A volte, potrebbe essere necessario modificare la configurazione del nodo di sicurezza dei dati ibridi per un motivo come:
  • Aggiornamenti account macchina

  • Modifica dei certificati x.509 a causa della scadenza o di altri motivi.

    La modifica del nome di dominio CN di un certificato non è supportate. Il dominio deve corrispondere al dominio originale utilizzato per registrare il cluster.

  • Aggiornamento delle impostazioni del database per passare a una replica del database PostgreSQL o Microsoft SQL Server.

    La migrazione dei dati da PostgreSQL a Microsoft SQL Server è contrario. Per cambiare ambiente di database, avviare una nuova distribuzione della sicurezza dei dati ibridi.

  • Creazione di una nuova configurazione per preparare un nuovo centro dati.

Inoltre, per motivi di sicurezza, la sicurezza dei dati ibridi utilizza password di account di servizio della durata di nove mesi. Dopo che lo strumento di impostazione HDS genera queste password, è possibile distribuirle a ciascuno dei nodi HDS nel file ISO di configurazione. Se le password della propria organizzazione sono prossima alla scadenza, si riceverà un avviso dal team Webex per reimpostare la password per l'account macchina. (Il messaggio e-mail include il testo "Utilizzare l'API dell'account macchina per aggiornare la password"). Se le password non sono ancora scadute, lo strumento offre due opzioni:

  • Soft reset: le password vecchie e nuove funzionano per un massimo di 10 giorni. Utilizzare questo periodo per sostituire gradualmente il file ISO sui nodi.

  • Ripristino difficile: le password precedenti smettono di funzionare immediatamente.

Se le password scadono senza un ripristino, ha impatto sul servizio HDS, richiedendo un ripristino rigido immediato e la sostituzione del file ISO su tutti i nodi.

Utilizzare questa procedura per generare un nuovo file ISO di configurazione e applicarlo al cluster.

Operazioni preliminari

  • Lo strumento di impostazione HDS viene eseguito come contenitore Docker su una macchina locale. Per accedervi, eseguire il Docker su tale macchina. Il processo di impostazione richiede le credenziali di un account Control Hub con diritti di amministratore completi per la propria organizzazione.

    Se lo strumento di impostazione HDS si esegue dietro un proxy nel proprio ambiente, fornire le impostazioni proxy (server, porta, credenziali) attraverso le variabili di ambiente Docker quando si configura il container Docker. Questa tabella fornisce alcune possibili variabili di ambiente:

    Il repository docker utilizzato per lo strumento di impostazione HDS è stato modificato in ciscocitg a dicembre 2022 (da ciscosparkhds in precedenza)

    Descrizione

    Variabile

    Proxy HTTP senza autenticazione

    _AGENTE_HTTP_PROXY GLOBALE=http://SERVER_IP:PORT

    Proxy HTTPS senza autenticazione

    _AGENTE_HTTPS_PROXY GLOBALE=http://SERVER_IP:PORT

    Proxy HTTP con autenticazione

    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

    Proxy HTTPS con autenticazione

    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

  • È necessaria una copia del file ISO di configurazione corrente per generare una nuova configurazione. L'ISO contiene la chiave principale che crittografa il database PostgreSQL o Microsoft SQL Server. È necessario isO quando si apportano modifiche di configurazione, incluse le credenziali del database, gli aggiornamenti del certificato o le modifiche al criterio di autorizzazione.

1

Utilizzando il Docker su una macchina locale, eseguire lo strumento di impostazione HDS.

  1. Alla riga di comando della macchina, immettere il comando appropriato per l'ambiente in uso:

    In ambienti normali:

    docker rmi ciscocitg/hds-setup:stabile

    In ambienti FedRAMP:

    docker rmi ciscocitg/hds-setup-fedramp:stabile

    Questa operazione elimina le immagini dello strumento di impostazione HDS precedenti. Se non sono presenti immagini precedenti, restituisce un errore che è possibile ignorare.

  2. Per accedere al registro dell'immagine Docker, inserire quanto segue:

    docker login -u hdscustomersro
  3. Alla richiesta della password, immettere questo cancelletto:

    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
  4. Scarica l'ultima immagine stabile per l'ambiente in uso:

    In ambienti normali:

    docker pull ciscocitg/hds-setup:stabile

    In ambienti FedRAMP:

    docker pull ciscocitg/hds-setup-fedramp:stabile

    Accertarsi di eseguire il pull dello strumento di impostazione più recente per questa procedura. Le versioni dello strumento create prima del 22 febbraio 2018 non dispongono di schermate di reimpostazione della password.

  5. Al termine del pull, immettere il comando appropriato per l'ambiente in uso:

    • In ambienti normali senza un proxy:

      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
    • In ambienti normali con un proxy HTTP:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
    • In ambienti normali con un proxy HTTPS:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
    • In ambienti FedRAMP senza un proxy:

      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stabile
    • In ambienti FedRAMP con un proxy HTTP:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
    • In ambienti FedRAMP con un proxy HTTPS:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    Quando il container è in esecuzione, viene visualizzato il messaggio "Ascolto del server Express sulla porta 8080".

  6. Utilizzare un browser per eseguire la connessione all'host locale, http://127.0.0.1:8080.

    Lo strumento Imposta non supporta la connessione a localhost tramite http://localhost:8080. Usa http://127.0.0.1:8080 per connetterti a localhost.

  7. Quando richiesto, inserisci le credenziali di accesso del cliente Control Hub, quindi fai clic su Accetta per continuare.

  8. Importare il file ISO di configurazione corrente.

  9. Seguire le indicazioni per completare lo strumento e scaricare il file aggiornato.

    Per chiudere lo strumento di impostazione, digitare CTRL + C.

  10. Creare una copia di backup del file aggiornato in un altro centro dati.

2

Se si dispone di un solo nodo HDS in esecuzione, creare un nuovo nodo di sicurezza dei dati ibridi VM e registrarlo utilizzando il nuovo file ISO di configurazione. Per istruzioni più dettagliate, vedere Creazione e registrazione di altri nodi nella guida alla distribuzione.

  1. Installare il file OVA dell'host HDS.

  2. Impostare la macchina virtuale HDS.

  3. Montare il file di configurazione aggiornato.

  4. Registrare il nuovo nodo in Control Hub.

3

Per i nodi HDS esistenti con il file di configurazione precedente, montare il file ISO. Eseguire la procedura seguente su ciascun nodo per volta, aggiornando ciascun nodo prima di disattivare il nodo successivo:

  1. Disattivare la macchina virtuale.

  2. Nel riquadro di navigazione a sinistra del client VMware vSphere, fare clic sul pulsante destro del mouse sulla macchina virtuale, quindi fare clic su Modifica impostazioni.

  3. Fare clic su Unità CD/DVD 1, selezionare l'opzione per il montaggio di un file ISO e selezionare la posizione in cui è stato scaricato il nuovo file di configurazione ISO.

  4. Selezionare Connetti all'accensione.

  5. Salvare le modifiche e accendere la macchina virtuale.

4

Ripetere il punto 3 per sostituire la configurazione su ciascun nodo restante in cui sia in esecuzione la configurazione precedente.