コメントありがとうございます。

後で使用するために、OVA ファイルをローカルマシンにダウンロードします。

HDS セットアップツールを使用して、ハイブリッドデータセキュリティノードの ISO 設定ファイルを作成します。

OVA ファイルから仮想マシンを作成し、ネットワーク設定などの初期設定を実行します。

VM コンソールにサインインし、サインイン資格情報を設定します。 OVA 展開時にノードを設定しなかった場合は、ノードのネットワーク設定を構成します。

HDS セットアップツールを使用して作成した ISO 設定ファイルから VM を設定します。

ネットワーク環境にプロキシ設定が必要な場合は、ノードに使用するプロキシのタイプを指定し、必要に応じてプロキシ証明書を信頼ストアに追加します。

ハイブリッドデータセキュリティノードとして Cisco Webex クラウドに仮想マシンを登録します。

クラスタの設定を完了します。

トライアルを開始するまで、ノードはサービスがまだアクティブ化されていないことを示すアラームを生成します。

インストールファイルのダウンロード

このタスクでは、OVA ファイルをマシンにダウンロードします (ハイブリッドデータセキュリティノードとして設定したサーバにはダウンロードしません)。このファイルは後でインストールプロセスで使用します。

https://admin.webex.comにサインインし、「サービス」をクリックします。

[ハイブリッドサービス] セクションで、ハイブリッドデータセキュリティカードを見つけて、[セットアップ] をクリックします。

カードが無効になっているか、表示されない場合は、アカウントチームまたはパートナー組織に連絡してください。アカウント番号を入力し、組織でハイブリッドデータセキュリティを有効にするように依頼します。アカウント番号を見つけるには、組織名の横にある右上の歯車をクリックします。

OVAは、［設定］ページの［ヘルプ］セクションからいつでもダウンロードできます。ハイブリッドデータセキュリティカードで、[設定の編集] をクリックしてページを開きます。次に、［ヘルプ］セクションで［ハイブリッドデータセキュリティソフトウェアをダウンロード］をクリックします。

古いバージョンのソフトウェアパッケージ (OVA) は、最新のハイブリッドデータセキュリティアップグレードと互換性がありません。これにより、アプリケーションのアップグレード中に問題が発生する可能性があります。 OVA ファイルの最新バージョンをダウンロードしてください。

ノードがまだセットアップされていないことを示すにはいいえを選択し、「次へ」をクリックします。

OVAファイルは自動的にダウンロードを開始します。ファイルをマシン上の場所に保存します。

必要に応じて、［導入ガイドを開く］をクリックして、このガイドの後半バージョンが利用可能かどうかを確認します。

HDS ホストの設定 ISO を作成する

ハイブリッドデータセキュリティのセットアッププロセスは、ISO ファイルを作成します。その後、ISO を使用してハイブリッドデータセキュリティホストを設定します。

始める前に

HDS セットアップツールをローカルマシンの Docker コンテナとして実行します。アクセスするには、そのマシンで Docker を実行します。セットアッププロセスでは、組織に対するフル管理者権限を持つ Control Hub アカウントの資格情報が必要です。

HDS Setup ツールが環境内のプロキシの後ろで実行されている場合は、手順 5 で Docker コンテナを起動するときに、Docker 環境変数を使用してプロキシ設定（サーバ、ポート、クレデンシャル）を提供します。この表ではいくつかの可能な環境変数を示します。

説明	変数
認証なしの HTTP プロキシ	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
認証なしの HTTPS プロキシ	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
認証ありの HTTP プロキシ	`GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
認証ありの HTTPS プロキシ	`GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

生成する構成 ISO ファイルには、PostgreSQL または Microsoft SQL Server データベースを暗号化するマスターキーが含まれています。次のように、設定を変更するたびに、このファイルの最新のコピーが必要です。
- データベースの資格情報
- 証明書の更新
- 承認ポリシーの変更
データベース接続を暗号化する場合は、TLS 用の PostgreSQL または SQL Server 展開をセットアップします。

マシンのコマンドラインで、お使い環境に適切なコマンドを入力します。

一般環境:

docker rmi ciscocitg/hds-setup:stable

FedRAMP 環境の場合:

docker rmi ciscocitg/hds-setup-fedramp:stable

このステップを実行すると、前の HDS セットアップツールの画像がクリーンアップされます。これ以前の画像がない場合は、無視できるエラーを返します。

Docker 画像レジストリにサインインするには、以下を入力します。

docker login -u hdscustomersro

パスワードのプロンプトに対して、このハッシュを入力します。

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

お使い環境に合った最新の安定した画像をダウンロードします。

一般環境:

docker pull ciscocitg/hds-setup:stable

FedRAMP 環境の場合:

docker pull ciscocitg/hds-setup-fedramp:stable

プルが完了したら、お使いの環境に適切なコマンドを入力します。

プロキシなしの通常の環境の場合:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

HTTP プロキシがある通常の環境の場合、

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

HTTPS プロキシがある通常の環境の場合:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

プロキシなしの FedRAMP 環境の場合:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

HTTP プロキシがある FedRAMP 環境の場合:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

HTTPS プロキシがある FedRAMP 環境の場合:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

コンテナが実行中の時。「ポート 8080 で Express サーバーリスニング中」と表示されます。

Setup ツールは、http://localhost:8080 を介した localhost への接続をサポートしていません。 http://127.0.0.1:8080を使用してlocalhostに接続します。

Web ブラウザを使用して localhost に移動し、 http://127.0.0.1:8080 、プロンプトで Control Hub の顧客管理者ユーザー名を入力します。

このツールは、ユーザー名の最初のエントリを使用して、そのアカウントの適切な環境を設定します。このツールには、標準のサインインプロンプトが表示されます。

プロンプトが表示されたら、Control Hub の顧客管理者のサインイン資格情報を入力し、[ログイン] をクリックして、ハイブリッドデータセキュリティに必要なサービスへのアクセスを許可します。

[セットアップツールの概要] ページで、[はじめに] をクリックします。

［ISOインポート］ページには、次のオプションがあります。

いいえ—最初の HDS ノードを作成する場合、アップロードする ISO ファイルがありません。
はい—HDS ノードをすでに作成している場合は、ブラウズで ISO ファイルを選択してアップロードします。

X.509 証明書がX.509 証明書要件の要件を満たしていることを確認してください。

証明書をアップロードしたことがない場合は、X.509 証明書をアップロードし、パスワードを入力して [続行] をクリックします。
証明書がOKの場合、「続行」をクリックします。
証明書の有効期限が切れている場合、または証明書を置き換える場合は、「いいえ」を選択して、「以前のISOからHDS証明書チェーンと秘密キーの使用を続行」を選択します。新しい X.509 証明書をアップロードし、パスワードを入力し、[続行] をクリックします。

HDS のデータベースアドレスとアカウントを入力して、キーデータストアにアクセスします。

データベースの種類（PostgreSQLまたはMicrosoft SQL Server）を選択します。

Microsoft SQL Serverを選択すると、[認証タイプ(Authentication Type)] フィールドが表示されます。
(Microsoft SQL Serverのみ) 認証タイプを選択します。
- 基本認証: [ユーザー名] フィールドには、ローカル SQL Server アカウント名が必要です。
- Windowsの認証: 形式の Windows アカウントが必要です username@DOMAINユーザー名フィールドに入力します。
フォームにデータベースサーバアドレスを入力します <hostname>:<port> または <IP-address>:<port> です。

例:
dbhost.example.org:1433 または 198.51.100.17:1433

ノードがホスト名を解決するために DNS を使用できない場合、基本認証に IP アドレスを使用できます。

Windows 認証を使用している場合は、形式に完全修飾ドメイン名を入力する必要があります dbhost.example.org:1433
データベース名を入力します。
キーストレージデータベース上のすべての権限を持つユーザーのユーザー名とパスワードを入力します。

TLS データベース接続モードを選択します。

モード

説明

TLS を優先 (デフォルトのオプション)

HDS ノードは、データベースサーバに接続するために TLS を必要としませんデータベースサーバで TLS を有効にすると、ノードは暗号化された接続を試行します。

TLS を要求する

データベースサーバが TLS をネゴシエートできる場合に限り、HDS ノードは接続されます。

TLS を要求し、証明書の署名者を確認する

このモードは、SQL Server データベースには適用されません。

データベースサーバが TLS をネゴシエートできる場合に限り、HDS ノードは接続されます。
TLS 接続を確立した後、ノードはデータベースサーバからの証明書の署名者をデータベースルート証明書の認証局と比較します。一致しない場合、ノードにより接続が切断されます。

ドロップダウンの下にあるデータベースルート証明書コントロールを使用して、このオプションのルート証明書をアップロードしてください。

TLS を要求し、証明書の署名者およびホスト名を確認する

データベースサーバが TLS をネゴシエートできる場合に限り、HDS ノードは接続されます。
TLS 接続を確立した後、ノードはデータベースサーバからの証明書の署名者をデータベースルート証明書の認証局と比較します。一致しない場合、ノードにより接続が切断されます。
ノードはまた、サーバ証明書のホスト名が [データベースホストとポート] フィールドのホスト名と一致することを確認します。名前は正確に一致する必要があります。または、ノードが接続を切断します。

ドロップダウンの下にあるデータベースルート証明書コントロールを使用して、このオプションのルート証明書をアップロードしてください。

ルート証明書をアップロードし（必要に応じて）、［続行］をクリックすると、HDS Setup Tool がデータベースサーバへの TLS 接続をテストします。また、必要に応じて、証明書の署名者とホスト名も検証されます。テストが失敗した場合、問題を説明するエラーメッセージがツールによって表示されます。エラーを無視してセットアップを続行するかどうかを選択できます。（接続性の違いにより、HDS Setup Tool マシンが正常にテストできない場合でも、HDS ノードは TLS 接続を確立できる場合があります）。

[システムログ（System Logs）] ページで、Syslogd サーバを設定します。

syslog サーバの URL を入力します。

HDS クラスタのノードからサーバが DNS 解決可能でない場合は、URL で IP アドレスを使用します。

例:
udp://10.92.43.23:514 UDP ポート 514 の Syslogd ホスト 10.92.43.23 へのロギングを示します。
TLS 暗号化を使用するようにサーバを設定した場合は、「syslog サーバが SSL 暗号化用に設定されていますか？」にチェックを入れます。

このチェックボックスをオンにした場合は、次のような TCP URL を入力してください: tcp://10.92.43.23:514 です。
[syslogレコードの終了を選択]ドロップダウンから、ISOファイルの適切な設定を選択します。選択または改行は Graylog および Rsyslog TCP に使用されます
- Null バイト -- \x00
- 改行 -- \n:Graylog および Rsyslog TCP の選択肢を選択します。
[続行] をクリックします。

（オプション）一部のデータベース接続パラメータのデフォルト値は、［詳細設定］で変更できます。通常、このパラメータは、変更する可能性のある唯一のパラメータです。

app_datasource_connection_pool_maxSize: 10

[サービスアカウントのパスワードをリセット] 画面の [続行] をクリックします。

サービスアカウントのパスワードは9ヶ月の寿命を持っています。パスワードの有効期限が近づいている場合、または以前の ISO ファイルを無効にするためにパスワードをリセットする場合は、この画面を使用します。

[ISOファイルのダウンロード] をクリックします。見つけやすい場所にファイルを保存します。

ローカルシステム上のISOファイルのバックアップコピーを作成します。

バックアップコピーを安全に保管してください。このファイルには、データベースコンテンツのマスター暗号化キーが含まれています。構成を変更する必要があるハイブリッドデータセキュリティ管理者のみへのアクセスを制限します。

セットアップツールをシャットダウンするために次のように入力します。 CTRL+C です。

次に行うこと

設定 ISO ファイルをバックアップします。リカバリのためにより多くのノードを作成したり、設定を変更したりする必要があります。 ISOファイルのコピーをすべて失うと、マスターキーも失われます。 PostgreSQL または Microsoft SQL Server データベースからキーを回復することはできません。

私たちはこのキーのコピーを持っていないし、あなたがそれを失ったら助けることができません。

HDS ホスト OVA のインストール

OVA ファイルから仮想マシンを作成するには、次の手順を使用します。

コンピュータの VMware vSphere クライアントを使用して、ESXi 仮想ホストにログインします。

ファイル > OVF テンプレートを展開を選択します。

ウィザードで、先ほどダウンロードしたOVAファイルの場所を指定し、 をクリックします。次へだ

の名前とフォルダを選択ページ、を入力します仮想マシン名ノード（たとえば、「HDS_Node_1」）で、仮想マシンノードの展開が可能な場所を選択し、次へだ

の計算リソースを選択ページで、宛先計算リソースを選択し、をクリックします。次へだ

検証チェックが実行されます。完了すると、テンプレートの詳細が表示されます。

テンプレートの詳細を確認し、［次へ］をクリックします。

のリソース設定を選択するよう求められた場合設定ページ、をクリックします。 4 CPU をクリックし、 をクリックします。次へだ

のストレージを選択ページ、をクリックします。次へは、デフォルトのディスク形式とVMストレージポリシーを受け入れます。

のネットワークを選択ページで、エントリのリストからネットワークオプションを選択し、仮想マシンへの接続を提供します。

[テンプレートのカスタマイズ] ページで、次のネットワーク設定を構成します。

[ホスト名(Hostname)]:ノードの FQDN (ホスト名とドメイン) または単語ホスト名を入力します。

X.509 証明書を取得するために使用したドメインと一致するようにドメインを設定する必要はありません。
クラウドへの登録を成功させるには、ノードに設定した FQDN またはホスト名に小文字のみを使用します。現時点では大文字化のサポートはありません。
FQDNのトータルの長さは64文字を超えてはいけません。

[IPアドレス(IP Address)]:ノードの内部インターフェイスの IP アドレスを入力します。

ノードには内部 IP アドレスと DNS 名が必要です。 DHCP はサポートされていません。
[マスク(Mask)]:サブネットマスクアドレスをドット小数表記で入力します。たとえば、255.255.255.0 などです。
[ゲートウェイ(Gateway)]:ゲートウェイの IP アドレスを入力します。ゲートウェイは、別のネットワークへのアクセスポイントとして機能するネットワークノードです。
DNS サーバ:ドメイン名を数値の IP アドレスに変換する DNS サーバのカンマ区切りリストを入力します。 (最大 4 つの DNS エントリが許可されます。)
NTP サーバ:組織の NTP サーバまたは組織で使用できる別の外部 NTP サーバを入力します。デフォルトの NTP サーバは、すべての企業で機能しない場合があります。カンマ区切りリストを使用して、複数の NTP サーバを入力することもできます。

クラスタ内のすべてのノードが管理目的でネットワーク内のクライアントから到達できるように、すべてのノードを同じサブネットまたは VLAN に展開します。

必要に応じて、ネットワーク設定の構成をスキップし、[ハイブリッドデータセキュリティ VM のセットアップ] の手順に従って、ノードコンソールから設定を構成できます。

ノードVMを右クリックし、電源 > 電源オンだ。

ハイブリッドデータセキュリティソフトウェアは、VM ホストにゲストとしてインストールされます。これで、コンソールにサインインしてノードを設定する準備ができました。

トラブルシューティングのヒント

ノードコンテナーが出てくるまでに、数分間の遅延がある場合があります。初回起動の間、ブリッジファイアウォールメッセージが、コンソールに表示され、この間はサインインできません。

ハイブリッドデータセキュリティ VM のセットアップ

この手順を使用して、ハイブリッドデータセキュリティノード VM コンソールに初めてサインインし、サインインクレデンシャルを設定します。 OVA 展開時に設定しなかった場合は、コンソールを使用してノードのネットワーク設定を構成することもできます。

1	VMware vSphere クライアントで、ハイブリッドデータセキュリティノード VM を選択し、[コンソール] タブを選択します。 VM が起動し、ログインプロンプトが表示されます。ログインプロンプトが表示されない場合は、入力を押してください。
2	次のデフォルトのログインとパスワードを使用してサインインし、資格情報を変更します。ログイン: `admin` パスワード: `cisco` 初めて仮想マシンにサインインするため、管理者パスワードを変更する必要があります。
3	［HDS ホスト OVA のインストール］でネットワーク設定をすでに設定している場合は、残りの手順をスキップします。それ以外の場合は、メインメニューで［設定の編集］オプションを選択します。
4	IP アドレス、マスク、ゲートウェイ、DNS 情報を含む静的設定をセットアップします。ノードには内部 IP アドレスと DNS 名が必要です。 DHCP はサポートされていません。
5	(オプション) ネットワークポリシーと一致する必要がある場合は、ホスト名、ドメイン、または NTP サーバを変更します。 X.509 証明書を取得するために使用したドメインと一致するようにドメインを設定する必要はありません。
6	ネットワーク設定を保存し、仮想マシンを再起動して、変更を有効にします。

HDS 設定 ISO のアップロードとマウント

HDS セットアップツールを使用して作成した ISO ファイルから仮想マシンを設定するには、次の手順を使用します。

始める前に

ISOファイルはマスターキーを保持しているため、Hybrid Data Security VMおよび変更が必要な管理者によるアクセスのために、「知る必要性」に基づいてのみ公開する必要があります。これらの管理者だけがデータストアにアクセスできることを確認してください。

コンピュータから ISO ファイルをアップロードします。

VMware vSphere クライアントの左側のナビゲーションペインで、ESXi サーバをクリックします。
[設定] タブの [ハードウェア] リストで、[ストレージ] をクリックします。
[データストア（Datastores）] リストで、仮想マシンのデータストアを右クリックし、[データストアを参照（Browse Datastore）] をクリックします。
[ファイルのアップロード] アイコンをクリックし、[ファイルのアップロード] をクリックします。
コンピュータにISOファイルをダウンロードした場所を参照し、［開く］をクリックします。
アップロード/ダウンロード操作の警告を受け入れるには、[はい] をクリックし、データストアダイアログを閉じます。

ISO ファイルをマウントします。

VMware vSphere クライアントの左ナビゲーションペインで、ESXi サーバーを右クリックし、[設定の編集] をクリックします。
[OK] をクリックして、制限された編集オプションの警告を受け入れます。
クリック CD/DVD Drive 1 、データストア ISO ファイルからマウントするオプションを選択し、構成 ISO ファイルをアップロードした場所を参照します。
接続および電源オン時に接続をオンにします。
変更を保存し、仮想マシンを再起動します。

次に行うこと

IT ポリシーが必要な場合は、すべてのノードが設定変更をピックアップした後、オプションで ISO ファイルのマウントを解除できます。詳細については、「(オプション) HDS 設定後に ISO のマウント解除」を参照してください。

プロキシ統合のために HDS ノードを設定する

ネットワーク環境でプロキシが必要な場合は、この手順を使用して、ハイブリッドデータセキュリティと統合するプロキシのタイプを指定します。透過型のプロキシまたは HTTPS を明示的なプロキシを選択した場合、ノードのインターフェイスを使用してルート証明書をアップロードしてインストールすることができます。インターフェイスからプロキシ接続を確認し、潜在的な問題をトラブルシューティングすることもできます。

始める前に

サポートされているプロキシオプションの概要については、プロキシサポートを参照してください。
プロキシサーバーの要件

1	HDS ノードのセットアップ URL を入力 `https://[HDS Node IP or FQDN]/setup` Web ブラウザで、ノード用に設定した管理者資格情報を入力し、[ サインイン] をクリックします。
2	[信頼ストアとロキシ] に移動して、次のオプションを選択します。プロキシなし—プロキシを統合する前のデフォルトのオプション。証明書の更新は必要ありません。透過型の検査なしのプロキシ—ノードは特定のプロキシサーバーアドレスを使用するように設定されていないため、検査なしのプロキシで動作するように変更を加える必要はありません。証明書の更新は必要ありません。透過トンネリングまたは検査プロキシ—ノードは特定のプロキシサーバーアドレスを使用するように設定されていません。ハイブリッドデータセキュリティの展開では HTTPS 構成の変更は必要ありませんが、HDS ノードはプロキシを信頼できるようにするためにルート証明書を必要とします。プロキシを検査することで、Web サイトにアクセスするか、どのタイプのコンテンツを使用するかを強制するポリシーを施行することができます。このタイプのプロキシは、すべてのトラフィック (HTTPS さえも含む) を復号化します。明示的プロキシ—明示的なプロキシを使用して、使用するプロキシサーバーをクライアント (HDS ノード) を指示し、このオプションはいくつかの認証スキームをサポートします。このオプションを選択した後、次の情報を入力する必要があります。プロキシ IP/FQDN—プロキシマシンに到達するために使用できるアドレス。プロキシポート-プロキシがプロキシトラフィックをリスンするために使用するポート番号。プロキシプロトコル- http (クライアントから受信したすべての要求を表示して管理) または https (クライアントがサーバーへのチャネルを提供し、サーバーの証明書を検証) を選択します。プロキシサーバーがサポートするオプションを選択します。認証タイプ-次の認証タイプから選択します。なし—追加の認証は必要ありません。 HTTP または HTTPS プロキシで利用できます。ベーシック—HTTP ユーザーエージェントがリクエストを行う際にユーザー名とパスワードを指定するために使用されます。 Base64 エンコードを使用します。 HTTP または HTTPS プロキシで利用できます。このオプションを選択した場合は、ユーザー名とパスワードも入力する必要があります。ダイジェスト—機密情報を送信する前にアカウントを確認するために使用されます。ネットワークを経由して送信する前に、ユーザー名およびパスワードにハッシュ機能を適用します。 HTTPS プロキシに対してのみ利用できます。このオプションを選択した場合は、ユーザー名とパスワードも入力する必要があります。透過型検査プロキシ、基本認証を持つ HTTP 明示プロキシ、または HTTPS 明示プロキシについては、次のステップに従ってください。
3	[ルート証明書またはエンティティ終了証明書のアップロード] をクリックし、プロキシのルート証明書を選択するために移動します。証明書はアップロードされていますが、まだインストールされていません。証明書をインストールするにはノードを再起動する必要があります。証明書発行者名の山形矢印をクリックして詳細を確認するか、間違っている場合は [削除] をクリックして、ファイルを再度アップロードしてください。
4	[プロキシ接続を確認する] をクリックして、ノードとプロキシ間のネットワーク接続性をテストします。接続テストが失敗した場合は、エラーメッセージが表示され、問題を解決するための理由と方法が示されます。外部 DNS の解決が正常に行われなかったという内容のメッセージが表示された場合、ノードが DNS サーバーに到達できなかったことを示しています。この状況は、多くの明示的なプロキシ構成で想定されています。セットアップを続行すると、ノードは外部 DNS 解決ブロックモードで機能します。これがエラーと思われる場合は、次の手順を実行し、「ブロックされた外部 DNS 解決モードをオフにする」を参照してください。
5	接続テストが成功した後、明示的なプロキシについては https のみに設定し、このノードからのすべてのポートの 443/444 https 要求を明示的プロキシを通してルーティングするように切り替えます。この設定を有効にするには 15 秒かかります。
6	[すべての証明書を信頼ストアにインストールする(HTTPS 明示プロキシまたは透過型のプロキシで表示される)] または [再起動] をクリックして、プロンプトを読み、準備が完了したら [インストール] をクリックします。ノードが数分以内に再起動されます。
7	ノードが再起動したら、必要に応じて再度サインインして、[概要] ページを開き、接続チェックを確認してすべて緑色のステータスになっていることを確認します。プロキシ接続の確認は webex.com のサブドメインのみをテストします。接続の問題がある場合、インストール手順に記載されているクラウドドメインの一部がプロキシでブロックされているという問題がよく見られます。

クラスタ内の最初のノードを登録する

このタスクでは、ハイブリッドデータセキュリティ仮想マシンのセットアップで作成した汎用ノードを取得し、ノードを Webex クラウドに登録し、ハイブリッドデータセキュリティノードに変換します。

最初のノードを登録するとき、クラスターをノードが指定されている場所に作成します。クラスタには、冗長性を提供するために展開された 1 つ以上のノードが含まれています。

始める前に

一旦ノードの登録を開始すると、60 分以内に完了する必要があり、そうでなければ、再び最初からやり直しになります。
ブラウザのポップアップブロッカーが無効になっているか、または admin.webex.com の例外を許可していることを確認してください。

1	https://admin.webex.comにサインインします。
2	スクリーンの左側にあるメニューからサービスを選択します。
3	[ハイブリッドサービス] セクションで、[ハイブリッドデータセキュリティ] を見つけ、[セットアップ] をクリックします。 [ハイブリッドデータセキュリティノードの登録] ページが表示されます。
4	ノードを設定し、登録する準備ができていることを示すには、「はい」を選択し、「次へ」をクリックします。
5	最初のフィールドに、ハイブリッドデータセキュリティノードを割り当てるクラスタの名前を入力します。クラスタのノードが地理的にどこに配置されているかに基づきクラスタに名前を付けることをお薦めします。例: 「サンフランシスコ」「ニューヨーク」「ダラス」
6	2 番目のフィールドに、ノードの内部 IP アドレスまたは完全修飾ドメイン名（FQDN）を入力し、[次へ] をクリックします。この IP アドレスまたは FQDN は、ハイブリッドデータセキュリティ VM のセットアップで使用した IP アドレスまたはホスト名とドメインと一致する必要があります。ノードを Webex に登録できることを示すメッセージが表示されます。
7	[ノードに進む] をクリックします。
8	警告メッセージの [続ける] をクリックします。しばらくすると、Webex サービスのノード接続テストにリダイレクトされます。すべてのテストが成功すると、[ハイブリッドデータセキュリティノードへのアクセスを許可（Allow Access to Hybrid Data Security Node）] ページが表示されます。ここで、ノードにアクセスする権限を Webex 組織に付与することを確認します。
9	[ハイブリッドデータセキュリティノードへのアクセスを許可] チェックボックスをオンにして、[続行] をクリックします。アカウントが検証され、「登録完了」メッセージは、ノードが Webex クラウドに登録されたことを示します。
10	リンクをクリックするか、タブを閉じて、[Control Hub ハイブリッドデータセキュリティ] ページに戻ります。 [ハイブリッドデータセキュリティ] ページで、登録したノードを含む新しいクラスタが表示されます。ノードはクラウドから最新のソフトウェアを自動的にダウンロードします。

より多くのノードを作成して登録する

クラスタに追加のノードを追加するには、追加の VM を作成し、同じ構成 ISO ファイルをマウントしてから、ノードを登録します。少なくとも 3 つのノードを使用することをお勧めします。

現時点では、「ハイブリッドデータセキュリティの前提条件を完了」で作成したバックアップ VM は、ディザスタリカバリーの場合にのみ使用されるスタンバイホストであり、それまではシステムに登録されていません。詳細については、「スタンバイデータセンターを使用した災害復旧」を参照してください。

始める前に

一旦ノードの登録を開始すると、60 分以内に完了する必要があり、そうでなければ、再び最初からやり直しになります。
ブラウザのポップアップブロッカーが無効になっているか、または admin.webex.com の例外を許可していることを確認してください。

1	OVA から新しい仮想マシンを作成し、「HDS ホスト OVA のインストール」の手順を繰り返します。
2	新しい仮想マシンで初期設定を行い、「ハイブリッドデータセキュリティ仮想マシンのセットアップ」の手順を繰り返します。
3	新しい VM で、「Upload and Mount the HDS Configuration ISO」の手順を繰り返します。
4	展開のプロキシを設定する場合は、新しいノードに必要に応じ「プロキシ統合の HDS ノードを設定する」の手順を繰り返します。
5	ノードを登録します。 https://admin.webex.comで画面の左側にあるメニューからサービスを選択します。 [ハイブリッドサービス] セクションで、ハイブリッドデータセキュリティカードを見つけて、[リソース] をクリックします。 [ハイブリッドデータセキュリティリソース] ページが表示されます。 [リソースの追加] をクリックします。最初のフィールドで、既存のクラスタの名前を選択します。 2 番目のフィールドに、ノードの内部 IP アドレスまたは完全修飾ドメイン名（FQDN）を入力し、[次へ] をクリックします。ノードを Webex クラウドに登録できることを示すメッセージが表示されます。 [ノードに進む] をクリックします。しばらくすると、Webex サービスのノード接続テストにリダイレクトされます。すべてのテストが成功すると、[ハイブリッドデータセキュリティノードへのアクセスを許可（Allow Access to Hybrid Data Security Node）] ページが表示されます。ここで、ノードにアクセスするための権限を組織に付与することを確認します。 [ハイブリッドデータセキュリティノードへのアクセスを許可] チェックボックスをオンにして、[続行] をクリックします。アカウントが検証され、「登録完了」メッセージは、ノードが Webex クラウドに登録されたことを示します。リンクをクリックするか、タブを閉じて、[Control Hub ハイブリッドデータセキュリティ] ページに戻ります。ノードが登録されています。トライアルを開始するまで、ノードはサービスがまだアクティブ化されていないことを示すアラームを生成することに注意してください。

次に行うこと

トライアルを実行して本番環境に移動

プロダクションタスクフローへの試行

ハイブリッドデータセキュリティクラスタをセットアップした後、パイロットを起動し、ユーザーを追加し、本番環境への移行に備えて展開のテストと検証に使用を開始できます。

始める前に

1	必要に応じて、 `HdsTrialGroup` グループオブジェクト。組織でユーザーのディレクトリ同期を使用している場合は、 `HdsTrialGroup` トライアルを開始する前に、クラウドに同期するためのグループオブジェクト。手順については、 Cisco Directory Connector 展開ガイドを参照してください。
2	トライアルの有効化トライアルを開始します。このタスクを実行するまで、ノードはサービスがまだアクティブ化されていないことを示すアラームを生成します。
3	ハイブリッドデータセキュリティ展開をテストする重要な要求がハイブリッドデータセキュリティ展開に渡されていることを確認します。
4	ハイブリッドデータセキュリティの健全性を監視するステータスを確認し、アラームのメール通知を設定します。
5	トライアルからユーザーを追加または削除する
6	以下のいずれかの操作を行い、治験の段階を完了します。トライアルからプロダクションへの移行本番環境に移行せずにトライアルを終了する

トライアルの有効化

始める前に

組織でユーザーのディレクトリ同期を使用している場合は、 HdsTrialGroup 組織のトライアルを開始する前に、クラウドに同期するためのグループオブジェクト。手順については、 Cisco Directory Connector 展開ガイドを参照してください。

1	https://admin.webex.comにサインインし、「サービス」を選択します。
2	[ハイブリッドデータセキュリティ（Hybrid Data Security）] で、[設定] をクリックします。
3	[サービスステータス（Service Status）] セクションで、[トライアルの開始] をクリックします。サービスステータスがトライアルモードに変わります。
4	[ユーザーの追加] をクリックし、暗号化およびインデックスサービスのためにハイブリッドデータセキュリティノードを使用してパイロットする 1 人以上のユーザーのメールアドレスを入力します。 (組織がディレクトリ同期を使用している場合は、Active Directory を使用してトライアルグループを管理します。 `HdsTrialGroup`.)

ハイブリッドデータセキュリティ展開をテストする

この手順を使用して、ハイブリッドデータセキュリティの暗号化シナリオをテストします。

始める前に

ハイブリッドデータセキュリティの展開をセットアップします。
トライアルを有効にし、複数のトライアルユーザーを追加します。
キー要求がハイブリッドデータセキュリティ展開に渡されていることを確認するために、syslog にアクセスできることを確認します。

特定のスペースのキーは、スペースの作成者によって設定されます。パイロットユーザーの 1 人として Webex アプリにサインインし、スペースを作成し、少なくとも 1 人のパイロットユーザーと 1 人の非パイロットユーザーを招待します。

ハイブリッドデータセキュリティの展開を無効にすると、暗号化キーのクライアントキャッシュされたコピーが交換されると、パイロットユーザーが作成したスペースのコンテンツにアクセスできなくなります。

新しいスペースにメッセージを送信します。

syslog 出力をチェックして、キー要求がハイブリッドデータセキュリティ展開に渡されていることを確認します。

ユーザが最初に KMS にセキュアチャネルを確立しているかどうかを確認するには、次のフィルタをオンにします。 kms.data.method=create および kms.data.type=EPHEMERAL_KEY_COLLECTION:

次のようなエントリを見つける必要があります (可読性のために短縮された識別子)。

2020-07-21 17:35:34.562 (+0000) INFO  KMS [pool-14-thread-1] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, 
kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

KMS から既存のキーを要求するユーザーを確認するには、次のフィルタをオンにします。 kms.data.method=retrieve および kms.data.type=KEY:

次のようなエントリを見つける必要があります。

2020-07-21 17:44:19.889 (+0000) INFO  KMS [pool-14-thread-31] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, 
kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, 
kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

新しいKMSキーの作成を要求するユーザーを確認するには、 kms.data.method=create および kms.data.type=KEY_COLLECTION:

次のようなエントリを見つける必要があります。

2020-07-21 17:44:21.975 (+0000) INFO  KMS [pool-14-thread-33] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, 
kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, 
kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

スペースまたは他の保護リソースが作成されたときに新しい KMS リソースオブジェクト (KRO) の作成を要求するユーザを確認するには、次のフィルタをオンにします。 kms.data.method=create および kms.data.type=RESOURCE_COLLECTION:

次のようなエントリを見つける必要があります。

2020-07-21 17:44:22.808 (+0000) INFO  KMS [pool-15-thread-1] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

ハイブリッドデータセキュリティの健全性を監視する

Control Hub 内のステータスインジケータは、ハイブリッドデータセキュリティの展開がうまく機能しているかどうかを示します。より積極的なアラートについては、メール通知にサインアップしてください。サービスに影響を与えるアラームまたはソフトウェアアップグレードがあると通知されます。

1	Control Hubで、画面左側のメニューからサービスを選択します。
2	[ハイブリッドサービス] セクションで、[ハイブリッドデータセキュリティ] を見つけ、[設定] をクリックします。 [ハイブリッドデータセキュリティ設定] ページが表示されます。
3	[メール通知] セクションで、カンマで区切られた 1 つ以上のメールアドレスを入力し、[Enter] を押します。

トライアルからユーザーを追加または削除する

トライアルをアクティベートし、トライアルユーザーの初期セットを追加した後、トライアルがアクティブな間はいつでもトライアルメンバーを追加または削除できます。

トライアルからユーザーを削除すると、ユーザーのクライアントは KMS ではなく、クラウド KMS からキーとキーの作成を要求します。クライアントが KMS に保存されているキーを必要とする場合、クラウド KMS はユーザーに代わってキーを取得します。

組織がディレクトリ同期を使用している場合、Active Directory (この手順の代わりに) を使用してトライアルグループを管理します。 HdsTrialGroup; Control Hub でグループメンバーを表示できますが、追加または削除することはできません。

1	Control Hub にサインインし、[サービス] を選択します。
2	[ハイブリッドデータセキュリティ（Hybrid Data Security）] で、[設定] をクリックします。
3	[サービスステータス（Service Status）] 領域の [トライアルモード（Trial Mode）] セクションで、[ユーザーの追加（Add Users）] をクリックするか、[表示と編集] をクリックしてユーザーをトライアルから削除します。
4	追加する 1 人以上のユーザーのメールアドレスを入力するか、ユーザー ID の X をクリックしてユーザーをトライアルから削除します。その後、[保存] をクリックします。

トライアルからプロダクションへの移行

導入がトライアルユーザーに対してうまく機能していることに満足したら、本番環境に移行できます。本番環境に移行すると、組織内のすべてのユーザーは、暗号化キーやその他のセキュリティ領域サービスにオンプレミスのハイブリッドデータセキュリティドメインを使用します。ディザスタリカバリの一部としてサービスを非アクティブ化しない限り、本番環境からトライアルモードに戻すことはできません。サービスを再アクティブ化するには、新しいトライアルを設定する必要があります。

1	Control Hub にサインインし、[サービス] を選択します。
2	[ハイブリッドデータセキュリティ（Hybrid Data Security）] で、[設定] をクリックします。
3	[サービスステータス（Service Status）] セクションで、[本番環境に移動] をクリックします。
4	すべてのユーザーを本番環境に移行することを確認します。

本番環境に移行せずにトライアルを終了する

トライアル中に、ハイブリッドデータセキュリティの展開を進めないと判断した場合、ハイブリッドデータセキュリティを無効にすることができます。これにより、トライアルが終了し、トライアルユーザーはクラウドデータセキュリティサービスに戻ります。トライアルユーザーは、トライアル中に暗号化されていたデータへのアクセスを失います。

1	Control Hub にサインインし、[サービス] を選択します。
2	[ハイブリッドデータセキュリティ（Hybrid Data Security）] で、[設定] をクリックします。
3	「Deactivate（無効化）」セクションで「Deactivate（無効化）」をクリックします。
4	サービスを無効にしてトライアルを終了することを確認します。

HDS 展開の管理

ここで説明するタスクを使用して、ハイブリッドデータセキュリティの展開を管理します。

クラスタアップグレードスケジュールの設定

ハイブリッドデータセキュリティのソフトウェアアップグレードは、クラスタレベルで自動的に行われ、すべてのノードが常に同じソフトウェアバージョンを実行していることを保証します。アップグレードは、クラスタのアップグレードのスケジュールに従って行われます。ソフトウェアのアップグレードが可能になると、スケジュールされているアップグレードの時間の前に手動で行うことも可能になります。特定のアップグレードのスケジュールを設定するか、毎日午前 3 時 (アメリカ合衆国) に行うというデフォルトのスケジュールも利用可能です。アメリカ/ロサンゼルス必要であれば、次に予定されているアップグレードを延期することも可能です。

アップグレードスケジュールを設定するには:

1	Control Hub にサインインします。
2	[概要] ページの [ハイブリッドサービス] で、[ハイブリッドデータセキュリティ] を選択します。
3	[ハイブリッドデータセキュリティリソース] ページで、クラスタを選択します。
4	右側の [概要] パネルの [クラスタ設定] で、クラスタ名を選択します。
5	設定ページのアップグレードの下で、アップグレードのスケジュール設定を希望する時間およびタイムゾーンを選択します。メモ: タイムゾーンの下に、次に可能なアップグレードの日時が表示されます。必要に応じて、[延期] をクリックすることでアップグレードを翌日に延期することもできます。

ノードの設定を変更する

場合により、以下のような理由でハイブリッドデータセキュリティノードの構成の変更が必要な場合があります。

有効期限が切れる、または他の理由による、x.509 証明書の変更。

証明書の CN ドメイン名の変更はサポートされていません。ドメインは、クラスターを登録するために使用される元のドメインと一致する必要があります。

データベース設定を更新して、PostgreSQL または Microsoft SQL Server データベースのレプリカを変更します。

PostgreSQL から Microsoft SQL Server への、またはその逆へのデータ移行はサポートしていません。データベース環境を切り替えるには、ハイブリッドデータセキュリティの新しい展開を開始します。

新しい構成を作成して新しいデータセンターの準備をする。

また、セキュリティ上の理由により、ハイブリッドデータセキュリティは 9 か月間使用可能なサービスアカウントパスワードを使用します。 HDS セットアップツールがこれらのパスワードを生成した後で、ISO 構成ファイルの各 HDS ノードに展開します。組織のパスワードの有効期限切れが近い場合、Webex チームから「パスワード期限切れ通知」を受け取り、マシンアカウントのパスワードのリセットを求められます。 (メールにはテキスト「マシンアカウント API を使用してパスワードを更新します」を含みます。) パスワードの有効期限が切れるまで時間が十分にある場合、ツールには次の 2 つのオプションがあります:

ソフトリセット— 古いパスワードと新しいパスワードは最大 10 日間有効です。この期間を使用して、ノードの ISO ファイルを段階的に置き換えることができます。
ハードリセット—古いパスワードは即時に機能を停止します。

パスワードをリセットせずに期限切れになる場合、HDS サービスに影響を与える可能性があります。すぐにハードリセットし、すべてのノードの ISO ファイルを置換する必要があります。

この手順を使用して、新しい構成 ISO ファイルを生成し、クラスターに適用します。

始める前に

HDS Setup ツールが環境内のプロキシの後ろで実行されている場合は、1.eで Docker コンテナを起動するときに、Docker 環境変数を使用してプロキシ設定（サーバ、ポート、クレデンシャル）を提供します。この表ではいくつかの可能な環境変数を示します。

説明	変数
認証なしの HTTP プロキシ	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
認証なしの HTTPS プロキシ	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
認証ありの HTTP プロキシ	`GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
認証ありの HTTPS プロキシ	`GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

新しい構成を生成するには、現在の構成 ISO ファイルのコピーが必要です。 ISO には PostgreSQL または Microsoft SQL Server データベースを暗号化するマスターキーを含むです。データベースの証明書、証明書の更新、認証方針への変更を含む、構成の変更を行った場合は ISO が必要です。

ローカルマシンで Docker を使用し、HDS セットアップツールを実行します。

マシンのコマンドラインで、お使い環境に適切なコマンドを入力します。

一般環境:

docker rmi ciscocitg/hds-setup:stable

FedRAMP 環境の場合:

docker rmi ciscocitg/hds-setup-fedramp:stable

Docker 画像レジストリにサインインするには、以下を入力します。
```
docker login -u hdscustomersro
```
パスワードのプロンプトに対して、このハッシュを入力します。
```
dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
```

お使い環境に合った最新の安定した画像をダウンロードします。

一般環境:

docker pull ciscocitg/hds-setup:stable

FedRAMP 環境の場合:

docker pull ciscocitg/hds-setup-fedramp:stable

この手順に最新のセットアップツールをプルしていることを確認します。 2018 年 2 月 22 日より前に作成されたツールのバージョンには、パスワードリセット画面が表示されません。

プルが完了したら、お使いの環境に適切なコマンドを入力します。

プロキシなしの通常の環境の場合:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

HTTP プロキシがある通常の環境の場合、

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

HTTPS プロキシがある通常の環境の場合:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

プロキシなしの FedRAMP 環境の場合:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

HTTP プロキシがある FedRAMP 環境の場合:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

HTTPS プロキシがある FedRAMP 環境の場合:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

コンテナが実行中の時。「ポート 8080 で Express サーバーリスニング中」と表示されます。

ブラウザを使用して、ローカルホストに接続します。 http://127.0.0.1:8080 です。

Setup ツールは、http://localhost:8080 を介した localhost への接続をサポートしていません。 http://127.0.0.1:8080を使用してlocalhostに接続します。

指示されたら、 Control Hub の顧客サインイン資格情報を入力し、[同意] をクリックして続行します。
現在の構成 ISO ファイルをインポートします。
指示に従い、ツールを完了し、更新されたファイルをダウンロードします。

セットアップツールをシャットダウンするために次のように入力します。 CTRL+C です。
更新されたファイルのバックアップコピーを別のデータセンターに作成します。

を実行している HDS ノードが 1 個のみある場合、新しいノード VM を作成し、新しいハイブリッドデータセキュリティノード VM を作成し、新しい構成 ISO ファイルを使用してそれを登録します。手順の詳細については、「追加のノードを作成して登録する」を参照してください。

HDS 主催者 OVA をインストールします。
HDS VM をセットアップします。
更新された構成ファイルをマウントします。
Control Hub の新しいノードを登録します。

古い構成ファイルを実行している既存の HDS ノードの場合、ISO ファイルをマウントします。各ノードで以下の手順を実行し、次のノードをオフにする前に、各ノードを更新します。

仮想マシンをオフにします。
VMware vSphere クライアントの左ナビゲーションペインで、ESXi サーバーを右クリックし、[設定の編集] をクリックします。
クリック CD/DVD Drive 1[CD/DVD Drive 1] をクリックし、ISO ファイルからマウントするオプションを選択して、新規構成 ISO ファイルをダウンロードした場所を参照します。
[電源に接続する] をチェックします。
変更を保存し、仮想マシンを起動します。

ステップ 3 を繰り返し、古い構成ファイルを実行している残りの各ノードで構成を置き換えます。

外部 DNS 解決ブロックモードをオフにする

ノードを登録するか、またはノードのプロキシ構成を確認するとき、プロセスは DNS 検索と Cisco Webex クラウドへの接続をテストします。ノードの DNS サーバーがパブリック DNS 名を解決できない場合、ノードは自動的に外部 DNS 解決ブロックモードに進みます。

ノードが内部 DNS サーバーを通してパブリック DNS 名を解決できる場合、各ノードでプロキシ接続テストを再実行することで、このモードをオフにすることができます。

始める前に

内部 DNS サーバーがパブリック DNS 名を解決でき、ノードがそれらと通信できることを確認します。

1	Web ブラウザで、ハイブリッドデータセキュリティノードインターフェイス (IP アドレス/セットアップ、たとえば、ノードに設定した管理者資格情報をhttps://192.0.2.0/setup), 入力し、[サインイン] をクリックします。
2	[概要] (デフォルトページ) に移動します。有効になっている場合、 [外部 DNS 解決ブロック] は [はい] に設定されています。
3	[信頼ストアとプロキシ] ページに移動します。
4	[プロキシ接続を確認する] をクリックします。外部 DNS の解決が正常に行われなかったという内容のメッセージが表示された場合、ノードが DNS サーバーに到達できなかったことを示しており、このモードに留まっています。そうでない場合には、ノードを再起動して[概要] ページに戻ると、[外部 DNS 解決ブロック] は [いいえ] に設定されるはずです。

次に行うこと

ハイブリッドデータセキュリティクラスターの各ノードで、プロキシ接続テストを繰り返します。

ノードの削除

この手順を使用して、Webex クラウドからハイブリッドデータセキュリティノードを削除します。クラスタからノードを削除した後、仮想マシンを削除して、セキュリティデータへのさらなるアクセスを防止します。

コンピュータの VMware vSphere クライアントを使用して、ESXi 仮想ホストにログインし、仮想マシンの電源を切ります。

ノードを削除します。

Control Hub にサインインし、[サービス] を選択します。
ハイブリッドデータセキュリティカードで、すべて表示 [ハイブリッドデータセキュリティリソース] ページを表示します。
クラスタを選択して [概要] パネルを表示します。
[ノードリストを開く] をクリックします。
[ノード] タブで、削除するノードを選択します。
をクリックします。アクション > ノードの登録解除

vSphere クライアントで、仮想マシンを削除します (左側のナビゲーションペインで、仮想マシンを右クリックし、[削除] をクリックします)。

仮想マシンを削除しない場合は、設定の ISO ファイルのマウントを解除することを忘れないでください。 ISO ファイルがないと、VM を使用してセキュリティデータにアクセスすることはできません。

スタンバイデータセンターを使用したディザスタリカバリ

ハイブリッドデータセキュリティクラスタが提供する最も重要なサービスは、Webex クラウドに保存されているメッセージやその他のコンテンツを暗号化するために使用されるキーの作成と保存です。ハイブリッドデータセキュリティに割り当てられている組織内の各ユーザーについて、新しいキー作成要求がクラスタにルーティングされます。また、クラスタは、作成したキーを、カンバセーションスペースのメンバーなど、取得を許可されたユーザーに返却する責任があります。

クラスタは、これらのキーを提供するという重要な機能を実行するため、クラスタが実行され、適切なバックアップが維持されることが不可欠です。ハイブリッドデータセキュリティデータベースまたはスキーマに使用されている構成 ISO が失われると、顧客のコンテンツが回復不能に失われます。このような損失を防ぐには、以下の慣行が必須です。

災害により、プライマリデータセンターの HDS 展開が使用できなくなる場合は、次の手順に従って、スタンバイデータセンターに手動でフェールオーバーします。

HDS Setupツールを起動し、「HDSホストの設定ISOを作成する」の手順に従います。

Syslogdサーバーを構成した後、[詳細設定]をクリックします。

［詳細設定］ページで、以下の設定を追加するか、 passiveMode ノードをアクティブにする設定。ノードは、これが設定されるとトラフィックを処理できます。


passiveMode: 'false'

構成プロセスを完了し、見つけやすい場所にISOファイルを保存します。

VMware vSphere クライアントの左側のナビゲーションペインで、仮想マシンを右クリックし、[設定の編集] をクリックします。

［設定の編集］>［CD/DVDドライブ1］をクリックし、［データストアISOファイル］を選択します。

ノードを開始した後で、更新された設定変更を有効にするために、「接続」および「電源投入時に接続」がオンになっていることを確認します。

HDS ノードの電源を入れ、少なくとも 15 分間アラームがないことを確認します。

スタンバイデータセンター内のすべてのノードに対してプロセスを繰り返します。

Syslog 出力をチェックして、スタンバイデータセンターのノードがパッシブモードでないことを確認します。「パッシブモードで設定された KMS」は syslogs には表示されません。

次に行うこと

フェールオーバー後、プライマリデータセンターが再びアクティブになった場合は、「災害復旧用のスタンバイデータセンターを設定」で説明されている手順に従って、スタンバイデータセンターを再びパッシブモードにします。

（オプション）HDS設定後にISOをアンマウントする

標準の HDS 構成は、ISO マウントで実行されます。しかし、一部の顧客は、ISOファイルを継続的にマウントしたままにしないことを好みます。すべての HDS ノードが新しい設定をピックアップした後、ISO ファイルのマウントを解除できます。

ISO ファイルを使用して、設定を変更します。新しい ISO を作成するか、セットアップツールを使用して ISO を更新する場合は、更新された ISO をすべての HDS ノードにマウントする必要があります。すべてのノードが設定変更をピックアップしたら、この手順で再び ISO のマウントを解除できます。

始める前に

すべての HDS ノードをバージョン 2021.01.22.4720 以降にアップグレードします。

1	1 つの HDS ノードをシャットダウンします。
2	vCenter Server Appliance で、HDS ノードを選択します。
3	を選択［設定の編集］ > ［CD/DVDドライブ］を選択し、［データストアISOファイル］のチェックを外します。
4	HDS ノードの電源を入れ、少なくとも 20 分間アラームがないことを確認します。
5	HDS ノードごとに順番に繰り返します。

ハイブリッドデータセキュリティのトラブルシューティング

アラートとトラブルシューティングの表示

ハイブリッドデータセキュリティの展開は、クラスタ内のすべてのノードに到達できない場合、またはクラスタが非常にゆっくりと動作しているため、要求がタイムアウトした場合、利用できないと見なされます。ユーザーがハイブリッドデータセキュリティクラスタに到達できない場合、次の症状が発生します。

新しいスペースを作成できません (新しいキーを作成できません)
メッセージとスペースタイトルの復号に失敗する:
- 新規ユーザーがスペースに追加されました (キーを取得できません)
- 新しいクライアントを使用するスペース内の既存のユーザー (キーを取得できません)
スペース内の既存のユーザーは、クライアントが暗号化キーのキャッシュを持っている限り、正常に動作し続けます。

ハイブリッドデータセキュリティクラスタを適切に監視し、サービスの中断を避けるために速やかにアラートに対処することが重要です。

警告

ハイブリッドデータセキュリティのセットアップに問題がある場合、Control Hub は組織管理者にアラートを表示し、設定されたメールアドレスにメールを送信します。アラートは、多くの一般的なシナリオをカバーしています。

表 1. 一般的な問題とそれらを解決するためのステップ
警告	アクション
ローカルデータべースへのアクセスに失敗しました。	データベースエラーまたはローカルネットワークの問題を確認します。
ローカルデータベース接続に失敗しました。	データベースサーバが使用可能であり、ノード設定で適切なサービスアカウントクレデンシャルが使用されていることを確認します。
クラウドサービスへのアクセスに失敗しました。	外部接続要件で指定されているように、ノードが Webex サーバーにアクセスできることを確認します。
クラウドサービス登録の更新。	クラウドサービスへの登録が削除されました。登録の更新が進行中です。
クラウドサービスの登録が削除されました。	クラウドサービスへの登録が終了しました。サービスが停止しています。
サービスはまだアクティベートされていません。	トライアルを有効にするか、トライアルを本番環境に移行します。
設定されたドメインがサーバー証明書と一致しません。	サーバー証明書が設定されたサービスアクティベーションドメインと一致していることを確認します。最も可能性の高い原因は、証明書 CN が最近変更され、初期設定で使用された CN とは異なるようになったためです。
クラウドサービスの認証に失敗しました。	サービスアカウントの資格情報の正確さと有効期限の可否を確認します。
ローカルキーストアファイルを開くことができませんでした。	ローカルキーストアファイルの整合性とパスワードの正確性を確認します。
ローカルサーバー証明書が無効です。	サーバ証明書の有効期限を確認し、信頼できる認証局によって発行されていることを確認します。
メトリクスを投稿できません。	外部クラウドサービスへのローカルネットワークアクセスを確認します。
/media/configdrive/hds ディレクトリが存在しません。	仮想ホストの ISO マウント設定を確認します。 ISO ファイルが存在すること、再起動時にマウントするように設定されていること、正常にマウントされていることを確認します。

ハイブリッドデータセキュリティのトラブルシューティング

ハイブリッドデータセキュリティの問題をトラブルシューティングする場合は、次の一般的なガイドラインを使用します。

1	アラートについては Control Hub を確認し、見つかった項目を修正します。
2	ハイブリッドデータセキュリティ展開からのアクティビティの syslog サーバー出力を確認します。
3	Cisco サポートにお問い合わせください。

その他の注意事項

ハイブリッドデータセキュリティの既知の問題

ハイブリッドデータセキュリティクラスタをシャットダウンする (Control Hub で削除するか、すべてのノードをシャットダウンする)、構成 ISO ファイルを失う、またはキーストアデータベースへのアクセスを失う場合、Webex アプリのユーザーは、KMS のキーを使用して作成された [ユーザー] リストの下のスペースを使用できなくなります。これは、トライアル展開と本番展開の両方に適用されます。現在、この問題の回避策や修正はありません。HDS サービスがアクティブなユーザーアカウントを処理したら、HDS サービスをシャットダウンしないようにしてください。
KMS への既存の ECDH 接続を持つクライアントは、その接続を一定期間 (おそらく 1 時間) 維持します。ユーザーがハイブリッドデータセキュリティトライアルのメンバーになると、ユーザーのクライアントは、タイムアウトするまで既存の ECDH 接続を引き続き使用します。代わりに、ユーザーは Webex アプリアプリにサインアウトして再度ログインして、アプリが暗号化キーの連絡先を更新できます。

同じ動作は、組織のトライアルを本番環境に移行する場合にも発生します。以前のデータセキュリティサービスへの既存の ECDH 接続を持つすべての非トライアルユーザーは、ECDH 接続が再ネゴシエートされるまで (タイムアウトまたはサインアウトして戻る)、これらのサービスを使用し続けます。

OpenSSL を使用して PKCS12 ファイルを生成する

始める前に

OpenSSLは、HDSセットアップツールでロードするための適切な形式でPKCS12ファイルを作成するために使用できるツールの1つです。これを行うには他の方法があり、私たちは別の方法よりも支持または促進しません。
OpenSSLを使用することを選択した場合は、X.509証明書要件を満たすファイルを作成するのに役立つガイドラインとして、この手順を提供しています。 X.509 証明書の要件は... 続行する前にこれらの要件を理解してください。
サポートされている環境で OpenSSL をインストールします。ソフトウェアとマニュアルについてはhttps://www.openssl.orgを参照してください。
秘密鍵を作成します。
認証局（CA）からサーバ証明書を受け取ったら、この手順を開始します。

1	CA からサーバー証明書を受け取ったら、次のように保存します。 `hdsnode.pem` です。
2	証明書をテキストとして表示し、詳細を確認します。 `openssl x509 -text -noout -in hdsnode.pem`
3	テキストエディタを使用して、証明書バンドルファイルを作成します。 `hdsnode-bundle.pem` です。バンドルファイルには、次の形式で、サーバ証明書、中間の CA 証明書、ルート CA 証明書を含める必要があります。 `-----BEGIN CERTIFICATE----- ### Server certificate. ### -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ### Intermediate CA certificate. ### -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ### Root CA certificate. ### -----END CERTIFICATE-----`
4	親しみやすい名前で .p12 ファイルを作成する `kms-private-key` です。 `openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12`
5	サーバ証明書の詳細を確認してください。 `openssl pkcs12 -in hdsnode.p12` プロンプトでパスワードを入力して、秘密キーを出力に表示するように暗号化します。次に、秘密鍵と最初の証明書に、回線が含まれていることを確認します。 `friendlyName: kms-private-key`です。例: bash$ openssl pkcs12 -in hdsnode.p12 Enter Import Password: MAC verified OK Bag Attributes friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Key Attributes: <No Attributes> Enter PEM pass phrase: Verifying - Enter PEM pass phrase: -----BEGIN ENCRYPTED PRIVATE KEY----- <redacted> -----END ENCRYPTED PRIVATE KEY----- Bag Attributes friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 -----BEGIN CERTIFICATE----- <redacted> -----END CERTIFICATE----- Bag Attributes friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3 -----BEGIN CERTIFICATE----- <redacted> -----END CERTIFICATE-----

次に行うこと

「ハイブリッドデータセキュリティの前提条件を満たす」に戻ります。次を使用します: hdsnode.p12［HDSホストの設定ISOの作成］で設定したファイルとパスワード。

これらのファイルを再使用して、元の証明書の有効期限が切れたときに新しい証明書を要求できます。

HDS ノードとクラウド間のトラフィック

アウトバウンドメトリック収集トラフィック

ハイブリッドデータセキュリティノードは、Webex クラウドに特定のメトリックを送信します。これには、ヒープ最大、使用されるヒープ、CPU 負荷、およびスレッド数のシステムメトリクス、同期スレッドと非同期スレッドのメトリクス、暗号化接続のしきい値、遅延、またはリクエストキュー長を含むアラートのメトリクス、データストアのメトリクス、および暗号化接続メトリックが含まれます。ノードは、（リクエストとは別に）帯域外チャネル上で暗号化されたキー素材を送信します。

着信トラフィック

ハイブリッドデータセキュリティノードは、Webex クラウドから次のタイプのインバウンドトラフィックを受信します。

暗号化サービスによってルーティングされるクライアントからの暗号化要求
ノードソフトウェアへのアップグレード

ハイブリッドデータセキュリティの Squid プロキシを設定する

Websocket は Squid プロキシを通じて接続できません

Mサイズは箱入りとなります Sサイズは箱なしでのラッピングとなりますギフトボックス・ラッピングについて＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿ wss:) ハイブリッドデータセキュリティが必要とする接続。これらのセクションでは、無視するためにさまざまなバージョンの Squid を設定する方法について説明します。 wss: これは、サービスの適切な運用のためのトラフィックです。

Squid 4 および5

次を追加します: on_unsupported_protocol 指示する squid.conf:

on_unsupported_protocol tunnel all

Squid 3.5.27

次のルールが追加され、ハイブリッドデータセキュリティが正常にテストされました。 squid.conf です。これらのルールは、機能を開発し、Webex クラウドを更新する際に変更されることがあります。

acl wssMercuryConnection ssl::server_name_regex mercury-connection

ssl_bump splice wssMercuryConnection

acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all

はじめに

新規および変更された情報

日付

変更履歴

2023年10月20日。

データベースサーバーの要件に関する情報を更新しました。
Setup Standby Data Center for Disaster Recoveryを追加しました。
Standby Data Center for Disaster RecoveryおよびStandby Data Centerを使用した災害復旧の情報を更新しました。

2023年8月7日。

インストールファイルのダウンロードにメモを追加しました。
「HDS ホスト用の設定 ISO の作成」および「ノード設定の変更」にメモを追加しました。

2023年5月23日。

アカウントチームに連絡して機能を有効にすることを要求するデータベースサーバーの要件から削除された情報。
外部接続要件の情報を更新し、カナダをCIホストテーブルに追加しました。
キーをクラウドに戻すためのメカニズムが利用できないことに関する「ハイブリッドデータセキュリティの展開に関する期待」のメモを追加しました。

2022 年 12 月 06 日

HDS セットアップツールイメージが ciscocitg dockerhub レポジトリ。
更新HDSホストの設定ISOの作成およびノード設定の変更のトピックを更新し、コマンドの変更をやり直しました。

2022年11月23日。

HDS ノードは、Microsoft SQL Server に対して Windows 認証を使用できるようになりました。

データベースサーバーの要件のトピックを更新し、この認証モードの要件を追加しました。

ノードでWindows認証を設定する手順を使用して、「HDSホストの設定ISOを作成する」を更新しました。
必要最小限のバージョン（PostgreSQL 10）でデータベースサーバーの要件トピックを更新しました。

2021 年 10 月 13 日

2017 年 6 月 24 日

2021 年 4 月 30 日

ローカルハードディスクスペースの VM 要件を 30 GB に変更しました。詳細については、「仮想ホスト要件」を参照してください。

2021 年 2 月 24 日

2021 年 2 月 2 日

2021年1月11日。

HDSセットアップツールとプロキシに関する情報を追加し、HDSホストの設定ISOを作成しました。

2020/10/13

インストールファイルのダウンロードを更新しました。

2020/10/08

更新HDSホスト用の構成ISOの作成およびFedRAMP環境のコマンドによるノード構成の変更。

2020 年 8 月 14 日

サインインプロセスの変更に伴い、「HDS ホストの構成 ISO を作成する」および「ノード構成を変更する」が更新されました。

2020年8月5日水曜日

ログメッセージの変更に関するハイブリッドデータセキュリティ展開のテストを更新しました。

ホストの最大数を削除する仮想ホスト要件を更新しました。

2020 年 6 月 16 日

Control Hub UI の変更に関するノードの削除を更新しました。

2020 年 6 月 4 日

設定する詳細設定の変更に関するHDS ホストの設定 ISO の作成を更新しました。

2020 年 5 月 29 日

SQL Serverデータベース、UI変更、およびその他の説明でTLSを使用できることを示すために、HDSホストの構成ISOを作成するを更新しました。

2020 年 5 月 5 日

ESXi 6.5 の新しい要件を表示するために、仮想ホスト要件を更新しました。

2020 年 4 月 21 日

新しい Americas CI ホストとの外部接続要件が更新されました。

2020 年 4 月 1 日

地域 CI ホストに関する情報で外部接続要件が更新されました。

2020年2月20日水曜日 HDSセットアップツールの新しいオプションの詳細設定画面に関する情報を記載したHDSホストの設定ISOを作成を更新しました。

2020年2月4日。プロキシサーバーの要件を更新しました。

2019年12月16日ブロックされた外部 DNS 解決モードがプロキシサーバーの要件で動作する要件を明確化しました。

2019 年 11 月 19 日

次のセクションで、ブロックされた外部 DNS 解決モードに関する情報を追加しました。

プロキシサポート
プロキシ統合のために HDS ノードを設定する
外部 DNS 解決ブロックモードをオフにする

2019 年 11 月 8 日

OVA を後で展開するのではなく、ノードのネットワーク設定を構成できるようになりました。

以下のセクションを適宜更新しました。

ハイブリッドデータセキュリティ展開タスクフロー
HDS ホスト OVA のインストール
ハイブリッドデータセキュリティ VM のセットアップ

2019年9月6日水曜日

データベースサーバーの要件にSQL Server Standardを追加しました。

2019 年 8 月 20 日

Webex クラウドへのハイブリッドデータセキュリティノード通信のプロキシサポートをカバーするセクションを追加および更新しました。

プロキシサポート
プロキシサーバーの要件
プロキシ統合のために HDS ノードを設定する

2019年3月6日（火）

要件と前提条件を別の章に移動しました。環境の準備です。
追加されたハイブリッドデータセキュリティ展開タスクフローチャプターの概要ハイブリッドデータセキュリティクラスタのセットアップは...

