést megtekintheti és vezérli) vagy a https lehetőséget (csatornát biztosít a szervernek, és az ügyfél megkapja és érvényesíti a szerver tanúsítványát). Válasszon egy lehetőséget a proxykiszolgáló által támogatott lehetőségek alapján. Hitelesítési típus – Válasszon a következő hitelesítési típusok közül: Nincs – Nincs szükség további hitelesítésre. Elérhető HTTP- vagy HTTPS-proxykhoz. Alapszintű – HTTP-felhasználói ügynökként használatos a felhasználónév és jelszó megadására kéréskor. Base64 kódolást használ. Elérhető HTTP- vagy HTTPS-proxykhoz. Ha ezt a lehetőséget választja, meg kell adnia a felhasználónevet és a jelszót is. Kivonás – A fiók megerősítésére szolgál, mielőtt érzékeny információkat küldene be. Kivonatfüggvényt alkalmaz a felhasználónévre és a jelszóra, mielőtt elküldené a hálózaton keresztül. Csak HTTPS proxykhoz érhető el. Ha ezt a lehetőséget választja, meg kell adnia a felhasználónevet és a jelszót is. Kövesse az átlátható ellenőrző proxy, az alapszintű hitelesítéssel rendelkező HTTP-explicit proxy vagy a HTTPS explicit proxy következő lépéseit.
3	Kattintson a Főtanúsítvány feltöltése vagy a Végfelhasználói tanúsítványlétrehozása elemre, majd keresse meg a proxy főtanúsítványát. A tanúsítvány feltöltésre került, de még nincs telepítve, mert a tanúsítvány telepítéséhez újra kell indítania a csomópontot. További részleteket szeretne megtudni a tanúsítványkibocsátó nevével a ékzár nyílra, vagy kattintson a Törlés gombra, ha hibát követett el, és újra szeretné tölteni a fájlt.
4	Kattintson a Proxykapcsolat ellenőrzése gombra a csomópont és a proxy közötti hálózati kapcsolat teszteléséhez. Ha a kapcsolati teszt sikertelen, hibaüzenet jelenik meg, amely bemutatja az okot és a probléma kijavítást. Ha olyan üzenet jelenik meg, amely szerint a külső DNS-felbontás nem sikerült, a csomópont nem tudta elérni a DNS-kiszolgálót. Ez a feltétel számos explicit proxykonfigurációban várható. Folytathatja a beállítást, és a csomópont blokkolt külső DNS-feloldási módban fog működni. Ha úgy gondolja, hogy ez hiba, hajtsa végre ezeket a lépéseket, majd tekintse meg a Blokkolt külső DNS-feloldási mód kikapcsolása című ismertetőt.
5	A csatlakozási teszt elvégzése után, ha csak https-re van állítva explicit proxy, kapcsolja be a kapcsolót a 443/444 https port útvonala parancsra az explicit proxynkeresztül. Ez a beállítás 15 másodpercet igényel a hatályba lépéshez.
6	Kattintson az Összes tanúsítvány telepítése a megbízhatósági tárolóba (HTTPS explicit proxy vagy átlátszó ellenőrző proxy esetén jelenik meg) vagy Indítsa újra (HTTP explicit proxy esetén jelenik meg), olvassa el a parancsot, majd kattintson a Telepítés gombra, ha készen áll. A csomópont néhány percen belül újraindul.
7	A csomópont újraindítása után jelentkezzen be újra, ha szükséges, majd nyissa meg az Áttekintés lapot, hogy ellenőrizze a kapcsolatellenőrzéseket, és győződjön meg arról, hogy mindegyik zöld állapotban van. A proxykapcsolat ellenőrzése csak webex.com aldomainét teszteli. Kapcsolódási problémák esetén gyakori probléma, hogy a telepítési utasításokban felsorolt felhőtartományok némelyike le van tiltva a proxyn.

A fürtben lévő első csomópont regisztrálása

Ez a feladat elvégzi a Hibrid adatbiztonsági szolgáltatás beállítása menüben létrehozott általános csomópontot, regisztrálja a csomópontot a Webex-felhővel, és hibrid adatbiztonsági szolgáltatás-csomóponttá alakítja.

Az első csomópont regisztrálásakor létrehoz egy fürtöt, amelyhez a csomópont hozzá van rendelve. A fürt egy vagy több, redundancia biztosítására telepített csomópontot tartalmaz.

Mielőtt elkezdené

Miután megkezdi egy csomópont regisztrációját, azt 60 percen belül el kell végeznie, különben el kell kezdenie a folyamatot.
Győződjön meg arról, hogy az előugró ablakok blokkolói le vannak tiltva a böngészőjében, vagy engedélyezze a kivételt az admin.webex.com számára.

1	Jelentkezzen be ide: https://admin.webex.com.
2	A képernyő bal oldalán található menüből válassza a Szolgáltatásoklehetőséget.
3	A Felhőszolgáltatások részben keresse meg a hibrid adatbiztonsági kártyát, majd kattintson a Beállítás gombra.
4	A megnyíló oldalon kattintson az Erőforrás hozzáadása lehetőségre.
5	A Csomópont hozzáadása kártya első mezőjében adja meg annak a fürtnek a nevét, amelyhez hozzá kívánja rendelni a hibrid adatbiztonsági szolgáltatás-csomópontot. Javasoljuk, hogy a fürtöt attól függően nevezze el, hogy a fürt csomópontjai földrajzilag hol helyezkednek el. Példák: "San Francisco" vagy "New York" vagy "Dallas"
6	A második mezőben adja meg a csomópont belső IP-címét vagy teljesen minősített tartománynevét (FQDN), majd kattintson a képernyő alján található Hozzáadás gombra. Ennek az IP-címnek vagy FQDN-nek meg kell egyeznie azzal az IP-címmel vagy állomásnévvel és tartománynévvel, amelyet a Hibrid adatbiztonsági szolgáltatás beállítása során használt. Megjelenik egy üzenet, amely azt jelzi, hogy regisztrálhatja a csomópontot a Webex rendszerében.
7	Kattintson az Ugrás a csomópontra lehetőségre. Néhány perc múlva átirányítja a rendszer a Webex-szolgáltatások csomóponti kapcsolódási tesztelésére. Ha az összes teszt sikeres, megjelenik a „Hibrid adatbiztonsági szolgáltatás-csomópont hozzáférésének engedélyezése” oldal. Ott megerősíti, hogy engedélyeket szeretne adni a Webex-szervezetnek a csomóponthoz való hozzáféréshez.
8	Jelölje be a Hozzáférés engedélyezése a hibrid adatbiztonsági szolgáltatás-csomóponthoz jelölőnégyzetet, majd kattintson a Folytatás gombra. Az Ön fiókja hitelesítve van, és a „Regisztráció befejezve” üzenet azt jelzi, hogy a csomópont mostantól regisztrálva van a Webex-felhőbe.
9	Kattintson a hivatkozásra, vagy zárja be a lapot, hogy visszatérjen a Partner Hub hibrid adatbiztonsági szolgáltatás oldalára. A Hibrid adatbiztonsági szolgáltatás oldalon az Ön által regisztrált csomópontot tartalmazó új fürt az Erőforrások lapon jelenik meg. A csomópont automatikusan letölti a legújabb szoftvert a felhőből.

További csomópontok létrehozása és regisztrálása

Ha további csomópontokat szeretne hozzáadni a fürthöz, egyszerűen hozzon létre további VM-eket, és szerelje fel ugyanazt a konfigurációs ISO-fájlt, majd regisztrálja a csomópontot. Javasoljuk, hogy legyen legalább 3 csomópontja.

Mielőtt elkezdené

Miután megkezdi egy csomópont regisztrációját, azt 60 percen belül el kell végeznie, különben el kell kezdenie a folyamatot.
Győződjön meg arról, hogy az előugró ablakok blokkolói le vannak tiltva a böngészőjében, vagy engedélyezze a kivételt az admin.webex.com számára.

1	Hozzon létre egy új virtuális gépet az OVA-ból, ismételje meg a HDS Host OVA telepítése című rész lépéseit.
2	Állítsa be a kezdeti konfigurációt az új VM-en, ismételve a Hibrid adatbiztonsági szolgáltatás VM beállítása lépéseit.
3	Az új VM-en ismételje meg a HDS-konfiguráció ISO feltöltése és csatlakoztatása című rész lépéseit.
4	Ha proxyt állít be az üzembe helyezéshez, ismételje meg a HDS-csomópont konfigurálása proxyintegrációhoz lépéseit az új csomóponthoz szükség szerint.
5	Regisztrálja a csomópontot. A(z) https://admin.webex.com alkalmazásban válassza a Szolgáltatások lehetőséget a képernyő bal oldalán található menüből. A Felhőszolgáltatások részben keresse meg a hibrid adatbiztonsági kártyát, és kattintson az Összes megtekintése gombra. Megjelenik a Hibrid adatbiztonsági erőforrások oldal. Az újonnan létrehozott fürt megjelenik az Erőforrások oldalon. Kattintson a fürtre a fürthöz hozzárendelt csomópontok megtekintéséhez. Kattintson a Csomópont hozzáadása elemre a képernyő jobb oldalán. Adja meg a csomópont belső IP-címét vagy teljesen minősített tartománynevét (FQDN), majd kattintson a Hozzáadás gombra. Megnyílik egy oldal egy üzenettel, amely jelzi, hogy regisztrálhatja a csomópontot a Webex-felhőbe. Néhány perc múlva átirányítja a rendszer a Webex-szolgáltatások csomóponti kapcsolódási tesztelésére. Ha az összes teszt sikeres, megjelenik a „Hibrid adatbiztonsági szolgáltatás-csomópont hozzáférésének engedélyezése” oldal. Itt megerősíti, hogy engedélyeket szeretne adni a szervezetének a csomóponthoz való hozzáféréshez. Jelölje be a Hozzáférés engedélyezése a hibrid adatbiztonsági szolgáltatás-csomóponthoz jelölőnégyzetet, majd kattintson a Folytatás gombra. Az Ön fiókja hitelesítve van, és a „Regisztráció befejezve” üzenet azt jelzi, hogy a csomópont mostantól regisztrálva van a Webex-felhőbe. Kattintson a hivatkozásra, vagy zárja be a lapot, hogy visszatérjen a Partner Hub hibrid adatbiztonsági szolgáltatás oldalára. A Csomópont hozzáadva felugró üzenet szintén megjelenik a Partnerközpontban a képernyő alján. A csomópont regisztrálva van.

Bérlői szervezetek kezelése a több-bérlős hibrid adatbiztonsági szolgáltatásban

Több-bérlős HDS aktiválása a Partner Hubban

Ez a feladat biztosítja, hogy az ügyfélszervezetek minden felhasználója megkezdhesse a HDS kihasználását a Helyszíni titkosítási kulcsok és egyéb biztonsági szolgáltatások esetében.

Mielőtt elkezdené

Győződjön meg arról, hogy befejezte a több-bérlős HDS-fürt beállítását a szükséges számú csomóponttal.

1	Jelentkezzen be ide: https://admin.webex.com.
2	A képernyő bal oldalán található menüből válassza a Szolgáltatásoklehetőséget.
3	A Felhőszolgáltatások részben keresse meg a hibrid adatbiztonsági szolgáltatást, majd kattintson a Beállítások szerkesztése lehetőségre.
4	Kattintson a HDS aktiválása lehetőségre a HDS állapot kártyán.

Bérlő szervezetek hozzáadása a Partner Hubban

Ebben a feladatban ügyfélszervezeteket rendel hozzá a hibrid adatbiztonsági szolgáltatás-fürthöz.

1	Jelentkezzen be ide: https://admin.webex.com.
2	A képernyő bal oldalán található menüből válassza a Szolgáltatásoklehetőséget.
3	A Felhőszolgáltatások részben keresse meg a hibrid adatbiztonsági szolgáltatást, majd kattintson az Összes megtekintése gombra.
4	Kattintson arra a fürtre, amelyhez ügyfelet szeretne hozzárendelni.
5	Lépjen a Hozzárendelt ügyfelek lapra.
6	Kattintson az Ügyfelek hozzáadása lehetőségre.
7	A legördülő menüből válassza ki a hozzáadni kívánt ügyfelet.
8	Kattintson a Hozzáadás lehetőségre, az ügyfél hozzá lesz adva a fürthöz.
9	Ismételje meg a 6–8. lépéseket több ügyfél hozzáadásához a fürthöz.
10	Kattintson a Kész gombra a képernyő alján, miután hozzáadta az ügyfeleket.

Mi a következő teendő

A beállítási folyamat befejezéséhez futtassa a HDS-telepítőeszközt az Ügyfél fő kulcsainak (CMK-k) létrehozása a HDS-telepítőeszköz használatával című részben részletezett módon.

Ügyfél fő kulcsainak (CMK-k) létrehozása a HDS-beállító eszköz használatával

Mielőtt elkezdené

Rendelje hozzá az ügyfeleket a megfelelő fürthöz a Bérlői szervezetek hozzáadása a Partnerközpontban című részben részletezett módon. Futtassa a HDS telepítőeszközt, hogy befejezze az újonnan hozzáadott ügyfélszervezetek beállítási folyamatát.

A HDS Setup eszköz Docker konténerként fut egy helyi gépen. Ha hozzá akarsz férni, futtasd a Dockert azon a gépen. A beállítási folyamat megköveteli a szervezet számára teljes rendszergazdai jogosultságokkal rendelkező Partner Hub-fiók hitelesítő adatait.

Ha a HDS-beállító eszköz a környezetben proxy mögött fut, az 5. lépésben adja meg a proxybeállításokat (kiszolgáló, port, hitelesítő adatokat) a Docker környezeti változókon keresztül. Ez a táblázat néhány lehetséges környezeti változót tartalmaz:

Leírás	Változó
Http-proxy hitelesítés nélkül	`GLOBÁLIS_ÜGYNÖK_HTTP_PROXY=HTTP://KISZOLGÁLÓ_IP:PORT`
HTTPS-proxy hitelesítés nélkül	`GLOBÁLIS_ÜGYNÖK_HTTPS_PROXY=http://KISZOLGÁLÓ_IP:PORT`
Http-proxy hitelesítéssel	`GLOBÁLIS_ÜGYNÖK_HTTP_PROXY=http://felhasználónév:jelszó@kiszolgáló_IP:PORT`
HTTPS-proxy hitelesítéssel	`GLOBÁLIS_ÜGYNÖK_HTTPS_PROXY=http://felhasználónév:jelszó@kiszolgáló_IP:PORT`

A létrehozott konfigurációs ISO fájl tartalmazza a PostgreSQL vagy Microsoft SQL Server adatbázist titkosító mesterkulcsot. Szükség van a fájl legutóbbi másolatára, amikor konfigurációs módosításokat hajt végre, mint például:
- Adatbázis hitelesítő adatai
- Tanúsítványfrissítések
- Az engedélyezési szabályzat változásai
Ha adatbázis-kapcsolatokat szeretne titkosítani, állítsa be a PostgreSQL vagy SQL Server telepítés TLS-hez.

A hibrid adatbiztonsági szolgáltatás beállítási folyamata ISO-fájlt hoz létre. Ezután az ISO-t használja a hibrid adatbiztonsági szolgáltatás-szervező konfigurálásához.

1	A gép parancssorában adja meg a környezetének megfelelő parancsot: Rendszeres környezetben: `docker rmi ciscocitg/hds-setup:stabil` FedRAMP környezetben: `docker rmi ciscocitg/hds-setup-fedramp:stabil` Ezzel a lépéssel törölhetők a HDS telepítőeszköz korábbi képei. Ha nincsenek korábbi képek, akkor olyan hibát ad vissza, amelyet figyelmen kívül hagyhat.
2	A Docker-képtárba való bejelentkezéshez írja be a következőket: `dokkoló bejelentkezés -u hdscustomersro`
3	A jelszókéréskor írja be ezt a hash-t: `dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo`
4	Töltse le a legfrissebb stabil képet a környezetéről: Rendszeres környezetben: `dokkoló húzás ciscocitg/hds-setup:stabil` FedRAMP környezetben: `dokkoló húzás ciscocitg/hds-setup-fedramp:stabil`
5	Amikor a húzás befejeződött, adja meg a környezetének megfelelő parancsot: Rendszeres környezetben, proxy nélkül: `dokkoló futtatása -p 8080:8080 --rm -it ciscocitg/hds-setup:stable` Http proxyval rendelkező normál környezetben: `docker run -p 8080:8080 --rm -it-e GLOBAL_AGENT_HTTP_PROXY=http://SERVER IP:PORT_ ciscocitg/hds-setup:stable` Normál környezetben HTTPS proxyval: `docker run -p 8080:8080 --rm -it-e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER IP:PORT_ ciscocitg/hds-setup:stable` FedRAMP környezetben, proxy nélkül: `dokkoló futtatása -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable` Http proxyval rendelkező FedRAMP környezetben: `docker run -p 8080:8080 --rm -it-e GLOBAL_AGENT_HTTP_PROXY=http://SERVER IP:PORT_ ciscocitg/hds-setup-fedramp:stable` FedRAMP környezetben https proxyval: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER IP:PORT_ ciscocitg/hds-setup-fedramp:stable` Amikor a konténer fut, az "Express szerver figyeli a 8080-as portot."
6	A beállítóeszköz nem támogatja a localhost-hoz való csatlakozást a http://localhost:8080-on keresztül. A(z) http://127.0.0.1:8080 használatával kapcsolódhat a localhost-hoz. Webböngészővel lépjen a(z) `http://127.0.0.1:8080` helyszínállomásra, majd adja meg a rendszergazda felhasználónevét a Partner Hubhoz a kérésben. Az eszköz a felhasználónév első bejegyzésével állítja be a fiókhoz tartozó megfelelő környezetet. Az eszköz ezután megjeleníti a normál bejelentkezési üzenetet.
7	Amikor a rendszer kéri, adja meg a Partner Hub rendszergazdájának bejelentkezési hitelesítő adatait, majd kattintson a Bejelentkezés gombra, hogy engedélyezze a hozzáférést a hibrid adatbiztonsági szolgáltatáshoz szükséges szolgáltatásokhoz.
8	A Beállítóeszköz áttekintése oldalon kattintson az Első lépések gombra.
9	Az ISO-importálás oldalon kattintson az Igen gombra.
10	Válassza ki az ISO-fájlt a böngészőben, és töltse fel. A CMK-kezelés végrehajtásához biztosítsa a kapcsolatot az adatbázisával.
11	Menjen a Bérlő CMK kezelése lapra, ahol a bérlő CMK-k kezelésének alábbi három módja található. CMK létrehozása minden ORG számára vagy CMK létrehozása – Kattintson erre a gombra a képernyő tetején látható sávon, ha CMK-t szeretne létrehozni minden újonnan hozzáadott szervezet számára. Kattintson a CMK kezelése gombra a képernyő jobb oldalán, majd kattintson a CMK létrehozása gombra, ha CMK-ket szeretne létrehozni az összes újonnan hozzáadott szervezet számára. Kattintson az adott szervezet CMK-kezelése függőben lévő állapotának közelében a táblázatban, majd kattintson a CMK létrehozása gombra a szervezet CMK létrehozásához.
12	Ha a CMK létrehozása sikeres, a táblázatban szereplő állapot a CMK-kezelés függőben állapotról CMK-kezelés állapotra változik.
13	Ha a CMK létrehozása sikertelen, egy hiba jelenik meg.

Bérlői szervezetek eltávolítása

Mielőtt elkezdené

Az eltávolítás után az ügyfélszervezetek felhasználói nem tudják majd kihasználni a HDS-t a titkosítási igényeikhez, és elveszítik az összes meglévő tárhelyet. Az ügyfélszervezetek eltávolítása előtt kérjük, lépjen kapcsolatba Cisco-partnerével vagy fiókkezelőjével.

1	Jelentkezzen be ide: https://admin.webex.com.
2	A képernyő bal oldalán található menüből válassza a Szolgáltatásoklehetőséget.
3	A Felhőszolgáltatások részben keresse meg a hibrid adatbiztonsági szolgáltatást, majd kattintson az Összes megtekintése gombra.
4	Az Erőforrások lapon kattintson arra a fürtre, amelyről el szeretné távolítani az ügyfélszervezeteket.
5	A megnyíló oldalon kattintson a Hozzárendelt ügyfelek lehetőségre.
6	A megjelenített ügyfélszervezetek listájában kattintson az eltávolítani kívánt ügyfélszervezet jobb oldalán található ... elemre, majd kattintson az Eltávolítás a fürtből lehetőségre.

Mi a következő teendő

Az eltávolítási folyamat befejezéséhez vonja vissza az ügyfélszervezetek CMK-jeit a HDS-ből eltávolított bérlők CMK-jének visszavonása című részben foglaltak szerint.

Vonja vissza a HDS-ből eltávolított bérlők CMK-jeit.

Mielőtt elkezdené

Ügyfelek eltávolítása a megfelelő fürtből a Bérlői szervezetek eltávolítása pontban részletezett módon. Futtassa a HDS-telepítő eszközt az eltávolított ügyfélszervezetek eltávolítási folyamatának befejezéséhez.

A HDS Setup eszköz Docker konténerként fut egy helyi gépen. Ha hozzá akarsz férni, futtasd a Dockert azon a gépen. A beállítási folyamat megköveteli a szervezet számára teljes rendszergazdai jogosultságokkal rendelkező Partner Hub-fiók hitelesítő adatait.

Ha a HDS-beállító eszköz a környezetben proxy mögött fut, az 5. lépésben adja meg a proxybeállításokat (kiszolgáló, port, hitelesítő adatokat) a Docker környezeti változókon keresztül. Ez a táblázat néhány lehetséges környezeti változót tartalmaz:

Leírás	Változó
Http-proxy hitelesítés nélkül	`GLOBÁLIS_ÜGYNÖK_HTTP_PROXY=HTTP://KISZOLGÁLÓ_IP:PORT`
HTTPS-proxy hitelesítés nélkül	`GLOBÁLIS_ÜGYNÖK_HTTPS_PROXY=http://KISZOLGÁLÓ_IP:PORT`
Http-proxy hitelesítéssel	`GLOBÁLIS_ÜGYNÖK_HTTP_PROXY=http://felhasználónév:jelszó@kiszolgáló_IP:PORT`
HTTPS-proxy hitelesítéssel	`GLOBÁLIS_ÜGYNÖK_HTTPS_PROXY=http://felhasználónév:jelszó@kiszolgáló_IP:PORT`

A létrehozott konfigurációs ISO fájl tartalmazza a PostgreSQL vagy Microsoft SQL Server adatbázist titkosító mesterkulcsot. Szükség van a fájl legutóbbi másolatára, amikor konfigurációs módosításokat hajt végre, mint például:
- Adatbázis hitelesítő adatai
- Tanúsítványfrissítések
- Az engedélyezési szabályzat változásai
Ha adatbázis-kapcsolatokat szeretne titkosítani, állítsa be a PostgreSQL vagy SQL Server telepítés TLS-hez.

A hibrid adatbiztonsági szolgáltatás beállítási folyamata ISO-fájlt hoz létre. Ezután az ISO-t használja a hibrid adatbiztonsági szolgáltatás-szervező konfigurálásához.

1	A gép parancssorában adja meg a környezetének megfelelő parancsot: Rendszeres környezetben: `docker rmi ciscocitg/hds-setup:stabil` FedRAMP környezetben: `docker rmi ciscocitg/hds-setup-fedramp:stabil` Ezzel a lépéssel törölhetők a HDS telepítőeszköz korábbi képei. Ha nincsenek korábbi képek, akkor olyan hibát ad vissza, amelyet figyelmen kívül hagyhat.
2	A Docker-képtárba való bejelentkezéshez írja be a következőket: `dokkoló bejelentkezés -u hdscustomersro`
3	A jelszókéréskor írja be ezt a hash-t: `dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo`
4	Töltse le a legfrissebb stabil képet a környezetéről: Rendszeres környezetben: `dokkoló húzás ciscocitg/hds-setup:stabil` FedRAMP környezetben: `dokkoló húzás ciscocitg/hds-setup-fedramp:stabil`
5	Amikor a húzás befejeződött, adja meg a környezetének megfelelő parancsot: Rendszeres környezetben, proxy nélkül: `dokkoló futtatása -p 8080:8080 --rm -it ciscocitg/hds-setup:stable` Http proxyval rendelkező normál környezetben: `docker run -p 8080:8080 --rm -it-e GLOBAL_AGENT_HTTP_PROXY=http://SERVER IP:PORT_ ciscocitg/hds-setup:stable` Normál környezetben HTTPS proxyval: `docker run -p 8080:8080 --rm -it-e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER IP:PORT_ ciscocitg/hds-setup:stable` FedRAMP környezetben, proxy nélkül: `dokkoló futtatása -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable` Http proxyval rendelkező FedRAMP környezetben: `docker run -p 8080:8080 --rm -it-e GLOBAL_AGENT_HTTP_PROXY=http://SERVER IP:PORT_ ciscocitg/hds-setup-fedramp:stable` FedRAMP környezetben https proxyval: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER IP:PORT_ ciscocitg/hds-setup-fedramp:stable` Amikor a konténer fut, az "Express szerver figyeli a 8080-as portot."
6	A beállítóeszköz nem támogatja a localhost-hoz való csatlakozást a http://localhost:8080-on keresztül. A(z) http://127.0.0.1:8080 használatával kapcsolódhat a localhost-hoz. Webböngészővel lépjen a(z) `http://127.0.0.1:8080` helyszínállomásra, majd adja meg a rendszergazda felhasználónevét a Partner Hubhoz a kérésben. Az eszköz a felhasználónév első bejegyzésével állítja be a fiókhoz tartozó megfelelő környezetet. Az eszköz ezután megjeleníti a normál bejelentkezési üzenetet.
7	Amikor a rendszer kéri, adja meg a Partner Hub rendszergazdájának bejelentkezési hitelesítő adatait, majd kattintson a Bejelentkezés gombra, hogy engedélyezze a hozzáférést a hibrid adatbiztonsági szolgáltatáshoz szükséges szolgáltatásokhoz.
8	A Beállítóeszköz áttekintése oldalon kattintson az Első lépések gombra.
9	Az ISO-importálás oldalon kattintson az Igen gombra.
10	Válassza ki az ISO-fájlt a böngészőben, és töltse fel.
11	Menjen a Bérlő CMK kezelése lapra, ahol a bérlő CMK-k kezelésének alábbi három módja található. CMK visszavonása az összes szervezet számára vagy CMK visszavonása – kattintson erre a gombra a képernyő tetején látható szalagon, ha szeretné visszavonni az összes eltávolított szervezet CMK-ját. Kattintson a CMK kezelése gombra a képernyő jobb oldalán, majd kattintson a CMK visszavonása gombra az összes eltávolított szervezet CMK-jének visszavonásához. Kattintson a gombra egy adott szervezet CMK visszavonásához állapot közelében a táblázatban, majd kattintson a CMK visszavonása gombra az adott szervezet CMK visszavonásához.
12	A CMK visszavonása sikeres, az ügyfél szervezete többé nem jelenik meg a táblázatban.
13	Ha a CMK visszavonása sikertelen, egy hiba jelenik meg.

Tesztelje hibrid adatbiztonsági szolgáltatás telepítését

A hibrid adatbiztonsági szolgáltatás telepítésének tesztelése

Ezzel az eljárással tesztelheti a több-bérlős hibrid adatbiztonsági titkosítási forgatókönyveket.

Mielőtt elkezdené

Állítsa be a több-bérlős hibrid adatbiztonsági szolgáltatás üzembe helyezését.
Bizonyosodjon meg arról, hogy rendelkezik-e hozzáféréssel a syslog-hoz, és ellenőrizze, hogy a kulcskérések továbbításra kerülnek-e a többbérlős hibrid adatbiztonsági szolgáltatás telepítésébe.

1

Az adott szoba kulcsait a szoba létrehozója állítja be. Jelentkezzen be a Webex alkalmazásba az ügyfél szervezetének egyik felhasználójaként, majd hozzon létre egy szobát.

Ha inaktiválja a hibrid adatbiztonsági szolgáltatás telepítését, a felhasználók által létrehozott terekben lévő tartalom többé nem érhető el, miután kicserélték a titkosítási kulcsok kliens által gyorsítótárazott másolatait.

2

Üzenetek küldése az új szobába.

3

Ellenőrizze a syslog kimenetet, és ellenőrizze, hogy a kulcskérések eljutnak-e a hibrid adatbiztonsági szolgáltatáshoz.

Ha ellenőrizni szeretné, hogy egy felhasználó először létrehoz-e biztonságos csatornát a KMS-hez, szűrőt a következő helyeken: kms.data.method=create és kms.data.type=EPHEMERAL_KEY_COLLECTION:

Meg kell találni egy bejegyzést, mint például a következő (az azonosítók rövidítve olvashatóság):

2020-07-21 17:35:34.562 (+0000) INFO KMS [pool-14-thread-1] - [KMS:REQUEST] fogadva, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.host=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

Ha ellenőrizni szeretné, hogy egy felhasználó kér-e meglévő kulcsot a KMS-ből, szűrőt a kms.data.method=retrieve és a kms.data.type=KEY oldalon:

Olyan bejegyzést kell találnia, mint:

2020-07-21 17:44:19.889 (+0000) INFO KMS [pool-14-thread-31] - [KMS:REQUEST] fogadva, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

Egy új KMS-kulcs létrehozását kérő felhasználó megkereséséhez szűrje a kms.data.method=create és a kms.data.type=KEY_COLLECTION elemekre:

Olyan bejegyzést kell találnia, mint:

2020-07-21 17:44:21.975 (+0000) INFO KMS [pool-14-thread-33] - [KMS:REQUEST] fogadva, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

Ha ellenőrizni szeretné, hogy egy felhasználó új KMS-erőforrásobjektum (KRO) létrehozását kéri-e egy tér vagy más védett erőforrás létrehozásakor, a szűrőt a kms.data.method=create és a kms.data.type=RESOURCE_COLLECTION elemekre:

Olyan bejegyzést kell találnia, mint:

2020-07-21 17:44:22.808 (+0000) INFO KMS [pool-15-thread-1] - [KMS:REQUEST] fogadva, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

Hibrid adatbiztonsági szolgáltatás állapotának megfigyelése

A Partner Hubon belül egy állapotjelző mutatja, hogy minden rendben van-e a több-bérlős hibrid adatbiztonsági szolgáltatás telepítésével. A proaktívabb riasztáshoz regisztráljon az e-mail-értesítésekre. Értesítést kap, ha szolgáltatást befolyásoló riasztások vagy szoftverfrissítések érkeznek.

1	A Partnerközpontban válassza a Szolgáltatások lehetőséget a képernyő bal oldalán található menüből.
2	A Felhőszolgáltatások részben keresse meg a hibrid adatbiztonsági szolgáltatást, majd kattintson a Beállítások szerkesztése lehetőségre. Megjelenik a Hibrid adatbiztonsági beállítások oldal.
3	Az E-mail-értesítések szakaszban adjon meg egy vagy több e-mail-címet vesszővel elválasztva, majd nyomja meg az Enter billentyűt.

HDS-telepítés kezelése

Az itt ismertetett feladatokat a hibrid adatbiztonsági szolgáltatás telepítésének kezeléséhez használja.

Fürtverziófrissítési ütemezés beállítása

A hibrid adatbiztonságra vonatkozó szoftverfrissítések a fürt szintjén automatikusan végrehajtásra kerülnek, ami biztosítja, hogy minden csomópont mindig ugyanazt a szoftververziót használja. A frissítések a fürt frissítési ütemezése szerint zajlanak. Amikor egy szoftverfrissítés elérhetővé válik, lehetősége van arra, hogy a beütemezett frissítési idő előtt manuálisan frissítse a fürtöt. Beállíthat egy konkrét frissítési ütemezést, vagy használhatja az alapértelmezett 3:00-as ütemezést: Amerika/Los Angeles. Szükség esetén elhalaszthatja a soron következő verziófrissítést is.

A verziófrissítési ütemezés beállítása:

1	Jelentkezzen be a Partnerközpontba.
2	A képernyő bal oldalán található menüből válassza a Szolgáltatásoklehetőséget.
3	A Felhőszolgáltatások részben keresse meg a hibrid adatbiztonsági szolgáltatást, majd kattintson a Beállítás gombra
4	A Hibrid adatbiztonsági erőforrások oldalon válassza ki a fürtöt.
5	Kattintson a Fürtbeállítások fülre.
6	A Fürtbeállítások oldalon a Verziófrissítési ütemezés alatt válassza ki a verziófrissítési ütemezéshez tartozó időt és időzónát. Megjegyzés: Az időzóna alatt a következő elérhető verziófrissítés dátuma és ideje jelenik meg. Ha szükséges, a Halasztás 24 órával opcióra kattintva elhalaszthatja a frissítést a következő napra.

A csomópont konfigurációjának módosítása

Előfordulhat, hogy időnként módosítania kell a hibrid adatbiztonsági csomópont konfigurációját olyan okok miatt, mint például:

Az x.509 tanúsítványok módosítása lejárati vagy egyéb okok miatt.

Nem támogatjuk a tanúsítvány CN domain nevének megváltoztatását. A domainnek egyeznie kell a fürt regisztrálásához használt eredeti domainnel.
Adatbázis-beállítások frissítése a PostgreSQL vagy a Microsoft SQL Server adatbázis kópiájára való váltáshoz.

Nem támogatjuk az adatok áttelepítését PostgreSQL-ről Microsoft SQL Server-re, vagy fordítva. Az adatbázis-környezet megváltoztatásához indítsa el a Hybrid Data Security új telepítését.
Új konfiguráció létrehozása új adatközpont előkészítéséhez.

Biztonsági okokból a Hybrid Data Security kilenc hónapos élettartamú szolgáltatási fiókjelszavakat is használ. Miután a HDS telepítőeszköz létrehozza ezeket a jelszavakat, az ISO konfigurációs fájlban minden HDS-csomópontra telepíti őket. Amikor a szervezet jelszavai a lejárathoz közelednek, értesítést kap a Webex csapatától a gépfiók jelszavának visszaállításáról. (Az e-mail tartalmazza a szöveget: "Használja a gép fiók API frissíteni a jelszót.") Ha jelszavai még nem jártak le, az eszköz két lehetőséget kínál:

Soft reset – A régi és az új jelszó egyaránt legfeljebb 10 napig használható. Használja ezt az időszakot a csomópontok ISO-fájljának fokozatos cseréjére.
Kemény alaphelyzetbe állítás – A régi jelszavak azonnal leállnak.

Ha jelszavai alaphelyzetbe állítás nélkül járnak le, az hatással van a HDS-szolgáltatásra, és az összes csomóponton az ISO-fájl azonnali hardveres alaphelyzetbe állítását és cseréjét igényli.

Használja ezt az eljárást egy új konfigurációs ISO-fájl létrehozásához és alkalmazásához a fürtön.

Mielőtt elkezdené

A HDS Setup eszköz Docker konténerként fut egy helyi gépen. Ha hozzá akarsz férni, futtasd a Dockert azon a gépen. A beállítási folyamat megköveteli a partner teljes körű rendszergazdai jogosultságokkal rendelkező Partner Hub-fiók hitelesítő adatait.

Ha a HDS-beállító eszköz a környezetben proxy mögött fut, adja meg a proxybeállításokat (kiszolgáló, port, hitelesítő adatokat) a Docker környezeti változókon keresztül, amikor a Docker tárolót az 1.e-ben helyezi üzembe. Ez a táblázat néhány lehetséges környezeti változót tartalmaz:

Leírás	Változó
Http-proxy hitelesítés nélkül	`GLOBÁLIS_ÜGYNÖK_HTTP_PROXY=HTTP://KISZOLGÁLÓ_IP:PORT`
HTTPS-proxy hitelesítés nélkül	`GLOBÁLIS_ÜGYNÖK_HTTPS_PROXY=http://KISZOLGÁLÓ_IP:PORT`
Http-proxy hitelesítéssel	`GLOBÁLIS_ÜGYNÖK_HTTP_PROXY=http://felhasználónév:jelszó@kiszolgáló_IP:PORT`
HTTPS-proxy hitelesítéssel	`GLOBÁLIS_ÜGYNÖK_HTTPS_PROXY=http://felhasználónév:jelszó@kiszolgáló_IP:PORT`

Új konfiguráció létrehozásához az aktuális konfigurációs ISO-fájl másolata szükséges. Az ISO tartalmazza a PostgreSQL vagy Microsoft SQL Server adatbázist titkosító mesterkulcsot. Konfiguráció-módosításkor, beleértve az adatbázis-hitelesítő adatokat, a tanúsítványok frissítését vagy az engedélyezési irányelv módosítását, ISO-szabványra van szüksége.

1	A Docker helyi gépen történő használata esetén futtassa a HDS Setup Tool alkalmazást. A gép parancssorában adja meg a környezetének megfelelő parancsot: Rendszeres környezetben: `docker rmi ciscocitg/hds-setup:stabil` FedRAMP környezetben: `docker rmi ciscocitg/hds-setup-fedramp:stabil` Ezzel a lépéssel törölhetők a HDS telepítőeszköz korábbi képei. Ha nincsenek korábbi képek, akkor olyan hibát ad vissza, amelyet figyelmen kívül hagyhat. A Docker-képtárba való bejelentkezéshez írja be a következőket: `dokkoló bejelentkezés -u hdscustomersro` A jelszókéréskor írja be ezt a hash-t: `dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo` Töltse le a legfrissebb stabil képet a környezetéről: Rendszeres környezetben: `dokkoló húzás ciscocitg/hds-setup:stabil` FedRAMP környezetben: `dokkoló húzás ciscocitg/hds-setup-fedramp:stabil` Győződjön meg róla, hogy az eljáráshoz a legújabb telepítőeszközt választotta. Az eszköz 2018. február 22. előtt létrehozott verziói nem rendelkeznek jelszó-visszaállító képernyővel. Amikor a húzás befejeződött, adja meg a környezetének megfelelő parancsot: Rendszeres környezetben, proxy nélkül: `dokkoló futtatása -p 8080:8080 --rm -it ciscocitg/hds-setup:stable` Http proxyval rendelkező normál környezetben: `docker run -p 8080:8080 --rm -it-e GLOBAL_AGENT_HTTP_PROXY=http://SERVER IP:PORT_ ciscocitg/hds-setup:stable` Rendszeres környezetben, HTTPSproxyval: `docker run -p 8080:8080 --rm -it-e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER IP:PORT_ ciscocitg/hds-setup:stable` FedRAMP környezetben, proxy nélkül: `dokkoló futtatása -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable` Http proxyval rendelkező FedRAMP környezetben: `docker run -p 8080:8080 --rm -it-e GLOBAL_AGENT_HTTP_PROXY=http://SERVER IP:PORT_ ciscocitg/hds-setup-fedramp:stable` FedRAMP környezetben https proxyval: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER IP:PORT_ ciscocitg/hds-setup-fedramp:stable` Amikor a tároló fut, megjelenik az "Express szerver hallgat a 8080-as porton". Használjon böngészőt a localhosthoz való `http://127.0.0.1:8080`csatlakozáshoz. A beállítóeszköz nem támogatja a localhost-hoz való csatlakozást a http://localhost:8080-on keresztül. A(z) http://127.0.0.1:8080 használatával kapcsolódhat a localhost-hoz. Amikor a rendszer kéri, adja meg a Partner Hub ügyfél bejelentkezési hitelesítő adatait, majd kattintson az Elfogadás gombra a folytatáshoz. Importálja az aktuális konfigurációs ISO-fájlt. Kövesse a figyelmeztetéseket az eszköz befejezéséhez és a frissített fájl letöltéséhez. A beállítóeszköz leállításához gépelje be a `CTRL+C` billentyűkombinációt. Készítsen biztonsági másolatot a frissített fájlról egy másik adatközpontban.
2	Ha csak egy HDS-csomópont fut, hozzon létre egy új hibrid adatbiztonsági szolgáltatás-csomópontot, és regisztrálja azt az új konfigurációs ISO-fájl használatával. Részletes útmutatásért lásd: További csomópontok létrehozása és regisztrálása. Telepítse a HDS GAZDAPETEFÉSZKET. A HDS VM beállítása. Csatolja a frissített konfigurációs fájlt. Regisztrálja az új csomópontot a Partnerközpontban.
3	A régebbi konfigurációs fájlt futtató HDS-csomópontok esetében csatlakoztassa az ISO-fájlt. Végezze el a következő eljárást minden csomóponton, majd frissítse az egyes csomópontokat, mielőtt kikapcsolná a következő csomópontot: Kapcsolja ki a virtuális gépet. A VMware vSphere kliens bal oldali navigációs ablakában kattintson jobb gombbal a VM-re, majd kattintson a Beállítások szerkesztése lehetőségre. Kattintson `a CD/DVD Drive 1`elemre, válassza ki az ISO-fájlból való csatlakoztatás lehetőségét, és keresse meg azt a helyet, ahol letöltötte az új konfigurációs ISO-fájlt. Bekapcsoláskor ellenőrizze a csatlakoztatást. Mentsd el a módosításokat és az energiát a virtuális gépen.
4	Ismételje meg a 3. lépést a konfiguráció cseréjéhez a régi konfigurációt futtató minden megmaradt csomóponton.

A blokkolt külső DNS-feloldási mód kikapcsolása

Amikor regisztrál egy csomópontot, vagy ellenőrzi a csomópont proxykonfigurációját, a folyamat teszteli a DNS-ellenőrzést és a Cisco Webex felhővel való kapcsolatot. Ha a csomópont DNS-kiszolgálója nem tudja feloldani a nyilvános DNS-neveket, a csomópont automatikusan blokkolt külső DNS-feloldási módba lép.

Ha a csomópontok képesek feloldani a nyilvános DNS-neveket a belső DNS-kiszolgálókon keresztül, kikapcsolhatja ezt a módot az egyes csomópontok proxykapcsolati tesztjének újrafuttatásával.

Mielőtt elkezdené

Győződjön meg arról, hogy a belső DNS-kiszolgálók képesek megoldani a nyilvános DNS-neveket, és hogy a csomópontok képesek kommunikálni velük.

1	Webböngészőben nyissa meg a hibrid adatbiztonsági csomópont felületét (például IP-cím/beállítás https://192.0.2.0/setup), adja meg a csomóponthoz beállított rendszergazdai hitelesítő adatokat, majd kattintson a Bejelentkezésgombra.
2	Lépjen az Áttekintés (az alapértelmezett lap) oldalra. Ha engedélyezve van, a letiltott külső DNS-felbontás igen értékre van állítva.
3	Lépjen a Megbízhatósági áruház és proxy oldalra.
4	Kattintson a Proxykapcsolat ellenőrzéseelemre. Ha olyan üzenet jelenik meg, amely szerint a külső DNS-felbontás nem sikerült, a csomópont nem tudta elérni a DNS-kiszolgálót, és ebben a módban marad. Ellenkező esetben a csomópont újraindítása és az Áttekintés lapra való visszalépés után a blokkolt külső DNS-felbontást nemre kell állítani.

Mi a következő lépés

Ismételje meg a proxykapcsolati tesztet a hibrid adatbiztonsági fürt minden csomópontján.

Csomópont eltávolítása

Ezzel az eljárással eltávolíthat egy hibrid adatbiztonsági szolgáltatás-csomópontot a Webex-felhőből. Miután eltávolította a csomópontot a fürtből, törölje a virtuális gépet, hogy megakadályozza a további hozzáférést a biztonsági adatokhoz.

1

A számítógépén lévő VMware vSphere kliens használatával jelentkezzen be az ESXi virtuális állomásba, és kapcsolja ki a virtuális gépet.

2

Csomópont eltávolítása:

Jelentkezzen be a Partnerközpontba, majd válassza a Szolgáltatásoklehetőséget.
A hibrid adatbiztonsági szolgáltatás kártyán kattintson az Összes megtekintése gombra a hibrid adatbiztonsági erőforrások oldal megjelenítéséhez.
Válassza ki a fürtöt az Áttekintés panel megjelenítéséhez.
Kattintson az eltávolítani kívánt csomópontra.
Kattintson a Csomópont regisztrációjának törlése lehetőségre a jobb oldalon megjelenő panelen
A csomópont regisztrációját úgy is törölheti, hogy rákattint a csomópont jobb oldalára, és kiválasztja a Csomópont eltávolítása lehetőséget.

3

A vSphere kliensben törölje a VM-et. (A bal oldali navigációs panelen kattintson a jobb gombbal a VM-re, majd kattintson a Törlés gombra.)

Ha nem törli a VM-et, ne felejtse el eltávolítani a konfigurációs ISO-fájlt. Az ISO fájl nélkül nem lehet hozzáférni a biztonsági adatokhoz a VM segítségével.

Katasztrófa-helyreállítás a készenléti adatközpont használatával

A hibrid adatbiztonsági szolgáltatás-fürt által nyújtott legkritikusabb szolgáltatás az üzenetek és más tartalmak titkosításához használt kulcsok létrehozása és tárolása a Webex-felhőben. A szervezeten belüli minden olyan felhasználó számára, aki hozzá van rendelve a hibrid adatbiztonsághoz, a rendszer átirányítja az új kulcslétrehozási kérelmeket a fürthöz. A fürt felelős a létrehozott kulcsok visszaküldéséért is bármely, a lekérésre jogosult felhasználónak, például egy beszélgetési szoba tagjainak.

Mivel a fürt a kulcsok biztosításának kritikus funkcióját végzi, elengedhetetlen, hogy a fürt továbbra is fusson, és megfelelő biztonsági mentéseket tartson fenn. A hibrid adatbiztonsági szolgáltatás-adatbázis vagy a sémához használt konfigurációs ISO elvesztése az ügyféltartalom VISSZAFORDÍTHATATLAN ELVESZTÉSÉT eredményezi. Az ilyen veszteség megelőzése érdekében a következő gyakorlatok kötelezőek:

Ha egy katasztrófa miatt a HDS telepítése nem érhető el az elsődleges adatközpontban, kövesse ezt az eljárást a készenléti adatközpontba való manuális feladatátvételhez.

Mielőtt elkezdené

Törölje az összes csomópont regisztrációját a Partner Hubból a Csomópont eltávolítása részben említettek szerint. Az alább említett feladatátvételi eljárás végrehajtásához használja a korábban aktív fürt csomópontjain konfigurált legújabb ISO-fájlt.

1	Indítsa el a HDS telepítőeszközt, és kövesse a Konfigurációs ISO létrehozása a HDS szervezők számára című részben említett lépéseket.
2	Végezze el a konfigurációs folyamatot, és mentse el az ISO fájlt egy könnyen megtalálható helyre.
3	Készítsen biztonsági másolatot az ISO fájlról a helyi rendszerre. Tartsa biztonságban a biztonsági másolatot. Ez a fájl az adatbázis tartalmához tartozó fő titkosítási kulcsot tartalmaz. Korlátozza a hozzáférést csak azokra a hibrid adatbiztonsági szolgáltatás-rendszergazdákra, akiknek konfigurációs módosításokat kell végrehajtaniuk.
4	A VMware vSphere kliens bal oldali navigációs ablakában kattintson jobb gombbal a VM-re, majd kattintson a Beállítások szerkesztése lehetőségre.
5	Kattintson a Beállítások szerkesztése >CD/DVD Drive 1 elemre, és válassza a Datastore ISO-fájl lehetőséget. Győződjön meg arról, hogy a Csatlakoztatva és a Kapcsolódás bekapcsolva be van jelölve, hogy a frissített konfigurációs módosítások a csomópontok elindítása után életbe lépjenek.
6	Kapcsolja be a HDS-csomópontot, és győződjön meg arról, hogy legalább 15 percig nincs riasztás.
7	Regisztrálja a csomópontot a Partnerközpontban. Lásd: A fürt első csomópontjának regisztrálása.
8	Ismételje meg a folyamatot minden csomóponthoz a készenléti adatközpontban.

Mi a következő teendő

A feladatátvétel után, ha az elsődleges adatközpont ismét aktívvá válik, törölje a készenléti adatközpont csomópontjainak regisztrációját, és ismételje meg az ISO konfigurálását és az elsődleges adatközpont csomópontjainak regisztrálását a fent említettek szerint.

(Opcionális) ISO leválasztása a HDS-konfiguráció után

A standard HDS konfiguráció az ISO csatlakozóval fut. Néhány ügyfél azonban nem szeretné, ha az ISO fájlokat folyamatosan csatlakoztatva hagyná. Az ISO fájl leszerelhető, miután az összes HDS-csomópont felvette az új konfigurációt.

A konfiguráció módosításához továbbra is az ISO-fájlokat használja. Amikor új ISO-t hoz létre vagy frissít egy ISO-t a Telepítőeszköz segítségével, a frissített ISO-t minden HDS-csomópontra fel kell szerelnie. Miután az összes csomópont átvette a konfigurációs módosításokat, újra leszerelheti az ISO-t ezzel az eljárással.

Mielőtt elkezdené

Frissítse az összes HDS-csomópontot a 2021.01.22.4720-as vagy újabb verzióra.

1	Állítsa le az egyik HDS-csomópontot.
2	A vCenter Server Appliance-ben válassza ki a HDS csomópontot.
3	Válassza a Beállítások szerkesztése > CD-/DVD-meghajtó lehetőséget, és törölje az ISO-fájl jelölését.
4	Kapcsolja be a HDS-csomópontot, és biztosítsa, hogy legalább 20 percig ne legyen riasztás.
5	Ismételje meg egymás után minden HDS-csomópont esetében.

Hibrid adatbiztonsági szolgáltatás hibaelhárítása

Riasztások és hibaelhárítás megtekintése

A hibrid adatbiztonsági szolgáltatás telepítése nem érhető el, ha a fürtben lévő összes csomópont nem érhető el, vagy a fürt olyan lassan működik, hogy időtúllépést igényel. Ha a felhasználók nem tudják elérni a hibrid adatbiztonsági szolgáltatás-fürtöt, a következő tüneteket tapasztalják:

Nem lehet új szobákat létrehozni (nem lehet új kulcsot létrehozni)
Nem sikerült visszafejteni az üzeneteket és a szobák címeit a következőhöz:
- Új felhasználók hozzáadva egy szobához (nem lehet lekérni a kulcsokat)
- Meglévő felhasználók egy szobában új klienssel (nem lehet lekérni a kulcsokat)
A szobában lévő meglévő felhasználók továbbra is sikeresen futnak, amennyiben az ügyfeleik rendelkeznek a titkosítási kulcsok gyorsítótárával

Fontos, hogy megfelelően figyelje a hibrid adatbiztonsági szolgáltatás-fürtöt, és azonnal kezelje az esetleges riasztásokat, hogy elkerülje a szolgáltatás megszakadását.

Riasztások

Ha probléma van a hibrid adatbiztonsági szolgáltatás beállításával, a Partner Hub riasztásokat jelenít meg a szervezet rendszergazdájának, és e-maileket küld a konfigurált e-mail-címre. A riasztások számos gyakori forgatókönyvet fednek le.

1. táblázat Gyakori problémák és a megoldásukhoz szükséges lépések
Riasztás	Művelet
Helyi adatbázis-hozzáférés sikertelen.	Keressen adatbázishibákat vagy helyi hálózati problémákat.
Nem sikerült csatlakozni a helyi adatbázishoz.	Ellenőrizze, hogy az adatbázis szerver elérhető-e, és a megfelelő szolgáltatásfiók hitelesítő adatokat használták-e a csomópont konfigurációjában.
Sikertelen volt a felhőszolgáltatás-hozzáférés.	Ellenőrizze, hogy a csomópontok hozzáférhetnek-e a Webex kiszolgálókhoz a Külső kapcsolódási követelmények pontban meghatározottak szerint.
A felhőszolgáltatás regisztrációjának megújítása.	A felhőszolgáltatásokba való regisztráció megszakadt. A lajstromozás megújítása folyamatban van.
A felhőszolgáltatás regisztrációja megszakadt.	A felhőszolgáltatásokba való regisztráció leállt. A szolgáltatás leáll.
A szolgáltatás még nincs aktiválva.	Aktiválja a HDS-t a Partnerközpontban.
A konfigurált tartomány nem egyezik a kiszolgáló tanúsítványával.	Győződjön meg arról, hogy a kiszolgálótanúsítvány megegyezik a konfigurált szolgáltatásaktiválási tartománygal. A legvalószínűbb ok az, hogy a CN tanúsítványt nemrégiben módosították, és mostantól különbözik a kezdeti beállítás során használt CN-től.
A felhőszolgáltatásokhoz való hitelesítés sikertelen.	Ellenőrizze a szolgáltatásfiók hitelesítő adatainak pontosságát és esetleges lejáratát.
Nem sikerült megnyitni a helyi kulcstár fájlját.	Ellenőrizze az integritást és a jelszó pontosságát a helyi kulcstárfájlban.
A helyi kiszolgáló tanúsítványa érvénytelen.	Ellenőrizze a kiszolgáló tanúsítványának lejárati dátumát, és erősítse meg, hogy azt egy megbízható hitelesítésszolgáltató állította ki.
Nem lehet mérőszámokat közzétenni.	Ellenőrizze a külső felhőszolgáltatásokhoz való helyi hálózati hozzáférést.
A /media/configdrive/hds könyvtár nem létezik.	Ellenőrizze az ISO rögzítési konfigurációt a virtuális állomáson. Ellenőrizze, hogy az ISO fájl létezik-e, hogy újraindításkor csatlakoztatásra van-e konfigurálva, és hogy sikeresen csatlakozik-e.
A bérlő szervezetének beállítása nem fejeződött be a hozzáadott szervezetek esetében	A beállítást úgy fejezze be, hogy CMK-ket hoz létre az újonnan hozzáadott bérlő szervezetek számára a HDS-telepítőeszköz használatával.
A bérlő szervezeti beállítása az eltávolított szervezetek esetében nem fejeződött be	A telepítést végezze el az olyan bérlő szervezetek CMK-jének visszavonásával, amelyeket a HDS telepítőeszköz használatával távolítottak el.

Hibrid adatbiztonsági szolgáltatás hibaelhárítása

A hibrid adatbiztonsági szolgáltatással kapcsolatos problémák elhárításakor használja a következő általános irányelveket.

1	Ellenőrizze a Partner Hubot az esetleges riasztások miatt, és javítsa ki az ott található elemeket. Bővebb tájékoztatásért lásd az alábbi képet.
2	Ellenőrizze a Hibrid adatbiztonsági szolgáltatás telepítésből származó tevékenységhez tartozó syslog szerver kimenetét. A hibaelhárítás érdekében szűrje az olyan szavakra, mint a „Figyelmeztetés” és a „Hiba”.
3	Forduljon a Cisco ügyfélszolgálatához.

Egyéb megjegyzések

A hibrid adatbiztonsági szolgáltatás ismert problémái

Ha leállítja a hibrid adatbiztonsági szolgáltatás-fürtöt (a Partner Hubban történő törléssel vagy az összes csomópont leállításával), elveszíti a konfigurációs ISO-fájlt, vagy elveszíti a kulcsrakész-adatbázishoz való hozzáférést, az ügyfélszervezetek Webex alkalmazás felhasználói többé nem használhatják a KMS-ből kulcsokkal létrehozott Személyek listában szereplő szobákat. Jelenleg nem rendelkezünk megoldással vagy megoldással ehhez a problémához, és arra kérjük, hogy ne állítsa le a HDS-szolgáltatásait, miután azok aktív felhasználói fiókokat kezelnek.
Az az ügyfél, amely meglévő ECDH-kapcsolattal rendelkezik egy KMS-sel, egy ideig (valószínűleg egy órán keresztül) tartja fenn a kapcsolatot.

OpenSSL használata PKCS12 fájl létrehozásához

Mielőtt elkezdené

Az OpenSSL egy olyan eszköz, amellyel a PKCS12 fájlt a megfelelő formátumban lehet betölteni a HDS telepítőeszközben. Ennek más módjai is vannak, és nem támogatjuk vagy támogatjuk az egyik módot a másikkal szemben.
Ha az OpenSSL használatát választja, útmutatóként biztosítjuk ezt az eljárást, hogy segítsen létrehozni egy olyan fájlt, amely megfelel az X.509 Certificate Requirements (X.509 Certificate Requirements) X.509 tanúsítványkövetelményeinek. Mielőtt folytatná, ismerje meg ezeket a követelményeket.
Telepítse az OpenSSL-t támogatott környezetben. Lásd: https://www.openssl.org a szoftver és a dokumentáció.
Hozzon létre egy privát kulcsot.
Indítsa el ezt az eljárást, amikor megkapja a kiszolgáló tanúsítványt a hitelesítésszolgáltatótól (CA).

