Occasionalmente, potrebbe essere necessario modificare la configurazione del nodo di sicurezza dei dati ibridi per un motivo come:

  • Aggiornamenti account macchina

  • Modifica dei certificati x.509 per scadenza o altri motivi.


     

    Non è supportata la modifica del nome del dominio CN di un certificato. Il dominio deve corrispondere al dominio originale utilizzato per registrare il cluster.

  • Aggiornamento delle impostazioni del database per passare a una replica del database PostgreSQL o Microsoft SQL Server.


     

    La migrazione dei dati da PostgreSQL a Microsoft SQL Server non è supportata o viceversa. Per cambiare l'ambiente del database, avviare una nuova distribuzione di Hybrid Data Security.

  • Creazione di una nuova configurazione per preparare un nuovo centro dati.

Inoltre, per motivi di sicurezza, Hybrid Data Security utilizza password degli account di servizio che hanno una durata di nove mesi. Dopo che lo strumento di impostazione HDS genera queste password, distribuirle a ciascuno dei nodi HDS nel file di configurazione ISO. Quando le password della propria organizzazione sono prossime alla scadenza, si riceve un avviso dal team Webex per reimpostare la password per l'account macchina. (Il messaggio e-mail include il testo "Usa l'API dell'account macchina per aggiornare la password"). Se le password non sono ancora scadute, lo strumento offre due opzioni:

  • Soft reset: le password vecchie e nuove funzionano per un massimo di 10 giorni. Utilizzare questo periodo per sostituire gradualmente il file ISO sui nodi.

  • Ripristino difficile: le password precedenti smettono di funzionare immediatamente.

Se le password scadono senza resettaggio, si verifica un impatto sul servizio HDS, che richiede un resettaggio immediato e la sostituzione del file ISO su tutti i nodi.

Utilizzare questa procedura per generare un nuovo file ISO di configurazione e applicarlo al cluster.

Operazioni preliminari

  • Lo strumento di impostazione HDS viene eseguito come contenitore Docker su una macchina locale. Per accedervi, eseguire Docker su quella macchina. Il processo di impostazione richiede le credenziali di un account Control Hub con diritti di amministratore completi per la tua organizzazione.

    Se lo strumento di impostazione HDS viene eseguito dietro un proxy nel proprio ambiente, fornire le impostazioni del proxy (server, porta, credenziali) attraverso le variabili di ambiente Docker quando si solleva il contenitore Docker. Questa tabella fornisce alcune possibili variabili di ambiente:


     
    Il repository docker utilizzato per lo strumento di impostazione HDS è stato modificato in ciscocitg a dicembre 2022 (da ciscosparkhds in precedenza)

    Descrizione

    Variabile

    Proxy HTTP senza autenticazione

    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    Proxy HTTPS senza autenticazione

    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    Proxy HTTP con autenticazione

    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

    Proxy HTTPS con autenticazione

    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

  • È necessaria una copia del file ISO di configurazione corrente per generare una nuova configurazione. L'ISO contiene la chiave principale che crittografa il database PostgreSQL o Microsoft SQL Server. È necessario disporre dell'ISO quando si apportano modifiche alla configurazione, incluse le credenziali del database, gli aggiornamenti dei certificati o le modifiche ai criteri di autorizzazione.

1

Utilizzando il Docker su una macchina locale, eseguire lo strumento di impostazione HDS.

  1. Nella riga di comando della macchina, immettere il comando appropriato per l'ambiente:

    In ambienti normali:

    docker rmi ciscocitg/hds-setup:stable

    In ambienti FedRAMP:

    docker rmi ciscocitg/hds-setup-fedramp:stable

    Questa operazione consente di cancellare le immagini degli strumenti di impostazione HDS precedenti. Se non sono presenti immagini precedenti, viene restituito un errore che è possibile ignorare.

  2. Per accedere al registro immagini Docker, immettere quanto segue:

    docker login -u hdscustomersro

  3. Quando richiesto dalla password, immettere questo hash:

    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

  4. Scarica l'ultima immagine stabile per l'ambiente:

    In ambienti normali:

    docker pull ciscocitg/hds-setup:stable

    In ambienti FedRAMP:

    docker pull ciscocitg/hds-setup-fedramp:stable

     

    Accertarsi di eseguire il pull dello strumento di impostazione più recente per questa procedura. Le versioni dello strumento create prima del 22 febbraio 2018 non dispongono delle schermate di reimpostazione della password.

  5. Al termine dell'estrazione, immettere il comando appropriato per l'ambiente:

    • In ambienti normali senza proxy:

      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

    • In ambienti normali con un proxy HTTP:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • In ambienti normali con un proxy HTTPS:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • In ambienti FedRAMP senza proxy:

      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

    • In ambienti FedRAMP con un proxy HTTP:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    • In ambienti FedRAMP con un proxy HTTPS:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    Quando il contenitore è in funzione, viene visualizzato "Express server listening on port 8080".

  6. Utilizzare un browser per connettersi all'host locale, http://127.0.0.1:8080.


     

    Lo strumento Imposta non supporta la connessione a localhost tramite http://localhost:8080. Usa http://127.0.0.1:8080 per connetterti a localhost.

  7. Quando richiesto, inserisci le credenziali di accesso del cliente Control Hub, quindi fai clic su Accetta per continuare.

  8. Importare il file ISO di configurazione corrente.

  9. Seguire le indicazioni per completare lo strumento e scaricare il file aggiornato.

    Per spegnere lo strumento Impostazione, digitare CTRL+C.

  10. Creare una copia di backup del file aggiornato in un altro centro dati.

2

Se si dispone di un solo nodo HDS in esecuzione, creare un nuovo nodo di sicurezza dei dati ibridi VM e registrarlo utilizzando il nuovo file ISO di configurazione. Per istruzioni più dettagliate, vedere Creazione e registrazione di altri nodi nella guida alla distribuzione.

  1. Installare il file OVA dell'host HDS.

  2. Impostare la macchina virtuale HDS.

  3. Montare il file di configurazione aggiornato.

  4. Registra il nuovo nodo in Control Hub.

3

Per i nodi HDS esistenti che eseguono il file di configurazione precedente, montare il file ISO. Eseguire la seguente procedura su ciascun nodo in rotazione, aggiornando ciascun nodo prima di disattivare il nodo successivo:

  1. Disattivare la macchina virtuale.

  2. Nel riquadro di navigazione a sinistra del client VMware vSphere, fare clic sul pulsante destro del mouse sulla macchina virtuale, quindi fare clic su Modifica impostazioni.

  3. Fare clic CD/DVD Drive 1, selezionare l'opzione da montare da un file ISO e passare alla posizione in cui è stato scaricato il nuovo file ISO di configurazione.

  4. Selezionare Connetti all'accensione.

  5. Salvare le modifiche e accendere la macchina virtuale.

4

Ripetere il punto 3 per sostituire la configurazione su ciascun nodo restante in cui sia in esecuzione la configurazione precedente.