トライアルを開始するまで (後続の章の手順を使用)、ノードはサービスがまだアクティブ化されていないことを示すアラームを生成することに注意してください。
「トライアルを実行して本番環境に移動」の章に「本番環境タスクフローにトライアル」を追加しました。

2019 年 2 月 28 日

ハイブリッドデータセキュリティノードとなる仮想ホストを 50 GB から 20 GB に準備するときに、OVA が作成するディスクのサイズを反映させるために、サーバあたりのローカルハードディスクの空き容量を修正しました。

2019 年 2 月 26 日

ハイブリッドデータセキュリティノードは、PostgreSQL データベースサーバとの暗号化された接続、および TLS 対応の syslog サーバへの暗号化されたロギング接続をサポートするようになりました。手順が記載された「HDS ホストの設定 ISO を作成」を更新しました。
「ハイブリッドデータセキュリティノード VM のインターネット接続要件」の表から移動先 URL を削除しました。この表は、Webex Teams サービスのネットワーク要件の「Webex Teams ハイブリッドサービスの追加 URL」表で維持されているリストを参照しています。

2019 年 1 月 24 日

2018年11月5日。

「HDS ホストの設定 ISO を作成する」と「ノード設定を変更する」で、既存の docker hds インスタンスをクリーンアップするための予備ステップを追加しました。
インターフェイスに一致するHDS ホスト用の設定 ISO の作成のキーアクセスレベルステップを更新しました。

2018年10月19日水曜日

ファイアウォール接続情報をノード要件とISO構成マシン要件に分割し、「ハイブリッドデータセキュリティの前提条件を満たす」を選択します。

2018 年 7 月 31 日

ハイブリッドデータセキュリティの前提条件を満たすために、ポート 22（SSH アクセス）と NAT およびファイアウォール接続に関する情報を追加しました。

2018/05/21

Cisco Spark のリブランディングを反映する用語の変更:

Cisco Spark ハイブリッドデータセキュリティがハイブリッドデータセキュリティになりました。
Cisco Spark アプリが Webex アプリアプリになりました。
Cisco Collaboraton Cloud は Webex クラウドになりました。

2018年4月11日。

災害復旧用スタンバイデータセンターを追加。
更新ハイブリッドデータセキュリティの前提条件を完了して、バックアップ環境を別のデータセンターにする必要があることを指定しました。
スタンバイデータセンターを使用したディザスタリカバリを更新。

2018年2月22日水曜日

サービスアカウントパスワードの9か月の寿命と、HDSセットアップツールを使用してサービスアカウントパスワードをリセットする方法についての情報を追加しました。「HDSホストの設定ISOの作成」および「ノード設定の変更」を参照してください。

2018 年 2 月 15 日

X.509証明書の要件表では、証明書がワイルドカード証明書にはならないこと、KMSがCNドメインを使用していること、x.509v3 SANフィールドで定義されているドメインではないことが指定されています。

2018 年 1 月 18 日

付録「HDSノードとクラウド間のトラフィック」を追加。
ハイブリッドデータセキュリティの既知の問題から解決済みの問題を削除しました。
index.docker.io を *.docker.io に変更し、*.cloudfront.net を HDS ノードの TCP 接続要件のリストに追加しました。ハイブリッドデータセキュリティの前提条件を完了します。
データベースホストと Syslogd サーバが HDS ノードから DNS 解決可能でない場合、IP アドレスを使用して設定する必要があることを示すために、HDS ホストの構成 ISO を作成するを更新しました。

2017年11月2日。

HdsTrialGroup のディレクトリ同期を明確にしました。
VM ノードにマウントするための ISO 設定ファイルをアップロードする手順を修正しました。

2017年8月18日。

初公開。

ハイブリッドデータセキュリティの使用を開始する

ハイブリッドデータセキュリティの概要

セキュリティRealmアーキテクチャ

Webex クラウドアーキテクチャは、以下に示すように、さまざまなタイプのサービスを別々の領域、または信頼ドメインに分離します。

クライアントは、キー管理サービス（KMS）とのセキュアな接続を確立し、メッセージを暗号化するためのキーを要求します。安全な接続は ECDH を使用し、KMS は AES-256 マスターキーを使用してキーを暗号化します。
メッセージはクライアントを離れる前に暗号化されます。クライアントはインデックスをインデックスサービスに送信します。これにより、暗号化された検索インデックスが作成され、今後のコンテンツの検索に役立ちます。
暗号化されたメッセージは、コンプライアンスチェックのためにコンプライアンスサービスに送信されます。
暗号化されたメッセージはストレージ領域に保存されます。

他の組織との連携

ハイブリッドデータセキュリティの展開への期待

ハイブリッドデータセキュリティの展開には、重要な顧客のコミットメントと、暗号化キーの所有に伴うリスクの認識が必要です。

ハイブリッドデータセキュリティを展開するには、以下を提供する必要があります。

Cisco Webex Teams プランでサポートされている国の安全なデータセンター。
環境の準備で説明する装置、ソフトウェア、およびネットワークアクセス。

データベースのバックアップとリカバリ、および構成ISOを管理します。
データベースのディスク障害やデータセンター障害などの大災害が発生した場合、迅速な災害復旧を実行する準備をしてください。

HDS 導入後にキーをクラウドに戻すメカニズムはありません。

高レベルのセットアッププロセス

このドキュメントでは、ハイブリッドデータセキュリティ展開のセットアップと管理について説明します。

ハイブリッドデータセキュリティのセットアップ—これには、必要なインフラストラクチャの準備とハイブリッドデータセキュリティソフトウェアのインストール、トライアルモードでのユーザーのサブセットを使用した展開のテスト、テストが完了すると本番環境に移行することが含まれます。これにより、組織全体がセキュリティ機能にハイブリッドデータセキュリティクラスタを使用できるようになります。
セットアップ、トライアル、および生産の各段階は、次の3つの章で詳しく説明されています。
ハイブリッドデータセキュリティの展開を維持する—Webex クラウドは自動的に継続的なアップグレードを提供します。 IT 部門は、この展開に対してティア 1 のサポートを提供し、必要に応じてシスコのサポートを引き受けることができます。画面上の通知を使用し、Control Hub でメールベースのアラートを設定できます。
一般的なアラート、トラブルシューティング手順、および既知の問題について理解する—ハイブリッドデータセキュリティの展開または使用で問題が発生した場合、このガイドの最後の章と既知の問題の付録は、問題を決定および修正するのに役立ちます。

ハイブリッドデータセキュリティ展開モデル

ハイブリッドデータセキュリティ展開モデル

組織ごとに 1 つのクラスタのみをサポートします。

ハイブリッドデータセキュリティトライアルモード

災害復旧のためのスタンバイデータセンター

アクティブなハイブリッドデータセキュリティノードは、常にアクティブなデータベースサーバと同じデータセンターにある必要があります。

災害復旧のためのスタンバイデータセンターを設定

スタンバイデータセンターの ISO ファイルを設定するには、以下の手順に従います。

始める前に

スタンバイデータセンターは、VMとバックアップPostgreSQLまたはMicrosoft SQL Serverデータベースの生産環境をミラーリングする必要があります。たとえば、本番環境に HDS ノードを実行する 3 台の仮想マシンがある場合、バックアップ環境には 3 台の仮想マシンが必要です (このフェールオーバーモデルの概要については、「Standby Data Center for Disaster Recovery」を参照してください)。
アクティブクラスタノードとパッシブクラスタノードのデータベース間でデータベース同期が有効になっていることを確認します。

HDS Setupツールを起動し、「HDSホストの設定ISOを作成する」の手順に従います。

ISO ファイルは、次の構成更新を行うプライマリデータセンターの原本 ISO ファイルのコピーである必要があります。

Syslogdサーバーを構成した後、[詳細設定]をクリックします。


passiveMode: 'true'

構成プロセスを完了し、見つけやすい場所にISOファイルを保存します。

VMware vSphere クライアントの左側のナビゲーションペインで、仮想マシンを右クリックし、[設定の編集] をクリックします。

［設定の編集］>［CD/DVDドライブ1］をクリックし、［データストアISOファイル］を選択します。

ノードを開始した後で、更新された設定変更を有効にするために、「接続」および「電源投入時に接続」がオンになっていることを確認します。

HDS ノードの電源を入れ、少なくとも 15 分間アラームがないことを確認します。

スタンバイデータセンター内のすべてのノードに対してプロセスを繰り返します。

次に行うこと

プロキシサポート

ハイブリッドデータセキュリティノードは、以下のプロキシオプションをサポートしています。

プロキシなし—プロキシを統合するために、HDS ノードセットアップの信頼ストアとプロキシ設定を使用しない場合は、デフォルトになります。証明書の更新は必要ありません。
透過型の検査なしのプロキシ—ノードは特定のプロキシサーバーアドレスを使用するように設定されていないため、検査なしのプロキシで動作するように変更を加える必要はありません。証明書の更新は必要ありません。
透過トンネリングまたは検査プロキシ—ノードは特定のプロキシサーバーアドレスを使用するように設定されていません。ノードでは、HTTP または HTTPS の設定変更は必要ありません。ただし、ノードはプロキシを信頼するためにルート証明書を必要とします。プロキシを検査することで、Web サイトにアクセスするか、どのタイプのコンテンツを使用するかを強制するポリシーを施行することができます。このタイプのプロキシは、すべてのトラフィック (HTTPS さえも含む) を復号化します。
明示的プロキシ—明示的なプロキシを使用して、使用するプロキシサーバーと認証スキームを指定します。明示的なプロキシを設定するには、各ノードに次の情報を入力する必要があります。
1. プロキシ IP/FQDN—プロキシマシンに到達するために使用できるアドレス。
2. プロキシポート-プロキシがプロキシトラフィックをリスンするために使用するポート番号。
3. プロキシプロトコル-プロキシサーバーがサポートするものに応じて、次のいずれかのプロトコルを選択します。
  - HTTP—クライアントが送信するすべての要求を表示し、コントロールします。
  - HTTPS—サーバーにチャネルを提供します。クライアントがサーバーの証明書を受け取り、検証します。
4. 認証タイプ-次の認証タイプから選択します。
  - なし—追加の認証は必要ありません。
    
    プロキシプロトコルとして HTTP または HTTPS のいずれかを選択した場合に利用できます。
  - ベーシック—HTTP ユーザーエージェントがリクエストを行う際にユーザー名とパスワードを指定するために使用されます。 Base64 エンコードを使用します。
    
    プロキシプロトコルとして HTTP または HTTPS のいずれかを選択した場合に利用できます。
    
    各ノードにユーザー名とパスワードを入力する必要があります。
  - ダイジェスト—機密情報を送信する前にアカウントを確認するために使用されます。ネットワークを経由して送信する前に、ユーザー名およびパスワードにハッシュ機能を適用します。
    
    プロキシプロトコルとして HTTPS を選択した場合にのみ利用できます。
    
    各ノードにユーザー名とパスワードを入力する必要があります。

ハイブリッドデータセキュリティノードとプロキシの例

外部 DNS 解決ブロックモード (明示的プロキシ構成)

環境の準備

ハイブリッドデータセキュリティの要件

Cisco Webex ライセンス要件

ハイブリッドデータセキュリティを展開するには:

Cisco Webex Control Hub 用の Pro Pack が必要です (https://www.cisco.com/go/pro-pack を参照してください)。

Docker デスクトップの要件

X.509 証明書の要件

証明書チェーンは、次の要件を満たしている必要があります。

表 1. ハイブリッドデータセキュリティ展開の X.509 証明書要件
要件	の詳細
信頼できる認証局 (CA) によって署名された	デフォルトでは、https://wiki.mozilla.org/CA:IncludedCAsでMozillaリスト（WoSignとStartComを除く）のCAを信頼しています。
ハイブリッドデータセキュリティの展開を識別する共通名 (CN) ドメイン名を持つワイルドカード証明書ではありません	CN に到達可能またはライブホストである必要はありません。組織を反映する名前を使用することを推奨します。たとえば、 `hds.company.com` です。 CN に * (ワイルドカード) を含めることはできません。 CN は、Webex アプリクライアントへのハイブリッドデータセキュリティノードを確認するために使用されます。クラスタ内のすべてのハイブリッドデータセキュリティノードが同じ証明書を使用します。 KMS は、x.509v3 SAN フィールドで定義されているドメインではなく、CN ドメインを使用して自身を識別します。この証明書でノードを登録すると、CN ドメイン名の変更はサポートされません。トライアル展開と本番展開の両方に適用できるドメインを選択します。
非SHA1署名	KMS ソフトウェアは、他の組織の KMS への接続を検証するための SHA1 署名をサポートしていません。
パスワードで保護されたPKCS #12ファイルとしてフォーマット親しみやすい名前を使用する `kms-private-key` 証明書、秘密キー、およびアップロードする中間証明書をタグ付けします。	OpenSSL などのコンバータを使用して、証明書の形式を変更できます。 HDSセットアップツールを実行するときは、パスワードを入力する必要があります。

仮想ホストの要件

クラスタ内のハイブリッドデータセキュリティノードとして設定する仮想ホストには、次の要件があります。

同じセキュアデータセンターでコロケーションされた少なくとも 2 つの別のホスト (3 つの推奨)
VMware ESXi 6.5 (またはそれ以降) がインストールされ、実行されています。

以前のバージョンの ESXi がある場合は、アップグレードする必要があります。
最低4vCPU、8GBメインメモリ、サーバーあたり30GBのローカルハードディスク容量

データベースサーバーの要件

データベースサーバーには2つのオプションがあります。各要件は以下のとおりです。

表 2. データベースの種類別のデータベースサーバー要件

PostgreSQLについて

Microsoft SQL Server（マイクロソフト SQL サーバー）

PostgreSQL 14、15、または 16 がインストールされ、実行されています。

SQL Server 2016、2017、または 2019（Enterprise または Standard）がインストールされています。

SQL Server 2016 では、Service Pack 2 および Cumulative Update 2 以降が必要です。

HDS ソフトウェアは現在、データベースサーバとの通信用に次のドライババージョンをインストールしています。

PostgreSQLについて

Microsoft SQL Server（マイクロソフト SQL サーバー）

Postgres JDBCドライバ 42.2.5

SQL Server JDBC ドライバ 4.6

このドライババージョンは、SQL Server Always On（Always On Failover Cluster InstancesおよびAlways On availability groups）をサポートしています。

Microsoft SQL Server に対する Windows 認証の追加要件

HDS ノードが Windows 認証を使用して Microsoft SQL Server のキーストアデータベースにアクセスできるようにするには、環境内で次の設定が必要です。

HDS ノード、Active Directory インフラストラクチャ、MS SQL Server はすべて NTP と同期する必要があります。
HDS ノードに提供する Windows アカウントは、データベースへの読み取り/書き込みアクセス権を持っている必要があります。
HDS ノードに提供する DNS サーバは、キー配布センター (KDC) を解決できる必要があります。
Microsoft SQL Server に HDS データベースインスタンスをサービスプリンシパル名 (SPN) として Active Directory に登録できます。詳細は、Kerberos Connections のサービスプリンシパル名を登録するを参照してください。

HDS セットアップツール、HDS ランチャー、およびローカル KMS はすべて、キーストアデータベースにアクセスするために Windows 認証を使用する必要があります。 Kerberos 認証でアクセスを要求するときに、ISO 設定の詳細を使用して SPN を構築します。

外部接続の要件

HDS アプリケーションに次の接続を許可するようにファイアウォールを設定します。

アプリケーション	プロトコル	ポート	アプリからの方向	移動先
ハイブリッドデータセキュリティノード	TCP	443	アウトバウンド HTTPS および WSS	Webex サーバー: .wbx2.com .ciscospark.com すべての Common Identity ホスト Webex サービスのネットワーク要件のWebex ハイブリッドサービスの追加 URL 表にハイブリッドデータセキュリティ用にリストされているその他の URL
HDS 設定ツール	TCP	443	アウトバウンド HTTPS	*.wbx2.com すべての Common Identity ホストハブ.docker.com

Common Identity (CI) ホストの URL は地域固有です。これらは現在の CI ホストです。

地域	共通 ID ホスト URL
Americas (北米、中南米エリア)	https://idbroker.webex.com https://identity.webex.com https://idbroker-b-us.webex.com https://identity-b-us.webex.com
欧州連合	https://idbroker-eu.webex.com https://identity-eu.webex.com
カナダ	https://idbroker-ca.webex.com https://identity-ca.webex.com

プロキシサーバーの要件

お使いのハイブリッドデータセキュリティノードと統合できる次のプロキシソリューションを正式にサポートしています。

透過的プロキシ—Cisco Web Security Appliance (WSA)。

明示的プロキシ—Squid。

明示的プロキシに対して次の認証タイプの組み合わせがサポートされています。
- HTTP または HTTPS による認証がありません
- HTTP または HTTPS による基本認証
- HTTPS のみによるダイジェスト認証
透過的検査プロキシまたは HTTPS 明示的プロキシについては、プロキシのルート証明書のコピーが必要です。このガイドに記載されている展開手順は、ハイブリッドデータセキュリティノードの信頼ストアにコピーをアップロードする方法を説明しています。
HDS ノードをホストするネットワークは、ポート 443 のアウトバウンド TCP トラフィックを強制的にプロキシ経由でルーティングするように設定されている必要があります。
Web トラフィックを検査するプロキシは、Web ソケット接続に干渉する場合があります。この問題が発生した場合、トラフィックをバイパス（検査しない）して wbx2.com および ciscospark.com 問題を解決します。

ハイブリッドデータセキュリティの前提条件を完了する

このチェックリストを使用して、ハイブリッドデータセキュリティクラスタをインストールして設定する準備ができていることを確認します。

キーストレージ用のデータベースを作成します。 (このデータベースを作成する必要があります。デフォルトのデータベースを使用しないでください。 HDS アプリケーションをインストールすると、データベーススキーマが作成されます。
ノードがデータベースサーバと通信するために使用する詳細を収集します。
- ホスト名または IP アドレス (ホスト) とポート
- キーストレージのデータベース名（dbname）
- キーストレージデータベース上のすべての権限を持つユーザーのユーザー名とパスワード

HDSセットアップツールをインストールして実行するには、ローカルマシンに外部接続要件に記載されている接続性が必要です。

プロキシとハイブリッドデータセキュリティを統合する場合は、プロキシサーバーの要件を満たしていることを確認してください。

ハイブリッドデータセキュリティクラスタのセットアップ

ハイブリッドデータセキュリティ展開タスクフロー

始める前に

後で使用するために、OVA ファイルをローカルマシンにダウンロードします。

HDS セットアップツールを使用して、ハイブリッドデータセキュリティノードの ISO 設定ファイルを作成します。

OVA ファイルから仮想マシンを作成し、ネットワーク設定などの初期設定を実行します。

HDS セットアップツールを使用して作成した ISO 設定ファイルから VM を設定します。

ハイブリッドデータセキュリティノードとして Cisco Webex クラウドに仮想マシンを登録します。

クラスタの設定を完了します。

トライアルを開始するまで、ノードはサービスがまだアクティブ化されていないことを示すアラームを生成します。

インストールファイルのダウンロード

https://admin.webex.comにサインインし、「サービス」をクリックします。

[ハイブリッドサービス] セクションで、ハイブリッドデータセキュリティカードを見つけて、[セットアップ] をクリックします。

ノードがまだセットアップされていないことを示すにはいいえを選択し、「次へ」をクリックします。

OVAファイルは自動的にダウンロードを開始します。ファイルをマシン上の場所に保存します。

必要に応じて、［導入ガイドを開く］をクリックして、このガイドの後半バージョンが利用可能かどうかを確認します。

HDS ホストの設定 ISO を作成する

始める前に

説明	変数
認証なしの HTTP プロキシ	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
認証なしの HTTPS プロキシ	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
認証ありの HTTP プロキシ	`GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
認証ありの HTTPS プロキシ	`GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

生成する構成 ISO ファイルには、PostgreSQL または Microsoft SQL Server データベースを暗号化するマスターキーが含まれています。次のように、設定を変更するたびに、このファイルの最新のコピーが必要です。
- データベースの資格情報
- 証明書の更新
- 承認ポリシーの変更
データベース接続を暗号化する場合は、TLS 用の PostgreSQL または SQL Server 展開をセットアップします。

マシンのコマンドラインで、お使い環境に適切なコマンドを入力します。

一般環境:

docker rmi ciscocitg/hds-setup:stable

FedRAMP 環境の場合:

docker rmi ciscocitg/hds-setup-fedramp:stable

Docker 画像レジストリにサインインするには、以下を入力します。

docker login -u hdscustomersro

パスワードのプロンプトに対して、このハッシュを入力します。

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

お使い環境に合った最新の安定した画像をダウンロードします。

一般環境:

docker pull ciscocitg/hds-setup:stable

FedRAMP 環境の場合:

docker pull ciscocitg/hds-setup-fedramp:stable

プルが完了したら、お使いの環境に適切なコマンドを入力します。

プロキシなしの通常の環境の場合:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

HTTP プロキシがある通常の環境の場合、

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

HTTPS プロキシがある通常の環境の場合:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

プロキシなしの FedRAMP 環境の場合:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

HTTP プロキシがある FedRAMP 環境の場合:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

HTTPS プロキシがある FedRAMP 環境の場合:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

コンテナが実行中の時。「ポート 8080 で Express サーバーリスニング中」と表示されます。

Setup ツールは、http://localhost:8080 を介した localhost への接続をサポートしていません。 http://127.0.0.1:8080を使用してlocalhostに接続します。

Web ブラウザを使用して localhost に移動し、 http://127.0.0.1:8080 、プロンプトで Control Hub の顧客管理者ユーザー名を入力します。

[セットアップツールの概要] ページで、[はじめに] をクリックします。

［ISOインポート］ページには、次のオプションがあります。

いいえ—最初の HDS ノードを作成する場合、アップロードする ISO ファイルがありません。
はい—HDS ノードをすでに作成している場合は、ブラウズで ISO ファイルを選択してアップロードします。

X.509 証明書がX.509 証明書要件の要件を満たしていることを確認してください。

証明書をアップロードしたことがない場合は、X.509 証明書をアップロードし、パスワードを入力して [続行] をクリックします。
証明書がOKの場合、「続行」をクリックします。
証明書の有効期限が切れている場合、または証明書を置き換える場合は、「いいえ」を選択して、「以前のISOからHDS証明書チェーンと秘密キーの使用を続行」を選択します。新しい X.509 証明書をアップロードし、パスワードを入力し、[続行] をクリックします。

HDS のデータベースアドレスとアカウントを入力して、キーデータストアにアクセスします。

データベースの種類（PostgreSQLまたはMicrosoft SQL Server）を選択します。

Microsoft SQL Serverを選択すると、[認証タイプ(Authentication Type)] フィールドが表示されます。
(Microsoft SQL Serverのみ) 認証タイプを選択します。
- 基本認証: [ユーザー名] フィールドには、ローカル SQL Server アカウント名が必要です。
- Windowsの認証: 形式の Windows アカウントが必要です username@DOMAINユーザー名フィールドに入力します。
フォームにデータベースサーバアドレスを入力します <hostname>:<port> または <IP-address>:<port> です。

例:
dbhost.example.org:1433 または 198.51.100.17:1433

ノードがホスト名を解決するために DNS を使用できない場合、基本認証に IP アドレスを使用できます。

Windows 認証を使用している場合は、形式に完全修飾ドメイン名を入力する必要があります dbhost.example.org:1433
データベース名を入力します。
キーストレージデータベース上のすべての権限を持つユーザーのユーザー名とパスワードを入力します。

TLS データベース接続モードを選択します。

モード

説明

TLS を優先 (デフォルトのオプション)

TLS を要求する

データベースサーバが TLS をネゴシエートできる場合に限り、HDS ノードは接続されます。

TLS を要求し、証明書の署名者を確認する

このモードは、SQL Server データベースには適用されません。

データベースサーバが TLS をネゴシエートできる場合に限り、HDS ノードは接続されます。
TLS 接続を確立した後、ノードはデータベースサーバからの証明書の署名者をデータベースルート証明書の認証局と比較します。一致しない場合、ノードにより接続が切断されます。

ドロップダウンの下にあるデータベースルート証明書コントロールを使用して、このオプションのルート証明書をアップロードしてください。

TLS を要求し、証明書の署名者およびホスト名を確認する

データベースサーバが TLS をネゴシエートできる場合に限り、HDS ノードは接続されます。
TLS 接続を確立した後、ノードはデータベースサーバからの証明書の署名者をデータベースルート証明書の認証局と比較します。一致しない場合、ノードにより接続が切断されます。
ノードはまた、サーバ証明書のホスト名が [データベースホストとポート] フィールドのホスト名と一致することを確認します。名前は正確に一致する必要があります。または、ノードが接続を切断します。

ドロップダウンの下にあるデータベースルート証明書コントロールを使用して、このオプションのルート証明書をアップロードしてください。

[システムログ（System Logs）] ページで、Syslogd サーバを設定します。

syslog サーバの URL を入力します。

HDS クラスタのノードからサーバが DNS 解決可能でない場合は、URL で IP アドレスを使用します。

例:
udp://10.92.43.23:514 UDP ポート 514 の Syslogd ホスト 10.92.43.23 へのロギングを示します。
TLS 暗号化を使用するようにサーバを設定した場合は、「syslog サーバが SSL 暗号化用に設定されていますか？」にチェックを入れます。

このチェックボックスをオンにした場合は、次のような TCP URL を入力してください: tcp://10.92.43.23:514 です。
[syslogレコードの終了を選択]ドロップダウンから、ISOファイルの適切な設定を選択します。選択または改行は Graylog および Rsyslog TCP に使用されます
- Null バイト -- \x00
- 改行 -- \n:Graylog および Rsyslog TCP の選択肢を選択します。
[続行] をクリックします。

app_datasource_connection_pool_maxSize: 10

[サービスアカウントのパスワードをリセット] 画面の [続行] をクリックします。

[ISOファイルのダウンロード] をクリックします。見つけやすい場所にファイルを保存します。

ローカルシステム上のISOファイルのバックアップコピーを作成します。

セットアップツールをシャットダウンするために次のように入力します。 CTRL+C です。

次に行うこと

私たちはこのキーのコピーを持っていないし、あなたがそれを失ったら助けることができません。

HDS ホスト OVA のインストール

OVA ファイルから仮想マシンを作成するには、次の手順を使用します。

コンピュータの VMware vSphere クライアントを使用して、ESXi 仮想ホストにログインします。

ファイル > OVF テンプレートを展開を選択します。

ウィザードで、先ほどダウンロードしたOVAファイルの場所を指定し、 をクリックします。次へだ

の計算リソースを選択ページで、宛先計算リソースを選択し、をクリックします。次へだ

検証チェックが実行されます。完了すると、テンプレートの詳細が表示されます。

テンプレートの詳細を確認し、［次へ］をクリックします。

のリソース設定を選択するよう求められた場合設定ページ、をクリックします。 4 CPU をクリックし、 をクリックします。次へだ

のストレージを選択ページ、をクリックします。次へは、デフォルトのディスク形式とVMストレージポリシーを受け入れます。

のネットワークを選択ページで、エントリのリストからネットワークオプションを選択し、仮想マシンへの接続を提供します。

[テンプレートのカスタマイズ] ページで、次のネットワーク設定を構成します。

[ホスト名(Hostname)]:ノードの FQDN (ホスト名とドメイン) または単語ホスト名を入力します。

X.509 証明書を取得するために使用したドメインと一致するようにドメインを設定する必要はありません。
クラウドへの登録を成功させるには、ノードに設定した FQDN またはホスト名に小文字のみを使用します。現時点では大文字化のサポートはありません。
FQDNのトータルの長さは64文字を超えてはいけません。

[IPアドレス(IP Address)]:ノードの内部インターフェイスの IP アドレスを入力します。

ノードには内部 IP アドレスと DNS 名が必要です。 DHCP はサポートされていません。
[マスク(Mask)]:サブネットマスクアドレスをドット小数表記で入力します。たとえば、255.255.255.0 などです。
[ゲートウェイ(Gateway)]:ゲートウェイの IP アドレスを入力します。ゲートウェイは、別のネットワークへのアクセスポイントとして機能するネットワークノードです。
DNS サーバ:ドメイン名を数値の IP アドレスに変換する DNS サーバのカンマ区切りリストを入力します。 (最大 4 つの DNS エントリが許可されます。)
NTP サーバ:組織の NTP サーバまたは組織で使用できる別の外部 NTP サーバを入力します。デフォルトの NTP サーバは、すべての企業で機能しない場合があります。カンマ区切りリストを使用して、複数の NTP サーバを入力することもできます。

クラスタ内のすべてのノードが管理目的でネットワーク内のクライアントから到達できるように、すべてのノードを同じサブネットまたは VLAN に展開します。

ノードVMを右クリックし、電源 > 電源オンだ。

トラブルシューティングのヒント

ハイブリッドデータセキュリティ VM のセットアップ

1	VMware vSphere クライアントで、ハイブリッドデータセキュリティノード VM を選択し、[コンソール] タブを選択します。 VM が起動し、ログインプロンプトが表示されます。ログインプロンプトが表示されない場合は、入力を押してください。
2	次のデフォルトのログインとパスワードを使用してサインインし、資格情報を変更します。ログイン: `admin` パスワード: `cisco` 初めて仮想マシンにサインインするため、管理者パスワードを変更する必要があります。
3	［HDS ホスト OVA のインストール］でネットワーク設定をすでに設定している場合は、残りの手順をスキップします。それ以外の場合は、メインメニューで［設定の編集］オプションを選択します。
4	IP アドレス、マスク、ゲートウェイ、DNS 情報を含む静的設定をセットアップします。ノードには内部 IP アドレスと DNS 名が必要です。 DHCP はサポートされていません。
5	(オプション) ネットワークポリシーと一致する必要がある場合は、ホスト名、ドメイン、または NTP サーバを変更します。 X.509 証明書を取得するために使用したドメインと一致するようにドメインを設定する必要はありません。
6	ネットワーク設定を保存し、仮想マシンを再起動して、変更を有効にします。

HDS 設定 ISO のアップロードとマウント

HDS セットアップツールを使用して作成した ISO ファイルから仮想マシンを設定するには、次の手順を使用します。

始める前に

コンピュータから ISO ファイルをアップロードします。

VMware vSphere クライアントの左側のナビゲーションペインで、ESXi サーバをクリックします。
[設定] タブの [ハードウェア] リストで、[ストレージ] をクリックします。
[データストア（Datastores）] リストで、仮想マシンのデータストアを右クリックし、[データストアを参照（Browse Datastore）] をクリックします。
[ファイルのアップロード] アイコンをクリックし、[ファイルのアップロード] をクリックします。
コンピュータにISOファイルをダウンロードした場所を参照し、［開く］をクリックします。
アップロード/ダウンロード操作の警告を受け入れるには、[はい] をクリックし、データストアダイアログを閉じます。

ISO ファイルをマウントします。

VMware vSphere クライアントの左ナビゲーションペインで、ESXi サーバーを右クリックし、[設定の編集] をクリックします。
[OK] をクリックして、制限された編集オプションの警告を受け入れます。
クリック CD/DVD Drive 1 、データストア ISO ファイルからマウントするオプションを選択し、構成 ISO ファイルをアップロードした場所を参照します。
接続および電源オン時に接続をオンにします。
変更を保存し、仮想マシンを再起動します。

次に行うこと

プロキシ統合のために HDS ノードを設定する

始める前に

サポートされているプロキシオプションの概要については、プロキシサポートを参照してください。
プロキシサーバーの要件

1	HDS ノードのセットアップ URL を入力 `https://[HDS Node IP or FQDN]/setup` Web ブラウザで、ノード用に設定した管理者資格情報を入力し、[ サインイン] をクリックします。
2	[信頼ストアとロキシ] に移動して、次のオプションを選択します。プロキシなし—プロキシを統合する前のデフォルトのオプション。証明書の更新は必要ありません。透過型の検査なしのプロキシ—ノードは特定のプロキシサーバーアドレスを使用するように設定されていないため、検査なしのプロキシで動作するように変更を加える必要はありません。証明書の更新は必要ありません。透過トンネリングまたは検査プロキシ—ノードは特定のプロキシサーバーアドレスを使用するように設定されていません。ハイブリッドデータセキュリティの展開では HTTPS 構成の変更は必要ありませんが、HDS ノードはプロキシを信頼できるようにするためにルート証明書を必要とします。プロキシを検査することで、Web サイトにアクセスするか、どのタイプのコンテンツを使用するかを強制するポリシーを施行することができます。このタイプのプロキシは、すべてのトラフィック (HTTPS さえも含む) を復号化します。明示的プロキシ—明示的なプロキシを使用して、使用するプロキシサーバーをクライアント (HDS ノード) を指示し、このオプションはいくつかの認証スキームをサポートします。このオプションを選択した後、次の情報を入力する必要があります。プロキシ IP/FQDN—プロキシマシンに到達するために使用できるアドレス。プロキシポート-プロキシがプロキシトラフィックをリスンするために使用するポート番号。プロキシプロトコル- http (クライアントから受信したすべての要求を表示して管理) または https (クライアントがサーバーへのチャネルを提供し、サーバーの証明書を検証) を選択します。プロキシサーバーがサポートするオプションを選択します。認証タイプ-次の認証タイプから選択します。なし—追加の認証は必要ありません。 HTTP または HTTPS プロキシで利用できます。ベーシック—HTTP ユーザーエージェントがリクエストを行う際にユーザー名とパスワードを指定するために使用されます。 Base64 エンコードを使用します。 HTTP または HTTPS プロキシで利用できます。このオプションを選択した場合は、ユーザー名とパスワードも入力する必要があります。ダイジェスト—機密情報を送信する前にアカウントを確認するために使用されます。ネットワークを経由して送信する前に、ユーザー名およびパスワードにハッシュ機能を適用します。 HTTPS プロキシに対してのみ利用できます。このオプションを選択した場合は、ユーザー名とパスワードも入力する必要があります。透過型検査プロキシ、基本認証を持つ HTTP 明示プロキシ、または HTTPS 明示プロキシについては、次のステップに従ってください。
3	[ルート証明書またはエンティティ終了証明書のアップロード] をクリックし、プロキシのルート証明書を選択するために移動します。証明書はアップロードされていますが、まだインストールされていません。証明書をインストールするにはノードを再起動する必要があります。証明書発行者名の山形矢印をクリックして詳細を確認するか、間違っている場合は [削除] をクリックして、ファイルを再度アップロードしてください。
4	[プロキシ接続を確認する] をクリックして、ノードとプロキシ間のネットワーク接続性をテストします。接続テストが失敗した場合は、エラーメッセージが表示され、問題を解決するための理由と方法が示されます。外部 DNS の解決が正常に行われなかったという内容のメッセージが表示された場合、ノードが DNS サーバーに到達できなかったことを示しています。この状況は、多くの明示的なプロキシ構成で想定されています。セットアップを続行すると、ノードは外部 DNS 解決ブロックモードで機能します。これがエラーと思われる場合は、次の手順を実行し、「ブロックされた外部 DNS 解決モードをオフにする」を参照してください。
5	接続テストが成功した後、明示的なプロキシについては https のみに設定し、このノードからのすべてのポートの 443/444 https 要求を明示的プロキシを通してルーティングするように切り替えます。この設定を有効にするには 15 秒かかります。
6	[すべての証明書を信頼ストアにインストールする(HTTPS 明示プロキシまたは透過型のプロキシで表示される)] または [再起動] をクリックして、プロンプトを読み、準備が完了したら [インストール] をクリックします。ノードが数分以内に再起動されます。
7	ノードが再起動したら、必要に応じて再度サインインして、[概要] ページを開き、接続チェックを確認してすべて緑色のステータスになっていることを確認します。プロキシ接続の確認は webex.com のサブドメインのみをテストします。接続の問題がある場合、インストール手順に記載されているクラウドドメインの一部がプロキシでブロックされているという問題がよく見られます。

クラスタ内の最初のノードを登録する

始める前に

一旦ノードの登録を開始すると、60 分以内に完了する必要があり、そうでなければ、再び最初からやり直しになります。
ブラウザのポップアップブロッカーが無効になっているか、または admin.webex.com の例外を許可していることを確認してください。

1	https://admin.webex.comにサインインします。
2	スクリーンの左側にあるメニューからサービスを選択します。
3	[ハイブリッドサービス] セクションで、[ハイブリッドデータセキュリティ] を見つけ、[セットアップ] をクリックします。 [ハイブリッドデータセキュリティノードの登録] ページが表示されます。
4	ノードを設定し、登録する準備ができていることを示すには、「はい」を選択し、「次へ」をクリックします。
5	最初のフィールドに、ハイブリッドデータセキュリティノードを割り当てるクラスタの名前を入力します。クラスタのノードが地理的にどこに配置されているかに基づきクラスタに名前を付けることをお薦めします。例: 「サンフランシスコ」「ニューヨーク」「ダラス」
6	2 番目のフィールドに、ノードの内部 IP アドレスまたは完全修飾ドメイン名（FQDN）を入力し、[次へ] をクリックします。この IP アドレスまたは FQDN は、ハイブリッドデータセキュリティ VM のセットアップで使用した IP アドレスまたはホスト名とドメインと一致する必要があります。ノードを Webex に登録できることを示すメッセージが表示されます。
7	[ノードに進む] をクリックします。
8	警告メッセージの [続ける] をクリックします。しばらくすると、Webex サービスのノード接続テストにリダイレクトされます。すべてのテストが成功すると、[ハイブリッドデータセキュリティノードへのアクセスを許可（Allow Access to Hybrid Data Security Node）] ページが表示されます。ここで、ノードにアクセスする権限を Webex 組織に付与することを確認します。
9	[ハイブリッドデータセキュリティノードへのアクセスを許可] チェックボックスをオンにして、[続行] をクリックします。アカウントが検証され、「登録完了」メッセージは、ノードが Webex クラウドに登録されたことを示します。
10	リンクをクリックするか、タブを閉じて、[Control Hub ハイブリッドデータセキュリティ] ページに戻ります。 [ハイブリッドデータセキュリティ] ページで、登録したノードを含む新しいクラスタが表示されます。ノードはクラウドから最新のソフトウェアを自動的にダウンロードします。

より多くのノードを作成して登録する

始める前に

一旦ノードの登録を開始すると、60 分以内に完了する必要があり、そうでなければ、再び最初からやり直しになります。
ブラウザのポップアップブロッカーが無効になっているか、または admin.webex.com の例外を許可していることを確認してください。

1	OVA から新しい仮想マシンを作成し、「HDS ホスト OVA のインストール」の手順を繰り返します。
2	新しい仮想マシンで初期設定を行い、「ハイブリッドデータセキュリティ仮想マシンのセットアップ」の手順を繰り返します。
3	新しい VM で、「Upload and Mount the HDS Configuration ISO」の手順を繰り返します。
4	展開のプロキシを設定する場合は、新しいノードに必要に応じ「プロキシ統合の HDS ノードを設定する」の手順を繰り返します。
5	ノードを登録します。 https://admin.webex.comで画面の左側にあるメニューからサービスを選択します。 [ハイブリッドサービス] セクションで、ハイブリッドデータセキュリティカードを見つけて、[リソース] をクリックします。 [ハイブリッドデータセキュリティリソース] ページが表示されます。 [リソースの追加] をクリックします。最初のフィールドで、既存のクラスタの名前を選択します。 2 番目のフィールドに、ノードの内部 IP アドレスまたは完全修飾ドメイン名（FQDN）を入力し、[次へ] をクリックします。ノードを Webex クラウドに登録できることを示すメッセージが表示されます。 [ノードに進む] をクリックします。しばらくすると、Webex サービスのノード接続テストにリダイレクトされます。すべてのテストが成功すると、[ハイブリッドデータセキュリティノードへのアクセスを許可（Allow Access to Hybrid Data Security Node）] ページが表示されます。ここで、ノードにアクセスするための権限を組織に付与することを確認します。 [ハイブリッドデータセキュリティノードへのアクセスを許可] チェックボックスをオンにして、[続行] をクリックします。アカウントが検証され、「登録完了」メッセージは、ノードが Webex クラウドに登録されたことを示します。リンクをクリックするか、タブを閉じて、[Control Hub ハイブリッドデータセキュリティ] ページに戻ります。ノードが登録されています。トライアルを開始するまで、ノードはサービスがまだアクティブ化されていないことを示すアラームを生成することに注意してください。

次に行うこと

トライアルを実行して本番環境に移動

プロダクションタスクフローへの試行

始める前に

1	必要に応じて、 `HdsTrialGroup` グループオブジェクト。組織でユーザーのディレクトリ同期を使用している場合は、 `HdsTrialGroup` トライアルを開始する前に、クラウドに同期するためのグループオブジェクト。手順については、 Cisco Directory Connector 展開ガイドを参照してください。
2	トライアルの有効化トライアルを開始します。このタスクを実行するまで、ノードはサービスがまだアクティブ化されていないことを示すアラームを生成します。
3	ハイブリッドデータセキュリティ展開をテストする重要な要求がハイブリッドデータセキュリティ展開に渡されていることを確認します。
4	ハイブリッドデータセキュリティの健全性を監視するステータスを確認し、アラームのメール通知を設定します。
5	トライアルからユーザーを追加または削除する
6	以下のいずれかの操作を行い、治験の段階を完了します。トライアルからプロダクションへの移行本番環境に移行せずにトライアルを終了する

トライアルの有効化

始める前に

1	https://admin.webex.comにサインインし、「サービス」を選択します。
2	[ハイブリッドデータセキュリティ（Hybrid Data Security）] で、[設定] をクリックします。
3	[サービスステータス（Service Status）] セクションで、[トライアルの開始] をクリックします。サービスステータスがトライアルモードに変わります。
4	[ユーザーの追加] をクリックし、暗号化およびインデックスサービスのためにハイブリッドデータセキュリティノードを使用してパイロットする 1 人以上のユーザーのメールアドレスを入力します。 (組織がディレクトリ同期を使用している場合は、Active Directory を使用してトライアルグループを管理します。 `HdsTrialGroup`.)

ハイブリッドデータセキュリティ展開をテストする

この手順を使用して、ハイブリッドデータセキュリティの暗号化シナリオをテストします。

始める前に

ハイブリッドデータセキュリティの展開をセットアップします。
トライアルを有効にし、複数のトライアルユーザーを追加します。
キー要求がハイブリッドデータセキュリティ展開に渡されていることを確認するために、syslog にアクセスできることを確認します。

新しいスペースにメッセージを送信します。

syslog 出力をチェックして、キー要求がハイブリッドデータセキュリティ展開に渡されていることを確認します。

次のようなエントリを見つける必要があります (可読性のために短縮された識別子)。

2020-07-21 17:35:34.562 (+0000) INFO  KMS [pool-14-thread-1] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, 
kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

KMS から既存のキーを要求するユーザーを確認するには、次のフィルタをオンにします。 kms.data.method=retrieve および kms.data.type=KEY:

次のようなエントリを見つける必要があります。

2020-07-21 17:44:19.889 (+0000) INFO  KMS [pool-14-thread-31] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, 
kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, 
kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

新しいKMSキーの作成を要求するユーザーを確認するには、 kms.data.method=create および kms.data.type=KEY_COLLECTION:

次のようなエントリを見つける必要があります。

2020-07-21 17:44:21.975 (+0000) INFO  KMS [pool-14-thread-33] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, 
kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, 
kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

次のようなエントリを見つける必要があります。

2020-07-21 17:44:22.808 (+0000) INFO  KMS [pool-15-thread-1] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

ハイブリッドデータセキュリティの健全性を監視する

1	Control Hubで、画面左側のメニューからサービスを選択します。
2	[ハイブリッドサービス] セクションで、[ハイブリッドデータセキュリティ] を見つけ、[設定] をクリックします。 [ハイブリッドデータセキュリティ設定] ページが表示されます。
3	[メール通知] セクションで、カンマで区切られた 1 つ以上のメールアドレスを入力し、[Enter] を押します。

トライアルからユーザーを追加または削除する

1	Control Hub にサインインし、[サービス] を選択します。
2	[ハイブリッドデータセキュリティ（Hybrid Data Security）] で、[設定] をクリックします。
3	[サービスステータス（Service Status）] 領域の [トライアルモード（Trial Mode）] セクションで、[ユーザーの追加（Add Users）] をクリックするか、[表示と編集] をクリックしてユーザーをトライアルから削除します。
4	追加する 1 人以上のユーザーのメールアドレスを入力するか、ユーザー ID の X をクリックしてユーザーをトライアルから削除します。その後、[保存] をクリックします。

トライアルからプロダクションへの移行

1	Control Hub にサインインし、[サービス] を選択します。
2	[ハイブリッドデータセキュリティ（Hybrid Data Security）] で、[設定] をクリックします。
3	[サービスステータス（Service Status）] セクションで、[本番環境に移動] をクリックします。
4	すべてのユーザーを本番環境に移行することを確認します。

本番環境に移行せずにトライアルを終了する

1	Control Hub にサインインし、[サービス] を選択します。
2	[ハイブリッドデータセキュリティ（Hybrid Data Security）] で、[設定] をクリックします。
3	「Deactivate（無効化）」セクションで「Deactivate（無効化）」をクリックします。
4	サービスを無効にしてトライアルを終了することを確認します。

HDS 展開の管理

ここで説明するタスクを使用して、ハイブリッドデータセキュリティの展開を管理します。

クラスタアップグレードスケジュールの設定

アップグレードスケジュールを設定するには:

1	Control Hub にサインインします。
2	[概要] ページの [ハイブリッドサービス] で、[ハイブリッドデータセキュリティ] を選択します。
3	[ハイブリッドデータセキュリティリソース] ページで、クラスタを選択します。
4	右側の [概要] パネルの [クラスタ設定] で、クラスタ名を選択します。
5	設定ページのアップグレードの下で、アップグレードのスケジュール設定を希望する時間およびタイムゾーンを選択します。メモ: タイムゾーンの下に、次に可能なアップグレードの日時が表示されます。必要に応じて、[延期] をクリックすることでアップグレードを翌日に延期することもできます。

ノードの設定を変更する

場合により、以下のような理由でハイブリッドデータセキュリティノードの構成の変更が必要な場合があります。

有効期限が切れる、または他の理由による、x.509 証明書の変更。

データベース設定を更新して、PostgreSQL または Microsoft SQL Server データベースのレプリカを変更します。

新しい構成を作成して新しいデータセンターの準備をする。

ソフトリセット— 古いパスワードと新しいパスワードは最大 10 日間有効です。この期間を使用して、ノードの ISO ファイルを段階的に置き換えることができます。
ハードリセット—古いパスワードは即時に機能を停止します。

この手順を使用して、新しい構成 ISO ファイルを生成し、クラスターに適用します。

始める前に

説明	変数
認証なしの HTTP プロキシ	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
認証なしの HTTPS プロキシ	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
認証ありの HTTP プロキシ	`GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
認証ありの HTTPS プロキシ	`GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

新しい構成を生成するには、現在の構成 ISO ファイルのコピーが必要です。 ISO には PostgreSQL または Microsoft SQL Server データベースを暗号化するマスターキーを含むです。データベースの証明書、証明書の更新、認証方針への変更を含む、構成の変更を行った場合は ISO が必要です。

ローカルマシンで Docker を使用し、HDS セットアップツールを実行します。

マシンのコマンドラインで、お使い環境に適切なコマンドを入力します。

一般環境:

docker rmi ciscocitg/hds-setup:stable

FedRAMP 環境の場合:

docker rmi ciscocitg/hds-setup-fedramp:stable

Docker 画像レジストリにサインインするには、以下を入力します。
```
docker login -u hdscustomersro
```
パスワードのプロンプトに対して、このハッシュを入力します。
```
dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
```

お使い環境に合った最新の安定した画像をダウンロードします。

一般環境:

docker pull ciscocitg/hds-setup:stable

FedRAMP 環境の場合:

docker pull ciscocitg/hds-setup-fedramp:stable

プルが完了したら、お使いの環境に適切なコマンドを入力します。

プロキシなしの通常の環境の場合:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

HTTP プロキシがある通常の環境の場合、

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

HTTPS プロキシがある通常の環境の場合:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

プロキシなしの FedRAMP 環境の場合:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

HTTP プロキシがある FedRAMP 環境の場合:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

HTTPS プロキシがある FedRAMP 環境の場合:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

コンテナが実行中の時。「ポート 8080 で Express サーバーリスニング中」と表示されます。

ブラウザを使用して、ローカルホストに接続します。 http://127.0.0.1:8080 です。

Setup ツールは、http://localhost:8080 を介した localhost への接続をサポートしていません。 http://127.0.0.1:8080を使用してlocalhostに接続します。

指示されたら、 Control Hub の顧客サインイン資格情報を入力し、[同意] をクリックして続行します。
現在の構成 ISO ファイルをインポートします。
指示に従い、ツールを完了し、更新されたファイルをダウンロードします。

セットアップツールをシャットダウンするために次のように入力します。 CTRL+C です。
更新されたファイルのバックアップコピーを別のデータセンターに作成します。

HDS 主催者 OVA をインストールします。
HDS VM をセットアップします。
更新された構成ファイルをマウントします。
Control Hub の新しいノードを登録します。

仮想マシンをオフにします。
VMware vSphere クライアントの左ナビゲーションペインで、ESXi サーバーを右クリックし、[設定の編集] をクリックします。
クリック CD/DVD Drive 1[CD/DVD Drive 1] をクリックし、ISO ファイルからマウントするオプションを選択して、新規構成 ISO ファイルをダウンロードした場所を参照します。
[電源に接続する] をチェックします。
変更を保存し、仮想マシンを起動します。

ステップ 3 を繰り返し、古い構成ファイルを実行している残りの各ノードで構成を置き換えます。

外部 DNS 解決ブロックモードをオフにする

始める前に

内部 DNS サーバーがパブリック DNS 名を解決でき、ノードがそれらと通信できることを確認します。

1	Web ブラウザで、ハイブリッドデータセキュリティノードインターフェイス (IP アドレス/セットアップ、たとえば、ノードに設定した管理者資格情報をhttps://192.0.2.0/setup), 入力し、[サインイン] をクリックします。
2	[概要] (デフォルトページ) に移動します。有効になっている場合、 [外部 DNS 解決ブロック] は [はい] に設定されています。
3	[信頼ストアとプロキシ] ページに移動します。
4	[プロキシ接続を確認する] をクリックします。外部 DNS の解決が正常に行われなかったという内容のメッセージが表示された場合、ノードが DNS サーバーに到達できなかったことを示しており、このモードに留まっています。そうでない場合には、ノードを再起動して[概要] ページに戻ると、[外部 DNS 解決ブロック] は [いいえ] に設定されるはずです。

次に行うこと

ハイブリッドデータセキュリティクラスターの各ノードで、プロキシ接続テストを繰り返します。

ノードの削除

コンピュータの VMware vSphere クライアントを使用して、ESXi 仮想ホストにログインし、仮想マシンの電源を切ります。

ノードを削除します。

Control Hub にサインインし、[サービス] を選択します。
ハイブリッドデータセキュリティカードで、すべて表示 [ハイブリッドデータセキュリティリソース] ページを表示します。
クラスタを選択して [概要] パネルを表示します。
[ノードリストを開く] をクリックします。
[ノード] タブで、削除するノードを選択します。
をクリックします。アクション > ノードの登録解除

vSphere クライアントで、仮想マシンを削除します (左側のナビゲーションペインで、仮想マシンを右クリックし、[削除] をクリックします)。

スタンバイデータセンターを使用したディザスタリカバリ

HDS Setupツールを起動し、「HDSホストの設定ISOを作成する」の手順に従います。

Syslogdサーバーを構成した後、[詳細設定]をクリックします。


passiveMode: 'false'