1	Amikor megkapja a kiszolgálótanúsítványt a hitelesítésszolgáltatótól, mentse el `hdsnode.pem` formátumban.
2	A tanúsítvány megjelenítése szövegként, és ellenőrizze a részleteket. `openssl x509 - text - noout - in hdsnode.pem`
3	Használjon szövegszerkesztőt egy `hdsnode-bundle.pem` nevű tanúsítványkötegfájl létrehozásához. A csomagfájlnak tartalmaznia kell a kiszolgáló tanúsítványt, a közbenső CA-tanúsítványokat és a legfelső CA-tanúsítványokat az alábbi formátumban: `-----kezdési tanúsítvány----- ### Kiszolgáló tanúsítvány. ### -----befejező tanúsítvány----------------------------------------------------------------------------------------------------------------------- ### Közbenső CA-tanúsítvány. ### -----befejező tanúsítvány----------------------------------------------------------------------------------------------------------------------- ### Legfelső szintű CA-tanúsítvány. ### -----befejező tanúsítvány-----`
4	Hozza létre a .p12 fájlt `kms-private-key` névvel. `openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -név kms-private-key -caname kms-private-key -out hdsnode.p12`
5	Ellenőrizze a kiszolgáló tanúsítványának részleteit. `nyissa meg a pkcs12 -t a hdsnode.p12-ben` Adjon meg egy jelszót a titkos kulcs titkosítására vonatkozó kérésnél, hogy az megjelenjen a kimenetben. Ezután ellenőrizze, hogy a titkos kulcs és az első tanúsítvány tartalmazza-e a `friendlyName vonalakat: kms-private-key`. Példa: bash$ openssl pkcs12 -in hdsnode.p12 Adja meg az importálási jelszót: MAC által ellenőrzött OK táska attribútumok friendlyName: kms-private-key localKeyId: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Kulcsattribútumok: Adja meg a PEM-belépési kifejezést: Ellenőrzés – Adja meg a PEM-belépési kifejezést: -----KEZDJE EL TITKOSÍTOTT TITKOS KULCS----- -----END TITKOSÍTOTT TITKOS KULCS------ Táska attribútumai friendlyName: kms-private-key localKeyId: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 ------BEGIN CERTIFICATE---- -----END CERTIFICATE----- Bag Attributes friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US tárgy=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 kibocsátó=/O=Digital Signature Trust Co./CN=DST legfelső szintű hitelesítésszolgáltató X3 -----BEGIN CERTIFICATE---- -----END CERTIFICATE-----

Mi a következő teendő

Visszatérés a Hibrid adatbiztonsági szolgáltatás előfeltételeinek teljesítése lehetőséghez. A hdsnode.p12 fájlt és a hozzá beállított jelszót fogja használni az ISO-konfiguráció létrehozása a HDS-állomásoknál menüpontban.

Ezeket a fájlokat újra felhasználhatja új tanúsítvány kéréséhez, amikor az eredeti tanúsítvány lejár.

HDS-csomópontok és a felhő közötti forgalom

Kimenő mérőszámok gyűjtésének forgalma

A hibrid adatbiztonsági csomópontok bizonyos mérőszámokat küldenek a Webex felhőbe. Ezek közé tartoznak a heap max, a használt heap, a CPU terhelése és a szálszám rendszermérőszámai; a szinkronizált és aszinkron szálak mérőszámai; a titkosítási kapcsolatok küszöbértékét, a késleltetést vagy a kérés sor hosszát érintő riasztások mérőszámai; az adatkészlet mérőszámai; és a titkosítási kapcsolat mérőszámai. A csomópontok titkosított kulcs anyagot küldenek egy sávon kívüli (a kérelemtől elkülönülő) csatornán keresztül.

Bejövő forgalom

A hibrid adatbiztonsági szolgáltatás-csomópontok a bejövő forgalom alábbi típusait kapják meg a Webex-felhőből:

Az ügyfelektől érkező, a titkosítási szolgáltatás által irányított titkosítási kérések
A csomópont szoftverének frissítései

Squid-proxyk konfigurálása a hibrid adatbiztonsághoz

A Websocket nem tud tintahal-proxyn keresztül csatlakozni

A HTTPS-forgalmat ellenőrző Squid-proxyk zavarhatják a websocket (wss:) kapcsolatok létrehozását, amelyeket a Hibrid adatbiztonsági szolgáltatás igényel. Ezek a szakaszok útmutatást nyújtanak arról, hogyan konfigurálhatja a Squid különböző verzióit a wss figyelmen kívül hagyásához: a szolgáltatások megfelelő működéséhez szükséges forgalom.

Tintahal 4 és 5

Adja hozzá az on_unsupported_protocol irányelvet a squid.conf fájlhoz:

on_unsupported_protocol az alagút

Tintahal 3.5.27

Sikeresen teszteltük a hibrid adatbiztonságot a következő szabályokkal, amelyek hozzáadva vannak a squid.conf.conf-hez. Ezek a szabályok változhatnak a funkciók fejlesztése és a Webex felhő frissítése során.

acl wssMercuryConnection ssl::server_name_regex Mercury-kapcsolat ssl_bump splice wssMercuryConnection acl step1 at_step SslBump1 acl step2 at_step SslBump2 acl step3 at_step SslBump3 ssl_bump peek step1 all ssl_bump stare step2 all ssl_bump bump step3 all

Új és módosított információk

Ez a táblázat ismerteti az új funkciókat vagy funkciókat, a meglévő tartalom módosításait, valamint a Több-bérlős hibrid adatbiztonsági szolgáltatás üzembehelyezési útmutatójában kijavított főbb hibákat.

Dátum	Módosítások
2025. január 30.	2022-es SQL server-verzió hozzáadva a támogatott SQL-kiszolgálók listájához az Adatbázis-kiszolgáló követelményei részben.
2025. január 15.	A több-bérlős hibrid adatbiztonsági szolgáltatás korlátai hozzáadva.
2025. január 8.	Hozzáadtunk egy megjegyzést a Kezdeti beállítási és telepítési fájlok letöltése részben, amely kimondja, hogy a Beállítás elemre kattintva a Partner Hubban a HDS-kártyán, a telepítési folyamat fontos lépése.
2025. január 7.	Frissült a Virtuális szervezőre vonatkozó követelmények, a Hibrid adatbiztonsági szolgáltatás telepítési feladatfolyama, és a HDS Host OVA telepítése az ESXi 7.0 új követelményének megjelenítéséhez.
2024. december 13.	Először megjelent.

Több-bérlős hibrid adatbiztonsági szolgáltatás inaktiválása

Több-bérlős HDS-deaktiválási feladatfolyamat

Kövesse az alábbi lépéseket a több-bérlős HDS teljes kikapcsolásához.

Mielőtt elkezdené

Ezt a feladatot csak teljes jogú partnerrendszergazda végezheti el.

1	Távolítsa el az összes ügyfelet az összes fürtből, a Bérlői szervezetek eltávolítása részben említettek szerint.
2	Vonja vissza az összes ügyfél CMK-jét, a HDS-ből eltávolított bérlők CMK-jének visszavonása című részben említettek szerint.
3	Távolítsa el az összes csomópontot az összes fürtből, a Csomópont eltávolítása részben említettek szerint.
4	Törölje az összes fürtöt a Partnerközpontból a következő két módszer valamelyikével. Kattintson a törölni kívánt fürtre, majd az áttekintés oldal jobb felső sarkában válassza a Fürt törlése lehetőséget. Az Erőforrások oldalon kattintson a fürt jobb oldalán, és válassza a Fürt eltávolításalehetőséget.
5	Kattintson a Beállítások fülre a hibrid adatbiztonsági szolgáltatás áttekintő oldalán, majd kattintson a HDS inaktiválása gombra a HDS-állapotkártyán.

Első lépések a több-bérlős hibrid adatbiztonsági szolgáltatással

Több-bérlős hibrid adatbiztonsági szolgáltatás áttekintése

A Webex alkalmazás tervezésekor az első naptól kezdve az adatbiztonság volt az elsődleges hangsúly. A biztonság sarokköve a tartalom végpontok közötti titkosítása, amelyet a Key Management Service (KMS) szolgáltatással együttműködő Webex alkalmazás ügyfelei engedélyeznek. A KMS felelős az üzenetek és fájlok dinamikus titkosítására és visszafejtésére használt kriptográfiai kulcsok létrehozásáért és kezeléséért.

Alapértelmezés szerint a Webex alkalmazás összes ügyfele a felhőalapú KMS-ben, a Cisco biztonsági tartományában tárolt dinamikus kulcsokkal kap végpontok közötti titkosítást. A Hybrid Data Security a KMS-T és más, biztonsággal kapcsolatos funkciókat a vállalati adatközpontba helyezi át, így csak Ön rendelkezik a titkosított tartalom kulcsaival.

A több bérlős hibrid adatbiztonsági szolgáltatás lehetővé teszi a szervezetek számára a HDS kihasználását egy megbízható helyi partneren keresztül, aki szolgáltatóként tevékenykedhet, és kezelheti a helyszíni titkosítást és egyéb biztonsági szolgáltatásokat. Ez a beállítás lehetővé teszi a partnerszervezet számára, hogy teljes ellenőrzést gyakoroljon a titkosítási kulcsok telepítése és kezelése felett, valamint biztosítja az ügyfélszervezetek felhasználói adatainak külső hozzáféréstől való biztonságát. A partnerszervezetek szükség szerint HDS-példányokat állíthatnak be, és HDS-fürtöket hozhatnak létre. Minden egyes példány több ügyfélszervezetet is támogathat, ellentétben a rendszeres HDS-telepítéssel, amely egyetlen szervezetre korlátozódik.

Bár a partnerszervezetek felügyelik a telepítést és a kezelést, nem férnek hozzá az ügyfelek által generált adatokhoz és tartalmakhoz. Ez a hozzáférés az ügyfélszervezetekre és azok felhasználóira korlátozódik.

Ez lehetővé teszi a kisebb szervezetek számára, hogy kihasználják a HDS-t, mivel a kulcskezelési szolgáltatás és a biztonsági infrastruktúra, például az adatközpontok a megbízható helyi partner tulajdonában vannak.

Hogyan biztosítja a több-bérlős hibrid adatbiztonság az adatszuverenitást és adatvezérlést?

A felhasználók által létrehozott tartalmak védve vannak a külső hozzáféréstől, például a felhőszolgáltatóktól.
A helyi megbízható partnerek kezelik azoknak az ügyfeleknek a titkosítási kulcsait, akikkel már kialakult kapcsolatuk.
Helyi műszaki támogatási lehetőség, ha azt a partner biztosítja.
Támogatja az értekezleteket, az üzenetküldést és a hívást.

Ez a dokumentum célja, hogy segítse a partnerszervezeteket az ügyfelek létrehozásában és kezelésében egy több-bérlős hibrid adatbiztonsági rendszer keretében.

A több-bérlős hibrid adatbiztonsági szolgáltatás korlátai

A partnerszervezetek nem rendelkezhetnek aktív meglévő HDS-telepítéssel a Control Hubban.
A partner által kezelni kívánt bérlői vagy ügyfélszervezetek nem rendelkezhetnek meglévő HDS-telepítéssel a Control Hubban.
Miután a partner bevezette a több-bérlős HDS-t, az ügyfélszervezetek összes felhasználója, valamint a partnerszervezet felhasználói elkezdik kihasználni a több-bérlős HDS-t a titkosítási szolgáltatásaikhoz.

Az általuk kezelt partnerszervezet és ügyfélszervezetek ugyanazon a több-bérlős HDS-telepítésen fognak részt venni.

A partnerszervezet a továbbiakban nem fogja használni a felhőalapú KMS-t a több-bérlős HDS telepítése után.
HDS-telepítés után nincs mechanizmus a kulcsok felhőalapú KMS-be való visszahelyezésére.
Jelenleg minden több-bérlős HDS telepítésnek csak egy fürtje lehet, és az alatt több csomópont is lehet.
A rendszergazdai szerepköröknek vannak bizonyos korlátai; a részleteket lásd az alábbi szakaszban.

Szerepkörök a többbérlős hibrid adatbiztonsági szolgáltatásban

Partner teljes jogú rendszergazdája – a partner által kezelt összes ügyfél beállításait kezelheti. A szervezetben már meglévő felhasználókhoz rendszergazdai szerepköröket is hozzárendelhet, és kijelölhet bizonyos ügyfeleket, akiket a partner rendszergazdái kezelhetnek.
Partnerrendszergazda – Kezelheti a rendszergazda által biztosított vagy a felhasználóhoz rendelt ügyfelek beállításait.
Teljes jogú rendszergazda – A partnerszervezet olyan rendszergazdája, aki jogosult olyan feladatok elvégzésére, mint például a szervezeti beállítások módosítása, a licencek kezelése és szerepkörök hozzárendelése.

Végponttól végpontig több-bérlős HDS beállítása és kezelése az összes ügyfélszervezet esetében – Partneri rendszergazdai és teljes körű rendszergazdai jogok szükségesek.
Hozzárendelt bérlő szervezetek kezelése – Partnerrendszergazdai és teljes körű rendszergazdai jogok szükségesek.

Biztonsági tartomány architektúrája

A Webex felhőarchitektúra a különböző típusú szolgáltatásokat külön tartományokra vagy megbízható tartományokra osztja szét, az alábbiakban bemutatottak szerint.

A hibrid adatbiztonság további megértéséhez először tekintsük meg ezt a tiszta felhőalapú esetet, amelyben a Cisco a felhőbirodalmában minden funkciót biztosít. Az identitásszolgáltatás, az egyetlen hely, ahol a felhasználók közvetlenül korrelálhatók személyes adataikkal, például az e-mail-címükkel, logikusan és fizikailag elkülönül a B adatközpont biztonsági tartományától. Mindkettő viszont elkülönül attól a tartománytól, ahol a titkosított tartalmat végül tárolják, a C adatközpontban.

Ezen az ábrán az ügyfél a felhasználó laptopján futó Webex alkalmazás, és az azonosítási szolgáltatással van hitelesítve. Amikor a felhasználó egy szobába küldendő üzenetet állít össze, a következő lépések történnek:

Az ügyfél biztonságos kapcsolatot létesít a kulcskezelési szolgáltatással (KMS), majd egy kulcsot kér az üzenet titkosításához. A biztonságos kapcsolat ECDH-t használ, a KMS pedig AES-256 mesterkulccsal titkosítja a kulcsot.
Az üzenet titkosítva van, mielőtt elhagyja a klienst. Az ügyfél elküldi azt az indexelő szolgáltatásnak, amely titkosított keresési indexeket hoz létre, hogy segítse a jövőbeli tartalmi kereséseket.
A titkosított üzenetet a rendszer elküldi a megfelelőségi szolgáltatásnak megfelelőségi ellenőrzésre.
A titkosított üzenet a tárhely tartományában tárolódik.

A hibrid adatbiztonsági szolgáltatás telepítésekor a biztonsági tartomány funkcióit (KMS, indexelés és megfelelőség) áthelyezi a helyszíni adatközpontba. A Webexet alkotó egyéb felhőszolgáltatások (beleértve az identitást és a tartalomtárolást) a Cisco birodalmában maradnak.

Együttműködés más szervezetekkel

A szervezetéhez tartozó felhasználók rendszeresen használhatják a Webex alkalmazást, hogy együttműködjenek más szervezetek külső résztvevőivel. Amikor az egyik felhasználó kulcsot kér egy olyan szobához, amely az Ön szervezetének tulajdona (mivel azt az egyik felhasználó hozta létre), a KMS egy ECDH-biztonságos csatornán keresztül elküldi a kulcsot az ügyfélnek. Ha azonban egy másik szervezet tulajdonában van a szoba kulcsa, a KMS egy külön ECDH-csatornán keresztül továbbítja a kérést a Webex felhőbe, hogy megkapja a kulcsot a megfelelő KMS-ből, majd visszaküldi a kulcsot a felhasználónak az eredeti csatornán.

Az „A” szervezeten futó KMS-szolgáltatás x.509 PKI-tanúsítványok használatával ellenőrzi a más szervezetek KMS-eihez való kapcsolatokat. A több-bérlős hibrid adatbiztonsági szolgáltatás telepítéséhez használandó x.509-tanúsítvány létrehozásával kapcsolatos részletekért lásd: Környezet előkészítése .

Elvárások a hibrid adatbiztonsági szolgáltatás telepítésével kapcsolatban

A hibrid adatbiztonsági szolgáltatás telepítéséhez jelentős elkötelezettségre és a titkosítási kulcsok tulajdonosi kockázataira van szükség.

A hibrid adatbiztonsági szolgáltatás telepítéséhez meg kell adnia a következőket:

Biztonságos adatközpont egy olyan országban, amely a Cisco Webex Teams-csomagok támogatott helyszíne.
A Környezet előkészítése részben leírt berendezések, szoftverek és hálózati hozzáférés.

A hibrid adatbiztonsági szolgáltatáshoz létrehozott konfigurációs ISO vagy az Ön által megadott adatbázis teljes elvesztése a kulcsok elvesztését eredményezi. A kulcsvesztés megakadályozza, hogy a felhasználók visszafejtsék a tárhelytartalmakat és egyéb titkosított adatokat a Webex alkalmazásban. Ha ez megtörténik, új telepítést hozhat létre, de csak az új tartalom lesz látható. Az adatokhoz való hozzáférés elvesztésének elkerülése érdekében:

Kezelje az adatbázis és a konfiguráció ISO biztonsági mentését és helyreállítását.
Készüljön fel a gyors katasztrófa-helyreállításra, ha katasztrófa történik, mint például az adatbázis lemezhibája vagy az adatközpont-katasztrófa.

HDS-telepítés után nincs mechanizmus a kulcsok felhőbe való visszahelyezésére.

Magas szintű beállítási folyamat

Ez a dokumentum egy több-bérlős hibrid adatbiztonsági szolgáltatás telepítésének beállításával és kezelésével foglalkozik:

Hibrid adatbiztonsági szolgáltatás beállítása – Ez magában foglalja a szükséges infrastruktúra előkészítését és a hibrid adatbiztonsági szolgáltatás szoftverének telepítését, egy HDS-fürt létrehozását, bérlői szervezetek hozzáadását a fürthöz, valamint az ügyfél fő kulcsainak (CMK-k) kezelését. Ez lehetővé teszi az ügyfélszervezetek minden felhasználója számára, hogy a hibrid adatbiztonsági szolgáltatás-fürtöt használja a biztonsági funkciókhoz.

A beállítási, aktiválási és kezelési szakaszt a következő három fejezet részletesen ismerteti.
A hibrid adatbiztonsági szolgáltatás telepítésének fenntartása – A Webex felhő automatikusan folyamatos frissítéseket biztosít. Az Ön informatikai osztálya első szintű támogatást nyújthat ehhez a telepítéshez, és szükség szerint bevonhatja a Cisco-támogatást. A Partner Hubban használhatja a képernyőn megjelenő értesítéseket, és beállíthat e-mail-alapú riasztásokat.
A gyakori riasztások, hibaelhárítási lépések és ismert problémák megértése – Ha problémába ütközik a hibrid adatbiztonsági szolgáltatás telepítése vagy használata során, az útmutató utolsó fejezete és az Ismert problémák függelék segíthet a probléma meghatározásában és megoldásában.

Hibrid adatbiztonsági szolgáltatás telepítési modellje

A vállalati adatközponton belül a hibrid adatbiztonsági szolgáltatást egyetlen csomópontfürtként telepíti különálló virtuális szervezőkre. A csomópontok biztonságos websocket-eken és biztonságos HTTP-n keresztül kommunikálnak a Webex Clouddal.

A telepítési folyamat során az OVA fájlt biztosítjuk Önnek a virtuális készülékek beállításához az Ön által biztosított VM-eken. A HDS telepítőeszköz segítségével egyéni fürtkonfigurációs ISO-fájlt hozhat létre, amelyet minden csomópontra rögzíthet. A hibrid adatbiztonsági szolgáltatás-fürt a megadott Syslogd-kiszolgálót és PostgreSQL vagy Microsoft SQL Server adatbázist használja. (A Syslogd és az adatbázis-kapcsolat részleteit a HDS telepítőeszközben konfigurálhatja.)

Hibrid adatbiztonsági szolgáltatás telepítési modellje

Egy fürtben minimálisan elérhető csomópontok száma kettő. Fürtönként legalább hármat ajánlunk. A több csomópont biztosítja, hogy a szolgáltatás ne szakadjon meg egy csomóponton végzett szoftverfrissítés vagy egyéb karbantartási tevékenység során. (A Webex-felhő egyszerre csak egy csomópontot frissít.)

A fürtben lévő összes csomópont ugyanahhoz a kulcsadatkészlethez és ugyanahhoz a syslog szerverhez fér hozzá a naplótevékenységhez. Maguk a csomópontok státustalanok, és a kulcskéréseket kerek-robin módon kezelik, a felhő utasításai szerint.

A csomópontok aktiválódnak, amikor regisztrálja őket a Partner Hubban. Ha egy egyedi csomópontot ki szeretne zárni a szolgáltatásból, törölheti a regisztrációját, majd szükség esetén később újra regisztrálhatja.

Készenléti adatközpont a katasztrófa-helyreállításhoz

A telepítés során biztonságos készenléti adatközpontot állít be. Adatközpont-katasztrófa esetén manuálisan meghiúsulhat a telepítés a készenléti adatközpontba.

Az aktív és készenléti adatközpontok adatbázisai szinkronizálva vannak egymással, ami minimalizálja a feladatátvétel elvégzéséhez szükséges időt.

Az aktív hibrid adatbiztonsági szolgáltatás-csomópontoknak mindig ugyanabban az adatközpontban kell lenniük, mint az aktív adatbázis-kiszolgálónak.

Proxy támogatás

A Hibrid adatbiztonság támogatja az explicit, átlátható ellenőrzést és a nem ellenőrző proxykat. Ezeket a proxykat az üzembe helyezéshez kötheti, így biztonságossá teheti és figyelheti a vállalattól a felhőig irányuló forgalmat. A tanúsítványkezeléshez platformfelügyeleti felületet használhat a csomópontokon, és ellenőrizheti a kapcsolat általános állapotát, miután beállította a proxyt a csomópontokon.

A hibrid adatbiztonsági csomópontok a következő proxybeállításokat támogatják:

Nincs proxy – Az alapértelmezett, ha nem használja a Megbízhatósági tároló és proxy konfigurációt a HDS-csomópont beállításához a proxy integrálásához. Nincs szükség tanúsítványfrissítésre.
Átlátszó, nem ellenőrző proxy – A csomópontok nincsenek konfigurálva meghatározott proxykiszolgáló-cím használatára, és nem igényelhetnek módosításokat ahhoz, hogy a nem ellenőrző proxyval működjenek. Nincs szükség tanúsítványfrissítésre.
Átlátszó alagútépítés vagy ellenőrzés proxy – A csomópontok nincsenek konfigurálva konkrét proxykiszolgáló-cím használatára. A csomópontokon nincs szükség HTTP- vagy HTTPS-konfigurációs módosításokra. A csomópontoknak azonban főtanúsítványra van szükségük, hogy megbízzanak a proxyban. A proxyk ellenőrzését az IT általában arra használja, hogy betartassa azokat az irányelveket, amelyeken a webhelyek látogathatók, és milyen típusú tartalom nem engedélyezett. Ez a fajta proxy visszafejti az összes forgalmat (még HTTPS-t is).
Explicit proxy – Az explicit proxy segítségével megmondja a HDS-csomópontoknak, hogy melyik proxykiszolgálót és hitelesítési sémát kell használni. Explicit proxy konfigurálásához minden csomóponton a következő adatokat kell megadnia:
1. Proxy IP/FQDN – a proxygép elérésére használható cím.
2. Proxyport – Olyan portszám, amelyet a proxy a lekerekített forgalom figyelésére használ.
3. Proxyprotokoll – Attól függően, hogy a proxykiszolgáló mit támogat, válasszon a következő protokollok közül:
  - HTTP – Az ügyfél által küldött összes kérés megtekintése és ellenőrzése.
  - HTTPS – Csatornát biztosít a kiszolgálónak. Az ügyfél megkapja és ellenőrzi a kiszolgáló tanúsítványát.
4. Hitelesítési típus – Válasszon a következő hitelesítési típusok közül:
  - Nincs – Nincs szükség további hitelesítésre.
    
    Akkor érhető el, ha a HTTP-t vagy a HTTPS-t választja proxyprotokollként.
  - Alapszintű – HTTP-felhasználói ügynökként használatos a felhasználónév és jelszó megadására kéréskor. Base64 kódolást használ.
    
    Akkor érhető el, ha a HTTP-t vagy a HTTPS-t választja proxyprotokollként.
    
    Meg kell adnia a felhasználónevet és a jelszót az egyes csomópontokon.
  - Kivonás – A fiók megerősítésére szolgál, mielőtt érzékeny információkat küldene be. Kivonatfüggvényt alkalmaz a felhasználónévre és a jelszóra, mielőtt elküldené a hálózaton keresztül.
    
    Csak akkor érhető el, ha a HTTPS-t választja proxyprotokollként.
    
    Meg kell adnia a felhasználónevet és a jelszót az egyes csomópontokon.

Példa hibrid adatbiztonsági csomópontokra és proxykra

Ez a diagram egy példakapcsolatot mutat be a hibrid adatbiztonság, a hálózat és a proxy között. Az átlátható ellenőrzési és HTTPS-explicit ellenőrző proxybeállításokhoz ugyanazt a főtanúsítványt kell telepíteni a proxyra és a hibrid adatbiztonsági csomópontokra.

Blokkolt külső DNS-feloldási mód (explicit proxykonfigurációk)

Amikor regisztrál egy csomópontot, vagy ellenőrzi a csomópont proxykonfigurációját, a folyamat teszteli a DNS-ellenőrzést és a Cisco Webex felhővel való kapcsolatot. Az explicit proxykonfigurációkkal rendelkező központi telepítések esetében, amelyek nem teszik lehetővé a külső DNS-feloldást a belső ügyfelek számára, ha a csomópont nem tudja lekérdezni a DNS-kiszolgálókat, automatikusan blokkolt külső DNS-feloldási módba lép. Ebben az üzemmódban folytatódhat a csomópont-regisztráció és más proxykapcsolati tesztek.

Készítse elő környezetét

A több-bérlős hibrid adatbiztonságra vonatkozó követelmények

Cisco Webex licenckövetelmények

A több-bérlős hibrid adatbiztonsági szolgáltatás telepítéséhez:

Partnerszervezetek: Forduljon Cisco-partneréhez vagy fiókkezelőjéhez, és bizonyosodjon meg arról, hogy engedélyezve van a több-bérlős funkció.
Bérlői szervezetek: Rendelkeznie kell a Cisco Webex Control Hub Pro Packkel. (Lásd: https://www.cisco.com/go/pro-pack.)

Docker asztali követelmények

A HDS-csomópontok telepítése előtt a telepítőprogram futtatásához a Docker Desktop alkalmazásra van szükség. A Docker nemrég frissítette licencelési modelljét. Előfordulhat, hogy szervezetének fizetős előfizetést kell igényelnie a Docker Desktophoz. További részletekért lásd a Docker blogbejegyzést, "A Docker frissíti és bővíti termékelőfizetéseinket".

X.509 tanúsítványkövetelmények

A tanúsítványláncnak az alábbi követelményeknek kell megfelelnie:

1. táblázat X.509 Tanúsítványkövetelmények a hibrid adatbiztonsági szolgáltatás telepítéséhez
Követelmény	részletei
Megbízható hitelesítésszolgáltató (CA) által aláírt	Alapértelmezés szerint megbízunk a Mozilla listában szereplő hitelesítésszolgáltatókban (a WoSign és a StartCom kivételével) a következő címen: https://wiki.mozilla.org/CA:IncludedCAs.
Közös név (CN) tartománynévvel rendelkezik, amely azonosítja a hibrid adatbiztonsági szolgáltatás telepítését Nem helyettesítő kód tanúsítvány	A CN-nek nem kell elérhetőnek vagy élő szervezőnek lennie. Javasoljuk, hogy olyan nevet használjon, amely tükrözi a szervezetét, például `hds.company.com`. A CN nem tartalmazhat * karaktert (helyettesítő karaktert). A CN-t a Webex alkalmazás ügyfeleihez tartozó hibrid adatbiztonsági szolgáltatás-csomópontok ellenőrzésére használják. A fürtben lévő összes hibrid adatbiztonsági szolgáltatás-csomópont ugyanazt a tanúsítványt használja. A KMS a CN tartomány használatával azonosítja magát, nem az x.509v3 SAN mezőkben definiált tartományt. Miután regisztrált egy csomópontot ezzel a tanúsítvánnyal, nem támogatjuk a CN-tartomány nevének megváltoztatását.
Nem SHA1-aláírás	A KMS szoftver nem támogatja az SHA1-aláírásokat a más szervezetek KMS-jeihez való kapcsolatok érvényesítéséhez.
Jelszóval védett PKCS #12 fájlként formázva A tanúsítvány, a titkos kulcs és a feltölteni kívánt közbenső tanúsítványok címkézéséhez használja a `kms-private-key` felhasználóbarát nevét.	A tanúsítvány formátumának megváltoztatásához használjon konvertálót, például OpenSSL-t. A HDS telepítőeszköz futtatásakor meg kell adnia a jelszót.

A KMS szoftver nem kényszeríti ki a kulcshasználatot vagy a kiterjesztett kulcshasználati korlátozásokat. Egyes hitelesítésszolgáltatók megkövetelik, hogy kiterjesztett kulcshasználati korlátozásokat alkalmazzanak minden tanúsítványra, például a kiszolgáló hitelesítésére. Megfelelő a kiszolgálóhitelesítés vagy egyéb beállítások használata.

Virtuális szervezőre vonatkozó követelmények

A fürtben hibrid adatbiztonsági szolgáltatás-csomópontként beállított virtuális szervezőkre a következő követelmények vonatkoznak:

Legalább két különálló szervező (3 ajánlott) ugyanabban a biztonságos adatközpontban van elhelyezve
A VMware ESXi 7.0 (vagy későbbi) verzió telepítve és fut.

Frissítenie kell, ha az ESXi egy korábbi verziójával rendelkezik.
Legalább 4 vCPU, 8 GB fő memória, 30 GB helyi merevlemez kiszolgálónként

Adatbázis-kiszolgáló követelmények

Hozzon létre egy új adatbázist a kulcstároláshoz. Ne használja az alapértelmezett adatbázist. A HDS alkalmazások telepítésekor létrehozzák az adatbázis-sémát.

Az adatbázis-kiszolgálónak két lehetősége van. Az egyes követelményekre vonatkozó követelmények a következők:

2. táblázat Adatbázis-kiszolgáló követelmények az adatbázis típusa szerint
PostgreSQL csevegés	Microsoft SQL kiszolgáló
A PostgreSQL 14, 15 vagy 16 telepítve és fut.	Az SQL Server 2016, 2017, 2019 vagy 2022 (Enterprise vagy Standard) telepítve van. Az SQL Server 2016 használatához 2. szervizcsomag és 2. vagy újabb kumulatív frissítés szükséges.
Legalább 8 vCPU, 16 GB fő memória, elegendő tárhely a merevlemezen és figyelés, hogy ne lépje túl (2 TB ajánlott, ha hosszú ideig szeretné futtatni az adatbázist a tárhely növelése nélkül)	Legalább 8 vCPU, 16 GB fő memória, elegendő tárhely a merevlemezen és figyelés, hogy ne lépje túl (2 TB ajánlott, ha hosszú ideig szeretné futtatni az adatbázist a tárhely növelése nélkül)

A HDS szoftver jelenleg a következő illesztőprogramokat telepíti az adatbázis-kiszolgálóval való kommunikációhoz:

PostgreSQL csevegés

Microsoft SQL kiszolgáló

Postgres JDBC illesztőprogram 42.2.5

SQL Server JDBC illesztőprogram 4.6

Ez az illesztőprogram-verzió támogatja az SQL Server Always On ( Always On Failover Cluster Instances és Always On Availability Groups) szolgáltatást.

A Microsoft SQL Server elleni Windows-hitelesítés további követelményei

Ha azt szeretné, hogy a HDS csomópontok Windows hitelesítést használjanak, hogy hozzáférjenek a Microsoft SQL Server kulcstári adatbázisához, akkor a következő konfigurációra van szükség a környezetben:

A HDS csomópontokat, az Active Directory infrastruktúrát és az MS SQL Server-t mind szinkronizálni kell az NTP-vel.
A HDS-csomópontok számára megadott Windows-fióknak olvasási/írási hozzáféréssel kell rendelkeznie az adatbázishoz.
A HDS-csomópontokhoz megadott DNS-kiszolgálóknak képesnek kell lenniük a kulcselosztó központ (KDC) feloldására.
A HDS adatbázis-példányát a Microsoft SQL Server kiszolgálón a szolgáltatás fő neveként (SPN) regisztrálhatja az Active Directoryban. Lásd: Szolgáltatás fő nevének regisztrálása Kerberos-kapcsolatokhoz.

A HDS telepítőeszköznek, a HDS indítónak és a helyi KMS-nek mind Windows-hitelesítést kell használnia a keystore adatbázishoz való hozzáféréshez. Az ISO-konfiguráció részleteit használják az SPN megépítéséhez, amikor Kerberos hitelesítéssel kívánnak hozzáférni.

Külső kapcsolódási követelmények

Konfigurálja úgy a tűzfalát, hogy engedélyezze a következő csatlakozást a HDS-alkalmazásokhoz:

Alkalmazás	Protokoll	Port	Irány az alkalmazásból	Cél
Hibrid adatbiztonsági szolgáltatás-csomópontok	TCP	443	Kimenő HTTPS és WSS	Webex-kiszolgálók: .wbx2.com .ciscospark.com Minden Common Identity-szervező A hibrid adatbiztonságra vonatkozóan felsorolt egyéb URL-címek a Webex hibrid szolgáltatásokhoz további URL-címekWebex-szolgáltatások hálózati követelményei táblázatban
HDS-beállító eszköz	TCP	443	Kimenő HTTPS	*.wbx2.com Minden Common Identity-szervező hub.docker.com

A hibrid adatbiztonsági szolgáltatás-csomópontok hálózati hozzáférési fordítással (NAT) vagy tűzfal mögött működnek, amennyiben a NAT vagy a tűzfal lehetővé teszi a szükséges kimenő kapcsolatokat az előző táblázatban szereplő tartománycélhelyekhez. A hibrid adatbiztonsági szolgáltatás-csomópontokra bejövő kapcsolatok esetében nem szabad, hogy a portok látszódjanak az internetről. Az adatközponton belül az ügyfeleknek adminisztratív okokból hozzá kell férniük a hibrid adatbiztonsági szolgáltatás-csomópontokhoz a 443-as és 22-es TCP-portokon.

A Common Identity (CI) gazdagépek URL-címe régiónkénti. Ezek a jelenlegi CI-szervezők:

Régió	Common Identity Host URL-címek
Amerika	https://idbroker.webex.com https://identity.webex.com https://idbroker-b-us.webex.com https://identity-b-us.webex.com
Európai Unió	https://idbroker-eu.webex.com https://identity-eu.webex.com
Kanada	https://idbroker-ca.webex.com https://identity-ca.webex.com
Szingapúr	https://idbroker-sg.webex.com https://identity-sg.webex.com
Egyesült Arab Emírségek	https://idbroker-ae.webex.com https://identity-ae.webex.com

Proxykiszolgálói követelmények

Hivatalosan is támogatjuk a következő proxy megoldásokat, amelyek integrálhatók a hibrid adatbiztonsági csomópontjaival.
- Átlátszó proxy – Cisco Web Security Appliance (WSA).
- Explicit proxy – tintahal.
  
  A HTTPS-forgalmat ellenőrző Squid-proxyk zavarhatják a websocket (wss:) kapcsolatok létrehozását. A probléma megoldásához lásd: Squid-proxyk konfigurálása hibrid adatbiztonsághoz.
Az explicit proxyk esetében a következő hitelesítési típuskombinációkat támogatjuk:
- Nincs hitelesítés HTTP-vel vagy HTTPS-rel
- Alapszintű hitelesítés HTTP-vel vagy HTTPS-rel
- Hitelesítés megemésztése csak HTTPS-rel
Átlátszó ellenőrző proxyhoz vagy HTTPS explicit proxyhoz rendelkeznie kell a proxy főtanúsítványának másolatával. Az útmutató üzembe helyezési utasításaiból az útmutató ismerteti, hogyan töltheti fel a másolatot a hibrid adatbiztonsági csomópontok megbízhatósági tárolóiba.
A HDS-csomópontokat üzemeltető hálózatot úgy kell konfigurálni, hogy a 443-as port kimenő TCP-forgalmát kényszerítse a proxyn való áthaladásra.
A webes forgalmat ellenőrző proxyk zavarhatják a webfoglalat-kapcsolatokat. Ha ez a probléma bekövetkezik, a forgalom megkerülése (nem ellenőrzése) wbx2.com és ciscospark.com megoldja a problémát.

A hibrid adatbiztonság előfeltételeinek teljesítése

Ezzel az ellenőrzőlistával győződjön meg arról, hogy készen áll a hibrid adatbiztonsági szolgáltatás-fürt telepítésére és konfigurálására.

1	Győződjön meg arról, hogy partnerszervezete engedélyezte a Több-bérlős HDS funkciót, és kérje le egy teljes körű partnerrendszergazdai jogosultsággal és teljes körű rendszergazdai jogosultsággal rendelkező fiók hitelesítő adatait. Győződjön meg arról, hogy Webex-ügyfélszervezete engedélyezve van a Cisco Webex Control Hub Pro Pack csomagja. A folyamattal kapcsolatos segítségért forduljon Cisco-partneréhez vagy fiókkezelőjéhez. Az ügyfélszervezetek nem rendelkezhetnek meglévő HDS-telepítéssel.
2	Válasszon ki egy tartománynevet a HDS telepítéséhez (például `hds.company.com`), és szerezzen be egy X.509 tanúsítványt, titkos kulcsot és bármely közbenső tanúsítványt tartalmazó tanúsítványláncot. A tanúsítványláncnak meg kell felelnie az X.509 tanúsítványkövetelmények előírásainak.
3	Készítse elő azokat az azonos virtuális szervezőket, akiket hibrid adatbiztonsági szolgáltatás-csomópontként fog beállítani a fürtben. Legalább két különálló szervezőre (3 ajánlott) van szükség ugyanabban a biztonságos adatközpontban, amelyek megfelelnek a Virtuális szervező követelményei pontban foglalt követelményeknek.
4	Készítse elő az adatbázis-kiszolgálót, amely a fürt kulcsadattáraként fog működni, az Adatbázis-kiszolgáló követelményei szerint. Az adatbázis-kiszolgálót a biztonságos adatközpontban kell elhelyezni a virtuális gazdagépekkel. Hozzon létre egy adatbázist a kulcstároláshoz. (Létre kell hoznia ezt az adatbázist – ne használja az alapértelmezett adatbázist. A HDS alkalmazások telepítésekor létrehozzák az adatbázis sémát.) Gyűjtse össze azokat a részleteket, amelyeket a csomópontok az adatbázis-kiszolgálóval való kommunikációhoz használnak: a gazdagép neve vagy IP-címe (gazdagép) és a port az adatbázis neve (dbname) a kulcstároláshoz a kulcstárolási adatbázis összes jogosultságával rendelkező felhasználó felhasználóneve és jelszava
5	A gyors katasztrófa-helyreállításhoz állítson be biztonsági mentési környezetet egy másik adatközpontban. A biztonsági mentési környezet a VM-ek és a biztonsági mentési adatbázis szerver termelési környezetét tükrözi. Ha például a gyártásnak 3 HDS csomópontot futtató VM-je van, a biztonsági mentési környezetnek 3 VM-je van.
6	Állítson be egy syslog-állomást a fürt csomópontjairól érkező naplók összegyűjtésére. A hálózati cím és a syslog port összegyűjtése (alapértelmezés: UDP 514).
7	Hozzon létre biztonságos biztonsági mentési szabályzatot a hibrid adatbiztonsági szolgáltatás-csomópontokhoz, az adatbázis-kiszolgálóhoz és a syslog-állomáshoz. A visszafordíthatatlan adatvesztés elkerülése érdekében legalább biztonsági másolatot kell készítenie az adatbázist és a hibrid adatbiztonsági szolgáltatás csomópontokhoz generált konfigurációs ISO-fájlt. Mivel a hibrid adatbiztonsági csomópontok tárolják a tartalom titkosításához és visszafejtéséhez használt kulcsokat, a működőképes telepítés karbantartásának elmulasztása a tartalom VISSZAFORDÍTHATATLAN ELVESZTÉSÉT eredményezi. A Webex alkalmazás ügyfelei gyorsítják a kulcsaikat, így előfordulhat, hogy a kimaradás nem lesz azonnal észrevehető, de idővel nyilvánvalóvá válik. Míg az ideiglenes kimaradást lehetetlen megelőzni, azok visszafordíthatóak. Az adatbázis vagy konfigurációs ISO fájl teljes elvesztése (nincs elérhető biztonsági mentés) azonban visszafordíthatatlan ügyféladatokat eredményez. A hibrid adatbiztonsági szolgáltatás-csomópontok üzemeltetői várhatóan gyakori biztonsági másolatot készítenek az adatbázisról és a konfigurációs ISO-fájlról, és készen állnak a hibrid adatbiztonsági szolgáltatás-adatközpont újbóli felépítésére, ha katasztrofális hiba lép fel.
8	Győződjön meg arról, hogy a tűzfalkonfiguráció engedélyezi a csatlakozást a hibrid adatbiztonsági szolgáltatás-csomópontok számára, a Külső kapcsolódási követelmények pontban leírtak szerint.
9	Telepítse a Docker-t ( https://www.docker.com) bármely támogatott operációs rendszert futtató helyi gépre (Microsoft Windows 10 Professional vagy Enterprise 64 bites vagy Mac OSX Yosemite 10.10.3 vagy újabb) olyan webböngészővel, amely a következő címen tud hozzáférni: http://127.0.0.1:8080. A Docker-példány segítségével letöltheti és futtathatja a HDS telepítőeszközt, amely az összes hibrid adatbiztonsági szolgáltatás-csomópont helyi konfigurációs információit összeállítja. Lehet, hogy Docker asztali licencre van szüksége. További információkért lásd: Docker asztali követelmények . A HDS-telepítőeszköz telepítéséhez és futtatásához a helyi gépnek rendelkeznie kell a kapcsolattal a Külső kapcsolódási követelmények pontban leírtak szerint.
10	Ha egy proxyt a hibrid adatbiztonsággal integrál, győződjön meg arról, hogy az megfelel a proxykiszolgáló követelményeinek.

Hibrid adatbiztonsági szolgáltatás-fürt beállítása

Hibrid adatbiztonsági szolgáltatás telepítési feladatfolyama

Mielőtt elkezdené

1	Kezdeti beállítási és telepítési fájlok letöltése Töltse le az OVA-fájlt a helyi gépre későbbi használatra.
2	Konfigurációs ISO létrehozása a HDS szervezők számára A HDS-telepítőeszköz segítségével ISO-konfigurációs fájlt hozhat létre a hibrid adatbiztonsági szolgáltatás-csomópontokhoz.
3	A HDS Host OVA telepítése Hozzon létre virtuális gépet az OVA fájlból, és végezze el a kezdeti konfigurációkat, például a hálózati beállításokat. Az OVA telepítése során a hálózati beállítások konfigurálásának lehetőségét teszteltük az ESXi 7.0 verzióval. Előfordulhat, hogy a beállítás a korábbi verziókban nem érhető el.
4	Hibrid adatbiztonsági szolgáltatás (VM) beállítása Jelentkezzen be a VM-konzolba, és állítsa be a bejelentkezési hitelesítő adatokat. Konfigurálja a csomópont hálózati beállításait, ha az OVA telepítésekor nem konfigurálta azokat.
5	A HDS-konfigurációs ISO feltöltése és csatlakoztatása Konfigurálja a VM-et a HDS telepítőeszközzel létrehozott ISO konfigurációs fájlból.
6	A HDS-csomópont konfigurálása proxyintegrációhoz Ha a hálózati környezet proxykonfigurációt igényel, adja meg a csomóponthoz használni kívánt proxy típusát, és szükség esetén adja hozzá a proxytanúsítványt a megbízhatósági tárolóhoz.
7	A fürtben lévő első csomópont regisztrálása Regisztrálja a VM-et a Cisco Webex felhővel hibrid adatbiztonsági szolgáltatás-csomópontként.
8	További csomópontok létrehozása és regisztrálása Fejezze be a fürt beállítását.
9	Aktiválja a több-bérlős HDS-t a Partnerközpontban. Aktiválja a HDS-t és kezelje a bérlői szervezeteket a Partner Hubban.

Kezdeti beállítási és telepítési fájlok letöltése

Ebben a feladatban letölt egy OVA-fájlt a számítógépére (nem a hibrid adatbiztonsági szolgáltatás-csomópontokként beállított kiszolgálókra). Ezt a fájlt később a telepítési folyamat során használhatja.

1	Jelentkezzen be a Partnerközpontba, majd kattintson a Szolgáltatások lehetőségre.
2	A Felhőszolgáltatások részben keresse meg a hibrid adatbiztonsági kártyát, majd kattintson a Beállítás gombra. A Partner Hubban a Beállítás gombra kattintva kulcsfontosságú a telepítési folyamat szempontjából. Ne folytassa a telepítést ennek a lépésnek a befejezése nélkül.
3	Kattintson az Erőforrás hozzáadása lehetőségre, majd a Szoftver telepítése és konfigurálása kártyán kattintson a .OVA-fájl letöltése gombra. A szoftvercsomag (OVA) régebbi verziói nem lesznek kompatibilisek a hibrid adatbiztonsági szolgáltatás legújabb frissítéseivel. Ez problémákat okozhat az alkalmazás verziófrissítése során. Ügyeljen arra, hogy az OVA-fájl legújabb verzióját töltse le. Az OVA-t bármikor letöltheti a Súgó részből. Kattintson a Beállítások > Súgó > Hibrid adatbiztonsági szolgáltatás letöltése lehetőségre. Az OVA-fájl letöltése automatikusan elkezdődik. Mentse a fájlt a gépén lévő helyre.
4	Opcionálisan kattintson a Hibrid adatbiztonsági szolgáltatás telepítési útmutatójának megtekintése opcióra annak ellenőrzéséhez, hogy rendelkezésre áll-e ennek az útmutatónak egy későbbi verziója.

Konfigurációs ISO létrehozása a HDS szervezők számára

A hibrid adatbiztonsági szolgáltatás beállítási folyamata ISO-fájlt hoz létre. Ezután az ISO-t használja a hibrid adatbiztonsági szolgáltatás-szervező konfigurálásához.

Mielőtt elkezdené

A HDS Setup eszköz Docker konténerként fut egy helyi gépen. Ha hozzá akarsz férni, futtasd a Dockert azon a gépen. A beállítási folyamat megköveteli a teljes rendszergazdai jogosultságokkal rendelkező Partner Hub-fiók hitelesítő adatait.

Ha a HDS-beállító eszköz a környezetében lévő proxy mögött fut, adja meg a proxybeállításokat (kiszolgáló, port, hitelesítő adatokat) a Dokkolókörnyezeti változókon keresztül a Dokkolótároló alábbi 5 . lépésben. Ez a táblázat néhány lehetséges környezeti változót tartalmaz:

Leírás	Változó
Http-proxy hitelesítés nélkül	`GLOBÁLIS_ÜGYNÖK_HTTP_PROXY=HTTP://KISZOLGÁLÓ_IP:PORT`
HTTPS-proxy hitelesítés nélkül	`GLOBÁLIS_ÜGYNÖK_HTTPS_PROXY=http://KISZOLGÁLÓ_IP:PORT`
Http-proxy hitelesítéssel	`GLOBÁLIS_ÜGYNÖK_HTTP_PROXY=http://felhasználónév:jelszó@kiszolgáló_IP:PORT`
HTTPS-proxy hitelesítéssel	`GLOBÁLIS_ÜGYNÖK_HTTPS_PROXY=http://felhasználónév:jelszó@kiszolgáló_IP:PORT`

A létrehozott konfigurációs ISO fájl tartalmazza a PostgreSQL vagy Microsoft SQL Server adatbázist titkosító mesterkulcsot. Szükség van a fájl legutóbbi másolatára, amikor konfigurációs módosításokat hajt végre, mint például:
- Adatbázis hitelesítő adatai
- Tanúsítványfrissítések
- Az engedélyezési szabályzat változásai
Ha adatbázis-kapcsolatokat szeretne titkosítani, állítsa be a PostgreSQL vagy SQL Server telepítés TLS-hez.

1

A gép parancssorában adja meg a környezetének megfelelő parancsot:

Rendszeres környezetben:

docker rmi ciscocitg/hds-setup:stabil

FedRAMP környezetben:

docker rmi ciscocitg/hds-setup-fedramp:stabil

Ezzel a lépéssel törölhetők a HDS telepítőeszköz korábbi képei. Ha nincsenek korábbi képek, akkor olyan hibát ad vissza, amelyet figyelmen kívül hagyhat.

2

A Docker-képtárba való bejelentkezéshez írja be a következőket:

dokkoló bejelentkezés -u hdscustomersro

3

A jelszókéréskor írja be ezt a hash-t:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

4

Töltse le a legfrissebb stabil képet a környezetéről:

Rendszeres környezetben:

dokkoló húzás ciscocitg/hds-setup:stabil

FedRAMP környezetben:

dokkoló húzás ciscocitg/hds-setup-fedramp:stabil

5

Amikor a húzás befejeződött, adja meg a környezetének megfelelő parancsot:

Rendszeres környezetben, proxy nélkül:

dokkoló futtatása -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

Http proxyval rendelkező normál környezetben:

docker run -p 8080:8080 --rm -it-e GLOBAL_AGENT_HTTP_PROXY=http://SERVER IP:PORT_ ciscocitg/hds-setup:stable

Normál környezetben HTTPS proxyval:

docker run -p 8080:8080 --rm -it-e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER IP:PORT_ ciscocitg/hds-setup:stable

FedRAMP környezetben, proxy nélkül:

dokkoló futtatása -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

Http proxyval rendelkező FedRAMP környezetben:

docker run -p 8080:8080 --rm -it-e GLOBAL_AGENT_HTTP_PROXY=http://SERVER IP:PORT_ ciscocitg/hds-setup-fedramp:stable

FedRAMP környezetben https proxyval:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER IP:PORT_ ciscocitg/hds-setup-fedramp:stable

Amikor a konténer fut, az "Express szerver figyeli a 8080-as portot."

6

A beállítóeszköz nem támogatja a localhost-hoz való csatlakozást a http://localhost:8080-on keresztül. A(z) http://127.0.0.1:8080 használatával kapcsolódhat a localhost-hoz.

Webböngészővel lépjen a(z) http://127.0.0.1:8080 helyszínállomásra, majd adja meg a rendszergazda felhasználónevét a Partner Hubhoz a kérésben.

Az eszköz a felhasználónév első bejegyzésével állítja be a fiókhoz tartozó megfelelő környezetet. Az eszköz ezután megjeleníti a normál bejelentkezési üzenetet.

7

Amikor a rendszer kéri, adja meg a Partner Hub rendszergazdájának bejelentkezési hitelesítő adatait, majd kattintson a Bejelentkezés gombra, hogy engedélyezze a hozzáférést a hibrid adatbiztonsági szolgáltatáshoz szükséges szolgáltatásokhoz.

8

A Beállítóeszköz áttekintése oldalon kattintson az Első lépések gombra.

9

Az ISO-importálás oldalon az alábbi lehetőségek közül választhat:

Nem – Ha az első HDS-csomópontot hozza létre, nincs feltöltendő ISO-fájl.
Igen – Ha már létrehozott HDS-csomópontokat, akkor válassza ki az ISO-fájlt a böngészőben, és töltse fel.

10

Ellenőrizze, hogy az X.509-es tanúsítvány megfelel-e az X.509-es tanúsítványkövetelmények előírásainak.

Ha még soha nem töltött fel tanúsítványt, töltse fel az X.509 tanúsítványt, adja meg a jelszót, majd kattintson a Folytatás gombra.
Ha a tanúsítványa rendben van, kattintson a Folytatás gombra.
Ha a tanúsítvány lejárt, vagy szeretné lecserélni, válassza a Nem lehetőséget a Folytatás a HDS tanúsítványlánc és a korábbi ISO titkos kulcs használata? lehetőséghez. Töltsön fel egy új X.509-tanúsítványt, adja meg a jelszót, majd kattintson a Folytatás gombra.

11

Adja meg a HDS adatbáziscímét és fiókját a kulcsadatkészlet eléréséhez:

Válassza ki az Adatbázis típusát (PostgreSQL vagy Microsoft SQL Server).

Ha a Microsoft SQL Server opciót választja, Hitelesítési típus mezőt kap.
(Csak Microsoft SQL Server ) Válassza ki a Hitelesítési típust:
- Alapszintű hitelesítés: Helyi SQL Server-fiók nevére van szükség a Felhasználónév mezőben.
- Windows-hitelesítés: felhasználónév@tartomány formátumú Windows-fiókra van szükség a Felhasználónév mezőben.
Adja meg az adatbázis-kiszolgáló címét a következő formában: : vagy :.

Példa:
dbhost.example.org:1433 vagy 198.51.100.17:1433

Alapszintű hitelesítéshez használhat IP-címet, ha a csomópontok nem tudnak DNS-t használni az állomásnév feloldásához.

Ha Windows-hitelesítést használ, akkor meg kell adnia egy teljesen minősített tartománynevet a következő formátumban: dbhost.example.org:1433
Adja meg az Adatbázis nevét.
Adja meg annak a felhasználónak a Felhasználónevét és Jelszavát , aki minden jogosultsággal rendelkezik a kulcstárolási adatbázisban.

12

Válassza ki a TLS-adatbázis csatlakozási módját:

Mód	Leírás
TLS előnyben részesítése (alapértelmezett beállítás)	A HDS csomópontok nem igénylik a TLS csatlakozását az adatbázis szerverhez. Ha engedélyezi a TLS-t az adatbázis kiszolgálón, a csomópontok titkosított kapcsolatot próbálnak meg létesíteni.
Kötelező TLS	A HDS csomópontok csak akkor kapcsolódnak, ha az adatbázis-kiszolgáló képes egyeztetni a TLS-t.
TLS igénylése és a tanúsítvány aláírójának ellenőrzése	Ez a mód nem alkalmazható SQL Server adatbázisokra. A HDS csomópontok csak akkor kapcsolódnak, ha az adatbázis-kiszolgáló képes egyeztetni a TLS-t. A TLS-kapcsolat létrehozása után a csomópont összehasonlítja az adatbázis-kiszolgálóról származó tanúsítvány aláíróját a hitelesítésszolgáltatóval az Adatbázis gyökértanúsítványban. Ha nem egyeznek, a csomópont megszakítja a kapcsolatot. A legördülő menü alatti Adatbázis gyökértanúsítvány vezérlőelem segítségével töltse fel a beállítás gyökértanúsítványát.
TLS megkövetelése és a tanúsítvány aláírójának és a gépnévnek az ellenőrzése	A HDS csomópontok csak akkor kapcsolódnak, ha az adatbázis-kiszolgáló képes egyeztetni a TLS-t. A TLS-kapcsolat létrehozása után a csomópont összehasonlítja az adatbázis-kiszolgálóról származó tanúsítvány aláíróját a hitelesítésszolgáltatóval az Adatbázis gyökértanúsítványban. Ha nem egyeznek, a csomópont megszakítja a kapcsolatot. A csomópontok azt is ellenőrzik, hogy a kiszolgáló tanúsítványában szereplő gazdagép neve megegyezik-e az Adatbázis gazdagép és port mezőben található gazdagép nevével. A neveknek pontosan egyezniük kell, vagy a csomópont megszakítja a kapcsolatot. A legördülő menü alatti Adatbázis gyökértanúsítvány vezérlőelem segítségével töltse fel a beállítás gyökértanúsítványát.

Amikor feltölti a gyökértanúsítványt (ha szükséges), és a Folytatás gombra kattint, a HDS telepítőeszköz teszteli a TLS-kapcsolatot az adatbázis-kiszolgálóval. Az eszköz ellenőrzi a tanúsítvány aláíróját és a gépnevet is, ha van ilyen. Ha egy teszt sikertelen, az eszköz hibaüzenetet jelenít meg, amely leírja a problémát. Kiválaszthatja, hogy figyelmen kívül hagyja-e a hibát, és folytatja-e a beállítást. (A kapcsolódási különbségek miatt a HDS-csomópontok akkor is képesek lehetnek létrehozni a TLS-kapcsolatot, ha a HDS telepítőeszköz gépe nem tudja sikeresen tesztelni.)

