Occasionalmente potrebbe essere necessario modificare la configurazione del nodo Sicurezza dati ibridi per motivi quali:

  • Account macchina creato

  • Modifica dei certificati x.509 a causa di una scadenza o altri motivi.


     

    Non è supportata la modifica del nome dominio CN di un certificato. Il dominio deve corrispondere al dominio originale utilizzato per registrare il cluster.

  • Aggiornamento delle impostazioni del database da modificare in una replica del database PostgreSQL o Microsoft SQL Server.


     

    Non è supportata la migrazione dei dati da PostgreSQL a Microsoft SQL Server o viceversa. Per cambiare l'ambiente di database, avviare una nuova distribuzione di Sicurezza dei dati ibridi.

  • Creazione di una nuova configurazione per preparare un nuovo centro dati.

Per motivi di sicurezza, la sicurezza dei dati ibridi utilizza password di account di servizio della durata di 9 mesi. Lo strumento di impostazione HDS genera queste password e occorre distribuirle a ciascuno dei nodi HDS come parte del file ISO di configurazione. Se le password della propria organizzazione sono prossime alla scadenza, si riceverà un avviso di scadenza password dal team Webex, in cui verrà richiesto di reimpostare la password per l'account macchina. (Il messaggio e-mail include il testo "Utilizzare l' API dell'account macchina per aggiornare la password".) Se le password non sono ancora scadute, lo strumento offre due opzioni:

  • Ripristino graduale —La password vecchia e nuova funzionano entrambe per 10 giorni. Utilizzare questo punto per sostituire gradualmente il file ISO sui nodi.

  • Ripristino hardware —Le password precedenti smettono immediatamente di funzionare.

Se le password scadono senza una reimpostazione, ciò ha un impatto sul servizio HDS, che richiede un ripristino hardware immediato e la sostituzione del file ISO su tutti i nodi.

Utilizzare questa procedura per generare un nuovo file ISO di configurazione e applicarlo al cluster.

Operazioni preliminari

  • Lo strumento di impostazione HDS viene eseguito come contenitore Docker su una macchina locale. Per accedervi, eseguire Docker su tale macchina. Il processo di impostazione richiede le credenziali di un account Control Hub con diritti di amministratore completi per l'organizzazione.

    Se lo strumento di installazione HDS viene eseguito dietro un proxy nel proprio ambiente, fornire le impostazioni del proxy (server, porta, credenziali) tramite le variabili di ambiente Docker quando si apre il contenitore Docker. Questa tabella fornisce alcune possibili variabili di ambiente:


     
    Il repository mobile utilizzato per lo strumento di configurazione HDS è stato modificato in ciscocitg a dicembre 2022 (a partire da ciscosparkhds precedentemente

    Descrizione

    Variabile

    proxy HTTP senza autenticazione

    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    Proxy HTTPS senza autenticazione

    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    proxy HTTP con autenticazione

    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

    Proxy HTTPS con autenticazione

    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

  • È necessaria una copia del file ISO di configurazione corrente per generare una nuova configurazione. L' ISO contiene la chiave principale di crittografia del database PostgreSQL o Microsoft SQL Server. È necessario ISO quando si apportano modifiche alla configurazione, incluse credenziali del database, aggiornamenti dei certificati o modifiche ai criteri di autorizzazione.

1

Utilizzando il Docker su una macchina locale, eseguire lo strumento di impostazione HDS.

  1. Nella riga di comando della macchina, immettere il comando appropriato per l'ambiente:

    In ambienti normali:

    docker rmi ciscocitg/hds-setup:stable

    In ambienti FedRAMP:

    docker rmi ciscocitg/hds-setup-fedramp:stable

    Questo passaggio ripulisce le immagini precedenti dello strumento di impostazione HDS. Se non sono presenti immagini precedenti, viene restituito un errore che può essere ignorato.

  2. Per accedere al registro immagini Docker, immettere quanto segue:

    docker login -u hdscustomersro

  3. Alla richiesta della password, immettere questo hash:

    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

  4. Scaricare l'immagine stabile più recente per il proprio ambiente:

    In ambienti normali:

    docker pull ciscocitg/hds-setup:stable

    In ambienti FedRAMP:

    docker pull ciscocitg/hds-setup-fedramp:stable

     

    Accertarsi di eseguire il pull dello strumento di impostazione più recente per questa procedura. Le versioni dello strumento create prima del 22 febbraio 2018 non dispongono di schermate di reimpostazione della password.

  5. Al termine del pull, immettere il comando appropriato per l'ambiente:

    • In ambienti normali senza proxy:

      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

    • In ambienti normali con un proxy HTTP:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • In ambienti normali con un proxy HTTPS:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • In ambienti FedRAMP senza proxy:

      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

    • In ambienti FedRAMP con un proxy HTTP:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    • In ambienti FedRAMP con un proxy HTTPS:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    Quando il contenitore è in esecuzione, viene visualizzato il messaggio "server Express in attesa sulla porta 8080".

  6. Utilizzare un browser per connettersi a localhost, http://127.0.0.1:8080.


     

    Lo strumento Imposta non supporta la connessione a localhost attraverso http://localhost:8080. Usa http://127.0.0.1:8080 per connettersi a localhost.

  7. Quando richiesto, immettere le credenziali di accesso del cliente , quindi fare clic su Accetta per continuare.

  8. Importare il file ISO di configurazione corrente.

  9. Seguire le indicazioni per completare lo strumento e scaricare il file aggiornato.

    Per chiudere lo strumento di installazione, digitare CTRL+C.

  10. Creare una copia di backup del file aggiornato in un altro centro dati.

2

Se si dispone di un solo nodo HDS in esecuzione, creare un nuovo nodo VM e registrarlo utilizzando il nuovo file ISO di configurazione. Per istruzioni più dettagliate, vedere Crea e registra altri nodi nel guida alla distribuzione .

  1. Installare il file OVA dell'host HDS.

  2. Impostare la macchina virtuale HDS.

  3. Montare il file di configurazione aggiornato.

  4. Registrare il nuovo nodo in Control Hub.

3

Per i nodi HDS esistenti che eseguono il file di configurazione precedente , montare il file ISO . Completare la procedura seguente su ciascun nodo alla volta, aggiornando ciascun nodo prima di spegnere il nodo successivo:

  1. Disattivare la macchina virtuale.

  2. Nel riquadro di navigazione a sinistra del client VMware vSphere, fare clic sul pulsante destro del mouse sulla macchina virtuale, quindi fare clic su Modifica impostazioni.

  3. Fare clic CD/DVD Drive 1 Fare clic su Unità CD/DVD 1, selezionare l'opzione per il montaggio di un file ISO e selezionare la posizione in cui è stato scaricato il nuovo file di configurazione ISO.

  4. Selezionare Connetti all'accensione.

  5. Salvare le modifiche e accendere la macchina virtuale.

4

Ripetere il punto 3 per sostituire la configurazione su ciascun nodo restante in cui sia in esecuzione la configurazione precedente.