構成プロセスを完了し、見つけやすい場所にISOファイルを保存します。

VMware vSphere クライアントの左側のナビゲーションペインで、仮想マシンを右クリックし、[設定の編集] をクリックします。

［設定の編集］>［CD/DVDドライブ1］をクリックし、［データストアISOファイル］を選択します。

ノードを開始した後で、更新された設定変更を有効にするために、「接続」および「電源投入時に接続」がオンになっていることを確認します。

HDS ノードの電源を入れ、少なくとも 15 分間アラームがないことを確認します。

スタンバイデータセンター内のすべてのノードに対してプロセスを繰り返します。

次に行うこと

（オプション）HDS設定後にISOをアンマウントする

始める前に

すべての HDS ノードをバージョン 2021.01.22.4720 以降にアップグレードします。

1	1 つの HDS ノードをシャットダウンします。
2	vCenter Server Appliance で、HDS ノードを選択します。
3	を選択［設定の編集］ > ［CD/DVDドライブ］を選択し、［データストアISOファイル］のチェックを外します。
4	HDS ノードの電源を入れ、少なくとも 20 分間アラームがないことを確認します。
5	HDS ノードごとに順番に繰り返します。

ハイブリッドデータセキュリティのトラブルシューティング

アラートとトラブルシューティングの表示

新しいスペースを作成できません (新しいキーを作成できません)
メッセージとスペースタイトルの復号に失敗する:
- 新規ユーザーがスペースに追加されました (キーを取得できません)
- 新しいクライアントを使用するスペース内の既存のユーザー (キーを取得できません)
スペース内の既存のユーザーは、クライアントが暗号化キーのキャッシュを持っている限り、正常に動作し続けます。

ハイブリッドデータセキュリティクラスタを適切に監視し、サービスの中断を避けるために速やかにアラートに対処することが重要です。

警告

表 1. 一般的な問題とそれらを解決するためのステップ
警告	アクション
ローカルデータべースへのアクセスに失敗しました。	データベースエラーまたはローカルネットワークの問題を確認します。
ローカルデータベース接続に失敗しました。	データベースサーバが使用可能であり、ノード設定で適切なサービスアカウントクレデンシャルが使用されていることを確認します。
クラウドサービスへのアクセスに失敗しました。	外部接続要件で指定されているように、ノードが Webex サーバーにアクセスできることを確認します。
クラウドサービス登録の更新。	クラウドサービスへの登録が削除されました。登録の更新が進行中です。
クラウドサービスの登録が削除されました。	クラウドサービスへの登録が終了しました。サービスが停止しています。
サービスはまだアクティベートされていません。	トライアルを有効にするか、トライアルを本番環境に移行します。
設定されたドメインがサーバー証明書と一致しません。	サーバー証明書が設定されたサービスアクティベーションドメインと一致していることを確認します。最も可能性の高い原因は、証明書 CN が最近変更され、初期設定で使用された CN とは異なるようになったためです。
クラウドサービスの認証に失敗しました。	サービスアカウントの資格情報の正確さと有効期限の可否を確認します。
ローカルキーストアファイルを開くことができませんでした。	ローカルキーストアファイルの整合性とパスワードの正確性を確認します。
ローカルサーバー証明書が無効です。	サーバ証明書の有効期限を確認し、信頼できる認証局によって発行されていることを確認します。
メトリクスを投稿できません。	外部クラウドサービスへのローカルネットワークアクセスを確認します。
/media/configdrive/hds ディレクトリが存在しません。	仮想ホストの ISO マウント設定を確認します。 ISO ファイルが存在すること、再起動時にマウントするように設定されていること、正常にマウントされていることを確認します。

ハイブリッドデータセキュリティのトラブルシューティング

ハイブリッドデータセキュリティの問題をトラブルシューティングする場合は、次の一般的なガイドラインを使用します。

1	アラートについては Control Hub を確認し、見つかった項目を修正します。
2	ハイブリッドデータセキュリティ展開からのアクティビティの syslog サーバー出力を確認します。
3	Cisco サポートにお問い合わせください。

その他の注意事項

ハイブリッドデータセキュリティの既知の問題

ハイブリッドデータセキュリティクラスタをシャットダウンする (Control Hub で削除するか、すべてのノードをシャットダウンする)、構成 ISO ファイルを失う、またはキーストアデータベースへのアクセスを失う場合、Webex アプリのユーザーは、KMS のキーを使用して作成された [ユーザー] リストの下のスペースを使用できなくなります。これは、トライアル展開と本番展開の両方に適用されます。現在、この問題の回避策や修正はありません。HDS サービスがアクティブなユーザーアカウントを処理したら、HDS サービスをシャットダウンしないようにしてください。
KMS への既存の ECDH 接続を持つクライアントは、その接続を一定期間 (おそらく 1 時間) 維持します。ユーザーがハイブリッドデータセキュリティトライアルのメンバーになると、ユーザーのクライアントは、タイムアウトするまで既存の ECDH 接続を引き続き使用します。代わりに、ユーザーは Webex アプリアプリにサインアウトして再度ログインして、アプリが暗号化キーの連絡先を更新できます。

同じ動作は、組織のトライアルを本番環境に移行する場合にも発生します。以前のデータセキュリティサービスへの既存の ECDH 接続を持つすべての非トライアルユーザーは、ECDH 接続が再ネゴシエートされるまで (タイムアウトまたはサインアウトして戻る)、これらのサービスを使用し続けます。

OpenSSL を使用して PKCS12 ファイルを生成する

始める前に

OpenSSLは、HDSセットアップツールでロードするための適切な形式でPKCS12ファイルを作成するために使用できるツールの1つです。これを行うには他の方法があり、私たちは別の方法よりも支持または促進しません。
OpenSSLを使用することを選択した場合は、X.509証明書要件を満たすファイルを作成するのに役立つガイドラインとして、この手順を提供しています。 X.509 証明書の要件は... 続行する前にこれらの要件を理解してください。
サポートされている環境で OpenSSL をインストールします。ソフトウェアとマニュアルについてはhttps://www.openssl.orgを参照してください。
秘密鍵を作成します。
認証局（CA）からサーバ証明書を受け取ったら、この手順を開始します。

1	CA からサーバー証明書を受け取ったら、次のように保存します。 `hdsnode.pem` です。
2	証明書をテキストとして表示し、詳細を確認します。 `openssl x509 -text -noout -in hdsnode.pem`
3	テキストエディタを使用して、証明書バンドルファイルを作成します。 `hdsnode-bundle.pem` です。バンドルファイルには、次の形式で、サーバ証明書、中間の CA 証明書、ルート CA 証明書を含める必要があります。 `-----BEGIN CERTIFICATE----- ### Server certificate. ### -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ### Intermediate CA certificate. ### -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ### Root CA certificate. ### -----END CERTIFICATE-----`
4	親しみやすい名前で .p12 ファイルを作成する `kms-private-key` です。 `openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12`
5	サーバ証明書の詳細を確認してください。 `openssl pkcs12 -in hdsnode.p12` プロンプトでパスワードを入力して、秘密キーを出力に表示するように暗号化します。次に、秘密鍵と最初の証明書に、回線が含まれていることを確認します。 `friendlyName: kms-private-key`です。例: bash$ openssl pkcs12 -in hdsnode.p12 Enter Import Password: MAC verified OK Bag Attributes friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Key Attributes: <No Attributes> Enter PEM pass phrase: Verifying - Enter PEM pass phrase: -----BEGIN ENCRYPTED PRIVATE KEY----- <redacted> -----END ENCRYPTED PRIVATE KEY----- Bag Attributes friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 -----BEGIN CERTIFICATE----- <redacted> -----END CERTIFICATE----- Bag Attributes friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3 -----BEGIN CERTIFICATE----- <redacted> -----END CERTIFICATE-----

次に行うこと

これらのファイルを再使用して、元の証明書の有効期限が切れたときに新しい証明書を要求できます。

HDS ノードとクラウド間のトラフィック

アウトバウンドメトリック収集トラフィック

着信トラフィック

ハイブリッドデータセキュリティノードは、Webex クラウドから次のタイプのインバウンドトラフィックを受信します。

暗号化サービスによってルーティングされるクライアントからの暗号化要求
ノードソフトウェアへのアップグレード

ハイブリッドデータセキュリティの Squid プロキシを設定する

Websocket は Squid プロキシを通じて接続できません

Squid 4 および5

次を追加します: on_unsupported_protocol 指示する squid.conf:

on_unsupported_protocol tunnel all

Squid 3.5.27

acl wssMercuryConnection ssl::server_name_regex mercury-connection

ssl_bump splice wssMercuryConnection

acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all

はじめに

新規および変更された情報

日付

変更履歴

2023年10月20日。

データベースサーバーの要件に関する情報を更新しました。
Setup Standby Data Center for Disaster Recoveryを追加しました。
Standby Data Center for Disaster RecoveryおよびStandby Data Centerを使用した災害復旧の情報を更新しました。

2023年8月7日。

インストールファイルのダウンロードにメモを追加しました。
「HDS ホスト用の設定 ISO の作成」および「ノード設定の変更」にメモを追加しました。

2023年5月23日。

アカウントチームに連絡して機能を有効にすることを要求するデータベースサーバーの要件から削除された情報。
外部接続要件の情報を更新し、カナダをCIホストテーブルに追加しました。
キーをクラウドに戻すためのメカニズムが利用できないことに関する「ハイブリッドデータセキュリティの展開に関する期待」のメモを追加しました。

2022 年 12 月 06 日

HDS セットアップツールイメージが ciscocitg dockerhub レポジトリ。
更新HDSホストの設定ISOの作成およびノード設定の変更のトピックを更新し、コマンドの変更をやり直しました。

2022年11月23日。

HDS ノードは、Microsoft SQL Server に対して Windows 認証を使用できるようになりました。

データベースサーバーの要件のトピックを更新し、この認証モードの要件を追加しました。

ノードでWindows認証を設定する手順を使用して、「HDSホストの設定ISOを作成する」を更新しました。
必要最小限のバージョン（PostgreSQL 10）でデータベースサーバーの要件トピックを更新しました。

2021 年 10 月 13 日

2017 年 6 月 24 日

2021 年 4 月 30 日

ローカルハードディスクスペースの VM 要件を 30 GB に変更しました。詳細については、「仮想ホスト要件」を参照してください。

2021 年 2 月 24 日

2021 年 2 月 2 日

2021年1月11日。

HDSセットアップツールとプロキシに関する情報を追加し、HDSホストの設定ISOを作成しました。

2020/10/13

インストールファイルのダウンロードを更新しました。

2020/10/08

更新HDSホスト用の構成ISOの作成およびFedRAMP環境のコマンドによるノード構成の変更。

2020 年 8 月 14 日

サインインプロセスの変更に伴い、「HDS ホストの構成 ISO を作成する」および「ノード構成を変更する」が更新されました。

2020年8月5日水曜日

ログメッセージの変更に関するハイブリッドデータセキュリティ展開のテストを更新しました。

ホストの最大数を削除する仮想ホスト要件を更新しました。

2020 年 6 月 16 日

Control Hub UI の変更に関するノードの削除を更新しました。

2020 年 6 月 4 日

設定する詳細設定の変更に関するHDS ホストの設定 ISO の作成を更新しました。

2020 年 5 月 29 日

SQL Serverデータベース、UI変更、およびその他の説明でTLSを使用できることを示すために、HDSホストの構成ISOを作成するを更新しました。

2020 年 5 月 5 日

ESXi 6.5 の新しい要件を表示するために、仮想ホスト要件を更新しました。

2020 年 4 月 21 日

新しい Americas CI ホストとの外部接続要件が更新されました。

2020 年 4 月 1 日

地域 CI ホストに関する情報で外部接続要件が更新されました。

2020年2月20日水曜日 HDSセットアップツールの新しいオプションの詳細設定画面に関する情報を記載したHDSホストの設定ISOを作成を更新しました。

2020年2月4日。プロキシサーバーの要件を更新しました。

2019年12月16日ブロックされた外部 DNS 解決モードがプロキシサーバーの要件で動作する要件を明確化しました。

2019 年 11 月 19 日

次のセクションで、ブロックされた外部 DNS 解決モードに関する情報を追加しました。

プロキシサポート
プロキシ統合のために HDS ノードを設定する
外部 DNS 解決ブロックモードをオフにする

2019 年 11 月 8 日

OVA を後で展開するのではなく、ノードのネットワーク設定を構成できるようになりました。

以下のセクションを適宜更新しました。

ハイブリッドデータセキュリティ展開タスクフロー
HDS ホスト OVA のインストール
ハイブリッドデータセキュリティ VM のセットアップ

2019年9月6日水曜日

データベースサーバーの要件にSQL Server Standardを追加しました。

2019 年 8 月 20 日

Webex クラウドへのハイブリッドデータセキュリティノード通信のプロキシサポートをカバーするセクションを追加および更新しました。

プロキシサポート
プロキシサーバーの要件
プロキシ統合のために HDS ノードを設定する

2019年3月6日（火）

要件と前提条件を別の章に移動しました。環境の準備です。
追加されたハイブリッドデータセキュリティ展開タスクフローチャプターの概要ハイブリッドデータセキュリティクラスタのセットアップは...

トライアルを開始するまで (後続の章の手順を使用)、ノードはサービスがまだアクティブ化されていないことを示すアラームを生成することに注意してください。
「トライアルを実行して本番環境に移動」の章に「本番環境タスクフローにトライアル」を追加しました。

2019 年 2 月 28 日

ハイブリッドデータセキュリティノードとなる仮想ホストを 50 GB から 20 GB に準備するときに、OVA が作成するディスクのサイズを反映させるために、サーバあたりのローカルハードディスクの空き容量を修正しました。

2019 年 2 月 26 日

ハイブリッドデータセキュリティノードは、PostgreSQL データベースサーバとの暗号化された接続、および TLS 対応の syslog サーバへの暗号化されたロギング接続をサポートするようになりました。手順が記載された「HDS ホストの設定 ISO を作成」を更新しました。
「ハイブリッドデータセキュリティノード VM のインターネット接続要件」の表から移動先 URL を削除しました。この表は、Webex Teams サービスのネットワーク要件の「Webex Teams ハイブリッドサービスの追加 URL」表で維持されているリストを参照しています。

2019 年 1 月 24 日

2018年11月5日。

「HDS ホストの設定 ISO を作成する」と「ノード設定を変更する」で、既存の docker hds インスタンスをクリーンアップするための予備ステップを追加しました。
インターフェイスに一致するHDS ホスト用の設定 ISO の作成のキーアクセスレベルステップを更新しました。

2018年10月19日水曜日

ファイアウォール接続情報をノード要件とISO構成マシン要件に分割し、「ハイブリッドデータセキュリティの前提条件を満たす」を選択します。

2018 年 7 月 31 日

ハイブリッドデータセキュリティの前提条件を満たすために、ポート 22（SSH アクセス）と NAT およびファイアウォール接続に関する情報を追加しました。

2018/05/21

Cisco Spark のリブランディングを反映する用語の変更:

Cisco Spark ハイブリッドデータセキュリティがハイブリッドデータセキュリティになりました。
Cisco Spark アプリが Webex アプリアプリになりました。
Cisco Collaboraton Cloud は Webex クラウドになりました。

2018年4月11日。

災害復旧用スタンバイデータセンターを追加。
更新ハイブリッドデータセキュリティの前提条件を完了して、バックアップ環境を別のデータセンターにする必要があることを指定しました。
スタンバイデータセンターを使用したディザスタリカバリを更新。

2018年2月22日水曜日

サービスアカウントパスワードの9か月の寿命と、HDSセットアップツールを使用してサービスアカウントパスワードをリセットする方法についての情報を追加しました。「HDSホストの設定ISOの作成」および「ノード設定の変更」を参照してください。

2018 年 2 月 15 日

X.509証明書の要件表では、証明書がワイルドカード証明書にはならないこと、KMSがCNドメインを使用していること、x.509v3 SANフィールドで定義されているドメインではないことが指定されています。

2018 年 1 月 18 日

付録「HDSノードとクラウド間のトラフィック」を追加。
ハイブリッドデータセキュリティの既知の問題から解決済みの問題を削除しました。
index.docker.io を *.docker.io に変更し、*.cloudfront.net を HDS ノードの TCP 接続要件のリストに追加しました。ハイブリッドデータセキュリティの前提条件を完了します。
データベースホストと Syslogd サーバが HDS ノードから DNS 解決可能でない場合、IP アドレスを使用して設定する必要があることを示すために、HDS ホストの構成 ISO を作成するを更新しました。

2017年11月2日。

HdsTrialGroup のディレクトリ同期を明確にしました。
VM ノードにマウントするための ISO 設定ファイルをアップロードする手順を修正しました。

2017年8月18日。

初公開。

ハイブリッドデータセキュリティの使用を開始する

ハイブリッドデータセキュリティの概要

セキュリティRealmアーキテクチャ

Webex クラウドアーキテクチャは、以下に示すように、さまざまなタイプのサービスを別々の領域、または信頼ドメインに分離します。

クライアントは、キー管理サービス（KMS）とのセキュアな接続を確立し、メッセージを暗号化するためのキーを要求します。安全な接続は ECDH を使用し、KMS は AES-256 マスターキーを使用してキーを暗号化します。
メッセージはクライアントを離れる前に暗号化されます。クライアントはインデックスをインデックスサービスに送信します。これにより、暗号化された検索インデックスが作成され、今後のコンテンツの検索に役立ちます。
暗号化されたメッセージは、コンプライアンスチェックのためにコンプライアンスサービスに送信されます。
暗号化されたメッセージはストレージ領域に保存されます。

他の組織との連携

ハイブリッドデータセキュリティの展開への期待

ハイブリッドデータセキュリティの展開には、重要な顧客のコミットメントと、暗号化キーの所有に伴うリスクの認識が必要です。

ハイブリッドデータセキュリティを展開するには、以下を提供する必要があります。

Cisco Webex Teams プランでサポートされている国の安全なデータセンター。
環境の準備で説明する装置、ソフトウェア、およびネットワークアクセス。

データベースのバックアップとリカバリ、および構成ISOを管理します。
データベースのディスク障害やデータセンター障害などの大災害が発生した場合、迅速な災害復旧を実行する準備をしてください。

HDS 導入後にキーをクラウドに戻すメカニズムはありません。

高レベルのセットアッププロセス

このドキュメントでは、ハイブリッドデータセキュリティ展開のセットアップと管理について説明します。

ハイブリッドデータセキュリティのセットアップ—これには、必要なインフラストラクチャの準備とハイブリッドデータセキュリティソフトウェアのインストール、トライアルモードでのユーザーのサブセットを使用した展開のテスト、テストが完了すると本番環境に移行することが含まれます。これにより、組織全体がセキュリティ機能にハイブリッドデータセキュリティクラスタを使用できるようになります。
セットアップ、トライアル、および生産の各段階は、次の3つの章で詳しく説明されています。
ハイブリッドデータセキュリティの展開を維持する—Webex クラウドは自動的に継続的なアップグレードを提供します。 IT 部門は、この展開に対してティア 1 のサポートを提供し、必要に応じてシスコのサポートを引き受けることができます。画面上の通知を使用し、Control Hub でメールベースのアラートを設定できます。
一般的なアラート、トラブルシューティング手順、および既知の問題について理解する—ハイブリッドデータセキュリティの展開または使用で問題が発生した場合、このガイドの最後の章と既知の問題の付録は、問題を決定および修正するのに役立ちます。

ハイブリッドデータセキュリティ展開モデル

ハイブリッドデータセキュリティ展開モデル

組織ごとに 1 つのクラスタのみをサポートします。

ハイブリッドデータセキュリティトライアルモード

災害復旧のためのスタンバイデータセンター

アクティブなハイブリッドデータセキュリティノードは、常にアクティブなデータベースサーバと同じデータセンターにある必要があります。

災害復旧のためのスタンバイデータセンターを設定

スタンバイデータセンターの ISO ファイルを設定するには、以下の手順に従います。

始める前に

スタンバイデータセンターは、VMとバックアップPostgreSQLまたはMicrosoft SQL Serverデータベースの生産環境をミラーリングする必要があります。たとえば、本番環境に HDS ノードを実行する 3 台の仮想マシンがある場合、バックアップ環境には 3 台の仮想マシンが必要です (このフェールオーバーモデルの概要については、「Standby Data Center for Disaster Recovery」を参照してください)。
アクティブクラスタノードとパッシブクラスタノードのデータベース間でデータベース同期が有効になっていることを確認します。

HDS Setupツールを起動し、「HDSホストの設定ISOを作成する」の手順に従います。

ISO ファイルは、次の構成更新を行うプライマリデータセンターの原本 ISO ファイルのコピーである必要があります。

Syslogdサーバーを構成した後、[詳細設定]をクリックします。


passiveMode: 'true'

構成プロセスを完了し、見つけやすい場所にISOファイルを保存します。

VMware vSphere クライアントの左側のナビゲーションペインで、仮想マシンを右クリックし、[設定の編集] をクリックします。

［設定の編集］>［CD/DVDドライブ1］をクリックし、［データストアISOファイル］を選択します。

ノードを開始した後で、更新された設定変更を有効にするために、「接続」および「電源投入時に接続」がオンになっていることを確認します。

HDS ノードの電源を入れ、少なくとも 15 分間アラームがないことを確認します。

スタンバイデータセンター内のすべてのノードに対してプロセスを繰り返します。

次に行うこと

プロキシサポート

ハイブリッドデータセキュリティノードは、以下のプロキシオプションをサポートしています。

プロキシなし—プロキシを統合するために、HDS ノードセットアップの信頼ストアとプロキシ設定を使用しない場合は、デフォルトになります。証明書の更新は必要ありません。
透過型の検査なしのプロキシ—ノードは特定のプロキシサーバーアドレスを使用するように設定されていないため、検査なしのプロキシで動作するように変更を加える必要はありません。証明書の更新は必要ありません。
透過トンネリングまたは検査プロキシ—ノードは特定のプロキシサーバーアドレスを使用するように設定されていません。ノードでは、HTTP または HTTPS の設定変更は必要ありません。ただし、ノードはプロキシを信頼するためにルート証明書を必要とします。プロキシを検査することで、Web サイトにアクセスするか、どのタイプのコンテンツを使用するかを強制するポリシーを施行することができます。このタイプのプロキシは、すべてのトラフィック (HTTPS さえも含む) を復号化します。
明示的プロキシ—明示的なプロキシを使用して、使用するプロキシサーバーと認証スキームを指定します。明示的なプロキシを設定するには、各ノードに次の情報を入力する必要があります。
1. プロキシ IP/FQDN—プロキシマシンに到達するために使用できるアドレス。
2. プロキシポート-プロキシがプロキシトラフィックをリスンするために使用するポート番号。
3. プロキシプロトコル-プロキシサーバーがサポートするものに応じて、次のいずれかのプロトコルを選択します。
  - HTTP—クライアントが送信するすべての要求を表示し、コントロールします。
  - HTTPS—サーバーにチャネルを提供します。クライアントがサーバーの証明書を受け取り、検証します。
4. 認証タイプ-次の認証タイプから選択します。
  - なし—追加の認証は必要ありません。
    
    プロキシプロトコルとして HTTP または HTTPS のいずれかを選択した場合に利用できます。
  - ベーシック—HTTP ユーザーエージェントがリクエストを行う際にユーザー名とパスワードを指定するために使用されます。 Base64 エンコードを使用します。
    
    プロキシプロトコルとして HTTP または HTTPS のいずれかを選択した場合に利用できます。
    
    各ノードにユーザー名とパスワードを入力する必要があります。
  - ダイジェスト—機密情報を送信する前にアカウントを確認するために使用されます。ネットワークを経由して送信する前に、ユーザー名およびパスワードにハッシュ機能を適用します。
    
    プロキシプロトコルとして HTTPS を選択した場合にのみ利用できます。
    
    各ノードにユーザー名とパスワードを入力する必要があります。

ハイブリッドデータセキュリティノードとプロキシの例

外部 DNS 解決ブロックモード (明示的プロキシ構成)

環境の準備

ハイブリッドデータセキュリティの要件

Cisco Webex ライセンス要件

ハイブリッドデータセキュリティを展開するには:

Cisco Webex Control Hub 用の Pro Pack が必要です (https://www.cisco.com/go/pro-pack を参照してください)。

Docker デスクトップの要件

X.509 証明書の要件

証明書チェーンは、次の要件を満たしている必要があります。

表 1. ハイブリッドデータセキュリティ展開の X.509 証明書要件
要件	の詳細
信頼できる認証局 (CA) によって署名された	デフォルトでは、https://wiki.mozilla.org/CA:IncludedCAsでMozillaリスト（WoSignとStartComを除く）のCAを信頼しています。
ハイブリッドデータセキュリティの展開を識別する共通名 (CN) ドメイン名を持つワイルドカード証明書ではありません	CN に到達可能またはライブホストである必要はありません。組織を反映する名前を使用することを推奨します。たとえば、 `hds.company.com` です。 CN に * (ワイルドカード) を含めることはできません。 CN は、Webex アプリクライアントへのハイブリッドデータセキュリティノードを確認するために使用されます。クラスタ内のすべてのハイブリッドデータセキュリティノードが同じ証明書を使用します。 KMS は、x.509v3 SAN フィールドで定義されているドメインではなく、CN ドメインを使用して自身を識別します。この証明書でノードを登録すると、CN ドメイン名の変更はサポートされません。トライアル展開と本番展開の両方に適用できるドメインを選択します。
非SHA1署名	KMS ソフトウェアは、他の組織の KMS への接続を検証するための SHA1 署名をサポートしていません。
パスワードで保護されたPKCS #12ファイルとしてフォーマット親しみやすい名前を使用する `kms-private-key` 証明書、秘密キー、およびアップロードする中間証明書をタグ付けします。	OpenSSL などのコンバータを使用して、証明書の形式を変更できます。 HDSセットアップツールを実行するときは、パスワードを入力する必要があります。

仮想ホストの要件

クラスタ内のハイブリッドデータセキュリティノードとして設定する仮想ホストには、次の要件があります。

同じセキュアデータセンターでコロケーションされた少なくとも 2 つの別のホスト (3 つの推奨)
VMware ESXi 6.5 (またはそれ以降) がインストールされ、実行されています。

以前のバージョンの ESXi がある場合は、アップグレードする必要があります。
最低4vCPU、8GBメインメモリ、サーバーあたり30GBのローカルハードディスク容量

データベースサーバーの要件

データベースサーバーには2つのオプションがあります。各要件は以下のとおりです。

表 2. データベースの種類別のデータベースサーバー要件

PostgreSQLについて

Microsoft SQL Server（マイクロソフト SQL サーバー）

PostgreSQL 14、15、または 16 がインストールされ、実行されています。

SQL Server 2016、2017、または 2019（Enterprise または Standard）がインストールされています。

SQL Server 2016 では、Service Pack 2 および Cumulative Update 2 以降が必要です。

HDS ソフトウェアは現在、データベースサーバとの通信用に次のドライババージョンをインストールしています。

PostgreSQLについて

Microsoft SQL Server（マイクロソフト SQL サーバー）

Postgres JDBCドライバ 42.2.5

SQL Server JDBC ドライバ 4.6

このドライババージョンは、SQL Server Always On（Always On Failover Cluster InstancesおよびAlways On availability groups）をサポートしています。

Microsoft SQL Server に対する Windows 認証の追加要件

HDS ノードが Windows 認証を使用して Microsoft SQL Server のキーストアデータベースにアクセスできるようにするには、環境内で次の設定が必要です。

HDS ノード、Active Directory インフラストラクチャ、MS SQL Server はすべて NTP と同期する必要があります。
HDS ノードに提供する Windows アカウントは、データベースへの読み取り/書き込みアクセス権を持っている必要があります。
HDS ノードに提供する DNS サーバは、キー配布センター (KDC) を解決できる必要があります。
Microsoft SQL Server に HDS データベースインスタンスをサービスプリンシパル名 (SPN) として Active Directory に登録できます。詳細は、Kerberos Connections のサービスプリンシパル名を登録するを参照してください。

HDS セットアップツール、HDS ランチャー、およびローカル KMS はすべて、キーストアデータベースにアクセスするために Windows 認証を使用する必要があります。 Kerberos 認証でアクセスを要求するときに、ISO 設定の詳細を使用して SPN を構築します。

外部接続の要件

HDS アプリケーションに次の接続を許可するようにファイアウォールを設定します。

アプリケーション	プロトコル	ポート	アプリからの方向	移動先
ハイブリッドデータセキュリティノード	TCP	443	アウトバウンド HTTPS および WSS	Webex サーバー: .wbx2.com .ciscospark.com すべての Common Identity ホスト Webex サービスのネットワーク要件のWebex ハイブリッドサービスの追加 URL 表にハイブリッドデータセキュリティ用にリストされているその他の URL
HDS 設定ツール	TCP	443	アウトバウンド HTTPS	*.wbx2.com すべての Common Identity ホストハブ.docker.com

Common Identity (CI) ホストの URL は地域固有です。これらは現在の CI ホストです。

地域	共通 ID ホスト URL
Americas (北米、中南米エリア)	https://idbroker.webex.com https://identity.webex.com https://idbroker-b-us.webex.com https://identity-b-us.webex.com
欧州連合	https://idbroker-eu.webex.com https://identity-eu.webex.com
カナダ	https://idbroker-ca.webex.com https://identity-ca.webex.com

プロキシサーバーの要件

お使いのハイブリッドデータセキュリティノードと統合できる次のプロキシソリューションを正式にサポートしています。

透過的プロキシ—Cisco Web Security Appliance (WSA)。

明示的プロキシ—Squid。

明示的プロキシに対して次の認証タイプの組み合わせがサポートされています。
- HTTP または HTTPS による認証がありません
- HTTP または HTTPS による基本認証
- HTTPS のみによるダイジェスト認証
透過的検査プロキシまたは HTTPS 明示的プロキシについては、プロキシのルート証明書のコピーが必要です。このガイドに記載されている展開手順は、ハイブリッドデータセキュリティノードの信頼ストアにコピーをアップロードする方法を説明しています。
HDS ノードをホストするネットワークは、ポート 443 のアウトバウンド TCP トラフィックを強制的にプロキシ経由でルーティングするように設定されている必要があります。
Web トラフィックを検査するプロキシは、Web ソケット接続に干渉する場合があります。この問題が発生した場合、トラフィックをバイパス（検査しない）して wbx2.com および ciscospark.com 問題を解決します。

ハイブリッドデータセキュリティの前提条件を完了する

このチェックリストを使用して、ハイブリッドデータセキュリティクラスタをインストールして設定する準備ができていることを確認します。

キーストレージ用のデータベースを作成します。 (このデータベースを作成する必要があります。デフォルトのデータベースを使用しないでください。 HDS アプリケーションをインストールすると、データベーススキーマが作成されます。
ノードがデータベースサーバと通信するために使用する詳細を収集します。
- ホスト名または IP アドレス (ホスト) とポート
- キーストレージのデータベース名（dbname）
- キーストレージデータベース上のすべての権限を持つユーザーのユーザー名とパスワード

HDSセットアップツールをインストールして実行するには、ローカルマシンに外部接続要件に記載されている接続性が必要です。

プロキシとハイブリッドデータセキュリティを統合する場合は、プロキシサーバーの要件を満たしていることを確認してください。

ハイブリッドデータセキュリティクラスタのセットアップ

ハイブリッドデータセキュリティ展開タスクフロー

始める前に

後で使用するために、OVA ファイルをローカルマシンにダウンロードします。

HDS セットアップツールを使用して、ハイブリッドデータセキュリティノードの ISO 設定ファイルを作成します。

OVA ファイルから仮想マシンを作成し、ネットワーク設定などの初期設定を実行します。

HDS セットアップツールを使用して作成した ISO 設定ファイルから VM を設定します。

ハイブリッドデータセキュリティノードとして Cisco Webex クラウドに仮想マシンを登録します。

クラスタの設定を完了します。

トライアルを開始するまで、ノードはサービスがまだアクティブ化されていないことを示すアラームを生成します。

インストールファイルのダウンロード

https://admin.webex.comにサインインし、「サービス」をクリックします。

[ハイブリッドサービス] セクションで、ハイブリッドデータセキュリティカードを見つけて、[セットアップ] をクリックします。

ノードがまだセットアップされていないことを示すにはいいえを選択し、「次へ」をクリックします。

OVAファイルは自動的にダウンロードを開始します。ファイルをマシン上の場所に保存します。

必要に応じて、［導入ガイドを開く］をクリックして、このガイドの後半バージョンが利用可能かどうかを確認します。

HDS ホストの設定 ISO を作成する

始める前に

説明	変数
認証なしの HTTP プロキシ	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
認証なしの HTTPS プロキシ	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
認証ありの HTTP プロキシ	`GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
認証ありの HTTPS プロキシ	`GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

生成する構成 ISO ファイルには、PostgreSQL または Microsoft SQL Server データベースを暗号化するマスターキーが含まれています。次のように、設定を変更するたびに、このファイルの最新のコピーが必要です。
- データベースの資格情報
- 証明書の更新
- 承認ポリシーの変更
データベース接続を暗号化する場合は、TLS 用の PostgreSQL または SQL Server 展開をセットアップします。

マシンのコマンドラインで、お使い環境に適切なコマンドを入力します。

一般環境:

docker rmi ciscocitg/hds-setup:stable

FedRAMP 環境の場合:

docker rmi ciscocitg/hds-setup-fedramp:stable

Docker 画像レジストリにサインインするには、以下を入力します。

docker login -u hdscustomersro

パスワードのプロンプトに対して、このハッシュを入力します。

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

お使い環境に合った最新の安定した画像をダウンロードします。

一般環境:

docker pull ciscocitg/hds-setup:stable

FedRAMP 環境の場合:

docker pull ciscocitg/hds-setup-fedramp:stable

プルが完了したら、お使いの環境に適切なコマンドを入力します。

プロキシなしの通常の環境の場合:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

HTTP プロキシがある通常の環境の場合、

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

HTTPS プロキシがある通常の環境の場合:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

プロキシなしの FedRAMP 環境の場合:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

HTTP プロキシがある FedRAMP 環境の場合:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

HTTPS プロキシがある FedRAMP 環境の場合:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

コンテナが実行中の時。「ポート 8080 で Express サーバーリスニング中」と表示されます。

Setup ツールは、http://localhost:8080 を介した localhost への接続をサポートしていません。 http://127.0.0.1:8080を使用してlocalhostに接続します。

Web ブラウザを使用して localhost に移動し、 http://127.0.0.1:8080 、プロンプトで Control Hub の顧客管理者ユーザー名を入力します。

[セットアップツールの概要] ページで、[はじめに] をクリックします。

［ISOインポート］ページには、次のオプションがあります。

いいえ—最初の HDS ノードを作成する場合、アップロードする ISO ファイルがありません。
はい—HDS ノードをすでに作成している場合は、ブラウズで ISO ファイルを選択してアップロードします。

X.509 証明書がX.509 証明書要件の要件を満たしていることを確認してください。

証明書をアップロードしたことがない場合は、X.509 証明書をアップロードし、パスワードを入力して [続行] をクリックします。
証明書がOKの場合、「続行」をクリックします。
証明書の有効期限が切れている場合、または証明書を置き換える場合は、「いいえ」を選択して、「以前のISOからHDS証明書チェーンと秘密キーの使用を続行」を選択します。新しい X.509 証明書をアップロードし、パスワードを入力し、[続行] をクリックします。

HDS のデータベースアドレスとアカウントを入力して、キーデータストアにアクセスします。

データベースの種類（PostgreSQLまたはMicrosoft SQL Server）を選択します。

Microsoft SQL Serverを選択すると、[認証タイプ(Authentication Type)] フィールドが表示されます。
(Microsoft SQL Serverのみ) 認証タイプを選択します。
- 基本認証: [ユーザー名] フィールドには、ローカル SQL Server アカウント名が必要です。
- Windowsの認証: 形式の Windows アカウントが必要です username@DOMAINユーザー名フィールドに入力します。
フォームにデータベースサーバアドレスを入力します <hostname>:<port> または <IP-address>:<port> です。

例:
dbhost.example.org:1433 または 198.51.100.17:1433

ノードがホスト名を解決するために DNS を使用できない場合、基本認証に IP アドレスを使用できます。

Windows 認証を使用している場合は、形式に完全修飾ドメイン名を入力する必要があります dbhost.example.org:1433
データベース名を入力します。
キーストレージデータベース上のすべての権限を持つユーザーのユーザー名とパスワードを入力します。

TLS データベース接続モードを選択します。

モード

説明

TLS を優先 (デフォルトのオプション)

TLS を要求する

データベースサーバが TLS をネゴシエートできる場合に限り、HDS ノードは接続されます。

TLS を要求し、証明書の署名者を確認する

このモードは、SQL Server データベースには適用されません。

データベースサーバが TLS をネゴシエートできる場合に限り、HDS ノードは接続されます。
TLS 接続を確立した後、ノードはデータベースサーバからの証明書の署名者をデータベースルート証明書の認証局と比較します。一致しない場合、ノードにより接続が切断されます。

ドロップダウンの下にあるデータベースルート証明書コントロールを使用して、このオプションのルート証明書をアップロードしてください。

TLS を要求し、証明書の署名者およびホスト名を確認する

データベースサーバが TLS をネゴシエートできる場合に限り、HDS ノードは接続されます。
TLS 接続を確立した後、ノードはデータベースサーバからの証明書の署名者をデータベースルート証明書の認証局と比較します。一致しない場合、ノードにより接続が切断されます。
ノードはまた、サーバ証明書のホスト名が [データベースホストとポート] フィールドのホスト名と一致することを確認します。名前は正確に一致する必要があります。または、ノードが接続を切断します。

ドロップダウンの下にあるデータベースルート証明書コントロールを使用して、このオプションのルート証明書をアップロードしてください。

[システムログ（System Logs）] ページで、Syslogd サーバを設定します。

syslog サーバの URL を入力します。

HDS クラスタのノードからサーバが DNS 解決可能でない場合は、URL で IP アドレスを使用します。

例:
udp://10.92.43.23:514 UDP ポート 514 の Syslogd ホスト 10.92.43.23 へのロギングを示します。
TLS 暗号化を使用するようにサーバを設定した場合は、「syslog サーバが SSL 暗号化用に設定されていますか？」にチェックを入れます。

このチェックボックスをオンにした場合は、次のような TCP URL を入力してください: tcp://10.92.43.23:514 です。
[syslogレコードの終了を選択]ドロップダウンから、ISOファイルの適切な設定を選択します。選択または改行は Graylog および Rsyslog TCP に使用されます
- Null バイト -- \x00
- 改行 -- \n:Graylog および Rsyslog TCP の選択肢を選択します。
[続行] をクリックします。

app_datasource_connection_pool_maxSize: 10

[サービスアカウントのパスワードをリセット] 画面の [続行] をクリックします。

[ISOファイルのダウンロード] をクリックします。見つけやすい場所にファイルを保存します。

ローカルシステム上のISOファイルのバックアップコピーを作成します。

セットアップツールをシャットダウンするために次のように入力します。 CTRL+C です。

次に行うこと

私たちはこのキーのコピーを持っていないし、あなたがそれを失ったら助けることができません。

HDS ホスト OVA のインストール

OVA ファイルから仮想マシンを作成するには、次の手順を使用します。

コンピュータの VMware vSphere クライアントを使用して、ESXi 仮想ホストにログインします。

ファイル > OVF テンプレートを展開を選択します。

ウィザードで、先ほどダウンロードしたOVAファイルの場所を指定し、 をクリックします。次へだ

の計算リソースを選択ページで、宛先計算リソースを選択し、をクリックします。次へだ

検証チェックが実行されます。完了すると、テンプレートの詳細が表示されます。

テンプレートの詳細を確認し、［次へ］をクリックします。

のリソース設定を選択するよう求められた場合設定ページ、をクリックします。 4 CPU をクリックし、 をクリックします。次へだ

のストレージを選択ページ、をクリックします。次へは、デフォルトのディスク形式とVMストレージポリシーを受け入れます。

のネットワークを選択ページで、エントリのリストからネットワークオプションを選択し、仮想マシンへの接続を提供します。

[テンプレートのカスタマイズ] ページで、次のネットワーク設定を構成します。

[ホスト名(Hostname)]:ノードの FQDN (ホスト名とドメイン) または単語ホスト名を入力します。

X.509 証明書を取得するために使用したドメインと一致するようにドメインを設定する必要はありません。
クラウドへの登録を成功させるには、ノードに設定した FQDN またはホスト名に小文字のみを使用します。現時点では大文字化のサポートはありません。
FQDNのトータルの長さは64文字を超えてはいけません。

[IPアドレス(IP Address)]:ノードの内部インターフェイスの IP アドレスを入力します。

ノードには内部 IP アドレスと DNS 名が必要です。 DHCP はサポートされていません。
[マスク(Mask)]:サブネットマスクアドレスをドット小数表記で入力します。たとえば、255.255.255.0 などです。
[ゲートウェイ(Gateway)]:ゲートウェイの IP アドレスを入力します。ゲートウェイは、別のネットワークへのアクセスポイントとして機能するネットワークノードです。
DNS サーバ:ドメイン名を数値の IP アドレスに変換する DNS サーバのカンマ区切りリストを入力します。 (最大 4 つの DNS エントリが許可されます。)
NTP サーバ:組織の NTP サーバまたは組織で使用できる別の外部 NTP サーバを入力します。デフォルトの NTP サーバは、すべての企業で機能しない場合があります。カンマ区切りリストを使用して、複数の NTP サーバを入力することもできます。

クラスタ内のすべてのノードが管理目的でネットワーク内のクライアントから到達できるように、すべてのノードを同じサブネットまたは VLAN に展開します。

ノードVMを右クリックし、電源 > 電源オンだ。

トラブルシューティングのヒント

ハイブリッドデータセキュリティ VM のセットアップ

1	VMware vSphere クライアントで、ハイブリッドデータセキュリティノード VM を選択し、[コンソール] タブを選択します。 VM が起動し、ログインプロンプトが表示されます。ログインプロンプトが表示されない場合は、入力を押してください。
2	次のデフォルトのログインとパスワードを使用してサインインし、資格情報を変更します。ログイン: `admin` パスワード: `cisco` 初めて仮想マシンにサインインするため、管理者パスワードを変更する必要があります。
3	［HDS ホスト OVA のインストール］でネットワーク設定をすでに設定している場合は、残りの手順をスキップします。それ以外の場合は、メインメニューで［設定の編集］オプションを選択します。
4	IP アドレス、マスク、ゲートウェイ、DNS 情報を含む静的設定をセットアップします。ノードには内部 IP アドレスと DNS 名が必要です。 DHCP はサポートされていません。
5	(オプション) ネットワークポリシーと一致する必要がある場合は、ホスト名、ドメイン、または NTP サーバを変更します。 X.509 証明書を取得するために使用したドメインと一致するようにドメインを設定する必要はありません。
6	ネットワーク設定を保存し、仮想マシンを再起動して、変更を有効にします。

HDS 設定 ISO のアップロードとマウント

HDS セットアップツールを使用して作成した ISO ファイルから仮想マシンを設定するには、次の手順を使用します。

始める前に

コンピュータから ISO ファイルをアップロードします。

VMware vSphere クライアントの左側のナビゲーションペインで、ESXi サーバをクリックします。
[設定] タブの [ハードウェア] リストで、[ストレージ] をクリックします。
[データストア（Datastores）] リストで、仮想マシンのデータストアを右クリックし、[データストアを参照（Browse Datastore）] をクリックします。
[ファイルのアップロード] アイコンをクリックし、[ファイルのアップロード] をクリックします。
コンピュータにISOファイルをダウンロードした場所を参照し、［開く］をクリックします。
アップロード/ダウンロード操作の警告を受け入れるには、[はい] をクリックし、データストアダイアログを閉じます。

ISO ファイルをマウントします。

VMware vSphere クライアントの左ナビゲーションペインで、ESXi サーバーを右クリックし、[設定の編集] をクリックします。
[OK] をクリックして、制限された編集オプションの警告を受け入れます。
クリック CD/DVD Drive 1 、データストア ISO ファイルからマウントするオプションを選択し、構成 ISO ファイルをアップロードした場所を参照します。
接続および電源オン時に接続をオンにします。
変更を保存し、仮想マシンを再起動します。

次に行うこと

プロキシ統合のために HDS ノードを設定する

始める前に

サポートされているプロキシオプションの概要については、プロキシサポートを参照してください。
プロキシサーバーの要件

1	HDS ノードのセットアップ URL を入力 `https://[HDS Node IP or FQDN]/setup` Web ブラウザで、ノード用に設定した管理者資格情報を入力し、[ サインイン] をクリックします。
2	[信頼ストアとロキシ] に移動して、次のオプションを選択します。プロキシなし—プロキシを統合する前のデフォルトのオプション。証明書の更新は必要ありません。透過型の検査なしのプロキシ—ノードは特定のプロキシサーバーアドレスを使用するように設定されていないため、検査なしのプロキシで動作するように変更を加える必要はありません。証明書の更新は必要ありません。透過トンネリングまたは検査プロキシ—ノードは特定のプロキシサーバーアドレスを使用するように設定されていません。ハイブリッドデータセキュリティの展開では HTTPS 構成の変更は必要ありませんが、HDS ノードはプロキシを信頼できるようにするためにルート証明書を必要とします。プロキシを検査することで、Web サイトにアクセスするか、どのタイプのコンテンツを使用するかを強制するポリシーを施行することができます。このタイプのプロキシは、すべてのトラフィック (HTTPS さえも含む) を復号化します。明示的プロキシ—明示的なプロキシを使用して、使用するプロキシサーバーをクライアント (HDS ノード) を指示し、このオプションはいくつかの認証スキームをサポートします。このオプションを選択した後、次の情報を入力する必要があります。プロキシ IP/FQDN—プロキシマシンに到達するために使用できるアドレス。プロキシポート-プロキシがプロキシトラフィックをリスンするために使用するポート番号。プロキシプロトコル- http (クライアントから受信したすべての要求を表示して管理) または https (クライアントがサーバーへのチャネルを提供し、サーバーの証明書を検証) を選択します。プロキシサーバーがサポートするオプションを選択します。認証タイプ-次の認証タイプから選択します。なし—追加の認証は必要ありません。 HTTP または HTTPS プロキシで利用できます。ベーシック—HTTP ユーザーエージェントがリクエストを行う際にユーザー名とパスワードを指定するために使用されます。 Base64 エンコードを使用します。 HTTP または HTTPS プロキシで利用できます。このオプションを選択した場合は、ユーザー名とパスワードも入力する必要があります。ダイジェスト—機密情報を送信する前にアカウントを確認するために使用されます。ネットワークを経由して送信する前に、ユーザー名およびパスワードにハッシュ機能を適用します。 HTTPS プロキシに対してのみ利用できます。このオプションを選択した場合は、ユーザー名とパスワードも入力する必要があります。透過型検査プロキシ、基本認証を持つ HTTP 明示プロキシ、または HTTPS 明示プロキシについては、次のステップに従ってください。
3	[ルート証明書またはエンティティ終了証明書のアップロード] をクリックし、プロキシのルート証明書を選択するために移動します。証明書はアップロードされていますが、まだインストールされていません。証明書をインストールするにはノードを再起動する必要があります。証明書発行者名の山形矢印をクリックして詳細を確認するか、間違っている場合は [削除] をクリックして、ファイルを再度アップロードしてください。
4	[プロキシ接続を確認する] をクリックして、ノードとプロキシ間のネットワーク接続性をテストします。接続テストが失敗した場合は、エラーメッセージが表示され、問題を解決するための理由と方法が示されます。外部 DNS の解決が正常に行われなかったという内容のメッセージが表示された場合、ノードが DNS サーバーに到達できなかったことを示しています。この状況は、多くの明示的なプロキシ構成で想定されています。セットアップを続行すると、ノードは外部 DNS 解決ブロックモードで機能します。これがエラーと思われる場合は、次の手順を実行し、「ブロックされた外部 DNS 解決モードをオフにする」を参照してください。
5	接続テストが成功した後、明示的なプロキシについては https のみに設定し、このノードからのすべてのポートの 443/444 https 要求を明示的プロキシを通してルーティングするように切り替えます。この設定を有効にするには 15 秒かかります。
6	[すべての証明書を信頼ストアにインストールする(HTTPS 明示プロキシまたは透過型のプロキシで表示される)] または [再起動] をクリックして、プロンプトを読み、準備が完了したら [インストール] をクリックします。ノードが数分以内に再起動されます。
7	ノードが再起動したら、必要に応じて再度サインインして、[概要] ページを開き、接続チェックを確認してすべて緑色のステータスになっていることを確認します。プロキシ接続の確認は webex.com のサブドメインのみをテストします。接続の問題がある場合、インストール手順に記載されているクラウドドメインの一部がプロキシでブロックされているという問題がよく見られます。

クラスタ内の最初のノードを登録する

始める前に

一旦ノードの登録を開始すると、60 分以内に完了する必要があり、そうでなければ、再び最初からやり直しになります。
ブラウザのポップアップブロッカーが無効になっているか、または admin.webex.com の例外を許可していることを確認してください。

1	https://admin.webex.comにサインインします。
2	スクリーンの左側にあるメニューからサービスを選択します。
3	[ハイブリッドサービス] セクションで、[ハイブリッドデータセキュリティ] を見つけ、[セットアップ] をクリックします。 [ハイブリッドデータセキュリティノードの登録] ページが表示されます。
4	ノードを設定し、登録する準備ができていることを示すには、「はい」を選択し、「次へ」をクリックします。
5	最初のフィールドに、ハイブリッドデータセキュリティノードを割り当てるクラスタの名前を入力します。クラスタのノードが地理的にどこに配置されているかに基づきクラスタに名前を付けることをお薦めします。例: 「サンフランシスコ」「ニューヨーク」「ダラス」
6	2 番目のフィールドに、ノードの内部 IP アドレスまたは完全修飾ドメイン名（FQDN）を入力し、[次へ] をクリックします。この IP アドレスまたは FQDN は、ハイブリッドデータセキュリティ VM のセットアップで使用した IP アドレスまたはホスト名とドメインと一致する必要があります。ノードを Webex に登録できることを示すメッセージが表示されます。
7	[ノードに進む] をクリックします。
8	警告メッセージの [続ける] をクリックします。しばらくすると、Webex サービスのノード接続テストにリダイレクトされます。すべてのテストが成功すると、[ハイブリッドデータセキュリティノードへのアクセスを許可（Allow Access to Hybrid Data Security Node）] ページが表示されます。ここで、ノードにアクセスする権限を Webex 組織に付与することを確認します。
9	[ハイブリッドデータセキュリティノードへのアクセスを許可] チェックボックスをオンにして、[続行] をクリックします。アカウントが検証され、「登録完了」メッセージは、ノードが Webex クラウドに登録されたことを示します。
10	リンクをクリックするか、タブを閉じて、[Control Hub ハイブリッドデータセキュリティ] ページに戻ります。 [ハイブリッドデータセキュリティ] ページで、登録したノードを含む新しいクラスタが表示されます。ノードはクラウドから最新のソフトウェアを自動的にダウンロードします。

より多くのノードを作成して登録する

始める前に

一旦ノードの登録を開始すると、60 分以内に完了する必要があり、そうでなければ、再び最初からやり直しになります。
ブラウザのポップアップブロッカーが無効になっているか、または admin.webex.com の例外を許可していることを確認してください。

1	OVA から新しい仮想マシンを作成し、「HDS ホスト OVA のインストール」の手順を繰り返します。
2	新しい仮想マシンで初期設定を行い、「ハイブリッドデータセキュリティ仮想マシンのセットアップ」の手順を繰り返します。
3	新しい VM で、「Upload and Mount the HDS Configuration ISO」の手順を繰り返します。
4	展開のプロキシを設定する場合は、新しいノードに必要に応じ「プロキシ統合の HDS ノードを設定する」の手順を繰り返します。
5	ノードを登録します。 https://admin.webex.comで画面の左側にあるメニューからサービスを選択します。 [ハイブリッドサービス] セクションで、ハイブリッドデータセキュリティカードを見つけて、[リソース] をクリックします。 [ハイブリッドデータセキュリティリソース] ページが表示されます。 [リソースの追加] をクリックします。最初のフィールドで、既存のクラスタの名前を選択します。 2 番目のフィールドに、ノードの内部 IP アドレスまたは完全修飾ドメイン名（FQDN）を入力し、[次へ] をクリックします。ノードを Webex クラウドに登録できることを示すメッセージが表示されます。 [ノードに進む] をクリックします。しばらくすると、Webex サービスのノード接続テストにリダイレクトされます。すべてのテストが成功すると、[ハイブリッドデータセキュリティノードへのアクセスを許可（Allow Access to Hybrid Data Security Node）] ページが表示されます。ここで、ノードにアクセスするための権限を組織に付与することを確認します。 [ハイブリッドデータセキュリティノードへのアクセスを許可] チェックボックスをオンにして、[続行] をクリックします。アカウントが検証され、「登録完了」メッセージは、ノードが Webex クラウドに登録されたことを示します。リンクをクリックするか、タブを閉じて、[Control Hub ハイブリッドデータセキュリティ] ページに戻ります。ノードが登録されています。トライアルを開始するまで、ノードはサービスがまだアクティブ化されていないことを示すアラームを生成することに注意してください。

次に行うこと

トライアルを実行して本番環境に移動

プロダクションタスクフローへの試行

始める前に

1	必要に応じて、 `HdsTrialGroup` グループオブジェクト。組織でユーザーのディレクトリ同期を使用している場合は、 `HdsTrialGroup` トライアルを開始する前に、クラウドに同期するためのグループオブジェクト。手順については、 Cisco Directory Connector 展開ガイドを参照してください。
2	トライアルの有効化トライアルを開始します。このタスクを実行するまで、ノードはサービスがまだアクティブ化されていないことを示すアラームを生成します。
3	ハイブリッドデータセキュリティ展開をテストする重要な要求がハイブリッドデータセキュリティ展開に渡されていることを確認します。
4	ハイブリッドデータセキュリティの健全性を監視するステータスを確認し、アラームのメール通知を設定します。
5	トライアルからユーザーを追加または削除する
6	以下のいずれかの操作を行い、治験の段階を完了します。トライアルからプロダクションへの移行本番環境に移行せずにトライアルを終了する

トライアルの有効化

始める前に

1	https://admin.webex.comにサインインし、「サービス」を選択します。
2	[ハイブリッドデータセキュリティ（Hybrid Data Security）] で、[設定] をクリックします。
3	[サービスステータス（Service Status）] セクションで、[トライアルの開始] をクリックします。サービスステータスがトライアルモードに変わります。
4	[ユーザーの追加] をクリックし、暗号化およびインデックスサービスのためにハイブリッドデータセキュリティノードを使用してパイロットする 1 人以上のユーザーのメールアドレスを入力します。 (組織がディレクトリ同期を使用している場合は、Active Directory を使用してトライアルグループを管理します。 `HdsTrialGroup`.)