13

A Rendszernaplók oldalon konfigurálja a Syslogd kiszolgálót:

Adja meg a syslog szerver URL-címét.

Ha a kiszolgáló nem DNS-feloldható a HDS-fürthöz tartozó csomópontokról, használjon egy IP-címet az URL-ben.

Példa:
Az udp://10.92.43.23:514 a 10.92.43.23 Syslogd állomásra való bejelentkezést jelzi az 514-es UDP-porton.
Ha úgy állítja be a kiszolgálóját, hogy TLS-titkosítást használjon, jelölje be a Be van állítva a syslog kiszolgáló SSL-titkosításra? jelölőnégyzetet.

Ha bejelöli ezt a jelölőnégyzetet, mindenképpen adjon meg egy TCP URL-címet, például tcp://10.92.43.23:514.
A Syslog-rekord termináljának kiválasztása legördülő menüből válassza ki az ISO fájlhoz megfelelő beállítást: Válassza ki, hogy az Újsor legyen-e használatban Graylog és Rsyslog TCP esetén
- Null bájt -- \x00
- Új vonal -- \n—Válassza ezt a lehetőséget a Graylog és Rsyslog TCP esetén.
Kattintson a Folytatás gombra.

14

(Opcionális) Bizonyos adatbázis-kapcsolati paraméterek alapértelmezett értékét a Speciális beállítások menüpontban módosíthatja. Általában ez az egyetlen paraméter, amit érdemes megváltoztatni:

app_datasource_connection_pool_maxMéret: 10

15

Kattintson a Folytatás gombra a Szolgáltatásfiókok jelszavának visszaállítása képernyőn.

A szolgáltatásfiók jelszavainak élettartama kilenc hónap. Akkor használja ezt a képernyőt, ha a jelszavak hamarosan lejárnak, vagy vissza szeretné állítani őket, hogy érvénytelenítsék a korábbi ISO-fájlokat.

16

Kattintson az ISO-fájl letöltése lehetőségre. Mentse el a fájlt egy könnyen megtalálható helyre.

17

Készítsen biztonsági másolatot az ISO fájlról a helyi rendszerre.

Tartsa biztonságban a biztonsági másolatot. Ez a fájl az adatbázis tartalmához tartozó fő titkosítási kulcsot tartalmaz. Korlátozza a hozzáférést csak azokra a hibrid adatbiztonsági szolgáltatás-rendszergazdákra, akiknek konfigurációs módosításokat kell végrehajtaniuk.

18

A beállítóeszköz leállításához gépelje be a CTRL+C billentyűkombinációt.

Mi a következő teendő

Biztonsági másolat készítése a konfigurációs ISO fájlról. A helyreállításhoz további csomópontok létrehozásához, illetve konfigurációs módosítások elvégzéséhez szükség van rá. Ha az ISO fájl összes másolatát elveszíti, akkor a mesterkulcs is elveszett. A PostgreSQL vagy Microsoft SQL Server adatbázisából nem lehet visszaállítani a kulcsokat.

Soha nem lesz másolatunk erről a kulcsról, és nem tudunk segíteni, ha elveszíti.

A HDS Host OVA telepítése

Ezzel az eljárással virtuális gépet hozhat létre az OVA-fájlból.

1	A számítógépén lévő VMware vSphere kliens használatával jelentkezzen be az ESXi virtuális állomásba.
2	Válassza a Fájl > OVF-sablon telepítése lehetőséget.
3	A varázslóban adja meg a korábban letöltött OVA-fájl helyét, majd kattintson a Tovább gombra.
4	A Név és mappa kiválasztása oldalon adja meg a csomópont Virtuális gép nevét (például „HDS_Node_1”), válasszon ki egy helyet, ahol a virtuálisgép-csomópont telepítése élhet, majd kattintson a Tovább gombra.
5	A Számítási erőforrás kiválasztása oldalon válassza ki a cél számítási erőforrást, majd kattintson a Tovább gombra. Egy érvényesítési ellenőrzés lefut. A befejezés után megjelennek a sablon adatai.
6	Ellenőrizze a sablon részleteit, majd kattintson a Tovább gombra.
7	Ha a rendszer arra kéri, hogy a Konfiguráció oldalon válassza ki az erőforrás konfigurációját, kattintson a 4 CPU gombra, majd kattintson a Tovább gombra.
8	A Tárhely kiválasztása oldalon kattintson a Tovább gombra az alapértelmezett lemezformátum és a VM-tárhely házirendjének elfogadásához.
9	A Hálózatok kiválasztása oldalon válassza ki a hálózati lehetőséget a bejegyzések listájából, hogy biztosítsa a kívánt kapcsolatot a VM-mel.
10	A Sablon testreszabása oldalon konfigurálja a következő hálózati beállításokat: Gazdagép neve – Adja meg a csomópont FQDN-jét (gazdagép neve és tartománya), vagy egyetlen szó gazdagép nevét. Nem kell úgy beállítania a tartományt, hogy megfeleljen az X.509 tanúsítvány beszerzéséhez használt tartománynak. A felhőbe történő sikeres regisztráció érdekében csak kisbetűs karaktereket használjon a csomóponthoz beállított FQDN-ben vagy állomásnévben. A nagybetűs írásmód jelenleg nem támogatott. Az FQDN teljes hossza nem haladhatja meg a 64 karaktert. IP-cím— Adja meg a csomópont belső interfészének IP-címét. A csomópontnak belső IP-címmel és DNS-névvel kell rendelkeznie. A DHCP nem támogatott. Maszk – Adja meg az alhálózati maszk címét pont-decimális jelölésben. Például: 255.255.255.0. Átjáró—Adja meg az átjáró IP-címét. Az átjáró olyan hálózati csomópont, amely egy másik hálózat hozzáférési pontjaként szolgál. DNS-kiszolgálók – Adja meg a DNS-kiszolgálók vesszővel elválasztott listáját, amely a tartománynevek numerikus IP-címekre történő fordítását kezeli. (Legfeljebb 4 DNS-bejegyzés engedélyezett.) NTP-kiszolgálók – Adja meg a szervezet NTP-kiszolgálóját vagy egy másik, a szervezetben használható külső NTP-kiszolgálót. Előfordulhat, hogy az alapértelmezett NTP-kiszolgálók nem működnek minden vállalatnál. Több NTP-kiszolgáló megadásához vesszővel elválasztott listát is használhat. Telepítse az összes csomópontot ugyanazon az alhálózaton vagy VLAN-on, hogy a fürtben lévő összes csomópont adminisztratív okokból elérhető legyen a hálózaton lévő ügyfelektől. Ha szeretné, átugorhatja a hálózati beállítási konfigurációt, és a Hibrid adatbiztonsági szolgáltatás beállítása szakasz lépéseit követve konfigurálhatja a beállításokat a csomópont-konzolról. Az OVA telepítése során a hálózati beállítások konfigurálásának lehetőségét teszteltük az ESXi 7.0 verzióval. Előfordulhat, hogy a beállítás a korábbi verziókban nem érhető el.
11	Kattintson az egér jobb oldali gombjával a csomópont VM-jére, majd válassza a Bekapcsolás > Bekapcsolás lehetőséget. A hibrid adatbiztonsági szolgáltatás-szoftver vendégként van telepítve a VM-állomásra. Most már bejelentkezhet a konzolba, és konfigurálhatja a csomópontot. Hibaelhárítási tippek Előfordulhat, hogy a csomópont-konténerek megjelenése előtt néhány percet késik. Az első rendszerindítás során hídtűzfalüzenet jelenik meg a konzolon, amelynek során nem tud bejelentkezni.

Hibrid adatbiztonsági szolgáltatás (VM) beállítása

Ezzel az eljárással először jelentkezzen be a hibrid adatbiztonsági szolgáltatás-csomópont VM-konzoljába, és állítsa be a bejelentkezési hitelesítő adatokat. A konzol segítségével konfigurálhatja a csomópont hálózati beállításait is, ha az OVA telepítésekor nem konfigurálta azokat.

1	A VMware vSphere kliensben válassza ki a hibrid adatbiztonsági szolgáltatás-csomópont VM-jét, és válassza a Konzol lapot. A VM elindul, és bejelentkezési üzenet jelenik meg. Ha a bejelentkezési üzenet nem jelenik meg, nyomja meg az Enter billentyűt.
2	A bejelentkezéshez és a hitelesítő adatok módosításához használja a következő alapértelmezett bejelentkezést és jelszót: Bejelentkezés: `rendszergazda` Jelszó: `cisco` Mivel először jelentkezik be a VM-be, meg kell változtatnia a rendszergazda jelszavát.
3	Ha már konfigurálta a hálózati beállításokat a HDS Host OVA telepítése menüben, hagyja ki az eljárás hátralévő részét. Ellenkező esetben a főmenüben válassza a Konfiguráció szerkesztése lehetőséget.
4	Állítson be statikus konfigurációt IP-címmel, maszkkal, átjáróval és DNS-adatokkal. A csomópontnak belső IP-címmel és DNS-névvel kell rendelkeznie. A DHCP nem támogatott.
5	(Opcionális) Módosítsa az állomásnevet, a tartományt vagy az NTP-kiszolgáló(k)t, ha a hálózati házirendnek megfelel. Nem kell úgy beállítania a tartományt, hogy megfeleljen az X.509 tanúsítvány beszerzéséhez használt tartománynak.
6	Mentse a hálózati konfigurációt, és indítsa újra a VM-et, hogy a módosítások életbe lépjenek.

A HDS-konfigurációs ISO feltöltése és csatlakoztatása

Ezzel az eljárással konfigurálhatja a virtuális gépet a HDS telepítőeszközzel létrehozott ISO-fájlból.

Mielőtt elkezdené

Mivel az ISO-fájl tartalmazza a mesterkulcsot, csak „tudni kell” alapon szabad közzétenni, hogy hozzáférhessen a hibrid adatbiztonsági szolgáltatás-kezelők és minden olyan rendszergazda számára, akinek esetleg módosításokat kell végrehajtania. Győződjön meg arról, hogy csak ezek a rendszergazdák férhetnek hozzá az adatkészlethez.

1

Töltse fel az ISO-fájlt a számítógépéről:

A VMware vSphere kliens bal oldali navigációs ablaktáblájában kattintson az ESXi szerverre.
A Konfiguráció lap Hardver listáján kattintson a Tárhelyelemre.
Az Adatkészlet listában kattintson a jobb gombbal a VM-ek adatkészletére, majd kattintson az Adatkészlet tallózása gombra.
Kattintson a Fájlok feltöltése ikonra, majd kattintson a Fájl feltöltésegombra.
Keresse meg azt a helyet, ahol letöltötte az ISO-fájlt a számítógépére, majd kattintson a Megnyitás gombra.
Kattintson az Igen gombra a feltöltési/letöltési műveletre vonatkozó figyelmeztetés elfogadásához, és zárja be az adatkészlet-párbeszédablakot.

2

ISO- fájl csatolása:

A VMware vSphere kliens bal oldali navigációs ablakában kattintson jobb gombbal a VM-re, majd kattintson a Beállítások szerkesztése lehetőségre.
Kattintson az OK gombra a korlátozott szerkesztési beállítások figyelmeztetésének elfogadásához.
Kattintson a CD/DVD-meghajtó 1elemre, válassza ki az ISO-fájlból való csatlakoztatást, és keresse meg azt a helyet, ahol a konfigurációs ISO-fájlt feltöltötte.
Jelölje be a Csatlakoztatva és a Kapcsolódás bekapcsolva lehetőséget.
Mentse a módosításokat és indítsa újra a virtuális gépet.

Mi a következő teendő

Ha az IT-házirend megköveteli, akkor opcionálisan eltávolíthatja az ISO-fájlt, miután az összes csomópont elvette a konfigurációs módosításokat. Részletekért lásd: (nem kötelező) Az ISO leválasztása a HDS-konfiguráció után .

A HDS-csomópont konfigurálása proxyintegrációhoz

Ha a hálózati környezet proxyt igényel, ezzel az eljárással adhatja meg a hibrid adatbiztonsággal integrálni kívánt proxy típusát. Ha átlátszó ellenőrző proxyt vagy HTTPS explicit proxyt választ, a csomópont felületével feltöltheti és telepítheti a főtanúsítványt. A proxykapcsolatot az interfészről is ellenőrizheti, és elháríthatja az esetleges problémákat.

Mielőtt elkezdené

A támogatott proxybeállítások áttekintését lásd: Proxytámogatás.
Proxykiszolgálói követelmények

1	Adja meg a HDS-csomópont beállítási `URL-címét https://[HDS Node IP vagy FQDN]/setup` egy webböngészőben, adja meg a csomóponthoz beállított rendszergazdai hitelesítő adatokat, majd kattintson a Bejelentkezésgombra.
2	Lépjen a Trust Store & Proxyelemre, majd válasszon egy lehetőséget: Nincs proxy – Az alapértelmezett beállítás a proxy integrálása előtt. Nincs szükség tanúsítványfrissítésre. Átlátszó nem ellenőrző proxy – A csomópontok nincsenek konfigurálva meghatározott proxykiszolgáló-cím használatára, és nem igényelhetnek módosításokat ahhoz, hogy a nem ellenőrző proxyval működjenek. Nincs szükség tanúsítványfrissítésre. Átlátszó ellenőrző proxy – A csomópontok nincsenek konfigurálva konkrét proxykiszolgáló-cím használatára. A hibrid adatbiztonsági üzembe helyezés során nincs szükség HTTPS-konfigurációs módosításokra, azonban a HDS-csomópontoknak főtanúsítványra van szükségük, hogy megbízzanak a proxyban. A proxyk ellenőrzését az IT általában arra használja, hogy betartassa azokat az irányelveket, amelyeken a webhelyek látogathatók, és milyen típusú tartalom nem engedélyezett. Ez a fajta proxy visszafejti az összes forgalmat (még HTTPS-t is). Explicit proxy – Az explicit proxy segítségével megmondja az ügyfélnek (HDS-csomópontok), hogy melyik proxykiszolgálót kell használni, és ez a beállítás több hitelesítési típust támogat. Miután kiválasztotta ezt a beállítást, meg kell adnia a következő adatokat: Proxy IP/FQDN – a proxygép elérésére használható cím. Proxyport – Olyan portszám, amelyet a proxy a lekerekített forgalom figyelésére használ. Proxyprotokoll – Válassza a http lehetőséget (az ügyféltől kapott összes kérést megtekintheti és vezérli) vagy a https lehetőséget (csatornát biztosít a szervernek, és az ügyfél megkapja és érvényesíti a szerver tanúsítványát). Válasszon egy lehetőséget a proxykiszolgáló által támogatott lehetőségek alapján. Hitelesítési típus – Válasszon a következő hitelesítési típusok közül: Nincs – Nincs szükség további hitelesítésre. Elérhető HTTP- vagy HTTPS-proxykhoz. Alapszintű – HTTP-felhasználói ügynökként használatos a felhasználónév és jelszó megadására kéréskor. Base64 kódolást használ. Elérhető HTTP- vagy HTTPS-proxykhoz. Ha ezt a lehetőséget választja, meg kell adnia a felhasználónevet és a jelszót is. Kivonás – A fiók megerősítésére szolgál, mielőtt érzékeny információkat küldene be. Kivonatfüggvényt alkalmaz a felhasználónévre és a jelszóra, mielőtt elküldené a hálózaton keresztül. Csak HTTPS proxykhoz érhető el. Ha ezt a lehetőséget választja, meg kell adnia a felhasználónevet és a jelszót is. Kövesse az átlátható ellenőrző proxy, az alapszintű hitelesítéssel rendelkező HTTP-explicit proxy vagy a HTTPS explicit proxy következő lépéseit.
3	Kattintson a Főtanúsítvány feltöltése vagy a Végfelhasználói tanúsítványlétrehozása elemre, majd keresse meg a proxy főtanúsítványát. A tanúsítvány feltöltésre került, de még nincs telepítve, mert a tanúsítvány telepítéséhez újra kell indítania a csomópontot. További részleteket szeretne megtudni a tanúsítványkibocsátó nevével a ékzár nyílra, vagy kattintson a Törlés gombra, ha hibát követett el, és újra szeretné tölteni a fájlt.
4	Kattintson a Proxykapcsolat ellenőrzése gombra a csomópont és a proxy közötti hálózati kapcsolat teszteléséhez. Ha a kapcsolati teszt sikertelen, hibaüzenet jelenik meg, amely bemutatja az okot és a probléma kijavítást. Ha olyan üzenet jelenik meg, amely szerint a külső DNS-felbontás nem sikerült, a csomópont nem tudta elérni a DNS-kiszolgálót. Ez a feltétel számos explicit proxykonfigurációban várható. Folytathatja a beállítást, és a csomópont blokkolt külső DNS-feloldási módban fog működni. Ha úgy gondolja, hogy ez hiba, hajtsa végre ezeket a lépéseket, majd tekintse meg a Blokkolt külső DNS-feloldási mód kikapcsolása című ismertetőt.
5	A csatlakozási teszt elvégzése után, ha csak https-re van állítva explicit proxy, kapcsolja be a kapcsolót a 443/444 https port útvonala parancsra az explicit proxynkeresztül. Ez a beállítás 15 másodpercet igényel a hatályba lépéshez.
6	Kattintson az Összes tanúsítvány telepítése a megbízhatósági tárolóba (HTTPS explicit proxy vagy átlátszó ellenőrző proxy esetén jelenik meg) vagy Indítsa újra (HTTP explicit proxy esetén jelenik meg), olvassa el a parancsot, majd kattintson a Telepítés gombra, ha készen áll. A csomópont néhány percen belül újraindul.
7	A csomópont újraindítása után jelentkezzen be újra, ha szükséges, majd nyissa meg az Áttekintés lapot, hogy ellenőrizze a kapcsolatellenőrzéseket, és győződjön meg arról, hogy mindegyik zöld állapotban van. A proxykapcsolat ellenőrzése csak webex.com aldomainét teszteli. Kapcsolódási problémák esetén gyakori probléma, hogy a telepítési utasításokban felsorolt felhőtartományok némelyike le van tiltva a proxyn.

A fürtben lévő első csomópont regisztrálása

Ez a feladat elvégzi a Hibrid adatbiztonsági szolgáltatás beállítása menüben létrehozott általános csomópontot, regisztrálja a csomópontot a Webex-felhővel, és hibrid adatbiztonsági szolgáltatás-csomóponttá alakítja.

Az első csomópont regisztrálásakor létrehoz egy fürtöt, amelyhez a csomópont hozzá van rendelve. A fürt egy vagy több, redundancia biztosítására telepített csomópontot tartalmaz.

Mielőtt elkezdené

Miután megkezdi egy csomópont regisztrációját, azt 60 percen belül el kell végeznie, különben el kell kezdenie a folyamatot.
Győződjön meg arról, hogy az előugró ablakok blokkolói le vannak tiltva a böngészőjében, vagy engedélyezze a kivételt az admin.webex.com számára.

1	Jelentkezzen be ide: https://admin.webex.com.
2	A képernyő bal oldalán található menüből válassza a Szolgáltatásoklehetőséget.
3	A Felhőszolgáltatások részben keresse meg a hibrid adatbiztonsági kártyát, majd kattintson a Beállítás gombra.
4	A megnyíló oldalon kattintson az Erőforrás hozzáadása lehetőségre.
5	A Csomópont hozzáadása kártya első mezőjében adja meg annak a fürtnek a nevét, amelyhez hozzá kívánja rendelni a hibrid adatbiztonsági szolgáltatás-csomópontot. Javasoljuk, hogy a fürtöt attól függően nevezze el, hogy a fürt csomópontjai földrajzilag hol helyezkednek el. Példák: "San Francisco" vagy "New York" vagy "Dallas"
6	A második mezőben adja meg a csomópont belső IP-címét vagy teljesen minősített tartománynevét (FQDN), majd kattintson a képernyő alján található Hozzáadás gombra. Ennek az IP-címnek vagy FQDN-nek meg kell egyeznie azzal az IP-címmel vagy állomásnévvel és tartománynévvel, amelyet a Hibrid adatbiztonsági szolgáltatás beállítása során használt. Megjelenik egy üzenet, amely azt jelzi, hogy regisztrálhatja a csomópontot a Webex rendszerében.
7	Kattintson az Ugrás a csomópontra lehetőségre. Néhány perc múlva átirányítja a rendszer a Webex-szolgáltatások csomóponti kapcsolódási tesztelésére. Ha az összes teszt sikeres, megjelenik a „Hibrid adatbiztonsági szolgáltatás-csomópont hozzáférésének engedélyezése” oldal. Ott megerősíti, hogy engedélyeket szeretne adni a Webex-szervezetnek a csomóponthoz való hozzáféréshez.
8	Jelölje be a Hozzáférés engedélyezése a hibrid adatbiztonsági szolgáltatás-csomóponthoz jelölőnégyzetet, majd kattintson a Folytatás gombra. Az Ön fiókja hitelesítve van, és a „Regisztráció befejezve” üzenet azt jelzi, hogy a csomópont mostantól regisztrálva van a Webex-felhőbe.
9	Kattintson a hivatkozásra, vagy zárja be a lapot, hogy visszatérjen a Partner Hub hibrid adatbiztonsági szolgáltatás oldalára. A Hibrid adatbiztonsági szolgáltatás oldalon az Ön által regisztrált csomópontot tartalmazó új fürt az Erőforrások lapon jelenik meg. A csomópont automatikusan letölti a legújabb szoftvert a felhőből.

További csomópontok létrehozása és regisztrálása

Ha további csomópontokat szeretne hozzáadni a fürthöz, egyszerűen hozzon létre további VM-eket, és szerelje fel ugyanazt a konfigurációs ISO-fájlt, majd regisztrálja a csomópontot. Javasoljuk, hogy legyen legalább 3 csomópontja.

Mielőtt elkezdené

Miután megkezdi egy csomópont regisztrációját, azt 60 percen belül el kell végeznie, különben el kell kezdenie a folyamatot.
Győződjön meg arról, hogy az előugró ablakok blokkolói le vannak tiltva a böngészőjében, vagy engedélyezze a kivételt az admin.webex.com számára.

1	Hozzon létre egy új virtuális gépet az OVA-ból, ismételje meg a HDS Host OVA telepítése című rész lépéseit.
2	Állítsa be a kezdeti konfigurációt az új VM-en, ismételve a Hibrid adatbiztonsági szolgáltatás VM beállítása lépéseit.
3	Az új VM-en ismételje meg a HDS-konfiguráció ISO feltöltése és csatlakoztatása című rész lépéseit.
4	Ha proxyt állít be az üzembe helyezéshez, ismételje meg a HDS-csomópont konfigurálása proxyintegrációhoz lépéseit az új csomóponthoz szükség szerint.
5	Regisztrálja a csomópontot. A(z) https://admin.webex.com alkalmazásban válassza a Szolgáltatások lehetőséget a képernyő bal oldalán található menüből. A Felhőszolgáltatások részben keresse meg a hibrid adatbiztonsági kártyát, és kattintson az Összes megtekintése gombra. Megjelenik a Hibrid adatbiztonsági erőforrások oldal. Az újonnan létrehozott fürt megjelenik az Erőforrások oldalon. Kattintson a fürtre a fürthöz hozzárendelt csomópontok megtekintéséhez. Kattintson a Csomópont hozzáadása elemre a képernyő jobb oldalán. Adja meg a csomópont belső IP-címét vagy teljesen minősített tartománynevét (FQDN), majd kattintson a Hozzáadás gombra. Megnyílik egy oldal egy üzenettel, amely jelzi, hogy regisztrálhatja a csomópontot a Webex-felhőbe. Néhány perc múlva átirányítja a rendszer a Webex-szolgáltatások csomóponti kapcsolódási tesztelésére. Ha az összes teszt sikeres, megjelenik a „Hibrid adatbiztonsági szolgáltatás-csomópont hozzáférésének engedélyezése” oldal. Itt megerősíti, hogy engedélyeket szeretne adni a szervezetének a csomóponthoz való hozzáféréshez. Jelölje be a Hozzáférés engedélyezése a hibrid adatbiztonsági szolgáltatás-csomóponthoz jelölőnégyzetet, majd kattintson a Folytatás gombra. Az Ön fiókja hitelesítve van, és a „Regisztráció befejezve” üzenet azt jelzi, hogy a csomópont mostantól regisztrálva van a Webex-felhőbe. Kattintson a hivatkozásra, vagy zárja be a lapot, hogy visszatérjen a Partner Hub hibrid adatbiztonsági szolgáltatás oldalára. A Csomópont hozzáadva felugró üzenet szintén megjelenik a Partnerközpontban a képernyő alján. A csomópont regisztrálva van.

Bérlői szervezetek kezelése a több-bérlős hibrid adatbiztonsági szolgáltatásban

Több-bérlős HDS aktiválása a Partner Hubban

Ez a feladat biztosítja, hogy az ügyfélszervezetek minden felhasználója megkezdhesse a HDS kihasználását a Helyszíni titkosítási kulcsok és egyéb biztonsági szolgáltatások esetében.

Mielőtt elkezdené

Győződjön meg arról, hogy befejezte a több-bérlős HDS-fürt beállítását a szükséges számú csomóponttal.

1	Jelentkezzen be ide: https://admin.webex.com.
2	A képernyő bal oldalán található menüből válassza a Szolgáltatásoklehetőséget.
3	A Felhőszolgáltatások részben keresse meg a hibrid adatbiztonsági szolgáltatást, majd kattintson a Beállítások szerkesztése lehetőségre.
4	Kattintson a HDS aktiválása lehetőségre a HDS állapot kártyán.

Bérlő szervezetek hozzáadása a Partner Hubban

Ebben a feladatban ügyfélszervezeteket rendel hozzá a hibrid adatbiztonsági szolgáltatás-fürthöz.

1	Jelentkezzen be ide: https://admin.webex.com.
2	A képernyő bal oldalán található menüből válassza a Szolgáltatásoklehetőséget.
3	A Felhőszolgáltatások részben keresse meg a hibrid adatbiztonsági szolgáltatást, majd kattintson az Összes megtekintése gombra.
4	Kattintson arra a fürtre, amelyhez ügyfelet szeretne hozzárendelni.
5	Lépjen a Hozzárendelt ügyfelek lapra.
6	Kattintson az Ügyfelek hozzáadása lehetőségre.
7	A legördülő menüből válassza ki a hozzáadni kívánt ügyfelet.
8	Kattintson a Hozzáadás lehetőségre, az ügyfél hozzá lesz adva a fürthöz.
9	Ismételje meg a 6–8. lépéseket több ügyfél hozzáadásához a fürthöz.
10	Kattintson a Kész gombra a képernyő alján, miután hozzáadta az ügyfeleket.

Mi a következő teendő

A beállítási folyamat befejezéséhez futtassa a HDS-telepítőeszközt az Ügyfél fő kulcsainak (CMK-k) létrehozása a HDS-telepítőeszköz használatával című részben részletezett módon.

Ügyfél fő kulcsainak (CMK-k) létrehozása a HDS-beállító eszköz használatával

Mielőtt elkezdené

Rendelje hozzá az ügyfeleket a megfelelő fürthöz a Bérlői szervezetek hozzáadása a Partnerközpontban című részben részletezett módon. Futtassa a HDS telepítőeszközt, hogy befejezze az újonnan hozzáadott ügyfélszervezetek beállítási folyamatát.

A HDS Setup eszköz Docker konténerként fut egy helyi gépen. Ha hozzá akarsz férni, futtasd a Dockert azon a gépen. A beállítási folyamat megköveteli a szervezet számára teljes rendszergazdai jogosultságokkal rendelkező Partner Hub-fiók hitelesítő adatait.

Ha a HDS-beállító eszköz a környezetben proxy mögött fut, az 5. lépésben adja meg a proxybeállításokat (kiszolgáló, port, hitelesítő adatokat) a Docker környezeti változókon keresztül. Ez a táblázat néhány lehetséges környezeti változót tartalmaz:

Leírás	Változó
Http-proxy hitelesítés nélkül	`GLOBÁLIS_ÜGYNÖK_HTTP_PROXY=HTTP://KISZOLGÁLÓ_IP:PORT`
HTTPS-proxy hitelesítés nélkül	`GLOBÁLIS_ÜGYNÖK_HTTPS_PROXY=http://KISZOLGÁLÓ_IP:PORT`
Http-proxy hitelesítéssel	`GLOBÁLIS_ÜGYNÖK_HTTP_PROXY=http://felhasználónév:jelszó@kiszolgáló_IP:PORT`
HTTPS-proxy hitelesítéssel	`GLOBÁLIS_ÜGYNÖK_HTTPS_PROXY=http://felhasználónév:jelszó@kiszolgáló_IP:PORT`

A létrehozott konfigurációs ISO fájl tartalmazza a PostgreSQL vagy Microsoft SQL Server adatbázist titkosító mesterkulcsot. Szükség van a fájl legutóbbi másolatára, amikor konfigurációs módosításokat hajt végre, mint például:
- Adatbázis hitelesítő adatai
- Tanúsítványfrissítések
- Az engedélyezési szabályzat változásai
Ha adatbázis-kapcsolatokat szeretne titkosítani, állítsa be a PostgreSQL vagy SQL Server telepítés TLS-hez.

A hibrid adatbiztonsági szolgáltatás beállítási folyamata ISO-fájlt hoz létre. Ezután az ISO-t használja a hibrid adatbiztonsági szolgáltatás-szervező konfigurálásához.

1	A gép parancssorában adja meg a környezetének megfelelő parancsot: Rendszeres környezetben: `docker rmi ciscocitg/hds-setup:stabil` FedRAMP környezetben: `docker rmi ciscocitg/hds-setup-fedramp:stabil` Ezzel a lépéssel törölhetők a HDS telepítőeszköz korábbi képei. Ha nincsenek korábbi képek, akkor olyan hibát ad vissza, amelyet figyelmen kívül hagyhat.
2	A Docker-képtárba való bejelentkezéshez írja be a következőket: `dokkoló bejelentkezés -u hdscustomersro`
3	A jelszókéréskor írja be ezt a hash-t: `dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo`
4	Töltse le a legfrissebb stabil képet a környezetéről: Rendszeres környezetben: `dokkoló húzás ciscocitg/hds-setup:stabil` FedRAMP környezetben: `dokkoló húzás ciscocitg/hds-setup-fedramp:stabil`
5	Amikor a húzás befejeződött, adja meg a környezetének megfelelő parancsot: Rendszeres környezetben, proxy nélkül: `dokkoló futtatása -p 8080:8080 --rm -it ciscocitg/hds-setup:stable` Http proxyval rendelkező normál környezetben: `docker run -p 8080:8080 --rm -it-e GLOBAL_AGENT_HTTP_PROXY=http://SERVER IP:PORT_ ciscocitg/hds-setup:stable` Normál környezetben HTTPS proxyval: `docker run -p 8080:8080 --rm -it-e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER IP:PORT_ ciscocitg/hds-setup:stable` FedRAMP környezetben, proxy nélkül: `dokkoló futtatása -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable` Http proxyval rendelkező FedRAMP környezetben: `docker run -p 8080:8080 --rm -it-e GLOBAL_AGENT_HTTP_PROXY=http://SERVER IP:PORT_ ciscocitg/hds-setup-fedramp:stable` FedRAMP környezetben https proxyval: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER IP:PORT_ ciscocitg/hds-setup-fedramp:stable` Amikor a konténer fut, az "Express szerver figyeli a 8080-as portot."
6	A beállítóeszköz nem támogatja a localhost-hoz való csatlakozást a http://localhost:8080-on keresztül. A(z) http://127.0.0.1:8080 használatával kapcsolódhat a localhost-hoz. Webböngészővel lépjen a(z) `http://127.0.0.1:8080` helyszínállomásra, majd adja meg a rendszergazda felhasználónevét a Partner Hubhoz a kérésben. Az eszköz a felhasználónév első bejegyzésével állítja be a fiókhoz tartozó megfelelő környezetet. Az eszköz ezután megjeleníti a normál bejelentkezési üzenetet.
7	Amikor a rendszer kéri, adja meg a Partner Hub rendszergazdájának bejelentkezési hitelesítő adatait, majd kattintson a Bejelentkezés gombra, hogy engedélyezze a hozzáférést a hibrid adatbiztonsági szolgáltatáshoz szükséges szolgáltatásokhoz.
8	A Beállítóeszköz áttekintése oldalon kattintson az Első lépések gombra.
9	Az ISO-importálás oldalon kattintson az Igen gombra.
10	Válassza ki az ISO-fájlt a böngészőben, és töltse fel. A CMK-kezelés végrehajtásához biztosítsa a kapcsolatot az adatbázisával.
11	Menjen a Bérlő CMK kezelése lapra, ahol a bérlő CMK-k kezelésének alábbi három módja található. CMK létrehozása minden ORG számára vagy CMK létrehozása – Kattintson erre a gombra a képernyő tetején látható sávon, ha CMK-t szeretne létrehozni minden újonnan hozzáadott szervezet számára. Kattintson a CMK kezelése gombra a képernyő jobb oldalán, majd kattintson a CMK létrehozása gombra, ha CMK-ket szeretne létrehozni az összes újonnan hozzáadott szervezet számára. Kattintson az adott szervezet CMK-kezelése függőben lévő állapotának közelében a táblázatban, majd kattintson a CMK létrehozása gombra a szervezet CMK létrehozásához.
12	Ha a CMK létrehozása sikeres, a táblázatban szereplő állapot a CMK-kezelés függőben állapotról CMK-kezelés állapotra változik.
13	Ha a CMK létrehozása sikertelen, egy hiba jelenik meg.

Bérlői szervezetek eltávolítása

Mielőtt elkezdené

Az eltávolítás után az ügyfélszervezetek felhasználói nem tudják majd kihasználni a HDS-t a titkosítási igényeikhez, és elveszítik az összes meglévő tárhelyet. Az ügyfélszervezetek eltávolítása előtt kérjük, lépjen kapcsolatba Cisco-partnerével vagy fiókkezelőjével.

1	Jelentkezzen be ide: https://admin.webex.com.
2	A képernyő bal oldalán található menüből válassza a Szolgáltatásoklehetőséget.
3	A Felhőszolgáltatások részben keresse meg a hibrid adatbiztonsági szolgáltatást, majd kattintson az Összes megtekintése gombra.
4	Az Erőforrások lapon kattintson arra a fürtre, amelyről el szeretné távolítani az ügyfélszervezeteket.
5	A megnyíló oldalon kattintson a Hozzárendelt ügyfelek lehetőségre.
6	A megjelenített ügyfélszervezetek listájában kattintson az eltávolítani kívánt ügyfélszervezet jobb oldalán található ... elemre, majd kattintson az Eltávolítás a fürtből lehetőségre.

Mi a következő teendő

Az eltávolítási folyamat befejezéséhez vonja vissza az ügyfélszervezetek CMK-jeit a HDS-ből eltávolított bérlők CMK-jének visszavonása című részben foglaltak szerint.

Vonja vissza a HDS-ből eltávolított bérlők CMK-jeit.

Mielőtt elkezdené

Ügyfelek eltávolítása a megfelelő fürtből a Bérlői szervezetek eltávolítása pontban részletezett módon. Futtassa a HDS-telepítő eszközt az eltávolított ügyfélszervezetek eltávolítási folyamatának befejezéséhez.

A HDS Setup eszköz Docker konténerként fut egy helyi gépen. Ha hozzá akarsz férni, futtasd a Dockert azon a gépen. A beállítási folyamat megköveteli a szervezet számára teljes rendszergazdai jogosultságokkal rendelkező Partner Hub-fiók hitelesítő adatait.

Ha a HDS-beállító eszköz a környezetben proxy mögött fut, az 5. lépésben adja meg a proxybeállításokat (kiszolgáló, port, hitelesítő adatokat) a Docker környezeti változókon keresztül. Ez a táblázat néhány lehetséges környezeti változót tartalmaz:

Leírás	Változó
Http-proxy hitelesítés nélkül	`GLOBÁLIS_ÜGYNÖK_HTTP_PROXY=HTTP://KISZOLGÁLÓ_IP:PORT`
HTTPS-proxy hitelesítés nélkül	`GLOBÁLIS_ÜGYNÖK_HTTPS_PROXY=http://KISZOLGÁLÓ_IP:PORT`
Http-proxy hitelesítéssel	`GLOBÁLIS_ÜGYNÖK_HTTP_PROXY=http://felhasználónév:jelszó@kiszolgáló_IP:PORT`
HTTPS-proxy hitelesítéssel	`GLOBÁLIS_ÜGYNÖK_HTTPS_PROXY=http://felhasználónév:jelszó@kiszolgáló_IP:PORT`

A létrehozott konfigurációs ISO fájl tartalmazza a PostgreSQL vagy Microsoft SQL Server adatbázist titkosító mesterkulcsot. Szükség van a fájl legutóbbi másolatára, amikor konfigurációs módosításokat hajt végre, mint például:
- Adatbázis hitelesítő adatai
- Tanúsítványfrissítések
- Az engedélyezési szabályzat változásai
Ha adatbázis-kapcsolatokat szeretne titkosítani, állítsa be a PostgreSQL vagy SQL Server telepítés TLS-hez.

A hibrid adatbiztonsági szolgáltatás beállítási folyamata ISO-fájlt hoz létre. Ezután az ISO-t használja a hibrid adatbiztonsági szolgáltatás-szervező konfigurálásához.

1	A gép parancssorában adja meg a környezetének megfelelő parancsot: Rendszeres környezetben: `docker rmi ciscocitg/hds-setup:stabil` FedRAMP környezetben: `docker rmi ciscocitg/hds-setup-fedramp:stabil` Ezzel a lépéssel törölhetők a HDS telepítőeszköz korábbi képei. Ha nincsenek korábbi képek, akkor olyan hibát ad vissza, amelyet figyelmen kívül hagyhat.
2	A Docker-képtárba való bejelentkezéshez írja be a következőket: `dokkoló bejelentkezés -u hdscustomersro`
3	A jelszókéréskor írja be ezt a hash-t: `dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo`
4	Töltse le a legfrissebb stabil képet a környezetéről: Rendszeres környezetben: `dokkoló húzás ciscocitg/hds-setup:stabil` FedRAMP környezetben: `dokkoló húzás ciscocitg/hds-setup-fedramp:stabil`
5	Amikor a húzás befejeződött, adja meg a környezetének megfelelő parancsot: Rendszeres környezetben, proxy nélkül: `dokkoló futtatása -p 8080:8080 --rm -it ciscocitg/hds-setup:stable` Http proxyval rendelkező normál környezetben: `docker run -p 8080:8080 --rm -it-e GLOBAL_AGENT_HTTP_PROXY=http://SERVER IP:PORT_ ciscocitg/hds-setup:stable` Normál környezetben HTTPS proxyval: `docker run -p 8080:8080 --rm -it-e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER IP:PORT_ ciscocitg/hds-setup:stable` FedRAMP környezetben, proxy nélkül: `dokkoló futtatása -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable` Http proxyval rendelkező FedRAMP környezetben: `docker run -p 8080:8080 --rm -it-e GLOBAL_AGENT_HTTP_PROXY=http://SERVER IP:PORT_ ciscocitg/hds-setup-fedramp:stable` FedRAMP környezetben https proxyval: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER IP:PORT_ ciscocitg/hds-setup-fedramp:stable` Amikor a konténer fut, az "Express szerver figyeli a 8080-as portot."
6	A beállítóeszköz nem támogatja a localhost-hoz való csatlakozást a http://localhost:8080-on keresztül. A(z) http://127.0.0.1:8080 használatával kapcsolódhat a localhost-hoz. Webböngészővel lépjen a(z) `http://127.0.0.1:8080` helyszínállomásra, majd adja meg a rendszergazda felhasználónevét a Partner Hubhoz a kérésben. Az eszköz a felhasználónév első bejegyzésével állítja be a fiókhoz tartozó megfelelő környezetet. Az eszköz ezután megjeleníti a normál bejelentkezési üzenetet.
7	Amikor a rendszer kéri, adja meg a Partner Hub rendszergazdájának bejelentkezési hitelesítő adatait, majd kattintson a Bejelentkezés gombra, hogy engedélyezze a hozzáférést a hibrid adatbiztonsági szolgáltatáshoz szükséges szolgáltatásokhoz.
8	A Beállítóeszköz áttekintése oldalon kattintson az Első lépések gombra.
9	Az ISO-importálás oldalon kattintson az Igen gombra.
10	Válassza ki az ISO-fájlt a böngészőben, és töltse fel.
11	Menjen a Bérlő CMK kezelése lapra, ahol a bérlő CMK-k kezelésének alábbi három módja található. CMK visszavonása az összes szervezet számára vagy CMK visszavonása – kattintson erre a gombra a képernyő tetején látható szalagon, ha szeretné visszavonni az összes eltávolított szervezet CMK-ját. Kattintson a CMK kezelése gombra a képernyő jobb oldalán, majd kattintson a CMK visszavonása gombra az összes eltávolított szervezet CMK-jének visszavonásához. Kattintson a gombra egy adott szervezet CMK visszavonásához állapot közelében a táblázatban, majd kattintson a CMK visszavonása gombra az adott szervezet CMK visszavonásához.
12	A CMK visszavonása sikeres, az ügyfél szervezete többé nem jelenik meg a táblázatban.
13	Ha a CMK visszavonása sikertelen, egy hiba jelenik meg.

Tesztelje hibrid adatbiztonsági szolgáltatás telepítését

A hibrid adatbiztonsági szolgáltatás telepítésének tesztelése

Ezzel az eljárással tesztelheti a több-bérlős hibrid adatbiztonsági titkosítási forgatókönyveket.

Mielőtt elkezdené

Állítsa be a több-bérlős hibrid adatbiztonsági szolgáltatás üzembe helyezését.
Bizonyosodjon meg arról, hogy rendelkezik-e hozzáféréssel a syslog-hoz, és ellenőrizze, hogy a kulcskérések továbbításra kerülnek-e a többbérlős hibrid adatbiztonsági szolgáltatás telepítésébe.

1

Az adott szoba kulcsait a szoba létrehozója állítja be. Jelentkezzen be a Webex alkalmazásba az ügyfél szervezetének egyik felhasználójaként, majd hozzon létre egy szobát.

Ha inaktiválja a hibrid adatbiztonsági szolgáltatás telepítését, a felhasználók által létrehozott terekben lévő tartalom többé nem érhető el, miután kicserélték a titkosítási kulcsok kliens által gyorsítótárazott másolatait.

2

Üzenetek küldése az új szobába.

3

Ellenőrizze a syslog kimenetet, és ellenőrizze, hogy a kulcskérések eljutnak-e a hibrid adatbiztonsági szolgáltatáshoz.

Ha ellenőrizni szeretné, hogy egy felhasználó először létrehoz-e biztonságos csatornát a KMS-hez, szűrőt a következő helyeken: kms.data.method=create és kms.data.type=EPHEMERAL_KEY_COLLECTION:

Meg kell találni egy bejegyzést, mint például a következő (az azonosítók rövidítve olvashatóság):

2020-07-21 17:35:34.562 (+0000) INFO KMS [pool-14-thread-1] - [KMS:REQUEST] fogadva, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.host=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

Ha ellenőrizni szeretné, hogy egy felhasználó kér-e meglévő kulcsot a KMS-ből, szűrőt a kms.data.method=retrieve és a kms.data.type=KEY oldalon:

Olyan bejegyzést kell találnia, mint:

2020-07-21 17:44:19.889 (+0000) INFO KMS [pool-14-thread-31] - [KMS:REQUEST] fogadva, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

Egy új KMS-kulcs létrehozását kérő felhasználó megkereséséhez szűrje a kms.data.method=create és a kms.data.type=KEY_COLLECTION elemekre:

Olyan bejegyzést kell találnia, mint:

2020-07-21 17:44:21.975 (+0000) INFO KMS [pool-14-thread-33] - [KMS:REQUEST] fogadva, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

Ha ellenőrizni szeretné, hogy egy felhasználó új KMS-erőforrásobjektum (KRO) létrehozását kéri-e egy tér vagy más védett erőforrás létrehozásakor, a szűrőt a kms.data.method=create és a kms.data.type=RESOURCE_COLLECTION elemekre:

Olyan bejegyzést kell találnia, mint:

2020-07-21 17:44:22.808 (+0000) INFO KMS [pool-15-thread-1] - [KMS:REQUEST] fogadva, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

Hibrid adatbiztonsági szolgáltatás állapotának megfigyelése

A Partner Hubon belül egy állapotjelző mutatja, hogy minden rendben van-e a több-bérlős hibrid adatbiztonsági szolgáltatás telepítésével. A proaktívabb riasztáshoz regisztráljon az e-mail-értesítésekre. Értesítést kap, ha szolgáltatást befolyásoló riasztások vagy szoftverfrissítések érkeznek.

1	A Partnerközpontban válassza a Szolgáltatások lehetőséget a képernyő bal oldalán található menüből.
2	A Felhőszolgáltatások részben keresse meg a hibrid adatbiztonsági szolgáltatást, majd kattintson a Beállítások szerkesztése lehetőségre. Megjelenik a Hibrid adatbiztonsági beállítások oldal.
3	Az E-mail-értesítések szakaszban adjon meg egy vagy több e-mail-címet vesszővel elválasztva, majd nyomja meg az Enter billentyűt.

HDS-telepítés kezelése

Az itt ismertetett feladatokat a hibrid adatbiztonsági szolgáltatás telepítésének kezeléséhez használja.

Fürtverziófrissítési ütemezés beállítása

A hibrid adatbiztonságra vonatkozó szoftverfrissítések a fürt szintjén automatikusan végrehajtásra kerülnek, ami biztosítja, hogy minden csomópont mindig ugyanazt a szoftververziót használja. A frissítések a fürt frissítési ütemezése szerint zajlanak. Amikor egy szoftverfrissítés elérhetővé válik, lehetősége van arra, hogy a beütemezett frissítési idő előtt manuálisan frissítse a fürtöt. Beállíthat egy konkrét frissítési ütemezést, vagy használhatja az alapértelmezett 3:00-as ütemezést: Amerika/Los Angeles. Szükség esetén elhalaszthatja a soron következő verziófrissítést is.

A verziófrissítési ütemezés beállítása:

1	Jelentkezzen be a Partnerközpontba.
2	A képernyő bal oldalán található menüből válassza a Szolgáltatásoklehetőséget.
3	A Felhőszolgáltatások részben keresse meg a hibrid adatbiztonsági szolgáltatást, majd kattintson a Beállítás gombra
4	A Hibrid adatbiztonsági erőforrások oldalon válassza ki a fürtöt.
5	Kattintson a Fürtbeállítások fülre.
6	A Fürtbeállítások oldalon a Verziófrissítési ütemezés alatt válassza ki a verziófrissítési ütemezéshez tartozó időt és időzónát. Megjegyzés: Az időzóna alatt a következő elérhető verziófrissítés dátuma és ideje jelenik meg. Ha szükséges, a Halasztás 24 órával opcióra kattintva elhalaszthatja a frissítést a következő napra.

A csomópont konfigurációjának módosítása

Előfordulhat, hogy időnként módosítania kell a hibrid adatbiztonsági csomópont konfigurációját olyan okok miatt, mint például:

Az x.509 tanúsítványok módosítása lejárati vagy egyéb okok miatt.

Nem támogatjuk a tanúsítvány CN domain nevének megváltoztatását. A domainnek egyeznie kell a fürt regisztrálásához használt eredeti domainnel.
Adatbázis-beállítások frissítése a PostgreSQL vagy a Microsoft SQL Server adatbázis kópiájára való váltáshoz.

Nem támogatjuk az adatok áttelepítését PostgreSQL-ről Microsoft SQL Server-re, vagy fordítva. Az adatbázis-környezet megváltoztatásához indítsa el a Hybrid Data Security új telepítését.
Új konfiguráció létrehozása új adatközpont előkészítéséhez.

Biztonsági okokból a Hybrid Data Security kilenc hónapos élettartamú szolgáltatási fiókjelszavakat is használ. Miután a HDS telepítőeszköz létrehozza ezeket a jelszavakat, az ISO konfigurációs fájlban minden HDS-csomópontra telepíti őket. Amikor a szervezet jelszavai a lejárathoz közelednek, értesítést kap a Webex csapatától a gépfiók jelszavának visszaállításáról. (Az e-mail tartalmazza a szöveget: "Használja a gép fiók API frissíteni a jelszót.") Ha jelszavai még nem jártak le, az eszköz két lehetőséget kínál:

Soft reset – A régi és az új jelszó egyaránt legfeljebb 10 napig használható. Használja ezt az időszakot a csomópontok ISO-fájljának fokozatos cseréjére.
Kemény alaphelyzetbe állítás – A régi jelszavak azonnal leállnak.

Ha jelszavai alaphelyzetbe állítás nélkül járnak le, az hatással van a HDS-szolgáltatásra, és az összes csomóponton az ISO-fájl azonnali hardveres alaphelyzetbe állítását és cseréjét igényli.

Használja ezt az eljárást egy új konfigurációs ISO-fájl létrehozásához és alkalmazásához a fürtön.

Mielőtt elkezdené

A HDS Setup eszköz Docker konténerként fut egy helyi gépen. Ha hozzá akarsz férni, futtasd a Dockert azon a gépen. A beállítási folyamat megköveteli a partner teljes körű rendszergazdai jogosultságokkal rendelkező Partner Hub-fiók hitelesítő adatait.

Ha a HDS-beállító eszköz a környezetben proxy mögött fut, adja meg a proxybeállításokat (kiszolgáló, port, hitelesítő adatokat) a Docker környezeti változókon keresztül, amikor a Docker tárolót az 1.e-ben helyezi üzembe. Ez a táblázat néhány lehetséges környezeti változót tartalmaz:

Leírás	Változó
Http-proxy hitelesítés nélkül	`GLOBÁLIS_ÜGYNÖK_HTTP_PROXY=HTTP://KISZOLGÁLÓ_IP:PORT`
HTTPS-proxy hitelesítés nélkül	`GLOBÁLIS_ÜGYNÖK_HTTPS_PROXY=http://KISZOLGÁLÓ_IP:PORT`
Http-proxy hitelesítéssel	`GLOBÁLIS_ÜGYNÖK_HTTP_PROXY=http://felhasználónév:jelszó@kiszolgáló_IP:PORT`
HTTPS-proxy hitelesítéssel	`GLOBÁLIS_ÜGYNÖK_HTTPS_PROXY=http://felhasználónév:jelszó@kiszolgáló_IP:PORT`

Új konfiguráció létrehozásához az aktuális konfigurációs ISO-fájl másolata szükséges. Az ISO tartalmazza a PostgreSQL vagy Microsoft SQL Server adatbázist titkosító mesterkulcsot. Konfiguráció-módosításkor, beleértve az adatbázis-hitelesítő adatokat, a tanúsítványok frissítését vagy az engedélyezési irányelv módosítását, ISO-szabványra van szüksége.

1	A Docker helyi gépen történő használata esetén futtassa a HDS Setup Tool alkalmazást. A gép parancssorában adja meg a környezetének megfelelő parancsot: Rendszeres környezetben: `docker rmi ciscocitg/hds-setup:stabil` FedRAMP környezetben: `docker rmi ciscocitg/hds-setup-fedramp:stabil` Ezzel a lépéssel törölhetők a HDS telepítőeszköz korábbi képei. Ha nincsenek korábbi képek, akkor olyan hibát ad vissza, amelyet figyelmen kívül hagyhat. A Docker-képtárba való bejelentkezéshez írja be a következőket: `dokkoló bejelentkezés -u hdscustomersro` A jelszókéréskor írja be ezt a hash-t: `dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo` Töltse le a legfrissebb stabil képet a környezetéről: Rendszeres környezetben: `dokkoló húzás ciscocitg/hds-setup:stabil` FedRAMP környezetben: `dokkoló húzás ciscocitg/hds-setup-fedramp:stabil` Győződjön meg róla, hogy az eljáráshoz a legújabb telepítőeszközt választotta. Az eszköz 2018. február 22. előtt létrehozott verziói nem rendelkeznek jelszó-visszaállító képernyővel. Amikor a húzás befejeződött, adja meg a környezetének megfelelő parancsot: Rendszeres környezetben, proxy nélkül: `dokkoló futtatása -p 8080:8080 --rm -it ciscocitg/hds-setup:stable` Http proxyval rendelkező normál környezetben: `docker run -p 8080:8080 --rm -it-e GLOBAL_AGENT_HTTP_PROXY=http://SERVER IP:PORT_ ciscocitg/hds-setup:stable` Rendszeres környezetben, HTTPSproxyval: `docker run -p 8080:8080 --rm -it-e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER IP:PORT_ ciscocitg/hds-setup:stable` FedRAMP környezetben, proxy nélkül: `dokkoló futtatása -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable` Http proxyval rendelkező FedRAMP környezetben: `docker run -p 8080:8080 --rm -it-e GLOBAL_AGENT_HTTP_PROXY=http://SERVER IP:PORT_ ciscocitg/hds-setup-fedramp:stable` FedRAMP környezetben https proxyval: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER IP:PORT_ ciscocitg/hds-setup-fedramp:stable` Amikor a tároló fut, megjelenik az "Express szerver hallgat a 8080-as porton". Használjon böngészőt a localhosthoz való `http://127.0.0.1:8080`csatlakozáshoz. A beállítóeszköz nem támogatja a localhost-hoz való csatlakozást a http://localhost:8080-on keresztül. A(z) http://127.0.0.1:8080 használatával kapcsolódhat a localhost-hoz. Amikor a rendszer kéri, adja meg a Partner Hub ügyfél bejelentkezési hitelesítő adatait, majd kattintson az Elfogadás gombra a folytatáshoz. Importálja az aktuális konfigurációs ISO-fájlt. Kövesse a figyelmeztetéseket az eszköz befejezéséhez és a frissített fájl letöltéséhez. A beállítóeszköz leállításához gépelje be a `CTRL+C` billentyűkombinációt. Készítsen biztonsági másolatot a frissített fájlról egy másik adatközpontban.
2	Ha csak egy HDS-csomópont fut, hozzon létre egy új hibrid adatbiztonsági szolgáltatás-csomópontot, és regisztrálja azt az új konfigurációs ISO-fájl használatával. Részletes útmutatásért lásd: További csomópontok létrehozása és regisztrálása. Telepítse a HDS GAZDAPETEFÉSZKET. A HDS VM beállítása. Csatolja a frissített konfigurációs fájlt. Regisztrálja az új csomópontot a Partnerközpontban.
3	A régebbi konfigurációs fájlt futtató HDS-csomópontok esetében csatlakoztassa az ISO-fájlt. Végezze el a következő eljárást minden csomóponton, majd frissítse az egyes csomópontokat, mielőtt kikapcsolná a következő csomópontot: Kapcsolja ki a virtuális gépet. A VMware vSphere kliens bal oldali navigációs ablakában kattintson jobb gombbal a VM-re, majd kattintson a Beállítások szerkesztése lehetőségre. Kattintson `a CD/DVD Drive 1`elemre, válassza ki az ISO-fájlból való csatlakoztatás lehetőségét, és keresse meg azt a helyet, ahol letöltötte az új konfigurációs ISO-fájlt. Bekapcsoláskor ellenőrizze a csatlakoztatást. Mentsd el a módosításokat és az energiát a virtuális gépen.
4	Ismételje meg a 3. lépést a konfiguráció cseréjéhez a régi konfigurációt futtató minden megmaradt csomóponton.

A blokkolt külső DNS-feloldási mód kikapcsolása

Amikor regisztrál egy csomópontot, vagy ellenőrzi a csomópont proxykonfigurációját, a folyamat teszteli a DNS-ellenőrzést és a Cisco Webex felhővel való kapcsolatot. Ha a csomópont DNS-kiszolgálója nem tudja feloldani a nyilvános DNS-neveket, a csomópont automatikusan blokkolt külső DNS-feloldási módba lép.

Ha a csomópontok képesek feloldani a nyilvános DNS-neveket a belső DNS-kiszolgálókon keresztül, kikapcsolhatja ezt a módot az egyes csomópontok proxykapcsolati tesztjének újrafuttatásával.

Mielőtt elkezdené

Győződjön meg arról, hogy a belső DNS-kiszolgálók képesek megoldani a nyilvános DNS-neveket, és hogy a csomópontok képesek kommunikálni velük.