ハイブリッドデータセキュリティ展開をテストする

この手順を使用して、ハイブリッドデータセキュリティの暗号化シナリオをテストします。

始める前に

ハイブリッドデータセキュリティの展開をセットアップします。
トライアルを有効にし、複数のトライアルユーザーを追加します。
キー要求がハイブリッドデータセキュリティ展開に渡されていることを確認するために、syslog にアクセスできることを確認します。

新しいスペースにメッセージを送信します。

syslog 出力をチェックして、キー要求がハイブリッドデータセキュリティ展開に渡されていることを確認します。

次のようなエントリを見つける必要があります (可読性のために短縮された識別子)。

2020-07-21 17:35:34.562 (+0000) INFO  KMS [pool-14-thread-1] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, 
kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

KMS から既存のキーを要求するユーザーを確認するには、次のフィルタをオンにします。 kms.data.method=retrieve および kms.data.type=KEY:

次のようなエントリを見つける必要があります。

2020-07-21 17:44:19.889 (+0000) INFO  KMS [pool-14-thread-31] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, 
kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, 
kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

新しいKMSキーの作成を要求するユーザーを確認するには、 kms.data.method=create および kms.data.type=KEY_COLLECTION:

次のようなエントリを見つける必要があります。

2020-07-21 17:44:21.975 (+0000) INFO  KMS [pool-14-thread-33] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, 
kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, 
kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

次のようなエントリを見つける必要があります。

2020-07-21 17:44:22.808 (+0000) INFO  KMS [pool-15-thread-1] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

ハイブリッドデータセキュリティの健全性を監視する

1	Control Hubで、画面左側のメニューからサービスを選択します。
2	[ハイブリッドサービス] セクションで、[ハイブリッドデータセキュリティ] を見つけ、[設定] をクリックします。 [ハイブリッドデータセキュリティ設定] ページが表示されます。
3	[メール通知] セクションで、カンマで区切られた 1 つ以上のメールアドレスを入力し、[Enter] を押します。

トライアルからユーザーを追加または削除する

1	Control Hub にサインインし、[サービス] を選択します。
2	[ハイブリッドデータセキュリティ（Hybrid Data Security）] で、[設定] をクリックします。
3	[サービスステータス（Service Status）] 領域の [トライアルモード（Trial Mode）] セクションで、[ユーザーの追加（Add Users）] をクリックするか、[表示と編集] をクリックしてユーザーをトライアルから削除します。
4	追加する 1 人以上のユーザーのメールアドレスを入力するか、ユーザー ID の X をクリックしてユーザーをトライアルから削除します。その後、[保存] をクリックします。

トライアルからプロダクションへの移行

1	Control Hub にサインインし、[サービス] を選択します。
2	[ハイブリッドデータセキュリティ（Hybrid Data Security）] で、[設定] をクリックします。
3	[サービスステータス（Service Status）] セクションで、[本番環境に移動] をクリックします。
4	すべてのユーザーを本番環境に移行することを確認します。

本番環境に移行せずにトライアルを終了する

1	Control Hub にサインインし、[サービス] を選択します。
2	[ハイブリッドデータセキュリティ（Hybrid Data Security）] で、[設定] をクリックします。
3	「Deactivate（無効化）」セクションで「Deactivate（無効化）」をクリックします。
4	サービスを無効にしてトライアルを終了することを確認します。

HDS 展開の管理

ここで説明するタスクを使用して、ハイブリッドデータセキュリティの展開を管理します。

クラスタアップグレードスケジュールの設定

アップグレードスケジュールを設定するには:

1	Control Hub にサインインします。
2	[概要] ページの [ハイブリッドサービス] で、[ハイブリッドデータセキュリティ] を選択します。
3	[ハイブリッドデータセキュリティリソース] ページで、クラスタを選択します。
4	右側の [概要] パネルの [クラスタ設定] で、クラスタ名を選択します。
5	設定ページのアップグレードの下で、アップグレードのスケジュール設定を希望する時間およびタイムゾーンを選択します。メモ: タイムゾーンの下に、次に可能なアップグレードの日時が表示されます。必要に応じて、[延期] をクリックすることでアップグレードを翌日に延期することもできます。

ノードの設定を変更する

場合により、以下のような理由でハイブリッドデータセキュリティノードの構成の変更が必要な場合があります。

有効期限が切れる、または他の理由による、x.509 証明書の変更。

データベース設定を更新して、PostgreSQL または Microsoft SQL Server データベースのレプリカを変更します。

新しい構成を作成して新しいデータセンターの準備をする。

ソフトリセット— 古いパスワードと新しいパスワードは最大 10 日間有効です。この期間を使用して、ノードの ISO ファイルを段階的に置き換えることができます。
ハードリセット—古いパスワードは即時に機能を停止します。

この手順を使用して、新しい構成 ISO ファイルを生成し、クラスターに適用します。

始める前に

説明	変数
認証なしの HTTP プロキシ	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
認証なしの HTTPS プロキシ	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
認証ありの HTTP プロキシ	`GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
認証ありの HTTPS プロキシ	`GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

新しい構成を生成するには、現在の構成 ISO ファイルのコピーが必要です。 ISO には PostgreSQL または Microsoft SQL Server データベースを暗号化するマスターキーを含むです。データベースの証明書、証明書の更新、認証方針への変更を含む、構成の変更を行った場合は ISO が必要です。

ローカルマシンで Docker を使用し、HDS セットアップツールを実行します。

マシンのコマンドラインで、お使い環境に適切なコマンドを入力します。

一般環境:

docker rmi ciscocitg/hds-setup:stable

FedRAMP 環境の場合:

docker rmi ciscocitg/hds-setup-fedramp:stable

Docker 画像レジストリにサインインするには、以下を入力します。
```
docker login -u hdscustomersro
```
パスワードのプロンプトに対して、このハッシュを入力します。
```
dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
```

お使い環境に合った最新の安定した画像をダウンロードします。

一般環境:

docker pull ciscocitg/hds-setup:stable

FedRAMP 環境の場合:

docker pull ciscocitg/hds-setup-fedramp:stable

プルが完了したら、お使いの環境に適切なコマンドを入力します。

プロキシなしの通常の環境の場合:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

HTTP プロキシがある通常の環境の場合、

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

HTTPS プロキシがある通常の環境の場合:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

プロキシなしの FedRAMP 環境の場合:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

HTTP プロキシがある FedRAMP 環境の場合:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

HTTPS プロキシがある FedRAMP 環境の場合:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

コンテナが実行中の時。「ポート 8080 で Express サーバーリスニング中」と表示されます。

ブラウザを使用して、ローカルホストに接続します。 http://127.0.0.1:8080 です。

Setup ツールは、http://localhost:8080 を介した localhost への接続をサポートしていません。 http://127.0.0.1:8080を使用してlocalhostに接続します。

指示されたら、 Control Hub の顧客サインイン資格情報を入力し、[同意] をクリックして続行します。
現在の構成 ISO ファイルをインポートします。
指示に従い、ツールを完了し、更新されたファイルをダウンロードします。

セットアップツールをシャットダウンするために次のように入力します。 CTRL+C です。
更新されたファイルのバックアップコピーを別のデータセンターに作成します。

HDS 主催者 OVA をインストールします。
HDS VM をセットアップします。
更新された構成ファイルをマウントします。
Control Hub の新しいノードを登録します。

仮想マシンをオフにします。
VMware vSphere クライアントの左ナビゲーションペインで、ESXi サーバーを右クリックし、[設定の編集] をクリックします。
クリック CD/DVD Drive 1[CD/DVD Drive 1] をクリックし、ISO ファイルからマウントするオプションを選択して、新規構成 ISO ファイルをダウンロードした場所を参照します。
[電源に接続する] をチェックします。
変更を保存し、仮想マシンを起動します。

ステップ 3 を繰り返し、古い構成ファイルを実行している残りの各ノードで構成を置き換えます。

外部 DNS 解決ブロックモードをオフにする

始める前に

内部 DNS サーバーがパブリック DNS 名を解決でき、ノードがそれらと通信できることを確認します。

1	Web ブラウザで、ハイブリッドデータセキュリティノードインターフェイス (IP アドレス/セットアップ、たとえば、ノードに設定した管理者資格情報をhttps://192.0.2.0/setup), 入力し、[サインイン] をクリックします。
2	[概要] (デフォルトページ) に移動します。有効になっている場合、 [外部 DNS 解決ブロック] は [はい] に設定されています。
3	[信頼ストアとプロキシ] ページに移動します。
4	[プロキシ接続を確認する] をクリックします。外部 DNS の解決が正常に行われなかったという内容のメッセージが表示された場合、ノードが DNS サーバーに到達できなかったことを示しており、このモードに留まっています。そうでない場合には、ノードを再起動して[概要] ページに戻ると、[外部 DNS 解決ブロック] は [いいえ] に設定されるはずです。

次に行うこと

ハイブリッドデータセキュリティクラスターの各ノードで、プロキシ接続テストを繰り返します。

ノードの削除

コンピュータの VMware vSphere クライアントを使用して、ESXi 仮想ホストにログインし、仮想マシンの電源を切ります。

ノードを削除します。

Control Hub にサインインし、[サービス] を選択します。
ハイブリッドデータセキュリティカードで、すべて表示 [ハイブリッドデータセキュリティリソース] ページを表示します。
クラスタを選択して [概要] パネルを表示します。
[ノードリストを開く] をクリックします。
[ノード] タブで、削除するノードを選択します。
をクリックします。アクション > ノードの登録解除

vSphere クライアントで、仮想マシンを削除します (左側のナビゲーションペインで、仮想マシンを右クリックし、[削除] をクリックします)。

スタンバイデータセンターを使用したディザスタリカバリ

HDS Setupツールを起動し、「HDSホストの設定ISOを作成する」の手順に従います。

Syslogdサーバーを構成した後、[詳細設定]をクリックします。


passiveMode: 'false'

構成プロセスを完了し、見つけやすい場所にISOファイルを保存します。

VMware vSphere クライアントの左側のナビゲーションペインで、仮想マシンを右クリックし、[設定の編集] をクリックします。

［設定の編集］>［CD/DVDドライブ1］をクリックし、［データストアISOファイル］を選択します。

ノードを開始した後で、更新された設定変更を有効にするために、「接続」および「電源投入時に接続」がオンになっていることを確認します。

HDS ノードの電源を入れ、少なくとも 15 分間アラームがないことを確認します。

スタンバイデータセンター内のすべてのノードに対してプロセスを繰り返します。

次に行うこと

（オプション）HDS設定後にISOをアンマウントする

始める前に

すべての HDS ノードをバージョン 2021.01.22.4720 以降にアップグレードします。

1	1 つの HDS ノードをシャットダウンします。
2	vCenter Server Appliance で、HDS ノードを選択します。
3	を選択［設定の編集］ > ［CD/DVDドライブ］を選択し、［データストアISOファイル］のチェックを外します。
4	HDS ノードの電源を入れ、少なくとも 20 分間アラームがないことを確認します。
5	HDS ノードごとに順番に繰り返します。

ハイブリッドデータセキュリティのトラブルシューティング

アラートとトラブルシューティングの表示

新しいスペースを作成できません (新しいキーを作成できません)
メッセージとスペースタイトルの復号に失敗する:
- 新規ユーザーがスペースに追加されました (キーを取得できません)
- 新しいクライアントを使用するスペース内の既存のユーザー (キーを取得できません)
スペース内の既存のユーザーは、クライアントが暗号化キーのキャッシュを持っている限り、正常に動作し続けます。

ハイブリッドデータセキュリティクラスタを適切に監視し、サービスの中断を避けるために速やかにアラートに対処することが重要です。

警告

表 1. 一般的な問題とそれらを解決するためのステップ
警告	アクション
ローカルデータべースへのアクセスに失敗しました。	データベースエラーまたはローカルネットワークの問題を確認します。
ローカルデータベース接続に失敗しました。	データベースサーバが使用可能であり、ノード設定で適切なサービスアカウントクレデンシャルが使用されていることを確認します。
クラウドサービスへのアクセスに失敗しました。	外部接続要件で指定されているように、ノードが Webex サーバーにアクセスできることを確認します。
クラウドサービス登録の更新。	クラウドサービスへの登録が削除されました。登録の更新が進行中です。
クラウドサービスの登録が削除されました。	クラウドサービスへの登録が終了しました。サービスが停止しています。
サービスはまだアクティベートされていません。	トライアルを有効にするか、トライアルを本番環境に移行します。
設定されたドメインがサーバー証明書と一致しません。	サーバー証明書が設定されたサービスアクティベーションドメインと一致していることを確認します。最も可能性の高い原因は、証明書 CN が最近変更され、初期設定で使用された CN とは異なるようになったためです。
クラウドサービスの認証に失敗しました。	サービスアカウントの資格情報の正確さと有効期限の可否を確認します。
ローカルキーストアファイルを開くことができませんでした。	ローカルキーストアファイルの整合性とパスワードの正確性を確認します。
ローカルサーバー証明書が無効です。	サーバ証明書の有効期限を確認し、信頼できる認証局によって発行されていることを確認します。
メトリクスを投稿できません。	外部クラウドサービスへのローカルネットワークアクセスを確認します。
/media/configdrive/hds ディレクトリが存在しません。	仮想ホストの ISO マウント設定を確認します。 ISO ファイルが存在すること、再起動時にマウントするように設定されていること、正常にマウントされていることを確認します。

ハイブリッドデータセキュリティのトラブルシューティング

ハイブリッドデータセキュリティの問題をトラブルシューティングする場合は、次の一般的なガイドラインを使用します。

1	アラートについては Control Hub を確認し、見つかった項目を修正します。
2	ハイブリッドデータセキュリティ展開からのアクティビティの syslog サーバー出力を確認します。
3	Cisco サポートにお問い合わせください。

その他の注意事項

ハイブリッドデータセキュリティの既知の問題

ハイブリッドデータセキュリティクラスタをシャットダウンする (Control Hub で削除するか、すべてのノードをシャットダウンする)、構成 ISO ファイルを失う、またはキーストアデータベースへのアクセスを失う場合、Webex アプリのユーザーは、KMS のキーを使用して作成された [ユーザー] リストの下のスペースを使用できなくなります。これは、トライアル展開と本番展開の両方に適用されます。現在、この問題の回避策や修正はありません。HDS サービスがアクティブなユーザーアカウントを処理したら、HDS サービスをシャットダウンしないようにしてください。
KMS への既存の ECDH 接続を持つクライアントは、その接続を一定期間 (おそらく 1 時間) 維持します。ユーザーがハイブリッドデータセキュリティトライアルのメンバーになると、ユーザーのクライアントは、タイムアウトするまで既存の ECDH 接続を引き続き使用します。代わりに、ユーザーは Webex アプリアプリにサインアウトして再度ログインして、アプリが暗号化キーの連絡先を更新できます。

同じ動作は、組織のトライアルを本番環境に移行する場合にも発生します。以前のデータセキュリティサービスへの既存の ECDH 接続を持つすべての非トライアルユーザーは、ECDH 接続が再ネゴシエートされるまで (タイムアウトまたはサインアウトして戻る)、これらのサービスを使用し続けます。

OpenSSL を使用して PKCS12 ファイルを生成する

始める前に

OpenSSLは、HDSセットアップツールでロードするための適切な形式でPKCS12ファイルを作成するために使用できるツールの1つです。これを行うには他の方法があり、私たちは別の方法よりも支持または促進しません。
OpenSSLを使用することを選択した場合は、X.509証明書要件を満たすファイルを作成するのに役立つガイドラインとして、この手順を提供しています。 X.509 証明書の要件は... 続行する前にこれらの要件を理解してください。
サポートされている環境で OpenSSL をインストールします。ソフトウェアとマニュアルについてはhttps://www.openssl.orgを参照してください。
秘密鍵を作成します。
認証局（CA）からサーバ証明書を受け取ったら、この手順を開始します。

1	CA からサーバー証明書を受け取ったら、次のように保存します。 `hdsnode.pem` です。
2	証明書をテキストとして表示し、詳細を確認します。 `openssl x509 -text -noout -in hdsnode.pem`
3	テキストエディタを使用して、証明書バンドルファイルを作成します。 `hdsnode-bundle.pem` です。バンドルファイルには、次の形式で、サーバ証明書、中間の CA 証明書、ルート CA 証明書を含める必要があります。 `-----BEGIN CERTIFICATE----- ### Server certificate. ### -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ### Intermediate CA certificate. ### -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ### Root CA certificate. ### -----END CERTIFICATE-----`
4	親しみやすい名前で .p12 ファイルを作成する `kms-private-key` です。 `openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12`
5	サーバ証明書の詳細を確認してください。 `openssl pkcs12 -in hdsnode.p12` プロンプトでパスワードを入力して、秘密キーを出力に表示するように暗号化します。次に、秘密鍵と最初の証明書に、回線が含まれていることを確認します。 `friendlyName: kms-private-key`です。例: bash$ openssl pkcs12 -in hdsnode.p12 Enter Import Password: MAC verified OK Bag Attributes friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Key Attributes: <No Attributes> Enter PEM pass phrase: Verifying - Enter PEM pass phrase: -----BEGIN ENCRYPTED PRIVATE KEY----- <redacted> -----END ENCRYPTED PRIVATE KEY----- Bag Attributes friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 -----BEGIN CERTIFICATE----- <redacted> -----END CERTIFICATE----- Bag Attributes friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3 -----BEGIN CERTIFICATE----- <redacted> -----END CERTIFICATE-----

次に行うこと

これらのファイルを再使用して、元の証明書の有効期限が切れたときに新しい証明書を要求できます。

HDS ノードとクラウド間のトラフィック

アウトバウンドメトリック収集トラフィック

着信トラフィック

ハイブリッドデータセキュリティノードは、Webex クラウドから次のタイプのインバウンドトラフィックを受信します。

暗号化サービスによってルーティングされるクライアントからの暗号化要求
ノードソフトウェアへのアップグレード

ハイブリッドデータセキュリティの Squid プロキシを設定する

Websocket は Squid プロキシを通じて接続できません

Squid 4 および5

次を追加します: on_unsupported_protocol 指示する squid.conf:

on_unsupported_protocol tunnel all

Squid 3.5.27

acl wssMercuryConnection ssl::server_name_regex mercury-connection

ssl_bump splice wssMercuryConnection

acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all

はじめに

新規および変更された情報

日付

変更履歴

2023年10月20日。

データベースサーバーの要件に関する情報を更新しました。
Setup Standby Data Center for Disaster Recoveryを追加しました。
Standby Data Center for Disaster RecoveryおよびStandby Data Centerを使用した災害復旧の情報を更新しました。

2023年8月7日。

インストールファイルのダウンロードにメモを追加しました。
「HDS ホスト用の設定 ISO の作成」および「ノード設定の変更」にメモを追加しました。

2023年5月23日。

アカウントチームに連絡して機能を有効にすることを要求するデータベースサーバーの要件から削除された情報。
外部接続要件の情報を更新し、カナダをCIホストテーブルに追加しました。
キーをクラウドに戻すためのメカニズムが利用できないことに関する「ハイブリッドデータセキュリティの展開に関する期待」のメモを追加しました。

2022 年 12 月 06 日

HDS セットアップツールイメージが ciscocitg dockerhub レポジトリ。
更新HDSホストの設定ISOの作成およびノード設定の変更のトピックを更新し、コマンドの変更をやり直しました。

2022年11月23日。

HDS ノードは、Microsoft SQL Server に対して Windows 認証を使用できるようになりました。

データベースサーバーの要件のトピックを更新し、この認証モードの要件を追加しました。

ノードでWindows認証を設定する手順を使用して、「HDSホストの設定ISOを作成する」を更新しました。
必要最小限のバージョン（PostgreSQL 10）でデータベースサーバーの要件トピックを更新しました。

2021 年 10 月 13 日

2017 年 6 月 24 日

2021 年 4 月 30 日

ローカルハードディスクスペースの VM 要件を 30 GB に変更しました。詳細については、「仮想ホスト要件」を参照してください。

2021 年 2 月 24 日

2021 年 2 月 2 日

2021年1月11日。

HDSセットアップツールとプロキシに関する情報を追加し、HDSホストの設定ISOを作成しました。

2020/10/13

インストールファイルのダウンロードを更新しました。

2020/10/08

更新HDSホスト用の構成ISOの作成およびFedRAMP環境のコマンドによるノード構成の変更。

2020 年 8 月 14 日

サインインプロセスの変更に伴い、「HDS ホストの構成 ISO を作成する」および「ノード構成を変更する」が更新されました。

2020年8月5日水曜日

ログメッセージの変更に関するハイブリッドデータセキュリティ展開のテストを更新しました。

ホストの最大数を削除する仮想ホスト要件を更新しました。

2020 年 6 月 16 日

Control Hub UI の変更に関するノードの削除を更新しました。

2020 年 6 月 4 日

設定する詳細設定の変更に関するHDS ホストの設定 ISO の作成を更新しました。

2020 年 5 月 29 日

SQL Serverデータベース、UI変更、およびその他の説明でTLSを使用できることを示すために、HDSホストの構成ISOを作成するを更新しました。

2020 年 5 月 5 日

ESXi 6.5 の新しい要件を表示するために、仮想ホスト要件を更新しました。

2020 年 4 月 21 日

新しい Americas CI ホストとの外部接続要件が更新されました。

2020 年 4 月 1 日

地域 CI ホストに関する情報で外部接続要件が更新されました。

2020年2月20日水曜日 HDSセットアップツールの新しいオプションの詳細設定画面に関する情報を記載したHDSホストの設定ISOを作成を更新しました。

2020年2月4日。プロキシサーバーの要件を更新しました。

2019年12月16日ブロックされた外部 DNS 解決モードがプロキシサーバーの要件で動作する要件を明確化しました。

2019 年 11 月 19 日

次のセクションで、ブロックされた外部 DNS 解決モードに関する情報を追加しました。

プロキシサポート
プロキシ統合のために HDS ノードを設定する
外部 DNS 解決ブロックモードをオフにする

2019 年 11 月 8 日

OVA を後で展開するのではなく、ノードのネットワーク設定を構成できるようになりました。

以下のセクションを適宜更新しました。

ハイブリッドデータセキュリティ展開タスクフロー
HDS ホスト OVA のインストール
ハイブリッドデータセキュリティ VM のセットアップ

2019年9月6日水曜日

データベースサーバーの要件にSQL Server Standardを追加しました。

2019 年 8 月 20 日

Webex クラウドへのハイブリッドデータセキュリティノード通信のプロキシサポートをカバーするセクションを追加および更新しました。

プロキシサポート
プロキシサーバーの要件
プロキシ統合のために HDS ノードを設定する

2019年3月6日（火）

要件と前提条件を別の章に移動しました。環境の準備です。
追加されたハイブリッドデータセキュリティ展開タスクフローチャプターの概要ハイブリッドデータセキュリティクラスタのセットアップは...

トライアルを開始するまで (後続の章の手順を使用)、ノードはサービスがまだアクティブ化されていないことを示すアラームを生成することに注意してください。
「トライアルを実行して本番環境に移動」の章に「本番環境タスクフローにトライアル」を追加しました。

2019 年 2 月 28 日

ハイブリッドデータセキュリティノードとなる仮想ホストを 50 GB から 20 GB に準備するときに、OVA が作成するディスクのサイズを反映させるために、サーバあたりのローカルハードディスクの空き容量を修正しました。

2019 年 2 月 26 日

ハイブリッドデータセキュリティノードは、PostgreSQL データベースサーバとの暗号化された接続、および TLS 対応の syslog サーバへの暗号化されたロギング接続をサポートするようになりました。手順が記載された「HDS ホストの設定 ISO を作成」を更新しました。
「ハイブリッドデータセキュリティノード VM のインターネット接続要件」の表から移動先 URL を削除しました。この表は、Webex Teams サービスのネットワーク要件の「Webex Teams ハイブリッドサービスの追加 URL」表で維持されているリストを参照しています。

2019 年 1 月 24 日

2018年11月5日。

「HDS ホストの設定 ISO を作成する」と「ノード設定を変更する」で、既存の docker hds インスタンスをクリーンアップするための予備ステップを追加しました。
インターフェイスに一致するHDS ホスト用の設定 ISO の作成のキーアクセスレベルステップを更新しました。

2018年10月19日水曜日

ファイアウォール接続情報をノード要件とISO構成マシン要件に分割し、「ハイブリッドデータセキュリティの前提条件を満たす」を選択します。

2018 年 7 月 31 日

ハイブリッドデータセキュリティの前提条件を満たすために、ポート 22（SSH アクセス）と NAT およびファイアウォール接続に関する情報を追加しました。

2018/05/21

Cisco Spark のリブランディングを反映する用語の変更:

Cisco Spark ハイブリッドデータセキュリティがハイブリッドデータセキュリティになりました。
Cisco Spark アプリが Webex アプリアプリになりました。
Cisco Collaboraton Cloud は Webex クラウドになりました。

2018年4月11日。

災害復旧用スタンバイデータセンターを追加。
更新ハイブリッドデータセキュリティの前提条件を完了して、バックアップ環境を別のデータセンターにする必要があることを指定しました。
スタンバイデータセンターを使用したディザスタリカバリを更新。

2018年2月22日水曜日

サービスアカウントパスワードの9か月の寿命と、HDSセットアップツールを使用してサービスアカウントパスワードをリセットする方法についての情報を追加しました。「HDSホストの設定ISOの作成」および「ノード設定の変更」を参照してください。

2018 年 2 月 15 日

X.509証明書の要件表では、証明書がワイルドカード証明書にはならないこと、KMSがCNドメインを使用していること、x.509v3 SANフィールドで定義されているドメインではないことが指定されています。

2018 年 1 月 18 日

付録「HDSノードとクラウド間のトラフィック」を追加。
ハイブリッドデータセキュリティの既知の問題から解決済みの問題を削除しました。
index.docker.io を *.docker.io に変更し、*.cloudfront.net を HDS ノードの TCP 接続要件のリストに追加しました。ハイブリッドデータセキュリティの前提条件を完了します。
データベースホストと Syslogd サーバが HDS ノードから DNS 解決可能でない場合、IP アドレスを使用して設定する必要があることを示すために、HDS ホストの構成 ISO を作成するを更新しました。

2017年11月2日。

HdsTrialGroup のディレクトリ同期を明確にしました。
VM ノードにマウントするための ISO 設定ファイルをアップロードする手順を修正しました。

2017年8月18日。

初公開。

ハイブリッドデータセキュリティの使用を開始する

ハイブリッドデータセキュリティの概要

セキュリティRealmアーキテクチャ

Webex クラウドアーキテクチャは、以下に示すように、さまざまなタイプのサービスを別々の領域、または信頼ドメインに分離します。

クライアントは、キー管理サービス（KMS）とのセキュアな接続を確立し、メッセージを暗号化するためのキーを要求します。安全な接続は ECDH を使用し、KMS は AES-256 マスターキーを使用してキーを暗号化します。
メッセージはクライアントを離れる前に暗号化されます。クライアントはインデックスをインデックスサービスに送信します。これにより、暗号化された検索インデックスが作成され、今後のコンテンツの検索に役立ちます。
暗号化されたメッセージは、コンプライアンスチェックのためにコンプライアンスサービスに送信されます。
暗号化されたメッセージはストレージ領域に保存されます。

他の組織との連携

ハイブリッドデータセキュリティの展開への期待

ハイブリッドデータセキュリティの展開には、重要な顧客のコミットメントと、暗号化キーの所有に伴うリスクの認識が必要です。

ハイブリッドデータセキュリティを展開するには、以下を提供する必要があります。

Cisco Webex Teams プランでサポートされている国の安全なデータセンター。
環境の準備で説明する装置、ソフトウェア、およびネットワークアクセス。

データベースのバックアップとリカバリ、および構成ISOを管理します。
データベースのディスク障害やデータセンター障害などの大災害が発生した場合、迅速な災害復旧を実行する準備をしてください。

HDS 導入後にキーをクラウドに戻すメカニズムはありません。

高レベルのセットアッププロセス

このドキュメントでは、ハイブリッドデータセキュリティ展開のセットアップと管理について説明します。

ハイブリッドデータセキュリティのセットアップ—これには、必要なインフラストラクチャの準備とハイブリッドデータセキュリティソフトウェアのインストール、トライアルモードでのユーザーのサブセットを使用した展開のテスト、テストが完了すると本番環境に移行することが含まれます。これにより、組織全体がセキュリティ機能にハイブリッドデータセキュリティクラスタを使用できるようになります。
セットアップ、トライアル、および生産の各段階は、次の3つの章で詳しく説明されています。
ハイブリッドデータセキュリティの展開を維持する—Webex クラウドは自動的に継続的なアップグレードを提供します。 IT 部門は、この展開に対してティア 1 のサポートを提供し、必要に応じてシスコのサポートを引き受けることができます。画面上の通知を使用し、Control Hub でメールベースのアラートを設定できます。
一般的なアラート、トラブルシューティング手順、および既知の問題について理解する—ハイブリッドデータセキュリティの展開または使用で問題が発生した場合、このガイドの最後の章と既知の問題の付録は、問題を決定および修正するのに役立ちます。

ハイブリッドデータセキュリティ展開モデル

ハイブリッドデータセキュリティ展開モデル

組織ごとに 1 つのクラスタのみをサポートします。

ハイブリッドデータセキュリティトライアルモード

災害復旧のためのスタンバイデータセンター

アクティブなハイブリッドデータセキュリティノードは、常にアクティブなデータベースサーバと同じデータセンターにある必要があります。

災害復旧のためのスタンバイデータセンターを設定

スタンバイデータセンターの ISO ファイルを設定するには、以下の手順に従います。

始める前に

スタンバイデータセンターは、VMとバックアップPostgreSQLまたはMicrosoft SQL Serverデータベースの生産環境をミラーリングする必要があります。たとえば、本番環境に HDS ノードを実行する 3 台の仮想マシンがある場合、バックアップ環境には 3 台の仮想マシンが必要です (このフェールオーバーモデルの概要については、「Standby Data Center for Disaster Recovery」を参照してください)。
アクティブクラスタノードとパッシブクラスタノードのデータベース間でデータベース同期が有効になっていることを確認します。

HDS Setupツールを起動し、「HDSホストの設定ISOを作成する」の手順に従います。

ISO ファイルは、次の構成更新を行うプライマリデータセンターの原本 ISO ファイルのコピーである必要があります。

Syslogdサーバーを構成した後、[詳細設定]をクリックします。


passiveMode: 'true'

構成プロセスを完了し、見つけやすい場所にISOファイルを保存します。

VMware vSphere クライアントの左側のナビゲーションペインで、仮想マシンを右クリックし、[設定の編集] をクリックします。

［設定の編集］>［CD/DVDドライブ1］をクリックし、［データストアISOファイル］を選択します。

ノードを開始した後で、更新された設定変更を有効にするために、「接続」および「電源投入時に接続」がオンになっていることを確認します。

HDS ノードの電源を入れ、少なくとも 15 分間アラームがないことを確認します。

スタンバイデータセンター内のすべてのノードに対してプロセスを繰り返します。

次に行うこと

プロキシサポート

ハイブリッドデータセキュリティノードは、以下のプロキシオプションをサポートしています。

プロキシなし—プロキシを統合するために、HDS ノードセットアップの信頼ストアとプロキシ設定を使用しない場合は、デフォルトになります。証明書の更新は必要ありません。
透過型の検査なしのプロキシ—ノードは特定のプロキシサーバーアドレスを使用するように設定されていないため、検査なしのプロキシで動作するように変更を加える必要はありません。証明書の更新は必要ありません。
透過トンネリングまたは検査プロキシ—ノードは特定のプロキシサーバーアドレスを使用するように設定されていません。ノードでは、HTTP または HTTPS の設定変更は必要ありません。ただし、ノードはプロキシを信頼するためにルート証明書を必要とします。プロキシを検査することで、Web サイトにアクセスするか、どのタイプのコンテンツを使用するかを強制するポリシーを施行することができます。このタイプのプロキシは、すべてのトラフィック (HTTPS さえも含む) を復号化します。
明示的プロキシ—明示的なプロキシを使用して、使用するプロキシサーバーと認証スキームを指定します。明示的なプロキシを設定するには、各ノードに次の情報を入力する必要があります。
1. プロキシ IP/FQDN—プロキシマシンに到達するために使用できるアドレス。
2. プロキシポート-プロキシがプロキシトラフィックをリスンするために使用するポート番号。
3. プロキシプロトコル-プロキシサーバーがサポートするものに応じて、次のいずれかのプロトコルを選択します。
  - HTTP—クライアントが送信するすべての要求を表示し、コントロールします。
  - HTTPS—サーバーにチャネルを提供します。クライアントがサーバーの証明書を受け取り、検証します。
4. 認証タイプ-次の認証タイプから選択します。
  - なし—追加の認証は必要ありません。
    
    プロキシプロトコルとして HTTP または HTTPS のいずれかを選択した場合に利用できます。
  - ベーシック—HTTP ユーザーエージェントがリクエストを行う際にユーザー名とパスワードを指定するために使用されます。 Base64 エンコードを使用します。
    
    プロキシプロトコルとして HTTP または HTTPS のいずれかを選択した場合に利用できます。
    
    各ノードにユーザー名とパスワードを入力する必要があります。
  - ダイジェスト—機密情報を送信する前にアカウントを確認するために使用されます。ネットワークを経由して送信する前に、ユーザー名およびパスワードにハッシュ機能を適用します。
    
    プロキシプロトコルとして HTTPS を選択した場合にのみ利用できます。
    
    各ノードにユーザー名とパスワードを入力する必要があります。

ハイブリッドデータセキュリティノードとプロキシの例

外部 DNS 解決ブロックモード (明示的プロキシ構成)

環境の準備

ハイブリッドデータセキュリティの要件

Cisco Webex ライセンス要件

ハイブリッドデータセキュリティを展開するには:

Cisco Webex Control Hub 用の Pro Pack が必要です (https://www.cisco.com/go/pro-pack を参照してください)。

Docker デスクトップの要件

X.509 証明書の要件

証明書チェーンは、次の要件を満たしている必要があります。

表 1. ハイブリッドデータセキュリティ展開の X.509 証明書要件
要件	の詳細
信頼できる認証局 (CA) によって署名された	デフォルトでは、https://wiki.mozilla.org/CA:IncludedCAsでMozillaリスト（WoSignとStartComを除く）のCAを信頼しています。
ハイブリッドデータセキュリティの展開を識別する共通名 (CN) ドメイン名を持つワイルドカード証明書ではありません	CN に到達可能またはライブホストである必要はありません。組織を反映する名前を使用することを推奨します。たとえば、 `hds.company.com` です。 CN に * (ワイルドカード) を含めることはできません。 CN は、Webex アプリクライアントへのハイブリッドデータセキュリティノードを確認するために使用されます。クラスタ内のすべてのハイブリッドデータセキュリティノードが同じ証明書を使用します。 KMS は、x.509v3 SAN フィールドで定義されているドメインではなく、CN ドメインを使用して自身を識別します。この証明書でノードを登録すると、CN ドメイン名の変更はサポートされません。トライアル展開と本番展開の両方に適用できるドメインを選択します。
非SHA1署名	KMS ソフトウェアは、他の組織の KMS への接続を検証するための SHA1 署名をサポートしていません。
パスワードで保護されたPKCS #12ファイルとしてフォーマット親しみやすい名前を使用する `kms-private-key` 証明書、秘密キー、およびアップロードする中間証明書をタグ付けします。	OpenSSL などのコンバータを使用して、証明書の形式を変更できます。 HDSセットアップツールを実行するときは、パスワードを入力する必要があります。

仮想ホストの要件

クラスタ内のハイブリッドデータセキュリティノードとして設定する仮想ホストには、次の要件があります。

同じセキュアデータセンターでコロケーションされた少なくとも 2 つの別のホスト (3 つの推奨)
VMware ESXi 6.5 (またはそれ以降) がインストールされ、実行されています。

以前のバージョンの ESXi がある場合は、アップグレードする必要があります。
最低4vCPU、8GBメインメモリ、サーバーあたり30GBのローカルハードディスク容量

データベースサーバーの要件

データベースサーバーには2つのオプションがあります。各要件は以下のとおりです。

表 2. データベースの種類別のデータベースサーバー要件

PostgreSQLについて

Microsoft SQL Server（マイクロソフト SQL サーバー）

PostgreSQL 14、15、または 16 がインストールされ、実行されています。

SQL Server 2016、2017、または 2019（Enterprise または Standard）がインストールされています。

SQL Server 2016 では、Service Pack 2 および Cumulative Update 2 以降が必要です。

HDS ソフトウェアは現在、データベースサーバとの通信用に次のドライババージョンをインストールしています。

PostgreSQLについて

Microsoft SQL Server（マイクロソフト SQL サーバー）

Postgres JDBCドライバ 42.2.5

SQL Server JDBC ドライバ 4.6

このドライババージョンは、SQL Server Always On（Always On Failover Cluster InstancesおよびAlways On availability groups）をサポートしています。

Microsoft SQL Server に対する Windows 認証の追加要件

HDS ノードが Windows 認証を使用して Microsoft SQL Server のキーストアデータベースにアクセスできるようにするには、環境内で次の設定が必要です。

HDS ノード、Active Directory インフラストラクチャ、MS SQL Server はすべて NTP と同期する必要があります。
HDS ノードに提供する Windows アカウントは、データベースへの読み取り/書き込みアクセス権を持っている必要があります。
HDS ノードに提供する DNS サーバは、キー配布センター (KDC) を解決できる必要があります。
Microsoft SQL Server に HDS データベースインスタンスをサービスプリンシパル名 (SPN) として Active Directory に登録できます。詳細は、Kerberos Connections のサービスプリンシパル名を登録するを参照してください。

HDS セットアップツール、HDS ランチャー、およびローカル KMS はすべて、キーストアデータベースにアクセスするために Windows 認証を使用する必要があります。 Kerberos 認証でアクセスを要求するときに、ISO 設定の詳細を使用して SPN を構築します。

外部接続の要件

HDS アプリケーションに次の接続を許可するようにファイアウォールを設定します。

アプリケーション	プロトコル	ポート	アプリからの方向	移動先
ハイブリッドデータセキュリティノード	TCP	443	アウトバウンド HTTPS および WSS	Webex サーバー: .wbx2.com .ciscospark.com すべての Common Identity ホスト Webex サービスのネットワーク要件のWebex ハイブリッドサービスの追加 URL 表にハイブリッドデータセキュリティ用にリストされているその他の URL
HDS 設定ツール	TCP	443	アウトバウンド HTTPS	*.wbx2.com すべての Common Identity ホストハブ.docker.com

Common Identity (CI) ホストの URL は地域固有です。これらは現在の CI ホストです。

地域	共通 ID ホスト URL
Americas (北米、中南米エリア)	https://idbroker.webex.com https://identity.webex.com https://idbroker-b-us.webex.com https://identity-b-us.webex.com
欧州連合	https://idbroker-eu.webex.com https://identity-eu.webex.com
カナダ	https://idbroker-ca.webex.com https://identity-ca.webex.com

プロキシサーバーの要件

お使いのハイブリッドデータセキュリティノードと統合できる次のプロキシソリューションを正式にサポートしています。

透過的プロキシ—Cisco Web Security Appliance (WSA)。

明示的プロキシ—Squid。

明示的プロキシに対して次の認証タイプの組み合わせがサポートされています。
- HTTP または HTTPS による認証がありません
- HTTP または HTTPS による基本認証
- HTTPS のみによるダイジェスト認証
透過的検査プロキシまたは HTTPS 明示的プロキシについては、プロキシのルート証明書のコピーが必要です。このガイドに記載されている展開手順は、ハイブリッドデータセキュリティノードの信頼ストアにコピーをアップロードする方法を説明しています。
HDS ノードをホストするネットワークは、ポート 443 のアウトバウンド TCP トラフィックを強制的にプロキシ経由でルーティングするように設定されている必要があります。
Web トラフィックを検査するプロキシは、Web ソケット接続に干渉する場合があります。この問題が発生した場合、トラフィックをバイパス（検査しない）して wbx2.com および ciscospark.com 問題を解決します。

ハイブリッドデータセキュリティの前提条件を完了する

このチェックリストを使用して、ハイブリッドデータセキュリティクラスタをインストールして設定する準備ができていることを確認します。

キーストレージ用のデータベースを作成します。 (このデータベースを作成する必要があります。デフォルトのデータベースを使用しないでください。 HDS アプリケーションをインストールすると、データベーススキーマが作成されます。
ノードがデータベースサーバと通信するために使用する詳細を収集します。
- ホスト名または IP アドレス (ホスト) とポート
- キーストレージのデータベース名（dbname）
- キーストレージデータベース上のすべての権限を持つユーザーのユーザー名とパスワード

HDSセットアップツールをインストールして実行するには、ローカルマシンに外部接続要件に記載されている接続性が必要です。

プロキシとハイブリッドデータセキュリティを統合する場合は、プロキシサーバーの要件を満たしていることを確認してください。

ハイブリッドデータセキュリティクラスタのセットアップ

ハイブリッドデータセキュリティ展開タスクフロー

始める前に

後で使用するために、OVA ファイルをローカルマシンにダウンロードします。

HDS セットアップツールを使用して、ハイブリッドデータセキュリティノードの ISO 設定ファイルを作成します。

OVA ファイルから仮想マシンを作成し、ネットワーク設定などの初期設定を実行します。

HDS セットアップツールを使用して作成した ISO 設定ファイルから VM を設定します。

ハイブリッドデータセキュリティノードとして Cisco Webex クラウドに仮想マシンを登録します。

クラスタの設定を完了します。

トライアルを開始するまで、ノードはサービスがまだアクティブ化されていないことを示すアラームを生成します。

インストールファイルのダウンロード

https://admin.webex.comにサインインし、「サービス」をクリックします。

[ハイブリッドサービス] セクションで、ハイブリッドデータセキュリティカードを見つけて、[セットアップ] をクリックします。

ノードがまだセットアップされていないことを示すにはいいえを選択し、「次へ」をクリックします。

OVAファイルは自動的にダウンロードを開始します。ファイルをマシン上の場所に保存します。

必要に応じて、［導入ガイドを開く］をクリックして、このガイドの後半バージョンが利用可能かどうかを確認します。

HDS ホストの設定 ISO を作成する

始める前に

説明	変数
認証なしの HTTP プロキシ	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
認証なしの HTTPS プロキシ	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
認証ありの HTTP プロキシ	`GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
認証ありの HTTPS プロキシ	`GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

生成する構成 ISO ファイルには、PostgreSQL または Microsoft SQL Server データベースを暗号化するマスターキーが含まれています。次のように、設定を変更するたびに、このファイルの最新のコピーが必要です。
- データベースの資格情報
- 証明書の更新
- 承認ポリシーの変更
データベース接続を暗号化する場合は、TLS 用の PostgreSQL または SQL Server 展開をセットアップします。

マシンのコマンドラインで、お使い環境に適切なコマンドを入力します。

一般環境:

docker rmi ciscocitg/hds-setup:stable

FedRAMP 環境の場合:

docker rmi ciscocitg/hds-setup-fedramp:stable

Docker 画像レジストリにサインインするには、以下を入力します。

docker login -u hdscustomersro

パスワードのプロンプトに対して、このハッシュを入力します。

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

お使い環境に合った最新の安定した画像をダウンロードします。

一般環境:

docker pull ciscocitg/hds-setup:stable

FedRAMP 環境の場合:

docker pull ciscocitg/hds-setup-fedramp:stable

プルが完了したら、お使いの環境に適切なコマンドを入力します。

プロキシなしの通常の環境の場合:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

HTTP プロキシがある通常の環境の場合、

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

HTTPS プロキシがある通常の環境の場合:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

プロキシなしの FedRAMP 環境の場合:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

HTTP プロキシがある FedRAMP 環境の場合:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

HTTPS プロキシがある FedRAMP 環境の場合:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

コンテナが実行中の時。「ポート 8080 で Express サーバーリスニング中」と表示されます。

Setup ツールは、http://localhost:8080 を介した localhost への接続をサポートしていません。 http://127.0.0.1:8080を使用してlocalhostに接続します。

Web ブラウザを使用して localhost に移動し、 http://127.0.0.1:8080 、プロンプトで Control Hub の顧客管理者ユーザー名を入力します。

[セットアップツールの概要] ページで、[はじめに] をクリックします。

［ISOインポート］ページには、次のオプションがあります。

いいえ—最初の HDS ノードを作成する場合、アップロードする ISO ファイルがありません。
はい—HDS ノードをすでに作成している場合は、ブラウズで ISO ファイルを選択してアップロードします。

X.509 証明書がX.509 証明書要件の要件を満たしていることを確認してください。

証明書をアップロードしたことがない場合は、X.509 証明書をアップロードし、パスワードを入力して [続行] をクリックします。
証明書がOKの場合、「続行」をクリックします。
証明書の有効期限が切れている場合、または証明書を置き換える場合は、「いいえ」を選択して、「以前のISOからHDS証明書チェーンと秘密キーの使用を続行」を選択します。新しい X.509 証明書をアップロードし、パスワードを入力し、[続行] をクリックします。

HDS のデータベースアドレスとアカウントを入力して、キーデータストアにアクセスします。

データベースの種類（PostgreSQLまたはMicrosoft SQL Server）を選択します。

Microsoft SQL Serverを選択すると、[認証タイプ(Authentication Type)] フィールドが表示されます。
(Microsoft SQL Serverのみ) 認証タイプを選択します。
- 基本認証: [ユーザー名] フィールドには、ローカル SQL Server アカウント名が必要です。
- Windowsの認証: 形式の Windows アカウントが必要です username@DOMAINユーザー名フィールドに入力します。
フォームにデータベースサーバアドレスを入力します <hostname>:<port> または <IP-address>:<port> です。

例:
dbhost.example.org:1433 または 198.51.100.17:1433

ノードがホスト名を解決するために DNS を使用できない場合、基本認証に IP アドレスを使用できます。

Windows 認証を使用している場合は、形式に完全修飾ドメイン名を入力する必要があります dbhost.example.org:1433
データベース名を入力します。
キーストレージデータベース上のすべての権限を持つユーザーのユーザー名とパスワードを入力します。

TLS データベース接続モードを選択します。

モード

説明

TLS を優先 (デフォルトのオプション)

TLS を要求する

データベースサーバが TLS をネゴシエートできる場合に限り、HDS ノードは接続されます。

TLS を要求し、証明書の署名者を確認する

このモードは、SQL Server データベースには適用されません。

データベースサーバが TLS をネゴシエートできる場合に限り、HDS ノードは接続されます。
TLS 接続を確立した後、ノードはデータベースサーバからの証明書の署名者をデータベースルート証明書の認証局と比較します。一致しない場合、ノードにより接続が切断されます。

ドロップダウンの下にあるデータベースルート証明書コントロールを使用して、このオプションのルート証明書をアップロードしてください。

TLS を要求し、証明書の署名者およびホスト名を確認する

データベースサーバが TLS をネゴシエートできる場合に限り、HDS ノードは接続されます。
TLS 接続を確立した後、ノードはデータベースサーバからの証明書の署名者をデータベースルート証明書の認証局と比較します。一致しない場合、ノードにより接続が切断されます。
ノードはまた、サーバ証明書のホスト名が [データベースホストとポート] フィールドのホスト名と一致することを確認します。名前は正確に一致する必要があります。または、ノードが接続を切断します。

ドロップダウンの下にあるデータベースルート証明書コントロールを使用して、このオプションのルート証明書をアップロードしてください。

[システムログ（System Logs）] ページで、Syslogd サーバを設定します。

syslog サーバの URL を入力します。

HDS クラスタのノードからサーバが DNS 解決可能でない場合は、URL で IP アドレスを使用します。

例:
udp://10.92.43.23:514 UDP ポート 514 の Syslogd ホスト 10.92.43.23 へのロギングを示します。
TLS 暗号化を使用するようにサーバを設定した場合は、「syslog サーバが SSL 暗号化用に設定されていますか？」にチェックを入れます。

このチェックボックスをオンにした場合は、次のような TCP URL を入力してください: tcp://10.92.43.23:514 です。
[syslogレコードの終了を選択]ドロップダウンから、ISOファイルの適切な設定を選択します。選択または改行は Graylog および Rsyslog TCP に使用されます
- Null バイト -- \x00
- 改行 -- \n:Graylog および Rsyslog TCP の選択肢を選択します。
[続行] をクリックします。

app_datasource_connection_pool_maxSize: 10

[サービスアカウントのパスワードをリセット] 画面の [続行] をクリックします。

[ISOファイルのダウンロード] をクリックします。見つけやすい場所にファイルを保存します。

ローカルシステム上のISOファイルのバックアップコピーを作成します。

セットアップツールをシャットダウンするために次のように入力します。 CTRL+C です。

次に行うこと

私たちはこのキーのコピーを持っていないし、あなたがそれを失ったら助けることができません。

HDS ホスト OVA のインストール

OVA ファイルから仮想マシンを作成するには、次の手順を使用します。

コンピュータの VMware vSphere クライアントを使用して、ESXi 仮想ホストにログインします。

ファイル > OVF テンプレートを展開を選択します。

ウィザードで、先ほどダウンロードしたOVAファイルの場所を指定し、 をクリックします。次へだ

の計算リソースを選択ページで、宛先計算リソースを選択し、をクリックします。次へだ

検証チェックが実行されます。完了すると、テンプレートの詳細が表示されます。

テンプレートの詳細を確認し、［次へ］をクリックします。

のリソース設定を選択するよう求められた場合設定ページ、をクリックします。 4 CPU をクリックし、 をクリックします。次へだ

のストレージを選択ページ、をクリックします。次へは、デフォルトのディスク形式とVMストレージポリシーを受け入れます。

のネットワークを選択ページで、エントリのリストからネットワークオプションを選択し、仮想マシンへの接続を提供します。

[テンプレートのカスタマイズ] ページで、次のネットワーク設定を構成します。

[ホスト名(Hostname)]:ノードの FQDN (ホスト名とドメイン) または単語ホスト名を入力します。

X.509 証明書を取得するために使用したドメインと一致するようにドメインを設定する必要はありません。
クラウドへの登録を成功させるには、ノードに設定した FQDN またはホスト名に小文字のみを使用します。現時点では大文字化のサポートはありません。
FQDNのトータルの長さは64文字を超えてはいけません。

[IPアドレス(IP Address)]:ノードの内部インターフェイスの IP アドレスを入力します。

ノードには内部 IP アドレスと DNS 名が必要です。 DHCP はサポートされていません。
[マスク(Mask)]:サブネットマスクアドレスをドット小数表記で入力します。たとえば、255.255.255.0 などです。
[ゲートウェイ(Gateway)]:ゲートウェイの IP アドレスを入力します。ゲートウェイは、別のネットワークへのアクセスポイントとして機能するネットワークノードです。
DNS サーバ:ドメイン名を数値の IP アドレスに変換する DNS サーバのカンマ区切りリストを入力します。 (最大 4 つの DNS エントリが許可されます。)
NTP サーバ:組織の NTP サーバまたは組織で使用できる別の外部 NTP サーバを入力します。デフォルトの NTP サーバは、すべての企業で機能しない場合があります。カンマ区切りリストを使用して、複数の NTP サーバを入力することもできます。

クラスタ内のすべてのノードが管理目的でネットワーク内のクライアントから到達できるように、すべてのノードを同じサブネットまたは VLAN に展開します。

ノードVMを右クリックし、電源 > 電源オンだ。

トラブルシューティングのヒント

ハイブリッドデータセキュリティ VM のセットアップ

1	VMware vSphere クライアントで、ハイブリッドデータセキュリティノード VM を選択し、[コンソール] タブを選択します。 VM が起動し、ログインプロンプトが表示されます。ログインプロンプトが表示されない場合は、入力を押してください。
2	次のデフォルトのログインとパスワードを使用してサインインし、資格情報を変更します。ログイン: `admin` パスワード: `cisco` 初めて仮想マシンにサインインするため、管理者パスワードを変更する必要があります。
3	［HDS ホスト OVA のインストール］でネットワーク設定をすでに設定している場合は、残りの手順をスキップします。それ以外の場合は、メインメニューで［設定の編集］オプションを選択します。
4	IP アドレス、マスク、ゲートウェイ、DNS 情報を含む静的設定をセットアップします。ノードには内部 IP アドレスと DNS 名が必要です。 DHCP はサポートされていません。
5	(オプション) ネットワークポリシーと一致する必要がある場合は、ホスト名、ドメイン、または NTP サーバを変更します。 X.509 証明書を取得するために使用したドメインと一致するようにドメインを設定する必要はありません。
6	ネットワーク設定を保存し、仮想マシンを再起動して、変更を有効にします。

HDS 設定 ISO のアップロードとマウント

HDS セットアップツールを使用して作成した ISO ファイルから仮想マシンを設定するには、次の手順を使用します。

始める前に

コンピュータから ISO ファイルをアップロードします。

VMware vSphere クライアントの左側のナビゲーションペインで、ESXi サーバをクリックします。
[設定] タブの [ハードウェア] リストで、[ストレージ] をクリックします。
[データストア（Datastores）] リストで、仮想マシンのデータストアを右クリックし、[データストアを参照（Browse Datastore）] をクリックします。
[ファイルのアップロード] アイコンをクリックし、[ファイルのアップロード] をクリックします。
コンピュータにISOファイルをダウンロードした場所を参照し、［開く］をクリックします。
アップロード/ダウンロード操作の警告を受け入れるには、[はい] をクリックし、データストアダイアログを閉じます。

ISO ファイルをマウントします。

VMware vSphere クライアントの左ナビゲーションペインで、ESXi サーバーを右クリックし、[設定の編集] をクリックします。
[OK] をクリックして、制限された編集オプションの警告を受け入れます。
クリック CD/DVD Drive 1 、データストア ISO ファイルからマウントするオプションを選択し、構成 ISO ファイルをアップロードした場所を参照します。
接続および電源オン時に接続をオンにします。
変更を保存し、仮想マシンを再起動します。

次に行うこと

プロキシ統合のために HDS ノードを設定する

始める前に

サポートされているプロキシオプションの概要については、プロキシサポートを参照してください。
プロキシサーバーの要件

1	HDS ノードのセットアップ URL を入力 `https://[HDS Node IP or FQDN]/setup` Web ブラウザで、ノード用に設定した管理者資格情報を入力し、[ サインイン] をクリックします。
2	[信頼ストアとロキシ] に移動して、次のオプションを選択します。プロキシなし—プロキシを統合する前のデフォルトのオプション。証明書の更新は必要ありません。透過型の検査なしのプロキシ—ノードは特定のプロキシサーバーアドレスを使用するように設定されていないため、検査なしのプロキシで動作するように変更を加える必要はありません。証明書の更新は必要ありません。透過トンネリングまたは検査プロキシ—ノードは特定のプロキシサーバーアドレスを使用するように設定されていません。ハイブリッドデータセキュリティの展開では HTTPS 構成の変更は必要ありませんが、HDS ノードはプロキシを信頼できるようにするためにルート証明書を必要とします。プロキシを検査することで、Web サイトにアクセスするか、どのタイプのコンテンツを使用するかを強制するポリシーを施行することができます。このタイプのプロキシは、すべてのトラフィック (HTTPS さえも含む) を復号化します。明示的プロキシ—明示的なプロキシを使用して、使用するプロキシサーバーをクライアント (HDS ノード) を指示し、このオプションはいくつかの認証スキームをサポートします。このオプションを選択した後、次の情報を入力する必要があります。プロキシ IP/FQDN—プロキシマシンに到達するために使用できるアドレス。プロキシポート-プロキシがプロキシトラフィックをリスンするために使用するポート番号。プロキシプロトコル- http (クライアントから受信したすべての要求を表示して管理) または https (クライアントがサーバーへのチャネルを提供し、サーバーの証明書を検証) を選択します。プロキシサーバーがサポートするオプションを選択します。認証タイプ-次の認証タイプから選択します。なし—追加の認証は必要ありません。 HTTP または HTTPS プロキシで利用できます。ベーシック—HTTP ユーザーエージェントがリクエストを行う際にユーザー名とパスワードを指定するために使用されます。 Base64 エンコードを使用します。 HTTP または HTTPS プロキシで利用できます。このオプションを選択した場合は、ユーザー名とパスワードも入力する必要があります。ダイジェスト—機密情報を送信する前にアカウントを確認するために使用されます。ネットワークを経由して送信する前に、ユーザー名およびパスワードにハッシュ機能を適用します。 HTTPS プロキシに対してのみ利用できます。このオプションを選択した場合は、ユーザー名とパスワードも入力する必要があります。透過型検査プロキシ、基本認証を持つ HTTP 明示プロキシ、または HTTPS 明示プロキシについては、次のステップに従ってください。
3	[ルート証明書またはエンティティ終了証明書のアップロード] をクリックし、プロキシのルート証明書を選択するために移動します。証明書はアップロードされていますが、まだインストールされていません。証明書をインストールするにはノードを再起動する必要があります。証明書発行者名の山形矢印をクリックして詳細を確認するか、間違っている場合は [削除] をクリックして、ファイルを再度アップロードしてください。
4	[プロキシ接続を確認する] をクリックして、ノードとプロキシ間のネットワーク接続性をテストします。接続テストが失敗した場合は、エラーメッセージが表示され、問題を解決するための理由と方法が示されます。外部 DNS の解決が正常に行われなかったという内容のメッセージが表示された場合、ノードが DNS サーバーに到達できなかったことを示しています。この状況は、多くの明示的なプロキシ構成で想定されています。セットアップを続行すると、ノードは外部 DNS 解決ブロックモードで機能します。これがエラーと思われる場合は、次の手順を実行し、「ブロックされた外部 DNS 解決モードをオフにする」を参照してください。
5	接続テストが成功した後、明示的なプロキシについては https のみに設定し、このノードからのすべてのポートの 443/444 https 要求を明示的プロキシを通してルーティングするように切り替えます。この設定を有効にするには 15 秒かかります。
6	[すべての証明書を信頼ストアにインストールする(HTTPS 明示プロキシまたは透過型のプロキシで表示される)] または [再起動] をクリックして、プロンプトを読み、準備が完了したら [インストール] をクリックします。ノードが数分以内に再起動されます。
7	ノードが再起動したら、必要に応じて再度サインインして、[概要] ページを開き、接続チェックを確認してすべて緑色のステータスになっていることを確認します。プロキシ接続の確認は webex.com のサブドメインのみをテストします。接続の問題がある場合、インストール手順に記載されているクラウドドメインの一部がプロキシでブロックされているという問題がよく見られます。

クラスタ内の最初のノードを登録する

始める前に

一旦ノードの登録を開始すると、60 分以内に完了する必要があり、そうでなければ、再び最初からやり直しになります。
ブラウザのポップアップブロッカーが無効になっているか、または admin.webex.com の例外を許可していることを確認してください。

1	https://admin.webex.comにサインインします。
2	スクリーンの左側にあるメニューからサービスを選択します。
3	[ハイブリッドサービス] セクションで、[ハイブリッドデータセキュリティ] を見つけ、[セットアップ] をクリックします。 [ハイブリッドデータセキュリティノードの登録] ページが表示されます。
4	ノードを設定し、登録する準備ができていることを示すには、「はい」を選択し、「次へ」をクリックします。
5	最初のフィールドに、ハイブリッドデータセキュリティノードを割り当てるクラスタの名前を入力します。クラスタのノードが地理的にどこに配置されているかに基づきクラスタに名前を付けることをお薦めします。例: 「サンフランシスコ」「ニューヨーク」「ダラス」
6	2 番目のフィールドに、ノードの内部 IP アドレスまたは完全修飾ドメイン名（FQDN）を入力し、[次へ] をクリックします。この IP アドレスまたは FQDN は、ハイブリッドデータセキュリティ VM のセットアップで使用した IP アドレスまたはホスト名とドメインと一致する必要があります。ノードを Webex に登録できることを示すメッセージが表示されます。
7	[ノードに進む] をクリックします。
8	警告メッセージの [続ける] をクリックします。しばらくすると、Webex サービスのノード接続テストにリダイレクトされます。すべてのテストが成功すると、[ハイブリッドデータセキュリティノードへのアクセスを許可（Allow Access to Hybrid Data Security Node）] ページが表示されます。ここで、ノードにアクセスする権限を Webex 組織に付与することを確認します。
9	[ハイブリッドデータセキュリティノードへのアクセスを許可] チェックボックスをオンにして、[続行] をクリックします。アカウントが検証され、「登録完了」メッセージは、ノードが Webex クラウドに登録されたことを示します。
10	リンクをクリックするか、タブを閉じて、[Control Hub ハイブリッドデータセキュリティ] ページに戻ります。 [ハイブリッドデータセキュリティ] ページで、登録したノードを含む新しいクラスタが表示されます。ノードはクラウドから最新のソフトウェアを自動的にダウンロードします。

より多くのノードを作成して登録する

始める前に

一旦ノードの登録を開始すると、60 分以内に完了する必要があり、そうでなければ、再び最初からやり直しになります。
ブラウザのポップアップブロッカーが無効になっているか、または admin.webex.com の例外を許可していることを確認してください。

1	OVA から新しい仮想マシンを作成し、「HDS ホスト OVA のインストール」の手順を繰り返します。
2	新しい仮想マシンで初期設定を行い、「ハイブリッドデータセキュリティ仮想マシンのセットアップ」の手順を繰り返します。
3	新しい VM で、「Upload and Mount the HDS Configuration ISO」の手順を繰り返します。
4	展開のプロキシを設定する場合は、新しいノードに必要に応じ「プロキシ統合の HDS ノードを設定する」の手順を繰り返します。
5	ノードを登録します。 https://admin.webex.comで画面の左側にあるメニューからサービスを選択します。 [ハイブリッドサービス] セクションで、ハイブリッドデータセキュリティカードを見つけて、[リソース] をクリックします。 [ハイブリッドデータセキュリティリソース] ページが表示されます。 [リソースの追加] をクリックします。最初のフィールドで、既存のクラスタの名前を選択します。 2 番目のフィールドに、ノードの内部 IP アドレスまたは完全修飾ドメイン名（FQDN）を入力し、[次へ] をクリックします。ノードを Webex クラウドに登録できることを示すメッセージが表示されます。 [ノードに進む] をクリックします。しばらくすると、Webex サービスのノード接続テストにリダイレクトされます。すべてのテストが成功すると、[ハイブリッドデータセキュリティノードへのアクセスを許可（Allow Access to Hybrid Data Security Node）] ページが表示されます。ここで、ノードにアクセスするための権限を組織に付与することを確認します。 [ハイブリッドデータセキュリティノードへのアクセスを許可] チェックボックスをオンにして、[続行] をクリックします。アカウントが検証され、「登録完了」メッセージは、ノードが Webex クラウドに登録されたことを示します。リンクをクリックするか、タブを閉じて、[Control Hub ハイブリッドデータセキュリティ] ページに戻ります。ノードが登録されています。トライアルを開始するまで、ノードはサービスがまだアクティブ化されていないことを示すアラームを生成することに注意してください。

次に行うこと

トライアルを実行して本番環境に移動

プロダクションタスクフローへの試行

始める前に

1	必要に応じて、 `HdsTrialGroup` グループオブジェクト。組織でユーザーのディレクトリ同期を使用している場合は、 `HdsTrialGroup` トライアルを開始する前に、クラウドに同期するためのグループオブジェクト。手順については、 Cisco Directory Connector 展開ガイドを参照してください。
2	トライアルの有効化トライアルを開始します。このタスクを実行するまで、ノードはサービスがまだアクティブ化されていないことを示すアラームを生成します。
3	ハイブリッドデータセキュリティ展開をテストする重要な要求がハイブリッドデータセキュリティ展開に渡されていることを確認します。
4	ハイブリッドデータセキュリティの健全性を監視するステータスを確認し、アラームのメール通知を設定します。
5	トライアルからユーザーを追加または削除する
6	以下のいずれかの操作を行い、治験の段階を完了します。トライアルからプロダクションへの移行本番環境に移行せずにトライアルを終了する

トライアルの有効化

始める前に

1	https://admin.webex.comにサインインし、「サービス」を選択します。
2	[ハイブリッドデータセキュリティ（Hybrid Data Security）] で、[設定] をクリックします。
3	[サービスステータス（Service Status）] セクションで、[トライアルの開始] をクリックします。サービスステータスがトライアルモードに変わります。
4	[ユーザーの追加] をクリックし、暗号化およびインデックスサービスのためにハイブリッドデータセキュリティノードを使用してパイロットする 1 人以上のユーザーのメールアドレスを入力します。 (組織がディレクトリ同期を使用している場合は、Active Directory を使用してトライアルグループを管理します。 `HdsTrialGroup`.)

ハイブリッドデータセキュリティ展開をテストする

この手順を使用して、ハイブリッドデータセキュリティの暗号化シナリオをテストします。

始める前に

ハイブリッドデータセキュリティの展開をセットアップします。
トライアルを有効にし、複数のトライアルユーザーを追加します。
キー要求がハイブリッドデータセキュリティ展開に渡されていることを確認するために、syslog にアクセスできることを確認します。

新しいスペースにメッセージを送信します。

syslog 出力をチェックして、キー要求がハイブリッドデータセキュリティ展開に渡されていることを確認します。

次のようなエントリを見つける必要があります (可読性のために短縮された識別子)。

2020-07-21 17:35:34.562 (+0000) INFO  KMS [pool-14-thread-1] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, 
kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

KMS から既存のキーを要求するユーザーを確認するには、次のフィルタをオンにします。 kms.data.method=retrieve および kms.data.type=KEY:

次のようなエントリを見つける必要があります。

2020-07-21 17:44:19.889 (+0000) INFO  KMS [pool-14-thread-31] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, 
kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, 
kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

新しいKMSキーの作成を要求するユーザーを確認するには、 kms.data.method=create および kms.data.type=KEY_COLLECTION:

次のようなエントリを見つける必要があります。

2020-07-21 17:44:21.975 (+0000) INFO  KMS [pool-14-thread-33] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, 
kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, 
kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

次のようなエントリを見つける必要があります。

2020-07-21 17:44:22.808 (+0000) INFO  KMS [pool-15-thread-1] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

ハイブリッドデータセキュリティの健全性を監視する

1	Control Hubで、画面左側のメニューからサービスを選択します。
2	[ハイブリッドサービス] セクションで、[ハイブリッドデータセキュリティ] を見つけ、[設定] をクリックします。 [ハイブリッドデータセキュリティ設定] ページが表示されます。
3	[メール通知] セクションで、カンマで区切られた 1 つ以上のメールアドレスを入力し、[Enter] を押します。

トライアルからユーザーを追加または削除する

1	Control Hub にサインインし、[サービス] を選択します。
2	[ハイブリッドデータセキュリティ（Hybrid Data Security）] で、[設定] をクリックします。
3	[サービスステータス（Service Status）] 領域の [トライアルモード（Trial Mode）] セクションで、[ユーザーの追加（Add Users）] をクリックするか、[表示と編集] をクリックしてユーザーをトライアルから削除します。
4	追加する 1 人以上のユーザーのメールアドレスを入力するか、ユーザー ID の X をクリックしてユーザーをトライアルから削除します。その後、[保存] をクリックします。

トライアルからプロダクションへの移行

1	Control Hub にサインインし、[サービス] を選択します。
2	[ハイブリッドデータセキュリティ（Hybrid Data Security）] で、[設定] をクリックします。
3	[サービスステータス（Service Status）] セクションで、[本番環境に移動] をクリックします。
4	すべてのユーザーを本番環境に移行することを確認します。

本番環境に移行せずにトライアルを終了する

1	Control Hub にサインインし、[サービス] を選択します。
2	[ハイブリッドデータセキュリティ（Hybrid Data Security）] で、[設定] をクリックします。
3	「Deactivate（無効化）」セクションで「Deactivate（無効化）」をクリックします。
4	サービスを無効にしてトライアルを終了することを確認します。

HDS 展開の管理

ここで説明するタスクを使用して、ハイブリッドデータセキュリティの展開を管理します。

クラスタアップグレードスケジュールの設定

アップグレードスケジュールを設定するには:

1	Control Hub にサインインします。
2	[概要] ページの [ハイブリッドサービス] で、[ハイブリッドデータセキュリティ] を選択します。
3	[ハイブリッドデータセキュリティリソース] ページで、クラスタを選択します。
4	右側の [概要] パネルの [クラスタ設定] で、クラスタ名を選択します。
5	設定ページのアップグレードの下で、アップグレードのスケジュール設定を希望する時間およびタイムゾーンを選択します。メモ: タイムゾーンの下に、次に可能なアップグレードの日時が表示されます。必要に応じて、[延期] をクリックすることでアップグレードを翌日に延期することもできます。

ノードの設定を変更する

場合により、以下のような理由でハイブリッドデータセキュリティノードの構成の変更が必要な場合があります。

有効期限が切れる、または他の理由による、x.509 証明書の変更。

データベース設定を更新して、PostgreSQL または Microsoft SQL Server データベースのレプリカを変更します。

新しい構成を作成して新しいデータセンターの準備をする。

ソフトリセット— 古いパスワードと新しいパスワードは最大 10 日間有効です。この期間を使用して、ノードの ISO ファイルを段階的に置き換えることができます。
ハードリセット—古いパスワードは即時に機能を停止します。

この手順を使用して、新しい構成 ISO ファイルを生成し、クラスターに適用します。

始める前に

説明	変数
認証なしの HTTP プロキシ	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
認証なしの HTTPS プロキシ	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
認証ありの HTTP プロキシ	`GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
認証ありの HTTPS プロキシ	`GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

新しい構成を生成するには、現在の構成 ISO ファイルのコピーが必要です。 ISO には PostgreSQL または Microsoft SQL Server データベースを暗号化するマスターキーを含むです。データベースの証明書、証明書の更新、認証方針への変更を含む、構成の変更を行った場合は ISO が必要です。

ローカルマシンで Docker を使用し、HDS セットアップツールを実行します。

マシンのコマンドラインで、お使い環境に適切なコマンドを入力します。

一般環境:

docker rmi ciscocitg/hds-setup:stable

FedRAMP 環境の場合:

docker rmi ciscocitg/hds-setup-fedramp:stable

Docker 画像レジストリにサインインするには、以下を入力します。
```
docker login -u hdscustomersro
```
パスワードのプロンプトに対して、このハッシュを入力します。
```
dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
```

お使い環境に合った最新の安定した画像をダウンロードします。

一般環境:

docker pull ciscocitg/hds-setup:stable

FedRAMP 環境の場合:

docker pull ciscocitg/hds-setup-fedramp:stable

プルが完了したら、お使いの環境に適切なコマンドを入力します。

プロキシなしの通常の環境の場合:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

HTTP プロキシがある通常の環境の場合、

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

HTTPS プロキシがある通常の環境の場合:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

プロキシなしの FedRAMP 環境の場合:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

HTTP プロキシがある FedRAMP 環境の場合:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

HTTPS プロキシがある FedRAMP 環境の場合:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

コンテナが実行中の時。「ポート 8080 で Express サーバーリスニング中」と表示されます。

ブラウザを使用して、ローカルホストに接続します。 http://127.0.0.1:8080 です。

Setup ツールは、http://localhost:8080 を介した localhost への接続をサポートしていません。 http://127.0.0.1:8080を使用してlocalhostに接続します。

指示されたら、 Control Hub の顧客サインイン資格情報を入力し、[同意] をクリックして続行します。
現在の構成 ISO ファイルをインポートします。
指示に従い、ツールを完了し、更新されたファイルをダウンロードします。

セットアップツールをシャットダウンするために次のように入力します。 CTRL+C です。
更新されたファイルのバックアップコピーを別のデータセンターに作成します。

HDS 主催者 OVA をインストールします。
HDS VM をセットアップします。
更新された構成ファイルをマウントします。
Control Hub の新しいノードを登録します。

仮想マシンをオフにします。
VMware vSphere クライアントの左ナビゲーションペインで、ESXi サーバーを右クリックし、[設定の編集] をクリックします。
クリック CD/DVD Drive 1[CD/DVD Drive 1] をクリックし、ISO ファイルからマウントするオプションを選択して、新規構成 ISO ファイルをダウンロードした場所を参照します。
[電源に接続する] をチェックします。
変更を保存し、仮想マシンを起動します。

ステップ 3 を繰り返し、古い構成ファイルを実行している残りの各ノードで構成を置き換えます。

外部 DNS 解決ブロックモードをオフにする

始める前に

内部 DNS サーバーがパブリック DNS 名を解決でき、ノードがそれらと通信できることを確認します。

1	Web ブラウザで、ハイブリッドデータセキュリティノードインターフェイス (IP アドレス/セットアップ、たとえば、ノードに設定した管理者資格情報をhttps://192.0.2.0/setup), 入力し、[サインイン] をクリックします。
2	[概要] (デフォルトページ) に移動します。有効になっている場合、 [外部 DNS 解決ブロック] は [はい] に設定されています。
3	[信頼ストアとプロキシ] ページに移動します。
4	[プロキシ接続を確認する] をクリックします。外部 DNS の解決が正常に行われなかったという内容のメッセージが表示された場合、ノードが DNS サーバーに到達できなかったことを示しており、このモードに留まっています。そうでない場合には、ノードを再起動して[概要] ページに戻ると、[外部 DNS 解決ブロック] は [いいえ] に設定されるはずです。

次に行うこと

ハイブリッドデータセキュリティクラスターの各ノードで、プロキシ接続テストを繰り返します。

ノードの削除

コンピュータの VMware vSphere クライアントを使用して、ESXi 仮想ホストにログインし、仮想マシンの電源を切ります。

ノードを削除します。

Control Hub にサインインし、[サービス] を選択します。
ハイブリッドデータセキュリティカードで、すべて表示 [ハイブリッドデータセキュリティリソース] ページを表示します。
クラスタを選択して [概要] パネルを表示します。
[ノードリストを開く] をクリックします。
[ノード] タブで、削除するノードを選択します。
をクリックします。アクション > ノードの登録解除

vSphere クライアントで、仮想マシンを削除します (左側のナビゲーションペインで、仮想マシンを右クリックし、[削除] をクリックします)。

スタンバイデータセンターを使用したディザスタリカバリ

HDS Setupツールを起動し、「HDSホストの設定ISOを作成する」の手順に従います。

Syslogdサーバーを構成した後、[詳細設定]をクリックします。


passiveMode: 'false'

構成プロセスを完了し、見つけやすい場所にISOファイルを保存します。

VMware vSphere クライアントの左側のナビゲーションペインで、仮想マシンを右クリックし、[設定の編集] をクリックします。

［設定の編集］>［CD/DVDドライブ1］をクリックし、［データストアISOファイル］を選択します。

ノードを開始した後で、更新された設定変更を有効にするために、「接続」および「電源投入時に接続」がオンになっていることを確認します。

HDS ノードの電源を入れ、少なくとも 15 分間アラームがないことを確認します。

スタンバイデータセンター内のすべてのノードに対してプロセスを繰り返します。

次に行うこと

（オプション）HDS設定後にISOをアンマウントする

始める前に

すべての HDS ノードをバージョン 2021.01.22.4720 以降にアップグレードします。

1	1 つの HDS ノードをシャットダウンします。
2	vCenter Server Appliance で、HDS ノードを選択します。
3	を選択［設定の編集］ > ［CD/DVDドライブ］を選択し、［データストアISOファイル］のチェックを外します。
4	HDS ノードの電源を入れ、少なくとも 20 分間アラームがないことを確認します。
5	HDS ノードごとに順番に繰り返します。

ハイブリッドデータセキュリティのトラブルシューティング

アラートとトラブルシューティングの表示

新しいスペースを作成できません (新しいキーを作成できません)
メッセージとスペースタイトルの復号に失敗する:
- 新規ユーザーがスペースに追加されました (キーを取得できません)
- 新しいクライアントを使用するスペース内の既存のユーザー (キーを取得できません)
スペース内の既存のユーザーは、クライアントが暗号化キーのキャッシュを持っている限り、正常に動作し続けます。

ハイブリッドデータセキュリティクラスタを適切に監視し、サービスの中断を避けるために速やかにアラートに対処することが重要です。

警告

表 1. 一般的な問題とそれらを解決するためのステップ
警告	アクション
ローカルデータべースへのアクセスに失敗しました。	データベースエラーまたはローカルネットワークの問題を確認します。
ローカルデータベース接続に失敗しました。	データベースサーバが使用可能であり、ノード設定で適切なサービスアカウントクレデンシャルが使用されていることを確認します。
クラウドサービスへのアクセスに失敗しました。	外部接続要件で指定されているように、ノードが Webex サーバーにアクセスできることを確認します。
クラウドサービス登録の更新。	クラウドサービスへの登録が削除されました。登録の更新が進行中です。
クラウドサービスの登録が削除されました。	クラウドサービスへの登録が終了しました。サービスが停止しています。
サービスはまだアクティベートされていません。	トライアルを有効にするか、トライアルを本番環境に移行します。
設定されたドメインがサーバー証明書と一致しません。	サーバー証明書が設定されたサービスアクティベーションドメインと一致していることを確認します。最も可能性の高い原因は、証明書 CN が最近変更され、初期設定で使用された CN とは異なるようになったためです。
クラウドサービスの認証に失敗しました。	サービスアカウントの資格情報の正確さと有効期限の可否を確認します。
ローカルキーストアファイルを開くことができませんでした。	ローカルキーストアファイルの整合性とパスワードの正確性を確認します。
ローカルサーバー証明書が無効です。	サーバ証明書の有効期限を確認し、信頼できる認証局によって発行されていることを確認します。
メトリクスを投稿できません。	外部クラウドサービスへのローカルネットワークアクセスを確認します。
/media/configdrive/hds ディレクトリが存在しません。	仮想ホストの ISO マウント設定を確認します。 ISO ファイルが存在すること、再起動時にマウントするように設定されていること、正常にマウントされていることを確認します。

ハイブリッドデータセキュリティのトラブルシューティング

ハイブリッドデータセキュリティの問題をトラブルシューティングする場合は、次の一般的なガイドラインを使用します。

1	アラートについては Control Hub を確認し、見つかった項目を修正します。
2	ハイブリッドデータセキュリティ展開からのアクティビティの syslog サーバー出力を確認します。
3	Cisco サポートにお問い合わせください。

その他の注意事項

ハイブリッドデータセキュリティの既知の問題

ハイブリッドデータセキュリティクラスタをシャットダウンする (Control Hub で削除するか、すべてのノードをシャットダウンする)、構成 ISO ファイルを失う、またはキーストアデータベースへのアクセスを失う場合、Webex アプリのユーザーは、KMS のキーを使用して作成された [ユーザー] リストの下のスペースを使用できなくなります。これは、トライアル展開と本番展開の両方に適用されます。現在、この問題の回避策や修正はありません。HDS サービスがアクティブなユーザーアカウントを処理したら、HDS サービスをシャットダウンしないようにしてください。
KMS への既存の ECDH 接続を持つクライアントは、その接続を一定期間 (おそらく 1 時間) 維持します。ユーザーがハイブリッドデータセキュリティトライアルのメンバーになると、ユーザーのクライアントは、タイムアウトするまで既存の ECDH 接続を引き続き使用します。代わりに、ユーザーは Webex アプリアプリにサインアウトして再度ログインして、アプリが暗号化キーの連絡先を更新できます。

同じ動作は、組織のトライアルを本番環境に移行する場合にも発生します。以前のデータセキュリティサービスへの既存の ECDH 接続を持つすべての非トライアルユーザーは、ECDH 接続が再ネゴシエートされるまで (タイムアウトまたはサインアウトして戻る)、これらのサービスを使用し続けます。

OpenSSL を使用して PKCS12 ファイルを生成する

始める前に

OpenSSLは、HDSセットアップツールでロードするための適切な形式でPKCS12ファイルを作成するために使用できるツールの1つです。これを行うには他の方法があり、私たちは別の方法よりも支持または促進しません。
OpenSSLを使用することを選択した場合は、X.509証明書要件を満たすファイルを作成するのに役立つガイドラインとして、この手順を提供しています。 X.509 証明書の要件は... 続行する前にこれらの要件を理解してください。
サポートされている環境で OpenSSL をインストールします。ソフトウェアとマニュアルについてはhttps://www.openssl.orgを参照してください。
秘密鍵を作成します。
認証局（CA）からサーバ証明書を受け取ったら、この手順を開始します。

1	CA からサーバー証明書を受け取ったら、次のように保存します。 `hdsnode.pem` です。
2	証明書をテキストとして表示し、詳細を確認します。 `openssl x509 -text -noout -in hdsnode.pem`
3	テキストエディタを使用して、証明書バンドルファイルを作成します。 `hdsnode-bundle.pem` です。バンドルファイルには、次の形式で、サーバ証明書、中間の CA 証明書、ルート CA 証明書を含める必要があります。 `-----BEGIN CERTIFICATE----- ### Server certificate. ### -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ### Intermediate CA certificate. ### -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ### Root CA certificate. ### -----END CERTIFICATE-----`
4	親しみやすい名前で .p12 ファイルを作成する `kms-private-key` です。 `openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12`
5	サーバ証明書の詳細を確認してください。 `openssl pkcs12 -in hdsnode.p12` プロンプトでパスワードを入力して、秘密キーを出力に表示するように暗号化します。次に、秘密鍵と最初の証明書に、回線が含まれていることを確認します。 `friendlyName: kms-private-key`です。例: bash$ openssl pkcs12 -in hdsnode.p12 Enter Import Password: MAC verified OK Bag Attributes friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Key Attributes: <No Attributes> Enter PEM pass phrase: Verifying - Enter PEM pass phrase: -----BEGIN ENCRYPTED PRIVATE KEY----- <redacted> -----END ENCRYPTED PRIVATE KEY----- Bag Attributes friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 -----BEGIN CERTIFICATE----- <redacted> -----END CERTIFICATE----- Bag Attributes friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3 -----BEGIN CERTIFICATE----- <redacted> -----END CERTIFICATE-----

次に行うこと

これらのファイルを再使用して、元の証明書の有効期限が切れたときに新しい証明書を要求できます。

HDS ノードとクラウド間のトラフィック

アウトバウンドメトリック収集トラフィック

着信トラフィック

ハイブリッドデータセキュリティノードは、Webex クラウドから次のタイプのインバウンドトラフィックを受信します。

暗号化サービスによってルーティングされるクライアントからの暗号化要求
ノードソフトウェアへのアップグレード

ハイブリッドデータセキュリティの Squid プロキシを設定する

Websocket は Squid プロキシを通じて接続できません

Squid 4 および5

次を追加します: on_unsupported_protocol 指示する squid.conf:

on_unsupported_protocol tunnel all

Squid 3.5.27

acl wssMercuryConnection ssl::server_name_regex mercury-connection

ssl_bump splice wssMercuryConnection

acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all

はじめに

新規および変更された情報

日付

変更履歴

2023年10月20日。

データベースサーバーの要件に関する情報を更新しました。
Setup Standby Data Center for Disaster Recoveryを追加しました。
Standby Data Center for Disaster RecoveryおよびStandby Data Centerを使用した災害復旧の情報を更新しました。

2023年8月7日。

インストールファイルのダウンロードにメモを追加しました。
「HDS ホスト用の設定 ISO の作成」および「ノード設定の変更」にメモを追加しました。

2023年5月23日。

アカウントチームに連絡して機能を有効にすることを要求するデータベースサーバーの要件から削除された情報。
外部接続要件の情報を更新し、カナダをCIホストテーブルに追加しました。
キーをクラウドに戻すためのメカニズムが利用できないことに関する「ハイブリッドデータセキュリティの展開に関する期待」のメモを追加しました。

2022 年 12 月 06 日

HDS セットアップツールイメージが ciscocitg dockerhub レポジトリ。
更新HDSホストの設定ISOの作成およびノード設定の変更のトピックを更新し、コマンドの変更をやり直しました。

2022年11月23日。

HDS ノードは、Microsoft SQL Server に対して Windows 認証を使用できるようになりました。

データベースサーバーの要件のトピックを更新し、この認証モードの要件を追加しました。

ノードでWindows認証を設定する手順を使用して、「HDSホストの設定ISOを作成する」を更新しました。
必要最小限のバージョン（PostgreSQL 10）でデータベースサーバーの要件トピックを更新しました。

2021 年 10 月 13 日

2017 年 6 月 24 日

2021 年 4 月 30 日

ローカルハードディスクスペースの VM 要件を 30 GB に変更しました。詳細については、「仮想ホスト要件」を参照してください。

2021 年 2 月 24 日

2021 年 2 月 2 日

2021年1月11日。

HDSセットアップツールとプロキシに関する情報を追加し、HDSホストの設定ISOを作成しました。

2020/10/13

インストールファイルのダウンロードを更新しました。

2020/10/08

更新HDSホスト用の構成ISOの作成およびFedRAMP環境のコマンドによるノード構成の変更。

2020 年 8 月 14 日

サインインプロセスの変更に伴い、「HDS ホストの構成 ISO を作成する」および「ノード構成を変更する」が更新されました。

2020年8月5日水曜日

ログメッセージの変更に関するハイブリッドデータセキュリティ展開のテストを更新しました。

ホストの最大数を削除する仮想ホスト要件を更新しました。

2020 年 6 月 16 日

Control Hub UI の変更に関するノードの削除を更新しました。

2020 年 6 月 4 日

設定する詳細設定の変更に関するHDS ホストの設定 ISO の作成を更新しました。

2020 年 5 月 29 日

SQL Serverデータベース、UI変更、およびその他の説明でTLSを使用できることを示すために、HDSホストの構成ISOを作成するを更新しました。

2020 年 5 月 5 日

ESXi 6.5 の新しい要件を表示するために、仮想ホスト要件を更新しました。

2020 年 4 月 21 日

新しい Americas CI ホストとの外部接続要件が更新されました。

2020 年 4 月 1 日

地域 CI ホストに関する情報で外部接続要件が更新されました。

2020年2月20日水曜日 HDSセットアップツールの新しいオプションの詳細設定画面に関する情報を記載したHDSホストの設定ISOを作成を更新しました。

2020年2月4日。プロキシサーバーの要件を更新しました。

2019年12月16日ブロックされた外部 DNS 解決モードがプロキシサーバーの要件で動作する要件を明確化しました。

2019 年 11 月 19 日

次のセクションで、ブロックされた外部 DNS 解決モードに関する情報を追加しました。

プロキシサポート
プロキシ統合のために HDS ノードを設定する
外部 DNS 解決ブロックモードをオフにする

2019 年 11 月 8 日

OVA を後で展開するのではなく、ノードのネットワーク設定を構成できるようになりました。

以下のセクションを適宜更新しました。

ハイブリッドデータセキュリティ展開タスクフロー
HDS ホスト OVA のインストール
ハイブリッドデータセキュリティ VM のセットアップ

2019年9月6日水曜日

データベースサーバーの要件にSQL Server Standardを追加しました。

2019 年 8 月 20 日

Webex クラウドへのハイブリッドデータセキュリティノード通信のプロキシサポートをカバーするセクションを追加および更新しました。

プロキシサポート
プロキシサーバーの要件
プロキシ統合のために HDS ノードを設定する

2019年3月6日（火）

要件と前提条件を別の章に移動しました。環境の準備です。
追加されたハイブリッドデータセキュリティ展開タスクフローチャプターの概要ハイブリッドデータセキュリティクラスタのセットアップは...

トライアルを開始するまで (後続の章の手順を使用)、ノードはサービスがまだアクティブ化されていないことを示すアラームを生成することに注意してください。
「トライアルを実行して本番環境に移動」の章に「本番環境タスクフローにトライアル」を追加しました。

2019 年 2 月 28 日

ハイブリッドデータセキュリティノードとなる仮想ホストを 50 GB から 20 GB に準備するときに、OVA が作成するディスクのサイズを反映させるために、サーバあたりのローカルハードディスクの空き容量を修正しました。

2019 年 2 月 26 日

ハイブリッドデータセキュリティノードは、PostgreSQL データベースサーバとの暗号化された接続、および TLS 対応の syslog サーバへの暗号化されたロギング接続をサポートするようになりました。手順が記載された「HDS ホストの設定 ISO を作成」を更新しました。
「ハイブリッドデータセキュリティノード VM のインターネット接続要件」の表から移動先 URL を削除しました。この表は、Webex Teams サービスのネットワーク要件の「Webex Teams ハイブリッドサービスの追加 URL」表で維持されているリストを参照しています。

2019 年 1 月 24 日

2018年11月5日。

「HDS ホストの設定 ISO を作成する」と「ノード設定を変更する」で、既存の docker hds インスタンスをクリーンアップするための予備ステップを追加しました。
インターフェイスに一致するHDS ホスト用の設定 ISO の作成のキーアクセスレベルステップを更新しました。

2018年10月19日水曜日

ファイアウォール接続情報をノード要件とISO構成マシン要件に分割し、「ハイブリッドデータセキュリティの前提条件を満たす」を選択します。

2018 年 7 月 31 日

ハイブリッドデータセキュリティの前提条件を満たすために、ポート 22（SSH アクセス）と NAT およびファイアウォール接続に関する情報を追加しました。

2018/05/21

Cisco Spark のリブランディングを反映する用語の変更:

Cisco Spark ハイブリッドデータセキュリティがハイブリッドデータセキュリティになりました。
Cisco Spark アプリが Webex アプリアプリになりました。
Cisco Collaboraton Cloud は Webex クラウドになりました。

2018年4月11日。

災害復旧用スタンバイデータセンターを追加。
更新ハイブリッドデータセキュリティの前提条件を完了して、バックアップ環境を別のデータセンターにする必要があることを指定しました。
スタンバイデータセンターを使用したディザスタリカバリを更新。

2018年2月22日水曜日

サービスアカウントパスワードの9か月の寿命と、HDSセットアップツールを使用してサービスアカウントパスワードをリセットする方法についての情報を追加しました。「HDSホストの設定ISOの作成」および「ノード設定の変更」を参照してください。

2018 年 2 月 15 日

X.509証明書の要件表では、証明書がワイルドカード証明書にはならないこと、KMSがCNドメインを使用していること、x.509v3 SANフィールドで定義されているドメインではないことが指定されています。

2018 年 1 月 18 日

付録「HDSノードとクラウド間のトラフィック」を追加。
ハイブリッドデータセキュリティの既知の問題から解決済みの問題を削除しました。
index.docker.io を *.docker.io に変更し、*.cloudfront.net を HDS ノードの TCP 接続要件のリストに追加しました。ハイブリッドデータセキュリティの前提条件を完了します。
データベースホストと Syslogd サーバが HDS ノードから DNS 解決可能でない場合、IP アドレスを使用して設定する必要があることを示すために、HDS ホストの構成 ISO を作成するを更新しました。

2017年11月2日。

HdsTrialGroup のディレクトリ同期を明確にしました。
VM ノードにマウントするための ISO 設定ファイルをアップロードする手順を修正しました。

2017年8月18日。

初公開。

ハイブリッドデータセキュリティの使用を開始する

ハイブリッドデータセキュリティの概要

セキュリティRealmアーキテクチャ

Webex クラウドアーキテクチャは、以下に示すように、さまざまなタイプのサービスを別々の領域、または信頼ドメインに分離します。

クライアントは、キー管理サービス（KMS）とのセキュアな接続を確立し、メッセージを暗号化するためのキーを要求します。安全な接続は ECDH を使用し、KMS は AES-256 マスターキーを使用してキーを暗号化します。
メッセージはクライアントを離れる前に暗号化されます。クライアントはインデックスをインデックスサービスに送信します。これにより、暗号化された検索インデックスが作成され、今後のコンテンツの検索に役立ちます。
暗号化されたメッセージは、コンプライアンスチェックのためにコンプライアンスサービスに送信されます。
暗号化されたメッセージはストレージ領域に保存されます。

他の組織との連携

ハイブリッドデータセキュリティの展開への期待

ハイブリッドデータセキュリティの展開には、重要な顧客のコミットメントと、暗号化キーの所有に伴うリスクの認識が必要です。

ハイブリッドデータセキュリティを展開するには、以下を提供する必要があります。

Cisco Webex Teams プランでサポートされている国の安全なデータセンター。
環境の準備で説明する装置、ソフトウェア、およびネットワークアクセス。

データベースのバックアップとリカバリ、および構成ISOを管理します。
データベースのディスク障害やデータセンター障害などの大災害が発生した場合、迅速な災害復旧を実行する準備をしてください。

HDS 導入後にキーをクラウドに戻すメカニズムはありません。

高レベルのセットアッププロセス

このドキュメントでは、ハイブリッドデータセキュリティ展開のセットアップと管理について説明します。

ハイブリッドデータセキュリティのセットアップ—これには、必要なインフラストラクチャの準備とハイブリッドデータセキュリティソフトウェアのインストール、トライアルモードでのユーザーのサブセットを使用した展開のテスト、テストが完了すると本番環境に移行することが含まれます。これにより、組織全体がセキュリティ機能にハイブリッドデータセキュリティクラスタを使用できるようになります。
セットアップ、トライアル、および生産の各段階は、次の3つの章で詳しく説明されています。
ハイブリッドデータセキュリティの展開を維持する—Webex クラウドは自動的に継続的なアップグレードを提供します。 IT 部門は、この展開に対してティア 1 のサポートを提供し、必要に応じてシスコのサポートを引き受けることができます。画面上の通知を使用し、Control Hub でメールベースのアラートを設定できます。
一般的なアラート、トラブルシューティング手順、および既知の問題について理解する—ハイブリッドデータセキュリティの展開または使用で問題が発生した場合、このガイドの最後の章と既知の問題の付録は、問題を決定および修正するのに役立ちます。

ハイブリッドデータセキュリティ展開モデル

ハイブリッドデータセキュリティ展開モデル

組織ごとに 1 つのクラスタのみをサポートします。

ハイブリッドデータセキュリティトライアルモード

災害復旧のためのスタンバイデータセンター

アクティブなハイブリッドデータセキュリティノードは、常にアクティブなデータベースサーバと同じデータセンターにある必要があります。

災害復旧のためのスタンバイデータセンターを設定

スタンバイデータセンターの ISO ファイルを設定するには、以下の手順に従います。

始める前に

スタンバイデータセンターは、VMとバックアップPostgreSQLまたはMicrosoft SQL Serverデータベースの生産環境をミラーリングする必要があります。たとえば、本番環境に HDS ノードを実行する 3 台の仮想マシンがある場合、バックアップ環境には 3 台の仮想マシンが必要です (このフェールオーバーモデルの概要については、「Standby Data Center for Disaster Recovery」を参照してください)。
アクティブクラスタノードとパッシブクラスタノードのデータベース間でデータベース同期が有効になっていることを確認します。

HDS Setupツールを起動し、「HDSホストの設定ISOを作成する」の手順に従います。

ISO ファイルは、次の構成更新を行うプライマリデータセンターの原本 ISO ファイルのコピーである必要があります。

Syslogdサーバーを構成した後、[詳細設定]をクリックします。


passiveMode: 'true'

構成プロセスを完了し、見つけやすい場所にISOファイルを保存します。

VMware vSphere クライアントの左側のナビゲーションペインで、仮想マシンを右クリックし、[設定の編集] をクリックします。

［設定の編集］>［CD/DVDドライブ1］をクリックし、［データストアISOファイル］を選択します。

ノードを開始した後で、更新された設定変更を有効にするために、「接続」および「電源投入時に接続」がオンになっていることを確認します。

HDS ノードの電源を入れ、少なくとも 15 分間アラームがないことを確認します。

スタンバイデータセンター内のすべてのノードに対してプロセスを繰り返します。

次に行うこと

プロキシサポート

ハイブリッドデータセキュリティノードは、以下のプロキシオプションをサポートしています。

プロキシなし—プロキシを統合するために、HDS ノードセットアップの信頼ストアとプロキシ設定を使用しない場合は、デフォルトになります。証明書の更新は必要ありません。
透過型の検査なしのプロキシ—ノードは特定のプロキシサーバーアドレスを使用するように設定されていないため、検査なしのプロキシで動作するように変更を加える必要はありません。証明書の更新は必要ありません。
透過トンネリングまたは検査プロキシ—ノードは特定のプロキシサーバーアドレスを使用するように設定されていません。ノードでは、HTTP または HTTPS の設定変更は必要ありません。ただし、ノードはプロキシを信頼するためにルート証明書を必要とします。プロキシを検査することで、Web サイトにアクセスするか、どのタイプのコンテンツを使用するかを強制するポリシーを施行することができます。このタイプのプロキシは、すべてのトラフィック (HTTPS さえも含む) を復号化します。
明示的プロキシ—明示的なプロキシを使用して、使用するプロキシサーバーと認証スキームを指定します。明示的なプロキシを設定するには、各ノードに次の情報を入力する必要があります。
1. プロキシ IP/FQDN—プロキシマシンに到達するために使用できるアドレス。
2. プロキシポート-プロキシがプロキシトラフィックをリスンするために使用するポート番号。
3. プロキシプロトコル-プロキシサーバーがサポートするものに応じて、次のいずれかのプロトコルを選択します。
  - HTTP—クライアントが送信するすべての要求を表示し、コントロールします。
  - HTTPS—サーバーにチャネルを提供します。クライアントがサーバーの証明書を受け取り、検証します。
4. 認証タイプ-次の認証タイプから選択します。
  - なし—追加の認証は必要ありません。
    
    プロキシプロトコルとして HTTP または HTTPS のいずれかを選択した場合に利用できます。
  - ベーシック—HTTP ユーザーエージェントがリクエストを行う際にユーザー名とパスワードを指定するために使用されます。 Base64 エンコードを使用します。
    
    プロキシプロトコルとして HTTP または HTTPS のいずれかを選択した場合に利用できます。
    
    各ノードにユーザー名とパスワードを入力する必要があります。
  - ダイジェスト—機密情報を送信する前にアカウントを確認するために使用されます。ネットワークを経由して送信する前に、ユーザー名およびパスワードにハッシュ機能を適用します。
    
    プロキシプロトコルとして HTTPS を選択した場合にのみ利用できます。
    
    各ノードにユーザー名とパスワードを入力する必要があります。

ハイブリッドデータセキュリティノードとプロキシの例

外部 DNS 解決ブロックモード (明示的プロキシ構成)

環境の準備

ハイブリッドデータセキュリティの要件

Cisco Webex ライセンス要件

ハイブリッドデータセキュリティを展開するには:

Cisco Webex Control Hub 用の Pro Pack が必要です (https://www.cisco.com/go/pro-pack を参照してください)。

Docker デスクトップの要件

X.509 証明書の要件

証明書チェーンは、次の要件を満たしている必要があります。

表 1. ハイブリッドデータセキュリティ展開の X.509 証明書要件
要件	の詳細
信頼できる認証局 (CA) によって署名された	デフォルトでは、https://wiki.mozilla.org/CA:IncludedCAsでMozillaリスト（WoSignとStartComを除く）のCAを信頼しています。
ハイブリッドデータセキュリティの展開を識別する共通名 (CN) ドメイン名を持つワイルドカード証明書ではありません	CN に到達可能またはライブホストである必要はありません。組織を反映する名前を使用することを推奨します。たとえば、 `hds.company.com` です。 CN に * (ワイルドカード) を含めることはできません。 CN は、Webex アプリクライアントへのハイブリッドデータセキュリティノードを確認するために使用されます。クラスタ内のすべてのハイブリッドデータセキュリティノードが同じ証明書を使用します。 KMS は、x.509v3 SAN フィールドで定義されているドメインではなく、CN ドメインを使用して自身を識別します。この証明書でノードを登録すると、CN ドメイン名の変更はサポートされません。トライアル展開と本番展開の両方に適用できるドメインを選択します。
非SHA1署名	KMS ソフトウェアは、他の組織の KMS への接続を検証するための SHA1 署名をサポートしていません。
パスワードで保護されたPKCS #12ファイルとしてフォーマット親しみやすい名前を使用する `kms-private-key` 証明書、秘密キー、およびアップロードする中間証明書をタグ付けします。	OpenSSL などのコンバータを使用して、証明書の形式を変更できます。 HDSセットアップツールを実行するときは、パスワードを入力する必要があります。

仮想ホストの要件

クラスタ内のハイブリッドデータセキュリティノードとして設定する仮想ホストには、次の要件があります。

同じセキュアデータセンターでコロケーションされた少なくとも 2 つの別のホスト (3 つの推奨)
VMware ESXi 6.5 (またはそれ以降) がインストールされ、実行されています。

以前のバージョンの ESXi がある場合は、アップグレードする必要があります。
最低4vCPU、8GBメインメモリ、サーバーあたり30GBのローカルハードディスク容量

データベースサーバーの要件

データベースサーバーには2つのオプションがあります。各要件は以下のとおりです。

表 2. データベースの種類別のデータベースサーバー要件

PostgreSQLについて

Microsoft SQL Server（マイクロソフト SQL サーバー）

PostgreSQL 14、15、または 16 がインストールされ、実行されています。

SQL Server 2016、2017、または 2019（Enterprise または Standard）がインストールされています。

SQL Server 2016 では、Service Pack 2 および Cumulative Update 2 以降が必要です。

HDS ソフトウェアは現在、データベースサーバとの通信用に次のドライババージョンをインストールしています。

PostgreSQLについて

Microsoft SQL Server（マイクロソフト SQL サーバー）

Postgres JDBCドライバ 42.2.5

SQL Server JDBC ドライバ 4.6

このドライババージョンは、SQL Server Always On（Always On Failover Cluster InstancesおよびAlways On availability groups）をサポートしています。

Microsoft SQL Server に対する Windows 認証の追加要件

HDS ノードが Windows 認証を使用して Microsoft SQL Server のキーストアデータベースにアクセスできるようにするには、環境内で次の設定が必要です。

HDS ノード、Active Directory インフラストラクチャ、MS SQL Server はすべて NTP と同期する必要があります。
HDS ノードに提供する Windows アカウントは、データベースへの読み取り/書き込みアクセス権を持っている必要があります。
HDS ノードに提供する DNS サーバは、キー配布センター (KDC) を解決できる必要があります。
Microsoft SQL Server に HDS データベースインスタンスをサービスプリンシパル名 (SPN) として Active Directory に登録できます。詳細は、Kerberos Connections のサービスプリンシパル名を登録するを参照してください。

HDS セットアップツール、HDS ランチャー、およびローカル KMS はすべて、キーストアデータベースにアクセスするために Windows 認証を使用する必要があります。 Kerberos 認証でアクセスを要求するときに、ISO 設定の詳細を使用して SPN を構築します。

外部接続の要件

HDS アプリケーションに次の接続を許可するようにファイアウォールを設定します。

アプリケーション	プロトコル	ポート	アプリからの方向	移動先
ハイブリッドデータセキュリティノード	TCP	443	アウトバウンド HTTPS および WSS	Webex サーバー: .wbx2.com .ciscospark.com すべての Common Identity ホスト Webex サービスのネットワーク要件のWebex ハイブリッドサービスの追加 URL 表にハイブリッドデータセキュリティ用にリストされているその他の URL
HDS 設定ツール	TCP	443	アウトバウンド HTTPS	*.wbx2.com すべての Common Identity ホストハブ.docker.com

Common Identity (CI) ホストの URL は地域固有です。これらは現在の CI ホストです。

地域	共通 ID ホスト URL
Americas (北米、中南米エリア)	https://idbroker.webex.com https://identity.webex.com https://idbroker-b-us.webex.com https://identity-b-us.webex.com
欧州連合	https://idbroker-eu.webex.com https://identity-eu.webex.com
カナダ	https://idbroker-ca.webex.com https://identity-ca.webex.com

プロキシサーバーの要件

お使いのハイブリッドデータセキュリティノードと統合できる次のプロキシソリューションを正式にサポートしています。

透過的プロキシ—Cisco Web Security Appliance (WSA)。

明示的プロキシ—Squid。

明示的プロキシに対して次の認証タイプの組み合わせがサポートされています。
- HTTP または HTTPS による認証がありません
- HTTP または HTTPS による基本認証
- HTTPS のみによるダイジェスト認証
透過的検査プロキシまたは HTTPS 明示的プロキシについては、プロキシのルート証明書のコピーが必要です。このガイドに記載されている展開手順は、ハイブリッドデータセキュリティノードの信頼ストアにコピーをアップロードする方法を説明しています。
HDS ノードをホストするネットワークは、ポート 443 のアウトバウンド TCP トラフィックを強制的にプロキシ経由でルーティングするように設定されている必要があります。
Web トラフィックを検査するプロキシは、Web ソケット接続に干渉する場合があります。この問題が発生した場合、トラフィックをバイパス（検査しない）して wbx2.com および ciscospark.com 問題を解決します。

ハイブリッドデータセキュリティの前提条件を完了する

このチェックリストを使用して、ハイブリッドデータセキュリティクラスタをインストールして設定する準備ができていることを確認します。

キーストレージ用のデータベースを作成します。 (このデータベースを作成する必要があります。デフォルトのデータベースを使用しないでください。 HDS アプリケーションをインストールすると、データベーススキーマが作成されます。
ノードがデータベースサーバと通信するために使用する詳細を収集します。
- ホスト名または IP アドレス (ホスト) とポート
- キーストレージのデータベース名（dbname）
- キーストレージデータベース上のすべての権限を持つユーザーのユーザー名とパスワード

HDSセットアップツールをインストールして実行するには、ローカルマシンに外部接続要件に記載されている接続性が必要です。

プロキシとハイブリッドデータセキュリティを統合する場合は、プロキシサーバーの要件を満たしていることを確認してください。

ハイブリッドデータセキュリティクラスタのセットアップ

ハイブリッドデータセキュリティ展開タスクフロー

始める前に

後で使用するために、OVA ファイルをローカルマシンにダウンロードします。

HDS セットアップツールを使用して、ハイブリッドデータセキュリティノードの ISO 設定ファイルを作成します。

OVA ファイルから仮想マシンを作成し、ネットワーク設定などの初期設定を実行します。

HDS セットアップツールを使用して作成した ISO 設定ファイルから VM を設定します。

ハイブリッドデータセキュリティノードとして Cisco Webex クラウドに仮想マシンを登録します。

クラスタの設定を完了します。

トライアルを開始するまで、ノードはサービスがまだアクティブ化されていないことを示すアラームを生成します。

インストールファイルのダウンロード

https://admin.webex.comにサインインし、「サービス」をクリックします。

[ハイブリッドサービス] セクションで、ハイブリッドデータセキュリティカードを見つけて、[セットアップ] をクリックします。

ノードがまだセットアップされていないことを示すにはいいえを選択し、「次へ」をクリックします。

OVAファイルは自動的にダウンロードを開始します。ファイルをマシン上の場所に保存します。

必要に応じて、［導入ガイドを開く］をクリックして、このガイドの後半バージョンが利用可能かどうかを確認します。

HDS ホストの設定 ISO を作成する

始める前に

説明	変数
認証なしの HTTP プロキシ	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
認証なしの HTTPS プロキシ	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
認証ありの HTTP プロキシ	`GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
認証ありの HTTPS プロキシ	`GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

生成する構成 ISO ファイルには、PostgreSQL または Microsoft SQL Server データベースを暗号化するマスターキーが含まれています。次のように、設定を変更するたびに、このファイルの最新のコピーが必要です。
- データベースの資格情報
- 証明書の更新
- 承認ポリシーの変更
データベース接続を暗号化する場合は、TLS 用の PostgreSQL または SQL Server 展開をセットアップします。

マシンのコマンドラインで、お使い環境に適切なコマンドを入力します。

一般環境:

docker rmi ciscocitg/hds-setup:stable

FedRAMP 環境の場合:

docker rmi ciscocitg/hds-setup-fedramp:stable

Docker 画像レジストリにサインインするには、以下を入力します。

docker login -u hdscustomersro

パスワードのプロンプトに対して、このハッシュを入力します。

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

お使い環境に合った最新の安定した画像をダウンロードします。

一般環境:

docker pull ciscocitg/hds-setup:stable

FedRAMP 環境の場合:

docker pull ciscocitg/hds-setup-fedramp:stable

プルが完了したら、お使いの環境に適切なコマンドを入力します。

プロキシなしの通常の環境の場合:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

HTTP プロキシがある通常の環境の場合、

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

HTTPS プロキシがある通常の環境の場合:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

プロキシなしの FedRAMP 環境の場合:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

HTTP プロキシがある FedRAMP 環境の場合:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

HTTPS プロキシがある FedRAMP 環境の場合:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

コンテナが実行中の時。「ポート 8080 で Express サーバーリスニング中」と表示されます。

Setup ツールは、http://localhost:8080 を介した localhost への接続をサポートしていません。 http://127.0.0.1:8080を使用してlocalhostに接続します。

Web ブラウザを使用して localhost に移動し、 http://127.0.0.1:8080 、プロンプトで Control Hub の顧客管理者ユーザー名を入力します。

[セットアップツールの概要] ページで、[はじめに] をクリックします。

［ISOインポート］ページには、次のオプションがあります。

いいえ—最初の HDS ノードを作成する場合、アップロードする ISO ファイルがありません。
はい—HDS ノードをすでに作成している場合は、ブラウズで ISO ファイルを選択してアップロードします。

X.509 証明書がX.509 証明書要件の要件を満たしていることを確認してください。

証明書をアップロードしたことがない場合は、X.509 証明書をアップロードし、パスワードを入力して [続行] をクリックします。
証明書がOKの場合、「続行」をクリックします。
証明書の有効期限が切れている場合、または証明書を置き換える場合は、「いいえ」を選択して、「以前のISOからHDS証明書チェーンと秘密キーの使用を続行」を選択します。新しい X.509 証明書をアップロードし、パスワードを入力し、[続行] をクリックします。

HDS のデータベースアドレスとアカウントを入力して、キーデータストアにアクセスします。

データベースの種類（PostgreSQLまたはMicrosoft SQL Server）を選択します。

Microsoft SQL Serverを選択すると、[認証タイプ(Authentication Type)] フィールドが表示されます。
(Microsoft SQL Serverのみ) 認証タイプを選択します。
- 基本認証: [ユーザー名] フィールドには、ローカル SQL Server アカウント名が必要です。
- Windowsの認証: 形式の Windows アカウントが必要です username@DOMAINユーザー名フィールドに入力します。
フォームにデータベースサーバアドレスを入力します <hostname>:<port> または <IP-address>:<port> です。

例:
dbhost.example.org:1433 または 198.51.100.17:1433

ノードがホスト名を解決するために DNS を使用できない場合、基本認証に IP アドレスを使用できます。

Windows 認証を使用している場合は、形式に完全修飾ドメイン名を入力する必要があります dbhost.example.org:1433
データベース名を入力します。
キーストレージデータベース上のすべての権限を持つユーザーのユーザー名とパスワードを入力します。

TLS データベース接続モードを選択します。

モード

説明

TLS を優先 (デフォルトのオプション)

TLS を要求する

データベースサーバが TLS をネゴシエートできる場合に限り、HDS ノードは接続されます。

TLS を要求し、証明書の署名者を確認する

このモードは、SQL Server データベースには適用されません。

データベースサーバが TLS をネゴシエートできる場合に限り、HDS ノードは接続されます。
TLS 接続を確立した後、ノードはデータベースサーバからの証明書の署名者をデータベースルート証明書の認証局と比較します。一致しない場合、ノードにより接続が切断されます。

ドロップダウンの下にあるデータベースルート証明書コントロールを使用して、このオプションのルート証明書をアップロードしてください。

TLS を要求し、証明書の署名者およびホスト名を確認する

データベースサーバが TLS をネゴシエートできる場合に限り、HDS ノードは接続されます。
TLS 接続を確立した後、ノードはデータベースサーバからの証明書の署名者をデータベースルート証明書の認証局と比較します。一致しない場合、ノードにより接続が切断されます。
ノードはまた、サーバ証明書のホスト名が [データベースホストとポート] フィールドのホスト名と一致することを確認します。名前は正確に一致する必要があります。または、ノードが接続を切断します。

ドロップダウンの下にあるデータベースルート証明書コントロールを使用して、このオプションのルート証明書をアップロードしてください。

[システムログ（System Logs）] ページで、Syslogd サーバを設定します。

syslog サーバの URL を入力します。

HDS クラスタのノードからサーバが DNS 解決可能でない場合は、URL で IP アドレスを使用します。

例:
udp://10.92.43.23:514 UDP ポート 514 の Syslogd ホスト 10.92.43.23 へのロギングを示します。
TLS 暗号化を使用するようにサーバを設定した場合は、「syslog サーバが SSL 暗号化用に設定されていますか？」にチェックを入れます。

このチェックボックスをオンにした場合は、次のような TCP URL を入力してください: tcp://10.92.43.23:514 です。
[syslogレコードの終了を選択]ドロップダウンから、ISOファイルの適切な設定を選択します。選択または改行は Graylog および Rsyslog TCP に使用されます
- Null バイト -- \x00
- 改行 -- \n:Graylog および Rsyslog TCP の選択肢を選択します。
[続行] をクリックします。

app_datasource_connection_pool_maxSize: 10

[サービスアカウントのパスワードをリセット] 画面の [続行] をクリックします。

[ISOファイルのダウンロード] をクリックします。見つけやすい場所にファイルを保存します。

ローカルシステム上のISOファイルのバックアップコピーを作成します。

セットアップツールをシャットダウンするために次のように入力します。 CTRL+C です。

次に行うこと

私たちはこのキーのコピーを持っていないし、あなたがそれを失ったら助けることができません。

HDS ホスト OVA のインストール

OVA ファイルから仮想マシンを作成するには、次の手順を使用します。

コンピュータの VMware vSphere クライアントを使用して、ESXi 仮想ホストにログインします。

ファイル > OVF テンプレートを展開を選択します。

ウィザードで、先ほどダウンロードしたOVAファイルの場所を指定し、 をクリックします。次へだ

の計算リソースを選択ページで、宛先計算リソースを選択し、をクリックします。次へだ

検証チェックが実行されます。完了すると、テンプレートの詳細が表示されます。

テンプレートの詳細を確認し、［次へ］をクリックします。

のリソース設定を選択するよう求められた場合設定ページ、をクリックします。 4 CPU をクリックし、 をクリックします。次へだ

のストレージを選択ページ、をクリックします。次へは、デフォルトのディスク形式とVMストレージポリシーを受け入れます。

のネットワークを選択ページで、エントリのリストからネットワークオプションを選択し、仮想マシンへの接続を提供します。

[テンプレートのカスタマイズ] ページで、次のネットワーク設定を構成します。

[ホスト名(Hostname)]:ノードの FQDN (ホスト名とドメイン) または単語ホスト名を入力します。

X.509 証明書を取得するために使用したドメインと一致するようにドメインを設定する必要はありません。
クラウドへの登録を成功させるには、ノードに設定した FQDN またはホスト名に小文字のみを使用します。現時点では大文字化のサポートはありません。
FQDNのトータルの長さは64文字を超えてはいけません。

[IPアドレス(IP Address)]:ノードの内部インターフェイスの IP アドレスを入力します。

ノードには内部 IP アドレスと DNS 名が必要です。 DHCP はサポートされていません。
[マスク(Mask)]:サブネットマスクアドレスをドット小数表記で入力します。たとえば、255.255.255.0 などです。
[ゲートウェイ(Gateway)]:ゲートウェイの IP アドレスを入力します。ゲートウェイは、別のネットワークへのアクセスポイントとして機能するネットワークノードです。
DNS サーバ:ドメイン名を数値の IP アドレスに変換する DNS サーバのカンマ区切りリストを入力します。 (最大 4 つの DNS エントリが許可されます。)
NTP サーバ:組織の NTP サーバまたは組織で使用できる別の外部 NTP サーバを入力します。デフォルトの NTP サーバは、すべての企業で機能しない場合があります。カンマ区切りリストを使用して、複数の NTP サーバを入力することもできます。

クラスタ内のすべてのノードが管理目的でネットワーク内のクライアントから到達できるように、すべてのノードを同じサブネットまたは VLAN に展開します。

ノードVMを右クリックし、電源 > 電源オンだ。

トラブルシューティングのヒント

ハイブリッドデータセキュリティ VM のセットアップ

1	VMware vSphere クライアントで、ハイブリッドデータセキュリティノード VM を選択し、[コンソール] タブを選択します。 VM が起動し、ログインプロンプトが表示されます。ログインプロンプトが表示されない場合は、入力を押してください。
2	次のデフォルトのログインとパスワードを使用してサインインし、資格情報を変更します。ログイン: `admin` パスワード: `cisco` 初めて仮想マシンにサインインするため、管理者パスワードを変更する必要があります。
3	［HDS ホスト OVA のインストール］でネットワーク設定をすでに設定している場合は、残りの手順をスキップします。それ以外の場合は、メインメニューで［設定の編集］オプションを選択します。
4	IP アドレス、マスク、ゲートウェイ、DNS 情報を含む静的設定をセットアップします。ノードには内部 IP アドレスと DNS 名が必要です。 DHCP はサポートされていません。
5	(オプション) ネットワークポリシーと一致する必要がある場合は、ホスト名、ドメイン、または NTP サーバを変更します。 X.509 証明書を取得するために使用したドメインと一致するようにドメインを設定する必要はありません。
6	ネットワーク設定を保存し、仮想マシンを再起動して、変更を有効にします。

HDS 設定 ISO のアップロードとマウント

HDS セットアップツールを使用して作成した ISO ファイルから仮想マシンを設定するには、次の手順を使用します。

始める前に

コンピュータから ISO ファイルをアップロードします。

VMware vSphere クライアントの左側のナビゲーションペインで、ESXi サーバをクリックします。
[設定] タブの [ハードウェア] リストで、[ストレージ] をクリックします。
[データストア（Datastores）] リストで、仮想マシンのデータストアを右クリックし、[データストアを参照（Browse Datastore）] をクリックします。
[ファイルのアップロード] アイコンをクリックし、[ファイルのアップロード] をクリックします。
コンピュータにISOファイルをダウンロードした場所を参照し、［開く］をクリックします。
アップロード/ダウンロード操作の警告を受け入れるには、[はい] をクリックし、データストアダイアログを閉じます。