1	Webböngészőben nyissa meg a hibrid adatbiztonsági csomópont felületét (például IP-cím/beállítás https://192.0.2.0/setup), adja meg a csomóponthoz beállított rendszergazdai hitelesítő adatokat, majd kattintson a Bejelentkezésgombra.
2	Lépjen az Áttekintés (az alapértelmezett lap) oldalra. Ha engedélyezve van, a letiltott külső DNS-felbontás igen értékre van állítva.
3	Lépjen a Megbízhatósági áruház és proxy oldalra.
4	Kattintson a Proxykapcsolat ellenőrzéseelemre. Ha olyan üzenet jelenik meg, amely szerint a külső DNS-felbontás nem sikerült, a csomópont nem tudta elérni a DNS-kiszolgálót, és ebben a módban marad. Ellenkező esetben a csomópont újraindítása és az Áttekintés lapra való visszalépés után a blokkolt külső DNS-felbontást nemre kell állítani.

Mi a következő lépés

Ismételje meg a proxykapcsolati tesztet a hibrid adatbiztonsági fürt minden csomópontján.

Csomópont eltávolítása

Ezzel az eljárással eltávolíthat egy hibrid adatbiztonsági szolgáltatás-csomópontot a Webex-felhőből. Miután eltávolította a csomópontot a fürtből, törölje a virtuális gépet, hogy megakadályozza a további hozzáférést a biztonsági adatokhoz.

1

A számítógépén lévő VMware vSphere kliens használatával jelentkezzen be az ESXi virtuális állomásba, és kapcsolja ki a virtuális gépet.

2

Csomópont eltávolítása:

Jelentkezzen be a Partnerközpontba, majd válassza a Szolgáltatásoklehetőséget.
A hibrid adatbiztonsági szolgáltatás kártyán kattintson az Összes megtekintése gombra a hibrid adatbiztonsági erőforrások oldal megjelenítéséhez.
Válassza ki a fürtöt az Áttekintés panel megjelenítéséhez.
Kattintson az eltávolítani kívánt csomópontra.
Kattintson a Csomópont regisztrációjának törlése lehetőségre a jobb oldalon megjelenő panelen
A csomópont regisztrációját úgy is törölheti, hogy rákattint a csomópont jobb oldalára, és kiválasztja a Csomópont eltávolítása lehetőséget.

3

A vSphere kliensben törölje a VM-et. (A bal oldali navigációs panelen kattintson a jobb gombbal a VM-re, majd kattintson a Törlés gombra.)

Ha nem törli a VM-et, ne felejtse el eltávolítani a konfigurációs ISO-fájlt. Az ISO fájl nélkül nem lehet hozzáférni a biztonsági adatokhoz a VM segítségével.

Katasztrófa-helyreállítás a készenléti adatközpont használatával

A hibrid adatbiztonsági szolgáltatás-fürt által nyújtott legkritikusabb szolgáltatás az üzenetek és más tartalmak titkosításához használt kulcsok létrehozása és tárolása a Webex-felhőben. A szervezeten belüli minden olyan felhasználó számára, aki hozzá van rendelve a hibrid adatbiztonsághoz, a rendszer átirányítja az új kulcslétrehozási kérelmeket a fürthöz. A fürt felelős a létrehozott kulcsok visszaküldéséért is bármely, a lekérésre jogosult felhasználónak, például egy beszélgetési szoba tagjainak.

Mivel a fürt a kulcsok biztosításának kritikus funkcióját végzi, elengedhetetlen, hogy a fürt továbbra is fusson, és megfelelő biztonsági mentéseket tartson fenn. A hibrid adatbiztonsági szolgáltatás-adatbázis vagy a sémához használt konfigurációs ISO elvesztése az ügyféltartalom VISSZAFORDÍTHATATLAN ELVESZTÉSÉT eredményezi. Az ilyen veszteség megelőzése érdekében a következő gyakorlatok kötelezőek:

Ha egy katasztrófa miatt a HDS telepítése nem érhető el az elsődleges adatközpontban, kövesse ezt az eljárást a készenléti adatközpontba való manuális feladatátvételhez.

Mielőtt elkezdené

Törölje az összes csomópont regisztrációját a Partner Hubból a Csomópont eltávolítása részben említettek szerint. Az alább említett feladatátvételi eljárás végrehajtásához használja a korábban aktív fürt csomópontjain konfigurált legújabb ISO-fájlt.

1	Indítsa el a HDS telepítőeszközt, és kövesse a Konfigurációs ISO létrehozása a HDS szervezők számára című részben említett lépéseket.
2	Végezze el a konfigurációs folyamatot, és mentse el az ISO fájlt egy könnyen megtalálható helyre.
3	Készítsen biztonsági másolatot az ISO fájlról a helyi rendszerre. Tartsa biztonságban a biztonsági másolatot. Ez a fájl az adatbázis tartalmához tartozó fő titkosítási kulcsot tartalmaz. Korlátozza a hozzáférést csak azokra a hibrid adatbiztonsági szolgáltatás-rendszergazdákra, akiknek konfigurációs módosításokat kell végrehajtaniuk.
4	A VMware vSphere kliens bal oldali navigációs ablakában kattintson jobb gombbal a VM-re, majd kattintson a Beállítások szerkesztése lehetőségre.
5	Kattintson a Beállítások szerkesztése >CD/DVD Drive 1 elemre, és válassza a Datastore ISO-fájl lehetőséget. Győződjön meg arról, hogy a Csatlakoztatva és a Kapcsolódás bekapcsolva be van jelölve, hogy a frissített konfigurációs módosítások a csomópontok elindítása után életbe lépjenek.
6	Kapcsolja be a HDS-csomópontot, és győződjön meg arról, hogy legalább 15 percig nincs riasztás.
7	Regisztrálja a csomópontot a Partnerközpontban. Lásd: A fürt első csomópontjának regisztrálása.
8	Ismételje meg a folyamatot minden csomóponthoz a készenléti adatközpontban.

Mi a következő teendő

A feladatátvétel után, ha az elsődleges adatközpont ismét aktívvá válik, törölje a készenléti adatközpont csomópontjainak regisztrációját, és ismételje meg az ISO konfigurálását és az elsődleges adatközpont csomópontjainak regisztrálását a fent említettek szerint.

(Opcionális) ISO leválasztása a HDS-konfiguráció után

A standard HDS konfiguráció az ISO csatlakozóval fut. Néhány ügyfél azonban nem szeretné, ha az ISO fájlokat folyamatosan csatlakoztatva hagyná. Az ISO fájl leszerelhető, miután az összes HDS-csomópont felvette az új konfigurációt.

A konfiguráció módosításához továbbra is az ISO-fájlokat használja. Amikor új ISO-t hoz létre vagy frissít egy ISO-t a Telepítőeszköz segítségével, a frissített ISO-t minden HDS-csomópontra fel kell szerelnie. Miután az összes csomópont átvette a konfigurációs módosításokat, újra leszerelheti az ISO-t ezzel az eljárással.

Mielőtt elkezdené

Frissítse az összes HDS-csomópontot a 2021.01.22.4720-as vagy újabb verzióra.

1	Állítsa le az egyik HDS-csomópontot.
2	A vCenter Server Appliance-ben válassza ki a HDS csomópontot.
3	Válassza a Beállítások szerkesztése > CD-/DVD-meghajtó lehetőséget, és törölje az ISO-fájl jelölését.
4	Kapcsolja be a HDS-csomópontot, és biztosítsa, hogy legalább 20 percig ne legyen riasztás.
5	Ismételje meg egymás után minden HDS-csomópont esetében.

Hibrid adatbiztonsági szolgáltatás hibaelhárítása

Riasztások és hibaelhárítás megtekintése

A hibrid adatbiztonsági szolgáltatás telepítése nem érhető el, ha a fürtben lévő összes csomópont nem érhető el, vagy a fürt olyan lassan működik, hogy időtúllépést igényel. Ha a felhasználók nem tudják elérni a hibrid adatbiztonsági szolgáltatás-fürtöt, a következő tüneteket tapasztalják:

Nem lehet új szobákat létrehozni (nem lehet új kulcsot létrehozni)
Nem sikerült visszafejteni az üzeneteket és a szobák címeit a következőhöz:
- Új felhasználók hozzáadva egy szobához (nem lehet lekérni a kulcsokat)
- Meglévő felhasználók egy szobában új klienssel (nem lehet lekérni a kulcsokat)
A szobában lévő meglévő felhasználók továbbra is sikeresen futnak, amennyiben az ügyfeleik rendelkeznek a titkosítási kulcsok gyorsítótárával

Fontos, hogy megfelelően figyelje a hibrid adatbiztonsági szolgáltatás-fürtöt, és azonnal kezelje az esetleges riasztásokat, hogy elkerülje a szolgáltatás megszakadását.

Riasztások

Ha probléma van a hibrid adatbiztonsági szolgáltatás beállításával, a Partner Hub riasztásokat jelenít meg a szervezet rendszergazdájának, és e-maileket küld a konfigurált e-mail-címre. A riasztások számos gyakori forgatókönyvet fednek le.

1. táblázat Gyakori problémák és a megoldásukhoz szükséges lépések
Riasztás	Művelet
Helyi adatbázis-hozzáférés sikertelen.	Keressen adatbázishibákat vagy helyi hálózati problémákat.
Nem sikerült csatlakozni a helyi adatbázishoz.	Ellenőrizze, hogy az adatbázis szerver elérhető-e, és a megfelelő szolgáltatásfiók hitelesítő adatokat használták-e a csomópont konfigurációjában.
Sikertelen volt a felhőszolgáltatás-hozzáférés.	Ellenőrizze, hogy a csomópontok hozzáférhetnek-e a Webex kiszolgálókhoz a Külső kapcsolódási követelmények pontban meghatározottak szerint.
A felhőszolgáltatás regisztrációjának megújítása.	A felhőszolgáltatásokba való regisztráció megszakadt. A lajstromozás megújítása folyamatban van.
A felhőszolgáltatás regisztrációja megszakadt.	A felhőszolgáltatásokba való regisztráció leállt. A szolgáltatás leáll.
A szolgáltatás még nincs aktiválva.	Aktiválja a HDS-t a Partnerközpontban.
A konfigurált tartomány nem egyezik a kiszolgáló tanúsítványával.	Győződjön meg arról, hogy a kiszolgálótanúsítvány megegyezik a konfigurált szolgáltatásaktiválási tartománygal. A legvalószínűbb ok az, hogy a CN tanúsítványt nemrégiben módosították, és mostantól különbözik a kezdeti beállítás során használt CN-től.
A felhőszolgáltatásokhoz való hitelesítés sikertelen.	Ellenőrizze a szolgáltatásfiók hitelesítő adatainak pontosságát és esetleges lejáratát.
Nem sikerült megnyitni a helyi kulcstár fájlját.	Ellenőrizze az integritást és a jelszó pontosságát a helyi kulcstárfájlban.
A helyi kiszolgáló tanúsítványa érvénytelen.	Ellenőrizze a kiszolgáló tanúsítványának lejárati dátumát, és erősítse meg, hogy azt egy megbízható hitelesítésszolgáltató állította ki.
Nem lehet mérőszámokat közzétenni.	Ellenőrizze a külső felhőszolgáltatásokhoz való helyi hálózati hozzáférést.
A /media/configdrive/hds könyvtár nem létezik.	Ellenőrizze az ISO rögzítési konfigurációt a virtuális állomáson. Ellenőrizze, hogy az ISO fájl létezik-e, hogy újraindításkor csatlakoztatásra van-e konfigurálva, és hogy sikeresen csatlakozik-e.
A bérlő szervezetének beállítása nem fejeződött be a hozzáadott szervezetek esetében	A beállítást úgy fejezze be, hogy CMK-ket hoz létre az újonnan hozzáadott bérlő szervezetek számára a HDS-telepítőeszköz használatával.
A bérlő szervezeti beállítása az eltávolított szervezetek esetében nem fejeződött be	A telepítést végezze el az olyan bérlő szervezetek CMK-jének visszavonásával, amelyeket a HDS telepítőeszköz használatával távolítottak el.

Hibrid adatbiztonsági szolgáltatás hibaelhárítása

A hibrid adatbiztonsági szolgáltatással kapcsolatos problémák elhárításakor használja a következő általános irányelveket.

1	Ellenőrizze a Partner Hubot az esetleges riasztások miatt, és javítsa ki az ott található elemeket. Bővebb tájékoztatásért lásd az alábbi képet.
2	Ellenőrizze a Hibrid adatbiztonsági szolgáltatás telepítésből származó tevékenységhez tartozó syslog szerver kimenetét. A hibaelhárítás érdekében szűrje az olyan szavakra, mint a „Figyelmeztetés” és a „Hiba”.
3	Forduljon a Cisco ügyfélszolgálatához.

Egyéb megjegyzések

A hibrid adatbiztonsági szolgáltatás ismert problémái

Ha leállítja a hibrid adatbiztonsági szolgáltatás-fürtöt (a Partner Hubban történő törléssel vagy az összes csomópont leállításával), elveszíti a konfigurációs ISO-fájlt, vagy elveszíti a kulcsrakész-adatbázishoz való hozzáférést, az ügyfélszervezetek Webex alkalmazás felhasználói többé nem használhatják a KMS-ből kulcsokkal létrehozott Személyek listában szereplő szobákat. Jelenleg nem rendelkezünk megoldással vagy megoldással ehhez a problémához, és arra kérjük, hogy ne állítsa le a HDS-szolgáltatásait, miután azok aktív felhasználói fiókokat kezelnek.
Az az ügyfél, amely meglévő ECDH-kapcsolattal rendelkezik egy KMS-sel, egy ideig (valószínűleg egy órán keresztül) tartja fenn a kapcsolatot.

OpenSSL használata PKCS12 fájl létrehozásához

Mielőtt elkezdené

Az OpenSSL egy olyan eszköz, amellyel a PKCS12 fájlt a megfelelő formátumban lehet betölteni a HDS telepítőeszközben. Ennek más módjai is vannak, és nem támogatjuk vagy támogatjuk az egyik módot a másikkal szemben.
Ha az OpenSSL használatát választja, útmutatóként biztosítjuk ezt az eljárást, hogy segítsen létrehozni egy olyan fájlt, amely megfelel az X.509 Certificate Requirements (X.509 Certificate Requirements) X.509 tanúsítványkövetelményeinek. Mielőtt folytatná, ismerje meg ezeket a követelményeket.
Telepítse az OpenSSL-t támogatott környezetben. Lásd: https://www.openssl.org a szoftver és a dokumentáció.
Hozzon létre egy privát kulcsot.
Indítsa el ezt az eljárást, amikor megkapja a kiszolgáló tanúsítványt a hitelesítésszolgáltatótól (CA).

1	Amikor megkapja a kiszolgálótanúsítványt a hitelesítésszolgáltatótól, mentse el `hdsnode.pem` formátumban.
2	A tanúsítvány megjelenítése szövegként, és ellenőrizze a részleteket. `openssl x509 - text - noout - in hdsnode.pem`
3	Használjon szövegszerkesztőt egy `hdsnode-bundle.pem` nevű tanúsítványkötegfájl létrehozásához. A csomagfájlnak tartalmaznia kell a kiszolgáló tanúsítványt, a közbenső CA-tanúsítványokat és a legfelső CA-tanúsítványokat az alábbi formátumban: `-----kezdési tanúsítvány----- ### Kiszolgáló tanúsítvány. ### -----befejező tanúsítvány----------------------------------------------------------------------------------------------------------------------- ### Közbenső CA-tanúsítvány. ### -----befejező tanúsítvány----------------------------------------------------------------------------------------------------------------------- ### Legfelső szintű CA-tanúsítvány. ### -----befejező tanúsítvány-----`
4	Hozza létre a .p12 fájlt `kms-private-key` névvel. `openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -név kms-private-key -caname kms-private-key -out hdsnode.p12`
5	Ellenőrizze a kiszolgáló tanúsítványának részleteit. `nyissa meg a pkcs12 -t a hdsnode.p12-ben` Adjon meg egy jelszót a titkos kulcs titkosítására vonatkozó kérésnél, hogy az megjelenjen a kimenetben. Ezután ellenőrizze, hogy a titkos kulcs és az első tanúsítvány tartalmazza-e a `friendlyName vonalakat: kms-private-key`. Példa: bash$ openssl pkcs12 -in hdsnode.p12 Adja meg az importálási jelszót: MAC által ellenőrzött OK táska attribútumok friendlyName: kms-private-key localKeyId: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Kulcsattribútumok: Adja meg a PEM-belépési kifejezést: Ellenőrzés – Adja meg a PEM-belépési kifejezést: -----KEZDJE EL TITKOSÍTOTT TITKOS KULCS----- -----END TITKOSÍTOTT TITKOS KULCS------ Táska attribútumai friendlyName: kms-private-key localKeyId: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 ------BEGIN CERTIFICATE---- -----END CERTIFICATE----- Bag Attributes friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US tárgy=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 kibocsátó=/O=Digital Signature Trust Co./CN=DST legfelső szintű hitelesítésszolgáltató X3 -----BEGIN CERTIFICATE---- -----END CERTIFICATE-----

Mi a következő teendő

Visszatérés a Hibrid adatbiztonsági szolgáltatás előfeltételeinek teljesítése lehetőséghez. A hdsnode.p12 fájlt és a hozzá beállított jelszót fogja használni az ISO-konfiguráció létrehozása a HDS-állomásoknál menüpontban.

Ezeket a fájlokat újra felhasználhatja új tanúsítvány kéréséhez, amikor az eredeti tanúsítvány lejár.

HDS-csomópontok és a felhő közötti forgalom

Kimenő mérőszámok gyűjtésének forgalma

A hibrid adatbiztonsági csomópontok bizonyos mérőszámokat küldenek a Webex felhőbe. Ezek közé tartoznak a heap max, a használt heap, a CPU terhelése és a szálszám rendszermérőszámai; a szinkronizált és aszinkron szálak mérőszámai; a titkosítási kapcsolatok küszöbértékét, a késleltetést vagy a kérés sor hosszát érintő riasztások mérőszámai; az adatkészlet mérőszámai; és a titkosítási kapcsolat mérőszámai. A csomópontok titkosított kulcs anyagot küldenek egy sávon kívüli (a kérelemtől elkülönülő) csatornán keresztül.

Bejövő forgalom

A hibrid adatbiztonsági szolgáltatás-csomópontok a bejövő forgalom alábbi típusait kapják meg a Webex-felhőből:

Az ügyfelektől érkező, a titkosítási szolgáltatás által irányított titkosítási kérések
A csomópont szoftverének frissítései

Squid-proxyk konfigurálása a hibrid adatbiztonsághoz

A Websocket nem tud tintahal-proxyn keresztül csatlakozni

A HTTPS-forgalmat ellenőrző Squid-proxyk zavarhatják a websocket (wss:) kapcsolatok létrehozását, amelyeket a Hibrid adatbiztonsági szolgáltatás igényel. Ezek a szakaszok útmutatást nyújtanak arról, hogyan konfigurálhatja a Squid különböző verzióit a wss figyelmen kívül hagyásához: a szolgáltatások megfelelő működéséhez szükséges forgalom.

Tintahal 4 és 5

Adja hozzá az on_unsupported_protocol irányelvet a squid.conf fájlhoz:

on_unsupported_protocol az alagút

Tintahal 3.5.27

Sikeresen teszteltük a hibrid adatbiztonságot a következő szabályokkal, amelyek hozzáadva vannak a squid.conf.conf-hez. Ezek a szabályok változhatnak a funkciók fejlesztése és a Webex felhő frissítése során.

acl wssMercuryConnection ssl::server_name_regex Mercury-kapcsolat ssl_bump splice wssMercuryConnection acl step1 at_step SslBump1 acl step2 at_step SslBump2 acl step3 at_step SslBump3 ssl_bump peek step1 all ssl_bump stare step2 all ssl_bump bump step3 all

Új és módosított információk

Ez a táblázat ismerteti az új funkciókat vagy funkciókat, a meglévő tartalom módosításait, valamint a Több-bérlős hibrid adatbiztonsági szolgáltatás üzembehelyezési útmutatójában kijavított főbb hibákat.

Dátum	Módosítások
2025. március 4.	Hozzáadtuk a HDS-beállító eszköz futtatása a Podman Desktop használatával szakaszt. Egy megjegyzés hozzáadva a Docker asztali követelmények alkalmazáshoz, amely alternatív nyílt forráskódú lehetőséget biztosít az ügyfeleknek. Frissült a Konfigurációs ISO létrehozása a HDS Hosts számára és a Csomópont konfigurációjának módosítása a Podman Desktop használatára vonatkozó utasításokkal a Docker Desktop-licenc nélküli ügyfelek számára.
2025. január 30.	2022-es SQL server-verzió hozzáadva a támogatott SQL-kiszolgálók listájához az Adatbázis-kiszolgáló követelményei részben.
2025. január 15.	Hozzáadva: A több-bérlős hibrid adatbiztonság korlátai.
2025. január 8.	Hozzáadtunk egy megjegyzést a Kezdeti beállítási és telepítési fájlok letöltése részben, amely kimondja, hogy a Beállítás elemre kattintva a Partner Hubban a HDS-kártyán, a telepítési folyamat fontos lépése.
2025. január 7.	Frissült a Virtuális szervezőre vonatkozó követelmények, a Hibrid adatbiztonsági szolgáltatás telepítési feladatfolyama, és a HDS Host OVA telepítése az ESXi 7.0 új követelményének megjelenítéséhez.
2024. december 13.	Először megjelent.

Több-bérlős hibrid adatbiztonsági szolgáltatás inaktiválása

Több-bérlős HDS-deaktiválási feladatfolyamat

Kövesse az alábbi lépéseket a több-bérlős HDS teljes kikapcsolásához.

Mielőtt elkezdené

Ezt a feladatot csak teljes jogú partnerrendszergazda végezheti el.

1	Távolítsa el az összes ügyfelet az összes fürtből, a Bérlői szervezetek eltávolítása részben említettek szerint.
2	Vonja vissza az összes ügyfél CMK-jét, a HDS-ből eltávolított bérlők CMK-jének visszavonása című részben említettek szerint.
3	Távolítsa el az összes csomópontot az összes fürtből, a Csomópont eltávolítása részben említettek szerint.
4	Törölje az összes fürtöt a Partnerközpontból a következő két módszer valamelyikével. Kattintson a törölni kívánt fürtre, majd az áttekintés oldal jobb felső sarkában válassza a Fürt törlése lehetőséget. Az Erőforrások oldalon kattintson a fürt jobb oldalán, és válassza a Fürt eltávolításalehetőséget.
5	Kattintson a Beállítások fülre a hibrid adatbiztonsági szolgáltatás áttekintő oldalán, majd kattintson a HDS inaktiválása gombra a HDS-állapotkártyán.

Első lépések a több-bérlős hibrid adatbiztonsági szolgáltatással

Több-bérlős hibrid adatbiztonsági szolgáltatás áttekintése

A Webex alkalmazás tervezésekor az első naptól kezdve az adatbiztonság volt az elsődleges hangsúly. A biztonság sarokköve a tartalom végpontok közötti titkosítása, amelyet a Key Management Service (KMS) szolgáltatással együttműködő Webex alkalmazás ügyfelei engedélyeznek. A KMS felelős az üzenetek és fájlok dinamikus titkosítására és visszafejtésére használt kriptográfiai kulcsok létrehozásáért és kezeléséért.

Alapértelmezés szerint a Webex alkalmazás összes ügyfele a felhőalapú KMS-ben, a Cisco biztonsági tartományában tárolt dinamikus kulcsokkal kap végpontok közötti titkosítást. A Hybrid Data Security a KMS-T és más, biztonsággal kapcsolatos funkciókat a vállalati adatközpontba helyezi át, így csak Ön rendelkezik a titkosított tartalom kulcsaival.

A több bérlős hibrid adatbiztonsági szolgáltatás lehetővé teszi a szervezetek számára a HDS kihasználását egy megbízható helyi partneren keresztül, aki szolgáltatóként tevékenykedhet, és kezelheti a helyszíni titkosítást és egyéb biztonsági szolgáltatásokat. Ez a beállítás lehetővé teszi a partnerszervezet számára, hogy teljes ellenőrzést gyakoroljon a titkosítási kulcsok telepítése és kezelése felett, valamint biztosítja az ügyfélszervezetek felhasználói adatainak külső hozzáféréstől való biztonságát. A partnerszervezetek szükség szerint HDS-példányokat állíthatnak be, és HDS-fürtöket hozhatnak létre. Minden egyes példány több ügyfélszervezetet is támogathat, ellentétben a rendszeres HDS-telepítéssel, amely egyetlen szervezetre korlátozódik.

Bár a partnerszervezetek felügyelik a telepítést és a kezelést, nem férnek hozzá az ügyfelek által generált adatokhoz és tartalmakhoz. Ez a hozzáférés az ügyfélszervezetekre és azok felhasználóira korlátozódik.

Ez lehetővé teszi a kisebb szervezetek számára, hogy kihasználják a HDS-t, mivel a kulcskezelési szolgáltatás és a biztonsági infrastruktúra, például az adatközpontok a megbízható helyi partner tulajdonában vannak.

Hogyan biztosítja a több-bérlős hibrid adatbiztonság az adatszuverenitást és adatvezérlést?

A felhasználók által létrehozott tartalmak védve vannak a külső hozzáféréstől, például a felhőszolgáltatóktól.
A helyi megbízható partnerek kezelik azoknak az ügyfeleknek a titkosítási kulcsait, akikkel már kialakult kapcsolatuk.
Helyi műszaki támogatási lehetőség, ha azt a partner biztosítja.
Támogatja az értekezleteket, az üzenetküldést és a hívást.

Ez a dokumentum célja, hogy segítse a partnerszervezeteket az ügyfelek létrehozásában és kezelésében egy több-bérlős hibrid adatbiztonsági rendszer keretében.

A több-bérlős hibrid adatbiztonsági szolgáltatás korlátai

A partnerszervezetek nem rendelkezhetnek aktív meglévő HDS-telepítéssel a Control Hubban.
A partner által kezelni kívánt bérlői vagy ügyfélszervezetek nem rendelkezhetnek meglévő HDS-telepítéssel a Control Hubban.
Miután a partner bevezette a több-bérlős HDS-t, az ügyfélszervezetek összes felhasználója, valamint a partnerszervezet felhasználói elkezdik kihasználni a több-bérlős HDS-t a titkosítási szolgáltatásaikhoz.

Az általuk kezelt partnerszervezet és ügyfélszervezetek ugyanazon a több-bérlős HDS-telepítésen fognak részt venni.

A partnerszervezet a továbbiakban nem fogja használni a felhőalapú KMS-t a több-bérlős HDS telepítése után.
HDS-telepítés után nincs mechanizmus a kulcsok felhőalapú KMS-be való visszahelyezésére.
Jelenleg minden több-bérlős HDS telepítésnek csak egy fürtje lehet, és az alatt több csomópont is lehet.
A rendszergazdai szerepköröknek vannak bizonyos korlátai; a részleteket lásd az alábbi szakaszban.

Szerepkörök a többbérlős hibrid adatbiztonsági szolgáltatásban

Partner teljes jogú rendszergazdája – a partner által kezelt összes ügyfél beállításait kezelheti. A szervezetben már meglévő felhasználókhoz rendszergazdai szerepköröket is hozzárendelhet, és kijelölhet bizonyos ügyfeleket, akiket a partner rendszergazdái kezelhetnek.
Partnerrendszergazda – Kezelheti a rendszergazda által biztosított vagy a felhasználóhoz rendelt ügyfelek beállításait.
Teljes jogú rendszergazda – A partnerszervezet olyan rendszergazdája, aki jogosult olyan feladatok elvégzésére, mint például a szervezeti beállítások módosítása, a licencek kezelése és szerepkörök hozzárendelése.

Végponttól végpontig több-bérlős HDS beállítása és kezelése az összes ügyfélszervezet esetében – Partneri rendszergazdai és teljes körű rendszergazdai jogok szükségesek.
Hozzárendelt bérlő szervezetek kezelése – Partnerrendszergazdai és teljes körű rendszergazdai jogok szükségesek.

Biztonsági tartomány architektúrája

A Webex felhőarchitektúra a különböző típusú szolgáltatásokat külön tartományokra vagy megbízható tartományokra osztja szét, az alábbiakban bemutatottak szerint.

A hibrid adatbiztonság további megértéséhez először tekintsük meg ezt a tiszta felhőalapú esetet, amelyben a Cisco a felhőbirodalmában minden funkciót biztosít. Az identitásszolgáltatás, az egyetlen hely, ahol a felhasználók közvetlenül korrelálhatók személyes adataikkal, például az e-mail-címükkel, logikusan és fizikailag elkülönül a B adatközpont biztonsági tartományától. Mindkettő viszont elkülönül attól a tartománytól, ahol a titkosított tartalmat végül tárolják, a C adatközpontban.

Ezen az ábrán az ügyfél a felhasználó laptopján futó Webex alkalmazás, és az azonosítási szolgáltatással van hitelesítve. Amikor a felhasználó egy szobába küldendő üzenetet állít össze, a következő lépések történnek:

Az ügyfél biztonságos kapcsolatot létesít a kulcskezelési szolgáltatással (KMS), majd egy kulcsot kér az üzenet titkosításához. A biztonságos kapcsolat ECDH-t használ, a KMS pedig AES-256 mesterkulccsal titkosítja a kulcsot.
Az üzenet titkosítva van, mielőtt elhagyja a klienst. Az ügyfél elküldi azt az indexelő szolgáltatásnak, amely titkosított keresési indexeket hoz létre, hogy segítse a jövőbeli tartalmi kereséseket.
A titkosított üzenetet a rendszer elküldi a megfelelőségi szolgáltatásnak megfelelőségi ellenőrzésre.
A titkosított üzenet a tárhely tartományában tárolódik.

A hibrid adatbiztonsági szolgáltatás telepítésekor a biztonsági tartomány funkcióit (KMS, indexelés és megfelelőség) áthelyezi a helyszíni adatközpontba. A Webexet alkotó egyéb felhőszolgáltatások (beleértve az identitást és a tartalomtárolást) a Cisco birodalmában maradnak.

Együttműködés más szervezetekkel

A szervezetéhez tartozó felhasználók rendszeresen használhatják a Webex alkalmazást, hogy együttműködjenek más szervezetek külső résztvevőivel. Amikor az egyik felhasználó kulcsot kér egy olyan szobához, amely az Ön szervezetének tulajdona (mivel azt az egyik felhasználó hozta létre), a KMS egy ECDH-biztonságos csatornán keresztül elküldi a kulcsot az ügyfélnek. Ha azonban egy másik szervezet tulajdonában van a szoba kulcsa, a KMS egy külön ECDH-csatornán keresztül továbbítja a kérést a Webex felhőbe, hogy megkapja a kulcsot a megfelelő KMS-ből, majd visszaküldi a kulcsot a felhasználónak az eredeti csatornán.

Az „A” szervezeten futó KMS-szolgáltatás x.509 PKI-tanúsítványok használatával ellenőrzi a más szervezetek KMS-eihez való kapcsolatokat. A több-bérlős hibrid adatbiztonsági szolgáltatás telepítéséhez használandó x.509-tanúsítvány létrehozásával kapcsolatos részletekért lásd: Környezet előkészítése .

Elvárások a hibrid adatbiztonsági szolgáltatás telepítésével kapcsolatban

A hibrid adatbiztonsági szolgáltatás telepítéséhez jelentős elkötelezettségre és a titkosítási kulcsok tulajdonosi kockázataira van szükség.

A hibrid adatbiztonsági szolgáltatás telepítéséhez meg kell adnia a következőket:

Biztonságos adatközpont egy olyan országban, amely a Cisco Webex Teams-csomagok támogatott helyszíne.
A Környezet előkészítése részben leírt berendezések, szoftverek és hálózati hozzáférés.

A hibrid adatbiztonsági szolgáltatáshoz létrehozott konfigurációs ISO vagy az Ön által megadott adatbázis teljes elvesztése a kulcsok elvesztését eredményezi. A kulcsvesztés megakadályozza, hogy a felhasználók visszafejtsék a tárhelytartalmakat és egyéb titkosított adatokat a Webex alkalmazásban. Ha ez megtörténik, új telepítést hozhat létre, de csak az új tartalom lesz látható. Az adatokhoz való hozzáférés elvesztésének elkerülése érdekében:

Kezelje az adatbázis és a konfiguráció ISO biztonsági mentését és helyreállítását.
Készüljön fel a gyors katasztrófa-helyreállításra, ha katasztrófa történik, mint például az adatbázis lemezhibája vagy az adatközpont-katasztrófa.

HDS-telepítés után nincs mechanizmus a kulcsok felhőbe való visszahelyezésére.

Magas szintű beállítási folyamat

Ez a dokumentum egy több-bérlős hibrid adatbiztonsági szolgáltatás telepítésének beállításával és kezelésével foglalkozik:

Hibrid adatbiztonsági szolgáltatás beállítása – Ez magában foglalja a szükséges infrastruktúra előkészítését és a hibrid adatbiztonsági szolgáltatás szoftverének telepítését, egy HDS-fürt létrehozását, bérlői szervezetek hozzáadását a fürthöz, valamint az ügyfél fő kulcsainak (CMK-k) kezelését. Ez lehetővé teszi az ügyfélszervezetek minden felhasználója számára, hogy a hibrid adatbiztonsági szolgáltatás-fürtöt használja a biztonsági funkciókhoz.

A beállítási, aktiválási és kezelési szakaszt a következő három fejezet részletesen ismerteti.
A hibrid adatbiztonsági szolgáltatás telepítésének fenntartása – A Webex felhő automatikusan folyamatos frissítéseket biztosít. Az Ön informatikai osztálya első szintű támogatást nyújthat ehhez a telepítéshez, és szükség szerint bevonhatja a Cisco-támogatást. A Partner Hubban használhatja a képernyőn megjelenő értesítéseket, és beállíthat e-mail-alapú riasztásokat.
A gyakori riasztások, hibaelhárítási lépések és ismert problémák megértése – Ha problémába ütközik a hibrid adatbiztonsági szolgáltatás telepítése vagy használata során, az útmutató utolsó fejezete és az Ismert problémák függelék segíthet a probléma meghatározásában és megoldásában.

Hibrid adatbiztonsági szolgáltatás telepítési modellje

A vállalati adatközponton belül a hibrid adatbiztonsági szolgáltatást egyetlen csomópontfürtként telepíti különálló virtuális szervezőkre. A csomópontok biztonságos websocket-eken és biztonságos HTTP-n keresztül kommunikálnak a Webex Clouddal.

A telepítési folyamat során az OVA fájlt biztosítjuk Önnek a virtuális készülékek beállításához az Ön által biztosított VM-eken. A HDS telepítőeszköz segítségével egyéni fürtkonfigurációs ISO-fájlt hozhat létre, amelyet minden csomópontra rögzíthet. A hibrid adatbiztonsági szolgáltatás-fürt a megadott Syslogd-kiszolgálót és PostgreSQL vagy Microsoft SQL Server adatbázist használja. (A Syslogd és az adatbázis-kapcsolat részleteit a HDS telepítőeszközben konfigurálhatja.)

Hibrid adatbiztonsági szolgáltatás telepítési modellje

Egy fürtben minimálisan elérhető csomópontok száma kettő. Fürtönként legalább hármat ajánlunk. A több csomópont biztosítja, hogy a szolgáltatás ne szakadjon meg egy csomóponton végzett szoftverfrissítés vagy egyéb karbantartási tevékenység során. (A Webex-felhő egyszerre csak egy csomópontot frissít.)

A fürtben lévő összes csomópont ugyanahhoz a kulcsadatkészlethez és ugyanahhoz a syslog szerverhez fér hozzá a naplótevékenységhez. Maguk a csomópontok státustalanok, és a kulcskéréseket kerek-robin módon kezelik, a felhő utasításai szerint.

A csomópontok aktiválódnak, amikor regisztrálja őket a Partner Hubban. Ha egy egyedi csomópontot ki szeretne zárni a szolgáltatásból, törölheti a regisztrációját, majd szükség esetén később újra regisztrálhatja.

Készenléti adatközpont a katasztrófa-helyreállításhoz

A telepítés során biztonságos készenléti adatközpontot állít be. Adatközpont-katasztrófa esetén manuálisan meghiúsulhat a telepítés a készenléti adatközpontba.

Az aktív és készenléti adatközpontok adatbázisai szinkronizálva vannak egymással, ami minimalizálja a feladatátvétel elvégzéséhez szükséges időt.

Az aktív hibrid adatbiztonsági szolgáltatás-csomópontoknak mindig ugyanabban az adatközpontban kell lenniük, mint az aktív adatbázis-kiszolgálónak.

Proxy támogatás

A Hibrid adatbiztonság támogatja az explicit, átlátható ellenőrzést és a nem ellenőrző proxykat. Ezeket a proxykat az üzembe helyezéshez kötheti, így biztonságossá teheti és figyelheti a vállalattól a felhőig irányuló forgalmat. A tanúsítványkezeléshez platformfelügyeleti felületet használhat a csomópontokon, és ellenőrizheti a kapcsolat általános állapotát, miután beállította a proxyt a csomópontokon.

A hibrid adatbiztonsági csomópontok a következő proxybeállításokat támogatják:

Nincs proxy – Az alapértelmezett, ha nem használja a Megbízhatósági tároló és proxy konfigurációt a HDS-csomópont beállításához a proxy integrálásához. Nincs szükség tanúsítványfrissítésre.
Átlátszó, nem ellenőrző proxy – A csomópontok nincsenek konfigurálva meghatározott proxykiszolgáló-cím használatára, és nem igényelhetnek módosításokat ahhoz, hogy a nem ellenőrző proxyval működjenek. Nincs szükség tanúsítványfrissítésre.
Átlátszó alagútépítés vagy ellenőrzés proxy – A csomópontok nincsenek konfigurálva konkrét proxykiszolgáló-cím használatára. A csomópontokon nincs szükség HTTP- vagy HTTPS-konfigurációs módosításokra. A csomópontoknak azonban főtanúsítványra van szükségük, hogy megbízzanak a proxyban. A proxyk ellenőrzését az IT általában arra használja, hogy betartassa azokat az irányelveket, amelyeken a webhelyek látogathatók, és milyen típusú tartalom nem engedélyezett. Ez a fajta proxy visszafejti az összes forgalmat (még HTTPS-t is).
Explicit proxy – Az explicit proxy segítségével megmondja a HDS-csomópontoknak, hogy melyik proxykiszolgálót és hitelesítési sémát kell használni. Explicit proxy konfigurálásához minden csomóponton a következő adatokat kell megadnia:
1. Proxy IP/FQDN – a proxygép elérésére használható cím.
2. Proxyport – Olyan portszám, amelyet a proxy a lekerekített forgalom figyelésére használ.
3. Proxyprotokoll – Attól függően, hogy a proxykiszolgáló mit támogat, válasszon a következő protokollok közül:
  - HTTP – Az ügyfél által küldött összes kérés megtekintése és ellenőrzése.
  - HTTPS – Csatornát biztosít a kiszolgálónak. Az ügyfél megkapja és ellenőrzi a kiszolgáló tanúsítványát.
4. Hitelesítési típus – Válasszon a következő hitelesítési típusok közül:
  - Nincs – Nincs szükség további hitelesítésre.
    
    Akkor érhető el, ha a HTTP-t vagy a HTTPS-t választja proxyprotokollként.
  - Alapszintű – HTTP-felhasználói ügynökként használatos a felhasználónév és jelszó megadására kéréskor. Base64 kódolást használ.
    
    Akkor érhető el, ha a HTTP-t vagy a HTTPS-t választja proxyprotokollként.
    
    Meg kell adnia a felhasználónevet és a jelszót az egyes csomópontokon.
  - Kivonás – A fiók megerősítésére szolgál, mielőtt érzékeny információkat küldene be. Kivonatfüggvényt alkalmaz a felhasználónévre és a jelszóra, mielőtt elküldené a hálózaton keresztül.
    
    Csak akkor érhető el, ha a HTTPS-t választja proxyprotokollként.
    
    Meg kell adnia a felhasználónevet és a jelszót az egyes csomópontokon.

Példa hibrid adatbiztonsági csomópontokra és proxykra

Ez a diagram egy példakapcsolatot mutat be a hibrid adatbiztonság, a hálózat és a proxy között. Az átlátható ellenőrzési és HTTPS-explicit ellenőrző proxybeállításokhoz ugyanazt a főtanúsítványt kell telepíteni a proxyra és a hibrid adatbiztonsági csomópontokra.

Blokkolt külső DNS-feloldási mód (explicit proxykonfigurációk)

Amikor regisztrál egy csomópontot, vagy ellenőrzi a csomópont proxykonfigurációját, a folyamat teszteli a DNS-ellenőrzést és a Cisco Webex felhővel való kapcsolatot. Az explicit proxykonfigurációkkal rendelkező központi telepítések esetében, amelyek nem teszik lehetővé a külső DNS-feloldást a belső ügyfelek számára, ha a csomópont nem tudja lekérdezni a DNS-kiszolgálókat, automatikusan blokkolt külső DNS-feloldási módba lép. Ebben az üzemmódban folytatódhat a csomópont-regisztráció és más proxykapcsolati tesztek.

Készítse elő környezetét

A több-bérlős hibrid adatbiztonságra vonatkozó követelmények

Cisco Webex licenckövetelmények

A több-bérlős hibrid adatbiztonsági szolgáltatás telepítéséhez:

Partnerszervezetek: Forduljon Cisco-partneréhez vagy fiókkezelőjéhez, és bizonyosodjon meg arról, hogy engedélyezve van a több-bérlős funkció.
Bérlői szervezetek: Rendelkeznie kell a Cisco Webex Control Hub Pro Packkel. (Lásd: https://www.cisco.com/go/pro-pack.)

Docker asztali követelmények

A HDS-csomópontok telepítése előtt a telepítőprogram futtatásához a Docker Desktop alkalmazásra van szükség. A Docker nemrég frissítette licencelési modelljét. Előfordulhat, hogy szervezetének fizetős előfizetést kell igényelnie a Docker Desktophoz. További részletekért lásd a Docker blogbejegyzést, "A Docker frissíti és bővíti termékelőfizetéseinket".

A Docker Desktop licenccel nem rendelkező ügyfelek nyílt forráskódú tárolókezelő eszközt (például a Podman Desktop) használhatnak konténerek futtatására, kezelésére és létrehozására. Erről a HDS-beállító eszköz futtatása a Podman Desktop használatával című oldalon tájékozódhat bővebben.

X.509 tanúsítványkövetelmények

A tanúsítványláncnak az alábbi követelményeknek kell megfelelnie:

1. táblázat X.509 Tanúsítványkövetelmények a hibrid adatbiztonsági szolgáltatás telepítéséhez
Követelmény	részletei
Megbízható hitelesítésszolgáltató (CA) által aláírt	Alapértelmezés szerint megbízunk a Mozilla listában szereplő hitelesítésszolgáltatókban (a WoSign és a StartCom kivételével) a következő címen: https://wiki.mozilla.org/CA:IncludedCAs.
Közös név (CN) tartománynévvel rendelkezik, amely azonosítja a hibrid adatbiztonsági szolgáltatás telepítését Nem helyettesítő kód tanúsítvány	A CN-nek nem kell elérhetőnek vagy élő szervezőnek lennie. Javasoljuk, hogy olyan nevet használjon, amely tükrözi a szervezetét, például: `hds.company.com`. A CN nem tartalmazhat * karaktert (helyettesítő karaktert). A CN-t a Webex alkalmazás ügyfeleihez tartozó hibrid adatbiztonsági szolgáltatás-csomópontok ellenőrzésére használják. A fürtben lévő összes hibrid adatbiztonsági szolgáltatás-csomópont ugyanazt a tanúsítványt használja. A KMS a CN tartomány használatával azonosítja magát, nem az x.509v3 SAN mezőkben definiált tartományt. Miután regisztrált egy csomópontot ezzel a tanúsítvánnyal, nem támogatjuk a CN-tartomány nevének megváltoztatását.
Nem SHA1-aláírás	A KMS szoftver nem támogatja az SHA1-aláírásokat a más szervezetek KMS-jeihez való kapcsolatok érvényesítéséhez.
Jelszóval védett PKCS #12 fájlként formázva A tanúsítvány, a titkos kulcs és a feltölteni kívánt közbenső tanúsítványok címkével való ellátásához használja `kms-private-key` a felhasználónevet.	A tanúsítvány formátumának megváltoztatásához használjon konvertálót, például OpenSSL-t. A HDS telepítőeszköz futtatásakor meg kell adnia a jelszót.

A KMS szoftver nem kényszeríti ki a kulcshasználatot vagy a kiterjesztett kulcshasználati korlátozásokat. Egyes hitelesítésszolgáltatók megkövetelik, hogy kiterjesztett kulcshasználati korlátozásokat alkalmazzanak minden tanúsítványra, például a kiszolgáló hitelesítésére. Megfelelő a kiszolgálóhitelesítés vagy egyéb beállítások használata.

Virtuális szervezőre vonatkozó követelmények

A fürtben hibrid adatbiztonsági szolgáltatás-csomópontként beállított virtuális szervezőkre a következő követelmények vonatkoznak:

Legalább két különálló szervező (3 ajánlott) ugyanabban a biztonságos adatközpontban van elhelyezve
A VMware ESXi 7.0 (vagy későbbi) verzió telepítve és fut.

Frissítenie kell, ha az ESXi egy korábbi verziójával rendelkezik.
Legalább 4 vCPU, 8 GB fő memória, 30 GB helyi merevlemez kiszolgálónként

Adatbázis-kiszolgáló követelmények

Hozzon létre egy új adatbázist a kulcstároláshoz. Ne használja az alapértelmezett adatbázist. A HDS alkalmazások telepítésekor létrehozzák az adatbázis-sémát.

Az adatbázis-kiszolgálónak két lehetősége van. Az egyes követelményekre vonatkozó követelmények a következők:

2. táblázat Adatbázis-kiszolgáló követelmények az adatbázis típusa szerint
PostgreSQL csevegés	Microsoft SQL kiszolgáló
A PostgreSQL 14, 15 vagy 16 telepítve és fut.	Az SQL Server 2016, 2017, 2019 vagy 2022 (Enterprise vagy Standard) telepítve van. Az SQL Server 2016 használatához 2. szervizcsomag és 2. vagy újabb kumulatív frissítés szükséges.
Legalább 8 vCPU, 16 GB fő memória, elegendő tárhely a merevlemezen és figyelés, hogy ne lépje túl (2 TB ajánlott, ha hosszú ideig szeretné futtatni az adatbázist a tárhely növelése nélkül)	Legalább 8 vCPU, 16 GB fő memória, elegendő tárhely a merevlemezen és figyelés, hogy ne lépje túl (2 TB ajánlott, ha hosszú ideig szeretné futtatni az adatbázist a tárhely növelése nélkül)

A HDS szoftver jelenleg a következő illesztőprogramokat telepíti az adatbázis-kiszolgálóval való kommunikációhoz:

PostgreSQL csevegés

Microsoft SQL kiszolgáló

Postgres JDBC illesztőprogram 42.2.5

SQL Server JDBC illesztőprogram 4.6

Ez az illesztőprogram-verzió támogatja az SQL Server Always On ( Always On Failover Cluster Instances és Always On Availability Groups) szolgáltatást.

A Microsoft SQL Server elleni Windows-hitelesítés további követelményei

Ha azt szeretné, hogy a HDS csomópontok Windows hitelesítést használjanak, hogy hozzáférjenek a Microsoft SQL Server kulcstári adatbázisához, akkor a következő konfigurációra van szükség a környezetben:

A HDS csomópontokat, az Active Directory infrastruktúrát és az MS SQL Server-t mind szinkronizálni kell az NTP-vel.
A HDS-csomópontok számára megadott Windows-fióknak olvasási/írási hozzáféréssel kell rendelkeznie az adatbázishoz.
A HDS-csomópontokhoz megadott DNS-kiszolgálóknak képesnek kell lenniük a kulcselosztó központ (KDC) feloldására.
A HDS adatbázis-példányát a Microsoft SQL Server kiszolgálón a szolgáltatás fő neveként (SPN) regisztrálhatja az Active Directoryban. Lásd: Szolgáltatás fő nevének regisztrálása Kerberos-kapcsolatokhoz.

A HDS telepítőeszköznek, a HDS indítónak és a helyi KMS-nek mind Windows-hitelesítést kell használnia a keystore adatbázishoz való hozzáféréshez. Az ISO-konfiguráció részleteit használják az SPN megépítéséhez, amikor Kerberos hitelesítéssel kívánnak hozzáférni.

Külső kapcsolódási követelmények

Konfigurálja úgy a tűzfalát, hogy engedélyezze a következő csatlakozást a HDS-alkalmazásokhoz:

Alkalmazás	Protokoll	Port	Irány az alkalmazásból	Cél
Hibrid adatbiztonsági szolgáltatás-csomópontok	TCP	443	Kimenő HTTPS és WSS	Webex-kiszolgálók: .wbx2.com .ciscospark.com Minden Common Identity-szervező A hibrid adatbiztonságra vonatkozóan felsorolt egyéb URL-címek a Webex hibrid szolgáltatásokhoz további URL-címekWebex-szolgáltatások hálózati követelményei táblázatban
HDS-beállító eszköz	TCP	443	Kimenő HTTPS	*.wbx2.com Minden Common Identity-szervező hub.docker.com

A hibrid adatbiztonsági szolgáltatás-csomópontok hálózati hozzáférési fordítással (NAT) vagy tűzfal mögött működnek, amennyiben a NAT vagy a tűzfal lehetővé teszi a szükséges kimenő kapcsolatokat az előző táblázatban szereplő tartománycélhelyekhez. A hibrid adatbiztonsági szolgáltatás-csomópontokra bejövő kapcsolatok esetében nem szabad, hogy a portok látszódjanak az internetről. Az adatközponton belül az ügyfeleknek adminisztratív okokból hozzá kell férniük a hibrid adatbiztonsági szolgáltatás-csomópontokhoz a 443-as és 22-es TCP-portokon.

A Common Identity (CI) gazdagépek URL-címe régiónkénti. Ezek a jelenlegi CI-szervezők:

Régió	Common Identity Host URL-címek
Amerika	https://idbroker.webex.com https://identity.webex.com https://idbroker-b-us.webex.com https://identity-b-us.webex.com
Európai Unió	https://idbroker-eu.webex.com https://identity-eu.webex.com
Kanada	https://idbroker-ca.webex.com https://identity-ca.webex.com
Szingapúr	https://idbroker-sg.webex.com https://identity-sg.webex.com
Egyesült Arab Emírségek	https://idbroker-ae.webex.com https://identity-ae.webex.com

Proxykiszolgálói követelmények

Hivatalosan is támogatjuk a következő proxy megoldásokat, amelyek integrálhatók a hibrid adatbiztonsági csomópontjaival.
- Átlátszó proxy – Cisco Web Security Appliance (WSA).
- Explicit proxy – tintahal.
  
  A HTTPS-forgalmat ellenőrző Squid-proxyk zavarhatják a websocket (wss:) kapcsolatok létrehozását. A probléma megoldásához lásd: Squid-proxyk konfigurálása hibrid adatbiztonsághoz.
Az explicit proxyk esetében a következő hitelesítési típuskombinációkat támogatjuk:
- Nincs hitelesítés HTTP-vel vagy HTTPS-rel
- Alapszintű hitelesítés HTTP-vel vagy HTTPS-rel
- Hitelesítés megemésztése csak HTTPS-rel
Átlátszó ellenőrző proxyhoz vagy HTTPS explicit proxyhoz rendelkeznie kell a proxy főtanúsítványának másolatával. Az útmutató üzembe helyezési utasításaiból az útmutató ismerteti, hogyan töltheti fel a másolatot a hibrid adatbiztonsági csomópontok megbízhatósági tárolóiba.
A HDS-csomópontokat üzemeltető hálózatot úgy kell konfigurálni, hogy a 443-as port kimenő TCP-forgalmát kényszerítse a proxyn való áthaladásra.
A webes forgalmat ellenőrző proxyk zavarhatják a webfoglalat-kapcsolatokat. Ha ez a probléma előfordul, a forgalom wbx2.com és ciscospark.com közötti megkerülése megoldja a problémát.

A hibrid adatbiztonság előfeltételeinek teljesítése

Ezzel az ellenőrzőlistával győződjön meg arról, hogy készen áll a hibrid adatbiztonsági szolgáltatás-fürt telepítésére és konfigurálására.

1	Győződjön meg arról, hogy partnerszervezete engedélyezte a „Több-bérlős HDS” funkciót, és szerezze be egy teljes körű partnerrendszergazdai jogosultsággal és teljes körű rendszergazdai jogosultsággal rendelkező fiók hitelesítő adatait. Győződjön meg arról, hogy Webex-ügyfélszervezete engedélyezve van a Cisco Webex Control Hub Pro Pack csomagja. A folyamattal kapcsolatos segítségért forduljon Cisco-partneréhez vagy fiókkezelőjéhez. Az ügyfélszervezetek nem rendelkezhetnek meglévő HDS-telepítéssel.
2	Válasszon ki egy tartománynevet a HDS telepítéséhez (például `hds.company.com`), és szerezzen be egy X.509 tanúsítványt, privát kulcsot és bármely köztes tanúsítványt tartalmazó tanúsítványláncot. A tanúsítványláncnak meg kell felelnie az X.509 tanúsítványkövetelmények előírásainak.
3	Készítse elő azokat az azonos virtuális szervezőket, akiket hibrid adatbiztonsági szolgáltatás-csomópontként fog beállítani a fürtben. Legalább két különálló szervezőre (3 ajánlott) van szükség ugyanabban a biztonságos adatközpontban, amelyek megfelelnek a Virtuális szervező követelményei pontban foglalt követelményeknek.
4	Készítse elő az adatbázis-kiszolgálót, amely a fürt kulcsadattáraként fog működni, az Adatbázis-kiszolgáló követelményei szerint. Az adatbázis-kiszolgálót a biztonságos adatközpontban kell elhelyezni a virtuális gazdagépekkel. Hozzon létre egy adatbázist a kulcstároláshoz. (Létre kell hoznia ezt az adatbázist – ne használja az alapértelmezett adatbázist. A HDS alkalmazások telepítésekor létrehozzák az adatbázis sémát.) Gyűjtse össze azokat a részleteket, amelyeket a csomópontok az adatbázis-kiszolgálóval való kommunikációhoz használnak: a gazdagép neve vagy IP-címe (gazdagép) és a port az adatbázis neve (dbname) a kulcstároláshoz a kulcstárolási adatbázis összes jogosultságával rendelkező felhasználó felhasználóneve és jelszava
5	A gyors katasztrófa-helyreállításhoz állítson be biztonsági mentési környezetet egy másik adatközpontban. A biztonsági mentési környezet a VM-ek és a biztonsági mentési adatbázis szerver termelési környezetét tükrözi. Ha például a gyártásnak 3 HDS csomópontot futtató VM-je van, a biztonsági mentési környezetnek 3 VM-je van.
6	Állítson be egy syslog-állomást a fürt csomópontjairól érkező naplók összegyűjtésére. A hálózati cím és a syslog port összegyűjtése (alapértelmezés: UDP 514).
7	Hozzon létre biztonságos biztonsági mentési szabályzatot a hibrid adatbiztonsági szolgáltatás-csomópontokhoz, az adatbázis-kiszolgálóhoz és a syslog-állomáshoz. A visszafordíthatatlan adatvesztés elkerülése érdekében legalább biztonsági másolatot kell készítenie az adatbázist és a hibrid adatbiztonsági szolgáltatás csomópontokhoz generált konfigurációs ISO-fájlt. Mivel a hibrid adatbiztonsági csomópontok tárolják a tartalom titkosításához és visszafejtéséhez használt kulcsokat, a működőképes telepítés karbantartásának elmulasztása a tartalom VISSZAFORDÍTHATATLAN ELVESZTÉSÉT eredményezi. A Webex alkalmazás ügyfelei gyorsítják a kulcsaikat, így előfordulhat, hogy a kimaradás nem lesz azonnal észrevehető, de idővel nyilvánvalóvá válik. Míg az ideiglenes kimaradást lehetetlen megelőzni, azok visszafordíthatóak. Az adatbázis vagy konfigurációs ISO fájl teljes elvesztése (nincs elérhető biztonsági mentés) azonban visszafordíthatatlan ügyféladatokat eredményez. A hibrid adatbiztonsági szolgáltatás-csomópontok üzemeltetői várhatóan gyakori biztonsági másolatot készítenek az adatbázisról és a konfigurációs ISO-fájlról, és készen állnak a hibrid adatbiztonsági szolgáltatás-adatközpont újbóli felépítésére, ha katasztrofális hiba lép fel.
8	Győződjön meg arról, hogy a tűzfalkonfiguráció engedélyezi a csatlakozást a hibrid adatbiztonsági szolgáltatás-csomópontok számára, a Külső kapcsolódási követelmények pontban leírtak szerint.
9	Telepítse a Docker-t ( https://www.docker.com) bármely támogatott operációs rendszert futtató helyi gépre (Microsoft Windows 10 Professional vagy Enterprise 64 bites vagy Mac OSX Yosemite 10.10.3 vagy újabb) olyan webböngészővel, amely a következő címen tud hozzáférni: http://127.0.0.1:8080. A Docker-példány segítségével letöltheti és futtathatja a HDS telepítőeszközt, amely az összes hibrid adatbiztonsági szolgáltatás-csomópont helyi konfigurációs információit összeállítja. Lehet, hogy Docker asztali licencre van szüksége. További információkért lásd: Docker asztali követelmények . A HDS-telepítőeszköz telepítéséhez és futtatásához a helyi gépnek rendelkeznie kell a kapcsolattal a Külső kapcsolódási követelmények pontban leírtak szerint.
10	Ha egy proxyt a hibrid adatbiztonsággal integrál, győződjön meg arról, hogy az megfelel a proxykiszolgáló követelményeinek.