ISO ファイルをマウントします。

VMware vSphere クライアントの左ナビゲーションペインで、ESXi サーバーを右クリックし、[設定の編集] をクリックします。
[OK] をクリックして、制限された編集オプションの警告を受け入れます。
クリック CD/DVD Drive 1 、データストア ISO ファイルからマウントするオプションを選択し、構成 ISO ファイルをアップロードした場所を参照します。
接続および電源オン時に接続をオンにします。
変更を保存し、仮想マシンを再起動します。

次に行うこと

プロキシ統合のために HDS ノードを設定する

始める前に

サポートされているプロキシオプションの概要については、プロキシサポートを参照してください。
プロキシサーバーの要件

1	HDS ノードのセットアップ URL を入力 `https://[HDS Node IP or FQDN]/setup` Web ブラウザで、ノード用に設定した管理者資格情報を入力し、[ サインイン] をクリックします。
2	[信頼ストアとロキシ] に移動して、次のオプションを選択します。プロキシなし—プロキシを統合する前のデフォルトのオプション。証明書の更新は必要ありません。透過型の検査なしのプロキシ—ノードは特定のプロキシサーバーアドレスを使用するように設定されていないため、検査なしのプロキシで動作するように変更を加える必要はありません。証明書の更新は必要ありません。透過トンネリングまたは検査プロキシ—ノードは特定のプロキシサーバーアドレスを使用するように設定されていません。ハイブリッドデータセキュリティの展開では HTTPS 構成の変更は必要ありませんが、HDS ノードはプロキシを信頼できるようにするためにルート証明書を必要とします。プロキシを検査することで、Web サイトにアクセスするか、どのタイプのコンテンツを使用するかを強制するポリシーを施行することができます。このタイプのプロキシは、すべてのトラフィック (HTTPS さえも含む) を復号化します。明示的プロキシ—明示的なプロキシを使用して、使用するプロキシサーバーをクライアント (HDS ノード) を指示し、このオプションはいくつかの認証スキームをサポートします。このオプションを選択した後、次の情報を入力する必要があります。プロキシ IP/FQDN—プロキシマシンに到達するために使用できるアドレス。プロキシポート-プロキシがプロキシトラフィックをリスンするために使用するポート番号。プロキシプロトコル- http (クライアントから受信したすべての要求を表示して管理) または https (クライアントがサーバーへのチャネルを提供し、サーバーの証明書を検証) を選択します。プロキシサーバーがサポートするオプションを選択します。認証タイプ-次の認証タイプから選択します。なし—追加の認証は必要ありません。 HTTP または HTTPS プロキシで利用できます。ベーシック—HTTP ユーザーエージェントがリクエストを行う際にユーザー名とパスワードを指定するために使用されます。 Base64 エンコードを使用します。 HTTP または HTTPS プロキシで利用できます。このオプションを選択した場合は、ユーザー名とパスワードも入力する必要があります。ダイジェスト—機密情報を送信する前にアカウントを確認するために使用されます。ネットワークを経由して送信する前に、ユーザー名およびパスワードにハッシュ機能を適用します。 HTTPS プロキシに対してのみ利用できます。このオプションを選択した場合は、ユーザー名とパスワードも入力する必要があります。透過型検査プロキシ、基本認証を持つ HTTP 明示プロキシ、または HTTPS 明示プロキシについては、次のステップに従ってください。
3	[ルート証明書またはエンティティ終了証明書のアップロード] をクリックし、プロキシのルート証明書を選択するために移動します。証明書はアップロードされていますが、まだインストールされていません。証明書をインストールするにはノードを再起動する必要があります。証明書発行者名の山形矢印をクリックして詳細を確認するか、間違っている場合は [削除] をクリックして、ファイルを再度アップロードしてください。
4	[プロキシ接続を確認する] をクリックして、ノードとプロキシ間のネットワーク接続性をテストします。接続テストが失敗した場合は、エラーメッセージが表示され、問題を解決するための理由と方法が示されます。外部 DNS の解決が正常に行われなかったという内容のメッセージが表示された場合、ノードが DNS サーバーに到達できなかったことを示しています。この状況は、多くの明示的なプロキシ構成で想定されています。セットアップを続行すると、ノードは外部 DNS 解決ブロックモードで機能します。これがエラーと思われる場合は、次の手順を実行し、「ブロックされた外部 DNS 解決モードをオフにする」を参照してください。
5	接続テストが成功した後、明示的なプロキシについては https のみに設定し、このノードからのすべてのポートの 443/444 https 要求を明示的プロキシを通してルーティングするように切り替えます。この設定を有効にするには 15 秒かかります。
6	[すべての証明書を信頼ストアにインストールする(HTTPS 明示プロキシまたは透過型のプロキシで表示される)] または [再起動] をクリックして、プロンプトを読み、準備が完了したら [インストール] をクリックします。ノードが数分以内に再起動されます。
7	ノードが再起動したら、必要に応じて再度サインインして、[概要] ページを開き、接続チェックを確認してすべて緑色のステータスになっていることを確認します。プロキシ接続の確認は webex.com のサブドメインのみをテストします。接続の問題がある場合、インストール手順に記載されているクラウドドメインの一部がプロキシでブロックされているという問題がよく見られます。

クラスタ内の最初のノードを登録する

始める前に

一旦ノードの登録を開始すると、60 分以内に完了する必要があり、そうでなければ、再び最初からやり直しになります。
ブラウザのポップアップブロッカーが無効になっているか、または admin.webex.com の例外を許可していることを確認してください。

1	https://admin.webex.comにサインインします。
2	スクリーンの左側にあるメニューからサービスを選択します。
3	[ハイブリッドサービス] セクションで、[ハイブリッドデータセキュリティ] を見つけ、[セットアップ] をクリックします。 [ハイブリッドデータセキュリティノードの登録] ページが表示されます。
4	ノードを設定し、登録する準備ができていることを示すには、「はい」を選択し、「次へ」をクリックします。
5	最初のフィールドに、ハイブリッドデータセキュリティノードを割り当てるクラスタの名前を入力します。クラスタのノードが地理的にどこに配置されているかに基づきクラスタに名前を付けることをお薦めします。例: 「サンフランシスコ」「ニューヨーク」「ダラス」
6	2 番目のフィールドに、ノードの内部 IP アドレスまたは完全修飾ドメイン名（FQDN）を入力し、[次へ] をクリックします。この IP アドレスまたは FQDN は、ハイブリッドデータセキュリティ VM のセットアップで使用した IP アドレスまたはホスト名とドメインと一致する必要があります。ノードを Webex に登録できることを示すメッセージが表示されます。
7	[ノードに進む] をクリックします。
8	警告メッセージの [続ける] をクリックします。しばらくすると、Webex サービスのノード接続テストにリダイレクトされます。すべてのテストが成功すると、[ハイブリッドデータセキュリティノードへのアクセスを許可（Allow Access to Hybrid Data Security Node）] ページが表示されます。ここで、ノードにアクセスする権限を Webex 組織に付与することを確認します。
9	[ハイブリッドデータセキュリティノードへのアクセスを許可] チェックボックスをオンにして、[続行] をクリックします。アカウントが検証され、「登録完了」メッセージは、ノードが Webex クラウドに登録されたことを示します。
10	リンクをクリックするか、タブを閉じて、[Control Hub ハイブリッドデータセキュリティ] ページに戻ります。 [ハイブリッドデータセキュリティ] ページで、登録したノードを含む新しいクラスタが表示されます。ノードはクラウドから最新のソフトウェアを自動的にダウンロードします。

より多くのノードを作成して登録する

始める前に

一旦ノードの登録を開始すると、60 分以内に完了する必要があり、そうでなければ、再び最初からやり直しになります。
ブラウザのポップアップブロッカーが無効になっているか、または admin.webex.com の例外を許可していることを確認してください。

1	OVA から新しい仮想マシンを作成し、「HDS ホスト OVA のインストール」の手順を繰り返します。
2	新しい仮想マシンで初期設定を行い、「ハイブリッドデータセキュリティ仮想マシンのセットアップ」の手順を繰り返します。
3	新しい VM で、「Upload and Mount the HDS Configuration ISO」の手順を繰り返します。
4	展開のプロキシを設定する場合は、新しいノードに必要に応じ「プロキシ統合の HDS ノードを設定する」の手順を繰り返します。
5	ノードを登録します。 https://admin.webex.comで画面の左側にあるメニューからサービスを選択します。 [ハイブリッドサービス] セクションで、ハイブリッドデータセキュリティカードを見つけて、[リソース] をクリックします。 [ハイブリッドデータセキュリティリソース] ページが表示されます。 [リソースの追加] をクリックします。最初のフィールドで、既存のクラスタの名前を選択します。 2 番目のフィールドに、ノードの内部 IP アドレスまたは完全修飾ドメイン名（FQDN）を入力し、[次へ] をクリックします。ノードを Webex クラウドに登録できることを示すメッセージが表示されます。 [ノードに進む] をクリックします。しばらくすると、Webex サービスのノード接続テストにリダイレクトされます。すべてのテストが成功すると、[ハイブリッドデータセキュリティノードへのアクセスを許可（Allow Access to Hybrid Data Security Node）] ページが表示されます。ここで、ノードにアクセスするための権限を組織に付与することを確認します。 [ハイブリッドデータセキュリティノードへのアクセスを許可] チェックボックスをオンにして、[続行] をクリックします。アカウントが検証され、「登録完了」メッセージは、ノードが Webex クラウドに登録されたことを示します。リンクをクリックするか、タブを閉じて、[Control Hub ハイブリッドデータセキュリティ] ページに戻ります。ノードが登録されています。トライアルを開始するまで、ノードはサービスがまだアクティブ化されていないことを示すアラームを生成することに注意してください。

次に行うこと

トライアルを実行して本番環境に移動

プロダクションタスクフローへの試行

始める前に

1	必要に応じて、 `HdsTrialGroup` グループオブジェクト。組織でユーザーのディレクトリ同期を使用している場合は、 `HdsTrialGroup` トライアルを開始する前に、クラウドに同期するためのグループオブジェクト。手順については、 Cisco Directory Connector 展開ガイドを参照してください。
2	トライアルの有効化トライアルを開始します。このタスクを実行するまで、ノードはサービスがまだアクティブ化されていないことを示すアラームを生成します。
3	ハイブリッドデータセキュリティ展開をテストする重要な要求がハイブリッドデータセキュリティ展開に渡されていることを確認します。
4	ハイブリッドデータセキュリティの健全性を監視するステータスを確認し、アラームのメール通知を設定します。
5	トライアルからユーザーを追加または削除する
6	以下のいずれかの操作を行い、治験の段階を完了します。トライアルからプロダクションへの移行本番環境に移行せずにトライアルを終了する

トライアルの有効化

始める前に

1	https://admin.webex.comにサインインし、「サービス」を選択します。
2	[ハイブリッドデータセキュリティ（Hybrid Data Security）] で、[設定] をクリックします。
3	[サービスステータス（Service Status）] セクションで、[トライアルの開始] をクリックします。サービスステータスがトライアルモードに変わります。
4	[ユーザーの追加] をクリックし、暗号化およびインデックスサービスのためにハイブリッドデータセキュリティノードを使用してパイロットする 1 人以上のユーザーのメールアドレスを入力します。 (組織がディレクトリ同期を使用している場合は、Active Directory を使用してトライアルグループを管理します。 `HdsTrialGroup`.)

ハイブリッドデータセキュリティ展開をテストする

この手順を使用して、ハイブリッドデータセキュリティの暗号化シナリオをテストします。

始める前に

ハイブリッドデータセキュリティの展開をセットアップします。
トライアルを有効にし、複数のトライアルユーザーを追加します。
キー要求がハイブリッドデータセキュリティ展開に渡されていることを確認するために、syslog にアクセスできることを確認します。

新しいスペースにメッセージを送信します。

syslog 出力をチェックして、キー要求がハイブリッドデータセキュリティ展開に渡されていることを確認します。

次のようなエントリを見つける必要があります (可読性のために短縮された識別子)。

2020-07-21 17:35:34.562 (+0000) INFO  KMS [pool-14-thread-1] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, 
kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

KMS から既存のキーを要求するユーザーを確認するには、次のフィルタをオンにします。 kms.data.method=retrieve および kms.data.type=KEY:

次のようなエントリを見つける必要があります。

2020-07-21 17:44:19.889 (+0000) INFO  KMS [pool-14-thread-31] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, 
kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, 
kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

新しいKMSキーの作成を要求するユーザーを確認するには、 kms.data.method=create および kms.data.type=KEY_COLLECTION:

次のようなエントリを見つける必要があります。

2020-07-21 17:44:21.975 (+0000) INFO  KMS [pool-14-thread-33] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, 
kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, 
kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

次のようなエントリを見つける必要があります。

2020-07-21 17:44:22.808 (+0000) INFO  KMS [pool-15-thread-1] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

ハイブリッドデータセキュリティの健全性を監視する

1	Control Hubで、画面左側のメニューからサービスを選択します。
2	[ハイブリッドサービス] セクションで、[ハイブリッドデータセキュリティ] を見つけ、[設定] をクリックします。 [ハイブリッドデータセキュリティ設定] ページが表示されます。
3	[メール通知] セクションで、カンマで区切られた 1 つ以上のメールアドレスを入力し、[Enter] を押します。

トライアルからユーザーを追加または削除する

1	Control Hub にサインインし、[サービス] を選択します。
2	[ハイブリッドデータセキュリティ（Hybrid Data Security）] で、[設定] をクリックします。
3	[サービスステータス（Service Status）] 領域の [トライアルモード（Trial Mode）] セクションで、[ユーザーの追加（Add Users）] をクリックするか、[表示と編集] をクリックしてユーザーをトライアルから削除します。
4	追加する 1 人以上のユーザーのメールアドレスを入力するか、ユーザー ID の X をクリックしてユーザーをトライアルから削除します。その後、[保存] をクリックします。

トライアルからプロダクションへの移行

1	Control Hub にサインインし、[サービス] を選択します。
2	[ハイブリッドデータセキュリティ（Hybrid Data Security）] で、[設定] をクリックします。
3	[サービスステータス（Service Status）] セクションで、[本番環境に移動] をクリックします。
4	すべてのユーザーを本番環境に移行することを確認します。

本番環境に移行せずにトライアルを終了する

1	Control Hub にサインインし、[サービス] を選択します。
2	[ハイブリッドデータセキュリティ（Hybrid Data Security）] で、[設定] をクリックします。
3	「Deactivate（無効化）」セクションで「Deactivate（無効化）」をクリックします。
4	サービスを無効にしてトライアルを終了することを確認します。

HDS 展開の管理

ここで説明するタスクを使用して、ハイブリッドデータセキュリティの展開を管理します。

クラスタアップグレードスケジュールの設定

アップグレードスケジュールを設定するには:

1	Control Hub にサインインします。
2	[概要] ページの [ハイブリッドサービス] で、[ハイブリッドデータセキュリティ] を選択します。
3	[ハイブリッドデータセキュリティリソース] ページで、クラスタを選択します。
4	右側の [概要] パネルの [クラスタ設定] で、クラスタ名を選択します。
5	設定ページのアップグレードの下で、アップグレードのスケジュール設定を希望する時間およびタイムゾーンを選択します。メモ: タイムゾーンの下に、次に可能なアップグレードの日時が表示されます。必要に応じて、[延期] をクリックすることでアップグレードを翌日に延期することもできます。

ノードの設定を変更する

場合により、以下のような理由でハイブリッドデータセキュリティノードの構成の変更が必要な場合があります。

有効期限が切れる、または他の理由による、x.509 証明書の変更。

データベース設定を更新して、PostgreSQL または Microsoft SQL Server データベースのレプリカを変更します。

新しい構成を作成して新しいデータセンターの準備をする。

ソフトリセット— 古いパスワードと新しいパスワードは最大 10 日間有効です。この期間を使用して、ノードの ISO ファイルを段階的に置き換えることができます。
ハードリセット—古いパスワードは即時に機能を停止します。

この手順を使用して、新しい構成 ISO ファイルを生成し、クラスターに適用します。

始める前に

説明	変数
認証なしの HTTP プロキシ	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
認証なしの HTTPS プロキシ	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
認証ありの HTTP プロキシ	`GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
認証ありの HTTPS プロキシ	`GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

新しい構成を生成するには、現在の構成 ISO ファイルのコピーが必要です。 ISO には PostgreSQL または Microsoft SQL Server データベースを暗号化するマスターキーを含むです。データベースの証明書、証明書の更新、認証方針への変更を含む、構成の変更を行った場合は ISO が必要です。

ローカルマシンで Docker を使用し、HDS セットアップツールを実行します。

マシンのコマンドラインで、お使い環境に適切なコマンドを入力します。

一般環境:

docker rmi ciscocitg/hds-setup:stable

FedRAMP 環境の場合:

docker rmi ciscocitg/hds-setup-fedramp:stable

Docker 画像レジストリにサインインするには、以下を入力します。
```
docker login -u hdscustomersro
```
パスワードのプロンプトに対して、このハッシュを入力します。
```
dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
```

お使い環境に合った最新の安定した画像をダウンロードします。

一般環境:

docker pull ciscocitg/hds-setup:stable

FedRAMP 環境の場合:

docker pull ciscocitg/hds-setup-fedramp:stable

プルが完了したら、お使いの環境に適切なコマンドを入力します。

プロキシなしの通常の環境の場合:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

HTTP プロキシがある通常の環境の場合、

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

HTTPS プロキシがある通常の環境の場合:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

プロキシなしの FedRAMP 環境の場合:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

HTTP プロキシがある FedRAMP 環境の場合:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

HTTPS プロキシがある FedRAMP 環境の場合:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

コンテナが実行中の時。「ポート 8080 で Express サーバーリスニング中」と表示されます。

ブラウザを使用して、ローカルホストに接続します。 http://127.0.0.1:8080 です。

Setup ツールは、http://localhost:8080 を介した localhost への接続をサポートしていません。 http://127.0.0.1:8080を使用してlocalhostに接続します。

指示されたら、 Control Hub の顧客サインイン資格情報を入力し、[同意] をクリックして続行します。
現在の構成 ISO ファイルをインポートします。
指示に従い、ツールを完了し、更新されたファイルをダウンロードします。

セットアップツールをシャットダウンするために次のように入力します。 CTRL+C です。
更新されたファイルのバックアップコピーを別のデータセンターに作成します。

HDS 主催者 OVA をインストールします。
HDS VM をセットアップします。
更新された構成ファイルをマウントします。
Control Hub の新しいノードを登録します。

仮想マシンをオフにします。
VMware vSphere クライアントの左ナビゲーションペインで、ESXi サーバーを右クリックし、[設定の編集] をクリックします。
クリック CD/DVD Drive 1[CD/DVD Drive 1] をクリックし、ISO ファイルからマウントするオプションを選択して、新規構成 ISO ファイルをダウンロードした場所を参照します。
[電源に接続する] をチェックします。
変更を保存し、仮想マシンを起動します。

ステップ 3 を繰り返し、古い構成ファイルを実行している残りの各ノードで構成を置き換えます。

外部 DNS 解決ブロックモードをオフにする

始める前に

内部 DNS サーバーがパブリック DNS 名を解決でき、ノードがそれらと通信できることを確認します。

1	Web ブラウザで、ハイブリッドデータセキュリティノードインターフェイス (IP アドレス/セットアップ、たとえば、ノードに設定した管理者資格情報をhttps://192.0.2.0/setup), 入力し、[サインイン] をクリックします。
2	[概要] (デフォルトページ) に移動します。有効になっている場合、 [外部 DNS 解決ブロック] は [はい] に設定されています。
3	[信頼ストアとプロキシ] ページに移動します。
4	[プロキシ接続を確認する] をクリックします。外部 DNS の解決が正常に行われなかったという内容のメッセージが表示された場合、ノードが DNS サーバーに到達できなかったことを示しており、このモードに留まっています。そうでない場合には、ノードを再起動して[概要] ページに戻ると、[外部 DNS 解決ブロック] は [いいえ] に設定されるはずです。

次に行うこと

ハイブリッドデータセキュリティクラスターの各ノードで、プロキシ接続テストを繰り返します。

ノードの削除

コンピュータの VMware vSphere クライアントを使用して、ESXi 仮想ホストにログインし、仮想マシンの電源を切ります。

ノードを削除します。

Control Hub にサインインし、[サービス] を選択します。
ハイブリッドデータセキュリティカードで、すべて表示 [ハイブリッドデータセキュリティリソース] ページを表示します。
クラスタを選択して [概要] パネルを表示します。
[ノードリストを開く] をクリックします。
[ノード] タブで、削除するノードを選択します。
をクリックします。アクション > ノードの登録解除

vSphere クライアントで、仮想マシンを削除します (左側のナビゲーションペインで、仮想マシンを右クリックし、[削除] をクリックします)。

スタンバイデータセンターを使用したディザスタリカバリ

HDS Setupツールを起動し、「HDSホストの設定ISOを作成する」の手順に従います。

Syslogdサーバーを構成した後、[詳細設定]をクリックします。


passiveMode: 'false'

構成プロセスを完了し、見つけやすい場所にISOファイルを保存します。

VMware vSphere クライアントの左側のナビゲーションペインで、仮想マシンを右クリックし、[設定の編集] をクリックします。

［設定の編集］>［CD/DVDドライブ1］をクリックし、［データストアISOファイル］を選択します。

ノードを開始した後で、更新された設定変更を有効にするために、「接続」および「電源投入時に接続」がオンになっていることを確認します。

HDS ノードの電源を入れ、少なくとも 15 分間アラームがないことを確認します。

スタンバイデータセンター内のすべてのノードに対してプロセスを繰り返します。

次に行うこと

（オプション）HDS設定後にISOをアンマウントする

始める前に

すべての HDS ノードをバージョン 2021.01.22.4720 以降にアップグレードします。

1	1 つの HDS ノードをシャットダウンします。
2	vCenter Server Appliance で、HDS ノードを選択します。
3	を選択［設定の編集］ > ［CD/DVDドライブ］を選択し、［データストアISOファイル］のチェックを外します。
4	HDS ノードの電源を入れ、少なくとも 20 分間アラームがないことを確認します。
5	HDS ノードごとに順番に繰り返します。

ハイブリッドデータセキュリティのトラブルシューティング

アラートとトラブルシューティングの表示

新しいスペースを作成できません (新しいキーを作成できません)
メッセージとスペースタイトルの復号に失敗する:
- 新規ユーザーがスペースに追加されました (キーを取得できません)
- 新しいクライアントを使用するスペース内の既存のユーザー (キーを取得できません)
スペース内の既存のユーザーは、クライアントが暗号化キーのキャッシュを持っている限り、正常に動作し続けます。

ハイブリッドデータセキュリティクラスタを適切に監視し、サービスの中断を避けるために速やかにアラートに対処することが重要です。

警告

表 1. 一般的な問題とそれらを解決するためのステップ
警告	アクション
ローカルデータべースへのアクセスに失敗しました。	データベースエラーまたはローカルネットワークの問題を確認します。
ローカルデータベース接続に失敗しました。	データベースサーバが使用可能であり、ノード設定で適切なサービスアカウントクレデンシャルが使用されていることを確認します。
クラウドサービスへのアクセスに失敗しました。	外部接続要件で指定されているように、ノードが Webex サーバーにアクセスできることを確認します。
クラウドサービス登録の更新。	クラウドサービスへの登録が削除されました。登録の更新が進行中です。
クラウドサービスの登録が削除されました。	クラウドサービスへの登録が終了しました。サービスが停止しています。
サービスはまだアクティベートされていません。	トライアルを有効にするか、トライアルを本番環境に移行します。
設定されたドメインがサーバー証明書と一致しません。	サーバー証明書が設定されたサービスアクティベーションドメインと一致していることを確認します。最も可能性の高い原因は、証明書 CN が最近変更され、初期設定で使用された CN とは異なるようになったためです。
クラウドサービスの認証に失敗しました。	サービスアカウントの資格情報の正確さと有効期限の可否を確認します。
ローカルキーストアファイルを開くことができませんでした。	ローカルキーストアファイルの整合性とパスワードの正確性を確認します。
ローカルサーバー証明書が無効です。	サーバ証明書の有効期限を確認し、信頼できる認証局によって発行されていることを確認します。
メトリクスを投稿できません。	外部クラウドサービスへのローカルネットワークアクセスを確認します。
/media/configdrive/hds ディレクトリが存在しません。	仮想ホストの ISO マウント設定を確認します。 ISO ファイルが存在すること、再起動時にマウントするように設定されていること、正常にマウントされていることを確認します。

ハイブリッドデータセキュリティのトラブルシューティング

ハイブリッドデータセキュリティの問題をトラブルシューティングする場合は、次の一般的なガイドラインを使用します。

1	アラートについては Control Hub を確認し、見つかった項目を修正します。
2	ハイブリッドデータセキュリティ展開からのアクティビティの syslog サーバー出力を確認します。
3	Cisco サポートにお問い合わせください。

その他の注意事項

ハイブリッドデータセキュリティの既知の問題

ハイブリッドデータセキュリティクラスタをシャットダウンする (Control Hub で削除するか、すべてのノードをシャットダウンする)、構成 ISO ファイルを失う、またはキーストアデータベースへのアクセスを失う場合、Webex アプリのユーザーは、KMS のキーを使用して作成された [ユーザー] リストの下のスペースを使用できなくなります。これは、トライアル展開と本番展開の両方に適用されます。現在、この問題の回避策や修正はありません。HDS サービスがアクティブなユーザーアカウントを処理したら、HDS サービスをシャットダウンしないようにしてください。
KMS への既存の ECDH 接続を持つクライアントは、その接続を一定期間 (おそらく 1 時間) 維持します。ユーザーがハイブリッドデータセキュリティトライアルのメンバーになると、ユーザーのクライアントは、タイムアウトするまで既存の ECDH 接続を引き続き使用します。代わりに、ユーザーは Webex アプリアプリにサインアウトして再度ログインして、アプリが暗号化キーの連絡先を更新できます。

同じ動作は、組織のトライアルを本番環境に移行する場合にも発生します。以前のデータセキュリティサービスへの既存の ECDH 接続を持つすべての非トライアルユーザーは、ECDH 接続が再ネゴシエートされるまで (タイムアウトまたはサインアウトして戻る)、これらのサービスを使用し続けます。

OpenSSL を使用して PKCS12 ファイルを生成する

始める前に

OpenSSLは、HDSセットアップツールでロードするための適切な形式でPKCS12ファイルを作成するために使用できるツールの1つです。これを行うには他の方法があり、私たちは別の方法よりも支持または促進しません。
OpenSSLを使用することを選択した場合は、X.509証明書要件を満たすファイルを作成するのに役立つガイドラインとして、この手順を提供しています。 X.509 証明書の要件は... 続行する前にこれらの要件を理解してください。
サポートされている環境で OpenSSL をインストールします。ソフトウェアとマニュアルについてはhttps://www.openssl.orgを参照してください。
秘密鍵を作成します。
認証局（CA）からサーバ証明書を受け取ったら、この手順を開始します。

1	CA からサーバー証明書を受け取ったら、次のように保存します。 `hdsnode.pem` です。
2	証明書をテキストとして表示し、詳細を確認します。 `openssl x509 -text -noout -in hdsnode.pem`
3	テキストエディタを使用して、証明書バンドルファイルを作成します。 `hdsnode-bundle.pem` です。バンドルファイルには、次の形式で、サーバ証明書、中間の CA 証明書、ルート CA 証明書を含める必要があります。 `-----BEGIN CERTIFICATE----- ### Server certificate. ### -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ### Intermediate CA certificate. ### -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ### Root CA certificate. ### -----END CERTIFICATE-----`
4	親しみやすい名前で .p12 ファイルを作成する `kms-private-key` です。 `openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12`
5	サーバ証明書の詳細を確認してください。 `openssl pkcs12 -in hdsnode.p12` プロンプトでパスワードを入力して、秘密キーを出力に表示するように暗号化します。次に、秘密鍵と最初の証明書に、回線が含まれていることを確認します。 `friendlyName: kms-private-key`です。例: bash$ openssl pkcs12 -in hdsnode.p12 Enter Import Password: MAC verified OK Bag Attributes friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Key Attributes: <No Attributes> Enter PEM pass phrase: Verifying - Enter PEM pass phrase: -----BEGIN ENCRYPTED PRIVATE KEY----- <redacted> -----END ENCRYPTED PRIVATE KEY----- Bag Attributes friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 -----BEGIN CERTIFICATE----- <redacted> -----END CERTIFICATE----- Bag Attributes friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3 -----BEGIN CERTIFICATE----- <redacted> -----END CERTIFICATE-----

次に行うこと

これらのファイルを再使用して、元の証明書の有効期限が切れたときに新しい証明書を要求できます。

HDS ノードとクラウド間のトラフィック

アウトバウンドメトリック収集トラフィック

着信トラフィック

ハイブリッドデータセキュリティノードは、Webex クラウドから次のタイプのインバウンドトラフィックを受信します。

暗号化サービスによってルーティングされるクライアントからの暗号化要求
ノードソフトウェアへのアップグレード

ハイブリッドデータセキュリティの Squid プロキシを設定する

Websocket は Squid プロキシを通じて接続できません

Squid 4 および5

次を追加します: on_unsupported_protocol 指示する squid.conf:

on_unsupported_protocol tunnel all

Squid 3.5.27

acl wssMercuryConnection ssl::server_name_regex mercury-connection

ssl_bump splice wssMercuryConnection

acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all

はじめに

新規および変更された情報

日付

変更履歴

2023年10月20日。

データベースサーバーの要件に関する情報を更新しました。
Setup Standby Data Center for Disaster Recoveryを追加しました。
Standby Data Center for Disaster Recovery およびStandby Data Centerを使用した災害復旧の情報を更新しました。

2023年8月7日。

インストールファイルのダウンロードにメモを追加しました。
「HDS ホスト用の設定 ISO の作成」および「ノード設定の変更」にメモを追加しました。

2023年5月23日。

アカウントチームに連絡して機能を有効にすることを要求するデータベースサーバーの要件から削除された情報。
外部接続要件の情報を更新し、カナダをCIホストテーブルに追加しました。
キーをクラウドに戻すためのメカニズムが利用できないことに関する「ハイブリッドデータセキュリティの展開に関する期待」のメモを追加しました。

2022 年 12 月 06 日

HDS Setup Tool イメージが ciscocitg dockerhub リポジトリでホストされるようになりました。
更新HDSホストの設定ISOの作成およびノード設定の変更のトピックを更新し、コマンドの変更をやり直しました。

2022年11月23日。

HDS ノードは、Microsoft SQL Server に対して Windows 認証を使用できるようになりました。

この認証モードの追加要件を含むデータベースサーバーの要件のトピックを更新しました。

ノードでWindows認証を設定する手順を使用して、「HDSホストの設定ISOを作成する」を更新しました。
必要最小限のバージョン（PostgreSQL 10）でデータベースサーバーの要件トピックを更新しました。

2021 年 10 月 13 日

HDS ノードをインストールする前に、Docker Desktop でセットアッププログラムを実行する必要があります。Docker デスクトップの要件を参照してください。

2017 年 6 月 24 日

2021 年 4 月 30 日

ローカルハードディスクスペースの VM 要件を 30 GB に変更しました。詳細については、「仮想ホストの要件」を参照してください。

2021 年 2 月 24 日

2021 年 2 月 2 日

2021年1月11日。

HDSセットアップツールとプロキシに関する情報を追加し、HDSホストの設定ISOを作成しました。

2020/10/13

インストールファイルのダウンロードを更新しました。

2020/10/08

更新HDSホストの設定ISOの作成およびFedRAMP環境のコマンドによるノード設定の変更。

2020 年 8 月 14 日

サインインプロセスの変更に伴い、「HDS ホスト用の構成 ISO を作成する」および「ノード構成を変更する」が更新されました。

2020年8月5日水曜日

ログメッセージの変更に関するハイブリッドデータセキュリティ展開のテストを更新しました。

ホストの最大数を削除する仮想ホスト要件を更新しました。

2020 年 6 月 16 日

Control Hub UI の変更に関するノードの削除を更新しました。

2020 年 6 月 4 日

設定する詳細設定の変更に関するHDS ホストの設定 ISO の作成を更新しました。

2020 年 5 月 29 日

SQL Serverデータベース、UI変更、およびその他の説明でTLSを使用できることを示すために、HDSホストの構成ISOを作成を更新しました。

2020 年 5 月 5 日

ESXi 6.5 の新しい要件を表示するために、仮想ホスト要件を更新しました。

2020 年 4 月 21 日

新しい Americas CI ホストとの外部接続要件が更新されました。

2020 年 4 月 1 日

地域 CI ホストに関する情報で外部接続要件が更新されました。

2020年2月20日水曜日 HDSセットアップツールの新しいオプションの詳細設定画面に関する情報を記載したHDSホストの設定ISOを作成を更新しました。

2020年2月4日プロキシサーバーの要件を更新しました。

2019年12月16日ブロックされた外部 DNS 解決モードがプロキシサーバーの要件で動作する要件を明確化しました。

2019 年 11 月 19 日

次のセクションで、ブロックされた外部 DNS 解決モードに関する情報を追加しました。

プロキシサポート
プロキシ統合のために HDS ノードを設定する
外部 DNS 解決ブロックモードをオフにする

2019 年 11 月 8 日

OVA を後で展開するのではなく、ノードのネットワーク設定を構成できるようになりました。

以下のセクションを適宜更新しました。

ハイブリッドデータセキュリティ展開タスクフロー
HDS ホスト OVA のインストール
ハイブリッドデータセキュリティ VM のセットアップ

2019年9月6日水曜日

データベースサーバーの要件にSQL Server Standardを追加しました。

2019 年 8 月 20 日

Webex クラウドへのハイブリッドデータセキュリティノード通信のプロキシサポートをカバーするセクションを追加および更新しました。

プロキシサポート
プロキシサーバーの要件
プロキシ統合のために HDS ノードを設定する

2019年6月13日。組織がディレクトリ同期を使用している場合、トライアルを開始する前に、HdsTrialGroup グループオブジェクトを同期するようにリマインダー付きでトライアルから本番タスクフローに更新しました。

2019年3月6日（火）

要件と前提条件を別の章に移動しました。環境の準備です。
追加されたハイブリッドデータセキュリティ展開タスクフローチャプターの概要ハイブリッドデータセキュリティクラスタのセットアップ。

トライアルを開始するまで (後続の章の手順を使用)、ノードはサービスがまだアクティブ化されていないことを示すアラームを生成することに注意してください。
「トライアルを実行して本番環境に移動」の章に「本番環境タスクフローにトライアル」が追加されました。

2019 年 2 月 28 日

ハイブリッドデータセキュリティノードとなる仮想ホストを 50 GB から 20 GB に準備するときに、OVA が作成するディスクのサイズを反映させるために、サーバあたりのローカルハードディスクスペースの容量を修正しました。

2019 年 2 月 26 日

ハイブリッドデータセキュリティノードは、PostgreSQL データベースサーバとの暗号化された接続、および TLS 対応の syslog サーバへの暗号化されたロギング接続をサポートするようになりました。手順が記載された「HDS ホストの設定 ISO を作成」を更新しました。
「ハイブリッドデータセキュリティノード VM のインターネット接続要件」の表から移動先 URL を削除しました。この表は、Webex Teams サービスのネットワーク要件の「Webex Teams ハイブリッドサービスの追加 URL」表で維持されているリストを参照しています。

2019 年 1 月 24 日

ハイブリッドデータセキュリティは、データベースとして Microsoft SQL Server をサポートするようになりました。SQL Server Always On (Always On Failover Clusters and Always on Availability Groups) は、ハイブリッドデータセキュリティで使用される JDBC ドライバーによってサポートされています。SQL Server での展開に関連するコンテンツを追加しました。

2018年11月5日。

「HDS ホスト用の構成 ISO を作成する」と「ノード構成の変更」で、既存の docker hds インスタンスをクリーンアップするための予備ステップを追加しました。
インターフェイスに一致するHDS ホスト用の設定 ISO の作成のキーアクセスレベルステップを更新しました。

2018年10月19日水曜日

ファイアウォール接続情報をノード要件とISO構成マシン要件に分割し、「ハイブリッドデータセキュリティの前提条件を満たす」を選択します。

2018 年 7 月 31 日

ハイブリッドデータセキュリティの前提条件を満たすために、ポート 22（SSH アクセス）と NAT およびファイアウォール接続に関する情報を追加しました。

2018/05/21

Cisco Spark のリブランディングを反映する用語の変更:

Cisco Spark ハイブリッドデータセキュリティがハイブリッドデータセキュリティになりました。
Cisco Spark アプリが Webex アプリアプリになりました。
Cisco Collaboraton Cloud は Webex クラウドになりました。

2018年4月11日。

災害復旧用スタンバイデータセンターを追加。
更新ハイブリッドデータセキュリティの前提条件を満たし、バックアップ環境を別のデータセンターにする必要があることを指定しました。
スタンバイデータセンターを使用したディザスタリカバリを更新。

2018年2月22日水曜日

サービスアカウントパスワードの9か月の寿命と、HDSセットアップツールを使用してサービスアカウントパスワードをリセットする方法についての情報を追加しました。「HDSホストの設定ISOの作成」および「ノード設定の変更」を参照してください。

2018 年 2 月 15 日

X.509証明書要件表では、証明書がワイルドカード証明書にはならないこと、KMSがCNドメインを使用していること、x.509v3 SANフィールドで定義されているドメインではないことが指定されています。

2018 年 1 月 18 日

付録「HDSノードとクラウド間のトラフィック」を追加。
ハイブリッドデータセキュリティの既知の問題から解決済みの問題を削除しました。
index.docker.io を *.docker.io に変更し、*.cloudfront.net を HDS ノードの TCP 接続要件のリストに追加しました。ハイブリッドデータセキュリティの前提条件を完了します。
データベースホストと Syslogd サーバが HDS ノードから DNS 解決可能でない場合は、IP アドレスを使用して設定する必要があることを示すために、HDS ホストの構成 ISO を作成するを更新しました。

2017年11月2日。

HdsTrialGroup のディレクトリ同期を明確にしました。
VM ノードにマウントするための ISO 設定ファイルをアップロードする手順を修正しました。

2017年8月18日。

初公開。

ハイブリッドデータセキュリティの使用を開始する

ハイブリッドデータセキュリティの概要

初日から、Webex アプリの設計において、データセキュリティが主な焦点となっています。このセキュリティの基盤は、Webex アプリクライアントがキー管理サービス (KMS) と対話することで有効になる、エンドツーエンドのコンテンツ暗号化です。KMS はメッセージとファイルを動的に暗号化し、解読するためにクライアントが使用する暗号キーの作成と管理の責任を負っています。

セキュリティRealmアーキテクチャ

Webex クラウドアーキテクチャは、以下に示すように、さまざまなタイプのサービスを別々の領域、または信頼ドメインに分離します。

ハイブリッドデータセキュリティをさらに理解するには、まず、Cisco がクラウドレルムですべての機能を提供しているこの純粋なクラウドケースを見てみましょう。メールアドレスなどの個人情報とユーザーが直接相関できる唯一の場所であるアイデンティティサービスは、データセンターBのセキュリティ領域と論理的かつ物理的に分離されています。

クライアントは、キー管理サービス（KMS）とのセキュアな接続を確立し、メッセージを暗号化するためのキーを要求します。安全な接続は ECDH を使用し、KMS は AES-256 マスターキーを使用してキーを暗号化します。
メッセージはクライアントを離れる前に暗号化されます。クライアントはインデックスをインデックスサービスに送信します。これにより、暗号化された検索インデックスが作成され、今後のコンテンツの検索に役立ちます。
暗号化されたメッセージは、コンプライアンスチェックのためにコンプライアンスサービスに送信されます。
暗号化されたメッセージはストレージ領域に保存されます。

ハイブリッドデータセキュリティを展開すると、セキュリティレルム機能 (KMS、インデックス、コンプライアンス) をオンプレミスのデータセンターに移動します。Webex を構成する他のクラウドサービス (ID とコンテンツストレージを含む) は、シスコの領域に残ります。

他の組織との連携

組織 A で実行されている KMS サービスは、x.509 PKI 証明書を使用して、他の組織の KMS への接続を検証します。ハイブリッドデータセキュリティの展開で使用する x.509 証明書の生成の詳細については、「環境の準備」を参照してください。

ハイブリッドデータセキュリティの展開への期待

ハイブリッドデータセキュリティの展開には、重要な顧客コミットメントと暗号化キーの所有に伴うリスクの認識が必要です。

ハイブリッドデータセキュリティを展開するには、以下を提供する必要があります。

Cisco Webex Teams プランでサポートされているロケーションの国の安全なデータセンター。
環境の準備で説明する装置、ソフトウェア、およびネットワークアクセス。

データベースのバックアップとリカバリ、および構成ISOを管理します。
データベースのディスク障害やデータセンター障害などの大災害が発生した場合、迅速な災害復旧を実行する準備をしてください。

HDS 導入後にキーをクラウドに戻すメカニズムはありません。

高レベルのセットアッププロセス

このドキュメントでは、ハイブリッドデータセキュリティ展開のセットアップと管理について説明します。

ハイブリッドデータセキュリティのセットアップ—これには、必要なインフラストラクチャの準備とハイブリッドデータセキュリティソフトウェアのインストール、トライアルモードでのユーザーのサブセットを使用した展開のテスト、テストが完了すると本番環境への移行が含まれます。これにより、組織全体がセキュリティ機能にハイブリッドデータセキュリティクラスタを使用できるようになります。
セットアップ、トライアル、および生産の各段階は、次の3つの章で詳しく説明されています。
ハイブリッドデータセキュリティの展開を維持する—Webex クラウドは自動的に継続的なアップグレードを提供します。IT 部門は、この展開に対してティア 1 のサポートを提供し、必要に応じてシスコのサポートを引き受けることができます。画面上の通知を使用し、Control Hub でメールベースのアラートを設定できます。
一般的なアラート、トラブルシューティング手順、および既知の問題について理解する—ハイブリッドデータセキュリティの展開または使用で問題が発生した場合、このガイドの最後の章と既知の問題の付録を使用して、問題を決定および修正することができます。

ハイブリッドデータセキュリティ展開モデル

インストールプロセス中に、提供するVM上の仮想アプライアンスを設定するためのOVAファイルを提供します。HDS セットアップツールを使用して、各ノードにマウントするカスタムクラスタ構成 ISO ファイルを作成します。ハイブリッドデータセキュリティクラスタは、提供された Syslogd サーバーと PostgreSQL または Microsoft SQL Server データベースを使用します。(HDS セットアップツールで Syslogd とデータベース接続の詳細を設定します。)

ハイブリッドデータセキュリティ展開モデル

クラスタに持つことができるノードの最小数は 2 です。私たちは少なくとも3つをお勧めします、そしてあなたは最大5つを持つことができます。複数のノードを持つことにより、ノードのソフトウェアアップグレードやその他のメンテナンスアクティビティ中にサービスが中断されないようにします。(Webex クラウドは一度に 1 つのノードのみをアップグレードします。)

クラスタ内のすべてのノードが同じキーデータストアにアクセスし、同じ syslog サーバにアクティビティをログします。ノード自体はステートレスであり、クラウドが指示するように、ラウンドロビン方式で重要な要求を処理します。

組織ごとに 1 つのクラスタのみをサポートします。

ハイブリッドデータセキュリティトライアルモード

トライアル中に展開を続行せず、サービスを無効にすると、パイロットユーザーとトライアル期間中に新しいスペースを作成して対話したユーザーは、メッセージとコンテンツへのアクセス権を失います。Webex アプリに「このメッセージは復号化できません」と表示されます。

導入がトライアルユーザーに対してうまく機能しており、ハイブリッドデータセキュリティをすべてのユーザーに拡張する準備ができている場合は、導入を本番環境に移行します。パイロットのユーザーは、トライアル中に使用されたキーにアクセスできます。ただし、プロダクションモードと元のトライアルを行ったり来たりすることはできません。ディザスタリカバリを実行するなど、サービスを非アクティブ化する必要がある場合は、再アクティブ化時に新しいトライアルを開始し、新しいトライアルのパイロットユーザーのセットを設定してから、本番モードに戻す必要があります。ユーザがこの時点でデータへのアクセスを保持するかどうかは、クラスタ内のハイブリッドデータセキュリティノードのキーデータストアと ISO 構成ファイルのバックアップを正常に維持したかどうかに依存します。

災害復旧のためのスタンバイデータセンター

フェールオーバーの前に、データセンター A はアクティブな HDS ノードとプライマリ PostgreSQL または Microsoft SQL Server データベースを持ち、B は追加の構成、組織に登録されている仮想マシン、スタンバイデータベースを持つ ISO ファイルのコピーを持っています。フェールオーバー後、データセンターBはアクティブなHDSノードとプライマリデータベースを持ち、Aは未登録の仮想マシンとISOファイルのコピーを持ち、データベースはスタンバイモードになっています。 — ***スタンバイデータセンターへの手動フェールオーバー***

アクティブデータセンターとスタンバイデータセンターのデータベースが相互に同期されているため、フェールオーバーを実行するのにかかる時間が最小限に抑えられます。スタンバイデータセンターの ISO ファイルは追加の構成で更新され、ノードが組織に登録されていることを確認しますが、トラフィックを処理しません。したがって、スタンバイデータセンターのノードは、常に最新バージョンのHDSソフトウェアで最新の状態に保たれます。

アクティブなハイブリッドデータセキュリティノードは、常にアクティブなデータベースサーバと同じデータセンターにある必要があります。

災害復旧のためのスタンバイデータセンターを設定

スタンバイデータセンターの ISO ファイルを設定するには、以下の手順に従います。

スケジューリングを始める前に

スタンバイデータセンターは、VMとバックアップPostgreSQLまたはMicrosoft SQL Serverデータベースの生産環境をミラーリングする必要があります。たとえば、本番環境に HDS ノードを実行する 3 つの仮想マシンがある場合、バックアップ環境には 3 つの VM が必要です。（このフェールオーバーモデルの概要については、Standby Data Center for Disaster Recovery を参照してください）。
アクティブクラスタノードとパッシブクラスタノードのデータベース間でデータベース同期が有効になっていることを確認します。

HDS セットアップツールを起動し、「HDS ホストの設定 ISO を作成する」の手順に従います。

ISO ファイルは、次の構成更新を行うプライマリデータセンターの原本 ISO ファイルのコピーである必要があります。

Syslogdサーバーを設定したら、［詳細設定］をクリックします。

 パッシブモード: 'true'（真実）

構成プロセスを完了し、見つけやすい場所にISOファイルを保存します。

ローカルシステム上のISOファイルのバックアップコピーを作成します。バックアップコピーを安全に保管します。このファイルには、データベースコンテンツのマスター暗号化キーが含まれています。構成を変更する必要があるハイブリッドデータセキュリティ管理者のみへのアクセスを制限します。

VMware vSphere クライアントの左側のナビゲーションペインで、仮想マシンを右クリックし、[設定の編集] をクリックします。

[設定の編集] > [CD/DVDドライブ1 ] をクリックし、[データストアISOファイル] を選択します。

ノードを開始した後で、更新された設定変更が有効になるように、「接続」および「電源投入時に接続」がオンになっていることを確認します。

HDS ノードの電源を入れ、少なくとも 15 分間アラームがないことを確認します。

スタンバイデータセンター内のすべてのノードに対してプロセスを繰り返します。

Syslogs をチェックして、ノードがパッシブモードになっていることを確認します。Syslogsで「パッシブモードで設定されたKMS」というメッセージを表示できるはずです。

次に行うこと

ISOファイルでpassiveMode を設定して保存した後、passiveMode 設定せずにISOファイルの別のコピーを作成し、安全な場所に保存することができます。passiveMode が設定されていないISOファイルのこのコピーは、ディザスタ・リカバリ中の迅速なフェールオーバー・プロセスに役立ちます。詳細なフェールオーバー手順については、「スタンバイデータセンターを使用したディザスタリカバリ」を参照してください。

プロキシサポート

ハイブリッドデータセキュリティノードは、以下のプロキシオプションをサポートしています。

プロキシなし:プロキシを統合するためにHDSノード設定のTrust Store & Proxy設定を使用しない場合のデフォルト値。証明書の更新は必要ありません。
透過型非検査プロキシ—ノードは特定のプロキシサーバーアドレスを使用するように設定されていません。非検査プロキシで動作するように変更を加える必要はありません。証明書の更新は必要ありません。
透明なトンネリングまたはプロキシの検査:ノードは特定のプロキシサーバーアドレスを使用するように設定されていません。ノードでは、HTTP または HTTPS の設定変更は必要ありません。ただし、ノードはプロキシを信頼するためにルート証明書を必要とします。プロキシを検査することで、Web サイトにアクセスするか、どのタイプのコンテンツを使用するかを強制するポリシーを施行することができます。このタイプのプロキシは、すべてのトラフィック (HTTPS さえも含む) を復号化します。
明示的プロキシ—明示的プロキシを使用すると、使用するプロキシサーバと認証スキームを HDS ノードに伝えます。明示的なプロキシを設定するには、各ノードに次の情報を入力する必要があります。
1. プロキシ IP/FQDN:プロキシマシンに到達するために使用できるアドレス。
2. プロキシポート:プロキシがプロキシされたトラフィックをリッスンするために使用するポート番号。
3. プロキシプロトコル—プロキシサーバーがサポートしているプロトコルに応じて、次のプロトコルのいずれかを選択します。
  - HTTP—クライアントが送信するすべての要求を表示し、コントロールします。
  - HTTPS—サーバーにチャネルを提供します。クライアントがサーバーの証明書を受け取り、検証します。
4. 認証タイプ:次の認証タイプから選択します。
  - なし:追加の認証は必要ありません。
    
    プロキシプロトコルとして HTTP または HTTPS のいずれかを選択した場合に利用できます。
  - Basic:HTTPユーザーエージェントがリクエストを行う際にユーザー名とパスワードを提供するために使用されます。Base64 エンコードを使用します。
    
    プロキシプロトコルとして HTTP または HTTPS のいずれかを選択した場合に利用できます。
    
    各ノードにユーザー名とパスワードを入力する必要があります。
  - ダイジェスト:機密情報を送信する前にアカウントを確認するために使用されます。ネットワークを経由して送信する前に、ユーザー名およびパスワードにハッシュ機能を適用します。
    
    プロキシプロトコルとして HTTPS を選択した場合にのみ利用できます。
    
    各ノードにユーザー名とパスワードを入力する必要があります。

ハイブリッドデータセキュリティノードとプロキシの例

外部 DNS 解決ブロックモード (明示的プロキシ構成)

環境の準備

ハイブリッドデータセキュリティの要件

Cisco Webex ライセンス要件

ハイブリッドデータセキュリティを展開するには:

Cisco Webex Control Hub 用の Pro Pack が必要です。(https://www.cisco.com/go/pro-packを参照。)

Docker デスクトップの要件

HDS ノードをインストールする前に、セットアッププログラムを実行するには Docker Desktop が必要です。Dockerは最近、ライセンスモデルを更新しました。組織は Docker デスクトップの有料サブスクリプションを必要とする場合があります。詳細については、Docker ブログ投稿「 Docker は更新および製品サブスクリプションを拡張しています」を参照してください。

X.509 証明書の要件

証明書チェーンは、次の要件を満たしている必要があります。

表 1. ハイブリッドデータセキュリティ展開の X.509 証明書要件
要件	の詳細
信頼できる認証局 (CA) によって署名された	デフォルトでは、https://wiki.mozilla.org/CA:IncludedCAsのMozillaリスト(WoSignとStartComを除く)のCAを信頼しています。
ハイブリッドデータセキュリティ展開を識別する共通名 (CN) ドメイン名を持つワイルドカード証明書ではありません	CN に到達可能またはライブホストである必要はありません。`hds.company.com`など、組織を反映する名前を使用することをお勧めします。 CN には * (ワイルドカード) を含めることはできません。 CN は、Webex アプリクライアントへのハイブリッドデータセキュリティノードを確認するために使用されます。クラスタ内のすべてのハイブリッドデータセキュリティノードが同じ証明書を使用します。KMS は、x.509v3 SAN フィールドで定義されているドメインではなく、CN ドメインを使用して自身を識別します。この証明書でノードを登録すると、CN ドメイン名の変更はサポートされません。トライアル展開と本番展開の両方に適用できるドメインを選択します。
非SHA1署名	KMS ソフトウェアは、他の組織の KMS への接続を検証するための SHA1 署名をサポートしていません。
パスワードで保護されたPKCS #12ファイルとしてフォーマット `kms-private-key` という親しみやすい名前を使用して、アップロードする証明書、秘密鍵、および中間証明書にタグを付けます。	OpenSSL などのコンバータを使用して、証明書の形式を変更できます。 HDSセットアップツールを実行するときは、パスワードを入力する必要があります。

仮想ホストの要件

クラスタ内のハイブリッドデータセキュリティノードとして設定する仮想ホストには、次の要件があります。

同じセキュアデータセンターでコロケーションされた少なくとも 2 つの別のホスト (3 推奨)
VMware ESXi 6.5 (またはそれ以降) がインストールされ、実行されています。

以前のバージョンの ESXi がある場合は、アップグレードする必要があります。
最低4vCPU、8GBメインメモリ、サーバーあたり30GBのローカルハードディスク容量

データベースサーバーの要件

キーストレージ用の新しいデータベースを作成します。デフォルトのデータベースを使用しないでください。HDS アプリケーションをインストールすると、データベーススキーマが作成されます。

データベースサーバーには2つのオプションがあります。各要件は以下のとおりです。

表 2. データベースの種類別のデータベースサーバー要件

PostgreSQLについて

Microsoft SQL Server（マイクロソフト SQL サーバー）

PostgreSQL 14、15、または 16 がインストールされ、実行されています。

SQL Server 2016、2017、または 2019（Enterprise または Standard）がインストールされています。

SQL Server 2016 では、Service Pack 2 および Cumulative Update 2 以降が必要です。

最小8 vCPU、16 GBのメインメモリ、十分なハードディスク容量、および超過しないように監視します（ストレージを増やす必要なく、データベースを長時間実行する場合は2 TBを推奨）。

HDS ソフトウェアは現在、データベースサーバとの通信用に次のドライババージョンをインストールしています。

PostgreSQLについて

Microsoft SQL Server（マイクロソフト SQL サーバー）

Postgres JDBCドライバ 42.2.5

SQL Server JDBC ドライバ 4.6

このドライババージョンは、SQL Server Always On（Always On Failover Cluster Instances およびAlways On availability groups）をサポートしています。

Microsoft SQL Server に対する Windows 認証の追加要件

HDS ノードが Windows 認証を使用して Microsoft SQL Server のキーストアデータベースにアクセスできるようにするには、環境内で次の設定が必要です。

HDS ノード、Active Directory インフラストラクチャ、MS SQL Server はすべて NTP と同期する必要があります。
HDS ノードに提供する Windows アカウントは、データベースへの読み取り/書き込みアクセス権を持っている必要があります。
HDS ノードに提供する DNS サーバは、キー配布センター (KDC) を解決できる必要があります。
Microsoft SQL Server に HDS データベースインスタンスをサービスプリンシパル名 (SPN) として Active Directory に登録できます。詳細は、Kerberos Connections のサービスプリンシパル名を登録するを参照してください。

HDS セットアップツール、HDS ランチャー、およびローカル KMS はすべて、キーストアデータベースにアクセスするために Windows 認証を使用する必要があります。Kerberos 認証でアクセスを要求するときに、ISO 設定の詳細を使用して SPN を構築します。

外部接続の要件

HDS アプリケーションに次の接続を許可するようにファイアウォールを設定します。

アプリケーション	プロトコル	ポート	アプリからの方向	移動先
ハイブリッドデータセキュリティノード	TCP	443	アウトバウンド HTTPS および WSS	Webex サーバー: .wbx2.com .ciscospark.com すべての Common Identity ホストハイブリッドデータセキュリティ用にリストされているその他の URL は、「Webex ハイブリッドサービスの追加 URL 」の「Webex サービスのネットワーク要件」の表にあります。
HDS 設定ツール	TCP	443	アウトバウンド HTTPS	*.wbx2.com すべての Common Identity ホスト hub.docker.com

Common Identity (CI) ホストの URL は地域固有です。これらは現在の CI ホストです。

地域	共通 ID ホスト URL
Americas (北米、中南米エリア)	https://idbroker.webex.com https://identity.webex.com https://idbroker-b-us.webex.com https://identity-b-us.webex.com
欧州連合	https://idbroker-eu.webex.com https://identity-eu.webex.com
カナダ	https://idbroker-ca.webex.com https://identity-ca.webex.com

プロキシサーバーの要件

お使いのハイブリッドデータセキュリティノードと統合できる次のプロキシソリューションを正式にサポートしています。

透過的プロキシ—Cisco Web Security Appliance (WSA)。

明示的プロキシ—Squid。

HTTPS トラフィックを検査する Squid プロキシは、websocket (wss:) 接続の確立を妨げる可能性があります。この問題を回避するには、「ハイブリッドデータセキュリティ用の Squid プロキシの設定」を参照してください。

明示的プロキシに対して次の認証タイプの組み合わせがサポートされています。
- HTTP または HTTPS による認証がありません
- HTTP または HTTPS による基本認証
- HTTPS のみによるダイジェスト認証
透過的検査プロキシまたは HTTPS 明示的プロキシについては、プロキシのルート証明書のコピーが必要です。このガイドに記載されている展開手順は、ハイブリッドデータセキュリティノードの信頼ストアにコピーをアップロードする方法を説明しています。
HDS ノードをホストするネットワークは、ポート 443 のアウトバウンド TCP トラフィックを強制的にプロキシ経由でルーティングするように設定されている必要があります。
Web トラフィックを検査するプロキシは、Web ソケット接続に干渉する場合があります。この問題が発生した場合、wbx2.com および ciscospark.com へのトラフィックをバイパスする (検査しない) ことで問題を解決します。

ハイブリッドデータセキュリティの前提条件を完了する

このチェックリストを使用して、ハイブリッドデータセキュリティクラスタをインストールして設定する準備ができていることを確認します。

HDS 展開のドメイン名（例:hds.company.com）を選択し、X.509 証明書、秘密キー、および中間証明書を含む証明書チェーンを取得します。証明書チェーンは、X.509 証明書の要件の要件を満たす必要があります。

データベースサーバーの要件に従って、クラスタのキーデータストアとして機能するデータベースサーバーを準備します。データベースサーバは、仮想ホストとセキュアデータセンターでコロケーションする必要があります。

キーストレージ用のデータベースを作成します。(このデータベースを作成する必要があります。デフォルトのデータベースを使用しないでください。HDS アプリケーションをインストールすると、データベーススキーマが作成されます。
ノードがデータベースサーバと通信するために使用する詳細を収集します。
- ホスト名または IP アドレス (ホスト) とポート
- キーストレージのデータベース名（dbname）
- キーストレージデータベース上のすべての権限を持つユーザーのユーザー名とパスワード

Webex アプリクライアントはキーをキャッシュするため、停止がすぐに目立つことはありませんが、時間の経過とともに明らかになります。一時的な停止を防ぐことは不可能ですが、それらは回復可能です。ただし、データベースまたは構成ISOファイルの完全な損失(利用可能なバックアップはありません)は、回復不能な顧客データになります。ハイブリッドデータセキュリティノードのオペレータは、データベースと構成 ISO ファイルの頻繁なバックアップを維持し、壊滅的な障害が発生した場合にハイブリッドデータセキュリティデータセンターを再構築する準備をする必要があります。

http://127.0.0.1:8080.からアクセスできるWebブラウザを使用して、サポートされているOS(Microsoft Windows 10 ProfessionalまたはEnterprise 64ビット、またはMac OSX Yosemite 10.10.3以上)を実行しているローカルマシンにDocker(https://www.docker.com)をインストールします。

Docker インスタンスを使用して、すべてのハイブリッドデータセキュリティノードのローカル設定情報を構築する HDS セットアップツールをダウンロードして実行します。組織に Docker Desktop ライセンスが必要になる場合があります。詳細については、「Docker デスクトップの要件」を参照してください。

HDSセットアップツールをインストールして実行するには、ローカルマシンに外部接続要件に記載されている接続性が必要です。

プロキシとハイブリッドデータセキュリティを統合する場合は、プロキシサーバーの要件を満たしていることを確認してください。

組織でディレクトリ同期を使用している場合は、HdsTrialGroupというActive Directoryにグループを作成し、パイロットユーザーを追加します。トライアルグループには最大 250 人のユーザーが参加できます。組織のトライアルを開始する前に、HdsTrialGroup オブジェクトをクラウドに同期する必要があります。グループオブジェクトを同期するには、Directory Connector の [設定 ] > [オブジェクトの選択 ] メニューでグループオブジェクトを選択します。（詳細については、「Cisco Directory Connector 展開ガイド」を参照してください）。

ハイブリッドデータセキュリティクラスタのセットアップ

Hybrid Data Security Deployment Task Flow

スケジューリングを始める前に

Download Installation Files

Download the OVA file to your local machine for later use.

Create a Configuration ISO for the HDS Hosts

Use the HDS Setup Tool to create an ISO configuration file for the Hybrid Data Security nodes.

Install the HDS Host OVA

Create a virtual machine from the OVA file and perform initial configuration, such as network settings.

The option to configure network settings during OVA deployment has been tested with ESXi 6.5. The option may not be available in earlier versions.

Set up the Hybrid Data Security VM

Sign in to the VM console and set the sign-in credentials. Configure the network settings for the node if you didn't configure them at the time of OVA deployment.

Upload and Mount the HDS Configuration ISO

Configure the VM from the ISO configuration file that you created with the HDS Setup Tool.

Create and Register More Nodes

If the network environment requires proxy configuration, specify the type of proxy that you will use for the node, and add the proxy certificate to the trust store if needed.

Complete the cluster setup.

Run a Trial and Move to Production (next chapter)

Until you start a trial, your nodes generate an alarm indicating that your service is not yet activated.

Download Installation Files

In this task, you download an OVA file to your machine (not to the servers you set up as Hybrid Data Security nodes). You use this file later in the installation process.

In the Hybrid Services section, find the Hybrid Data Security card, and then click Set up.

If the card is disabled or you don’t see it, contact your account team or your partner organization. Give them your account number and ask to enable your organization for Hybrid Data Security. To find the account number, click the gear at the top right, next to your organization name.

You can also download the OVA at any time from the Help section on the Settings page. On the Hybrid Data Security card, click Edit settings to open the page. Then, click Download Hybrid Data Security software in the Help section.

Older versions of the software package (OVA) will not be compatible with the latest Hybrid Data Security upgrades. This can result in issues while upgrading the application. Make sure you download the latest version of the OVA file.

Select No to indicate that you haven’t set up the node yet, and then click Next.

The OVA file automatically begins to download. Save the file to a location on your machine.

Optionally, click Open Deployment Guide to check if there’s a later version of this guide available.

Create a Configuration ISO for the HDS Hosts

The Hybrid Data Security setup process creates an ISO file. You then use the ISO to configure your Hybrid Data Security host.

始める前に

If the HDS Setup tool runs behind a proxy in your environment, provide the proxy settings (server, port, credentials) through Docker environment variables when bringing up the Docker container in step 5. この表ではいくつかの可能な環境変数を示します。

説明	変数
認証なしの HTTP プロキシ	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
認証なしの HTTPS プロキシ	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
認証ありの HTTP プロキシ	`GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
認証ありの HTTPS プロキシ	`GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

The configuration ISO file that you generate contains the master key encrypting the PostgreSQL or Microsoft SQL Server database. You need the latest copy of this file anytime you make configuration changes, like these:
- Database credentials
- Certificate updates
- Changes to authorization policy
If you plan to encrypt database connections, set up your PostgreSQL or SQL Server deployment for TLS.

マシンのコマンドラインで、お使い環境に適切なコマンドを入力します。

一般環境:

docker rmi ciscocitg/hds-setup:stable

FedRAMP 環境の場合:

docker rmi ciscocitg/hds-setup-fedramp:stable

Docker 画像レジストリにサインインするには、以下を入力します。

docker login -u hdscustomersro

パスワードのプロンプトに対して、このハッシュを入力します。

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

お使い環境に合った最新の安定した画像をダウンロードします。

一般環境:

docker pull ciscocitg/hds-setup:stable

FedRAMP 環境の場合:

docker pull ciscocitg/hds-setup-fedramp:stable

プルが完了したら、お使いの環境に適切なコマンドを入力します。

プロキシなしの通常の環境の場合:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

HTTP プロキシがある通常の環境の場合、

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

In regular environments with an HTTPS proxy:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

プロキシなしの FedRAMP 環境の場合:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

HTTP プロキシがある FedRAMP 環境の場合:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

HTTPS プロキシがある FedRAMP 環境の場合:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

コンテナが実行中の時。「ポート 8080 で Express サーバーリスニング中」と表示されます。

The Setup tool does not support connecting to localhost through http://localhost:8080. Use http://127.0.0.1:8080 to connect to localhost.

Use a web browser to go to the localhost, http://127.0.0.1:8080, and enter customer admin username for Control Hub at the prompt.

The tool uses this first entry of the username to set the proper environment for that account. The tool then displays the standard sign-in prompt.

When prompted, enter your Control Hub customer admin sign-in credentials, and then click Log in to allow access to the required services for Hybrid Data Security.

On the Setup Tool overview page, click Get Started.

On the ISO Import page, you have these options:

No—If you’re creating your first HDS node, you don't have an ISO file to upload.
Yes—If you already created HDS nodes, then you select your ISO file in the browse and upload it.

Check that your X.509 certificate meets the requirements in X.509 Certificate Requirements.

If you never uploaded a certificate before, upload the X.509 certificate, enter the password, and click Continue.
If your certificate is OK, click Continue.
If your certificate has expired or you want to replace it, select No for Continue using HDS certificate chain and private key from previous ISO?. Upload a new X.509 certificate, enter the password, and click Continue.

Enter the database address and account for HDS to access your key datastore:

Select your Database Type (PostgreSQL or Microsoft SQL Server).

If you choose Microsoft SQL Server, you get an Authentication Type field.
(Microsoft SQL Server only) Select your Authentication Type:
- Basic Authentication: You need a local SQL Server account name in the Username field.
- Windows Authentication: You need a Windows account in the format username@DOMAIN in the Username field.
Enter the database server address in the form <hostname>:<port> or <IP-address>:<port>.

例:
dbhost.example.org:1433 or 198.51.100.17:1433

You can use an IP address for basic authentication, if the nodes can't use DNS to resolve the hostname.

If you are using Windows authentication, you must enter a Fully Qualified Domain Name in the format dbhost.example.org:1433
Enter the Database Name.
Enter the Username and Password of a user with all privileges on the key storage database.

Select a TLS Database Connection Mode:

モード

説明

Prefer TLS (default option)

HDS ノードは、データベースサーバに接続するために TLS を必要としませんIf you enable TLS on the database server, the nodes attempt an encrypted connection.

TLS を要求する

データベースサーバが TLS をネゴシエートできる場合に限り、HDS ノードは接続されます。

TLS を要求し、証明書の署名者を確認する

This mode isn’t applicable for SQL Server databases.

データベースサーバが TLS をネゴシエートできる場合に限り、HDS ノードは接続されます。
After establishing a TLS connection, the node compares the signer of the certificate from the database server to the certificate authority in the Database root certificate. 一致しない場合、ノードにより接続が切断されます。

ドロップダウンの下にあるデータベースルート証明書コントロールを使用して、このオプションのルート証明書をアップロードしてください。

TLS を要求し、証明書の署名者およびホスト名を確認する

データベースサーバが TLS をネゴシエートできる場合に限り、HDS ノードは接続されます。
After establishing a TLS connection, the node compares the signer of the certificate from the database server to the certificate authority in the Database root certificate. 一致しない場合、ノードにより接続が切断されます。
The nodes also verify that the hostname in the server certificate matches the hostname in the Database host and port field. 名前は正確に一致する必要があります。または、ノードが接続を切断します。

ドロップダウンの下にあるデータベースルート証明書コントロールを使用して、このオプションのルート証明書をアップロードしてください。

When you upload the root certificate (if necessary) and click Continue, the HDS Setup Tool tests the TLS connection to the database server. また、必要に応じて、証明書の署名者とホスト名も検証されます。テストが失敗した場合、問題を説明するエラーメッセージがツールによって表示されます。エラーを無視してセットアップを続行するかどうかを選択できます。(Because of connectivity differences, the HDS nodes might be able to establish the TLS connection even if the HDS Setup Tool machine can't successfully test it.)

On the System Logs page, configure your Syslogd server:

Enter the syslog server URL.

If the server isn’t DNS-resolvable from the nodes for your HDS cluster, use an IP address in the URL.

例:
udp://10.92.43.23:514 indicates logging to Syslogd host 10.92.43.23 on UDP port 514.
If you set up your server to use TLS encryption, check Is your syslog server configured for SSL encryption?.

If you check this check box, make sure you enter a TCP URL such as tcp://10.92.43.23:514.
From the Choose syslog record termination drop-down, choose the appropriate setting for your ISO file: Choose or Newline is used for Graylog and Rsyslog TCP
- Null byte -- \x00
- Newline -- \n—Select this choice for Graylog and Rsyslog TCP.
[続行] をクリックします。

(Optional) You can change the default value for some database connection parameters in Advanced Settings. Generally, this parameter is the only one that you might want to change:

app_datasource_connection_pool_maxサイズ: 10

Click Continue on the Reset Service Accounts Password screen.

Service account passwords have a nine-month lifespan. Use this screen when your passwords are nearing expiry or you want to reset them to invalidate previous ISO files.

Click Download ISO File. Save the file in a location that's easy to find.

Make a backup copy of the ISO file on your local system.

Keep the backup copy secure. This file contains a master encryption key for the database contents. Restrict access to only those Hybrid Data Security administrators who should make configuration changes.

セットアップツールをシャットダウンするには、CTRL+C と入力します。

次に行うこと

Back up the configuration ISO file. You need it to create more nodes for recovery, or to make configuration changes. If you lose all copies of the ISO file, you've also lost the master key. Recovering the keys from your PostgreSQL or Microsoft SQL Server database isn't possible.

We never have a copy of this key and can't help if you lose it.

Install the HDS Host OVA

Use this procedure to create a virtual machine from the OVA file.

Use the VMware vSphere client on your computer to log into the ESXi virtual host.

ファイル > OVF テンプレートを展開を選択します。

In the wizard, specify the location of the OVA file that you downloaded earlier, and then click Next.

On the Select a name and folder page, enter a Virtual machine name for the node (for example, "HDS_Node_1"), choose a location where the virtual machine node deployment can reside, and then click Next.

On the Select a compute resource page, choose the destination compute resource, and then click Next.

A validation check runs. After it finishes, the template details appear.

Verify the template details and then click Next.

If you are asked to choose the resource configuration on the Configuration page, click 4 CPU and then click Next.

On the Select storage page, click Next to accept the default disk format and VM storage policy.

On the Select networks page, choose the network option from the list of entries to provide the desired connectivity to the VM.

On the Customize template page, configure the following network settings:

Hostname—Enter the FQDN (hostname and domain) or a single word hostname for the node.

You do not need to set the domain to match the domain that you used to obtain the X.509 certificate.
To ensure a successful registration to the cloud, use only lowercase characters in the FQDN or hostname that you set for the node. 現時点では大文字化のサポートはありません。
FQDNのトータルの長さは64文字を超えてはいけません。

IP Address— Enter the IP address for the internal interface of the node.

Your node should have an internal IP address and DNS name. DHCP is not supported.
Mask—Enter the subnet mask address in dot-decimal notation. For example, 255.255.255.0.
Gateway—Enter the gateway IP address. A gateway is a network node that serves as an access point to another network.
DNS Servers—Enter a comma-separated list of DNS servers, which handle translating domain names to numeric IP addresses. (Up to 4 DNS entries are allowed.)
NTP Servers—Enter your organization's NTP server or another external NTP server that can be used in your organization. The default NTP servers may not work for all enterprises. You can also use a comma-separated list to enter multiple NTP servers.

Deploy all the nodes on the same subnet or VLAN, so that all nodes in a cluster are reachable from clients in your network for administrative purposes.

If preferred, you can skip the network setting configuration and follow the steps in Set up the Hybrid Data Security VM to configure the settings from the node console.

The option to configure network settings during OVA deployment has been tested with ESXi 6.5. The option may not be available in earlier versions.

Right-click the node VM, and then choose Power > Power On.

The Hybrid Data Security software is installed as a guest on the VM Host. You are now ready to sign in to the console and configure the node.

トラブルシューティングのヒント

Set up the Hybrid Data Security VM

Use this procedure to sign in to the Hybrid Data Security node VM console for the first time and set the sign-in credentials. You can also use the console to configure the network settings for the node if you didn't configure them at the time of OVA deployment.

1	In the VMware vSphere client, select your Hybrid Data Security node VM and select the Console tab. The VM boots up and a login prompt appears. ログインプロンプトが表示されない場合は、入力を押してください。
2	Use the following default login and password to sign in and change the credentials: ログイン:`管理者` パスワード:`cisco` Since you are signing in to your VM for the first time, you are required to change the administrator password.
3	If you already configured the network settings in Install the HDS Host OVA, skip the rest of this procedure. Otherwise, in the main menu, select the Edit Configuration option.
4	Set up a static configuration with IP address, Mask, Gateway and DNS information. Your node should have an internal IP address and DNS name. DHCP is not supported.
5	(Optional) Change the hostname, domain or NTP server(s), if needed to match your network policy. You do not need to set the domain to match the domain that you used to obtain the X.509 certificate.
6	Save the network configuration and reboot the VM so that the changes take effect.

Upload and Mount the HDS Configuration ISO

Use this procedure to configure the virtual machine from the ISO file that you created with the HDS Setup Tool.

スケジューリングを始める前に

Because the ISO file holds the master key, it should only be exposed on a "need to know" basis, for access by the Hybrid Data Security VMs and any administrators who might need to make changes. Make sure that only those administrators can access the datastore.

Upload the ISO file from your computer:

In the VMware vSphere client's left navigation pane, click on the ESXi server.
On the Configuration tab's Hardware list, click Storage.
In the Datastores list, right-click on the datastore for your VMs and click Browse Datastore.
Click on the Upload Files icon, and then click Upload File.
Browse to the location where you downloaded the ISO file on your computer and click Open.
Click Yes to accept the upload/download operation warning, and close the datastore dialog.

Mount the ISO file:

VMware vSphere クライアントの左ナビゲーションペインで、ESXi サーバーを右クリックし、[設定の編集] をクリックします。
Click OK to accept the restricted edit options warning.
Click CD/DVD Drive 1, select the option to mount from a datastore ISO file, and browse to the location where you uploaded the configuration ISO file.
Check Connected and Connect at power on.
Save your changes and reboot the virtual machine.

次に行うこと

If your IT policy requires, you can optionally unmount the ISO file after all your nodes pick up the configuration changes. See (Optional) Unmount ISO After HDS Configuration for details.

プロキシ統合のために HDS ノードを設定する

スケジューリングを始める前に

See Proxy Support for an overview of the supported proxy options.
プロキシサーバーの要件

1	HDS ノードセットアップ URL `https://[HDS Node IP or FQDN]/setup` を入力して、ノードに対して設定した管理者資格情報を入力し、[サインイン] をクリックします。
2	[信頼ストアとロキシ] に移動して、次のオプションを選択します。 No Proxy—The default option before you integrate a proxy. 証明書の更新は必要ありません。 Transparent Non-Inspecting Proxy—Nodes are not configured to use a specific proxy server address and should not require any changes to work with a non-inspecting proxy. 証明書の更新は必要ありません。 Transparent Inspecting Proxy—Nodes are not configured to use a specific proxy server address. ハイブリッドデータセキュリティの展開では HTTPS 構成の変更は必要ありませんが、HDS ノードはプロキシを信頼できるようにするためにルート証明書を必要とします。プロキシを検査することで、Web サイトにアクセスするか、どのタイプのコンテンツを使用するかを強制するポリシーを施行することができます。このタイプのプロキシは、すべてのトラフィック (HTTPS さえも含む) を復号化します。 Explicit Proxy—With explicit proxy, you tell the client (HDS nodes) which proxy server to use, and this option supports several authentication types. このオプションを選択した後、次の情報を入力する必要があります。 Proxy IP/FQDN—Address that can be used to reach the proxy machine. Proxy Port—A port number that the proxy uses to listen for proxied traffic. Proxy Protocol—Choose http (views and controls all requests that are received from the client) or https (provides a channel to the server and the client receives and validates the server's certificate). プロキシサーバーがサポートするオプションを選択します。 Authentication Type—Choose from among the following authentication types: None—No further authentication is required. HTTP または HTTPS プロキシで利用できます。 Basic—Used for an HTTP User Agent to provide a user name and password when making a request. Base64 エンコードを使用します。 HTTP または HTTPS プロキシで利用できます。このオプションを選択した場合は、ユーザー名とパスワードも入力する必要があります。 Digest—Used to confirm the account before sending sensitive information. ネットワークを経由して送信する前に、ユーザー名およびパスワードにハッシュ機能を適用します。 HTTPS プロキシに対してのみ利用できます。このオプションを選択した場合は、ユーザー名とパスワードも入力する必要があります。透過型検査プロキシ、基本認証を持つ HTTP 明示プロキシ、または HTTPS 明示プロキシについては、次のステップに従ってください。
3	[ルート証明書またはエンティティ終了証明書のアップロード] をクリックし、プロキシのルート証明書を選択するために移動します。証明書はアップロードされていますが、まだインストールされていません。証明書をインストールするにはノードを再起動する必要があります。証明書発行者名の山形矢印をクリックして詳細を確認するか、間違っている場合は [削除] をクリックして、ファイルを再度アップロードしてください。
4	[プロキシ接続を確認する] をクリックして、ノードとプロキシ間のネットワーク接続性をテストします。接続テストが失敗した場合は、エラーメッセージが表示され、問題を解決するための理由と方法が示されます。外部 DNS の解決が正常に行われなかったという内容のメッセージが表示された場合、ノードが DNS サーバーに到達できなかったことを示しています。この状況は、多くの明示的なプロキシ構成で想定されています。セットアップを続行すると、ノードは外部 DNS 解決ブロックモードで機能します。If you think this is an error, complete these steps, and then see Turn off Blocked External DNS Resolution Mode.
5	接続テストが成功した後、明示的なプロキシについては https のみに設定し、このノードからのすべてのポートの 443/444 https 要求を明示的プロキシを通してルーティングするように切り替えます。この設定を有効にするには 15 秒かかります。
6	[すべての証明書を信頼ストアにインストールする(HTTPS 明示プロキシまたは透過型のプロキシで表示される)] または [再起動] をクリックして、プロンプトを読み、準備が完了したら [インストール] をクリックします。ノードが数分以内に再起動されます。
7	ノードが再起動したら、必要に応じて再度サインインして、[概要] ページを開き、接続チェックを確認してすべて緑色のステータスになっていることを確認します。プロキシ接続の確認は webex.com のサブドメインのみをテストします。接続の問題がある場合、インストール手順に記載されているクラウドドメインの一部がプロキシでブロックされているという問題がよく見られます。

Register the First Node in the Cluster

This task takes the generic node that you created in the Set up the Hybrid Data Security VM, registers the node with the Webex cloud, and turns it into a Hybrid Data Security node.

最初のノードを登録するとき、クラスターをノードが指定されている場所に作成します。A cluster contains one or more nodes deployed to provide redundancy.

スケジューリングを始める前に

一旦ノードの登録を開始すると、60分以内に完了する必要があり、そうでなければ、再び最初からやり直しになります。
Ensure that any pop-up blockers in your browser are disabled or that you allow an exception for admin.webex.com.

1	https://admin.webex.comにサインインします。
2	スクリーンの左側にあるメニューからサービスを選択します。
3	In the Hybrid Services section, find Hybrid Data Security and click Set up. The Register Hybrid Data Security Node page appears.
4	Select Yes to indicate that you have set up the node and are ready to register it, and then click Next.
5	In the first field, enter a name for the cluster to which you want to assign your Hybrid Data Security node. クラスターのノードが地理的にどこに配置されているかに基づきクラスターに名前を付けることをお薦めします。Examples: "San Francisco" or "New York" or "Dallas"
6	In the second field, enter the internal IP address or fully qualified domain name (FQDN) of your node and click Next. This IP address or FQDN should match the IP address or hostname and domain that you used in Set up the Hybrid Data Security VM. A message appears indicating you can register your node to the Webex.
7	ノードに進むをクリックします。
8	警告メッセージの続けるをクリックします。 After a few moments, you are redirected to the node connectivity tests for Webex services. If all tests are successful, the Allow Access to Hybrid Data Security Node page appears. There, you confirm that you want to give permissions to your Webex organization to access your node.
9	Check the Allow Access to Your Hybrid Data Security Node checkbox, and then click Continue. Your account is validated and the "Registration Complete" message indicates that your node is now registered to the Webex cloud.
10	Click the link or close the tab to go back to the Control Hub Hybrid Data Security page. On the Hybrid Data Security page, the new cluster containing the node that you registered is displayed. The node will automatically download the latest software from the cloud.

Create and Register More Nodes

To add additional nodes to your cluster, you simply create additional VMs and mount the same configuration ISO file, then register the node. We recommend that you have at least 3 nodes.

At this time, the backup VMs that you created in Complete the Prerequisites for Hybrid Data Security are standby hosts which are only used in the event of disaster recovery; they are not registered with the system until then. For details, see Disaster Recovery using Standby Data Center.

スケジューリングを始める前に

一旦ノードの登録を開始すると、60分以内に完了する必要があり、そうでなければ、再び最初からやり直しになります。
Ensure that any pop-up blockers in your browser are disabled or that you allow an exception for admin.webex.com.

1	Create a new virtual machine from the OVA, repeating the steps in Install the HDS Host OVA.
2	Set up the initial configuration on the new VM, repeating the steps in Set up the Hybrid Data Security VM.
3	On the new VM, repeat the steps in Upload and Mount the HDS Configuration ISO.
4	If you are setting up a proxy for your deployment, repeat the steps in Configure the HDS Node for Proxy Integration as needed for the new node.
5	Register the node. In https://admin.webex.com, select Services from the menu on the left side of the screen. In the Hybrid Services section, find the Hybrid Data Security card and click Resources. The Hybrid Data Security Resources page appears. Click Add Resource. In the first field, select the name of your existing cluster. In the second field, enter the internal IP address or fully qualified domain name (FQDN) of your node and click Next. A message appears indicating you can register your node to the Webex cloud. ノードに進むをクリックします。 After a few moments, you are redirected to the node connectivity tests for Webex services. If all tests are successful, the Allow Access to Hybrid Data Security Node page appears. There, you confirm that you want to give permissions to your organization to access your node. Check the Allow Access to Your Hybrid Data Security Node checkbox, and then click Continue. Your account is validated and the "Registration Complete" message indicates that your node is now registered to the Webex cloud. Click the link or close the tab to go back to the Control Hub Hybrid Data Security page. Your node is registered. Note that until you start a trial, your nodes generate an alarm indicating that your service is not yet activated.

次に行うこと

Run a Trial and Move to Production (next chapter)

トライアルを実行して本番環境に移動

プロダクションタスクフローへの試行

ハイブリッドデータセキュリティクラスタを設定した後、パイロットを開始し、ユーザーを追加し、本番環境への移行に備えて展開のテストと検証に使用を開始できます。

スケジューリングを始める前に

1	必要に応じて、`HdsTrialGroup` グループオブジェクトを同期します。組織がユーザーのディレクトリ同期を使用している場合、トライアルを開始する前に、クラウドと同期するために`HdsTrialGroup` グループオブジェクトを選択する必要があります。手順については、「Cisco Directory Connector 展開ガイド」を参照してください。
2	トライアルの有効化トライアルを開始します。このタスクを実行するまで、ノードはサービスがまだアクティブ化されていないことを示すアラームを生成します。
3	ハイブリッドデータセキュリティ展開をテストする重要な要求がハイブリッドデータセキュリティ展開に渡されていることを確認します。
4	ハイブリッドデータセキュリティの健全性を監視するステータスを確認し、アラームのメール通知を設定します。
5	トライアルからユーザーを追加または削除する
6	以下のいずれかの操作を行い、治験の段階を完了します。トライアルからプロダクションへの移行本番環境に移行せずにトライアルを終了する

トライアルの有効化

スケジューリングを始める前に

組織がユーザーのディレクトリ同期を使用している場合、組織のトライアルを開始する前に、クラウドに同期するためにHdsTrialGroup グループオブジェクトを選択する必要があります。手順については、「Cisco Directory Connector 展開ガイド」を参照してください。

1	https://admin.webex.comにサインインし、「サービス」を選択します。
2	[ハイブリッドデータセキュリティ（Hybrid Data Security）] で、[設定] をクリックします。
3	[サービスステータス（Service Status）] セクションで、[トライアルの開始] をクリックします。サービスステータスがトライアルモードに変わります。
4	[ユーザーの追加 ] をクリックし、暗号化およびインデックスサービスのためにハイブリッドデータセキュリティノードを使用してパイロットする 1 人以上のユーザーのメールアドレスを入力します。（組織がディレクトリ同期を使用している場合、Active Directory を使用してトライアルグループ`HdsTrialGroup`を管理します）。

ハイブリッドデータセキュリティ展開をテストする

この手順を使用して、ハイブリッドデータセキュリティの暗号化シナリオをテストします。

スケジューリングを始める前に

ハイブリッドデータセキュリティの展開をセットアップします。
トライアルを有効にし、複数のトライアルユーザーを追加します。
キー要求がハイブリッドデータセキュリティ展開に渡されていることを確認するために、syslog にアクセスできることを確認します。

新しいスペースにメッセージを送信します。

syslog 出力をチェックして、キー要求がハイブリッドデータセキュリティ展開に渡されていることを確認します。

ユーザーが最初にKMSにセキュアなチャネルを確立しているかどうかを確認するには、kms.data.method=create とkms.data.type=EPHEMERAL_KEY_COLLECTIONでフィルタリングします。

次のようなエントリを見つける必要があります (可読性のために短縮された識別子)。

2020-07-21 17:35:34.562 (+0000) INFO KMS [pool-14-thread-1] - [KMS:REQUEST] を受信しました, deviceId:https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheキッド: kms://hds2.org5.portun.us/statickeys/3[~]0 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

KMSから既存のキーを要求するユーザーをチェックするには、kms.data.method=retrieve とkms.data.type=KEYをフィルタリングします。

などのエントリーを見つける必要があります。

2020-07-21 17:44:19.889 (+0000) INFO KMS [pool-14-thread-31] - [KMS:REQUEST] を受信しました, deviceId:https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheキッド: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

新しいKMSキーの作成を要求するユーザーをチェックするには、kms.data.method=create とkms.data.type=KEY_COLLECTIONでフィルタリングします。

などのエントリーを見つける必要があります。

2020-07-21 17:44:21.975 (+0000) INFO KMS [pool-14-thread-33] - [KMS:REQUEST] を受信しました。 deviceId:https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheキッド: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

スペースまたは他の保護リソースが作成されたときに新しいKMSリソースオブジェクト（KRO）の作成を要求するユーザーを確認するには、kms.data.method=create およびkms.data.type=RESOURCE_COLLECTIONでフィルタリングします。

などのエントリーを見つける必要があります。

2020-07-21 17:44:22.808 (+0000) INFO KMS [pool-15-thread-1] - [KMS:REQUEST] を受信しました。 deviceId:https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheキッド: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

ハイブリッドデータセキュリティの健全性を監視する

1	Control Hubで、画面左側のメニューからサービスを選択します。
2	[ハイブリッドサービス] セクションで、[ハイブリッドデータセキュリティ] を見つけて [設定] をクリックします。 [ハイブリッドデータセキュリティ設定] ページが表示されます。
3	[メール通知] セクションで、カンマで区切られた 1 つ以上のメールアドレスを入力し、[Enter] を押します。

トライアルからユーザーを追加または削除する

組織がディレクトリ同期を使用している場合は、（この手順の代わりに）Active Directory を使用してトライアルグループ HdsTrialGroupを管理します。Control Hub でグループメンバーを表示できますが、追加または削除はできません。

1	Control Hub にサインインし、[サービス] を選択します。
2	[ハイブリッドデータセキュリティ（Hybrid Data Security）] で、[設定] をクリックします。
3	[サービスステータス（Service Status）] 領域の [トライアルモード（Trial Mode）] セクションで、[ユーザーの追加（Add Users）] をクリックするか、[表示と編集 ] をクリックしてユーザーをトライアルから削除します。
4	追加する 1 人以上のユーザーのメールアドレスを入力するか、ユーザー ID の X をクリックしてユーザーをトライアルから削除します。その後、[保存] をクリックします。

トライアルからプロダクションへの移行

1	Control Hub にサインインし、[サービス] を選択します。
2	[ハイブリッドデータセキュリティ（Hybrid Data Security）] で、[設定] をクリックします。
3	[サービスステータス（Service Status）] セクションで、[本番環境に移動] をクリックします。
4	すべてのユーザーを本番環境に移行することを確認します。

本番環境に移行せずにトライアルを終了する

1	Control Hub にサインインし、[サービス] を選択します。
2	[ハイブリッドデータセキュリティ（Hybrid Data Security）] で、[設定] をクリックします。
3	「Deactivate（無効化）」セクションで「Deactivate（無効化）」をクリックします。
4	サービスを無効にしてトライアルを終了することを確認します。

HDS 展開の管理

ここで説明するタスクを使用して、ハイブリッドデータセキュリティの展開を管理します。

クラスタアップグレードスケジュールの設定

ハイブリッドデータセキュリティのソフトウェアアップグレードは、クラスタレベルで自動的に行われ、すべてのノードが常に同じソフトウェアバージョンを実行していることを保証します。アップグレードは、クラスタのアップグレードのスケジュールに従って行われます。ソフトウェアのアップグレードが可能になると、スケジュールされているアップグレードの時間の前に手動で行うことも可能になります。特定のアップグレードのスケジュールを設定するか、毎日午前 3 時 (アメリカ合衆国) に行うというデフォルトのスケジュールも利用可能です: アメリカ/ロサンゼルス必要であれば、次に予定されているアップグレードを延期することも可能です。

アップグレードスケジュールを設定するには:

1	Control Hub にサインインします。
2	[概要] ページの [ハイブリッドサービス] で、[ハイブリッドデータセキュリティ] を選択します。
3	[ハイブリッドデータセキュリティリソース] ページで、クラスタを選択します。
4	右側の [概要] パネルの [クラスタ設定] で、クラスタ名を選択します。
5	設定ページのアップグレードの下で、アップグレードのスケジュール設定を希望する時間およびタイムゾーンを選択します。注意: タイムゾーンの下に、次に可能なアップグレードの日時が表示されます。必要に応じてアップグレードを翌日に延期するには、「延期する」をクリックします。

ノードの設定を変更する

場合により、以下のような理由でハイブリッドデータセキュリティノードの構成の変更が必要な場合があります。

有効期限が切れる、または他の理由による、x.509 証明書の変更。

データベース設定を更新して、PostgreSQL または Microsoft SQL Server データベースのレプリカを変更します。

新しい構成を作成して新しいデータセンターの準備をする。

また、セキュリティ上の理由により、ハイブリッドデータセキュリティは 9 か月間使用可能なサービスアカウントパスワードを使用します。HDS セットアップツールがこれらのパスワードを生成した後で、ISO 構成ファイルの各 HDS ノードに展開します。組織のパスワードの有効期限切れが近い場合、Webex チームから「パスワード期限切れ通知」を受け取り、マシンアカウントのパスワードのリセットを求められます。(メールにはテキスト「マシンアカウント API を使用してパスワードを更新します」を含みます。) パスワードの有効期限が切れるまで時間が十分にある場合、ツールには次の 2 つのオプションがあります:

ソフトリセット:古いパスワードと新しいパスワードはともに10日間有効です。この期間を使用して、ノードの ISO ファイルを段階的に置き換えることができます。
ハードリセット:古いパスワードはすぐに使用できなくなります。

この手順を使用して、新しい構成 ISO ファイルを生成し、クラスターに適用します。

始める前に

HDS 設定ツールが環境内のプロキシの背後に実行されている場合は、1.eでDockerコンテナを起動するときに、Docker環境変数を使用してプロキシ設定（サーバ、ポート、クレデンシャル）を提供します。この表ではいくつかの可能な環境変数を示します。

説明	変数
認証なしの HTTP プロキシ	`グローバル_エージェント_HTTP_PROXY=http://SERVER_IP:PORT`
認証なしの HTTPS プロキシ	`グローバル_エージェント_HTTPS_PROXY=http://SERVER_IP:PORT`
認証ありの HTTP プロキシ	`グローバル_エージェント_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
認証ありの HTTPS プロキシ	`グローバル_エージェント_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

新しい構成を生成するには、現在の構成 ISO ファイルのコピーが必要です。ISO には PostgreSQL または Microsoft SQL Server データベースを暗号化するマスターキーを含むです。データベースの証明書、証明書の更新、認証方針への変更を含む、構成の変更を行った場合は ISO が必要です。

ローカルマシンで Docker を使用し、HDS セットアップツールを実行します。

マシンのコマンドラインで、お使い環境に適切なコマンドを入力します。

一般環境:

docker rmi ciscocitg/hds セットアップ:stable

FedRAMP 環境の場合:

docker rmi ciscocitg/hds-setup-fedramp:安定した

Docker 画像レジストリにサインインするには、以下を入力します。
```
docker ログイン -u hdscustomersro
```
パスワードのプロンプトに対して、このハッシュを入力します。
```
dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo（DP6V4KkrvpBwaQf6m6ROkvKUIo）
```

お使い環境に合った最新の安定した画像をダウンロードします。

一般環境:

docker プル ciscocitg/hds セットアップ:stable

FedRAMP 環境の場合:

docker プル ciscocitg/hds-setup-fedramp:stable

この手順に最新のセットアップツールをプルしていることを確認します。2018 年 2 月 22 日より前に作成されたツールのバージョンには、パスワードリセット画面が表示されません。

プルが完了したら、お使いの環境に適切なコマンドを入力します。

プロキシなしの通常の環境の場合:

docker run -p 8080:8080 --rm -it ciscocitg/hds セットアップ:stable

HTTP プロキシがある通常の環境の場合、

docker run -p 8080:8080 --rm -it -e グローバル_エージェント_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

HTTPS プロキシがある通常の環境の場合:

docker run -p 8080:8080 --rm -it -e グローバル_エージェント_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

プロキシなしの FedRAMP 環境の場合:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

HTTP プロキシがある FedRAMP 環境の場合:

docker run -p 8080:8080 --rm -it -e グローバル_エージェント_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

HTTPS プロキシがある FedRAMP 環境の場合:

docker run -p 8080:8080 --rm -it -e グローバル_エージェント_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

コンテナが実行中の時。「ポート 8080 で Express サーバーリスニング中」と表示されます。

ブラウザを使用して、ローカルホスト http://127.0.0.1:8080 に接続します。

Setup ツールは、http://localhost:8080 を介した localhost への接続をサポートしていません。localhost http://127.0.0.1:8080 に接続するために使用します。

プロンプトが表示されたら、Control Hub の顧客サインイン資格情報を入力し、同意する続行します。
現在の構成 ISO ファイルをインポートします。
指示に従い、ツールを完了し、更新されたファイルをダウンロードします。

セットアップツールをシャットダウンするには、CTRL+C を押します。
更新されたファイルのバックアップコピーを別のデータセンターに作成します。

1 つの HDS ノードのみを実行している場合、新しいハイブリッドデータセキュリティノード VM を作成し、新しい構成 ISO ファイルを使用して登録します。手順の詳細については、「追加のノードを作成して登録する」を参照してください。

HDS 主催者 OVA をインストールします。
HDS VM をセットアップします。
更新された構成ファイルをマウントします。
Control Hub の新しいノードを登録します。

仮想マシンをオフにします。
VMware vSphere クライアントの左ナビゲーションペインで、ESXi サーバーを右クリックし、[設定の編集] をクリックします。
[CD/DVD Drive 1] をクリックし、ISO ファイルからマウントするオプションを選択して、新規構成 ISO ファイルをダウンロードした場所を参照します。
[電源に接続する] をチェックします。
変更を保存し、仮想マシンを起動します。

ステップ 3 を繰り返し、古い構成ファイルを実行している残りの各ノードで構成を置き換えます。

外部 DNS 解決ブロックモードをオフにする

スケジューリングを始める前に

内部 DNS サーバーがパブリック DNS 名を解決でき、ノードがそれらと通信できることを確認します。

1	Web ブラウザで、ハイブリッドデータセキュリティノードインターフェイス (IP アドレス/セットアップ) を開き、https://192.0.2.0/setup), ノード用に設定した管理者資格情報を入力して、[サインイン] をクリックします。
2	[概要] (デフォルトページ) に移動します。有効になっている場合、 [外部 DNS 解決ブロック] は [はい] に設定されています。
3	[信頼ストアとプロキシ] ページに移動します。
4	[プロキシ接続を確認する] をクリックします。外部 DNS の解決が正常に行われなかったという内容のメッセージが表示された場合、ノードが DNS サーバーに到達できなかったことを示しており、このモードに留まっています。そうでない場合には、ノードを再起動して[概要] ページに戻ると、[外部 DNS 解決ブロック] は [いいえ] に設定されるはずです。

次に行うこと

ハイブリッドデータセキュリティクラスターの各ノードで、プロキシ接続テストを繰り返します。

ノードの削除

コンピュータの VMware vSphere クライアントを使用して、ESXi 仮想ホストにログインし、仮想マシンの電源を切ります。

ノードを削除します。

Control Hub にサインインし、[サービス] を選択します。
ハイブリッドデータセキュリティカードで、すべて表示 [ハイブリッドデータセキュリティリソース] ページを表示します。
クラスタを選択して [概要] パネルを表示します。
[ノードリストを開く] をクリックします。
[ノード] タブで、削除するノードを選択します。
[アクション ] > [ノードの登録解除] をクリックします。

vSphere クライアントで、仮想マシンを削除します。(左側のナビゲーションペインで、仮想マシンを右クリックし、[削除] をクリックします。)

仮想マシンを削除しない場合は、設定の ISO ファイルのマウントを解除することを忘れないでください。ISO ファイルがないと、VM を使用してセキュリティデータにアクセスすることはできません。

スタンバイデータセンターを使用したディザスタリカバリ

クラスタは、これらのキーを提供するという重要な機能を実行するため、クラスタが引き続き実行され、適切なバックアップが維持される必要があります。ハイブリッドデータセキュリティデータベースまたはスキーマに使用されている構成 ISO が失われると、顧客のコンテンツが回復不能に失われます。このような損失を防ぐには、以下の慣行が必須です。

HDS Setupツールを起動し、「HDSホストの設定ISOを作成する」の手順に従います。

Syslogdサーバーを設定したら、［詳細設定］をクリックします。

［詳細設定］ページで、以下の設定を追加するか、またはpassiveMode 設定を削除して、ノードをアクティブにします。ノードは、これが設定されるとトラフィックを処理できます。

 パッシブモード: 「偽」

構成プロセスを完了し、見つけやすい場所にISOファイルを保存します。

VMware vSphere クライアントの左側のナビゲーションペインで、仮想マシンを右クリックし、[設定の編集] をクリックします。

[設定の編集] > [CD/DVDドライブ1 ] をクリックし、[データストアISOファイル] を選択します。

ノードを開始した後で、更新された設定変更が有効になるように、「接続」および「電源投入時に接続」がオンになっていることを確認します。

HDS ノードの電源を入れ、少なくとも 15 分間アラームがないことを確認します。

スタンバイデータセンター内のすべてのノードに対してプロセスを繰り返します。

次に行うこと

（オプション）HDS設定後にISOをアンマウントする

スケジューリングを始める前に

すべての HDS ノードをバージョン 2021.01.22.4720 以降にアップグレードします。

1	1 つの HDS ノードをシャットダウンします。
2	vCenter Server Appliance で、HDS ノードを選択します。
3	［設定の編集］>［CD/DVDドライブ］の順に選択し、［データストアISOファイル］のチェックを外します。
4	HDS ノードの電源を入れ、少なくとも 20 分間アラームがないことを確認します。
5	HDS ノードごとに順番に繰り返します。

ハイブリッドデータセキュリティのトラブルシューティング

アラートとトラブルシューティングの表示

新しいスペースを作成できません (新しいキーを作成できません)
メッセージとスペースタイトルの復号に失敗する:
- 新規ユーザーがスペースに追加されました (キーを取得できません)
- 新しいクライアントを使用するスペース内の既存のユーザー (キーを取得できません)
スペース内の既存のユーザーは、クライアントが暗号化キーのキャッシュを持っている限り、正常に実行されます。

ハイブリッドデータセキュリティクラスタを適切に監視し、サービスの中断を避けるために速やかにアラートに対処することが重要です。

警告

表 1。一般的な問題とそれらを解決するためのステップ
アラート	アクション
ローカルデータべースへのアクセスに失敗しました。	データベースエラーまたはローカルネットワークの問題を確認します。
ローカルデータベース接続に失敗しました。	データベースサーバが使用可能であり、ノード設定で適切なサービスアカウントクレデンシャルが使用されていることを確認します。
クラウドサービスへのアクセスに失敗しました。	外部接続要件で指定されているように、ノードが Webex サーバーにアクセスできることを確認します。
クラウドサービス登録の更新。	クラウドサービスへの登録が削除されました。登録の更新が進行中です。
クラウドサービスの登録が削除されました。	クラウドサービスへの登録が終了しました。サービスが停止しています。
サービスはまだアクティベートされていません。	トライアルを有効にするか、トライアルを本番環境に移行します。
設定されたドメインがサーバー証明書と一致しません。	サーバー証明書が設定されたサービスアクティベーションドメインと一致していることを確認します。最も可能性の高い原因は、証明書 CN が最近変更され、初期設定で使用された CN とは異なるようになったためです。
クラウドサービスの認証に失敗しました。	サービスアカウントの資格情報の正確さと有効期限の可否を確認します。
ローカルキーストアファイルを開くことができませんでした。	ローカルキーストアファイルの整合性とパスワードの正確性を確認します。
ローカルサーバー証明書が無効です。	サーバ証明書の有効期限を確認し、信頼できる認証局によって発行されていることを確認します。
メトリクスを投稿できません。	外部クラウドサービスへのローカルネットワークアクセスを確認します。
/media/configdrive/hds ディレクトリが存在しません。	仮想ホストの ISO マウント設定を確認します。ISO ファイルが存在すること、再起動時にマウントするように設定されていること、および正常にマウントされていることを確認します。

ハイブリッドデータセキュリティのトラブルシューティング

ハイブリッドデータセキュリティの問題をトラブルシューティングする場合は、次の一般的なガイドラインを使用します。

1	アラートについては Control Hub を確認し、見つかった項目を修正します。
2	ハイブリッドデータセキュリティ展開からのアクティビティの syslog サーバー出力を確認します。
3	Cisco サポートにお問い合わせください。

その他の注意事項

ハイブリッドデータセキュリティの既知の問題

ハイブリッドデータセキュリティクラスタをシャットダウンする (Control Hub で削除するか、すべてのノードをシャットダウンする)、構成 ISO ファイルを失う、またはキーストアデータベースへのアクセスを失う場合、Webex アプリのユーザーは、KMS のキーを使用して作成された [ユーザー] リストの下のスペースを使用できなくなります。これは、トライアル展開と本番展開の両方に適用されます。現在、この問題の回避策や修正はありません。HDSサービスがアクティブなユーザーアカウントを処理したら、HDSサービスをシャットダウンしないようにしてください。
KMS への既存の ECDH 接続を持つクライアントは、その接続を一定期間 (おそらく 1 時間) 維持します。ユーザーがハイブリッドデータセキュリティトライアルのメンバーになると、ユーザーのクライアントは、タイムアウトするまで既存の ECDH 接続を引き続き使用します。代わりに、ユーザーは Webex アプリアプリにサインアウトして再度ログインして、アプリが暗号化キーの連絡先を更新できます。

同じ動作は、組織のトライアルを本番環境に移行する場合にも発生します。以前のデータセキュリティサービスへの既存の ECDH 接続を持つすべての非トライアルユーザーは、ECDH 接続が再ネゴシエートされるまで (タイムアウトまたはサインアウトして戻る)、これらのサービスを使用し続けます。

OpenSSL を使用して PKCS12 ファイルを生成する

スケジューリングを始める前に

OpenSSLは、HDSセットアップツールでロードするための適切な形式でPKCS12ファイルを作成するために使用できるツールの1つです。これを行うには他の方法があり、私たちは別の方法よりも支持または促進しません。
OpenSSLを使用することを選択した場合は、X.509証明書要件を満たすファイルを作成するのに役立つガイドラインとして、この手順を提供しています。 X.509 証明書の要件。続行する前にこれらの要件を理解してください。
サポートされている環境で OpenSSL をインストールします。ソフトウェアとドキュメントhttps://www.openssl.org を参照してください。
秘密鍵を作成します。
認証局（CA）からサーバ証明書を受け取ったら、この手順を開始します。

1	CA からサーバ証明書を受け取ったら、それを `hdsnode.pem` として保存します。
2	証明書をテキストとして表示し、詳細を確認します。 `openssl x509 -テキスト -noout -in hdsnode.pem`
3	テキストエディタを使用して、`hdsnode-bundle.pem`という証明書バンドルファイルを作成します。バンドルファイルには、次の形式で、サーバ証明書、中間の CA 証明書、ルート CA 証明書を含める必要があります。 `-----BEGIN CERTIFICATE----- ### サーバー証明書。### -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ### 中間 CA 証明書。### -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ### ルート CA 証明書。### -----END CERTIFICATE-----`
4	親しみやすい名前の.p12ファイルを`kms-private-key`で作成します。 `openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12`
5	サーバ証明書の詳細を確認してください。 `openssl pkcs12 -イン hdsnode.p12` プロンプトでパスワードを入力して、秘密キーを出力に表示するように暗号化します。次に、秘密キーと最初の証明書に friendlyName 行が含まれていることを確認し`ます。kms-private-key`。例: bash$ openssl pkcs12 -in hdsnode.p12 インポートパスワードを入力: MACが検証したOKバッグ属性friendlyName: kms-private-key local KeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 主な属性: PEM パスフレーズを入力します。検証 - PEM パスフレーズを入力します。-----BEGIN ENCRYPTED PRIVATE KEY----- -----END ENCRYPTED PRIVATE KEY----- バッグ属性 friendlyName: kms-private-key local KeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 SUBJECT=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 -----BEGIN CERTIFICATE----- -----END CERTIFICATE----- バッグ属性 friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3 -----BEGIN CERTIFICATE----- -----END CERTIFICATE-----

次に行うこと

「ハイブリッドデータセキュリティの前提条件を満たす」に戻ります。［hdsnode.p12 ］ファイルと、設定したパスワードは、［HDSホストの設定ISOの作成］で使用します。

これらのファイルを再使用して、元の証明書の有効期限が切れたときに新しい証明書を要求できます。

HDS ノードとクラウド間のトラフィック

アウトバウンドメトリック収集トラフィック

ハイブリッドデータセキュリティノードは、Webex クラウドに特定のメトリックを送信します。これには、ヒープ最大、使用されるヒープ、CPU 負荷、およびスレッド数のシステムメトリクス、同期スレッドと非同期スレッドのメトリクス、暗号化接続のしきい値、遅延、または要求キュー長を含むアラートのメトリクス、データストアのメトリクス、および暗号化接続メトリックが含まれます。ノードは、（リクエストとは別に）帯域外チャネル上で暗号化されたキーマテリアルを送信します。

着信トラフィック

ハイブリッドデータセキュリティノードは、Webex クラウドから次のタイプのインバウンドトラフィックを受信します。

暗号化サービスによってルーティングされるクライアントからの暗号化要求
ノードソフトウェアへのアップグレード

ハイブリッドデータセキュリティの Squid プロキシを設定する

Websocket は Squid プロキシを通じて接続できません

HTTPS トラフィックを検査する Squid プロキシは、ハイブリッドデータセキュリティが必要とする websocket (wss:) 接続の確立を妨げる可能性があります。これらのセクションでは、wss: トラフィックを無視するためのさまざまなバージョンの Squid の設定方法について説明しています。 これは、サービスの適切な運用のためのトラフィックです。

Squid 4 および5

on_unsupported_protocol ディレクティブを squid.conf に追加します:

on_unsupported_protocol トンネル すべて

Squid 3.5.27

以下の規則が squid.conf に追加されて、ハイブリッドデータセキュリティのテストに成功しました。これらのルールは、機能を開発し、Webex クラウドを更新する際に変更されることがあります。

acl wssMercuryConnection ssl::server_name_regex マーキュリー接続 ssl_bump スプライス wssMercuryConnection acl ステップ1 at_step SslBump1 acl ステップ2 at_step SslBump2 acl ステップ3 at_step SslBump3（SslBump3） ssl_bump ピーク ステップ1 すべて ssl_bump Stare ステップ2 すべて ssl_bump バンプ ステップ3 すべて

はじめに

新規および変更された情報

日付

変更履歴

2023年10月20日。

データベースサーバーの要件に関する情報を更新しました。
Setup Standby Data Center for Disaster Recoveryを追加しました。
Standby Data Center for Disaster RecoveryおよびStandby Data Centerを使用した災害復旧の情報を更新しました。

2023年8月7日。

インストールファイルのダウンロードにメモを追加しました。
「HDS ホスト用の設定 ISO の作成」と「ノード設定の変更」にメモを追加しました。

2023年5月23日。

アカウントチームに連絡して機能を有効にすることを要求するデータベースサーバーの要件から削除された情報。
外部接続要件の情報を更新し、カナダをCIホストテーブルに追加しました。
キーをクラウドに戻すためのメカニズムが利用できないことに関する「ハイブリッドデータセキュリティの展開に関する期待」のメモを追加しました。

2022 年 12 月 06 日

HDS セットアップツールイメージが ciscocitg dockerhub リポジトリ
更新HDSホストの設定ISOの作成およびノード設定の変更のトピックを更新し、コマンドの変更をやり直しました。

2022年11月23日。

HDS ノードは、Microsoft SQL Server に対して Windows 認証を使用できるようになりました。

データベースサーバーの要件のトピックを更新し、この認証モードの要件を追加しました。

ノードでWindows認証を設定する手順を使用して、「HDSホストの設定ISOを作成する」を更新しました。
必要最小限のバージョン（PostgreSQL 10）でデータベースサーバーの要件トピックを更新しました。

2021 年 10 月 13 日

2017 年 6 月 24 日

2021 年 4 月 30 日

ローカルハードディスクスペースの VM 要件を 30 GB に変更しました。詳細については、「仮想ホスト要件」を参照してください。

2021 年 2 月 24 日

2021 年 2 月 2 日

2021年1月11日。

HDSセットアップツールとプロキシに関する情報を追加し、HDSホストの設定ISOを作成しました。

2020/10/13

インストールファイルのダウンロードを更新しました。

2020/10/08

更新HDSホスト用の構成ISOの作成およびFedRAMP環境のコマンドによるノード構成の変更。

2020 年 8 月 14 日

サインインプロセスの変更に伴い、「HDS ホストの構成 ISO を作成する」および「ノード構成を変更する」が更新されました。

2020年8月5日水曜日

ログメッセージの変更に関するハイブリッドデータセキュリティ展開のテストを更新しました。

ホストの最大数を削除する仮想ホスト要件を更新しました。

2020 年 6 月 16 日

Control Hub UI の変更に関するノードの削除を更新しました。

2020 年 6 月 4 日

設定する詳細設定の変更に関するHDS ホストの設定 ISO の作成を更新しました。

2020 年 5 月 29 日

SQL Serverデータベース、UI変更、およびその他の説明でTLSを使用できることを示すために、HDSホストの構成ISOを作成するを更新しました。

2020 年 5 月 5 日

ESXi 6.5 の新しい要件を表示するために、仮想ホスト要件を更新しました。

2020 年 4 月 21 日

新しい Americas CI ホストとの外部接続要件が更新されました。

2020 年 4 月 1 日

地域 CI ホストに関する情報で外部接続要件が更新されました。

2020年2月20日水曜日 HDSセットアップツールの新しいオプションの詳細設定画面に関する情報を記載したHDSホストの設定ISOを作成を更新しました。

2020年2月4日。プロキシサーバーの要件を更新しました。

2019年12月16日ブロックされた外部 DNS 解決モードがプロキシサーバーの要件で動作する要件を明確化しました。

2019 年 11 月 19 日

次のセクションで、ブロックされた外部 DNS 解決モードに関する情報を追加しました。

プロキシサポート
プロキシ統合のために HDS ノードを設定する
外部 DNS 解決ブロックモードをオフにする

2019 年 11 月 8 日

OVA を後で展開するのではなく、ノードのネットワーク設定を構成できるようになりました。

以下のセクションを適宜更新しました。

ハイブリッドデータセキュリティ展開タスクフロー
HDS ホスト OVA のインストール
ハイブリッドデータセキュリティ VM のセットアップ

2019年9月6日水曜日

データベースサーバーの要件にSQL Server Standardを追加しました。

2019 年 8 月 20 日

Webex クラウドへのハイブリッドデータセキュリティノード通信のプロキシサポートをカバーするセクションを追加および更新しました。

プロキシサポート
プロキシサーバーの要件
プロキシ統合のために HDS ノードを設定する

既存の展開のプロキシサポートコンテンツのみにアクセスするには、「ハイブリッドデータセキュリティと Webex ビデオメッシュのプロキシサポート」のヘルプ記事を参照してください。

2019年3月6日（火）

要件と前提条件を別の章に移動しました。環境の準備です。
追加されたハイブリッドデータセキュリティ展開タスクフローチャプターの概要ハイブリッドデータセキュリティクラスタのセットアップは...