Hibrid adatbiztonsági szolgáltatás-fürt beállítása

Hibrid adatbiztonsági szolgáltatás telepítési feladatfolyama

Mielőtt elkezdené

1	Kezdeti beállítási és telepítési fájlok letöltése Töltse le az OVA-fájlt a helyi gépre későbbi használatra.
2	Konfigurációs ISO létrehozása a HDS szervezők számára A HDS-telepítőeszköz segítségével ISO-konfigurációs fájlt hozhat létre a hibrid adatbiztonsági szolgáltatás-csomópontokhoz.
3	A HDS Host OVA telepítése Hozzon létre virtuális gépet az OVA fájlból, és végezze el a kezdeti konfigurációkat, például a hálózati beállításokat. Az OVA telepítése során a hálózati beállítások konfigurálásának lehetőségét teszteltük az ESXi 7.0 verzióval. Előfordulhat, hogy a beállítás a korábbi verziókban nem érhető el.
4	Hibrid adatbiztonsági szolgáltatás (VM) beállítása Jelentkezzen be a VM-konzolba, és állítsa be a bejelentkezési hitelesítő adatokat. Konfigurálja a csomópont hálózati beállításait, ha az OVA telepítésekor nem konfigurálta azokat.
5	A HDS-konfigurációs ISO feltöltése és csatlakoztatása Konfigurálja a VM-et a HDS telepítőeszközzel létrehozott ISO konfigurációs fájlból.
6	A HDS-csomópont konfigurálása proxyintegrációhoz Ha a hálózati környezet proxykonfigurációt igényel, adja meg a csomóponthoz használni kívánt proxy típusát, és szükség esetén adja hozzá a proxytanúsítványt a megbízhatósági tárolóhoz.
7	A fürtben lévő első csomópont regisztrálása Regisztrálja a VM-et a Cisco Webex felhővel hibrid adatbiztonsági szolgáltatás-csomópontként.
8	További csomópontok létrehozása és regisztrálása Fejezze be a fürt beállítását.
9	Aktiválja a több-bérlős HDS-t a Partnerközpontban. Aktiválja a HDS-t és kezelje a bérlői szervezeteket a Partner Hubban.

Kezdeti beállítási és telepítési fájlok letöltése

Ebben a feladatban letölt egy OVA-fájlt a számítógépére (nem a hibrid adatbiztonsági szolgáltatás-csomópontokként beállított kiszolgálókra). Ezt a fájlt később a telepítési folyamat során használhatja.

1	Jelentkezzen be a Partnerközpontba, majd kattintson a Szolgáltatások lehetőségre.
2	A Felhőszolgáltatások részben keresse meg a hibrid adatbiztonsági kártyát, majd kattintson a Beállítás gombra. A Partner Hubban a Beállítás gombra kattintva kulcsfontosságú a telepítési folyamat szempontjából. Ne folytassa a telepítést ennek a lépésnek a befejezése nélkül.
3	Kattintson az Erőforrás hozzáadása lehetőségre, majd a Szoftver telepítése és konfigurálása kártyán kattintson a .OVA-fájl letöltése gombra. A szoftvercsomag (OVA) régebbi verziói nem lesznek kompatibilisek a hibrid adatbiztonsági szolgáltatás legújabb frissítéseivel. Ez problémákat okozhat az alkalmazás verziófrissítése során. Ügyeljen arra, hogy az OVA-fájl legújabb verzióját töltse le. Az OVA-t bármikor letöltheti a Súgó részből. Kattintson a Beállítások > Súgó > Hibrid adatbiztonsági szolgáltatás letöltése lehetőségre. Az OVA-fájl letöltése automatikusan elkezdődik. Mentse a fájlt a gépén lévő helyre.
4	Opcionálisan kattintson a Hibrid adatbiztonsági szolgáltatás telepítési útmutatójának megtekintése opcióra annak ellenőrzéséhez, hogy rendelkezésre áll-e ennek az útmutatónak egy későbbi verziója.

Konfigurációs ISO létrehozása a HDS szervezők számára

A hibrid adatbiztonsági szolgáltatás beállítási folyamata ISO-fájlt hoz létre. Ezután az ISO-t használja a hibrid adatbiztonsági szolgáltatás-szervező konfigurálásához.

Mielőtt elkezdené

A HDS Setup eszköz Docker konténerként fut egy helyi gépen. Ha hozzá akarsz férni, futtasd a Dockert azon a gépen. A beállítási folyamat megköveteli a teljes rendszergazdai jogosultságokkal rendelkező Partner Hub-fiók hitelesítő adatait.

Ha nem rendelkezik Docker asztali licenccel, akkor a Podman Desktop segítségével futtathatja a HDS telepítőeszközt az alábbi eljárás 1-5. lépéseihez. Erről a HDS-beállító eszköz futtatása a Podman Desktop használatával című oldalon tájékozódhat bővebben.

Ha a HDS-beállító eszköz a környezetében lévő proxy mögött fut, adja meg a proxybeállításokat (kiszolgáló, port, hitelesítő adatokat) a Dokkolókörnyezeti változókon keresztül a Dokkolótároló alábbi 5 . lépésben. Ez a táblázat néhány lehetséges környezeti változót tartalmaz:

Leírás	Változó
Http-proxy hitelesítés nélkül	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
HTTPS-proxy hitelesítés nélkül	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
Http-proxy hitelesítéssel	`GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
HTTPS-proxy hitelesítéssel	`GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

A létrehozott konfigurációs ISO fájl tartalmazza a PostgreSQL vagy Microsoft SQL Server adatbázist titkosító mesterkulcsot. Szükség van a fájl legutóbbi másolatára, amikor konfigurációs módosításokat hajt végre, mint például:
- Adatbázis hitelesítő adatai
- Tanúsítványfrissítések
- Az engedélyezési szabályzat változásai
Ha adatbázis-kapcsolatokat szeretne titkosítani, állítsa be a PostgreSQL vagy SQL Server telepítés TLS-hez.

1

A gép parancssorában adja meg a környezetének megfelelő parancsot:

Rendszeres környezetben:

docker rmi ciscocitg/hds-setup:stable

FedRAMP környezetben:

docker rmi ciscocitg/hds-setup-fedramp:stable

Ezzel a lépéssel törölhetők a HDS telepítőeszköz korábbi képei. Ha nincsenek korábbi képek, akkor olyan hibát ad vissza, amelyet figyelmen kívül hagyhat.

2

A Docker-képtárba való bejelentkezéshez írja be a következőket:

docker login -u hdscustomersro

3

A jelszókéréskor írja be ezt a hash-t:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

4

Töltse le a legfrissebb stabil képet a környezetéről:

Rendszeres környezetben:

docker pull ciscocitg/hds-setup:stable

FedRAMP környezetben:

docker pull ciscocitg/hds-setup-fedramp:stable

5

Amikor a húzás befejeződött, adja meg a környezetének megfelelő parancsot:

Rendszeres környezetben, proxy nélkül:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

Http proxyval rendelkező normál környezetben:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

Normál környezetben HTTPS proxyval:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

FedRAMP környezetben, proxy nélkül:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

Http proxyval rendelkező FedRAMP környezetben:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

FedRAMP környezetben https proxyval:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Amikor a konténer fut, az "Express szerver figyeli a 8080-as portot."

6

A beállítóeszköz nem támogatja a localhost-hoz való csatlakozást a http://localhost:8080-on keresztül. A(z) http://127.0.0.1:8080 használatával kapcsolódhat a localhost-hoz.

Webböngészővel lépjen a(z) http://127.0.0.1:8080 helyszínállomásra, majd adja meg a rendszergazda felhasználónevét a Partner Hubhoz a kérésben.

Az eszköz a felhasználónév első bejegyzésével állítja be a fiókhoz tartozó megfelelő környezetet. Az eszköz ezután megjeleníti a normál bejelentkezési üzenetet.

7

Amikor a rendszer kéri, adja meg a Partner Hub rendszergazdájának bejelentkezési hitelesítő adatait, majd kattintson a Bejelentkezés gombra, hogy engedélyezze a hozzáférést a hibrid adatbiztonsági szolgáltatáshoz szükséges szolgáltatásokhoz.

8

A Beállítóeszköz áttekintése oldalon kattintson az Első lépések gombra.

9

Az ISO-importálás oldalon az alábbi lehetőségek közül választhat:

Nem – Ha az első HDS-csomópontot hozza létre, nincs feltöltendő ISO-fájl.
Igen – Ha már létrehozott HDS-csomópontokat, akkor válassza ki az ISO-fájlt a böngészőben, és töltse fel.

10

Ellenőrizze, hogy az X.509-es tanúsítvány megfelel-e az X.509-es tanúsítványkövetelmények előírásainak.

Ha még soha nem töltött fel tanúsítványt, töltse fel az X.509 tanúsítványt, adja meg a jelszót, majd kattintson a Folytatás gombra.
Ha a tanúsítványa rendben van, kattintson a Folytatás gombra.
Ha a tanúsítvány lejárt, vagy szeretné lecserélni, válassza a Nem lehetőséget a Folytatás a HDS tanúsítványlánc és a korábbi ISO titkos kulcs használata? lehetőséghez. Töltsön fel egy új X.509-tanúsítványt, adja meg a jelszót, majd kattintson a Folytatás gombra.

11

Adja meg a HDS adatbáziscímét és fiókját a kulcsadatkészlet eléréséhez:

Válassza ki az Adatbázis típusát (PostgreSQL vagy Microsoft SQL Server).

Ha a Microsoft SQL Server opciót választja, Hitelesítési típus mezőt kap.
(Csak Microsoft SQL Server ) Válassza ki a Hitelesítési típust:
- Alapszintű hitelesítés: Helyi SQL Server-fiók nevére van szükség a Felhasználónév mezőben.
- Windows-hitelesítés: A username@DOMAINFelhasználónév mezőben található formátumú Windows-fiókra van szükség.
Adja meg az adatbázis-kiszolgáló címét a következő formátumban: : vagy :.

Példa:
dbhost.example.org:1433 vagy 198.51.100.17:1433

Alapszintű hitelesítéshez használhat IP-címet, ha a csomópontok nem tudnak DNS-t használni az állomásnév feloldásához.

Ha Windows-hitelesítést használ, akkor a következő formátumban kell megadnia a teljes tartománynevet: dbhost.example.org:1433
Adja meg az Adatbázis nevét.
Adja meg annak a felhasználónak a Felhasználónevét és Jelszavát , aki minden jogosultsággal rendelkezik a kulcstárolási adatbázisban.

12

Válassza ki a TLS-adatbázis csatlakozási módját:

Mód	Leírás
TLS előnyben részesítése (alapértelmezett beállítás)	A HDS csomópontok nem igénylik a TLS csatlakozását az adatbázis szerverhez. Ha engedélyezi a TLS-t az adatbázis kiszolgálón, a csomópontok titkosított kapcsolatot próbálnak meg létesíteni.
Kötelező TLS	A HDS csomópontok csak akkor kapcsolódnak, ha az adatbázis-kiszolgáló képes egyeztetni a TLS-t.
TLS igénylése és a tanúsítvány aláírójának ellenőrzése	Ez a mód nem alkalmazható SQL Server adatbázisokra. A HDS csomópontok csak akkor kapcsolódnak, ha az adatbázis-kiszolgáló képes egyeztetni a TLS-t. A TLS-kapcsolat létrehozása után a csomópont összehasonlítja az adatbázis-kiszolgálóról származó tanúsítvány aláíróját a hitelesítésszolgáltatóval az Adatbázis gyökértanúsítványban. Ha nem egyeznek, a csomópont megszakítja a kapcsolatot. A legördülő menü alatti Adatbázis gyökértanúsítvány vezérlőelem segítségével töltse fel a beállítás gyökértanúsítványát.
TLS megkövetelése és a tanúsítvány aláírójának és a gépnévnek az ellenőrzése	A HDS csomópontok csak akkor kapcsolódnak, ha az adatbázis-kiszolgáló képes egyeztetni a TLS-t. A TLS-kapcsolat létrehozása után a csomópont összehasonlítja az adatbázis-kiszolgálóról származó tanúsítvány aláíróját a hitelesítésszolgáltatóval az Adatbázis gyökértanúsítványban. Ha nem egyeznek, a csomópont megszakítja a kapcsolatot. A csomópontok azt is ellenőrzik, hogy a kiszolgáló tanúsítványában szereplő gazdagép neve megegyezik-e az Adatbázis gazdagép és port mezőben található gazdagép nevével. A neveknek pontosan egyezniük kell, vagy a csomópont megszakítja a kapcsolatot. A legördülő menü alatti Adatbázis gyökértanúsítvány vezérlőelem segítségével töltse fel a beállítás gyökértanúsítványát.

Amikor feltölti a gyökértanúsítványt (ha szükséges), és a Folytatás gombra kattint, a HDS telepítőeszköz teszteli a TLS-kapcsolatot az adatbázis-kiszolgálóval. Az eszköz ellenőrzi a tanúsítvány aláíróját és a gépnevet is, ha van ilyen. Ha egy teszt sikertelen, az eszköz hibaüzenetet jelenít meg, amely leírja a problémát. Kiválaszthatja, hogy figyelmen kívül hagyja-e a hibát, és folytatja-e a beállítást. (A kapcsolódási különbségek miatt a HDS-csomópontok akkor is képesek lehetnek létrehozni a TLS-kapcsolatot, ha a HDS telepítőeszköz gépe nem tudja sikeresen tesztelni.)

13

A Rendszernaplók oldalon konfigurálja a Syslogd kiszolgálót:

Adja meg a syslog szerver URL-címét.

Ha a kiszolgáló nem DNS-feloldható a HDS-fürthöz tartozó csomópontokról, használjon egy IP-címet az URL-ben.

Példa:
udp://10.92.43.23:514 a 10.92.43.23-as Syslogd állomásra való bejelentkezést jelzi az 514-es UDP-porton.
Ha úgy állítja be a kiszolgálóját, hogy TLS-titkosítást használjon, jelölje be a Be van állítva a syslog kiszolgáló SSL-titkosításra? jelölőnégyzetet.

Ha bejelöli ezt a jelölőnégyzetet, mindenképpen adjon meg egy TCP URL-címet, például tcp://10.92.43.23:514.
A Syslog-rekord termináljának kiválasztása legördülő menüből válassza ki az ISO fájlhoz megfelelő beállítást: Válassza ki, hogy az Újsor legyen-e használatban Graylog és Rsyslog TCP esetén
- Null bájt -- \x00
- Új vonal -- \n—Válassza ezt a lehetőséget a Graylog és Rsyslog TCP esetén.
Kattintson a Folytatás gombra.

14

(Opcionális) Bizonyos adatbázis-kapcsolati paraméterek alapértelmezett értékét a Speciális beállítások menüpontban módosíthatja. Általában ez az egyetlen paraméter, amit érdemes megváltoztatni:

app_datasource_connection_pool_maxSize: 10

15

Kattintson a Folytatás gombra a Szolgáltatásfiókok jelszavának visszaállítása képernyőn.

A szolgáltatásfiók jelszavainak élettartama kilenc hónap. Akkor használja ezt a képernyőt, ha a jelszavak hamarosan lejárnak, vagy vissza szeretné állítani őket, hogy érvénytelenítsék a korábbi ISO-fájlokat.

16

Kattintson az ISO-fájl letöltése lehetőségre. Mentse el a fájlt egy könnyen megtalálható helyre.

17

Készítsen biztonsági másolatot az ISO fájlról a helyi rendszerre.

Tartsa biztonságban a biztonsági másolatot. Ez a fájl az adatbázis tartalmához tartozó fő titkosítási kulcsot tartalmaz. Korlátozza a hozzáférést csak azokra a hibrid adatbiztonsági szolgáltatás-rendszergazdákra, akiknek konfigurációs módosításokat kell végrehajtaniuk.

18

A beállítóeszköz leállításához gépelje be a következőt: CTRL+C.

Mi a következő teendő

Biztonsági másolat készítése a konfigurációs ISO fájlról. A helyreállításhoz további csomópontok létrehozásához, illetve konfigurációs módosítások elvégzéséhez szükség van rá. Ha az ISO fájl összes másolatát elveszíti, akkor a mesterkulcs is elveszett. A PostgreSQL vagy Microsoft SQL Server adatbázisából nem lehet visszaállítani a kulcsokat.

Soha nem lesz másolatunk erről a kulcsról, és nem tudunk segíteni, ha elveszíti.

A HDS Host OVA telepítése

Ezzel az eljárással virtuális gépet hozhat létre az OVA-fájlból.

1	A számítógépén lévő VMware vSphere kliens használatával jelentkezzen be az ESXi virtuális állomásba.
2	Válassza a Fájl > OVF-sablon telepítése lehetőséget.
3	A varázslóban adja meg a korábban letöltött OVA-fájl helyét, majd kattintson a Tovább gombra.
4	A Név és mappa kiválasztása oldalon adja meg a csomópont Virtuális gép nevét (például „HDS_Node_1”), válasszon ki egy helyet, ahol a virtuálisgép-csomópont telepítése élhet, majd kattintson a Tovább gombra.
5	A Számítási erőforrás kiválasztása oldalon válassza ki a cél számítási erőforrást, majd kattintson a Tovább gombra. Egy érvényesítési ellenőrzés lefut. A befejezés után megjelennek a sablon adatai.
6	Ellenőrizze a sablon részleteit, majd kattintson a Tovább gombra.
7	Ha a rendszer arra kéri, hogy a Konfiguráció oldalon válassza ki az erőforrás konfigurációját, kattintson a 4 CPU gombra, majd kattintson a Tovább gombra.
8	A Tárhely kiválasztása oldalon kattintson a Tovább gombra az alapértelmezett lemezformátum és a VM-tárhely házirendjének elfogadásához.
9	A Hálózatok kiválasztása oldalon válassza ki a hálózati lehetőséget a bejegyzések listájából, hogy biztosítsa a kívánt kapcsolatot a VM-mel.
10	A Sablon testreszabása oldalon konfigurálja a következő hálózati beállításokat: Gazdagép neve – Adja meg a csomópont FQDN-jét (gazdagép neve és tartománya), vagy egyetlen szó gazdagép nevét. Nem kell úgy beállítania a tartományt, hogy megfeleljen az X.509 tanúsítvány beszerzéséhez használt tartománynak. A felhőbe történő sikeres regisztráció érdekében csak kisbetűs karaktereket használjon a csomóponthoz beállított FQDN-ben vagy állomásnévben. A nagybetűs írásmód jelenleg nem támogatott. Az FQDN teljes hossza nem haladhatja meg a 64 karaktert. IP-cím— Adja meg a csomópont belső interfészének IP-címét. A csomópontnak belső IP-címmel és DNS-névvel kell rendelkeznie. A DHCP nem támogatott. Maszk – Adja meg az alhálózati maszk címét pont-decimális jelölésben. Például: 255.255.255.0. Átjáró—Adja meg az átjáró IP-címét. Az átjáró olyan hálózati csomópont, amely egy másik hálózat hozzáférési pontjaként szolgál. DNS-kiszolgálók – Adja meg a DNS-kiszolgálók vesszővel elválasztott listáját, amely a tartománynevek numerikus IP-címekre történő fordítását kezeli. (Legfeljebb 4 DNS-bejegyzés engedélyezett.) NTP-kiszolgálók – Adja meg a szervezet NTP-kiszolgálóját vagy egy másik, a szervezetben használható külső NTP-kiszolgálót. Előfordulhat, hogy az alapértelmezett NTP-kiszolgálók nem működnek minden vállalatnál. Több NTP-kiszolgáló megadásához vesszővel elválasztott listát is használhat. Telepítse az összes csomópontot ugyanazon az alhálózaton vagy VLAN-on, hogy a fürtben lévő összes csomópont adminisztratív okokból elérhető legyen a hálózaton lévő ügyfelektől. Ha szeretné, átugorhatja a hálózati beállítási konfigurációt, és a Hibrid adatbiztonsági szolgáltatás beállítása szakasz lépéseit követve konfigurálhatja a beállításokat a csomópont-konzolról. Az OVA telepítése során a hálózati beállítások konfigurálásának lehetőségét teszteltük az ESXi 7.0 verzióval. Előfordulhat, hogy a beállítás a korábbi verziókban nem érhető el.
11	Kattintson az egér jobb oldali gombjával a csomópont VM-jére, majd válassza a Bekapcsolás > Bekapcsolás lehetőséget. A hibrid adatbiztonsági szolgáltatás-szoftver vendégként van telepítve a VM-állomásra. Most már bejelentkezhet a konzolba, és konfigurálhatja a csomópontot. Hibaelhárítási tippek Előfordulhat, hogy a csomópont-konténerek megjelenése előtt néhány percet késik. Az első rendszerindítás során hídtűzfalüzenet jelenik meg a konzolon, amelynek során nem tud bejelentkezni.

Hibrid adatbiztonsági szolgáltatás (VM) beállítása

Ezzel az eljárással először jelentkezzen be a hibrid adatbiztonsági szolgáltatás-csomópont VM-konzoljába, és állítsa be a bejelentkezési hitelesítő adatokat. A konzol segítségével konfigurálhatja a csomópont hálózati beállításait is, ha az OVA telepítésekor nem konfigurálta azokat.

1	A VMware vSphere kliensben válassza ki a hibrid adatbiztonsági szolgáltatás-csomópont VM-jét, és válassza a Konzol lapot. A VM elindul, és bejelentkezési üzenet jelenik meg. Ha a bejelentkezési üzenet nem jelenik meg, nyomja meg az Enter billentyűt.
2	A bejelentkezéshez és a hitelesítő adatok módosításához használja a következő alapértelmezett bejelentkezést és jelszót: Bejelentkezés: `admin` Jelszó: `cisco` Mivel először jelentkezik be a VM-be, meg kell változtatnia a rendszergazda jelszavát.
3	Ha már konfigurálta a hálózati beállításokat a HDS Host OVA telepítése menüben, hagyja ki az eljárás hátralévő részét. Ellenkező esetben a főmenüben válassza a Konfiguráció szerkesztése lehetőséget.
4	Állítson be statikus konfigurációt IP-címmel, maszkkal, átjáróval és DNS-adatokkal. A csomópontnak belső IP-címmel és DNS-névvel kell rendelkeznie. A DHCP nem támogatott.
5	(Opcionális) Módosítsa az állomásnevet, a tartományt vagy az NTP-kiszolgáló(k)t, ha a hálózati házirendnek megfelel. Nem kell úgy beállítania a tartományt, hogy megfeleljen az X.509 tanúsítvány beszerzéséhez használt tartománynak.
6	Mentse a hálózati konfigurációt, és indítsa újra a VM-et, hogy a módosítások életbe lépjenek.

A HDS-konfigurációs ISO feltöltése és csatlakoztatása

Ezzel az eljárással konfigurálhatja a virtuális gépet a HDS telepítőeszközzel létrehozott ISO-fájlból.

Mielőtt elkezdené

Mivel az ISO-fájl tartalmazza a mesterkulcsot, csak „tudni kell” alapon szabad közzétenni, hogy hozzáférhessen a hibrid adatbiztonsági szolgáltatás-kezelők és minden olyan rendszergazda számára, akinek esetleg módosításokat kell végrehajtania. Győződjön meg arról, hogy csak ezek a rendszergazdák férhetnek hozzá az adatkészlethez.

1

Töltse fel az ISO-fájlt a számítógépéről:

A VMware vSphere kliens bal oldali navigációs ablaktáblájában kattintson az ESXi szerverre.
A Konfiguráció lap Hardver listáján kattintson a Tárhelyelemre.
Az Adatkészlet listában kattintson a jobb gombbal a VM-ek adatkészletére, majd kattintson az Adatkészlet tallózása gombra.
Kattintson a Fájlok feltöltése ikonra, majd kattintson a Fájl feltöltésegombra.
Keresse meg azt a helyet, ahol letöltötte az ISO-fájlt a számítógépére, majd kattintson a Megnyitás gombra.
Kattintson az Igen gombra a feltöltési/letöltési műveletre vonatkozó figyelmeztetés elfogadásához, és zárja be az adatkészlet-párbeszédablakot.

2

ISO- fájl csatolása:

A VMware vSphere kliens bal oldali navigációs ablakában kattintson jobb gombbal a VM-re, majd kattintson a Beállítások szerkesztése lehetőségre.
Kattintson az OK gombra a korlátozott szerkesztési beállítások figyelmeztetésének elfogadásához.
Kattintson a CD/DVD Drive 1gombra, válassza ki az ISO-fájl adatsorból való csatlakoztatásának lehetőségét, és keresse meg azt a helyet, ahol a konfigurációs ISO-fájlt feltöltötte.
Jelölje be a Csatlakoztatva és a Kapcsolódás bekapcsolva lehetőséget.
Mentse a módosításokat és indítsa újra a virtuális gépet.

Mi a következő teendő

Ha az IT-házirend megköveteli, akkor opcionálisan eltávolíthatja az ISO-fájlt, miután az összes csomópont elvette a konfigurációs módosításokat. Részletekért lásd: (nem kötelező) Az ISO leválasztása a HDS-konfiguráció után .

A HDS-csomópont konfigurálása proxyintegrációhoz

Ha a hálózati környezet proxyt igényel, ezzel az eljárással adhatja meg a hibrid adatbiztonsággal integrálni kívánt proxy típusát. Ha átlátszó ellenőrző proxyt vagy HTTPS explicit proxyt választ, a csomópont felületével feltöltheti és telepítheti a főtanúsítványt. A proxykapcsolatot az interfészről is ellenőrizheti, és elháríthatja az esetleges problémákat.

Mielőtt elkezdené

A támogatott proxybeállítások áttekintését lásd: Proxytámogatás.
Proxykiszolgálói követelmények

1	Adja meg a HDS-csomópont beállítási URL-címét `https://[HDS Node IP or FQDN]/setup` egy webböngészőben, adja meg a csomóponthoz beállított rendszergazdai hitelesítő adatokat, majd kattintson a Bejelentkezés gombra.
2	Lépjen a Trust Store & Proxyelemre, majd válasszon egy lehetőséget: Nincs proxy – Az alapértelmezett beállítás a proxy integrálása előtt. Nincs szükség tanúsítványfrissítésre. Átlátszó nem ellenőrző proxy – A csomópontok nincsenek konfigurálva meghatározott proxykiszolgáló-cím használatára, és nem igényelhetnek módosításokat ahhoz, hogy a nem ellenőrző proxyval működjenek. Nincs szükség tanúsítványfrissítésre. Átlátszó ellenőrző proxy – A csomópontok nincsenek konfigurálva konkrét proxykiszolgáló-cím használatára. A hibrid adatbiztonsági üzembe helyezés során nincs szükség HTTPS-konfigurációs módosításokra, azonban a HDS-csomópontoknak főtanúsítványra van szükségük, hogy megbízzanak a proxyban. A proxyk ellenőrzését az IT általában arra használja, hogy betartassa azokat az irányelveket, amelyeken a webhelyek látogathatók, és milyen típusú tartalom nem engedélyezett. Ez a fajta proxy visszafejti az összes forgalmat (még HTTPS-t is). Explicit proxy – Az explicit proxy segítségével megmondja az ügyfélnek (HDS-csomópontok), hogy melyik proxykiszolgálót kell használni, és ez a beállítás több hitelesítési típust támogat. Miután kiválasztotta ezt a beállítást, meg kell adnia a következő adatokat: Proxy IP/FQDN – a proxygép elérésére használható cím. Proxyport – Olyan portszám, amelyet a proxy a lekerekített forgalom figyelésére használ. Proxyprotokoll – Válassza a http lehetőséget (az ügyféltől kapott összes kérést megtekintheti és vezérli) vagy a https lehetőséget (csatornát biztosít a szervernek, és az ügyfél megkapja és érvényesíti a szerver tanúsítványát). Válasszon egy lehetőséget a proxykiszolgáló által támogatott lehetőségek alapján. Hitelesítési típus – Válasszon a következő hitelesítési típusok közül: Nincs – Nincs szükség további hitelesítésre. Elérhető HTTP- vagy HTTPS-proxykhoz. Alapszintű – HTTP-felhasználói ügynökként használatos a felhasználónév és jelszó megadására kéréskor. Base64 kódolást használ. Elérhető HTTP- vagy HTTPS-proxykhoz. Ha ezt a lehetőséget választja, meg kell adnia a felhasználónevet és a jelszót is. Kivonás – A fiók megerősítésére szolgál, mielőtt érzékeny információkat küldene be. Kivonatfüggvényt alkalmaz a felhasználónévre és a jelszóra, mielőtt elküldené a hálózaton keresztül. Csak HTTPS proxykhoz érhető el. Ha ezt a lehetőséget választja, meg kell adnia a felhasználónevet és a jelszót is. Kövesse az átlátható ellenőrző proxy, az alapszintű hitelesítéssel rendelkező HTTP-explicit proxy vagy a HTTPS explicit proxy következő lépéseit.
3	Kattintson a Főtanúsítvány feltöltése vagy a Végfelhasználói tanúsítványlétrehozása elemre, majd keresse meg a proxy főtanúsítványát. A tanúsítvány feltöltésre került, de még nincs telepítve, mert a tanúsítvány telepítéséhez újra kell indítania a csomópontot. További részleteket szeretne megtudni a tanúsítványkibocsátó nevével a ékzár nyílra, vagy kattintson a Törlés gombra, ha hibát követett el, és újra szeretné tölteni a fájlt.
4	Kattintson a Proxykapcsolat ellenőrzése gombra a csomópont és a proxy közötti hálózati kapcsolat teszteléséhez. Ha a kapcsolati teszt sikertelen, hibaüzenet jelenik meg, amely bemutatja az okot és a probléma kijavítást. Ha olyan üzenet jelenik meg, amely szerint a külső DNS-felbontás nem sikerült, a csomópont nem tudta elérni a DNS-kiszolgálót. Ez a feltétel számos explicit proxykonfigurációban várható. Folytathatja a beállítást, és a csomópont blokkolt külső DNS-feloldási módban fog működni. Ha úgy gondolja, hogy ez hiba, hajtsa végre ezeket a lépéseket, majd tekintse meg a Blokkolt külső DNS-feloldási mód kikapcsolása című ismertetőt.
5	A csatlakozási teszt elvégzése után, ha csak https-re van állítva explicit proxy, kapcsolja be a kapcsolót a 443/444 https port útvonala parancsra az explicit proxynkeresztül. Ez a beállítás 15 másodpercet igényel a hatályba lépéshez.
6	Kattintson az Összes tanúsítvány telepítése a megbízhatósági tárolóba (HTTPS explicit proxy vagy átlátszó ellenőrző proxy esetén jelenik meg) vagy Indítsa újra (HTTP explicit proxy esetén jelenik meg), olvassa el a parancsot, majd kattintson a Telepítés gombra, ha készen áll. A csomópont néhány percen belül újraindul.
7	A csomópont újraindítása után jelentkezzen be újra, ha szükséges, majd nyissa meg az Áttekintés lapot, hogy ellenőrizze a kapcsolatellenőrzéseket, és győződjön meg arról, hogy mindegyik zöld állapotban van. A proxykapcsolat ellenőrzése csak webex.com aldomainét teszteli. Kapcsolódási problémák esetén gyakori probléma, hogy a telepítési utasításokban felsorolt felhőtartományok némelyike le van tiltva a proxyn.

A fürtben lévő első csomópont regisztrálása

Ez a feladat elvégzi a Hibrid adatbiztonsági szolgáltatás beállítása menüben létrehozott általános csomópontot, regisztrálja a csomópontot a Webex-felhővel, és hibrid adatbiztonsági szolgáltatás-csomóponttá alakítja.

Az első csomópont regisztrálásakor létrehoz egy fürtöt, amelyhez a csomópont hozzá van rendelve. A fürt egy vagy több, redundancia biztosítására telepített csomópontot tartalmaz.

Mielőtt elkezdené

Miután megkezdi egy csomópont regisztrációját, azt 60 percen belül el kell végeznie, különben el kell kezdenie a folyamatot.
Győződjön meg arról, hogy az előugró ablakok blokkolói le vannak tiltva a böngészőjében, vagy engedélyezze a kivételt az admin.webex.com számára.

1	Jelentkezzen be ide: https://admin.webex.com.
2	A képernyő bal oldalán található menüből válassza a Szolgáltatásoklehetőséget.
3	A Felhőszolgáltatások részben keresse meg a hibrid adatbiztonsági kártyát, majd kattintson a Beállításelemre.
4	A megnyíló oldalon kattintson az Erőforrás hozzáadása lehetőségre.
5	A Csomópont hozzáadása kártya első mezőjében adja meg annak a fürtnek a nevét, amelyhez hozzá kívánja rendelni a hibrid adatbiztonsági szolgáltatás-csomópontot. Javasoljuk, hogy a fürtöt attól függően nevezze el, hogy a fürt csomópontjai földrajzilag hol helyezkednek el. Példák: "San Francisco" vagy "New York" vagy "Dallas"
6	A második mezőben adja meg a csomópont belső IP-címét vagy teljesen minősített tartománynevét (FQDN), majd kattintson a képernyő alján található Hozzáadás gombra. Ennek az IP-címnek vagy FQDN-nek meg kell egyeznie azzal az IP-címmel vagy állomásnévvel és tartománynévvel, amelyet a Hibrid adatbiztonsági szolgáltatás beállítása során használt. Megjelenik egy üzenet, amely azt jelzi, hogy regisztrálhatja a csomópontot a Webex rendszerében.
7	Kattintson az Ugrás a csomópontra lehetőségre. Néhány perc múlva átirányítja a rendszer a Webex-szolgáltatások csomóponti kapcsolódási tesztelésére. Ha az összes teszt sikeres, megjelenik a „Hibrid adatbiztonsági szolgáltatás-csomópont hozzáférésének engedélyezése” oldal. Ott megerősíti, hogy engedélyeket szeretne adni a Webex-szervezetnek a csomóponthoz való hozzáféréshez.
8	Jelölje be a Hozzáférés engedélyezése a hibrid adatbiztonsági szolgáltatás-csomóponthoz jelölőnégyzetet, majd kattintson a Folytatás gombra. Az Ön fiókja hitelesítve van, és a „Regisztráció befejezve” üzenet azt jelzi, hogy a csomópont mostantól regisztrálva van a Webex-felhőbe.
9	Kattintson a hivatkozásra, vagy zárja be a lapot, hogy visszatérjen a Partner Hub hibrid adatbiztonsági szolgáltatás oldalára. A Hibrid adatbiztonsági szolgáltatás oldalon az Ön által regisztrált csomópontot tartalmazó új fürt az Erőforrások lapon jelenik meg. A csomópont automatikusan letölti a legújabb szoftvert a felhőből.

További csomópontok létrehozása és regisztrálása

Ha további csomópontokat szeretne hozzáadni a fürthöz, egyszerűen hozzon létre további VM-eket, és szerelje fel ugyanazt a konfigurációs ISO-fájlt, majd regisztrálja a csomópontot. Javasoljuk, hogy legyen legalább 3 csomópontja.

Mielőtt elkezdené

Miután megkezdi egy csomópont regisztrációját, azt 60 percen belül el kell végeznie, különben el kell kezdenie a folyamatot.
Győződjön meg arról, hogy az előugró ablakok blokkolói le vannak tiltva a böngészőjében, vagy engedélyezze a kivételt az admin.webex.com számára.

1	Hozzon létre egy új virtuális gépet az OVA-ból, ismételje meg a HDS Host OVA telepítése című rész lépéseit.
2	Állítsa be a kezdeti konfigurációt az új VM-en, ismételve a Hibrid adatbiztonsági szolgáltatás beállítása lépéseit.
3	Az új VM-en ismételje meg a HDS-konfiguráció ISO feltöltése és csatlakoztatása című rész lépéseit.
4	Ha proxyt állít be az üzembe helyezéshez, ismételje meg a HDS-csomópont konfigurálása proxyintegrációhoz lépéseit az új csomóponthoz szükség szerint.
5	Regisztrálja a csomópontot. A(z) https://admin.webex.com alkalmazásban válassza a Szolgáltatások lehetőséget a képernyő bal oldalán található menüből. A Felhőszolgáltatások részben keresse meg a hibrid adatbiztonsági kártyát, és kattintson az Összes megtekintése gombra. Megjelenik a Hibrid adatbiztonsági erőforrások oldal. Az újonnan létrehozott fürt megjelenik az Erőforrások oldalon. Kattintson a fürtre a fürthöz hozzárendelt csomópontok megtekintéséhez. Kattintson a Csomópont hozzáadása elemre a képernyő jobb oldalán. Adja meg a csomópont belső IP-címét vagy teljesen minősített tartománynevét (FQDN), majd kattintson a Hozzáadás gombra. Megnyílik egy oldal egy üzenettel, amely jelzi, hogy regisztrálhatja a csomópontot a Webex-felhőbe. Néhány perc múlva átirányítja a rendszer a Webex-szolgáltatások csomóponti kapcsolódási tesztelésére. Ha az összes teszt sikeres, megjelenik a „Hibrid adatbiztonsági szolgáltatás-csomópont hozzáférésének engedélyezése” oldal. Itt megerősíti, hogy engedélyeket szeretne adni a szervezetének a csomóponthoz való hozzáféréshez. Jelölje be a Hozzáférés engedélyezése a hibrid adatbiztonsági szolgáltatás-csomóponthoz jelölőnégyzetet, majd kattintson a Folytatás gombra. Az Ön fiókja hitelesítve van, és a „Regisztráció befejezve” üzenet azt jelzi, hogy a csomópont mostantól regisztrálva van a Webex-felhőbe. Kattintson a hivatkozásra, vagy zárja be a lapot, hogy visszatérjen a Partner Hub hibrid adatbiztonsági szolgáltatás oldalára. A Csomópont hozzáadva felugró üzenet szintén megjelenik a Partnerközpontban a képernyő alján. A csomópont regisztrálva van.

Bérlői szervezetek kezelése a több-bérlős hibrid adatbiztonsági szolgáltatásban

Több-bérlős HDS aktiválása a Partner Hubban

Ez a feladat biztosítja, hogy az ügyfélszervezetek minden felhasználója megkezdhesse a HDS kihasználását a Helyszíni titkosítási kulcsok és egyéb biztonsági szolgáltatások esetében.

Mielőtt elkezdené

Győződjön meg arról, hogy befejezte a több-bérlős HDS-fürt beállítását a szükséges számú csomóponttal.

1	Jelentkezzen be ide: https://admin.webex.com.
2	A képernyő bal oldalán található menüből válassza a Szolgáltatásoklehetőséget.
3	A Felhőszolgáltatások részben keresse meg a hibrid adatbiztonsági szolgáltatást, majd kattintson a Beállítások szerkesztése lehetőségre.
4	Kattintson a HDS aktiválása lehetőségre a HDS állapot kártyán.

Bérlő szervezetek hozzáadása a Partner Hubban

Ebben a feladatban ügyfélszervezeteket rendel hozzá a hibrid adatbiztonsági szolgáltatás-fürthöz.

1	Jelentkezzen be ide: https://admin.webex.com.
2	A képernyő bal oldalán található menüből válassza a Szolgáltatásoklehetőséget.
3	A Felhőszolgáltatások részben keresse meg a hibrid adatbiztonsági szolgáltatást, majd kattintson az Összes megtekintése gombra.
4	Kattintson arra a fürtre, amelyhez ügyfelet szeretne hozzárendelni.
5	Lépjen a Hozzárendelt ügyfelek lapra.
6	Kattintson az Ügyfelek hozzáadása lehetőségre.
7	A legördülő menüből válassza ki a hozzáadni kívánt ügyfelet.
8	Kattintson a Hozzáadás lehetőségre, az ügyfél hozzá lesz adva a fürthöz.
9	Ismételje meg a 6–8. lépéseket több ügyfél hozzáadásához a fürthöz.
10	Kattintson a Kész gombra a képernyő alján, miután hozzáadta az ügyfeleket.

Mi a következő teendő

A beállítási folyamat befejezéséhez futtassa a HDS-telepítőeszközt az Ügyfél fő kulcsainak (CMK-k) létrehozása a HDS-telepítőeszköz használatával című részben részletezett módon.

Ügyfél fő kulcsainak (CMK-k) létrehozása a HDS-beállító eszköz használatával

Mielőtt elkezdené

Rendelje hozzá az ügyfeleket a megfelelő fürthöz a Bérlői szervezetek hozzáadása a Partnerközpontban című részben részletezett módon. Futtassa a HDS telepítőeszközt, hogy befejezze az újonnan hozzáadott ügyfélszervezetek beállítási folyamatát.

A HDS Setup eszköz Docker konténerként fut egy helyi gépen. Ha hozzá akarsz férni, futtasd a Dockert azon a gépen. A beállítási folyamat megköveteli a szervezet számára teljes rendszergazdai jogosultságokkal rendelkező Partner Hub-fiók hitelesítő adatait.

Ha a HDS-beállító eszköz a környezetben proxy mögött fut, az 5. lépésben adja meg a proxybeállításokat (kiszolgáló, port, hitelesítő adatokat) a Docker környezeti változókon keresztül. Ez a táblázat néhány lehetséges környezeti változót tartalmaz:

Leírás	Változó
Http-proxy hitelesítés nélkül	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
HTTPS-proxy hitelesítés nélkül	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
Http-proxy hitelesítéssel	`GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
HTTPS-proxy hitelesítéssel	`GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

A létrehozott konfigurációs ISO fájl tartalmazza a PostgreSQL vagy Microsoft SQL Server adatbázist titkosító mesterkulcsot. Szükség van a fájl legutóbbi másolatára, amikor konfigurációs módosításokat hajt végre, mint például:
- Adatbázis hitelesítő adatai
- Tanúsítványfrissítések
- Az engedélyezési szabályzat változásai
Ha adatbázis-kapcsolatokat szeretne titkosítani, állítsa be a PostgreSQL vagy SQL Server telepítés TLS-hez.

A hibrid adatbiztonsági szolgáltatás beállítási folyamata ISO-fájlt hoz létre. Ezután az ISO-t használja a hibrid adatbiztonsági szolgáltatás-szervező konfigurálásához.

1	A gép parancssorában adja meg a környezetének megfelelő parancsot: Rendszeres környezetben: `docker rmi ciscocitg/hds-setup:stable` FedRAMP környezetben: `docker rmi ciscocitg/hds-setup-fedramp:stable` Ezzel a lépéssel törölhetők a HDS telepítőeszköz korábbi képei. Ha nincsenek korábbi képek, akkor olyan hibát ad vissza, amelyet figyelmen kívül hagyhat.
2	A Docker-képtárba való bejelentkezéshez írja be a következőket: `docker login -u hdscustomersro`
3	A jelszókéréskor írja be ezt a hash-t: `dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo`
4	Töltse le a legfrissebb stabil képet a környezetéről: Rendszeres környezetben: `docker pull ciscocitg/hds-setup:stable` FedRAMP környezetben: `docker pull ciscocitg/hds-setup-fedramp:stable`
5	Amikor a húzás befejeződött, adja meg a környezetének megfelelő parancsot: Rendszeres környezetben, proxy nélkül: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable` Http proxyval rendelkező normál környezetben: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable` Normál környezetben HTTPS proxyval: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable` FedRAMP környezetben, proxy nélkül: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable` Http proxyval rendelkező FedRAMP környezetben: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable` FedRAMP környezetben https proxyval: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable` Amikor a konténer fut, az "Express szerver figyeli a 8080-as portot."
6	A beállítóeszköz nem támogatja a localhost-hoz való csatlakozást a http://localhost:8080-on keresztül. A(z) http://127.0.0.1:8080 használatával kapcsolódhat a localhost-hoz. Webböngészővel lépjen a(z) `http://127.0.0.1:8080` helyszínállomásra, majd adja meg a rendszergazda felhasználónevét a Partner Hubhoz a kérésben. Az eszköz a felhasználónév első bejegyzésével állítja be a fiókhoz tartozó megfelelő környezetet. Az eszköz ezután megjeleníti a normál bejelentkezési üzenetet.
7	Amikor a rendszer kéri, adja meg a Partner Hub rendszergazdájának bejelentkezési hitelesítő adatait, majd kattintson a Bejelentkezés gombra, hogy engedélyezze a hozzáférést a hibrid adatbiztonsági szolgáltatáshoz szükséges szolgáltatásokhoz.
8	A Beállítóeszköz áttekintése oldalon kattintson az Első lépések gombra.
9	Az ISO-importálás oldalon kattintson az Igen gombra.
10	Válassza ki az ISO-fájlt a böngészőben, és töltse fel. A CMK-kezelés végrehajtásához biztosítsa a kapcsolatot az adatbázisával.
11	Menjen a Bérlő CMK kezelése lapra, ahol a bérlő CMK-k kezelésének alábbi három módja található. CMK létrehozása minden ORG számára vagy CMK létrehozása – Kattintson erre a gombra a képernyő tetején látható sávon, ha CMK-t szeretne létrehozni minden újonnan hozzáadott szervezet számára. Kattintson a CMK kezelése gombra a képernyő jobb oldalán, majd kattintson a CMK létrehozása gombra, ha CMK-ket szeretne létrehozni az összes újonnan hozzáadott szervezet számára. Kattintson az adott szervezet CMK-kezelése függőben lévő állapotának közelében a táblázatban, majd kattintson a CMK létrehozása gombra a szervezet CMK létrehozásához.
12	Ha a CMK létrehozása sikeres, a táblázatban szereplő állapot a CMK-kezelés függőben állapotról CMK-kezelés állapotra változik.
13	Ha a CMK létrehozása sikertelen, egy hiba jelenik meg.

Bérlői szervezetek eltávolítása

Mielőtt elkezdené

Az eltávolítás után az ügyfélszervezetek felhasználói nem tudják majd kihasználni a HDS-t a titkosítási igényeikhez, és elveszítik az összes meglévő tárhelyet. Az ügyfélszervezetek eltávolítása előtt kérjük, lépjen kapcsolatba Cisco-partnerével vagy fiókkezelőjével.

1	Jelentkezzen be ide: https://admin.webex.com.
2	A képernyő bal oldalán található menüből válassza a Szolgáltatásoklehetőséget.
3	A Felhőszolgáltatások részben keresse meg a hibrid adatbiztonsági szolgáltatást, majd kattintson az Összes megtekintése gombra.
4	Az Erőforrások lapon kattintson arra a fürtre, amelyről el szeretné távolítani az ügyfélszervezeteket.
5	A megnyíló oldalon kattintson a Hozzárendelt ügyfelek lehetőségre.
6	A megjelenített ügyfélszervezetek listájában kattintson az eltávolítani kívánt ügyfélszervezet jobb oldalán található ... elemre, majd kattintson az Eltávolítás a fürtből lehetőségre.

Mi a következő teendő

Az eltávolítási folyamat befejezéséhez vonja vissza az ügyfélszervezetek CMK-jeit a HDS-ből eltávolított bérlők CMK-jének visszavonása című részben foglaltak szerint.

Vonja vissza a HDS-ből eltávolított bérlők CMK-jeit.

Mielőtt elkezdené

Ügyfelek eltávolítása a megfelelő fürtből a Bérlői szervezetek eltávolítása pontban részletezett módon. Futtassa a HDS-telepítő eszközt az eltávolított ügyfélszervezetek eltávolítási folyamatának befejezéséhez.

A HDS Setup eszköz Docker konténerként fut egy helyi gépen. Ha hozzá akarsz férni, futtasd a Dockert azon a gépen. A beállítási folyamat megköveteli a szervezet számára teljes rendszergazdai jogosultságokkal rendelkező Partner Hub-fiók hitelesítő adatait.

Ha a HDS-beállító eszköz a környezetben proxy mögött fut, az 5. lépésben adja meg a proxybeállításokat (kiszolgáló, port, hitelesítő adatokat) a Docker környezeti változókon keresztül. Ez a táblázat néhány lehetséges környezeti változót tartalmaz:

Leírás	Változó
Http-proxy hitelesítés nélkül	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
HTTPS-proxy hitelesítés nélkül	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
Http-proxy hitelesítéssel	`GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
HTTPS-proxy hitelesítéssel	`GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

A létrehozott konfigurációs ISO fájl tartalmazza a PostgreSQL vagy Microsoft SQL Server adatbázist titkosító mesterkulcsot. Szükség van a fájl legutóbbi másolatára, amikor konfigurációs módosításokat hajt végre, mint például:
- Adatbázis hitelesítő adatai
- Tanúsítványfrissítések
- Az engedélyezési szabályzat változásai
Ha adatbázis-kapcsolatokat szeretne titkosítani, állítsa be a PostgreSQL vagy SQL Server telepítés TLS-hez.

A hibrid adatbiztonsági szolgáltatás beállítási folyamata ISO-fájlt hoz létre. Ezután az ISO-t használja a hibrid adatbiztonsági szolgáltatás-szervező konfigurálásához.

1	A gép parancssorában adja meg a környezetének megfelelő parancsot: Rendszeres környezetben: `docker rmi ciscocitg/hds-setup:stable` FedRAMP környezetben: `docker rmi ciscocitg/hds-setup-fedramp:stable` Ezzel a lépéssel törölhetők a HDS telepítőeszköz korábbi képei. Ha nincsenek korábbi képek, akkor olyan hibát ad vissza, amelyet figyelmen kívül hagyhat.
2	A Docker-képtárba való bejelentkezéshez írja be a következőket: `docker login -u hdscustomersro`
3	A jelszókéréskor írja be ezt a hash-t: `dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo`
4	Töltse le a legfrissebb stabil képet a környezetéről: Rendszeres környezetben: `docker pull ciscocitg/hds-setup:stable` FedRAMP környezetben: `docker pull ciscocitg/hds-setup-fedramp:stable`
5	Amikor a húzás befejeződött, adja meg a környezetének megfelelő parancsot: Rendszeres környezetben, proxy nélkül: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable` Http proxyval rendelkező normál környezetben: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable` Normál környezetben HTTPS proxyval: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable` FedRAMP környezetben, proxy nélkül: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable` Http proxyval rendelkező FedRAMP környezetben: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable` FedRAMP környezetben https proxyval: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable` Amikor a konténer fut, az "Express szerver figyeli a 8080-as portot."
6	A beállítóeszköz nem támogatja a localhost-hoz való csatlakozást a http://localhost:8080-on keresztül. A(z) http://127.0.0.1:8080 használatával kapcsolódhat a localhost-hoz. Webböngészővel lépjen a(z) `http://127.0.0.1:8080` helyszínállomásra, majd adja meg a rendszergazda felhasználónevét a Partner Hubhoz a kérésben. Az eszköz a felhasználónév első bejegyzésével állítja be a fiókhoz tartozó megfelelő környezetet. Az eszköz ezután megjeleníti a normál bejelentkezési üzenetet.
7	Amikor a rendszer kéri, adja meg a Partner Hub rendszergazdájának bejelentkezési hitelesítő adatait, majd kattintson a Bejelentkezés gombra, hogy engedélyezze a hozzáférést a hibrid adatbiztonsági szolgáltatáshoz szükséges szolgáltatásokhoz.
8	A Beállítóeszköz áttekintése oldalon kattintson az Első lépések gombra.
9	Az ISO-importálás oldalon kattintson az Igen gombra.
10	Válassza ki az ISO-fájlt a böngészőben, és töltse fel.
11	Menjen a Bérlő CMK kezelése lapra, ahol a bérlő CMK-k kezelésének alábbi három módja található. CMK visszavonása az összes szervezet számára vagy CMK visszavonása – kattintson erre a gombra a képernyő tetején látható szalagon, ha szeretné visszavonni az összes eltávolított szervezet CMK-ját. Kattintson a CMK kezelése gombra a képernyő jobb oldalán, majd kattintson a CMK visszavonása gombra az összes eltávolított szervezet CMK-jének visszavonásához. Kattintson a gombra egy adott szervezet CMK visszavonásához állapot közelében a táblázatban, majd kattintson a CMK visszavonása gombra az adott szervezet CMK visszavonásához.
12	A CMK visszavonása sikeres, az ügyfél szervezete többé nem jelenik meg a táblázatban.
13	Ha a CMK visszavonása sikertelen, egy hiba jelenik meg.

Tesztelje hibrid adatbiztonsági szolgáltatás telepítését

A hibrid adatbiztonsági szolgáltatás telepítésének tesztelése

Ezzel az eljárással tesztelheti a több-bérlős hibrid adatbiztonsági titkosítási forgatókönyveket.

Mielőtt elkezdené

Állítsa be a több-bérlős hibrid adatbiztonsági szolgáltatás üzembe helyezését.
Bizonyosodjon meg arról, hogy rendelkezik-e hozzáféréssel a syslog-hoz, és ellenőrizze, hogy a kulcskérések továbbításra kerülnek-e a többbérlős hibrid adatbiztonsági szolgáltatás telepítésébe.

1

Az adott szoba kulcsait a szoba létrehozója állítja be. Jelentkezzen be a Webex alkalmazásba az ügyfél szervezetének egyik felhasználójaként, majd hozzon létre egy szobát.

Ha inaktiválja a hibrid adatbiztonsági szolgáltatás telepítését, a felhasználók által létrehozott terekben lévő tartalom többé nem érhető el, miután kicserélték a titkosítási kulcsok kliens által gyorsítótárazott másolatait.

2

Üzenetek küldése az új szobába.

3

Ellenőrizze a syslog kimenetet, és ellenőrizze, hogy a kulcskérések eljutnak-e a hibrid adatbiztonsági szolgáltatáshoz.

Ha ellenőrizni szeretné, hogy egy felhasználó először létrehoz-e biztonságos csatornát a KMS-hez, szűrje a következőket: kms.data.method=create és kms.data.type=EPHEMERAL_KEY_COLLECTION:

Meg kell találni egy bejegyzést, mint például a következő (az azonosítók rövidítve olvashatóság):

2020-07-21 17:35:34.562 (+0000) INFO  KMS [pool-14-thread-1] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, 
kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

Ha ellenőrizni szeretné, hogy egy felhasználó kér-e meglévő kulcsot a KMS-ből, szűrje a következő elemeket: kms.data.method=retrieve és kms.data.type=KEY:

Olyan bejegyzést kell találnia, mint:

2020-07-21 17:44:19.889 (+0000) INFO  KMS [pool-14-thread-31] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, 
kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, 
kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

Új KMS-kulcs létrehozását kérő felhasználó megkereséséhez szűrje a következőket: kms.data.method=create és kms.data.type=KEY_COLLECTION:

Olyan bejegyzést kell találnia, mint:

2020-07-21 17:44:21.975 (+0000) INFO  KMS [pool-14-thread-33] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, 
kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, 
kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

Ha meg szeretné tekinteni, hogy egy felhasználó új KMS-erőforrásobjektum (KRO) létrehozását kéri egy tér vagy más védett erőforrás létrehozásakor, szűrje a következőket: kms.data.method=create és kms.data.type=RESOURCE_COLLECTION:

Olyan bejegyzést kell találnia, mint:

2020-07-21 17:44:22.808 (+0000) INFO  KMS [pool-15-thread-1] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

Hibrid adatbiztonsági szolgáltatás állapotának megfigyelése

A Partner Hubon belül egy állapotjelző mutatja, hogy minden rendben van-e a több-bérlős hibrid adatbiztonsági szolgáltatás telepítésével. A proaktívabb riasztáshoz regisztráljon az e-mail-értesítésekre. Értesítést kap, ha szolgáltatást befolyásoló riasztások vagy szoftverfrissítések érkeznek.

1	A Partnerközpontban válassza a Szolgáltatások lehetőséget a képernyő bal oldalán található menüből.
2	A Felhőszolgáltatások részben keresse meg a hibrid adatbiztonsági szolgáltatást, majd kattintson a Beállítások szerkesztése lehetőségre. Megjelenik a Hibrid adatbiztonsági beállítások oldal.
3	Az E-mail-értesítések szakaszban adjon meg egy vagy több e-mail-címet vesszővel elválasztva, majd nyomja meg az Enter billentyűt.

HDS-telepítés kezelése

Az itt ismertetett feladatokat a hibrid adatbiztonsági szolgáltatás telepítésének kezeléséhez használja.

Fürtverziófrissítési ütemezés beállítása

A hibrid adatbiztonságra vonatkozó szoftverfrissítések a fürt szintjén automatikusan végrehajtásra kerülnek, ami biztosítja, hogy minden csomópont mindig ugyanazt a szoftververziót használja. A frissítések a fürt frissítési ütemezése szerint zajlanak. Amikor egy szoftverfrissítés elérhetővé válik, lehetősége van arra, hogy a beütemezett frissítési idő előtt manuálisan frissítse a fürtöt. Beállíthat egy konkrét frissítési ütemezést, vagy használhatja az alapértelmezett 3:00-as ütemezést: Amerika/Los Angeles. Szükség esetén elhalaszthatja a soron következő verziófrissítést is.

A verziófrissítési ütemezés beállítása:

1	Jelentkezzen be a Partnerközpontba.
2	A képernyő bal oldalán található menüből válassza a Szolgáltatásoklehetőséget.
3	A Felhőszolgáltatások részben keresse meg a hibrid adatbiztonsági szolgáltatást, majd kattintson a Beállítás gombra
4	A Hibrid adatbiztonsági erőforrások oldalon válassza ki a fürtöt.
5	Kattintson a Fürtbeállítások fülre.
6	A Fürtbeállítások oldalon a Verziófrissítési ütemezés alatt válassza ki a verziófrissítési ütemezéshez tartozó időt és időzónát. Megjegyzés: Az időzóna alatt a következő elérhető verziófrissítés dátuma és ideje jelenik meg. Ha szükséges, a Halasztás 24 órával opcióra kattintva elhalaszthatja a frissítést a következő napra.

A csomópont konfigurációjának módosítása

Előfordulhat, hogy időnként módosítania kell a hibrid adatbiztonsági csomópont konfigurációját olyan okok miatt, mint például:

Az x.509 tanúsítványok módosítása lejárati vagy egyéb okok miatt.

Nem támogatjuk a tanúsítvány CN domain nevének megváltoztatását. A domainnek egyeznie kell a fürt regisztrálásához használt eredeti domainnel.
Adatbázis-beállítások frissítése a PostgreSQL vagy a Microsoft SQL Server adatbázis kópiájára való váltáshoz.

Nem támogatjuk az adatok áttelepítését PostgreSQL-ről Microsoft SQL Server-re, vagy fordítva. Az adatbázis-környezet megváltoztatásához indítsa el a Hybrid Data Security új telepítését.
Új konfiguráció létrehozása új adatközpont előkészítéséhez.

Biztonsági okokból a Hybrid Data Security kilenc hónapos élettartamú szolgáltatási fiókjelszavakat is használ. Miután a HDS telepítőeszköz létrehozza ezeket a jelszavakat, az ISO konfigurációs fájlban minden HDS-csomópontra telepíti őket. Amikor a szervezet jelszavai a lejárathoz közelednek, értesítést kap a Webex csapatától a gépfiók jelszavának visszaállításáról. (Az e-mail tartalmazza a szöveget: "Használja a gép fiók API frissíteni a jelszót.") Ha jelszavai még nem jártak le, az eszköz két lehetőséget kínál:

Soft reset – A régi és az új jelszó egyaránt legfeljebb 10 napig használható. Használja ezt az időszakot a csomópontok ISO-fájljának fokozatos cseréjére.
Kemény alaphelyzetbe állítás – A régi jelszavak azonnal leállnak.

Ha jelszavai alaphelyzetbe állítás nélkül járnak le, az hatással van a HDS-szolgáltatásra, és az összes csomóponton az ISO-fájl azonnali hardveres alaphelyzetbe állítását és cseréjét igényli.

Használja ezt az eljárást egy új konfigurációs ISO-fájl létrehozásához és alkalmazásához a fürtön.

Mielőtt elkezdené

A HDS Setup eszköz Docker konténerként fut egy helyi gépen. Ha hozzá akarsz férni, futtasd a Dockert azon a gépen. A beállítási folyamat megköveteli a partner teljes körű rendszergazdai jogosultságokkal rendelkező Partner Hub-fiók hitelesítő adatait.

Ha nem rendelkezik Docker asztali licenccel, akkor a Podman Desktop segítségével futtathatja a HDS telepítőeszközt az alábbi eljárás 1.a–1.e lépéseihez. Erről a HDS-beállító eszköz futtatása a Podman Desktop használatával című oldalon tájékozódhat bővebben.

Ha a HDS-beállító eszköz a környezetben proxy mögött fut, adja meg a proxybeállításokat (kiszolgáló, port, hitelesítő adatokat) a Docker környezeti változókon keresztül, amikor a Docker tárolót az 1.e-ben helyezi üzembe. Ez a táblázat néhány lehetséges környezeti változót tartalmaz:

Leírás	Változó
Http-proxy hitelesítés nélkül	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
HTTPS-proxy hitelesítés nélkül	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
Http-proxy hitelesítéssel	`GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
HTTPS-proxy hitelesítéssel	`GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

Új konfiguráció létrehozásához az aktuális konfigurációs ISO-fájl másolata szükséges. Az ISO tartalmazza a PostgreSQL vagy Microsoft SQL Server adatbázist titkosító mesterkulcsot. Konfiguráció-módosításkor, beleértve az adatbázis-hitelesítő adatokat, a tanúsítványok frissítését vagy az engedélyezési irányelv módosítását, ISO-szabványra van szüksége.

1	A Docker helyi gépen történő használata esetén futtassa a HDS Setup Tool alkalmazást. A gép parancssorában adja meg a környezetének megfelelő parancsot: Rendszeres környezetben: `docker rmi ciscocitg/hds-setup:stable` FedRAMP környezetben: `docker rmi ciscocitg/hds-setup-fedramp:stable` Ezzel a lépéssel törölhetők a HDS telepítőeszköz korábbi képei. Ha nincsenek korábbi képek, akkor olyan hibát ad vissza, amelyet figyelmen kívül hagyhat. A Docker-képtárba való bejelentkezéshez írja be a következőket: `docker login -u hdscustomersro` A jelszókéréskor írja be ezt a hash-t: `dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo` Töltse le a legfrissebb stabil képet a környezetéről: Rendszeres környezetben: `docker pull ciscocitg/hds-setup:stable` FedRAMP környezetben: `docker pull ciscocitg/hds-setup-fedramp:stable` Győződjön meg róla, hogy az eljáráshoz a legújabb telepítőeszközt választotta. Az eszköz 2018. február 22. előtt létrehozott verziói nem rendelkeznek jelszó-visszaállító képernyővel. Amikor a húzás befejeződött, adja meg a környezetének megfelelő parancsot: Rendszeres környezetben, proxy nélkül: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable` Http proxyval rendelkező normál környezetben: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable` Rendszeres környezetben, HTTPSproxyval: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable` FedRAMP környezetben, proxy nélkül: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable` Http proxyval rendelkező FedRAMP környezetben: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable` FedRAMP környezetben https proxyval: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable` Amikor a konténer fut, az "Express szerver figyeli a 8080-as portot." Használjon böngészőt a localhosthoz való `http://127.0.0.1:8080`csatlakozáshoz. A beállítóeszköz nem támogatja a localhost-hoz való csatlakozást a http://localhost:8080-on keresztül. A(z) http://127.0.0.1:8080 használatával kapcsolódhat a localhost-hoz. Amikor a rendszer kéri, adja meg a Partner Hub ügyfél bejelentkezési hitelesítő adatait, majd kattintson az Elfogadás gombra a folytatáshoz. Importálja az aktuális konfigurációs ISO-fájlt. Kövesse a figyelmeztetéseket az eszköz befejezéséhez és a frissített fájl letöltéséhez. A beállítóeszköz leállításához gépelje be a következőt: `CTRL+C`. Készítsen biztonsági másolatot a frissített fájlról egy másik adatközpontban.
2	Ha csak egy HDS-csomópont fut, hozzon létre egy új hibrid adatbiztonsági szolgáltatás-csomópontot, és regisztrálja azt az új konfigurációs ISO-fájl használatával. Részletes útmutatásért lásd: További csomópontok létrehozása és regisztrálása. Telepítse a HDS GAZDAPETEFÉSZKET. A HDS VM beállítása. Csatolja a frissített konfigurációs fájlt. Regisztrálja az új csomópontot a Partnerközpontban.
3	A régebbi konfigurációs fájlt futtató HDS-csomópontok esetében csatlakoztassa az ISO-fájlt. Végezze el a következő eljárást minden csomóponton, majd frissítse az egyes csomópontokat, mielőtt kikapcsolná a következő csomópontot: Kapcsolja ki a virtuális gépet. A VMware vSphere kliens bal oldali navigációs ablakában kattintson jobb gombbal a VM-re, majd kattintson a Beállítások szerkesztése lehetőségre. Kattintson a `CD/DVD Drive 1` gombra, válassza ki az ISO-fájlból való csatlakoztatást, és keresse meg azt a helyet, ahol letöltötte az új konfigurációs ISO-fájlt. Bekapcsoláskor ellenőrizze a csatlakoztatást. Mentsd el a módosításokat és az energiát a virtuális gépen.
4	Ismételje meg a 3. lépést a konfiguráció cseréjéhez a régi konfigurációt futtató minden megmaradt csomóponton.

A blokkolt külső DNS-feloldási mód kikapcsolása

Amikor regisztrál egy csomópontot, vagy ellenőrzi a csomópont proxykonfigurációját, a folyamat teszteli a DNS-ellenőrzést és a Cisco Webex felhővel való kapcsolatot. Ha a csomópont DNS-kiszolgálója nem tudja feloldani a nyilvános DNS-neveket, a csomópont automatikusan blokkolt külső DNS-feloldási módba lép.

Ha a csomópontok képesek feloldani a nyilvános DNS-neveket a belső DNS-kiszolgálókon keresztül, kikapcsolhatja ezt a módot az egyes csomópontok proxykapcsolati tesztjének újrafuttatásával.

Mielőtt elkezdené

Győződjön meg arról, hogy a belső DNS-kiszolgálók képesek megoldani a nyilvános DNS-neveket, és hogy a csomópontok képesek kommunikálni velük.

1	Webböngészőben nyissa meg a hibrid adatbiztonsági csomópont felületét (például IP-cím/beállítás https://192.0.2.0/setup), adja meg a csomóponthoz beállított rendszergazdai hitelesítő adatokat, majd kattintson a Bejelentkezésgombra.
2	Lépjen az Áttekintés (az alapértelmezett lap) oldalra. Ha engedélyezve van, a letiltott külső DNS-felbontás igen értékre van állítva.
3	Lépjen a Megbízhatósági áruház és proxy oldalra.
4	Kattintson a Proxykapcsolat ellenőrzéseelemre. Ha olyan üzenet jelenik meg, amely szerint a külső DNS-felbontás nem sikerült, a csomópont nem tudta elérni a DNS-kiszolgálót, és ebben a módban marad. Ellenkező esetben a csomópont újraindítása és az Áttekintés lapra való visszalépés után a blokkolt külső DNS-felbontást nemre kell állítani.

Mi a következő lépés

Ismételje meg a proxykapcsolati tesztet a hibrid adatbiztonsági fürt minden csomópontján.

Csomópont eltávolítása

Ezzel az eljárással eltávolíthat egy hibrid adatbiztonsági szolgáltatás-csomópontot a Webex-felhőből. Miután eltávolította a csomópontot a fürtből, törölje a virtuális gépet, hogy megakadályozza a további hozzáférést a biztonsági adatokhoz.

1

A számítógépén lévő VMware vSphere kliens használatával jelentkezzen be az ESXi virtuális állomásba, és kapcsolja ki a virtuális gépet.

2

Csomópont eltávolítása:

Jelentkezzen be a Partnerközpontba, majd válassza a Szolgáltatásoklehetőséget.
A hibrid adatbiztonsági szolgáltatás kártyán kattintson az Összes megtekintése gombra a hibrid adatbiztonsági erőforrások oldal megjelenítéséhez.
Válassza ki a fürtöt az Áttekintés panel megjelenítéséhez.
Kattintson az eltávolítani kívánt csomópontra.
Kattintson a Csomópont regisztrációjának törlése lehetőségre a jobb oldalon megjelenő panelen
A csomópont regisztrációját úgy is törölheti, hogy rákattint a csomópont jobb oldalára, és kiválasztja a Csomópont eltávolítása lehetőséget.

3

A vSphere kliensben törölje a VM-et. (A bal oldali navigációs panelen kattintson a jobb gombbal a VM-re, majd kattintson a Törlés gombra.)

Ha nem törli a VM-et, ne felejtse el eltávolítani a konfigurációs ISO-fájlt. Az ISO fájl nélkül nem lehet hozzáférni a biztonsági adatokhoz a VM segítségével.

Katasztrófa-helyreállítás a készenléti adatközpont használatával

A hibrid adatbiztonsági szolgáltatás-fürt által nyújtott legkritikusabb szolgáltatás az üzenetek és más tartalmak titkosításához használt kulcsok létrehozása és tárolása a Webex-felhőben. A szervezeten belüli minden olyan felhasználó számára, aki hozzá van rendelve a hibrid adatbiztonsághoz, a rendszer átirányítja az új kulcslétrehozási kérelmeket a fürthöz. A fürt felelős a létrehozott kulcsok visszaküldéséért is bármely, a lekérésre jogosult felhasználónak, például egy beszélgetési szoba tagjainak.

Mivel a fürt a kulcsok biztosításának kritikus funkcióját végzi, elengedhetetlen, hogy a fürt továbbra is fusson, és megfelelő biztonsági mentéseket tartson fenn. A hibrid adatbiztonsági szolgáltatás-adatbázis vagy a sémához használt konfigurációs ISO elvesztése az ügyféltartalom VISSZAFORDÍTHATATLAN ELVESZTÉSÉT eredményezi. Az ilyen veszteség megelőzése érdekében a következő gyakorlatok kötelezőek:

Ha egy katasztrófa miatt a HDS telepítése nem érhető el az elsődleges adatközpontban, kövesse ezt az eljárást a készenléti adatközpontba való manuális feladatátvételhez.

Mielőtt elkezdené

Törölje az összes csomópont regisztrációját a Partner Hubból a Csomópont eltávolítása részben említettek szerint. Az alább említett feladatátvételi eljárás végrehajtásához használja a korábban aktív fürt csomópontjain konfigurált legújabb ISO-fájlt.

1	Indítsa el a HDS telepítőeszközt, és kövesse a Konfigurációs ISO létrehozása a HDS szervezők számára című részben említett lépéseket.
2	Végezze el a konfigurációs folyamatot, és mentse el az ISO fájlt egy könnyen megtalálható helyre.
3	Készítsen biztonsági másolatot az ISO fájlról a helyi rendszerre. Tartsa biztonságban a biztonsági másolatot. Ez a fájl az adatbázis tartalmához tartozó fő titkosítási kulcsot tartalmaz. Korlátozza a hozzáférést csak azokra a hibrid adatbiztonsági szolgáltatás-rendszergazdákra, akiknek konfigurációs módosításokat kell végrehajtaniuk.
4	A VMware vSphere kliens bal oldali navigációs ablakában kattintson jobb gombbal a VM-re, majd kattintson a Beállítások szerkesztése lehetőségre.
5	Kattintson a Beállítások szerkesztése >CD/DVD Drive 1 elemre, és válassza a Datastore ISO-fájl lehetőséget. Győződjön meg arról, hogy a Csatlakoztatva és a Kapcsolódás bekapcsolva be van jelölve, hogy a frissített konfigurációs módosítások a csomópontok elindítása után életbe lépjenek.
6	Kapcsolja be a HDS-csomópontot, és győződjön meg arról, hogy legalább 15 percig nincs riasztás.
7	Regisztrálja a csomópontot a Partnerközpontban. Lásd: A fürt első csomópontjának regisztrálása.
8	Ismételje meg a folyamatot minden csomóponthoz a készenléti adatközpontban.

Mi a következő teendő

A feladatátvétel után, ha az elsődleges adatközpont ismét aktívvá válik, törölje a készenléti adatközpont csomópontjainak regisztrációját, és ismételje meg az ISO konfigurálását és az elsődleges adatközpont csomópontjainak regisztrálását a fent említettek szerint.

(Opcionális) ISO leválasztása a HDS-konfiguráció után

A standard HDS konfiguráció az ISO csatlakozóval fut. Néhány ügyfél azonban nem szeretné, ha az ISO fájlokat folyamatosan csatlakoztatva hagyná. Az ISO fájl leszerelhető, miután az összes HDS-csomópont felvette az új konfigurációt.

A konfiguráció módosításához továbbra is az ISO-fájlokat használja. Amikor új ISO-t hoz létre vagy frissít egy ISO-t a Telepítőeszköz segítségével, a frissített ISO-t minden HDS-csomópontra fel kell szerelnie. Miután az összes csomópont átvette a konfigurációs módosításokat, újra leszerelheti az ISO-t ezzel az eljárással.

Mielőtt elkezdené

Frissítse az összes HDS-csomópontot a 2021.01.22.4720-as vagy újabb verzióra.

1	Állítsa le az egyik HDS-csomópontot.
2	A vCenter Server Appliance-ben válassza ki a HDS csomópontot.
3	Válassza a Beállítások szerkesztése > CD-/DVD-meghajtó lehetőséget, és törölje az ISO-fájl jelölését.
4	Kapcsolja be a HDS-csomópontot, és biztosítsa, hogy legalább 20 percig ne legyen riasztás.
5	Ismételje meg egymás után minden HDS-csomópont esetében.

Hibrid adatbiztonsági szolgáltatás hibaelhárítása

Riasztások és hibaelhárítás megtekintése

A hibrid adatbiztonsági szolgáltatás telepítése nem érhető el, ha a fürtben lévő összes csomópont nem érhető el, vagy a fürt olyan lassan működik, hogy időtúllépést igényel. Ha a felhasználók nem tudják elérni a hibrid adatbiztonsági szolgáltatás-fürtöt, a következő tüneteket tapasztalják:

Nem lehet új szobákat létrehozni (nem lehet új kulcsot létrehozni)
Nem sikerült visszafejteni az üzeneteket és a szobák címeit a következőhöz:
- Új felhasználók hozzáadva egy szobához (nem lehet lekérni a kulcsokat)
- Meglévő felhasználók egy szobában új klienssel (nem lehet lekérni a kulcsokat)
A szobában lévő meglévő felhasználók továbbra is sikeresen futnak, amennyiben az ügyfeleik rendelkeznek a titkosítási kulcsok gyorsítótárával

Fontos, hogy megfelelően figyelje a hibrid adatbiztonsági szolgáltatás-fürtöt, és azonnal kezelje az esetleges riasztásokat, hogy elkerülje a szolgáltatás megszakadását.

Riasztások

Ha probléma van a hibrid adatbiztonsági szolgáltatás beállításával, a Partner Hub riasztásokat jelenít meg a szervezet rendszergazdájának, és e-maileket küld a konfigurált e-mail-címre. A riasztások számos gyakori forgatókönyvet fednek le.

1. táblázat Gyakori problémák és a megoldásukhoz szükséges lépések
Riasztás	Művelet
Helyi adatbázis-hozzáférés sikertelen.	Keressen adatbázishibákat vagy helyi hálózati problémákat.
Nem sikerült csatlakozni a helyi adatbázishoz.	Ellenőrizze, hogy az adatbázis szerver elérhető-e, és a megfelelő szolgáltatásfiók hitelesítő adatokat használták-e a csomópont konfigurációjában.
Sikertelen volt a felhőszolgáltatás-hozzáférés.	Ellenőrizze, hogy a csomópontok hozzáférhetnek-e a Webex kiszolgálókhoz a Külső kapcsolódási követelmények pontban meghatározottak szerint.
A felhőszolgáltatás regisztrációjának megújítása.	A felhőszolgáltatásokba való regisztráció megszakadt. A lajstromozás megújítása folyamatban van.
A felhőszolgáltatás regisztrációja megszakadt.	A felhőszolgáltatásokba való regisztráció leállt. A szolgáltatás leáll.
A szolgáltatás még nincs aktiválva.	Aktiválja a HDS-t a Partnerközpontban.
A konfigurált tartomány nem egyezik a kiszolgáló tanúsítványával.	Győződjön meg arról, hogy a kiszolgálótanúsítvány megegyezik a konfigurált szolgáltatásaktiválási tartománygal. A legvalószínűbb ok az, hogy a CN tanúsítványt nemrégiben módosították, és mostantól különbözik a kezdeti beállítás során használt CN-től.
A felhőszolgáltatásokhoz való hitelesítés sikertelen.	Ellenőrizze a szolgáltatásfiók hitelesítő adatainak pontosságát és esetleges lejáratát.
Nem sikerült megnyitni a helyi kulcstár fájlját.	Ellenőrizze az integritást és a jelszó pontosságát a helyi kulcstárfájlban.
A helyi kiszolgáló tanúsítványa érvénytelen.	Ellenőrizze a kiszolgáló tanúsítványának lejárati dátumát, és erősítse meg, hogy azt egy megbízható hitelesítésszolgáltató állította ki.
Nem lehet mérőszámokat közzétenni.	Ellenőrizze a külső felhőszolgáltatásokhoz való helyi hálózati hozzáférést.
A /media/configdrive/hds könyvtár nem létezik.	Ellenőrizze az ISO rögzítési konfigurációt a virtuális állomáson. Ellenőrizze, hogy az ISO fájl létezik-e, hogy újraindításkor csatlakoztatásra van-e konfigurálva, és hogy sikeresen csatlakozik-e.
A bérlő szervezetének beállítása nem fejeződött be a hozzáadott szervezetek esetében	A beállítást úgy fejezze be, hogy CMK-ket hoz létre az újonnan hozzáadott bérlő szervezetek számára a HDS-telepítőeszköz használatával.
A bérlő szervezeti beállítása az eltávolított szervezetek esetében nem fejeződött be	A telepítést végezze el az olyan bérlő szervezetek CMK-jének visszavonásával, amelyeket a HDS telepítőeszköz használatával távolítottak el.

Hibrid adatbiztonsági szolgáltatás hibaelhárítása

A hibrid adatbiztonsági szolgáltatással kapcsolatos problémák elhárításakor használja a következő általános irányelveket.

1	Ellenőrizze a Partner Hubot az esetleges riasztások miatt, és javítsa ki az ott található elemeket. Bővebb tájékoztatásért lásd az alábbi képet.
2	Ellenőrizze a Hibrid adatbiztonsági szolgáltatás telepítésből származó tevékenységhez tartozó syslog szerver kimenetét. A hibaelhárítás érdekében szűrje az olyan szavakra, mint a „Figyelmeztetés” és a „Hiba”.
3	Forduljon a Cisco ügyfélszolgálatához.

Egyéb megjegyzések

A hibrid adatbiztonsági szolgáltatás ismert problémái

Ha leállítja a hibrid adatbiztonsági szolgáltatás-fürtöt (a Partner Hubban történő törléssel vagy az összes csomópont leállításával), elveszíti a konfigurációs ISO-fájlt, vagy elveszíti a kulcsrakész-adatbázishoz való hozzáférést, az ügyfélszervezetek Webex alkalmazás felhasználói többé nem használhatják a KMS-ből kulcsokkal létrehozott Személyek listában szereplő szobákat. Jelenleg nem rendelkezünk megoldással vagy megoldással ehhez a problémához, és arra kérjük, hogy ne állítsa le a HDS-szolgáltatásait, miután azok aktív felhasználói fiókokat kezelnek.
Az az ügyfél, amely meglévő ECDH-kapcsolattal rendelkezik egy KMS-sel, egy ideig (valószínűleg egy órán keresztül) tartja fenn a kapcsolatot.

HDS-beállítóeszköz futtatása a Podman Desktop használatával

A Podman egy ingyenes és nyílt forráskódú konténerkezelő eszköz, amely lehetőséget biztosít a konténerek futtatására, kezelésére és létrehozására. A Podman Desktop letölthető innen: https://podman-desktop.io/downloads.

A HDS Setup eszköz Docker konténerként fut egy helyi gépen. A hozzáféréshez töltse le és futtassa a Podman programot azon a gépen. A beállítási folyamathoz a szervezet teljes rendszergazdai jogával rendelkező Control Hub-fiók hitelesítő adataira van szükség.

Ha a HDS-beállító eszköz a környezetben proxy mögött fut, az 5. lépésben adja meg a proxybeállításokat (kiszolgáló, port, hitelesítő adatokat) a Docker környezeti változókon keresztül. Ez a táblázat néhány lehetséges környezeti változót tartalmaz:

Leírás	Változó
Http-proxy hitelesítés nélkül	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
HTTPS-proxy hitelesítés nélkül	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
Http-proxy hitelesítéssel	`GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
HTTPS-proxy hitelesítéssel	`GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

A létrehozott konfigurációs ISO fájl tartalmazza a PostgreSQL vagy Microsoft SQL Server adatbázist titkosító mesterkulcsot. Szükség van a fájl legutóbbi másolatára, amikor konfigurációs módosításokat hajt végre, mint például:
- Adatbázis hitelesítő adatai
- Tanúsítványfrissítések
- Az engedélyezési szabályzat változásai
Ha adatbázis-kapcsolatokat szeretne titkosítani, állítsa be a PostgreSQL vagy SQL Server telepítés TLS-hez.

A hibrid adatbiztonsági szolgáltatás beállítási folyamata ISO-fájlt hoz létre. Ezután az ISO-t használja a hibrid adatbiztonsági szolgáltatás-szervező konfigurálásához.

podman rmi ciscocitg/hds-setup:stable  
podman login docker.io -u hdscustomersro
dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
podman pull ciscocitg/hds-setup:stable
podman run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

Mi a következő teendő

Az ISO konfiguráció létrehozásához vagy módosításához kövesse az ISO-konfiguráció létrehozása a HDS-kiszolgálók számára vagy a Csomópont konfigurációjának módosítása című rész hátralévő lépéseit.

OpenSSL használata PKCS12 fájl létrehozásához

Mielőtt elkezdené

Az OpenSSL egy olyan eszköz, amellyel a PKCS12 fájlt a megfelelő formátumban lehet betölteni a HDS telepítőeszközben. Ennek más módjai is vannak, és nem támogatjuk vagy támogatjuk az egyik módot a másikkal szemben.
Ha az OpenSSL használatát választja, útmutatóként biztosítjuk ezt az eljárást, hogy segítsen létrehozni egy olyan fájlt, amely megfelel az X.509 Certificate Requirements (X.509 Certificate Requirements) X.509 tanúsítványkövetelményeinek. Mielőtt folytatná, ismerje meg ezeket a követelményeket.
Telepítse az OpenSSL-t támogatott környezetben. Lásd: https://www.openssl.org a szoftver és a dokumentáció.
Hozzon létre egy privát kulcsot.
Indítsa el ezt az eljárást, amikor megkapja a kiszolgáló tanúsítványt a hitelesítésszolgáltatótól (CA).

1	Amikor megkapja a kiszolgálótanúsítványt a hitelesítésszolgáltatótól, mentse `hdsnode.pem` formátumban.
2	A tanúsítvány megjelenítése szövegként, és ellenőrizze a részleteket. `openssl x509 -text -noout -in hdsnode.pem`
3	Használjon szövegszerkesztőt egy `hdsnode-bundle.pem` nevű tanúsítványkötegfájl létrehozásához. A csomagfájlnak tartalmaznia kell a kiszolgáló tanúsítványt, a közbenső CA-tanúsítványokat és a legfelső CA-tanúsítványokat az alábbi formátumban: `-----BEGIN CERTIFICATE----- ### Server certificate. ### -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ### Intermediate CA certificate. ### -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ### Root CA certificate. ### -----END CERTIFICATE-----`
4	Hozza létre a .p12 fájlt a `kms-private-key` barátságos névvel. `openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12`
5	Ellenőrizze a kiszolgáló tanúsítványának részleteit. `openssl pkcs12 -in hdsnode.p12` Adjon meg egy jelszót a titkos kulcs titkosítására vonatkozó kérésnél, hogy az megjelenjen a kimenetben. Ezután ellenőrizze, hogy a titkos kulcs és az első tanúsítvány tartalmazza-e a(z) `friendlyName: kms-private-key` vonalakat. Példa: bash$ openssl pkcs12 -in hdsnode.p12 Enter Import Password: MAC verified OK Bag Attributes friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Key Attributes: Enter PEM pass phrase: Verifying - Enter PEM pass phrase: -----BEGIN ENCRYPTED PRIVATE KEY----- -----END ENCRYPTED PRIVATE KEY----- Bag Attributes friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 -----BEGIN CERTIFICATE----- -----END CERTIFICATE----- Bag Attributes friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3 -----BEGIN CERTIFICATE----- -----END CERTIFICATE-----

Mi a következő teendő

Visszatérés a Hibrid adatbiztonsági szolgáltatás előfeltételeinek teljesítése lehetőséghez. A hdsnode.p12 fájlt és a hozzá beállított jelszót fogja használni a HDS-szervezők ISO-konfigurációjának létrehozása menüpontban.

Ezeket a fájlokat újra felhasználhatja új tanúsítvány kéréséhez, amikor az eredeti tanúsítvány lejár.

HDS-csomópontok és a felhő közötti forgalom

Kimenő mérőszámok gyűjtésének forgalma

A hibrid adatbiztonsági csomópontok bizonyos mérőszámokat küldenek a Webex felhőbe. Ezek közé tartoznak a heap max, a használt heap, a CPU terhelése és a szálszám rendszermérőszámai; a szinkronizált és aszinkron szálak mérőszámai; a titkosítási kapcsolatok küszöbértékét, a késleltetést vagy a kérelem sorának hosszát magában foglaló riasztások mérőszámai; az adatkészlet mérőszámai; és a titkosítási kapcsolat mérőszámai. A csomópontok titkosított kulcs anyagot küldenek egy sávon kívüli (a kérelemtől elkülönülő) csatornán keresztül.

Bejövő forgalom

A hibrid adatbiztonsági szolgáltatás-csomópontok a bejövő forgalom alábbi típusait kapják meg a Webex-felhőből:

Az ügyfelektől érkező, a titkosítási szolgáltatás által irányított titkosítási kérések
A csomópont szoftverének frissítései

Squid-proxyk konfigurálása a hibrid adatbiztonsághoz

A Websocket nem tud tintahal-proxyn keresztül csatlakozni

A HTTPS-forgalmat ellenőrző Squid-proxyk akadályozhatják a websocket (wss:) kapcsolatok létrehozását, amelyeket a hibrid adatbiztonsági szolgáltatás igényel. Ezek a szakaszok útmutatást nyújtanak arról, hogyan lehet a Squid különböző verzióit úgy konfigurálni, hogy figyelmen kívül hagyják a wss: forgalmat a szolgáltatások megfelelő működéséhez.

Tintahal 4 és 5

Adja hozzá az on_unsupported_protocol irányelvet a következőhöz: squid.conf

on_unsupported_protocol tunnel all

Tintahal 3.5.27

Sikeresen teszteltük a hibrid adatbiztonsági szolgáltatást a következőhöz adott hozzá: squid.conf. Ezek a szabályok változhatnak a funkciók fejlesztése és a Webex felhő frissítése során.

acl wssMercuryConnection ssl::server_name_regex mercury-connection

ssl_bump splice wssMercuryConnection

acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all

Új és módosított információk

Ez a táblázat az új funkciókat vagy funkciókat, a meglévő tartalom változásait, valamint a Többfelhasználós hibrid adatbiztonság telepítési útmutatójábankijavított főbb hibákat tartalmazza.

Dátum	Végzett változtatások
2025. május 8.	Hozzáadva A Control Hub-ban található partnerszervezet meglévő egyfelhasználós HDS-környezetének áthelyezése egy többfelhasználós HDS-beállításba a Partner Hub szakaszában. Frissítettük a syslog kimenetét az olvashatóság javítása érdekében a Hibrid adatbiztonsági telepítés tesztelése szakaszban. Frissítettük a Virtuális gazdagép követelményeit, a Hibrid adatbiztonsági telepítési feladatfolyamatotés a HDS Host OVA telepítését az ESXi 8.0 támogatásának hozzáadásához.
2025. március 4.	Hozzáadva a A HDS telepítőeszköz futtatása a Podman Desktop használatával szakasz. Hozzáadtunk egy megjegyzést a Docker asztali követelmények részben, amely alternatív nyílt forráskódú lehetőséget kínál az ügyfeleknek. Frissítve a Konfigurációs ISO létrehozása a HDS-gazdagépekhez és a Csomópont-konfiguráció módosítása fájlokat a Podman Desktop használatára vonatkozó utasításokkal Docker Desktop licenccel nem rendelkező ügyfelek számára.
2025. január 30.	Az SQL Server 2022-es verziója hozzáadva a támogatott SQL szerverek listájához az Adatbázis-kiszolgálói követelményekrészben.
2025. január 15.	Hozzáadva A többfelhasználós hibrid adatbiztonság korlátai.
2025. január 8.	Hozzáadtam egy megjegyzést a Kezdeti beállítás végrehajtása és telepítőfájlok letöltése részben, amely kimondja, hogy a Partner Hubban a HDS kártyán a Beállítás gombra kattintás a telepítési folyamat fontos lépése.
2025. január 7.	Frissítettük a Virtuális gazdagép követelményeit, a Hibrid adatbiztonsági telepítési feladatfolyamatotés a HDS Host OVA telepítését az ESXi 7.0 új követelményeinek megjelenítéséhez.
2024. december 13.	Először jelent meg.

Több-bérlős hibrid adatbiztonság inaktiválása

Több-bérlős HDS deaktiválási feladatfolyamat

A Multi-Tenant HDS teljes inaktiválásához kövesse az alábbi lépéseket.

Mielőtt elkezdené

Ezt a feladatot csak egy teljes jogú Partner adminisztrátor végezheti el.

1	Távolítsa el az összes ügyfelet az összes klaszterből a Bérlői szervezetek eltávolításarészben leírtak szerint.
2	Vonja vissza az összes ügyfél CMK-ját, a A HDS-ből eltávolított bérlők CMK-jainak visszavonása.részben leírtak szerint.
3	Távolítsd el az összes csomópontot az összes klaszteredből, a Csomópont eltávolításarészben leírtak szerint.
4	Törölje az összes klasztert a Partner Hubból az alábbi két módszer egyikével. Kattintson a törölni kívánt klaszterre, és válassza a Klaszter törlése lehetőséget az áttekintő oldal jobb felső sarkában. Az Erőforrások oldalon kattintson a … elemre egy fürt jobb oldalán, és válassza a Fürt eltávolításalehetőséget.
5	Kattintson a Beállítások fülre a Hibrid adatbiztonság áttekintése oldalon, majd kattintson a HDS deaktiválása lehetőségre a HDS állapota kártyán.

Ismerkedés a többfelhasználós hibrid adatbiztonsággal

Többfelhasználós hibrid adatbiztonság áttekintése

A Webex alkalmazás tervezésének első napjától kezdve az adatbiztonság volt a fő hangsúly. Ennek a biztonságnak a sarokköve a végpontok közötti tartalomtitkosítás, amelyet a Webex alkalmazás kliensei a kulcskezelő szolgáltatással (KMS) való interakció révén tesznek lehetővé. A KMS felelős az üzenetek és fájlok dinamikus titkosítására és visszafejtésére használt kriptográfiai kulcsok létrehozásáért és kezeléséért.

Alapértelmezés szerint minden Webex App ügyfél végpontok közötti titkosítást kap dinamikus kulcsokkal, amelyek a felhőalapú KMS-ben, a Cisco biztonsági területén tárolódnak. A Hybrid Data Security a KMS-T és más, biztonsággal kapcsolatos funkciókat a vállalati adatközpontba helyezi át, így csak Ön rendelkezik a titkosított tartalom kulcsaival.

A többfelhasználós hibrid adatbiztonság lehetővé teszi a szervezetek számára, hogy a HDS-t egy megbízható helyi partneren keresztül használják, aki szolgáltatóként működhet, és kezelheti a helyszíni titkosítást és egyéb biztonsági szolgáltatásokat. Ez a beállítás lehetővé teszi a partnerszervezet számára, hogy teljes mértékben ellenőrizhesse a titkosítási kulcsok telepítését és kezelését, és biztosítja, hogy az ügyfélszervezetek felhasználói adatai biztonságban legyenek a külső hozzáféréstől. A partnerszervezetek szükség szerint HDS-példányokat állítanak be és HDS-klasztereket hoznak létre. Minden egyes példány több ügyfélszervezetet is támogathat, ellentétben egy hagyományos HDS-telepítéssel, amely egyetlen szervezetre korlátozódik.

Bár a partnerszervezetek irányíthatják a telepítést és a felügyeletet, nem férnek hozzá az ügyfelek által generált adatokhoz és tartalmakhoz. Ez a hozzáférés az ügyfél szervezetekre és felhasználóikra korlátozódik.

Ez lehetővé teszi a kisebb szervezetek számára is a HDS kihasználását, mivel a kulcskezelési szolgáltatást és a biztonsági infrastruktúrát, például az adatközpontokat, megbízható helyi partner birtokolja.

Hogyan biztosítja a többfelhasználós hibrid adatbiztonság az adatszuverenitást és az adatellenőrzést?

A felhasználók által generált tartalom védve van a külső hozzáféréstől, például a felhőszolgáltatóktól.
A helyi, megbízható partnerek kezelik azon ügyfelek titkosítási kulcsait, akikkel már kiépített kapcsolatban állnak.
Helyi műszaki támogatási lehetőség, amennyiben a partner biztosítja.
Támogatja a megbeszéléseket, az üzenetküldést és a hívástartalmakat.

Ez a dokumentum célja, hogy segítséget nyújtson a partnerszervezeteknek az ügyfelek többfelhasználós hibrid adatbiztonsági rendszerben történő beállításában és kezelésében.

A többfelhasználós hibrid adatbiztonság korlátai

A partnerszervezeteknek nem lehet aktív HDS-telepítésük a Control Hub-ban.
Azoknak a bérlői vagy ügyfél szervezeteknek, amelyek partner általi felügyeletet kívánnak, nem lehet meglévő HDS-telepítésük a Control Hub-ban.
Miután a partner telepítette a Multi-Tenant HDS-t, az ügyfélszervezetek összes felhasználója, valamint a partnerszervezet felhasználói is elkezdhetik használni a Multi-Tenant HDS-t titkosítási szolgáltatásaikhoz.

A partnerszervezet és az általuk kezelt ügyfélszervezetek ugyanazon a többfelhasználós HDS-környezeten fognak szerepelni.

A partnerszervezet a többbérlős HDS telepítése után a továbbiakban nem fog felhőalapú KMS-t használni.
Nincs mechanizmus a kulcsok Cloud KMS-be való visszahelyezésére egy HDS-telepítés után.
Jelenleg minden több-bérlős HDS-környezet csak egy fürtöt tartalmazhat, amely alatt több csomópont található.
A rendszergazdai szerepköröknek vannak bizonyos korlátozásai; a részletekért lásd az alábbi szakaszt.

Szerepkörök a többfelhasználós hibrid adatbiztonságban

Teljes jogú partneradminisztrátor - Kezelheti a partner által kezelt összes ügyfél beállításait. A szervezetben már meglévő felhasználókhoz rendszergazdai szerepköröket is hozzárendelhet, és kijelölhet bizonyos ügyfeleket, akiket a partner rendszergazdái kezelhetnek.
Partner adminisztrátor - Kezelheti azoknak az ügyfeleknek a beállításait, akiket a rendszergazda kiépített, vagy akiket a felhasználóhoz rendeltek.
Teljes jogú rendszergazda – A partnerszervezet rendszergazdája, aki jogosult olyan feladatok elvégzésére, mint a szervezeti beállítások módosítása, licencek kezelése és szerepkörök kiosztása.

Teljes körű, többfelhasználós HDS beállítás és felügyelet az összes ügyfélszervezeten - Teljes körű rendszergazdai jogosultságok szükségesek a partnerhez.
Hozzárendelt bérlői szervezetek kezelése - Partner adminisztrátori és teljes rendszergazdai jogosultságok szükségesek.

Biztonsági birodalom architektúra

A Webex felhőarchitektúrája a különböző típusú szolgáltatásokat különálló tartományokba, vagyis bizalmi tartományokba választja szét, az alábbiak szerint.

***A szétválás birodalmai (hibrid adatbiztonság nélkül)***

A hibrid adatbiztonság jobb megértéséhez először nézzük meg ezt a tisztán felhőalapú esetet, ahol a Cisco minden funkciót biztosít a felhőalapú területein. Az identitásszolgáltatás, az egyetlen hely, ahol a felhasználók közvetlenül kapcsolatba hozhatók személyes adataikkal, például e-mail címükkel, logikailag és fizikailag is elkülönül a B adatközpont biztonsági tartományától. Mindkettő viszont elkülönül attól a tartománytól, ahol a titkosított tartalmat végső soron tárolják, a C adatközpontban.

Ezen az ábrán a kliens a felhasználó laptopján futó Webex alkalmazás, amely hitelesítette magát az identitásszolgáltatással. Amikor a felhasználó üzenetet ír egy térbe küldendő üzenetre, a következő lépések történnek:

A kliens biztonságos kapcsolatot létesít a kulcskezelő szolgáltatással (KMS), majd kulcsot kér az üzenet titkosításához. A biztonságos kapcsolat ECDH-t használ, és a KMS AES-256 mesterkulccsal titkosítja a kulcsot.
Az üzenet titkosítva van, mielőtt elhagyja a klienst. Az ügyfél elküldi az indexelő szolgáltatásnak, amely titkosított keresési indexeket hoz létre a tartalom jövőbeli kereséseinek megkönnyítése érdekében.
A titkosított üzenetet a rendszer elküldi a megfelelőségi szolgáltatásnak megfelelőségi ellenőrzés céljából.
A titkosított üzenet a tárolási tartományban tárolódik.

A Hybrid Data Security telepítésekor a biztonsági funkciókat (KMS, indexelés és megfelelőség) a helyszíni adatközpontba helyezi át. A Webexet alkotó egyéb felhőszolgáltatások (beleértve az identitás- és tartalomtárolást) továbbra is a Cisco birodalmában maradnak.

Együttműködés más szervezetekkel

A szervezetében lévő felhasználók rendszeresen használhatják a Webex alkalmazást más szervezetek külső résztvevőivel való együttműködésre. Amikor az egyik felhasználód kulcsot kér egy olyan területhez, amelynek a szervezeted a tulajdonosa (mert azt az egyik felhasználód hozta létre), a KMS rendszered egy ECDH biztonságos csatornán keresztül elküldi a kulcsot az ügyfélnek. Amikor azonban egy másik szervezet birtokolja a tárhely kulcsát, a KMS egy külön ECDH csatornán keresztül továbbítja a kérést a Webex felhőbe, hogy a megfelelő KMS-től szerezze be a kulcsot, majd az eredeti csatornán visszaküldi a kulcsot a felhasználónak.

Az „A” szervezeten futó KMS szolgáltatás x.509 PKI tanúsítványok használatával ellenőrzi a más szervezetek KMS-rendszereihez való kapcsolatokat. A többfelhasználós hibrid adatbiztonsági telepítéssel használható x.509 tanúsítvány létrehozásával kapcsolatos részletekért lásd: Környezet előkészítése

Elvárások a hibrid adatbiztonság bevezetésével kapcsolatban

A hibrid adatbiztonsági telepítés jelentős elkötelezettséget és a titkosítási kulcsok birtoklásával járó kockázatok ismeretét igényli.

A hibrid adatbiztonság telepítéséhez a következőket kell biztosítania:

Egy biztonságos adatközpont egy olyan országban, amely támogatott helyszín a Cisco Webex Teams csomagokesetében.
A Környezet előkészítésecímű részben leírt berendezések, szoftverek és hálózati hozzáférés.

A Hybrid Data Securityhez létrehozott konfigurációs ISO vagy a megadott adatbázis teljes elvesztése a kulcsok elvesztését eredményezi. A kulcsvesztés megakadályozza, hogy a felhasználók visszafejtsék a Webex alkalmazásban található űrtartalmakat és más titkosított adatokat. Ha ez megtörténik, létrehozhat egy új központi telepítést, de csak az új tartalom lesz látható. Az adatokhoz való hozzáférés elvesztésének elkerülése érdekében a következőket kell tennie:

Kezelje az adatbázis és a konfigurációs ISO biztonsági mentését és helyreállítását.
Készüljön fel a gyors katasztrófa utáni helyreállításra katasztrófa esetén, például adatbázislemez meghibásodása vagy adatközponti katasztrófa esetén.

Nincs olyan mechanizmus, amellyel a kulcsokat vissza lehetne helyezni a felhőbe egy HDS telepítés után.

Magas szintű beállítási folyamat

Ez a dokumentum egy többfelhasználós hibrid adatbiztonsági telepítés beállítását és kezelését ismerteti:

Hibrid adatbiztonság beállítása— Ez magában foglalja a szükséges infrastruktúra előkészítését és a hibrid adatbiztonsági szoftver telepítését, egy HDS-klaszter felépítését, bérlői szervezetek hozzáadását a klaszterhez, valamint az ügyfél főkulcsaik (CMK-k) kezelését. Ez lehetővé teszi az ügyfélszervezetek összes felhasználójának, hogy biztonsági funkciókhoz használja a hibrid adatbiztonsági fürtöt.

A beállítási, aktiválási és kezelési fázisokat a következő három fejezet részletesen ismerteti.
Hibrid adatbiztonsági telepítésének fenntartása— A Webex felhő automatikusan folyamatos frissítéseket biztosít. Az informatikai részleg első szintű támogatást tud nyújtani ehhez a telepítéshez, és szükség esetén igénybe veheti a Cisco támogatását. A Partner Hubban képernyőn megjelenő értesítéseket használhat, és e-mail alapú riasztásokat állíthat be.
Ismerje meg a gyakori riasztásokat, a hibaelhárítási lépéseket és az ismert problémákat— Ha problémákba ütközik a hibrid adatbiztonság telepítése vagy használata során, az útmutató utolsó fejezete és az Ismert problémák függeléke segíthet a probléma meghatározásában és megoldásában.

Hibrid adatbiztonsági telepítési modell

A vállalati adatközponton belül a Hybrid Data Security megoldást egyetlen csomópont-fürtként telepítheti különálló virtuális hosztokon. A csomópontok biztonságos websocketeken és biztonságos HTTP-n keresztül kommunikálnak a Webex felhővel.

A telepítési folyamat során biztosítjuk az OVA fájlt, amellyel beállíthatja a virtuális készüléket az Ön által biztosított virtuális gépeken. A HDS Setup Tool segítségével létrehozhat egy egyéni fürtkonfigurációs ISO-fájlt, amelyet minden csomópontra csatlakoztathat. A Hybrid Data Security klaszter a megadott Syslogd-kiszolgálót és PostgreSQL vagy Microsoft SQL Server adatbázist használja. (A Syslogd és az adatbázis-kapcsolat részleteit a HDS Setup Toolban konfigurálhatja.)

Hibrid adatbiztonsági telepítési modell

Egy klaszterben lévő csomópontok minimális száma kettő. Klaszterenként legalább hármat javaslunk. Több csomópont megléte biztosítja, hogy a szolgáltatás ne szakadjon meg szoftverfrissítés vagy egyéb karbantartási tevékenység során egy csomóponton. (A Webex felhő egyszerre csak egy csomópontot frissít.)

Egy fürt összes csomópontja ugyanahhoz a kulcsadattárhoz fér hozzá, és ugyanarra a syslog-kiszolgálóra naplózza a tevékenységeket. Maguk a csomópontok állapot nélküliek, és a kulcsfontosságú kéréseket körforgásos módon kezelik, a felhő utasításainak megfelelően.

A csomópontok akkor válnak aktívvá, amikor regisztrálja őket a Partner Hubban. Egy adott csomópont szolgáltatásból való kivonásához törölheti a regisztrációját, majd szükség esetén később újraregisztrálhatja.

Készenléti adatközpont katasztrófa utáni helyreállításhoz

A telepítés során egy biztonságos készenléti adatközpontot állít be. Adatközponti katasztrófa esetén manuálisan is áthelyezheti a telepítést a készenléti adatközpontba.

A feladatátvétel előtt az A adatközpont aktív HDS-csomópontokkal és az elsődleges PostgreSQL vagy Microsoft SQL Server adatbázissal rendelkezik, míg a B adatközpont az ISO-fájl egy másolatával rendelkezik további konfigurációkkal, a szervezetnél regisztrált virtuális gépekkel és egy készenléti adatbázissal. Feladatátvétel után a B adatközpont aktív HDS-csomópontokkal és az elsődleges adatbázissal rendelkezik, míg az A adatközpont nem regisztrált virtuális gépekkel és az ISO-fájl egy másolatával rendelkezik, az adatbázis pedig készenléti módban van. — ***Manuális átállás készenléti adatközpontba***

Az aktív és a készenléti adatközpontok adatbázisai szinkronban vannak egymással, ami minimalizálja a feladatátvétel végrehajtásához szükséges időt.

Az aktív hibrid adatbiztonsági csomópontoknak mindig ugyanabban az adatközpontban kell lenniük, mint az aktív adatbázis-kiszolgálónak.

Proxy támogatás

A Hibrid adatbiztonság támogatja az explicit, átlátható ellenőrzést és a nem ellenőrző proxykat. Ezeket a proxykat az üzembe helyezéshez kötheti, így biztonságossá teheti és figyelheti a vállalattól a felhőig irányuló forgalmat. A tanúsítványkezeléshez platformfelügyeleti felületet használhat a csomópontokon, és ellenőrizheti a kapcsolat általános állapotát, miután beállította a proxyt a csomópontokon.

A hibrid adatbiztonsági csomópontok a következő proxybeállításokat támogatják:

Nincs proxy— Az alapértelmezett beállítás, ha nem használja a HDS csomópont beállítását Megbízható tároló & Proxy konfiguráció proxy integrálásához. Nincs szükség tanúsítványfrissítésre.
Átlátszó, nem ellenőrző proxy— A csomópontok nincsenek konfigurálva egy adott proxykiszolgáló cím használatára, és nem igényelnek semmilyen módosítást ahhoz, hogy nem ellenőrző proxyval működjenek. Nincs szükség tanúsítványfrissítésre.
Átlátszó alagútkezelés vagy proxy vizsgálata— A csomópontok nincsenek konfigurálva egy adott proxykiszolgáló cím használatára. A csomópontokon nincs szükség HTTP- vagy HTTPS-konfigurációs módosításokra. A csomópontoknak azonban főtanúsítványra van szükségük, hogy megbízzanak a proxyban. A proxyk ellenőrzését az IT általában arra használja, hogy betartassa azokat az irányelveket, amelyeken a webhelyek látogathatók, és milyen típusú tartalom nem engedélyezett. Ez a fajta proxy visszafejti az összes forgalmat (még HTTPS-t is).
Explicit proxy— Explicit proxy használatával megmondhatod a HDS csomópontoknak, hogy melyik proxy szervert és hitelesítési sémát használják. Explicit proxy konfigurálásához minden csomóponton a következő adatokat kell megadnia:
1. Meghatalmazott IP/FQDN—A proxy gép eléréséhez használható cím.
2. Proxy port— Egy portszám, amelyet a proxy a proxy forgalom figyelésére használ.
3. Proxy protokoll— Attól függően, hogy mit támogat a proxy szerver, válasszon a következő protokollok közül:
  - HTTP – Az ügyfél által küldött összes kérés megtekintése és ellenőrzése.
  - HTTPS – Csatornát biztosít a kiszolgálónak. Az ügyfél megkapja és ellenőrzi a kiszolgáló tanúsítványát.
4. Hitelesítési típus— Válasszon az alábbi hitelesítési típusok közül:
  - Nincs— Nincs szükség további hitelesítésre.
    
    Akkor érhető el, ha a HTTP-t vagy a HTTPS-t választja proxyprotokollként.
  - Basic— HTTP felhasználói ügynökök számára használatos felhasználónév és jelszó megadására kérések kezdeményezésekor. Base64 kódolást használ.
    
    Akkor érhető el, ha a HTTP-t vagy a HTTPS-t választja proxyprotokollként.
    
    Meg kell adnia a felhasználónevet és a jelszót az egyes csomópontokon.
  - Kivonat— A fiók megerősítésére szolgál a bizalmas információk küldése előtt. Kivonatfüggvényt alkalmaz a felhasználónévre és a jelszóra, mielőtt elküldené a hálózaton keresztül.
    
    Csak akkor érhető el, ha a HTTPS-t választja proxyprotokollként.
    
    Meg kell adnia a felhasználónevet és a jelszót az egyes csomópontokon.

Példa hibrid adatbiztonsági csomópontokra és proxykra

Ez a diagram egy példakapcsolatot mutat be a hibrid adatbiztonság, a hálózat és a proxy között. Az átlátható ellenőrzési és HTTPS-explicit ellenőrző proxybeállításokhoz ugyanazt a főtanúsítványt kell telepíteni a proxyra és a hibrid adatbiztonsági csomópontokra.

Blokkolt külső DNS-feloldási mód (explicit proxykonfigurációk)

Amikor regisztrál egy csomópontot, vagy ellenőrzi a csomópont proxykonfigurációját, a folyamat teszteli a DNS-ellenőrzést és a Cisco Webex felhővel való kapcsolatot. Az explicit proxykonfigurációkkal rendelkező központi telepítések esetében, amelyek nem teszik lehetővé a külső DNS-feloldást a belső ügyfelek számára, ha a csomópont nem tudja lekérdezni a DNS-kiszolgálókat, automatikusan blokkolt külső DNS-feloldási módba lép. Ebben az üzemmódban folytatódhat a csomópont-regisztráció és más proxykapcsolati tesztek.

Készítse elő környezetét

Többfelhasználós hibrid adatbiztonsági követelmények

Cisco Webex licenckövetelmények

Többfelhasználós hibrid adatbiztonság telepítése:

Partnerszervezetek: Lépjen kapcsolatba Cisco partnerével vagy ügyfélkapcsolati menedzserével, és győződjön meg arról, hogy a Több-bérlős funkció engedélyezve van.
Bérlői szervezetek: A Cisco Webex Control Hub Pro Pack csomaggal kell rendelkeznie. (Lásd https://www.cisco.com/go/pro-pack.)

Docker asztali számítógépre vonatkozó követelmények

A HDS csomópontok telepítése előtt a Docker Desktopban kell futtatni egy telepítőprogramot. A Docker nemrég frissítette licencelési modelljét. Előfordulhat, hogy szervezetének fizetős előfizetést kell igényelnie a Docker Desktophoz. További részletekért lásd a Docker blogbejegyzést, "A Docker frissíti és bővíti termékelőfizetéseinket".

A Docker Desktop licenccel nem rendelkező ügyfelek nyílt forráskódú konténerkezelő eszközt, például a Podman Desktopot használhatnak konténerek futtatásához, kezeléséhez és létrehozásához. A részletekért lásd: Futtassa a HDS Setup eszközt a Podman Desktop használatával.

X.509 tanúsítványkövetelmények

A tanúsítványláncnak a következő követelményeknek kell megfelelnie:

1. táblázat. X.509 tanúsítványkövetelmények hibrid adatbiztonsági telepítéshez
Követelmény	részletei
Megbízható hitelesítésszolgáltató (CA) által aláírva	Alapértelmezés szerint a Mozilla listájában szereplő hitelesítésszolgáltatókat bízzuk meg (a WoSign és a StartCom kivételével) https://wiki.mozilla.org/CA:IncludedCAsa címen.
Egy Common Name (CN) domain nevet visel, amely azonosítja a hibrid adatbiztonsági telepítését Nem helyettesítő tanúsítvány	A CN-nek nem kell elérhetőnek vagy élő gazdagépnek lennie. Azt javasoljuk, hogy olyan nevet használjon, amely tükrözi a szervezetét, például: `hds.company.com`. A CN nem tartalmazhat * (helyettesítő karakter). A CN a hibrid adatbiztonsági csomópontok Webex alkalmazáskliensek felé történő ellenőrzésére szolgál. A fürt összes hibrid adatbiztonsági csomópontja ugyanazt a tanúsítványt használja. A KMS a CN-tartomány használatával azonosítja magát, nem pedig az x.509v3 SAN-mezőkben definiált tartományok valamelyikével. Miután regisztrált egy csomópontot ezzel a tanúsítvánnyal, a CN domainnév módosítását nem támogatjuk.
Nem SHA1 aláírás	A KMS szoftver nem támogatja az SHA1 aláírásokat más szervezetek KMS rendszereihez való kapcsolatok érvényesítéséhez.
Jelszóval védett PKCS-ként formázva #12 fájl A tanúsítvány, a privát kulcs és a feltöltendő köztes tanúsítványok címkézéséhez használja a `kms-private-key` felhasználóbarát nevet.	A tanúsítvány formátumának módosításához használhatsz egy konvertert, például az OpenSSL-t. A HDS Setup Tool futtatásakor meg kell adnia a jelszót.

A KMS szoftver nem kényszeríti ki a kulcshasználatot vagy a kiterjesztett kulcshasználati korlátozásokat. Néhány hitelesítésszolgáltató megköveteli, hogy minden tanúsítványra kiterjesztett kulcshasználati korlátozásokat alkalmazzanak, például szerverhitelesítést. Rendben van a szerverhitelesítés vagy más beállítások használata.

Virtuális gazdagép követelményei

A fürtben hibrid adatbiztonsági csomópontként beállítandó virtuális hosztokra a következő követelmények vonatkoznak:

Legalább két különálló host (3 ajánlott) ugyanabban a biztonságos adatközpontban
VMware ESXi 7.0 vagy 8.0 telepítve és fut.

Frissítenie kell, ha az ESXi egy korábbi verziójával rendelkezik.
Minimum 4 vCPU, 8 GB fő memória, 30 GB helyi merevlemez-terület szerverenként

Adatbázis-kiszolgáló követelményei

Hozz létre egy új adatbázist a kulcsok tárolására. Ne használd az alapértelmezett adatbázist. A HDS alkalmazások telepítéskor létrehozzák az adatbázis sémáját.

Az adatbázis-kiszolgáló esetében két lehetőség van. Az egyes követelmények a következők:

2. táblázat Adatbázis-kiszolgáló követelményei adatbázis típusa szerint
PostgreSQL	Microsoft SQL Server
PostgreSQL 14, 15 vagy 16 telepítve és fut.	Telepített SQL Server 2016, 2017, 2019 vagy 2022 (Enterprise vagy Standard) verzió. Az SQL Server 2016-hoz a 2. szervizcsomag és a 2. vagy újabb kumulatív frissítés szükséges.
Minimum 8 vCPU, 16 GB fő memória, elegendő merevlemez-terület és monitorozás annak biztosítására, hogy ezt ne lépjék túl (2 TB ajánlott, ha hosszú ideig szeretné futtatni az adatbázist a tárhely növelése nélkül)	Minimum 8 vCPU, 16 GB fő memória, elegendő merevlemez-terület és monitorozás annak biztosítására, hogy ezt ne lépjék túl (2 TB ajánlott, ha hosszú ideig szeretné futtatni az adatbázist a tárhely növelése nélkül)

A HDS szoftver jelenleg a következő illesztőprogram-verziókat telepíti az adatbázis-kiszolgálóval való kommunikációhoz:

PostgreSQL

Microsoft SQL Server

Postgres JDBC illesztőprogram 42.2.5

SQL Server JDBC illesztőprogram 4.6

Ez az illesztőprogram-verzió támogatja az SQL Server Always On ( Always On feladatátvevő fürt példányok és Always On rendelkezésre állási csoportok) szolgáltatást.

További követelmények a Microsoft SQL Server Windows-hitelesítéséhez

Ha azt szeretné, hogy a HDS csomópontok Windows-hitelesítést használjanak a Microsoft SQL Serveren található kulcstároló adatbázis eléréséhez, akkor a következő konfigurációra van szükség a környezetben:

A HDS csomópontoknak, az Active Directory infrastruktúrának és az MS SQL Servernek mind szinkronizálva kell lenniük NTP-vel.
A HDS csomópontoknak megadott Windows-fióknak rendelkeznie kell read/write hozzáférés az adatbázishoz.
A HDS csomópontoknak biztosított DNS-kiszolgálóknak képesnek kell lenniük a kulcselosztó központ (KDC) feloldására.
Regisztrálhatja a HDS adatbázispéldányt a Microsoft SQL Serveren szolgáltatásnévként (SPN) az Active Directoryban. Lásd: Szolgáltatásnév regisztrálása Kerberos-kapcsolatokhoz.

A HDS beállítóeszköznek, a HDS indítónak és a helyi KMS-nek is Windows-hitelesítést kell használnia a kulcstároló adatbázis eléréséhez. Az ISO-konfiguráció adatait használják az SPN létrehozásához, amikor Kerberos-hitelesítéssel kérnek hozzáférést.

Külső csatlakozási követelmények

Konfigurálja a tűzfalat úgy, hogy a következő kapcsolatokat engedélyezze a HDS alkalmazások számára:

Alkalmazás	Protokoll	Port	Útvonaltervezés az alkalmazásból	Cél
Hibrid adatbiztonsági csomópontok	TCP	443	Kimenő HTTPS és WSS	Webex szerverek: .wbx2.com .ciscospark.com Minden Common Identity gazdagép További URL-címek, amelyek a Webex hibrid szolgáltatások további URL-címei táblázatban szerepelnek a Webex szolgáltatások hálózati követelményeirészben.
HDS beállító eszköz	TCP	443	Kimenő HTTPS	*.wbx2.com Minden Common Identity gazdagép hub.docker.com

A hibrid adatbiztonsági csomópontok hálózati hozzáférés-fordítással (NAT) vagy tűzfal mögött működnek, feltéve, hogy a NAT vagy a tűzfal engedélyezi a szükséges kimenő kapcsolatokat az előző táblázatban szereplő tartományi célhelyekhez. A hibrid adatbiztonsági csomópontokra bejövő kapcsolatok esetében az internetről nem lehetnek látható portok. Az adatközponton belül az ügyfeleknek adminisztratív célokra hozzáférésre van szükségük a Hybrid Data Security csomópontokhoz a 443-as és 22-es TCP-portokon.

A Common Identity (CI) gazdagépek URL-címei régióspecifikusak. Ezek a jelenlegi CI-gazdagépek:

Régió	Közös identitásgazda URL-címek
Amerika	https://idbroker.webex.com https://identity.webex.com https://idbroker-b-us.webex.com https://identity-b-us.webex.com
Európai Unió	https://idbroker-eu.webex.com https://identity-eu.webex.com
Kanada	https://idbroker-ca.webex.com https://identity-ca.webex.com
Szingapúr	https://idbroker-sg.webex.com https://identity-sg.webex.com
Egyesült Arab Emírségek	https://idbroker-ae.webex.com https://identity-ae.webex.com

Proxykiszolgálói követelmények

Hivatalosan is támogatjuk a következő proxy megoldásokat, amelyek integrálhatók a hibrid adatbiztonsági csomópontjaival.
- Átlátszó proxy – Cisco Web Security Appliance (WSA).
- Explicit proxy – tintahal.
  
  A HTTPS forgalmat vizsgáló Squid proxyk zavarhatják a websocket létrehozását. (wss:) kapcsolatok. A probléma kerülő megoldásához lásd: Squid proxyk konfigurálása hibrid adatbiztonsághoz.
Az explicit proxyk esetében a következő hitelesítési típuskombinációkat támogatjuk:
- Nincs hitelesítés HTTP-vel vagy HTTPS-rel
- Alapszintű hitelesítés HTTP-vel vagy HTTPS-rel
- Hitelesítés megemésztése csak HTTPS-rel
Átlátszó ellenőrző proxyhoz vagy HTTPS explicit proxyhoz rendelkeznie kell a proxy főtanúsítványának másolatával. Az útmutató üzembe helyezési utasításaiból az útmutató ismerteti, hogyan töltheti fel a másolatot a hibrid adatbiztonsági csomópontok megbízhatósági tárolóiba.
A HDS-csomópontokat üzemeltető hálózatot úgy kell konfigurálni, hogy a 443-as port kimenő TCP-forgalmát kényszerítse a proxyn való áthaladásra.
A webes forgalmat ellenőrző proxyk zavarhatják a webfoglalat-kapcsolatokat. Ha ez a probléma előfordul, wbx2.com a és ciscospark.com felé irányuló forgalom megkerülése (nem ellenőrzése) megoldja a problémát.

A hibrid adatbiztonság előfeltételeinek teljesítése

Ezzel az ellenőrzőlistával győződhet meg arról, hogy készen áll a hibrid adatbiztonsági fürt telepítésére és konfigurálására.

1	Győződjön meg arról, hogy a partnerszervezeténél engedélyezve van a Több-bérlős HDS funkció, és szerezze be egy olyan fiók hitelesítő adatait, amely teljes körű rendszergazdai és rendszergazdai jogosultságokkal rendelkezik a partner számára. Győződjön meg arról, hogy a Webex ügyfélszervezete engedélyezve van a Pro Pack for Cisco Webex Control Hub használatára. További segítségért forduljon Cisco partneréhez vagy ügyfélkapcsolati menedzseréhez. Az ügyfél szervezeteknek nem szabad meglévő HDS-telepítéssel rendelkezniük.
2	Válasszon egy domainnevet a HDS-telepítéshez (például `hds.company.com`), és szerezzen be egy tanúsítványláncot, amely tartalmaz egy X.509 tanúsítványt, egy privát kulcsot és az esetleges köztes tanúsítványokat. A tanúsítványláncnak meg kell felelnie az X.509 tanúsítványkövetelményekdokumentumban foglalt követelményeknek.
3	Készítsen elő azonos virtuális hosztokat, amelyeket hibrid adatbiztonsági csomópontokként fog beállítani a fürtben. Legalább két különálló hosztra van szükség (3 ajánlott), amelyek ugyanabban a biztonságos adatközpontban helyezkednek el, és megfelelnek a Virtuális hosztokra vonatkozó követelményekrészben foglalt követelményeknek.
4	Készítse elő az adatbázis-kiszolgálót, amely a fürt kulcsadattárolójaként fog működni, az Adatbázis-kiszolgáló követelményeiszerint. Az adatbázis-kiszolgálót a virtuális hosztokkal együtt, biztonságos adatközpontban kell elhelyezni. Hozz létre egy adatbázist a kulcsok tárolására. (Létre kell hoznia ezt az adatbázist – ne használja az alapértelmezett adatbázist. A HDS alkalmazások telepítéskor létrehozzák az adatbázis sémáját.) Gyűjtse össze azokat az adatokat, amelyeket a csomópontok az adatbázis-kiszolgálóval való kommunikációhoz fognak használni: a gazdagép neve vagy IP-címe (gazdagép) és portja a kulcstároláshoz használt adatbázis neve (dbname) egy olyan felhasználó felhasználóneve és jelszava, aki minden jogosultsággal rendelkezik a kulcstároló adatbázishoz
5	A gyors katasztrófa utáni helyreállítás érdekében hozzon létre egy biztonsági mentési környezetet egy másik adatközpontban. A biztonsági mentési környezet tükrözi a virtuális gépek és egy biztonsági mentési adatbázis-kiszolgáló éles környezetét. Például, ha az éles környezetben 3 virtuális gépen fut HDS-csomópontok, akkor a biztonsági mentési környezetben is 3 virtuális gépnek kell lennie.
6	Állítson be egy syslog-hosztot a fürt csomópontjairól származó naplók gyűjtéséhez. Gyűjtse össze a hálózati címét és a syslog portját (alapértelmezett az UDP 514).
7	Hozzon létre egy biztonságos biztonsági mentési szabályzatot a Hybrid Data Security csomópontokhoz, az adatbázis-kiszolgálóhoz és a syslog-gazdagéphez. A helyrehozhatatlan adatvesztés elkerülése érdekében legalább biztonsági másolatot kell készítenie az adatbázisról és a hibrid adatbiztonsági csomópontokhoz létrehozott konfigurációs ISO-fájlról. Mivel a hibrid adatbiztonsági csomópontok tárolják a tartalom titkosításához és visszafejtéséhez használt kulcsokat, a működőképes telepítés fenntartásának elmulasztása a tartalom HELYREÁLLÍTHATATLAN ELVESZTÉSÉT eredményezi. A Webex alkalmazás kliensei gyorsítótárazzák a kulcsaikat, így a kiesés nem feltétlenül észrevehető azonnal, de idővel nyilvánvalóvá válik. Bár az átmeneti leállások megakadályozása lehetetlen, azok helyrehozhatók. Azonban az adatbázis vagy a konfigurációs ISO-fájl teljes elvesztése (ha nincsenek elérhető biztonsági mentések) helyreállíthatatlan ügyféladatokat eredményez. A hibrid adatbiztonsági csomópontok üzemeltetőinek gyakori biztonsági mentéseket kell készíteniük az adatbázisról és a konfigurációs ISO-fájlról, és fel kell készülniük a hibrid adatbiztonsági adatközpont újjáépítésére katasztrofális hiba esetén.
8	Győződjön meg arról, hogy a tűzfal konfigurációja lehetővé teszi a hibrid adatbiztonsági csomópontok csatlakozását a Külső csatlakozási követelményekrészben leírtak szerint.
9	Telepítse a Dockert ( https://www.docker.com) bármely helyi gépre, amely támogatott operációs rendszert (Microsoft Windows 10 Professional vagy Enterprise 64 bites, vagy Mac OSX Yosemite 10.10.3 vagy újabb) futtat, egy olyan webböngészővel, amely el tudja érni http://127.0.0.1:8080.a címen. A Docker-példány segítségével letöltheti és futtathatja a HDS Setup Tool eszközt, amely létrehozza a helyi konfigurációs információkat az összes Hybrid Data Security csomóponthoz. Szükséged lehet egy Docker Desktop licencre. További információkért lásd a Docker asztali számítógép követelményeit című részt. A HDS Setup Tool telepítéséhez és futtatásához a helyi gépnek rendelkeznie kell a Külső csatlakozási követelményekrészben leírt kapcsolattal.
10	Ha proxyt integrál a Hybrid Data Security szolgáltatással, győződjön meg arról, hogy az megfelel a Proxy Server Requirementskövetelményeinek.

Hibrid adatbiztonsági fürt beállítása

Hibrid adatbiztonsági telepítési feladatfolyamat

Mielőtt elkezdené

1	Végezze el a kezdeti beállítást és töltse le a telepítőfájlokat Töltse le az OVA fájlt a helyi gépére későbbi használatra.
2	Konfigurációs ISO létrehozása a HDS-gazdagépekhez A HDS Setup Tool segítségével hozzon létre egy ISO konfigurációs fájlt a Hybrid Data Security csomópontokhoz.
3	Telepítse a HDS Host OVA-t Hozz létre egy virtuális gépet az OVA fájlból, és végezd el a kezdeti konfigurációt, például a hálózati beállításokat. Az OVA telepítése során a hálózati beállítások konfigurálásának lehetőségét az ESXi 7.0 és 8.0 verziókkal tesztelték. Előfordulhat, hogy a lehetőség a korábbi verziókban nem érhető el.
4	A hibrid adatbiztonsági virtuális gép beállítása Jelentkezzen be a virtuálisgép-konzolba, és állítsa be a bejelentkezési hitelesítő adatokat. Konfigurálja a csomópont hálózati beállításait, ha nem konfigurálta azokat az OVA telepítésekor.
5	HDS konfigurációs ISO feltöltése és csatolása Konfigurálja a virtuális gépet a HDS Setup Tool segítségével létrehozott ISO konfigurációs fájlból.
6	A HDS-csomópont konfigurálása proxyintegrációhoz Ha a hálózati környezet proxy konfigurációt igényel, adja meg a csomóponthoz használni kívánt proxy típusát, és szükség esetén adja hozzá a proxy tanúsítványt a megbízható tárolóhoz.
7	Regisztrálja az első csomópontot a fürtben Regisztrálja a virtuális gépet a Cisco Webex felhőben hibrid adatbiztonsági csomópontként.
8	További csomópontok létrehozása és regisztrálása Fejezze be a fürt beállítását.
9	Aktiválja a Több-bérlős HDS-t a Partner Hub-on. Aktiválja a HDS-t és kezelje a bérlői szervezeteket a Partner Hub-on.

Végezze el a kezdeti beállítást és töltse le a telepítőfájlokat

Ebben a feladatban egy OVA fájlt töltesz le a gépedre (nem a hibrid adatbiztonsági csomópontként beállított szerverekre). Ezt a fájlt később a telepítési folyamat során fogja használni.

1	Jelentkezzen be a Partner Hubba, majd kattintson a Szolgáltatásoklehetőségre.
2	A Felhőszolgáltatások részben keresse meg a Hibrid adatbiztonság kártyát, majd kattintson a Beállításgombra. A Partner Hubban található Beállítás gombra kattintás kritikus fontosságú a telepítési folyamat szempontjából. Ne folytassa a telepítést a lépés elvégzése nélkül.
3	Kattintson az Erőforrás hozzáadása lehetőségre, majd a .OVA fájl letöltése lehetőségre a Szoftver telepítése és konfigurálása kártyán. A szoftvercsomag (OVA) régebbi verziói nem lesznek kompatibilisek a legújabb Hybrid Data Security frissítésekkel. Ez problémákat okozhat az alkalmazás frissítése során. Győződjön meg róla, hogy letöltötte az OVA fájl legújabb verzióját. Az OVA-t bármikor letöltheted a Súgó részből. Kattintson a Beállítások gombra > Segítség > Hibrid adatbiztonsági szoftver letöltése. Az OVA fájl letöltése automatikusan megkezdődik. Mentsd el a fájlt egy helyre a gépeden.
4	Opcionálisan kattintson a Hibrid adatbiztonsági telepítési útmutató megtekintése lehetőségre, és ellenőrizze, hogy elérhető-e az útmutató újabb verziója.

Konfigurációs ISO létrehozása a HDS-gazdagépekhez

A Hybrid Data Security telepítési folyamata létrehoz egy ISO-fájlt. Ezután az ISO segítségével konfigurálhatja a hibrid adatbiztonsági gazdagépet.

Mielőtt elkezdené

A HDS Setup eszköz Docker konténerként fut egy helyi gépen. Ha hozzá akarsz férni, futtasd a Dockert azon a gépen. A beállítási folyamathoz teljes rendszergazdai jogosultságokkal rendelkező Partner Hub-fiók hitelesítő adatai szükségesek.

Ha nem rendelkezik Docker Desktop licenccel, a Podman Desktop segítségével futtathatja a HDS telepítőeszközt az alábbi eljárás 1–5. lépéseiben. A részletekért lásd: Futtassa a HDS Setup eszközt a Podman Desktop használatával.

Ha a HDS telepítőeszköz proxy mögött fut a környezetében, akkor a proxy beállításait (kiszolgáló, port, hitelesítő adatok) a Docker környezeti változókon keresztül kell megadni a Docker konténer megnyitásakor az alábbi 5. lépésben. Ez a táblázat néhány lehetséges környezeti változót tartalmaz:

Leírás	Változó
Http-proxy hitelesítés nélkül	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
HTTPS-proxy hitelesítés nélkül	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
Http-proxy hitelesítéssel	`GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
HTTPS-proxy hitelesítéssel	`GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

A létrehozott konfigurációs ISO-fájl tartalmazza a PostgreSQL vagy a Microsoft SQL Server adatbázist titkosító főkulcsot. A fájl legújabb példányára minden olyan esetben szüksége lesz, amikor konfigurációs módosításokat végez, például az alábbiakat:
- Adatbázis hitelesítő adatok
- Tanúsítványfrissítések
- Változások az engedélyezési szabályzatban
Ha adatbázis-kapcsolatok titkosítását tervezi, állítsa be a PostgreSQL vagy az SQL Server környezetét TLS használatára.

1

A gép parancssorában adja meg a környezetének megfelelő parancsot:

Rendszeres környezetben:

docker rmi ciscocitg/hds-setup:stable

FedRAMP környezetben:

docker rmi ciscocitg/hds-setup-fedramp:stable

Ezzel a lépéssel törölhetők a HDS telepítőeszköz korábbi képei. Ha nincsenek korábbi képek, akkor olyan hibát ad vissza, amelyet figyelmen kívül hagyhat.

2

A Docker-képtárba való bejelentkezéshez írja be a következőket:

docker login -u hdscustomersro

3

A jelszókéréskor írja be ezt a hash-t:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

4

Töltse le a legfrissebb stabil képet a környezetéről:

Rendszeres környezetben:

docker pull ciscocitg/hds-setup:stable

FedRAMP környezetben:

docker pull ciscocitg/hds-setup-fedramp:stable

5

Amikor a húzás befejeződött, adja meg a környezetének megfelelő parancsot:

Rendszeres környezetben, proxy nélkül:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

Http proxyval rendelkező normál környezetben:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

Normál HTTPS proxy környezetben:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

FedRAMP környezetben, proxy nélkül:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

Http proxyval rendelkező FedRAMP környezetben:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

FedRAMP környezetben https proxyval:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Amikor a konténer fut, az "Express szerver figyeli a 8080-as portot."

6

A telepítőeszköz nem támogatja a localhosthoz való csatlakozást a következőn keresztül: http://localhost:8080. http://127.0.0.1:8080 A paranccsal csatlakozhatsz a localhosthoz.

Egy webböngészővel lépjen a localhostra ( http://127.0.0.1:8080) , és a parancssorba írja be a Partner Hub rendszergazdai felhasználónevét.

Az eszköz a felhasználónév első bejegyzését használja a fiók megfelelő környezetének beállításához. Az eszköz ezután megjeleníti a szokásos bejelentkezési ablakot.

7

Amikor a rendszer kéri, adja meg a Partner Hub rendszergazdai bejelentkezési adatait, majd kattintson a Bejelentkezés gombra a hibrid adatbiztonsághoz szükséges szolgáltatások eléréséhez.

8

A Beállítóeszköz áttekintése oldalon kattintson a Első lépésekgombra.

9

Az ISO importálás oldalon a következő lehetőségek közül választhat:

Nem—Ha az első HDS csomópontodat hozod létre, nincs feltöltendő ISO fájlod.
Igen—Ha már létrehozott HDS csomópontokat, akkor a tallózás során válassza ki az ISO fájlt, és töltse fel.

10

Ellenőrizd, hogy az X.509 tanúsítványod megfelel-e az X.509 tanúsítványkövetelményekcímű dokumentumban található követelményeknek.

Ha korábban még soha nem töltött fel tanúsítványt, töltse fel az X.509 tanúsítványt, adja meg a jelszót, majd kattintson a Folytatásgombra.
Ha a tanúsítványa rendben van, kattintson a Folytatásgombra.
Ha a tanúsítványa lejárt, vagy le szeretné cserélni, válassza a Nem lehetőséget a Folytatja a HDS tanúsítványlánc és az előző ISO-ból származó privát kulcs használatát?lehetőségnél. Töltsön fel egy új X.509 tanúsítványt, adja meg a jelszót, majd kattintson a Folytatásgombra.

11

Adja meg az adatbázis címét és fiókját, hogy a HDS hozzáférhessen a kulcsadattárához:

Válassza ki az adatbázistípust (PostgreSQL vagy Microsoft SQL Server).

Ha a Microsoft SQL Serverlehetőséget választja, akkor egy Hitelesítési típus mező jelenik meg.
(csak Microsoft SQL Server esetén ) Válassza ki a hitelesítési típust:
- Alapvető hitelesítés: A Felhasználónév mezőben meg kell adnia a helyi SQL Server fiók nevét.
- Windows hitelesítés: Szükséged lesz egy Windows fiókra a következő formátumban: username@DOMAIN a Felhasználónév mezőben.
Adja meg az adatbázis-kiszolgáló címét : vagy :formában.

Példa:
dbhost.example.org:1433 vagy 198.51.100.17:1433

Használhat IP-címet az alapvető hitelesítéshez, ha a csomópontok nem tudják DNS-en keresztül feloldani a gazdagépnevet.

Ha Windows hitelesítést használ, akkor teljesen minősített domainnevet kell megadnia a következő formátumban: dbhost.example.org:1433
Adja meg az Adatbázis nevét.
Adja meg egy olyan felhasználó Felhasználónév és Jelszó értékét, aki minden jogosultsággal rendelkezik a kulcstároló adatbázishoz.

12

Válasszon egy TLS adatbázis-kapcsolati módot:

Mód	Leírás
TLS előnyben részesítése (alapértelmezett beállítás)	A HDS csomópontok nem igénylik a TLS csatlakozását az adatbázis szerverhez. Ha engedélyezi a TLS-t az adatbázis-kiszolgálón, a csomópontok titkosított kapcsolatot próbálnak létrehozni.
Kötelező TLS	A HDS csomópontok csak akkor kapcsolódnak, ha az adatbázis-kiszolgáló képes egyeztetni a TLS-t.
TLS igénylése és a tanúsítvány aláírójának ellenőrzése	Ez a mód nem alkalmazható SQL Server adatbázisokra. A HDS csomópontok csak akkor kapcsolódnak, ha az adatbázis-kiszolgáló képes egyeztetni a TLS-t. A TLS-kapcsolat létrehozása után a csomópont összehasonlítja az adatbázis-kiszolgálóról származó tanúsítvány aláíróját a Adatbázis gyökértanúsítványábantalálható tanúsító hatósággal. Ha nem egyeznek, a csomópont megszakítja a kapcsolatot. A legördülő menü alatti Adatbázis gyökértanúsítvány vezérlőelem segítségével töltse fel a beállítás gyökértanúsítványát.
TLS megkövetelése és a tanúsítvány aláírójának és a gépnévnek az ellenőrzése	A HDS csomópontok csak akkor kapcsolódnak, ha az adatbázis-kiszolgáló képes egyeztetni a TLS-t. A TLS-kapcsolat létrehozása után a csomópont összehasonlítja az adatbázis-kiszolgálóról származó tanúsítvány aláíróját a Adatbázis gyökértanúsítványábantalálható tanúsító hatósággal. Ha nem egyeznek, a csomópont megszakítja a kapcsolatot. A csomópontok azt is ellenőrzik, hogy a kiszolgáló tanúsítványában szereplő állomásnév megegyezik-e az Adatbázis állomás és port mezőben található állomásnévvel. A neveknek pontosan egyezniük kell, vagy a csomópont megszakítja a kapcsolatot. A legördülő menü alatti Adatbázis gyökértanúsítvány vezérlőelem segítségével töltse fel a beállítás gyökértanúsítványát.

Amikor feltölti a főtanúsítványt (ha szükséges), és a Folytatásgombra kattint, a HDS Setup Tool teszteli a TLS-kapcsolatot az adatbázis-kiszolgálóval. Az eszköz ellenőrzi a tanúsítvány aláíróját és a gépnevet is, ha van ilyen. Ha egy teszt sikertelen, az eszköz hibaüzenetet jelenít meg, amely leírja a problémát. Kiválaszthatja, hogy figyelmen kívül hagyja-e a hibát, és folytatja-e a beállítást. (A csatlakozási különbségek miatt a HDS csomópontok akkor is képesek lehetnek TLS-kapcsolatot létrehozni, ha a HDS Setup Tool gépe nem tudja sikeresen tesztelni.)

13

A Rendszernaplók oldalon konfigurálja a Syslogd szervert:

Adja meg a syslog-kiszolgáló URL-címét.

Ha a szerver nem feloldható DNS-sel a HDS-fürt csomópontjaiból, használjon IP-címet az URL-címben.

Példa:
udp://10.92.43.23:514 a Syslogd 10.92.43.23-as hosztjára történő naplózást jelzi az 514-es UDP porton.
Ha a szerver TLS titkosítás használatára van beállítva, ellenőrizze a lehetőséget. Konfigurálva van a syslog-szerver SSL titkosításra?.

Ha bejelöli ezt a jelölőnégyzetet, ügyeljen arra, hogy TCP URL-címet adjon meg, például: tcp://10.92.43.23:514.
A Rendszernapló-rekord megszakításának kiválasztása legördülő menüből válassza ki az ISO-fájl megfelelő beállítását: A Choose vagy az Newline karaktereket Graylog és Rsyslog TCP esetén használják.
- Null bájt -- \x00
- Új sor -- \n—Válassza ezt a lehetőséget a Graylog és az Rsyslog TCP esetében.
Kattintson a Folytatás gombra.

14

(Választható) Egyes adatbázis-kapcsolati paraméterek alapértelmezett értékét a Speciális beállításokmenüpontban módosíthatja. Általában ez a paraméter az egyetlen, amelyet érdemes lehet módosítani:

app_datasource_connection_pool_maxSize: 10

15

Kattintson a Folytatás gombra a Szolgáltatásfiókok jelszavának visszaállítása képernyőn.

A szolgáltatásfiókok jelszavai kilenc hónapig érvényesek. Használja ezt a képernyőt, ha jelszavai lejárnak, vagy ha vissza szeretné állítani őket a korábbi ISO-fájlok érvénytelenítéséhez.

16

Kattintson az ISO fájl letöltésegombra. Mentse el a fájlt egy könnyen megtalálható helyre.

17

Készítsen biztonsági másolatot az ISO fájlról a helyi rendszeren.

Tartsa biztonságban a biztonsági másolatot. Ez a fájl egy mester titkosítási kulcsot tartalmaz az adatbázis tartalmához. Korlátozza a hozzáférést csak azokra a hibrid adatbiztonsági rendszergazdákra, akiknek konfigurációs módosításokat kell végezniük.

18

A telepítőeszköz leállításához írja be CTRL+Ca karaktereket.

Mi a következő teendő

Készítsen biztonsági másolatot a konfigurációs ISO fájlról. Szüksége van rá további csomópontok létrehozásához a helyreállításhoz, vagy konfigurációs módosítások elvégzéséhez. Ha elveszíted az ISO fájl összes példányát, akkor a mesterkulcsot is elveszíted. A kulcsok helyreállítása a PostgreSQL vagy a Microsoft SQL Server adatbázisból nem lehetséges.

Soha nincs másolatunk erről a kulcsról, és nem tudunk segíteni, ha elveszíted.

Telepítse a HDS Host OVA-t

Ezzel az eljárással hozhat létre virtuális gépet az OVA fájlból.

1	Használja a számítógépén található VMware vSphere klienst az ESXi virtuális gazdagépre való bejelentkezéshez.
2	Válassza a Fájl lehetőséget > OVF sablon telepítése.
3	A varázslóban adja meg a korábban letöltött OVA fájl helyét, majd kattintson a Továbbgombra.
4	A Név és mappa kiválasztása oldalon adja meg a csomópont virtuális gépnevét (például "HDS_Node_1"), válasszon ki egy helyet, ahol a virtuális gép csomópont telepítése történhet, majd kattintson a Továbbgombra.
5	A Számítási erőforrás kiválasztása oldalon válassza ki a cél számítási erőforrást, majd kattintson a Továbbgombra. Lefut egy érvényesítési ellenőrzés. A befejezés után megjelennek a sablon részletei.
6	Ellenőrizze a sablon részleteit, majd kattintson a Továbbgombra.
7	Ha a Konfiguráció oldalon a rendszer kéri az erőforrás-konfiguráció kiválasztását, kattintson a 4 CPU lehetőségre, majd a Továbbgombra.
8	A Tároló kiválasztása oldalon kattintson a Tovább gombra az alapértelmezett lemezformátum és a virtuális gép tárolási házirendjének elfogadásához.
9	A Hálózatok kiválasztása oldalon válassza ki a hálózati lehetőséget a listából a virtuális géphez való kívánt kapcsolat biztosításához.
10	A Sablon testreszabása oldalon konfigurálja a következő hálózati beállításokat: Gazdagépnév— Adja meg a csomópont teljes tartománynevét (gazdagépnév és tartomány) vagy egyetlen szavas gazdagépnevét. Nem kell úgy beállítani a domaint, hogy az megegyezzen az X.509 tanúsítvány beszerzéséhez használt domainnel. A felhőbe való sikeres regisztráció érdekében csak kisbetűket használjon a csomóponthoz beállított FQDN-ben vagy állomásnévben. A nagybetűs írásmód jelenleg nem támogatott. Az FQDN teljes hossza nem haladhatja meg a 64 karaktert. IP-cím— Adja meg a csomópont belső interfészének IP-címét. A csomópontnak belső IP-címmel és DNS-névvel kell rendelkeznie. A DHCP nem támogatott. Maszk— Adja meg az alhálózati maszk címét pont-decimális jelöléssel. Például, 255.255.255.0. Átjáró— Adja meg az átjáró IP-címét. Az átjáró egy hálózati csomópont, amely hozzáférési pontként szolgál egy másik hálózathoz. DNS-kiszolgálók— Adja meg a DNS-kiszolgálók vesszővel elválasztott listáját, amelyek a domainnevek numerikus IP-címekké fordítását végzik. (Legfeljebb 4 DNS-bejegyzés engedélyezett.) NTP-kiszolgálók— Adja meg szervezete NTP-kiszolgálóját vagy más, a szervezetében használható külső NTP-kiszolgálót. Az alapértelmezett NTP-kiszolgálók nem minden vállalatnál működnek. Több NTP-kiszolgáló megadásához vesszővel elválasztott listát is használhat. Telepítse az összes csomópontot ugyanazon az alhálózaton vagy VLAN-on, hogy a fürt összes csomópontja elérhető legyen a hálózatában lévő ügyfelekről adminisztrációs célokra. Ha szükséges, kihagyhatja a hálózati beállítások konfigurálását, és követheti a A hibrid adatbiztonsági virtuális gép beállítása című részben leírt lépéseket a beállítások csomópont-konzolról történő konfigurálásához. Az OVA telepítése során a hálózati beállítások konfigurálásának lehetőségét az ESXi 7.0 és 8.0 verziókkal tesztelték. Előfordulhat, hogy a lehetőség a korábbi verziókban nem érhető el.
11	Kattintson a jobb gombbal a virtuális gép csomópontjára, majd válassza a Energiaellátás lehetőséget. > Bekapcsolás. A Hybrid Data Security szoftver vendégként települ a virtuális gép gazdagépére. Most már bejelentkezhet a konzolba és konfigurálhatja a csomópontot. Hibaelhárítási tippek Előfordulhat, hogy néhány perces késés tapasztalható a csomópont-tárolók megjelenése előtt. Egy híd tűzfal üzenet jelenik meg a konzolon az első rendszerindításkor, amely során nem lehet bejelentkezni.

A hibrid adatbiztonsági virtuális gép beállítása

Ezzel az eljárással jelentkezhet be első alkalommal a Hybrid Data Security csomópont virtuálisgép-konzoljára, és állíthatja be a bejelentkezési hitelesítő adatokat. A konzolon keresztül is konfigurálhatja a csomópont hálózati beállításait, ha azokat az OVA telepítése során nem konfigurálta.

1	A VMware vSphere kliensben válassza ki a Hybrid Data Security csomópontú virtuális gépet, és válassza a Konzol fület. A virtuális gép elindul, és megjelenik egy bejelentkezési ablak. Ha a bejelentkezési ablak nem jelenik meg, nyomja meg a Enterbillentyűt.
2	A bejelentkezéshez és a hitelesítő adatok módosításához használja a következő alapértelmezett bejelentkezési nevet és jelszót: Bejelentkezés: `admin` Jelszó: `cisco` Mivel először jelentkezik be a virtuális gépére, meg kell változtatnia a rendszergazdai jelszót.
3	Ha már konfigurálta a hálózati beállításokat a HDS Host OVA telepítéserészben, akkor ugorja át az eljárás további részét. Egyéb esetben a főmenüben válassza a Konfiguráció szerkesztése lehetőséget.
4	Állítson be egy statikus konfigurációt IP-címmel, maszkkal, átjáróval és DNS-információkkal. A csomópontnak belső IP-címmel és DNS-névvel kell rendelkeznie. A DHCP nem támogatott.
5	(Választható) Szükség esetén módosítsa a gazdagépnevet, a domaint vagy az NTP-kiszolgáló(ka)t a hálózati szabályzatnak megfelelően. Nem kell úgy beállítani a domaint, hogy az megegyezzen az X.509 tanúsítvány beszerzéséhez használt domainnel.
6	Mentse el a hálózati konfigurációt, és indítsa újra a virtuális gépet, hogy a módosítások érvénybe lépjenek.

HDS konfigurációs ISO feltöltése és csatolása

Ezzel az eljárással konfigurálhatja a virtuális gépet a HDS Setup Tool segítségével létrehozott ISO-fájlból.

Mielőtt elkezdené

Mivel az ISO-fájl tartalmazza a főkulcsot, azt csak „szükséges ismeret” alapon szabad közzétenni, hogy a hibrid adatbiztonsági virtuális gépek és a módosításokat végző rendszergazdák hozzáférhessenek. Győződjön meg arról, hogy csak az adott rendszergazdák férhetnek hozzá az adattárhoz.

1

Töltsd fel az ISO fájlt a számítógépedről:

A VMware vSphere kliens bal oldali navigációs paneljén kattintson az ESXi-kiszolgálóra.
A Konfiguráció lap Hardver listájában kattintson a Tárolóelemre.
Az Adattárak listában kattintson jobb gombbal a virtuális gépek adattárára, majd válassza az Adattár böngészéselehetőséget.
Kattintson a Fájl feltöltése ikonra, majd a Fájl feltöltésegombra.
Keresse meg a számítógépén az ISO fájl letöltött helyét, és kattintson a Megnyitásgombra.
Az Igen gombra kattintva elfogadhatja a upload/download műveleti figyelmeztetés, és zárja be az adattár párbeszédpanelt.

2

Csatold fel az ISO fájlt:

A VMware vSphere kliens bal oldali navigációs ablakában kattintson jobb gombbal a VM-re, majd kattintson a Beállítások szerkesztése lehetőségre.
Kattintson az OK gombra a korlátozott szerkesztési beállításokra vonatkozó figyelmeztetés elfogadásához.
Kattintson CD/DVD Drive 1a gombra, válassza az adattár ISO-fájljából történő csatlakoztatás lehetőségét, és keresse meg azt a helyet, ahová feltöltötte a konfigurációs ISO-fájlt.
Jelölje be a Csatlakoztatva és a Csatlakozás bekapcsoláskorlehetőséget.
Mentse el a módosításokat, és indítsa újra a virtuális gépet.

Mi a következő teendő

Ha az informatikai szabályzat megköveteli, opcionálisan leválaszthatja az ISO-fájlt, miután az összes csomópont átvette a konfigurációs módosításokat. A részletekért lásd a (Opcionális) ISO leválasztása HDS konfiguráció után című részt.

A HDS-csomópont konfigurálása proxyintegrációhoz

Ha a hálózati környezet proxyt igényel, ezzel az eljárással adhatja meg a hibrid adatbiztonsággal integrálni kívánt proxy típusát. Ha átlátszó ellenőrző proxyt vagy HTTPS explicit proxyt választ, a csomópont felületével feltöltheti és telepítheti a főtanúsítványt. A proxykapcsolatot az interfészről is ellenőrizheti, és elháríthatja az esetleges problémákat.

Mielőtt elkezdené

A támogatott proxybeállítások áttekintését lásd: Proxytámogatás.
Proxykiszolgálói követelmények

1	Írja be a HDS csomópont beállítási URL-címét `https://[HDS Node IP or FQDN]/setup` egy webböngészőbe, adja meg a csomóponthoz beállított rendszergazdai hitelesítő adatokat, majd kattintson a Bejelentkezésgombra.
2	Lépjen a Trust Store & Proxyelemre, majd válasszon egy lehetőséget: Nincs proxy— Az alapértelmezett beállítás a proxy integrálása előtt. Nincs szükség tanúsítványfrissítésre. Átlátszó, nem ellenőrző proxy— A csomópontok nincsenek konfigurálva egy adott proxykiszolgáló cím használatára, és nem igényelnek semmilyen módosítást ahhoz, hogy nem ellenőrző proxyval működjenek. Nincs szükség tanúsítványfrissítésre. Átlátszó ellenőrző proxy— A csomópontok nincsenek konfigurálva egy adott proxykiszolgáló cím használatára. A hibrid adatbiztonsági üzembe helyezés során nincs szükség HTTPS-konfigurációs módosításokra, azonban a HDS-csomópontoknak főtanúsítványra van szükségük, hogy megbízzanak a proxyban. A proxyk ellenőrzését az IT általában arra használja, hogy betartassa azokat az irányelveket, amelyeken a webhelyek látogathatók, és milyen típusú tartalom nem engedélyezett. Ez a fajta proxy visszafejti az összes forgalmat (még HTTPS-t is). Explicit proxy— Explicit proxy használatával megmondhatod a kliensnek (HDS csomópontoknak), hogy melyik proxy szervert használja, és ez a beállítás számos hitelesítési típust támogat. Miután kiválasztotta ezt a beállítást, meg kell adnia a következő adatokat: Meghatalmazott IP/FQDN—A proxy gép eléréséhez használható cím. Proxy port— Egy portszám, amelyet a proxy a proxy forgalom figyelésére használ. Proxy Protocol— Válassza a http (megtekinti és vezérli az ügyféltől fogadott összes kérést) vagy a https (csatornát biztosít a szervernek, és az ügyfél fogadja és érvényesíti a szerver tanúsítványát) lehetőséget. Válasszon egy lehetőséget a proxykiszolgáló által támogatott lehetőségek alapján. Hitelesítési típus— Válasszon az alábbi hitelesítési típusok közül: Nincs— Nincs szükség további hitelesítésre. Elérhető HTTP- vagy HTTPS-proxykhoz. Basic— HTTP felhasználói ügynökök számára használatos felhasználónév és jelszó megadására kérések kezdeményezésekor. Base64 kódolást használ. Elérhető HTTP- vagy HTTPS-proxykhoz. Ha ezt a lehetőséget választja, meg kell adnia a felhasználónevet és a jelszót is. Kivonat— A fiók megerősítésére szolgál a bizalmas információk küldése előtt. Kivonatfüggvényt alkalmaz a felhasználónévre és a jelszóra, mielőtt elküldené a hálózaton keresztül. Csak HTTPS proxykhoz érhető el. Ha ezt a lehetőséget választja, meg kell adnia a felhasználónevet és a jelszót is. Kövesse az átlátható ellenőrző proxy, az alapszintű hitelesítéssel rendelkező HTTP-explicit proxy vagy a HTTPS explicit proxy következő lépéseit.
3	Kattintson a Főtanúsítvány feltöltése vagy a Végfelhasználói tanúsítványlétrehozása elemre, majd keresse meg a proxy főtanúsítványát. A tanúsítvány feltöltésre került, de még nincs telepítve, mert a tanúsítvány telepítéséhez újra kell indítania a csomópontot. További részleteket szeretne megtudni a tanúsítványkibocsátó nevével a ékzár nyílra, vagy kattintson a Törlés gombra, ha hibát követett el, és újra szeretné tölteni a fájlt.
4	Kattintson a Proxykapcsolat ellenőrzése gombra a csomópont és a proxy közötti hálózati kapcsolat teszteléséhez. Ha a kapcsolati teszt sikertelen, hibaüzenet jelenik meg, amely bemutatja az okot és a probléma kijavítást. Ha olyan üzenet jelenik meg, amely szerint a külső DNS-felbontás nem sikerült, a csomópont nem tudta elérni a DNS-kiszolgálót. Ez a feltétel számos explicit proxykonfigurációban várható. Folytathatja a beállítást, és a csomópont Blokkolt külső DNS-feloldási módban fog működni. Ha úgy gondolja, hogy ez egy hiba, kövesse az alábbi lépéseket, majd tekintse meg a Blokkolt külső DNS-feloldási mód kikapcsolásacímű részt.
5	A csatlakozási teszt elvégzése után, ha csak https-re van állítva explicit proxy, kapcsolja be a kapcsolót a 443/444 https port útvonala parancsra az explicit proxynkeresztül. Ez a beállítás 15 másodpercet igényel a hatályba lépéshez.
6	Kattintson az Összes tanúsítvány telepítése a megbízhatósági tárolóba (HTTPS explicit proxy vagy átlátszó ellenőrző proxy esetén jelenik meg) vagy Indítsa újra (HTTP explicit proxy esetén jelenik meg), olvassa el a parancsot, majd kattintson a Telepítés gombra, ha készen áll. A csomópont néhány percen belül újraindul.
7	A csomópont újraindítása után jelentkezzen be újra, ha szükséges, majd nyissa meg az Áttekintés lapot, hogy ellenőrizze a kapcsolatellenőrzéseket, és győződjön meg arról, hogy mindegyik zöld állapotban van. A proxykapcsolat ellenőrzése csak webex.com aldomainét teszteli. Kapcsolódási problémák esetén gyakori probléma, hogy a telepítési utasításokban felsorolt felhőtartományok némelyike le van tiltva a proxyn.

Regisztrálja az első csomópontot a fürtben

Ez a feladat a A hibrid adatbiztonsági virtuális gép beállításarészben létrehozott általános csomópontot veszi alapul, regisztrálja a csomópontot a Webex felhőben, és hibrid adatbiztonsági csomóponttá alakítja.

Az első csomópont regisztrálásakor létrehoz egy fürtöt, amelyhez a csomópont hozzá lesz rendelve. Egy klaszter egy vagy több csomópontot tartalmaz, amelyek a redundancia biztosítása érdekében vannak telepítve.

Mielőtt elkezdené

Miután elkezdte egy csomópont regisztrációját, 60 percen belül be kell fejeznie, különben újra kell kezdenie.
Győződjön meg arról, hogy a böngészőjében le van tiltva az összes felugró ablak blokkoló, vagy hogy engedélyezett egy kivétel az admin.webex.com számára.

1	Jelentkezzen be ide: https://admin.webex.com.
2	A képernyő bal oldalán található menüből válassza a Szolgáltatásoklehetőséget.
3	A Felhőszolgáltatások részben keresse meg a Hibrid adatbiztonsági kártyát, és kattintson a Beállításgombra.
4	A megnyíló oldalon kattintson az Erőforrás hozzáadásagombra .
5	A Csomópont hozzáadása kártya első mezőjében adja meg annak a fürtnek a nevét, amelyhez hozzá szeretné rendelni a hibrid adatbiztonsági csomópontot. Azt javasoljuk, hogy a fürtöt a fürt csomópontjainak földrajzi elhelyezkedése alapján nevezze el. Példák: „San Francisco”, „New York” vagy „Dallas”
6	A második mezőbe írja be a csomópont belső IP-címét vagy teljes domainnevét (FQDN), majd kattintson a képernyő alján található Hozzáadás gombra. Ennek az IP-címnek vagy FQDN-nek meg kell egyeznie azzal az IP-címmel vagy állomásnévvel és tartománnyal, amelyet a Hibrid adatbiztonsági virtuális gép beállításarészben használt. Megjelenik egy üzenet, amely jelzi, hogy regisztrálhatja a csomópontját a Webex-en.
7	Kattintson a Ugrás a csomópontralehetőségre. Néhány pillanat múlva a rendszer átirányítja a Webex-szolgáltatások csomópont-kapcsolati tesztjeihez. Ha minden teszt sikeres, megjelenik a Hibrid adatbiztonsági csomóponthoz való hozzáférés engedélyezése oldal. Ott megerősítheti, hogy engedélyeket szeretne adni Webex-szervezetének a csomópont eléréséhez.
8	Jelölje be a Hozzáférés engedélyezése a hibrid adatbiztonsági csomóponthoz jelölőnégyzetet, majd kattintson a Folytatásgombra. Fiókját ellenőriztük, és a „Regisztráció kész” üzenet jelzi, hogy a csomópont regisztrálva lett a Webex felhőben.
9	Kattintson a hivatkozásra vagy zárja be a fület a Partner Hub hibrid adatbiztonsági oldalára való visszatéréshez. A Hibrid adatbiztonság oldalon a regisztrált csomópontot tartalmazó új fürt az Erőforrások lapon jelenik meg. A csomópont automatikusan letölti a legújabb szoftvert a felhőből.

További csomópontok létrehozása és regisztrálása

További csomópontok fürthöz való hozzáadásához egyszerűen hozzon létre további virtuális gépeket, csatlakoztassa ugyanazt a konfigurációs ISO-fájlt, majd regisztrálja a csomópontot. Azt javasoljuk, hogy legalább 3 csomóponttal rendelkezzen.

Mielőtt elkezdené

Miután elkezdte egy csomópont regisztrációját, 60 percen belül be kell fejeznie, különben újra kell kezdenie.
Győződjön meg arról, hogy a böngészőjében le van tiltva az összes felugró ablak blokkoló, vagy hogy engedélyezett egy kivétel az admin.webex.com számára.

1	Hozz létre egy új virtuális gépet az OVA-ból, ismételve a A HDS Host OVA telepítésecímű részben leírt lépéseket.
2	Állítsa be a kezdeti konfigurációt az új virtuális gépen a A hibrid adatbiztonsági virtuális gép beállításacímű részben leírt lépések megismétlésével.
3	Az új virtuális gépen ismételje meg a HDS konfigurációs ISO feltöltése és csatlakoztatásarészben leírt lépéseket.
4	Ha proxyt állít be a telepítéshez, ismételje meg a A HDS csomópont konfigurálása proxyintegrációhoz című részben leírt lépéseket az új csomóponthoz szükséges módon.
5	Regisztrálja a csomópontot. https://admin.webex.comA részben válassza a Szolgáltatások lehetőséget a képernyő bal oldalán található menüből. A Felhőszolgáltatások részben keresse meg a Hibrid adatbiztonság kártyát, és kattintson a Összes megtekintésegombra. Megjelenik a Hibrid adatbiztonsági erőforrások oldal. Az újonnan létrehozott klaszter megjelenik a Erőforrások oldalon. Kattintson a klaszterre a klaszterhez rendelt csomópontok megtekintéséhez. Kattintson a képernyő jobb oldalán található Csomópont hozzáadása gombra. Adja meg a csomópont belső IP-címét vagy teljes tartománynevét (FQDN), majd kattintson a Hozzáadásgombra. Megnyílik egy üzenet, amely jelzi, hogy regisztrálhatja a csomópontját a Webex felhőbe. Néhány pillanat múlva a rendszer átirányítja a Webex-szolgáltatások csomópont-kapcsolati tesztjeihez. Ha minden teszt sikeres, megjelenik a Hibrid adatbiztonsági csomóponthoz való hozzáférés engedélyezése oldal. Ott megerősítheti, hogy engedélyeket szeretne adni a szervezetének a csomópont eléréséhez. Jelölje be a Hozzáférés engedélyezése a hibrid adatbiztonsági csomóponthoz jelölőnégyzetet, majd kattintson a Folytatásgombra. Fiókját ellenőriztük, és a „Regisztráció kész” üzenet jelzi, hogy a csomópont regisztrálva lett a Webex felhőben. Kattintson a hivatkozásra vagy zárja be a fület a Partner Hub hibrid adatbiztonsági oldalára való visszatéréshez. A Csomópont hozzáadva felugró üzenet a Partnerközpont képernyőjének alján is megjelenik. A csomópont regisztrálva van.

Bérlői szervezetek kezelése többbérlős hibrid adatbiztonsággal

Többbérlős HDS aktiválása a Partner Hub-on

Ez a feladat biztosítja, hogy az ügyfélszervezetek minden felhasználója elkezdhesse használni a HDS-t helyszíni titkosítási kulcsokhoz és egyéb biztonsági szolgáltatásokhoz.

Mielőtt elkezdené

Győződjön meg róla, hogy befejezte a többfelhasználós HDS-fürt beállítását a szükséges számú csomóponttal.

1	Jelentkezzen be ide: https://admin.webex.com.
2	A képernyő bal oldalán található menüből válassza a Szolgáltatásoklehetőséget.
3	A Felhőszolgáltatások részben keresse meg a Hibrid adatbiztonság elemet, és kattintson a Beállítások szerkesztéselehetőségre.
4	Kattintson a HDS aktiválása gombra a HDS állapota kártyán.

Bérlői szervezetek hozzáadása a Partner Hubban

Ebben a feladatban ügyfélszervezeteket rendelhet hozzá a hibrid adatbiztonsági fürthöz.

1	Jelentkezzen be ide: https://admin.webex.com.
2	A képernyő bal oldalán található menüből válassza a Szolgáltatásoklehetőséget.
3	A Felhőszolgáltatások részben keresse meg a Hibrid adatbiztonság elemet, és kattintson az Összes megtekintéselehetőségre.
4	Kattintson arra a klaszterre, amelyhez hozzá szeretné rendelni az ügyfelet.
5	Lépjen a Hozzárendelt ügyfelek fülre.
6	Kattintson az Ügyfelek hozzáadásagombra.
7	Válassza ki a hozzáadni kívánt ügyfelet a legördülő menüből.
8	Kattintson a Hozzáadásgombra, és az ügyfél hozzáadódik a klaszterhez.
9	Ismételje meg a 6–8. lépéseket, ha több ügyfelet szeretne hozzáadni a fürthöz.
10	Miután hozzáadta az ügyfeleket, kattintson a képernyő alján található Kész gombra.

Mi a következő teendő

Futtassa a HDS telepítőeszközt a Ügyfél főkulcsainak (CMK-k) létrehozása a HDS telepítőeszköz használatával című részben leírtak szerint a telepítési folyamat befejezéséhez.

Ügyfél főkulcsok (CMK-k) létrehozása a HDS beállító eszközzel

Mielőtt elkezdené

Rendelje hozzá az ügyfeleket a megfelelő klaszterhez a Bérlői szervezetek hozzáadása a Partner Hubbanrészben részletezettek szerint. Futtassa a HDS telepítőeszközt az újonnan hozzáadott ügyfélszervezetek beállítási folyamatának befejezéséhez.

A HDS Setup eszköz Docker konténerként fut egy helyi gépen. Ha hozzá akarsz férni, futtasd a Dockert azon a gépen. A beállítási folyamathoz a szervezet teljes rendszergazdai jogosultságokkal rendelkező Partner Hub-fiók hitelesítő adatai szükségesek.

Ha a HDS Setup eszköz proxy mögött fut a környezetedben, akkor a 5lépésben a Docker konténer megnyitásakor add meg a proxy beállításokat (kiszolgáló, port, hitelesítő adatok). Ez a táblázat néhány lehetséges környezeti változót tartalmaz:

Leírás	Változó
Http-proxy hitelesítés nélkül	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
HTTPS-proxy hitelesítés nélkül	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
Http-proxy hitelesítéssel	`GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
HTTPS-proxy hitelesítéssel	`GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

A létrehozott konfigurációs ISO-fájl tartalmazza a PostgreSQL vagy a Microsoft SQL Server adatbázist titkosító főkulcsot. A fájl legújabb példányára minden olyan esetben szüksége lesz, amikor konfigurációs módosításokat végez, például az alábbiakat:
- Adatbázis hitelesítő adatok
- Tanúsítványfrissítések
- Változások az engedélyezési szabályzatban
Ha adatbázis-kapcsolatok titkosítását tervezi, állítsa be a PostgreSQL vagy az SQL Server környezetét TLS használatára.

A Hybrid Data Security telepítési folyamata létrehoz egy ISO-fájlt. Ezután az ISO segítségével konfigurálhatja a hibrid adatbiztonsági gazdagépet.

1	A gép parancssorában adja meg a környezetének megfelelő parancsot: Rendszeres környezetben: `docker rmi ciscocitg/hds-setup:stable` FedRAMP környezetben: `docker rmi ciscocitg/hds-setup-fedramp:stable` Ezzel a lépéssel törölhetők a HDS telepítőeszköz korábbi képei. Ha nincsenek korábbi képek, akkor olyan hibát ad vissza, amelyet figyelmen kívül hagyhat.
2	A Docker-képtárba való bejelentkezéshez írja be a következőket: `docker login -u hdscustomersro`
3	A jelszókéréskor írja be ezt a hash-t: `dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo`
4	Töltse le a legfrissebb stabil képet a környezetéről: Rendszeres környezetben: `docker pull ciscocitg/hds-setup:stable` FedRAMP környezetben: `docker pull ciscocitg/hds-setup-fedramp:stable`
5	Amikor a húzás befejeződött, adja meg a környezetének megfelelő parancsot: Rendszeres környezetben, proxy nélkül: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable` Http proxyval rendelkező normál környezetben: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable` Normál HTTPS proxy környezetben: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable` FedRAMP környezetben, proxy nélkül: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable` Http proxyval rendelkező FedRAMP környezetben: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable` FedRAMP környezetben https proxyval: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable` Amikor a konténer fut, az "Express szerver figyeli a 8080-as portot."
6	A telepítőeszköz nem támogatja a localhosthoz való csatlakozást a következőn keresztül: http://localhost:8080. http://127.0.0.1:8080 A paranccsal csatlakozhatsz a localhosthoz. Egy webböngészővel lépjen a localhostra ( `http://127.0.0.1:8080`) , és a parancssorba írja be a Partner Hub rendszergazdai felhasználónevét. Az eszköz a felhasználónév első bejegyzését használja a fiók megfelelő környezetének beállításához. Az eszköz ezután megjeleníti a szokásos bejelentkezési ablakot.
7	Amikor a rendszer kéri, adja meg a Partner Hub rendszergazdai bejelentkezési adatait, majd kattintson a Bejelentkezés gombra a hibrid adatbiztonsághoz szükséges szolgáltatások eléréséhez.
8	A Beállítóeszköz áttekintése oldalon kattintson a Első lépésekgombra.
9	Az ISO importálás oldalon kattintson az Igengombra .
10	Válaszd ki az ISO fájlt a böngészőben, és töltsd fel. A CMK-kezelés végrehajtásához biztosítsa az adatbázishoz való kapcsolódást.
11	Lépjen a Bérlői CMK-kezelés lapra, ahol a következő három módszert találja a bérlői CMK-k kezelésére. CMK létrehozása az összes szervezet számára vagy CMK létrehozása - Kattintson erre a gombra a képernyő tetején található szalagcímen, ha CMK-kat szeretne létrehozni az összes újonnan hozzáadott szervezet számára. Kattintson a képernyő jobb oldalán található CMK-k kezelése gombra, majd a CMK-k létrehozása gombra az összes újonnan hozzáadott szervezet CMK-jainak létrehozásához. Kattintson a … elemre egy adott szervezet CMK-kezelés függőben állapota mellett a táblázatban, majd kattintson a CMK létrehozása gombra a CMK létrehozásához az adott szervezet számára.
12	Amint a CMK létrehozása sikeres volt, a táblázatban az állapot CMK kezelés függőben értékről CMK kezelveértékre változik.
13	Ha a CMK létrehozása sikertelen, hibaüzenet jelenik meg.

Bérlői szervezetek eltávolítása

Mielőtt elkezdené

Az eltávolítást követően az ügyfélszervezetek felhasználói nem tudják majd használni a HDS-t titkosítási igényeik kielégítésére, és elveszítik az összes meglévő tárhelyet. Ügyfélszervezetek eltávolítása előtt kérjük, vegye fel a kapcsolatot Cisco partnerével vagy ügyfélkapcsolati menedzserével.

1	Jelentkezzen be ide: https://admin.webex.com.
2	A képernyő bal oldalán található menüből válassza a Szolgáltatásoklehetőséget.
3	A Felhőszolgáltatások részben keresse meg a Hibrid adatbiztonság elemet, és kattintson az Összes megtekintéselehetőségre.
4	Az Erőforrások lapon kattintson arra a klaszterre, amelyből el szeretné távolítani az ügyfélszervezeteket.
5	A megnyíló oldalon kattintson a Hozzárendelt ügyfeleklehetőségre.
6	A megjelenített ügyfélszervezetek listájából kattintson az eltávolítani kívánt ügyfélszervezet jobb oldalán található ... elemre, majd kattintson az Eltávolítás a klaszterbőlgombra.

Mi a következő teendő

Fejezze be az eltávolítási folyamatot az ügyfél-szervezetek CMK-jainak visszavonásával a HDS-ből eltávolított bérlők CMK-jainak visszavonása című részben részletezettek szerint.

A HDS-ből eltávolított bérlők CMK-jainak visszavonása.

Mielőtt elkezdené

Távolítsa el az ügyfeleket a megfelelő klaszterből a Bérlő szervezetek eltávolításarészben részletezettek szerint. Futtassa a HDS telepítőeszközt az eltávolított ügyfél-szervezetek eltávolítási folyamatának befejezéséhez.

A HDS Setup eszköz Docker konténerként fut egy helyi gépen. Ha hozzá akarsz férni, futtasd a Dockert azon a gépen. A beállítási folyamathoz a szervezet teljes rendszergazdai jogosultságokkal rendelkező Partner Hub-fiók hitelesítő adatai szükségesek.

Ha a HDS Setup eszköz proxy mögött fut a környezetedben, akkor a 5lépésben a Docker konténer megnyitásakor add meg a proxy beállításokat (kiszolgáló, port, hitelesítő adatok). Ez a táblázat néhány lehetséges környezeti változót tartalmaz:

Leírás	Változó
Http-proxy hitelesítés nélkül	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
HTTPS-proxy hitelesítés nélkül	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
Http-proxy hitelesítéssel	`GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
HTTPS-proxy hitelesítéssel	`GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

A létrehozott konfigurációs ISO-fájl tartalmazza a PostgreSQL vagy a Microsoft SQL Server adatbázist titkosító főkulcsot. A fájl legújabb példányára minden olyan esetben szüksége lesz, amikor konfigurációs módosításokat végez, például az alábbiakat:
- Adatbázis hitelesítő adatok
- Tanúsítványfrissítések
- Változások az engedélyezési szabályzatban
Ha adatbázis-kapcsolatok titkosítását tervezi, állítsa be a PostgreSQL vagy az SQL Server környezetét TLS használatára.

A Hybrid Data Security telepítési folyamata létrehoz egy ISO-fájlt. Ezután az ISO segítségével konfigurálhatja a hibrid adatbiztonsági gazdagépet.

1	A gép parancssorában adja meg a környezetének megfelelő parancsot: Rendszeres környezetben: `docker rmi ciscocitg/hds-setup:stable` FedRAMP környezetben: `docker rmi ciscocitg/hds-setup-fedramp:stable` Ezzel a lépéssel törölhetők a HDS telepítőeszköz korábbi képei. Ha nincsenek korábbi képek, akkor olyan hibát ad vissza, amelyet figyelmen kívül hagyhat.
2	A Docker-képtárba való bejelentkezéshez írja be a következőket: `docker login -u hdscustomersro`
3	A jelszókéréskor írja be ezt a hash-t: `dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo`
4	Töltse le a legfrissebb stabil képet a környezetéről: Rendszeres környezetben: `docker pull ciscocitg/hds-setup:stable` FedRAMP környezetben: `docker pull ciscocitg/hds-setup-fedramp:stable`
5	Amikor a húzás befejeződött, adja meg a környezetének megfelelő parancsot: Rendszeres környezetben, proxy nélkül: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable` Http proxyval rendelkező normál környezetben: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable` Normál HTTPS proxy környezetben: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable` FedRAMP környezetben, proxy nélkül: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable` Http proxyval rendelkező FedRAMP környezetben: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable` FedRAMP környezetben https proxyval: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable` Amikor a konténer fut, az "Express szerver figyeli a 8080-as portot."
6	A telepítőeszköz nem támogatja a localhosthoz való csatlakozást a következőn keresztül: http://localhost:8080. http://127.0.0.1:8080 A paranccsal csatlakozhatsz a localhosthoz. Egy webböngészővel lépjen a localhostra ( `http://127.0.0.1:8080`) , és a parancssorba írja be a Partner Hub rendszergazdai felhasználónevét. Az eszköz a felhasználónév első bejegyzését használja a fiók megfelelő környezetének beállításához. Az eszköz ezután megjeleníti a szokásos bejelentkezési ablakot.
7	Amikor a rendszer kéri, adja meg a Partner Hub rendszergazdai bejelentkezési adatait, majd kattintson a Bejelentkezés gombra a hibrid adatbiztonsághoz szükséges szolgáltatások eléréséhez.
8	A Beállítóeszköz áttekintése oldalon kattintson a Első lépésekgombra.
9	Az ISO importálás oldalon kattintson az Igengombra .
10	Válaszd ki az ISO fájlt a böngészőben, és töltsd fel.
11	Lépjen a Bérlői CMK-kezelés lapra, ahol a következő három módszert találja a bérlői CMK-k kezelésére. CMK visszavonása az összes szervezetre vagy CMK visszavonása - Kattintson erre a gombra a képernyő tetején található szalagcímen az összes eltávolított szervezet CMK-jának visszavonásához. Kattintson a képernyő jobb oldalán található CMK-k kezelése gombra, majd a CMK-k visszavonása gombra az összes eltávolított szervezet CMK-jának visszavonásához. Kattintson a táblázatban egy adott szervezetCMK állapotának visszavonásához kattintson a … gombra, majd kattintson a CMK visszavonása gombra az adott szervezet CMK-jának visszavonásához.
12	A CMK visszavonásának sikeres befejezése után az ügyfél szervezete többé nem jelenik meg a táblázatban.
13	Ha a CMK visszavonása sikertelen, hibaüzenet jelenik meg.

Hibrid adatbiztonsági telepítés tesztelése

Ezzel az eljárással tesztelheti a többfelhasználós hibrid adatbiztonsági titkosítási forgatókönyveket.

Mielőtt elkezdené

Állítsa be a többfelhasználós hibrid adatbiztonsági telepítését.
Győződjön meg arról, hogy hozzáfér a rendszernaplóhoz, és ellenőrizheti, hogy a kulcsfontosságú kérések átjutnak-e a többfelhasználós hibrid adatbiztonsági környezetbe.

1

Egy adott tér kulcsait a tér létrehozója állítja be. Jelentkezzen be a Webex alkalmazásba az ügyfélszervezet egyik felhasználójaként, majd hozzon létre egy teret.

Ha inaktiválja a hibrid adatbiztonsági telepítést, a felhasználók által létrehozott tárolóhelyeken lévő tartalom a titkosítási kulcsok ügyfél által gyorsítótárazott másolatainak lecserélése után már nem lesz elérhető.

2

Üzeneteket küldhetsz az új helyre.

3

A syslog kimenetének ellenőrzésével győződjön meg arról, hogy a kulcskérések átkerülnek a hibrid adatbiztonsági telepítéshez.

Ha egy újonnan hozzáadott ügyfélszervezet felhasználója bármilyen műveletet végrehajt, a szervezet szervezeti azonosítója megjelenik a naplókban, és ez felhasználható annak ellenőrzésére, hogy a szervezet többfelhasználós HDS-t használ-e. Ellenőrizd a kms.data.orgId értékét a rendszernaplókban.

Annak ellenőrzéséhez, hogy egy felhasználó először biztonságos csatornát létesít-e a KMS-hez, szűrjön a kms.data.method=create és kms.data.type=EPHEMERAL_KEY_COLLECTIONparaméterekre. :

Egy ehhez hasonló bejegyzést kell találnia (az azonosítók az olvashatóság kedvéért rövidítve):

2025-04-10 04:38:20.208 (+0000) INFO  KMS [pool-19-thread-13] - [KMS:REQUEST] received, deviceId: 
https://wdm-a.wbx2.com/wdm/api/v1/devices/4[~]5 ecdheKid: kms://collabdemoorg.cisco.com/statickeys/8[~]3 
clusterConnection: prodachm::0 orgId: 2[~]b (EncryptionKmsMessageHandler.java:558) WEBEX_TRACKINGID=webex-web-client_0[~]6,
 kms.data.method=create, kms.merc.id=d[~]7, kms.merc.sync=false, kms.data.uriHost=collabdemoorg.cisco.com, 
kms.data.type=EPHEMERAL_KEY_COLLECTION, kms.data.requestId=1[~]f, kms.data.orgId=2[~]b,
 kms.data.uri=kms://collabdemoorg.cisco.com/ecdhe, kms.data.userId=1[~]f, kms.data.httpUserAgent=[~]

Ha egy felhasználó meglévő kulcsot kér a KMS-től, szűrjön kms.data.method=retrieve a és kms.data.type=KEYparaméterekre. :

Olyan bejegyzést kell találnod, mint:

2025-04-10 04:38:24.144 (+0000) INFO  KMS [pool-19-thread-26] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/4[~]5
 ecdheKid: kms://collabdemoorg.cisco.com/ecdhe/b[~]9 clusterConnection: prodachm::0 orgId: 2[~]b (EncryptionKmsMessageHandler.java:558)
 WEBEX_TRACKINGID=webex-web-client_0[~]0, kms.data.method=retrieve, kms.merc.id=5[~]3, kms.merc.sync=false,
 kms.data.uriHost=collabdemoorg.cisco.com, kms.data.type=KEY, kms.data.requestId=4[~]7, kms.data.orgId=2[~]b,
 kms.data.uri=kms://collabdemoorg.cisco.com/keys/2[~]e, kms.data.userId=1[~]f, kms.data.httpUserAgent=[~]

Új KMS-kulcs létrehozását kérő felhasználó kereséséhez szűrjön kms.data.method=create a és kms.data.type=KEY_COLLECTIONkarakterekre. :

Olyan bejegyzést kell találnod, mint:

2025-04-10 04:42:22.739 (+0000) INFO  KMS [pool-19-thread-29] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/4[~]5
 ecdheKid: kms://collabdemoorg.cisco.com/ecdhe/b[~]9 clusterConnection: prodachm::7 orgId: 2[~]b
 (EncryptionKmsMessageHandler.java:558) WEBEX_TRACKINGID=webex-web-client_0[~]3, kms.data.method=create, 
kms.merc.id=6[~]4, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, kms.data.requestId=6[~]4, 
kms.data.orgId=2[~]b, kms.data.uri=/keys, kms.data.userId=1[~]f, kms.data.httpUserAgent=[~]

Ha egy felhasználó új KMS-erőforrás-objektum (KRO) létrehozását kéri, amikor egy területet vagy más védett erőforrást hoznak létre, szűrjön kms.data.method=create a és kms.data.type=RESOURCE_COLLECTIONparaméterekre. :

Olyan bejegyzést kell találnod, mint:

2025-04-10 04:42:23.690 (+0000) INFO  KMS [pool-19-thread-31] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/3[~]6 ecdheKid: kms://collabdemoorg.cisco.com/ecdhe/b[~]9 
clusterConnection: prodachm::1 orgId: 2[~]b (EncryptionKmsMessageHandler.java:558) WEBEX_TRACKINGID=webex-web-client_0[~]2,
 kms.data.method=create, kms.merc.id=3[~]0, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
kms.data.requestId=5[~]8, kms.data.orgId=2[~]b, kms.data.uri=/resources, kms.data.userId=1[~]f, kms.data.httpUserAgent=conversation

Hibrid adatbiztonsági állapot figyelése

A Partner Hub-on belüli állapotjelző megmutatja, hogy minden rendben van-e a többfelhasználós hibrid adatbiztonsági telepítéssel. A proaktívabb értesítésekért iratkozzon fel e-mail értesítésekre. Értesítést kap, ha szolgáltatást befolyásoló riasztások vagy szoftverfrissítések jelennek meg.

1	A Partnerközpontbanválassza a Szolgáltatások lehetőséget a képernyő bal oldalán található menüből.
2	A Felhőszolgáltatások részben keresse meg a Hibrid adatbiztonság elemet, és kattintson a Beállítások szerkesztéselehetőségre. Megjelenik a Hibrid adatbiztonsági beállítások oldal.
3	Az E-mail értesítések részben írjon be egy vagy több e-mail címet vesszővel elválasztva, majd nyomja meg az Enterbillentyűt.

HDS telepítés kezelése

Az itt leírt feladatokat használhatja a hibrid adatbiztonsági telepítés kezeléséhez.

Fürtfrissítési ütemterv beállítása

A Hybrid Data Security szoftverfrissítései automatikusan, fürtszinten történnek, ami biztosítja, hogy minden csomóponton mindig ugyanaz a szoftververzió fusson. A frissítések a fürt frissítési ütemtervének megfelelően történnek. Amikor elérhetővé válik egy szoftverfrissítés, lehetősége van manuálisan frissíteni a fürtöt a tervezett frissítési időpont előtt. Beállíthat egy adott frissítési ütemtervet, vagy használhatja az alapértelmezett ütemtervet. 3:00 AM Daily Egyesült Államok: America/Los Angeles. Szükség esetén elhalaszthatja a közelgő frissítést is.

A frissítési ütemterv beállításához:

1	Jelentkezzen be a Partner Hub szolgáltatásba.
2	A képernyő bal oldalán található menüből válassza a Szolgáltatásoklehetőséget.
3	A Felhőszolgáltatások részben keresse meg a Hibrid adatbiztonság elemet, és kattintson a Beállításlehetőségre.
4	A Hibrid adatbiztonsági erőforrások oldalon válassza ki a fürtöt.
5	Kattintson a Klaszterbeállítások fülre.
6	A Fürtbeállítások oldalon, a Frissítési ütemterv területen válassza ki a frissítési ütemterv időpontját és időzónáját. Megjegyzés: Az időzóna alatt a következő elérhető frissítési dátum és időpont jelenik meg. Szükség esetén a frissítést a következő napra is elhalaszthatja a Elhalasztás 24 órávalgombra kattintva.

A csomópont konfigurációjának módosítása

Előfordulhat, hogy időnként módosítania kell a hibrid adatbiztonsági csomópont konfigurációját olyan okok miatt, mint például:

Az x.509 tanúsítványok módosítása lejárati vagy egyéb okok miatt.

Nem támogatjuk a tanúsítvány CN domain nevének megváltoztatását. A domainnek egyeznie kell a fürt regisztrálásához használt eredeti domainnel.
Adatbázis-beállítások frissítése a PostgreSQL vagy a Microsoft SQL Server adatbázis kópiájára való váltáshoz.

Nem támogatjuk az adatok áttelepítését PostgreSQL-ről Microsoft SQL Server-re, vagy fordítva. Az adatbázis-környezet megváltoztatásához indítsa el a Hybrid Data Security új telepítését.
Új konfiguráció létrehozása új adatközpont előkészítéséhez.

Biztonsági okokból a Hybrid Data Security kilenc hónapos élettartamú szolgáltatási fiókjelszavakat is használ. Miután a HDS telepítőeszköz létrehozza ezeket a jelszavakat, az ISO konfigurációs fájlban minden HDS-csomópontra telepíti őket. Amikor a szervezet jelszavai a lejárathoz közelednek, értesítést kap a Webex csapatától a gépfiók jelszavának visszaállításáról. (Az e-mail tartalmazza a szöveget: "Használja a gép fiók API frissíteni a jelszót.") Ha jelszavai még nem jártak le, az eszköz két lehetőséget kínál:

Szoftveres újraindítás— A régi és az új jelszó egyaránt akár 10 napig is működik. Használja ezt az időszakot a csomópontok ISO-fájljának fokozatos cseréjére.
Hard reset— A régi jelszavak azonnal nem működnek.

Ha jelszavai alaphelyzetbe állítás nélkül járnak le, az hatással van a HDS-szolgáltatásra, és az összes csomóponton az ISO-fájl azonnali hardveres alaphelyzetbe állítását és cseréjét igényli.

Használja ezt az eljárást egy új konfigurációs ISO-fájl létrehozásához és alkalmazásához a fürtön.

Mielőtt elkezdené

A HDS Setup eszköz Docker konténerként fut egy helyi gépen. Ha hozzá akarsz férni, futtasd a Dockert azon a gépen. A beállítási folyamathoz Partner Hub-fiók hitelesítő adatai szükségesek, teljes partneri rendszergazdai jogosultságokkal.

Ha nem rendelkezik Docker Desktop licenccel, a Podman Desktop segítségével futtathatja a HDS Setup eszközt az alábbi eljárás 1.a–1.e lépéseihez. A részletekért lásd: Futtassa a HDS Setup eszközt a Podman Desktop használatával.

Ha a HDS Setup eszköz proxy mögött fut a környezetedben, akkor a proxy beállításokat (kiszolgáló, port, hitelesítő adatok) a Docker környezeti változókon keresztül kell megadni, amikor a Docker konténert megnyitod a 1.emappában. Ez a táblázat néhány lehetséges környezeti változót tartalmaz:

Leírás	Változó
Http-proxy hitelesítés nélkül	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
HTTPS-proxy hitelesítés nélkül	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
Http-proxy hitelesítéssel	`GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
HTTPS-proxy hitelesítéssel	`GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

Új konfiguráció létrehozásához az aktuális konfigurációs ISO-fájl másolata szükséges. Az ISO tartalmazza a PostgreSQL vagy Microsoft SQL Server adatbázist titkosító mesterkulcsot. Konfiguráció-módosításkor, beleértve az adatbázis-hitelesítő adatokat, a tanúsítványok frissítését vagy az engedélyezési irányelv módosítását, ISO-szabványra van szüksége.

1	A Docker helyi gépen történő használata esetén futtassa a HDS Setup Tool alkalmazást. A gép parancssorában adja meg a környezetének megfelelő parancsot: Rendszeres környezetben: `docker rmi ciscocitg/hds-setup:stable` FedRAMP környezetben: `docker rmi ciscocitg/hds-setup-fedramp:stable` Ezzel a lépéssel törölhetők a HDS telepítőeszköz korábbi képei. Ha nincsenek korábbi képek, akkor olyan hibát ad vissza, amelyet figyelmen kívül hagyhat. A Docker-képtárba való bejelentkezéshez írja be a következőket: `docker login -u hdscustomersro` A jelszókéréskor írja be ezt a hash-t: `dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo` Töltse le a legfrissebb stabil képet a környezetéről: Rendszeres környezetben: `docker pull ciscocitg/hds-setup:stable` FedRAMP környezetben: `docker pull ciscocitg/hds-setup-fedramp:stable` Győződjön meg róla, hogy az eljáráshoz a legújabb telepítőeszközt választotta. Az eszköz 2018. február 22. előtt létrehozott verziói nem rendelkeznek jelszó-visszaállító képernyővel. Amikor a húzás befejeződött, adja meg a környezetének megfelelő parancsot: Rendszeres környezetben, proxy nélkül: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable` Http proxyval rendelkező normál környezetben: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable` Rendszeres környezetben, HTTPSproxyval: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable` FedRAMP környezetben, proxy nélkül: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable` Http proxyval rendelkező FedRAMP környezetben: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable` FedRAMP környezetben https proxyval: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable` Amikor a konténer fut, az "Express szerver figyeli a 8080-as portot." Használjon böngészőt a localhosthoz való `http://127.0.0.1:8080`csatlakozáshoz. A telepítőeszköz nem támogatja a localhosthoz való csatlakozást a következőn keresztül: http://localhost:8080. http://127.0.0.1:8080 A paranccsal csatlakozhatsz a localhosthoz. Amikor a rendszer kéri, adja meg a Partner Hub ügyfél-bejelentkezési hitelesítő adatait, majd kattintson az Elfogadom gombra a folytatáshoz. Importálja az aktuális konfigurációs ISO-fájlt. Kövesse a figyelmeztetéseket az eszköz befejezéséhez és a frissített fájl letöltéséhez. A telepítőeszköz leállításához írja be `CTRL+C`a karaktereket. Készítsen biztonsági másolatot a frissített fájlról egy másik adatközpontban.
2	Ha csak egy HDS csomópont fut, hozzon létre egy új Hybrid Data Security csomópont virtuális gépet, és regisztrálja azt az új konfigurációs ISO fájl használatával. Részletesebb utasításokért lásd: További csomópontok létrehozása és regisztrálása. Telepítse a HDS GAZDAPETEFÉSZKET. A HDS VM beállítása. Csatolja a frissített konfigurációs fájlt. Regisztrálja az új csomópontot a Partner Hubban.
3	A régebbi konfigurációs fájlt futtató HDS-csomópontok esetében csatlakoztassa az ISO-fájlt. Végezze el a következő eljárást minden csomóponton, majd frissítse az egyes csomópontokat, mielőtt kikapcsolná a következő csomópontot: Kapcsolja ki a virtuális gépet. A VMware vSphere kliens bal oldali navigációs ablakában kattintson jobb gombbal a VM-re, majd kattintson a Beállítások szerkesztése lehetőségre. Kattintson `CD/DVD Drive 1`a gombra, válassza az ISO-fájlból történő csatlakoztatás lehetőségét, és keresse meg azt a helyet, ahová letöltötte az új konfigurációs ISO-fájlt. Bekapcsoláskor ellenőrizze a csatlakoztatást. Mentsd el a módosításokat és az energiát a virtuális gépen.
4	Ismételje meg a 3. lépést a konfiguráció cseréjéhez a régi konfigurációt futtató minden megmaradt csomóponton.

A blokkolt külső DNS-feloldási mód kikapcsolása

Amikor regisztrál egy csomópontot, vagy ellenőrzi a csomópont proxykonfigurációját, a folyamat teszteli a DNS-ellenőrzést és a Cisco Webex felhővel való kapcsolatot. Ha a csomópont DNS-kiszolgálója nem tudja feloldani a nyilvános DNS-neveket, a csomópont automatikusan blokkolt külső DNS-feloldási módba lép.

Ha a csomópontok képesek feloldani a nyilvános DNS-neveket a belső DNS-kiszolgálókon keresztül, kikapcsolhatja ezt a módot az egyes csomópontok proxykapcsolati tesztjének újrafuttatásával.

Mielőtt elkezdené

Győződjön meg arról, hogy a belső DNS-kiszolgálók képesek megoldani a nyilvános DNS-neveket, és hogy a csomópontok képesek kommunikálni velük.

1	Webböngészőben nyissa meg a hibrid adatbiztonsági csomópont felületét (például IP-cím/beállítás https://192.0.2.0/setup), adja meg a csomóponthoz beállított rendszergazdai hitelesítő adatokat, majd kattintson a Bejelentkezésgombra.
2	Lépjen az Áttekintés (az alapértelmezett lap) oldalra. Ha engedélyezve van, a letiltott külső DNS-felbontás igen értékre van állítva.
3	Lépjen a Megbízhatósági áruház és proxy oldalra.
4	Kattintson a Proxykapcsolat ellenőrzéseelemre. Ha olyan üzenet jelenik meg, amely szerint a külső DNS-felbontás nem sikerült, a csomópont nem tudta elérni a DNS-kiszolgálót, és ebben a módban marad. Ellenkező esetben a csomópont újraindítása és az Áttekintés lapra való visszalépés után a blokkolt külső DNS-felbontást nemre kell állítani.

Mi a következő lépés

Ismételje meg a proxykapcsolati tesztet a hibrid adatbiztonsági fürt minden csomópontján.

Csomópont eltávolítása

Ezzel az eljárással távolíthat el egy hibrid adatbiztonsági csomópontot a Webex felhőből. Miután eltávolította a csomópontot a fürtből, törölje a virtuális gépet, hogy megakadályozza a biztonsági adatokhoz való további hozzáférést.

1

A számítógépén található VMware vSphere kliens segítségével jelentkezzen be az ESXi virtuális gépre, és kapcsolja ki a virtuális gépet.

2

Távolítsa el a csomópontot:

Jelentkezzen be a Partner Hubba, majd válassza a Szolgáltatásoklehetőséget.
A Hibrid adatbiztonság kártyán kattintson az Összes megtekintése gombra a Hibrid adatbiztonsági erőforrások oldal megjelenítéséhez.
Válassza ki a klasztert az Áttekintés panel megjelenítéséhez.
Kattintson az eltávolítani kívánt csomópontra.
Kattintson a jobb oldalon megjelenő panelen a Csomópont regisztrációjának törlése lehetőségre.
A csomópont regisztrációját a csomópont jobb oldalán található … elemre kattintva, majd a Csomópont eltávolításalehetőség kiválasztásával is törölheti.

3

A vSphere kliensben törölje a virtuális gépet. (A bal oldali navigációs panelen kattintson jobb gombbal a virtuális gépre, majd válassza a Törléslehetőséget.)

Ha nem törli a virtuális gépet, ne felejtse el leválasztani a konfigurációs ISO-fájlt. Az ISO fájl nélkül nem használhatja a virtuális gépet a biztonsági adatok eléréséhez.

Katasztrófa utáni helyreállítás a Standby Data Center segítségével

A hibrid adatbiztonsági klaszter által nyújtott legfontosabb szolgáltatás a Webex felhőben tárolt üzenetek és egyéb tartalmak titkosításához használt kulcsok létrehozása és tárolása. A szervezeten belüli minden olyan felhasználó esetében, aki hozzá van rendelve a Hybrid Data Security szolgáltatáshoz, az új kulcslétrehozási kérelmek a fürthöz lesznek irányítva. A klaszter felelős azért is, hogy a létrehozott kulcsokat visszaadja minden olyan felhasználónak, aki jogosult azok lekérésére, például egy beszélgetési tér tagjainak.

Mivel a klaszter végzi ezen kulcsok biztosításának kritikus funkcióját, elengedhetetlen, hogy a klaszter folyamatosan működjön, és megfelelő biztonsági mentések legyenek karbantartva. A Hybrid Data Security adatbázis vagy a sémához használt konfigurációs ISO elvesztése az ügyfél tartalmának HELYREHOZHATATLAN VESZTÉSÉT eredményezi. Az ilyen veszteségek megelőzése érdekében a következő gyakorlatok kötelezőek:

Ha egy katasztrófa miatt a HDS telepítése az elsődleges adatközpontban elérhetetlenné válik, kövesse az alábbi eljárást a készenléti adatközpontba való manuális átálláshoz.

Mielőtt elkezdené

Törölje az összes csomópont regisztrációját a Partner Hubból a Csomópont eltávolításarészben leírtak szerint. Az alább említett feladatátvételi eljárás végrehajtásához használja a korábban aktív fürt csomópontjaihoz konfigurált legújabb ISO-fájlt.

1	Indítsa el a HDS Setup eszközt, és kövesse a Konfigurációs ISO létrehozása a HDS-állomásokhozcímű részben említett lépéseket.
2	Fejezze be a konfigurációs folyamatot, és mentse el az ISO fájlt egy könnyen megtalálható helyre.
3	Készítsen biztonsági másolatot az ISO fájlról a helyi rendszeren. Tartsa biztonságban a biztonsági másolatot. Ez a fájl egy mester titkosítási kulcsot tartalmaz az adatbázis tartalmához. Korlátozza a hozzáférést csak azokra a hibrid adatbiztonsági rendszergazdákra, akiknek konfigurációs módosításokat kell végezniük.
4	A VMware vSphere kliens bal oldali navigációs ablakában kattintson jobb gombbal a VM-re, majd kattintson a Beállítások szerkesztése lehetőségre.
5	Kattintson a Beállítások szerkesztése gombra >CD/DVD 1. meghajtó és válassza az Adattár ISO-fájl lehetőséget. Győződjön meg arról, hogy a Csatlakoztatva és a Csatlakozás bekapcsoláskor jelölőnégyzetek be vannak jelölve, hogy a frissített konfigurációs módosítások a csomópontok indítása után érvénybe léphessenek.
6	Kapcsolja be a HDS csomópontot, és győződjön meg arról, hogy legalább 15 percig nincsenek riasztások.
7	Regisztrálja a csomópontot a Partner hubban. Lásd Regisztrálja az első csomópontot a fürtben.
8	Ismételje meg a folyamatot a készenléti adatközpont minden csomópontjánál.

Mi a következő teendő

Feladatátvétel után, ha az elsődleges adatközpont ismét aktívvá válik, törölje a készenléti adatközpont csomópontjainak regisztrációját, és ismételje meg az ISO konfigurálásának és az elsődleges adatközpont csomópontjainak regisztrációjának folyamatát a fent említett módon.

(Opcionális) ISO leválasztása a HDS konfigurációja után

A standard HDS konfiguráció ISO-val felszerelve fut. Néhány ügyfél azonban inkább nem hagyja folyamatosan csatolva az ISO-fájlokat. Az ISO fájlt lecsatolhatod, miután az összes HDS csomópont felvette az új konfigurációt.

Továbbra is az ISO fájlokat használja a konfigurációs módosításokhoz. Amikor új ISO-t hoz létre vagy frissít egy ISO-t a Setup Tool segítségével, a frissített ISO-t az összes HDS csomópontra fel kell csatolnia. Miután az összes csomópont felismerte a konfigurációs változtatásokat, ezzel az eljárással újra leválaszthatja az ISO-t.

Mielőtt elkezdené

Frissítse az összes HDS csomópontját a 2021.01.22.4720-as vagy újabb verzióra.

1	Kapcsolj ki egy HDS csomópontot.
2	A vCenter Server Appliance-ben válassza ki a HDS csomópontot.
3	Válassza a Beállítások szerkesztése lehetőséget > CD/DVD meghajtó és törölje a jelölést a Datastore ISO Filejelöléséből .
4	Kapcsolja be a HDS csomópontot, és győződjön meg arról, hogy legalább 20 percig nincsenek riasztások.
5	Ismételd meg minden HDS csomópontnál egymás után.

Hibrid adatbiztonsági hibák elhárítása

Riasztások megtekintése és hibaelhárítás

Egy hibrid adatbiztonsági telepítés akkor tekinthető elérhetetlennek, ha a fürt összes csomópontja elérhetetlen, vagy a fürt olyan lassan működik, hogy időtúllépési kéréseket küld. Ha a felhasználók nem tudják elérni a hibrid adatbiztonsági fürtöt, a következő tüneteket tapasztalják:

Új szóközök nem hozhatók létre (új kulcsok nem hozhatók létre)
Üzenetek és területnevek visszafejtése sikertelen a következőhöz:
- Új felhasználók kerültek hozzáadásra egy helyiséghez (kulcsok lekérése sikertelen)
- Meglévő felhasználók egy új klienst használó térben (kulcsok lekérése sikertelen)
A meglévő felhasználók egy adott területen továbbra is sikeresen futnak, amíg az ügyfeleik rendelkeznek a titkosítási kulcsok gyorsítótárával.

Fontos, hogy megfelelően figyelje a hibrid adatbiztonsági fürtöt, és azonnal reagáljon minden riasztásra a szolgáltatás megszakadásának elkerülése érdekében.

Riasztások

Ha probléma van a hibrid adatbiztonság beállításával, a Partner Hub riasztásokat jelenít meg a szervezet rendszergazdájának, és e-maileket küld a konfigurált e-mail címre. A riasztások számos gyakori forgatókönyvet lefednek.

1. táblázat. Gyakori problémák és megoldásuk lépései
Riasztás	Művelet
Helyi adatbázis-hozzáférés sikertelen.	Keressen adatbázishibákat vagy helyi hálózati problémákat.
Helyi adatbázis-kapcsolati hiba.	Ellenőrizze, hogy az adatbázis-kiszolgáló elérhető-e, és hogy a megfelelő szolgáltatásfiók-hitelesítő adatokat használta-e a csomópont konfigurációjában.
Felhőszolgáltatás-hozzáférési hiba.	Ellenőrizze, hogy a csomópontok hozzáférhetnek-e a Webex-kiszolgálókhoz a Külső csatlakozási követelményekrészben meghatározottak szerint.
Felhőszolgáltatás-regisztráció megújítása.	A felhőszolgáltatások regisztrációja megszakadt. A regisztráció megújítása folyamatban van.
A felhőszolgáltatás regisztrációja megszakadt.	A felhőszolgáltatásokhoz való regisztráció megszakadt. A szolgáltatás leáll.
A szolgáltatás még nincs aktiválva.	Aktiválja a HDS-t a Partner Hub-ban.
A konfigurált domain nem egyezik a szerver tanúsítványával.	Győződjön meg arról, hogy a szervertanúsítvány megegyezik a konfigurált szolgáltatásaktiválási tartománnyal. A legvalószínűbb ok az, hogy a tanúsítvány CN-jét nemrégiben módosították, és most eltér a kezdeti beállítás során használt CN-től.
Nem sikerült hitelesíteni magát a felhőszolgáltatásokban.	Ellenőrizze a szolgáltatásfiók hitelesítő adatainak pontosságát és esetleges lejáratát.
Nem sikerült megnyitni a helyi kulcstároló fájlt.	Ellenőrizze a helyi kulcstároló fájl integritását és jelszó pontosságát.
A helyi szerver tanúsítványa érvénytelen.	Ellenőrizze a szervertanúsítvány lejárati dátumát, és erősítse meg, hogy megbízható hitelesítésszolgáltató állította ki.
Nem sikerült közzétenni a mutatókat.	Ellenőrizze a helyi hálózat hozzáférését a külső felhőszolgáltatásokhoz.
/media/configdrive/hds A könyvtár nem létezik.	Ellenőrizd az ISO-illesztőprogram konfigurációját a virtuális gépen. Ellenőrizze, hogy az ISO fájl létezik-e, hogy be van-e állítva az újraindításkor történő csatlakoztatás, és hogy a csatlakoztatás sikeresen megtörtént-e.
A hozzáadott szervezetek bérlői szervezetének beállítása nem fejeződött be.	Fejezze be a beállítást az újonnan hozzáadott bérlői szervezetek CMK-jainak létrehozásával a HDS Setup Tool segítségével.
A bérlői szervezet beállítása nem fejeződött be az eltávolított szervezetek esetében.	A beállítás befejezéséhez vonja vissza a HDS Setup Tool segítségével eltávolított bérlői szervezetek CMK-it.

Hibrid adatbiztonsági hibák elhárítása

A hibrid adatbiztonsággal kapcsolatos problémák elhárításakor a következő általános irányelveket kövesse.

1	Tekintse át a Partnerközpontot az esetleges riasztásokért, és javítsa ki az ott talált hibákat. Lásd az alábbi képet referenciaként.
2	Tekintse át a syslog-kiszolgáló kimenetét a hibrid adatbiztonsági központi telepítésből származó tevékenységek szempontjából. Szűrj olyan szavakra, mint a „Figyelmeztetés” és a „Hiba”, hogy segíts a hibaelhárításban.
3	Lépjen kapcsolatba a Cisco ügyfélszolgálatával.

Egyéb megjegyzések

Ismert problémák a hibrid adatbiztonsággal kapcsolatban

Ha leállítja a Hybrid Data Security klasztert (a Partner Hubban történő törléssel vagy az összes csomópont leállításával), elveszíti a konfigurációs ISO-fájlt, vagy elveszíti a hozzáférést a kulcstár adatbázishoz, az ügyfélszervezetek Webex App felhasználói a továbbiakban nem használhatják a Személyek listájuk alatti, a KMS-ből származó kulcsokkal létrehozott szóközöket. Jelenleg nincs megoldásunk vagy javításunk erre a problémára, és arra kérjük, hogy ne állítsa le a HDS-szolgáltatásokat, miután azok aktív felhasználói fiókokat kezelnek.
Egy kliens, amelynek meglévő ECDH-kapcsolata van egy KMS-sel, egy ideig (valószínűleg egy órán át) fenntartja ezt a kapcsolatot.

Futtassa a HDS telepítőeszközt a Podman Desktop segítségével

A Podman egy ingyenes és nyílt forráskódú konténerkezelő eszköz, amely lehetőséget biztosít konténerek futtatására, kezelésére és létrehozására. A Podman Desktop letölthető https://podman-desktop.io/downloadsa címről.

A HDS Setup eszköz Docker konténerként fut egy helyi gépen. Az eléréséhez töltse le és futtassa a Podmant az adott gépen. A beállítási folyamathoz a szervezet teljes rendszergazdai jogával rendelkező Control Hub-fiók hitelesítő adataira van szükség.

Ha a HDS telepítőeszköz proxy mögött fut a környezetében, akkor a Docker-tároló 5. lépésben történő megnyitásakor adja meg a proxy beállításait (kiszolgáló, port, hitelesítő adatok) a Docker környezeti változókon keresztül. Ez a táblázat néhány lehetséges környezeti változót tartalmaz:

Leírás	Változó
Http-proxy hitelesítés nélkül	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
HTTPS-proxy hitelesítés nélkül	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
Http-proxy hitelesítéssel	`GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
HTTPS-proxy hitelesítéssel	`GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

A létrehozott konfigurációs ISO-fájl tartalmazza a PostgreSQL vagy a Microsoft SQL Server adatbázist titkosító főkulcsot. A fájl legújabb példányára minden olyan esetben szüksége lesz, amikor konfigurációs módosításokat végez, például az alábbiakat:
- Adatbázis hitelesítő adatok
- Tanúsítványfrissítések
- Változások az engedélyezési szabályzatban
Ha adatbázis-kapcsolatok titkosítását tervezi, állítsa be a PostgreSQL vagy az SQL Server környezetét TLS használatára.

A Hybrid Data Security telepítési folyamata létrehoz egy ISO-fájlt. Ezután az ISO segítségével konfigurálhatja a hibrid adatbiztonsági gazdagépet.

podman rmi ciscocitg/hds-setup:stable  
podman login docker.io -u hdscustomersro
dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
podman pull ciscocitg/hds-setup:stable
podman run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

Mi a következő teendő

Kövesse a Konfigurációs ISO létrehozása a HDS-gazdagépekhez vagy a Csomópont-konfiguráció módosítása című rész további lépéseit az ISO-konfiguráció létrehozásához vagy módosításához.

Egy partnerszervezet meglévő, egyetlen bérlős HDS-környezetének áthelyezése a Control Hub-ban egy több-bérlős HDS-beállításba a Partner Hub-ban

Egy partnerszervezet meglévő, Control Hubban kezelt, egybérlős HDS-környezetének Partner Hubban kezelt többbérlős HDS-környezetre való átalakítása elsősorban a HDS szolgáltatás Control Hubban történő inaktiválását, a csomópontok regisztrációjának törlését és a fürt törlését foglalja magában. Ezután bejelentkezhet a Partner Hubba, regisztrálhatja a csomópontokat, aktiválhatja a Multi-Tenant HDS-t, és ügyfeleket adhat hozzá a klaszterhez.

Az „egyetlen bérlős” kifejezés egyszerűen egy meglévő HDS-telepítésre utal a Control Hubban.

HDS deaktiválása, csomópontok regisztrációjának törlése és klaszter törlése a Control Hub-ban

1	Jelentkezzen be a Control Hub-ba. A bal oldali panelen kattintson a Hibridelemre. A Hibrid adatbiztonság kártyán kattintson a Beállítások szerkesztése lehetőségre.
2	A beállítások oldalon görgessen le a Deaktiválás részhez, és kattintson a Deaktiválásgombra.
3	A deaktiválás után kattintson az Erőforrások fülre.
4	Az Erőforrások oldal felsorolja a HDS-környezetében található fürtöket. Kattintson egy klaszterre, megnyílik egy oldal, amelyen az adott klaszterhez tartozó összes csomópont látható.
5	Kattintson a jobb oldalon található ... ikonra, majd a Csomópont regisztrációjának törléselehetőségre. Ismételje meg a folyamatot a fürt összes csomópontján.
6	Ha a központi telepítés több fürtöt tartalmaz, ismételje meg a 4. és az 5. lépést, amíg az összes csomópont regisztrációja meg nem szűnik.
7	Kattintson a Klaszterbeállítások elemre > Eltávolítás.
8	Kattintson a Eltávolítás megerősítése gombra a fürt regisztrációjának törléséhez.
9	Ismételje meg a folyamatot a HDS-környezet összes fürtjére. A HDS deaktiválása, a csomópontok regisztrációjának törlése és a klaszterek eltávolítása után a Control Hub Hybrid Data Service kártyáján a A beállítás nincs befejezve üzenet jelenik meg alul.

Aktiválja a Több-bérlős HDS-t a partnerszervezet számára a Partner Hub-on, és vegyen fel ügyfeleket

Mielőtt elkezdené

A Többfelhasználós hibrid adatbiztonságra vonatkozó követelmények című dokumentumban említett összes előfeltétel itt is érvényes. Ezenkívül győződjön meg arról, hogy ugyanazt az adatbázist és tanúsítványokat használja a többbérlős HDS-re való áttérés során.

1	Jelentkezzen be a Partner Hub-ba. Kattintson a bal oldali panelen található Szolgáltatások lehetőségre . Használja ugyanazt az ISO-fájlt, mint az előző HDS-telepítésében, a csomópontok konfigurálásához. Ez biztosítja, hogy a korábbi HDS-környezetben a felhasználók által generált üzenetek és tartalmak továbbra is elérhetők legyenek az új többfelhasználós beállításban.
2	A Felhőszolgáltatások részben keresse meg a Hibrid adatbiztonsági kártyát, és kattintson a Beállításgombra.
3	A megnyíló oldalon kattintson az Erőforrás hozzáadásagombra .
4	A Csomópont hozzáadása kártya első mezőjében adja meg annak a fürtnek a nevét, amelyhez hozzá szeretné rendelni a hibrid adatbiztonsági csomópontot. Azt javasoljuk, hogy a fürtöt a fürt csomópontjainak földrajzi elhelyezkedése alapján nevezze el. Példák: „San Francisco”, „New York” vagy „Dallas”
5	A második mezőbe írja be a csomópont belső IP-címét vagy teljes domainnevét (FQDN), majd kattintson a képernyő alján található Hozzáadás gombra. Ennek az IP-címnek vagy FQDN-nek meg kell egyeznie azzal az IP-címmel vagy állomásnévvel és tartománnyal, amelyet a Hibrid adatbiztonsági virtuális gép beállításarészben használt. Megjelenik egy üzenet, amely jelzi, hogy regisztrálhatja a csomópontját a Webex-en.
6	Kattintson a Ugrás a csomópontralehetőségre. Néhány pillanat múlva a rendszer átirányítja a Webex-szolgáltatások csomópont-kapcsolati tesztjeihez. Ha minden teszt sikeres, megjelenik a Hibrid adatbiztonsági csomóponthoz való hozzáférés engedélyezése oldal. Ott megerősítheti, hogy engedélyeket szeretne adni Webex-szervezetének a csomópont eléréséhez.
7	Jelölje be a Hozzáférés engedélyezése a hibrid adatbiztonsági csomóponthoz jelölőnégyzetet, majd kattintson a Folytatásgombra. Fiókját ellenőriztük, és a „Regisztráció kész” üzenet jelzi, hogy a csomópont regisztrálva van a Webex felhőbe. A Hibrid adatbiztonság oldalon a regisztrált csomópontot tartalmazó új fürt az Erőforrások lapon jelenik meg. A csomópont automatikusan letölti a legújabb szoftvert a felhőből.
8	Lépjen a Beállítások fülre, és kattintson az Aktiválás gombra a HDS állapot kártyán. A képernyő alján megjelenikaz Aktivált HDS üzenet.
9	Az Erőforrásokrészben kattintson az újonnan létrehozott klaszterre.
10	A megnyíló oldalon kattintson a Hozzárendelt ügyfelek fülre.
11	Kattintson az Ügyfelek hozzáadásagombra.
12	Válassza ki a hozzáadni kívánt ügyfelet a legördülő menüből.
13	Kattintson a Hozzáadásgombra, és az ügyfél hozzáadódik a klaszterhez.
14	Ismételje meg a 11–13. lépéseket, ha több ügyfelet szeretne hozzáadni a fürthöz.
15	Miután hozzáadta az ügyfeleket, kattintson a képernyő alján található Kész gombra.

Mi a következő teendő

Futtassa a HDS telepítőeszközt a Ügyfél főkulcsainak (CMK-k) létrehozása a HDS telepítőeszköz használatával című részben leírtak szerint a telepítési folyamat befejezéséhez.

PKCS12 fájl létrehozása OpenSSL használatával

Mielőtt elkezdené

Az OpenSSL egy olyan eszköz, amellyel a PKCS12 fájl megfelelő formátumban alakítható a HDS Setup Toolba való betöltéshez. Vannak más módok is erre, és mi nem támogatjuk vagy népszerűsítjük az egyik módszert a másikkal szemben.
Ha az OpenSSL használatát választja, ezt az eljárást útmutatóként biztosítjuk, hogy segítsünk létrehozni egy olyan fájlt, amely megfelel az X.509 tanúsítványkövetelményeknek a X.509 tanúsítványkövetelményekrészben. Mielőtt folytatná, értse meg ezeket a követelményeket.
Telepítse az OpenSSL-t egy támogatott környezetben. A szoftverért és a dokumentációért lásd: https://www.openssl.org.
Hozz létre egy privát kulcsot.
Kezdje el ezt az eljárást, amikor megkapja a szerver tanúsítványát a hitelesítésszolgáltatótól (CA).

1	Amikor megkapod a szerver tanúsítványát a hitelesítésszolgáltatótól, mentsd el `hdsnode.pem`néven.
2	Jelenítse meg a tanúsítványt szövegként, és ellenőrizze az adatokat. `openssl x509 -text -noout -in hdsnode.pem`
3	Egy szövegszerkesztővel hozzon létre egy `hdsnode-bundle.pem`nevű tanúsítványköteg-fájlt. A kötegfájlnak tartalmaznia kell a szervertanúsítványt, az esetleges köztes CA-tanúsítványokat és a legfelső szintű CA-tanúsítványokat az alábbi formátumban: `-----BEGIN CERTIFICATE----- ### Server certificate. ### -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ### Intermediate CA certificate. ### -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ### Root CA certificate. ### -----END CERTIFICATE-----`
4	Hozza létre a .p12 fájlt a `kms-private-key`felhasználóbarát névvel. `openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12`
5	Ellenőrizze a szerver tanúsítványának részleteit. `openssl pkcs12 -in hdsnode.p12` Adjon meg egy jelszót a parancssorba a privát kulcs titkosításához, hogy az megjelenjen a kimenetben. Ezután ellenőrizze, hogy a privát kulcs és az első tanúsítvány tartalmazza-e a `friendlyName: kms-private-key`sorokat. Példa: bash$ openssl pkcs12 -in hdsnode.p12 Enter Import Password: MAC verified OK Bag Attributes friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Key Attributes: Enter PEM pass phrase: Verifying - Enter PEM pass phrase: -----BEGIN ENCRYPTED PRIVATE KEY----- -----END ENCRYPTED PRIVATE KEY----- Bag Attributes friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 -----BEGIN CERTIFICATE----- -----END CERTIFICATE----- Bag Attributes friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3 -----BEGIN CERTIFICATE----- -----END CERTIFICATE-----

Mi a következő teendő

Vissza a Hibrid adatbiztonság előfeltételeinek teljesítéserészhez. A hdsnode.p12 fájlt és a hozzá beállított jelszót a Konfigurációs ISO létrehozása a HDS-állomásokhozrészben fogod használni.

Ezeket a fájlokat újra felhasználhatja új tanúsítvány igényléséhez, amikor az eredeti tanúsítvány lejár.

Forgalom a HDS csomópontok és a felhő között

Kimenő metrikák gyűjtése forgalom

A hibrid adatbiztonsági csomópontok bizonyos mérőszámokat küldenek a Webex felhőbe. Ezek közé tartoznak a maximális heap-kapacitásra, a felhasznált heap-kapacitásra, a CPU-terhelésre és a szálak számára vonatkozó rendszermetrikák; a szinkron és aszinkron szálakra vonatkozó metrikák; a titkosítási kapcsolatok küszöbértékét, a késleltetést vagy a kérések várólistájának hosszát tartalmazó riasztásokra vonatkozó metrikák; az adattárra vonatkozó metrikák; és a titkosítási kapcsolatok metrikái. A csomópontok titkosított kulcsanyagokat küldenek egy sávon kívüli (a kéréstől elkülönített) csatornán.

Bejövő forgalom

A hibrid adatbiztonsági csomópontok a következő típusú bejövő forgalmat fogadják a Webex felhőből:

Az ügyfelektől érkező titkosítási kérelmek, amelyeket a titkosítási szolgáltatás irányít.
A csomópont szoftverének frissítései

Squid proxyk konfigurálása hibrid adatbiztonsághoz

A Websocket nem tud tintahal-proxyn keresztül csatlakozni

A HTTPS forgalmat vizsgáló Squid proxyk zavarhatják a Hybrid Data Security által megkövetelt websocket (wss:) kapcsolatok létrehozását. Ezek a szakaszok útmutatást nyújtanak a Squid különböző verzióinak konfigurálásához, hogy a szolgáltatások megfelelő működése érdekében figyelmen kívül hagyják wss: a forgalmat.

Tintahal 4 és 5

Adja hozzá a on_unsupported_protocol direktívát a squid.conf-hez :

on_unsupported_protocol tunnel all

Tintahal 3.5.27

Sikeresen teszteltük a hibrid adatbiztonságot a következő szabályok hozzáadásával squid.confa ponthoz. Ezek a szabályok változhatnak a funkciók fejlesztése és a Webex felhő frissítése során.

acl wssMercuryConnection ssl::server_name_regex mercury-connection

ssl_bump splice wssMercuryConnection

acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all

Köszönjük visszajelzését.

Telepítési útmutató a többfelhasználós hibrid adatbiztonsághoz (HDS) (béta)

Új és módosított információk

Új és módosított információk

Több-bérlős hibrid adatbiztonsági szolgáltatás inaktiválása

Több-bérlős HDS-deaktiválási feladatfolyamat

Első lépések a több-bérlős hibrid adatbiztonsági szolgáltatással

Több-bérlős hibrid adatbiztonsági szolgáltatás áttekintése

Hogyan biztosítja a több-bérlős hibrid adatbiztonság az adatszuverenitást és adatvezérlést?

Szerepkörök a többbérlős hibrid adatbiztonsági szolgáltatásban

Biztonsági tartomány architektúrája

Együttműködés más szervezetekkel

Elvárások a hibrid adatbiztonsági szolgáltatás telepítésével kapcsolatban

Magas szintű beállítási folyamat

Hibrid adatbiztonsági szolgáltatás telepítési modellje

Készenléti adatközpont a katasztrófa-helyreállításhoz

Proxy támogatás

Példa hibrid adatbiztonsági csomópontokra és proxykra

Blokkolt külső DNS-feloldási mód (explicit proxykonfigurációk)

Készítse elő környezetét

A több-bérlős hibrid adatbiztonságra vonatkozó követelmények

Cisco Webex licenckövetelmények

Docker asztali követelmények

X.509 tanúsítványkövetelmények

Virtuális szervezőre vonatkozó követelmények

Adatbázis-kiszolgáló követelmények

A Microsoft SQL Server elleni Windows-hitelesítés további követelményei

Külső kapcsolódási követelmények

Proxykiszolgálói követelmények

A hibrid adatbiztonság előfeltételeinek teljesítése

Hibrid adatbiztonsági szolgáltatás-fürt beállítása

Hibrid adatbiztonsági szolgáltatás telepítési feladatfolyama

Kezdeti beállítási és telepítési fájlok letöltése

Konfigurációs ISO létrehozása a HDS szervezők számára

A HDS Host OVA telepítése

Hibrid adatbiztonsági szolgáltatás (VM) beállítása

A HDS-konfigurációs ISO feltöltése és csatlakoztatása

A HDS-csomópont konfigurálása proxyintegrációhoz

A fürtben lévő első csomópont regisztrálása

További csomópontok létrehozása és regisztrálása

Bérlői szervezetek kezelése a több-bérlős hibrid adatbiztonsági szolgáltatásban

Több-bérlős HDS aktiválása a Partner Hubban

Bérlő szervezetek hozzáadása a Partner Hubban

Ügyfél fő kulcsainak (CMK-k) létrehozása a HDS-beállító eszköz használatával

Bérlői szervezetek eltávolítása

Vonja vissza a HDS-ből eltávolított bérlők CMK-jeit.

Tesztelje hibrid adatbiztonsági szolgáltatás telepítését

A hibrid adatbiztonsági szolgáltatás telepítésének tesztelése

Hibrid adatbiztonsági szolgáltatás állapotának megfigyelése

HDS-telepítés kezelése

HDS-telepítés kezelése

Fürtverziófrissítési ütemezés beállítása

A csomópont konfigurációjának módosítása

A blokkolt külső DNS-feloldási mód kikapcsolása

Csomópont eltávolítása

Katasztrófa-helyreállítás a készenléti adatközpont használatával

(Opcionális) ISO leválasztása a HDS-konfiguráció után

Hibrid adatbiztonsági szolgáltatás hibaelhárítása

Riasztások és hibaelhárítás megtekintése

Riasztások

Hibrid adatbiztonsági szolgáltatás hibaelhárítása

Egyéb megjegyzések

A hibrid adatbiztonsági szolgáltatás ismert problémái

OpenSSL használata PKCS12 fájl létrehozásához

HDS-csomópontok és a felhő közötti forgalom

Kimenő mérőszámok gyűjtésének forgalma

Bejövő forgalom

Squid-proxyk konfigurálása a hibrid adatbiztonsághoz

A Websocket nem tud tintahal-proxyn keresztül csatlakozni

Új és módosított információk

Új és módosított információk

Több-bérlős hibrid adatbiztonsági szolgáltatás inaktiválása

Több-bérlős HDS-deaktiválási feladatfolyamat

Első lépések a több-bérlős hibrid adatbiztonsági szolgáltatással

Több-bérlős hibrid adatbiztonsági szolgáltatás áttekintése

Hogyan biztosítja a több-bérlős hibrid adatbiztonság az adatszuverenitást és adatvezérlést?

Szerepkörök a többbérlős hibrid adatbiztonsági szolgáltatásban

Biztonsági tartomány architektúrája

Együttműködés más szervezetekkel

Elvárások a hibrid adatbiztonsági szolgáltatás telepítésével kapcsolatban