トライアルを開始するまで (後続の章の手順を使用)、ノードはサービスがまだアクティブ化されていないことを示すアラームを生成することに注意してください。
「トライアルを実行して本番環境に移動」の章に「本番環境タスクフローにトライアル」を追加しました。

2019 年 2 月 28 日

ハイブリッドデータセキュリティノードとなる仮想ホストを 50 GB から 20 GB に準備するときに、OVA が作成するディスクのサイズを反映させるために、サーバあたりのローカルハードディスクの空き容量を修正しました。

2019 年 2 月 26 日

ハイブリッドデータセキュリティノードは、PostgreSQL データベースサーバとの暗号化された接続、および TLS 対応の syslog サーバへの暗号化されたロギング接続をサポートするようになりました。手順が記載された「HDS ホストの設定 ISO を作成」を更新しました。
「ハイブリッドデータセキュリティノード VM のインターネット接続要件」の表から移動先 URL を削除しました。この表は、Webex Teams サービスのネットワーク要件の「Webex Teams ハイブリッドサービスの追加 URL」表で維持されているリストを参照しています。

2019 年 1 月 24 日

2018年11月5日。

「HDS ホストの設定 ISO を作成する」と「ノード設定を変更する」で、既存の docker hds インスタンスをクリーンアップするための予備ステップを追加しました。
インターフェイスに一致するHDS ホスト用の設定 ISO の作成のキーアクセスレベルステップを更新しました。

2018年10月19日水曜日

ファイアウォール接続情報をノード要件とISO構成マシン要件に分割し、「ハイブリッドデータセキュリティの前提条件を満たす」を選択します。

2018 年 7 月 31 日

ハイブリッドデータセキュリティの前提条件を満たすために、ポート 22（SSH アクセス）と NAT およびファイアウォール接続に関する情報を追加しました。

2018/05/21

Cisco Spark のリブランディングを反映する用語の変更:

Cisco Spark ハイブリッドデータセキュリティがハイブリッドデータセキュリティになりました。
Cisco Spark アプリが Webex アプリアプリになりました。
Cisco Collaboraton Cloud は Webex クラウドになりました。

2018年4月11日。

災害復旧用スタンバイデータセンターを追加。
更新ハイブリッドデータセキュリティの前提条件を完了して、バックアップ環境を別のデータセンターにする必要があることを指定しました。
スタンバイデータセンターを使用したディザスタリカバリを更新。

2018年2月22日水曜日

サービスアカウントパスワードの9か月の寿命と、HDSセットアップツールを使用してサービスアカウントパスワードをリセットする方法についての情報を追加しました。「HDSホストの設定ISOの作成」および「ノード設定の変更」を参照してください。

2018 年 2 月 15 日

X.509証明書の要件表では、証明書がワイルドカード証明書にはならないこと、KMSがCNドメインを使用していること、x.509v3 SANフィールドで定義されているドメインではないことが指定されています。

2018 年 1 月 18 日

付録「HDSノードとクラウド間のトラフィック」を追加。
ハイブリッドデータセキュリティの既知の問題から解決済みの問題を削除しました。
index.docker.io を *.docker.io に変更し、HDS ノードの TCP 接続要件のリストに *.cloudfront.net をハイブリッドデータセキュリティの前提条件を満たすで追加しました。
データベースホストと Syslogd サーバが HDS ノードから DNS 解決可能でない場合、IP アドレスを使用して設定する必要があることを示すために、HDS ホストの構成 ISO を作成するを更新しました。

2017年11月2日。

HdsTrialGroup のディレクトリ同期を明確にしました。
VM ノードにマウントするための ISO 設定ファイルをアップロードする手順を修正しました。

2017年8月18日。

初公開。

ハイブリッドデータセキュリティの使用を開始する

ハイブリッドデータセキュリティの概要

初日から、Webex アプリの設計において、データセキュリティが主な焦点となっています。このセキュリティの基盤は、Webex アプリクライアントがキー管理サービス (KMS) と対話することで有効になる、エンドツーエンドのコンテンツ暗号化です。 KMS はメッセージとファイルを動的に暗号化し、解読するためにクライアントが使用する暗号キーの作成と管理の責任を負っています。

セキュリティRealmアーキテクチャ

Webex クラウドアーキテクチャは、以下に示すように、さまざまなタイプのサービスを別々の領域、または信頼ドメインに分離します。

クライアントは、キー管理サービス（KMS）とのセキュアな接続を確立し、メッセージを暗号化するためのキーを要求します。安全な接続は ECDH を使用し、KMS は AES-256 マスターキーを使用してキーを暗号化します。
メッセージはクライアントを離れる前に暗号化されます。クライアントはインデックスをインデックスサービスに送信します。これにより、暗号化された検索インデックスが作成され、今後のコンテンツの検索に役立ちます。
暗号化されたメッセージは、コンプライアンスチェックのためにコンプライアンスサービスに送信されます。
暗号化されたメッセージはストレージ領域に保存されます。

他の組織との連携

ハイブリッドデータセキュリティの展開への期待

ハイブリッドデータセキュリティの展開には、重要な顧客のコミットメントと、暗号化キーの所有に伴うリスクの認識が必要です。

ハイブリッドデータセキュリティを展開するには、以下を提供する必要があります。

Cisco Webex Teams プランでサポートされている国の安全なデータセンター。
環境の準備で説明する装置、ソフトウェア、およびネットワークアクセス。

データベースのバックアップとリカバリ、および構成ISOを管理します。
データベースのディスク障害やデータセンター障害などの大災害が発生した場合、迅速な災害復旧を実行する準備をしてください。

HDS 導入後にキーをクラウドに戻すメカニズムはありません。

高レベルのセットアッププロセス

このドキュメントでは、ハイブリッドデータセキュリティ展開のセットアップと管理について説明します。

ハイブリッドデータセキュリティのセットアップ—これには、必要なインフラストラクチャの準備とハイブリッドデータセキュリティソフトウェアのインストール、トライアルモードでのユーザーのサブセットを使用した展開のテスト、テストが完了すると本番環境に移行することが含まれます。これにより、組織全体がセキュリティ機能にハイブリッドデータセキュリティクラスタを使用できるようになります。
セットアップ、トライアル、および生産の各段階は、次の3つの章で詳しく説明されています。
ハイブリッドデータセキュリティの展開を維持する—Webex クラウドは自動的に継続的なアップグレードを提供します。 IT 部門は、この展開に対してティア 1 のサポートを提供し、必要に応じてシスコのサポートを引き受けることができます。画面上の通知を使用し、Control Hub でメールベースのアラートを設定できます。
一般的なアラート、トラブルシューティング手順、および既知の問題について理解する—ハイブリッドデータセキュリティの展開または使用で問題が発生した場合、このガイドの最後の章と既知の問題の付録は、問題を決定および修正するのに役立ちます。

ハイブリッドデータセキュリティ展開モデル

ハイブリッドデータセキュリティ展開モデル

組織ごとに 1 つのクラスタのみをサポートします。

ハイブリッドデータセキュリティトライアルモード

導入がトライアルユーザーに対してうまく機能しており、ハイブリッドデータセキュリティをすべてのユーザーに拡張する準備ができている場合は、導入を本番環境に移行します。パイロットのユーザーは、トライアル中に使用されたキーにアクセスできます。ただし、プロダクションモードと元のトライアルを行ったり来たりすることはできません。ディザスタリカバリを実行するなど、サービスを非アクティブ化する必要がある場合は、再アクティブ化時に新しいトライアルを開始し、新しいトライアルのパイロットユーザーのセットを設定してから、本番モードに戻す必要があります。ユーザがこの時点でデータへのアクセスを保持するかどうかは、クラスタ内のハイブリッドデータセキュリティノードのキーデータストアと ISO 構成ファイルのバックアップを正常に維持したかどうかに依存します。

災害復旧のためのスタンバイデータセンター

アクティブなハイブリッドデータセキュリティノードは、常にアクティブなデータベースサーバと同じデータセンターにある必要があります。

災害復旧のためのスタンバイデータセンターを設定

スタンバイデータセンターの ISO ファイルを設定するには、以下の手順に従います。

始める前に

スタンバイデータセンターは、VMとバックアップPostgreSQLまたはMicrosoft SQL Serverデータベースの生産環境をミラーリングする必要があります。たとえば、本番環境に HDS ノードを実行する 3 台の仮想マシンがある場合、バックアップ環境には 3 台の仮想マシンが必要です (このフェールオーバーモデルの概要については、「Standby Data Center for Disaster Recovery」を参照してください)。
アクティブクラスタノードとパッシブクラスタノードのデータベース間でデータベース同期が有効になっていることを確認します。

HDS Setupツールを起動し、「HDSホストの設定ISOを作成する」の手順に従います。

ISO ファイルは、次の構成更新を行うプライマリデータセンターの原本 ISO ファイルのコピーである必要があります。

Syslogdサーバーを構成した後、[詳細設定]をクリックします。


passiveMode: 'true'

構成プロセスを完了し、見つけやすい場所にISOファイルを保存します。

VMware vSphere クライアントの左側のナビゲーションペインで、仮想マシンを右クリックし、[設定の編集] をクリックします。

［設定の編集］>［CD/DVDドライブ1］をクリックし、［データストアISOファイル］を選択します。

ノードを開始した後で、更新された設定変更を有効にするために、「接続」および「電源投入時に接続」がオンになっていることを確認します。

HDS ノードの電源を入れ、少なくとも 15 分間アラームがないことを確認します。

スタンバイデータセンター内のすべてのノードに対してプロセスを繰り返します。

次に行うこと

プロキシサポート

ハイブリッドデータセキュリティノードは、以下のプロキシオプションをサポートしています。

プロキシなし—プロキシを統合するために、HDS ノードセットアップの信頼ストアとプロキシ設定を使用しない場合は、デフォルトになります。証明書の更新は必要ありません。
透過型の検査なしのプロキシ—ノードは特定のプロキシサーバーアドレスを使用するように設定されていないため、検査なしのプロキシで動作するように変更を加える必要はありません。証明書の更新は必要ありません。
透過トンネリングまたは検査プロキシ—ノードは特定のプロキシサーバーアドレスを使用するように設定されていません。ノードでは、HTTP または HTTPS の設定変更は必要ありません。ただし、ノードはプロキシを信頼するためにルート証明書を必要とします。プロキシを検査することで、Web サイトにアクセスするか、どのタイプのコンテンツを使用するかを強制するポリシーを施行することができます。このタイプのプロキシは、すべてのトラフィック (HTTPS さえも含む) を復号化します。
明示的プロキシ—明示的なプロキシを使用して、使用するプロキシサーバーと認証スキームを指定します。明示的なプロキシを設定するには、各ノードに次の情報を入力する必要があります。
1. プロキシ IP/FQDN—プロキシマシンに到達するために使用できるアドレス。
2. プロキシポート-プロキシがプロキシトラフィックをリスンするために使用するポート番号。
3. プロキシプロトコル-プロキシサーバーがサポートするものに応じて、次のいずれかのプロトコルを選択します。
  - HTTP—クライアントが送信するすべての要求を表示し、コントロールします。
  - HTTPS—サーバーにチャネルを提供します。クライアントがサーバーの証明書を受け取り、検証します。
4. 認証タイプ-次の認証タイプから選択します。
  - なし—追加の認証は必要ありません。
    
    プロキシプロトコルとして HTTP または HTTPS のいずれかを選択した場合に利用できます。
  - ベーシック—HTTP ユーザーエージェントがリクエストを行う際にユーザー名とパスワードを指定するために使用されます。 Base64 エンコードを使用します。
    
    プロキシプロトコルとして HTTP または HTTPS のいずれかを選択した場合に利用できます。
    
    各ノードにユーザー名とパスワードを入力する必要があります。
  - ダイジェスト—機密情報を送信する前にアカウントを確認するために使用されます。ネットワークを経由して送信する前に、ユーザー名およびパスワードにハッシュ機能を適用します。
    
    プロキシプロトコルとして HTTPS を選択した場合にのみ利用できます。
    
    各ノードにユーザー名とパスワードを入力する必要があります。

ハイブリッドデータセキュリティノードとプロキシの例

外部 DNS 解決ブロックモード (明示的プロキシ構成)

環境の準備

ハイブリッドデータセキュリティの要件

Cisco Webex ライセンス要件

ハイブリッドデータセキュリティを展開するには:

Cisco Webex Control Hub 用の Pro Pack が必要です (https://www.cisco.com/go/pro-pack を参照してください)。

Docker デスクトップの要件

HDS ノードをインストールする前に、セットアッププログラムを実行するには Docker Desktop が必要です。 Dockerは最近、ライセンスモデルを更新しました。組織では、Docker Desktop の有料サブスクリプションが必要な場合があります。詳細については、Dockerのブログ記事「Dockerは製品サブスクリプションを更新および拡張しています」を参照してください。

X.509 証明書の要件

証明書チェーンは、次の要件を満たしている必要があります。

表 1. ハイブリッドデータセキュリティ展開の X.509 証明書要件
要件	の詳細
信頼できる認証局 (CA) によって署名された	デフォルトでは、https://wiki.mozilla.org/CA:IncludedCAsでMozillaリスト（WoSignとStartComを除く）のCAを信頼しています。
ハイブリッドデータセキュリティの展開を識別する共通名 (CN) ドメイン名を持つワイルドカード証明書ではありません	CN に到達可能またはライブホストである必要はありません。組織を反映する名前を使用することを推奨します。たとえば、 `hds.company.com` です。 CN に * (ワイルドカード) を含めることはできません。 CN は、Webex アプリクライアントへのハイブリッドデータセキュリティノードを確認するために使用されます。クラスタ内のすべてのハイブリッドデータセキュリティノードが同じ証明書を使用します。 KMS は、x.509v3 SAN フィールドで定義されているドメインではなく、CN ドメインを使用して自身を識別します。この証明書でノードを登録すると、CN ドメイン名の変更はサポートされません。トライアル展開と本番展開の両方に適用できるドメインを選択します。
非SHA1署名	KMS ソフトウェアは、他の組織の KMS への接続を検証するための SHA1 署名をサポートしていません。
パスワードで保護されたPKCS #12ファイルとしてフォーマット親しみやすい名前を使用する `kms-private-key` 証明書、秘密キー、およびアップロードする中間証明書をタグ付けします。	OpenSSL などのコンバータを使用して、証明書の形式を変更できます。 HDSセットアップツールを実行するときは、パスワードを入力する必要があります。

仮想ホストの要件

クラスタ内のハイブリッドデータセキュリティノードとして設定する仮想ホストには、次の要件があります。

同じセキュアデータセンターでコロケーションされた少なくとも 2 つの別のホスト (3 推奨)
VMware ESXi 6.5 (またはそれ以降) がインストールされ、実行されています。

以前のバージョンの ESXi がある場合は、アップグレードする必要があります。
最低4vCPU、8GBメインメモリ、サーバーあたり30GBのローカルハードディスク容量

データベースサーバーの要件

データベースサーバーには2つのオプションがあります。各要件は以下のとおりです。

表 2. データベースの種類別のデータベースサーバー要件

PostgreSQLについて

Microsoft SQL Server（マイクロソフト SQL サーバー）

PostgreSQL 14、15、または 16 がインストールされ、実行されています。

SQL Server 2016、2017、または 2019（Enterprise または Standard）がインストールされています。

SQL Server 2016 では、Service Pack 2 および Cumulative Update 2 以降が必要です。

HDS ソフトウェアは現在、データベースサーバとの通信用に次のドライババージョンをインストールしています。

PostgreSQLについて

Microsoft SQL Server（マイクロソフト SQL サーバー）

Postgres JDBCドライバ 42.2.5

SQL Server JDBC ドライバ 4.6

このドライババージョンは、SQL Server Always On（Always On Failover Cluster InstancesおよびAlways On availability groups）をサポートしています。

Microsoft SQL Server に対する Windows 認証の追加要件

HDS ノードが Windows 認証を使用して Microsoft SQL Server のキーストアデータベースにアクセスできるようにするには、環境内で次の設定が必要です。

HDS ノード、Active Directory インフラストラクチャ、MS SQL Server はすべて NTP と同期する必要があります。
HDS ノードに提供する Windows アカウントは、データベースへの読み取り/書き込みアクセス権を持っている必要があります。
HDS ノードに提供する DNS サーバは、キー配布センター (KDC) を解決できる必要があります。
Microsoft SQL Server に HDS データベースインスタンスをサービスプリンシパル名 (SPN) として Active Directory に登録できます。詳細は、Kerberos Connections のサービスプリンシパル名を登録するを参照してください。

HDS セットアップツール、HDS ランチャー、およびローカル KMS はすべて、キーストアデータベースにアクセスするために Windows 認証を使用する必要があります。 Kerberos 認証でアクセスを要求するときに、ISO 設定の詳細を使用して SPN を構築します。

外部接続の要件

HDS アプリケーションに次の接続を許可するようにファイアウォールを設定します。

アプリケーション	プロトコル	ポート	アプリからの方向	移動先
ハイブリッドデータセキュリティノード	TCP	443	アウトバウンド HTTPS および WSS	Webex サーバー: .wbx2.com .ciscospark.com すべての Common Identity ホスト Webex サービスのネットワーク要件のWebex ハイブリッドサービスの追加 URL 表にハイブリッドデータセキュリティ用にリストされているその他の URL
HDS 設定ツール	TCP	443	アウトバウンド HTTPS	*.wbx2.com すべての Common Identity ホストハブ.docker.com

Common Identity (CI) ホストの URL は地域固有です。これらは現在の CI ホストです。

地域	共通 ID ホスト URL
Americas (北米、中南米エリア)	https://idbroker.webex.com https://identity.webex.com https://idbroker-b-us.webex.com https://identity-b-us.webex.com
欧州連合	https://idbroker-eu.webex.com https://identity-eu.webex.com
カナダ	https://idbroker-ca.webex.com https://identity-ca.webex.com

プロキシサーバーの要件

お使いのハイブリッドデータセキュリティノードと統合できる次のプロキシソリューションを正式にサポートしています。

透過的プロキシ—Cisco Web Security Appliance (WSA)。

明示的プロキシ—Squid。

明示的プロキシに対して次の認証タイプの組み合わせがサポートされています。
- HTTP または HTTPS による認証がありません
- HTTP または HTTPS による基本認証
- HTTPS のみによるダイジェスト認証
透過的検査プロキシまたは HTTPS 明示的プロキシについては、プロキシのルート証明書のコピーが必要です。このガイドに記載されている展開手順は、ハイブリッドデータセキュリティノードの信頼ストアにコピーをアップロードする方法を説明しています。
HDS ノードをホストするネットワークは、ポート 443 のアウトバウンド TCP トラフィックを強制的にプロキシ経由でルーティングするように設定されている必要があります。
Web トラフィックを検査するプロキシは、Web ソケット接続に干渉する場合があります。この問題が発生した場合、トラフィックをバイパス（検査しない）して wbx2.com および ciscospark.com 問題を解決します。

ハイブリッドデータセキュリティの前提条件を完了する

このチェックリストを使用して、ハイブリッドデータセキュリティクラスタをインストールして設定する準備ができていることを確認します。

キーストレージ用のデータベースを作成します。 (このデータベースを作成する必要があります。デフォルトのデータベースを使用しないでください。 HDS アプリケーションをインストールすると、データベーススキーマが作成されます。
ノードがデータベースサーバと通信するために使用する詳細を収集します。
- ホスト名または IP アドレス (ホスト) とポート
- キーストレージのデータベース名（dbname）
- キーストレージデータベース上のすべての権限を持つユーザーのユーザー名とパスワード

HDSセットアップツールをインストールして実行するには、ローカルマシンに外部接続要件に記載されている接続性が必要です。

プロキシとハイブリッドデータセキュリティを統合する場合は、プロキシサーバーの要件を満たしていることを確認してください。

ハイブリッドデータセキュリティクラスタのセットアップ

ハイブリッドデータセキュリティ展開タスクフロー

始める前に

後で使用するために、OVA ファイルをローカルマシンにダウンロードします。

HDS セットアップツールを使用して、ハイブリッドデータセキュリティノードの ISO 設定ファイルを作成します。

OVA ファイルから仮想マシンを作成し、ネットワーク設定などの初期設定を実行します。

HDS セットアップツールを使用して作成した ISO 設定ファイルから VM を設定します。

ハイブリッドデータセキュリティノードとして Cisco Webex クラウドに仮想マシンを登録します。

クラスタの設定を完了します。

トライアルを開始するまで、ノードはサービスがまだアクティブ化されていないことを示すアラームを生成します。

インストールファイルのダウンロード

https://admin.webex.comにサインインし、「サービス」をクリックします。

[ハイブリッドサービス] セクションで、ハイブリッドデータセキュリティカードを見つけて、[セットアップ] をクリックします。

ノードがまだセットアップされていないことを示すにはいいえを選択し、「次へ」をクリックします。

OVAファイルは自動的にダウンロードを開始します。ファイルをマシン上の場所に保存します。

必要に応じて、［導入ガイドを開く］をクリックして、このガイドの後半バージョンが利用可能かどうかを確認します。

HDS ホストの設定 ISO を作成する

始める前に

説明	変数
認証なしの HTTP プロキシ	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
認証なしの HTTPS プロキシ	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
認証ありの HTTP プロキシ	`GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
認証ありの HTTPS プロキシ	`GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

生成する構成 ISO ファイルには、PostgreSQL または Microsoft SQL Server データベースを暗号化するマスターキーが含まれています。次のように、設定を変更するたびに、このファイルの最新のコピーが必要です。
- データベースの資格情報
- 証明書の更新
- 承認ポリシーの変更
データベース接続を暗号化する場合は、TLS 用の PostgreSQL または SQL Server 展開をセットアップします。

マシンのコマンドラインで、お使い環境に適切なコマンドを入力します。

一般環境:

docker rmi ciscocitg/hds-setup:stable

FedRAMP 環境の場合:

docker rmi ciscocitg/hds-setup-fedramp:stable

Docker 画像レジストリにサインインするには、以下を入力します。

docker login -u hdscustomersro

パスワードのプロンプトに対して、このハッシュを入力します。

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

お使い環境に合った最新の安定した画像をダウンロードします。

一般環境:

docker pull ciscocitg/hds-setup:stable

FedRAMP 環境の場合:

docker pull ciscocitg/hds-setup-fedramp:stable

プルが完了したら、お使いの環境に適切なコマンドを入力します。

プロキシなしの通常の環境の場合:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

HTTP プロキシがある通常の環境の場合、

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

HTTPS プロキシを使用する通常の環境では、次のようになります。

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

プロキシなしの FedRAMP 環境の場合:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

HTTP プロキシがある FedRAMP 環境の場合:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

HTTPS プロキシがある FedRAMP 環境の場合:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

コンテナが実行中の時。「ポート 8080 で Express サーバーリスニング中」と表示されます。

Setup ツールは、http://localhost:8080 を介した localhost への接続をサポートしていません。 http://127.0.0.1:8080を使用してlocalhostに接続します。

Web ブラウザを使用して localhost に移動し、 http://127.0.0.1:8080 、プロンプトで Control Hub の顧客管理者ユーザー名を入力します。

[セットアップツールの概要] ページで、[はじめに] をクリックします。

［ISOインポート］ページには、次のオプションがあります。

いいえ—最初の HDS ノードを作成する場合、アップロードする ISO ファイルがありません。
はい—HDS ノードをすでに作成している場合は、ブラウズで ISO ファイルを選択してアップロードします。

X.509 証明書がX.509 証明書要件の要件を満たしていることを確認してください。

証明書をアップロードしたことがない場合は、X.509 証明書をアップロードし、パスワードを入力して [続行] をクリックします。
証明書がOKの場合、「続行」をクリックします。
証明書の有効期限が切れている場合、または証明書を置き換える場合は、「いいえ」を選択して、「以前のISOからHDS証明書チェーンと秘密キーの使用を続行」を選択します。新しい X.509 証明書をアップロードし、パスワードを入力し、[続行] をクリックします。

HDS のデータベースアドレスとアカウントを入力して、キーデータストアにアクセスします。

データベースの種類（PostgreSQLまたはMicrosoft SQL Server）を選択します。

Microsoft SQL Serverを選択すると、[認証タイプ(Authentication Type)] フィールドが表示されます。
(Microsoft SQL Serverのみ) 認証タイプを選択します。
- 基本認証: [ユーザー名] フィールドには、ローカル SQL Server アカウント名が必要です。
- Windowsの認証: 形式の Windows アカウントが必要です username@DOMAINユーザー名フィールドに入力します。
フォームにデータベースサーバアドレスを入力します <hostname>:<port> または <IP-address>:<port> です。

例:
dbhost.example.org:1433 または 198.51.100.17:1433

ノードがホスト名を解決するために DNS を使用できない場合、基本認証に IP アドレスを使用できます。

Windows 認証を使用している場合は、形式に完全修飾ドメイン名を入力する必要があります dbhost.example.org:1433
データベース名を入力します。
キーストレージデータベース上のすべての権限を持つユーザーのユーザー名とパスワードを入力します。

TLS データベース接続モードを選択します。

モード

説明

TLS を優先 (デフォルトのオプション)

TLS を要求する

データベースサーバが TLS をネゴシエートできる場合に限り、HDS ノードは接続されます。

TLS を要求し、証明書の署名者を確認する

このモードは、SQL Server データベースには適用されません。

データベースサーバが TLS をネゴシエートできる場合に限り、HDS ノードは接続されます。
TLS 接続を確立した後、ノードはデータベースサーバからの証明書の署名者をデータベースルート証明書の認証局と比較します。一致しない場合、ノードにより接続が切断されます。

ドロップダウンの下にあるデータベースルート証明書コントロールを使用して、このオプションのルート証明書をアップロードしてください。

TLS を要求し、証明書の署名者およびホスト名を確認する

データベースサーバが TLS をネゴシエートできる場合に限り、HDS ノードは接続されます。
TLS 接続を確立した後、ノードはデータベースサーバからの証明書の署名者をデータベースルート証明書の認証局と比較します。一致しない場合、ノードにより接続が切断されます。
ノードはまた、サーバ証明書のホスト名が [データベースホストとポート] フィールドのホスト名と一致することを確認します。名前は正確に一致する必要があります。または、ノードが接続を切断します。

ドロップダウンの下にあるデータベースルート証明書コントロールを使用して、このオプションのルート証明書をアップロードしてください。

[システムログ（System Logs）] ページで、Syslogd サーバを設定します。

syslog サーバの URL を入力します。

HDS クラスタのノードからサーバが DNS 解決可能でない場合は、URL で IP アドレスを使用します。

例:
udp://10.92.43.23:514 UDP ポート 514 の Syslogd ホスト 10.92.43.23 へのロギングを示します。
TLS 暗号化を使用するようにサーバを設定した場合は、「syslog サーバが SSL 暗号化用に設定されていますか？」にチェックを入れます。

このチェックボックスをオンにした場合は、次のような TCP URL を入力してください: tcp://10.92.43.23:514 です。
[syslogレコードの終了を選択]ドロップダウンから、ISOファイルの適切な設定を選択します。選択または改行は Graylog および Rsyslog TCP に使用されます
- Null バイト -- \x00
- 改行 -- \n:Graylog および Rsyslog TCP の選択肢を選択します。
[続行] をクリックします。

app_datasource_connection_pool_maxSize: 10

[サービスアカウントのパスワードをリセット] 画面の [続行] をクリックします。

[ISOファイルのダウンロード] をクリックします。見つけやすい場所にファイルを保存します。

ローカルシステム上のISOファイルのバックアップコピーを作成します。

セットアップツールをシャットダウンするために次のように入力します。 CTRL+C です。

次に行うこと

私たちはこのキーのコピーを持っていないし、あなたがそれを失ったら助けることができません。

HDS ホスト OVA のインストール

OVA ファイルから仮想マシンを作成するには、次の手順を使用します。

コンピュータの VMware vSphere クライアントを使用して、ESXi 仮想ホストにログインします。

ファイル > OVF テンプレートを展開を選択します。

ウィザードで、先ほどダウンロードしたOVAファイルの場所を指定し、 をクリックします。次へだ

の計算リソースを選択ページで、宛先計算リソースを選択し、をクリックします。次へだ

検証チェックが実行されます。完了すると、テンプレートの詳細が表示されます。

テンプレートの詳細を確認し、［次へ］をクリックします。

のリソース設定を選択するよう求められた場合設定ページ、をクリックします。 4 CPU をクリックし、 をクリックします。次へだ

のストレージを選択ページ、をクリックします。次へは、デフォルトのディスク形式とVMストレージポリシーを受け入れます。

のネットワークを選択ページで、エントリのリストからネットワークオプションを選択し、仮想マシンへの接続を提供します。

[テンプレートのカスタマイズ] ページで、次のネットワーク設定を構成します。

[ホスト名(Hostname)]:ノードの FQDN (ホスト名とドメイン) または単語ホスト名を入力します。

X.509 証明書を取得するために使用したドメインと一致するようにドメインを設定する必要はありません。
クラウドへの登録を成功させるには、ノードに設定した FQDN またはホスト名に小文字のみを使用します。現時点では大文字化のサポートはありません。
FQDNのトータルの長さは64文字を超えてはいけません。

[IPアドレス(IP Address)]:ノードの内部インターフェイスの IP アドレスを入力します。

ノードには内部 IP アドレスと DNS 名が必要です。 DHCP はサポートされていません。
[マスク(Mask)]:サブネットマスクアドレスをドット小数表記で入力します。たとえば、255.255.255.0 などです。
[ゲートウェイ(Gateway)]:ゲートウェイの IP アドレスを入力します。ゲートウェイは、別のネットワークへのアクセスポイントとして機能するネットワークノードです。
DNS サーバ:ドメイン名を数値の IP アドレスに変換する DNS サーバのカンマ区切りリストを入力します。 (最大 4 つの DNS エントリが許可されます。)
NTP サーバ:組織の NTP サーバまたは組織で使用できる別の外部 NTP サーバを入力します。デフォルトの NTP サーバは、すべての企業で機能しない場合があります。カンマ区切りリストを使用して、複数の NTP サーバを入力することもできます。

クラスタ内のすべてのノードが管理目的でネットワーク内のクライアントから到達できるように、すべてのノードを同じサブネットまたは VLAN に展開します。

ノードVMを右クリックし、電源 > 電源オンだ

トラブルシューティングのヒント

ハイブリッドデータセキュリティ VM のセットアップ

1	VMware vSphere クライアントで、ハイブリッドデータセキュリティノード VM を選択し、[コンソール] タブを選択します。 VM が起動し、ログインプロンプトが表示されます。ログインプロンプトが表示されない場合は、入力を押してください。
2	次のデフォルトのログインとパスワードを使用してサインインし、資格情報を変更します。ログイン: `admin` パスワード: `cisco` 初めて仮想マシンにサインインするため、管理者パスワードを変更する必要があります。
3	［HDS ホスト OVA のインストール］でネットワーク設定をすでに設定している場合は、残りの手順をスキップします。それ以外の場合は、メインメニューで［設定の編集］オプションを選択します。
4	IP アドレス、マスク、ゲートウェイ、DNS 情報を含む静的設定をセットアップします。ノードには内部 IP アドレスと DNS 名が必要です。 DHCP はサポートされていません。
5	(オプション) ネットワークポリシーと一致する必要がある場合は、ホスト名、ドメイン、または NTP サーバを変更します。 X.509 証明書を取得するために使用したドメインと一致するようにドメインを設定する必要はありません。
6	ネットワーク設定を保存し、仮想マシンを再起動して、変更を有効にします。

HDS 設定 ISO のアップロードとマウント

HDS セットアップツールを使用して作成した ISO ファイルから仮想マシンを設定するには、次の手順を使用します。

始める前に

コンピュータから ISO ファイルをアップロードします。

VMware vSphere クライアントの左側のナビゲーションペインで、ESXi サーバをクリックします。
[設定] タブの [ハードウェア] リストで、[ストレージ] をクリックします。
[データストア（Datastores）] リストで、仮想マシンのデータストアを右クリックし、[データストアを参照（Browse Datastore）] をクリックします。
[ファイルのアップロード] アイコンをクリックし、[ファイルのアップロード] をクリックします。
コンピュータにISOファイルをダウンロードした場所を参照し、［開く］をクリックします。
アップロード/ダウンロード操作の警告を受け入れるには、[はい] をクリックし、データストアダイアログを閉じます。

ISO ファイルをマウントします。

VMware vSphere クライアントの左ナビゲーションペインで、ESXi サーバーを右クリックし、[設定の編集] をクリックします。
[OK] をクリックして、制限された編集オプションの警告を受け入れます。
クリック CD/DVD Drive 1 、データストア ISO ファイルからマウントするオプションを選択し、構成 ISO ファイルをアップロードした場所を参照します。
接続および電源オン時に接続をオンにします。
変更を保存し、仮想マシンを再起動します。

次に行うこと

プロキシ統合のために HDS ノードを設定する

始める前に

サポートされているプロキシオプションの概要については、プロキシサポートを参照してください。
プロキシサーバーの要件

1	HDS ノードのセットアップ URL を入力 `https://[HDS Node IP or FQDN]/setup` Web ブラウザで、ノード用に設定した管理者資格情報を入力し、[ サインイン] をクリックします。
2	[信頼ストアとロキシ] に移動して、次のオプションを選択します。プロキシなし—プロキシを統合する前のデフォルトのオプション。証明書の更新は必要ありません。透過型の検査なしのプロキシ—ノードは特定のプロキシサーバーアドレスを使用するように設定されていないため、検査なしのプロキシで動作するように変更を加える必要はありません。証明書の更新は必要ありません。透過トンネリングまたは検査プロキシ—ノードは特定のプロキシサーバーアドレスを使用するように設定されていません。ハイブリッドデータセキュリティの展開では HTTPS 構成の変更は必要ありませんが、HDS ノードはプロキシを信頼できるようにするためにルート証明書を必要とします。プロキシを検査することで、Web サイトにアクセスするか、どのタイプのコンテンツを使用するかを強制するポリシーを施行することができます。このタイプのプロキシは、すべてのトラフィック (HTTPS さえも含む) を復号化します。明示的プロキシ—明示的なプロキシを使用して、使用するプロキシサーバーをクライアント (HDS ノード) を指示し、このオプションはいくつかの認証スキームをサポートします。このオプションを選択した後、次の情報を入力する必要があります。プロキシ IP/FQDN—プロキシマシンに到達するために使用できるアドレス。プロキシポート-プロキシがプロキシトラフィックをリスンするために使用するポート番号。プロキシプロトコル- http (クライアントから受信したすべての要求を表示して管理) または https (クライアントがサーバーへのチャネルを提供し、サーバーの証明書を検証) を選択します。プロキシサーバーがサポートするオプションを選択します。認証タイプ-次の認証タイプから選択します。なし—追加の認証は必要ありません。 HTTP または HTTPS プロキシで利用できます。ベーシック—HTTP ユーザーエージェントがリクエストを行う際にユーザー名とパスワードを指定するために使用されます。 Base64 エンコードを使用します。 HTTP または HTTPS プロキシで利用できます。このオプションを選択した場合は、ユーザー名とパスワードも入力する必要があります。ダイジェスト—機密情報を送信する前にアカウントを確認するために使用されます。ネットワークを経由して送信する前に、ユーザー名およびパスワードにハッシュ機能を適用します。 HTTPS プロキシに対してのみ利用できます。このオプションを選択した場合は、ユーザー名とパスワードも入力する必要があります。透過型検査プロキシ、基本認証を持つ HTTP 明示プロキシ、または HTTPS 明示プロキシについては、次のステップに従ってください。
3	[ルート証明書またはエンティティ終了証明書のアップロード] をクリックし、プロキシのルート証明書を選択するために移動します。証明書はアップロードされていますが、まだインストールされていません。証明書をインストールするにはノードを再起動する必要があります。証明書発行者名の山形矢印をクリックして詳細を確認するか、間違っている場合は [削除] をクリックして、ファイルを再度アップロードしてください。
4	[プロキシ接続を確認する] をクリックして、ノードとプロキシ間のネットワーク接続性をテストします。接続テストが失敗した場合は、エラーメッセージが表示され、問題を解決するための理由と方法が示されます。外部 DNS の解決が正常に行われなかったという内容のメッセージが表示された場合、ノードが DNS サーバーに到達できなかったことを示しています。この状況は、多くの明示的なプロキシ構成で想定されています。セットアップを続行すると、ノードは外部 DNS 解決ブロックモードで機能します。これがエラーと思われる場合は、次の手順を実行し、「ブロックされた外部 DNS 解決モードをオフにする」を参照してください。
5	接続テストが成功した後、明示的なプロキシについては https のみに設定し、このノードからのすべてのポートの 443/444 https 要求を明示的プロキシを通してルーティングするように切り替えます。この設定を有効にするには 15 秒かかります。
6	[すべての証明書を信頼ストアにインストールする(HTTPS 明示プロキシまたは透過型のプロキシで表示される)] または [再起動] をクリックして、プロンプトを読み、準備が完了したら [インストール] をクリックします。ノードが数分以内に再起動されます。
7	ノードが再起動したら、必要に応じて再度サインインして、[概要] ページを開き、接続チェックを確認してすべて緑色のステータスになっていることを確認します。プロキシ接続の確認は webex.com のサブドメインのみをテストします。接続の問題がある場合、インストール手順に記載されているクラウドドメインの一部がプロキシでブロックされているという問題がよく見られます。

クラスタ内の最初のノードを登録する

始める前に

一旦ノードの登録を開始すると、60 分以内に完了する必要があり、そうでなければ、再び最初からやり直しになります。
ブラウザのポップアップブロッカーが無効になっているか、または admin.webex.com の例外を許可していることを確認してください。

1	https://admin.webex.comにサインインします。
2	スクリーンの左側にあるメニューからサービスを選択します。
3	[ハイブリッドサービス] セクションで、[ハイブリッドデータセキュリティ] を見つけ、[セットアップ] をクリックします。 [ハイブリッドデータセキュリティノードの登録] ページが表示されます。
4	ノードを設定し、登録する準備ができていることを示すには、「はい」を選択し、「次へ」をクリックします。
5	最初のフィールドに、ハイブリッドデータセキュリティノードを割り当てるクラスタの名前を入力します。クラスタのノードが地理的にどこに配置されているかに基づきクラスタに名前を付けることをお薦めします。例: 「サンフランシスコ」「ニューヨーク」「ダラス」
6	2 番目のフィールドに、ノードの内部 IP アドレスまたは完全修飾ドメイン名（FQDN）を入力し、[次へ] をクリックします。この IP アドレスまたは FQDN は、ハイブリッドデータセキュリティ VM のセットアップで使用した IP アドレスまたはホスト名とドメインと一致する必要があります。ノードを Webex に登録できることを示すメッセージが表示されます。
7	[ノードに進む] をクリックします。
8	警告メッセージの [続ける] をクリックします。しばらくすると、Webex サービスのノード接続テストにリダイレクトされます。すべてのテストが成功すると、[ハイブリッドデータセキュリティノードへのアクセスを許可（Allow Access to Hybrid Data Security Node）] ページが表示されます。ここで、ノードにアクセスする権限を Webex 組織に付与することを確認します。
9	[ハイブリッドデータセキュリティノードへのアクセスを許可] チェックボックスをオンにして、[続行] をクリックします。アカウントが検証され、「登録完了」メッセージは、ノードが Webex クラウドに登録されたことを示します。
10	リンクをクリックするか、タブを閉じて、[Control Hub ハイブリッドデータセキュリティ] ページに戻ります。 [ハイブリッドデータセキュリティ] ページで、登録したノードを含む新しいクラスタが表示されます。ノードはクラウドから最新のソフトウェアを自動的にダウンロードします。

より多くのノードを作成して登録する

始める前に

一旦ノードの登録を開始すると、60 分以内に完了する必要があり、そうでなければ、再び最初からやり直しになります。
ブラウザのポップアップブロッカーが無効になっているか、または admin.webex.com の例外を許可していることを確認してください。

1	OVA から新しい仮想マシンを作成し、「HDS ホスト OVA のインストール」の手順を繰り返します。
2	新しい仮想マシンで初期設定を行い、「ハイブリッドデータセキュリティ仮想マシンのセットアップ」の手順を繰り返します。
3	新しい VM で、「Upload and Mount the HDS Configuration ISO」の手順を繰り返します。
4	展開のプロキシを設定する場合は、新しいノードに必要に応じ「プロキシ統合の HDS ノードを設定する」の手順を繰り返します。
5	ノードを登録します。 https://admin.webex.comで画面の左側にあるメニューからサービスを選択します。 [ハイブリッドサービス] セクションで、ハイブリッドデータセキュリティカードを見つけて、[リソース] をクリックします。 [ハイブリッドデータセキュリティリソース] ページが表示されます。 [リソースの追加] をクリックします。最初のフィールドで、既存のクラスタの名前を選択します。 2 番目のフィールドに、ノードの内部 IP アドレスまたは完全修飾ドメイン名（FQDN）を入力し、[次へ] をクリックします。ノードを Webex クラウドに登録できることを示すメッセージが表示されます。 [ノードに進む] をクリックします。しばらくすると、Webex サービスのノード接続テストにリダイレクトされます。すべてのテストが成功すると、[ハイブリッドデータセキュリティノードへのアクセスを許可（Allow Access to Hybrid Data Security Node）] ページが表示されます。ここで、ノードにアクセスするための権限を組織に付与することを確認します。 [ハイブリッドデータセキュリティノードへのアクセスを許可] チェックボックスをオンにして、[続行] をクリックします。アカウントが検証され、「登録完了」メッセージは、ノードが Webex クラウドに登録されたことを示します。リンクをクリックするか、タブを閉じて、[Control Hub ハイブリッドデータセキュリティ] ページに戻ります。ノードが登録されています。トライアルを開始するまで、ノードはサービスがまだアクティブ化されていないことを示すアラームを生成することに注意してください。

次に行うこと

トライアルを実行して本番環境に移動

プロダクションタスクフローへの試行

始める前に

ハイブリッドデータセキュリティ展開モデル

1	必要に応じて、 `HdsTrialGroup` グループオブジェクト。組織でユーザーのディレクトリ同期を使用している場合は、 `HdsTrialGroup` トライアルを開始する前に、クラウドに同期するためのグループオブジェクト。手順については、 Cisco Directory Connector 展開ガイドを参照してください。
2	トライアルの有効化トライアルを開始します。このタスクを実行するまで、ノードはサービスがまだアクティブ化されていないことを示すアラームを生成します。
3	ハイブリッドデータセキュリティ展開をテストする重要な要求がハイブリッドデータセキュリティ展開に渡されていることを確認します。
4	ハイブリッドデータセキュリティの健全性を監視するステータスを確認し、アラームのメール通知を設定します。
5	トライアルからユーザーを追加または削除する
6	以下のいずれかの操作を行い、治験の段階を完了します。トライアルからプロダクションへの移行本番環境に移行せずにトライアルを終了する

トライアルの有効化

始める前に

1	https://admin.webex.comにサインインし、「サービス」を選択します。
2	[ハイブリッドデータセキュリティ（Hybrid Data Security）] で、[設定] をクリックします。
3	[サービスステータス（Service Status）] セクションで、[トライアルの開始] をクリックします。サービスステータスがトライアルモードに変わります。
4	[ユーザーの追加] をクリックし、暗号化およびインデックスサービスのためにハイブリッドデータセキュリティノードを使用してパイロットする 1 人以上のユーザーのメールアドレスを入力します。 (組織がディレクトリ同期を使用している場合は、Active Directory を使用してトライアルグループを管理します。 `HdsTrialGroup`.)

ハイブリッドデータセキュリティ展開をテストする

この手順を使用して、ハイブリッドデータセキュリティの暗号化シナリオをテストします。

始める前に

ハイブリッドデータセキュリティの展開をセットアップします。
トライアルを有効にし、複数のトライアルユーザーを追加します。
キー要求がハイブリッドデータセキュリティ展開に渡されていることを確認するために、syslog にアクセスできることを確認します。

新しいスペースにメッセージを送信します。

syslog 出力をチェックして、キー要求がハイブリッドデータセキュリティ展開に渡されていることを確認します。

次のようなエントリを見つける必要があります (可読性のために短縮された識別子)。

2020-07-21 17:35:34.562 (+0000) INFO  KMS [pool-14-thread-1] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, 
kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

KMS から既存のキーを要求するユーザーを確認するには、次のフィルタをオンにします。 kms.data.method=retrieve および kms.data.type=KEY:

次のようなエントリを見つける必要があります。

2020-07-21 17:44:19.889 (+0000) INFO  KMS [pool-14-thread-31] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, 
kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, 
kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

新しいKMSキーの作成を要求するユーザーを確認するには、 kms.data.method=create および kms.data.type=KEY_COLLECTION:

次のようなエントリを見つける必要があります。

2020-07-21 17:44:21.975 (+0000) INFO  KMS [pool-14-thread-33] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, 
kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, 
kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

次のようなエントリを見つける必要があります。

2020-07-21 17:44:22.808 (+0000) INFO  KMS [pool-15-thread-1] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

ハイブリッドデータセキュリティの健全性を監視する

1	Control Hubで、画面左側のメニューからサービスを選択します。
2	[ハイブリッドサービス] セクションで、[ハイブリッドデータセキュリティ] を見つけ、[設定] をクリックします。 [ハイブリッドデータセキュリティ設定] ページが表示されます。
3	[メール通知] セクションで、カンマで区切られた 1 つ以上のメールアドレスを入力し、[Enter] を押します。

トライアルからユーザーを追加または削除する

1	Control Hub にサインインし、[サービス] を選択します。
2	[ハイブリッドデータセキュリティ（Hybrid Data Security）] で、[設定] をクリックします。
3	[サービスステータス（Service Status）] 領域の [トライアルモード（Trial Mode）] セクションで、[ユーザーの追加（Add Users）] をクリックするか、[表示と編集] をクリックしてユーザーをトライアルから削除します。
4	追加する 1 人以上のユーザーのメールアドレスを入力するか、ユーザー ID の X をクリックしてユーザーをトライアルから削除します。その後、[保存] をクリックします。

トライアルからプロダクションへの移行

1	Control Hub にサインインし、[サービス] を選択します。
2	[ハイブリッドデータセキュリティ（Hybrid Data Security）] で、[設定] をクリックします。
3	[サービスステータス（Service Status）] セクションで、[本番環境に移動] をクリックします。
4	すべてのユーザーを本番環境に移行することを確認します。

本番環境に移行せずにトライアルを終了する

1	Control Hub にサインインし、[サービス] を選択します。
2	[ハイブリッドデータセキュリティ（Hybrid Data Security）] で、[設定] をクリックします。
3	「Deactivate（無効化）」セクションで「Deactivate（無効化）」をクリックします。
4	サービスを無効にしてトライアルを終了することを確認します。

HDS 展開の管理

ここで説明するタスクを使用して、ハイブリッドデータセキュリティの展開を管理します。

クラスタアップグレードスケジュールの設定

アップグレードスケジュールを設定するには:

1	Control Hub にサインインします。
2	[概要] ページの [ハイブリッドサービス] で、[ハイブリッドデータセキュリティ] を選択します。
3	[ハイブリッドデータセキュリティリソース] ページで、クラスタを選択します。
4	右側の [概要] パネルの [クラスタ設定] で、クラスタ名を選択します。
5	設定ページのアップグレードの下で、アップグレードのスケジュール設定を希望する時間およびタイムゾーンを選択します。メモ: タイムゾーンの下に、次に可能なアップグレードの日時が表示されます。必要に応じて、[延期] をクリックすることでアップグレードを翌日に延期することもできます。

ノードの設定を変更する

場合により、以下のような理由でハイブリッドデータセキュリティノードの構成の変更が必要な場合があります。

有効期限が切れる、または他の理由による、x.509 証明書の変更。

データベース設定を更新して、PostgreSQL または Microsoft SQL Server データベースのレプリカを変更します。

新しい構成を作成して新しいデータセンターの準備をする。

ソフトリセット— 古いパスワードと新しいパスワードは最大 10 日間有効です。この期間を使用して、ノードの ISO ファイルを段階的に置き換えることができます。
ハードリセット—古いパスワードは即時に機能を停止します。

この手順を使用して、新しい構成 ISO ファイルを生成し、クラスターに適用します。

始める前に

説明	変数
認証なしの HTTP プロキシ	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
認証なしの HTTPS プロキシ	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
認証ありの HTTP プロキシ	`GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
認証ありの HTTPS プロキシ	`GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

新しい構成を生成するには、現在の構成 ISO ファイルのコピーが必要です。 ISO には PostgreSQL または Microsoft SQL Server データベースを暗号化するマスターキーを含むです。データベースの証明書、証明書の更新、認証方針への変更を含む、構成の変更を行った場合は ISO が必要です。

ローカルマシンで Docker を使用し、HDS セットアップツールを実行します。

マシンのコマンドラインで、お使い環境に適切なコマンドを入力します。

一般環境:

docker rmi ciscocitg/hds-setup:stable

FedRAMP 環境の場合:

docker rmi ciscocitg/hds-setup-fedramp:stable

Docker 画像レジストリにサインインするには、以下を入力します。
```
docker login -u hdscustomersro
```
パスワードのプロンプトに対して、このハッシュを入力します。
```
dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
```

お使い環境に合った最新の安定した画像をダウンロードします。

一般環境:

docker pull ciscocitg/hds-setup:stable

FedRAMP 環境の場合:

docker pull ciscocitg/hds-setup-fedramp:stable

プルが完了したら、お使いの環境に適切なコマンドを入力します。

プロキシなしの通常の環境の場合:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

HTTP プロキシがある通常の環境の場合、

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

HTTPS プロキシがある通常の環境の場合:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

プロキシなしの FedRAMP 環境の場合:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

HTTP プロキシがある FedRAMP 環境の場合:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

HTTPS プロキシがある FedRAMP 環境の場合:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

コンテナが実行中の時。「ポート 8080 で Express サーバーリスニング中」と表示されます。

ブラウザを使用して localhost に接続し、 http://127.0.0.1:8080 です。

Setup ツールは、http://localhost:8080 を介した localhost への接続をサポートしていません。 http://127.0.0.1:8080を使用してlocalhostに接続します。

指示されたら、 Control Hub の顧客サインイン資格情報を入力し、[同意] をクリックして続行します。
現在の構成 ISO ファイルをインポートします。
指示に従い、ツールを完了し、更新されたファイルをダウンロードします。

セットアップツールをシャットダウンするために次のように入力します。 CTRL+C です。
更新されたファイルのバックアップコピーを別のデータセンターに作成します。

HDS 主催者 OVA をインストールします。
HDS VM をセットアップします。
更新された構成ファイルをマウントします。
Control Hub の新しいノードを登録します。

仮想マシンをオフにします。
VMware vSphere クライアントの左ナビゲーションペインで、ESXi サーバーを右クリックし、[設定の編集] をクリックします。
クリック CD/DVD Drive 1 、ISO ファイルからマウントするオプションを選択し、新しい構成 ISO ファイルをダウンロードした場所を参照します。
[電源に接続する] をチェックします。
変更を保存し、仮想マシンを起動します。

ステップ 3 を繰り返し、古い構成ファイルを実行している残りの各ノードで構成を置き換えます。

外部 DNS 解決ブロックモードをオフにする

始める前に

内部 DNS サーバーがパブリック DNS 名を解決でき、ノードがそれらと通信できることを確認します。

1	Web ブラウザで、ハイブリッドデータセキュリティノードインターフェイス (IP アドレス/セットアップ、たとえば、ノードに設定した管理者資格情報をhttps://192.0.2.0/setup), 入力し、[サインイン] をクリックします。
2	[概要] (デフォルトページ) に移動します。有効になっている場合、 [外部 DNS 解決ブロック] は [はい] に設定されています。
3	[信頼ストアとプロキシ] ページに移動します。
4	[プロキシ接続を確認する] をクリックします。外部 DNS の解決が正常に行われなかったという内容のメッセージが表示された場合、ノードが DNS サーバーに到達できなかったことを示しており、このモードに留まっています。そうでない場合には、ノードを再起動して[概要] ページに戻ると、[外部 DNS 解決ブロック] は [いいえ] に設定されるはずです。

次に行うこと

ハイブリッドデータセキュリティクラスターの各ノードで、プロキシ接続テストを繰り返します。

ノードの削除

コンピュータの VMware vSphere クライアントを使用して、ESXi 仮想ホストにログインし、仮想マシンの電源を切ります。

ノードを削除します。

Control Hub にサインインし、[サービス] を選択します。
ハイブリッドデータセキュリティカードで、すべて表示 [ハイブリッドデータセキュリティリソース] ページを表示します。
クラスタを選択して [概要] パネルを表示します。
[ノードリストを開く] をクリックします。
[ノード] タブで、削除するノードを選択します。
をクリックします。アクション > ノードの登録解除

vSphere クライアントで、仮想マシンを削除します (左側のナビゲーションペインで、仮想マシンを右クリックし、[削除] をクリックします)。

スタンバイデータセンターを使用したディザスタリカバリ

HDS Setupツールを起動し、「HDSホストの設定ISOを作成する」の手順に従います。

Syslogdサーバーを構成した後、[詳細設定]をクリックします。


passiveMode: 'false'

構成プロセスを完了し、見つけやすい場所にISOファイルを保存します。

VMware vSphere クライアントの左側のナビゲーションペインで、仮想マシンを右クリックし、[設定の編集] をクリックします。

［設定の編集］>［CD/DVDドライブ1］をクリックし、［データストアISOファイル］を選択します。

ノードを開始した後で、更新された設定変更を有効にするために、「接続」および「電源投入時に接続」がオンになっていることを確認します。

HDS ノードの電源を入れ、少なくとも 15 分間アラームがないことを確認します。

スタンバイデータセンター内のすべてのノードに対してプロセスを繰り返します。

次に行うこと

（オプション）HDS設定後にISOをアンマウントする

始める前に

すべての HDS ノードをバージョン 2021.01.22.4720 以降にアップグレードします。

1	1 つの HDS ノードをシャットダウンします。
2	vCenter Server Appliance で、HDS ノードを選択します。
3	を選択［設定の編集］ > ［CD/DVDドライブ］を選択し、［データストアISOファイル］のチェックを外します。
4	HDS ノードの電源を入れ、少なくとも 20 分間アラームがないことを確認します。
5	HDS ノードごとに順番に繰り返します。

ハイブリッドデータセキュリティのトラブルシューティング

アラートとトラブルシューティングの表示

新しいスペースを作成できません (新しいキーを作成できません)
メッセージとスペースタイトルの復号に失敗する:
- 新規ユーザーがスペースに追加されました (キーを取得できません)
- 新しいクライアントを使用するスペース内の既存のユーザー (キーを取得できません)
スペース内の既存のユーザーは、クライアントが暗号化キーのキャッシュを持っている限り、正常に動作し続けます。

ハイブリッドデータセキュリティクラスタを適切に監視し、サービスの中断を避けるために速やかにアラートに対処することが重要です。

警告

表 1. 一般的な問題とそれらを解決するためのステップ
警告	アクション
ローカルデータべースへのアクセスに失敗しました。	データベースエラーまたはローカルネットワークの問題を確認します。
ローカルデータベース接続に失敗しました。	データベースサーバが使用可能であり、ノード設定で適切なサービスアカウントクレデンシャルが使用されていることを確認します。
クラウドサービスへのアクセスに失敗しました。	外部接続要件で指定されているように、ノードが Webex サーバーにアクセスできることを確認します。
クラウドサービス登録の更新。	クラウドサービスへの登録が削除されました。登録の更新が進行中です。
クラウドサービスの登録が削除されました。	クラウドサービスへの登録が終了しました。サービスが停止しています。
サービスはまだアクティベートされていません。	トライアルを有効にするか、トライアルを本番環境に移行します。
設定されたドメインがサーバー証明書と一致しません。	サーバー証明書が設定されたサービスアクティベーションドメインと一致していることを確認します。最も可能性の高い原因は、証明書 CN が最近変更され、初期設定で使用された CN とは異なるようになったためです。
クラウドサービスの認証に失敗しました。	サービスアカウントの資格情報の正確さと有効期限の可否を確認します。
ローカルキーストアファイルを開くことができませんでした。	ローカルキーストアファイルの整合性とパスワードの正確性を確認します。
ローカルサーバー証明書が無効です。	サーバ証明書の有効期限を確認し、信頼できる認証局によって発行されていることを確認します。
メトリクスを投稿できません。	外部クラウドサービスへのローカルネットワークアクセスを確認します。
/media/configdrive/hds ディレクトリが存在しません。	仮想ホストの ISO マウント設定を確認します。 ISO ファイルが存在すること、再起動時にマウントするように設定されていること、正常にマウントされていることを確認します。

ハイブリッドデータセキュリティのトラブルシューティング

ハイブリッドデータセキュリティの問題をトラブルシューティングする場合は、次の一般的なガイドラインを使用します。

1	アラートについては Control Hub を確認し、見つかった項目を修正します。
2	ハイブリッドデータセキュリティ展開からのアクティビティの syslog サーバー出力を確認します。
3	Cisco サポートにお問い合わせください。

その他の注意事項

ハイブリッドデータセキュリティの既知の問題

ハイブリッドデータセキュリティクラスタをシャットダウンする (Control Hub で削除するか、すべてのノードをシャットダウンする)、構成 ISO ファイルを失う、またはキーストアデータベースへのアクセスを失う場合、Webex アプリのユーザーは、KMS のキーを使用して作成された [ユーザー] リストの下のスペースを使用できなくなります。これは、トライアル展開と本番展開の両方に適用されます。現在、この問題の回避策や修正はありません。HDS サービスがアクティブなユーザーアカウントを処理したら、HDS サービスをシャットダウンしないようにしてください。
KMS への既存の ECDH 接続を持つクライアントは、その接続を一定期間 (おそらく 1 時間) 維持します。ユーザーがハイブリッドデータセキュリティトライアルのメンバーになると、ユーザーのクライアントは、タイムアウトするまで既存の ECDH 接続を引き続き使用します。代わりに、ユーザーは Webex アプリアプリにサインアウトして再度ログインして、アプリが暗号化キーの連絡先を更新できます。

同じ動作は、組織のトライアルを本番環境に移行する場合にも発生します。以前のデータセキュリティサービスへの既存の ECDH 接続を持つすべての非トライアルユーザーは、ECDH 接続が再ネゴシエートされるまで (タイムアウトまたはサインアウトして戻る)、これらのサービスを使用し続けます。

OpenSSL を使用して PKCS12 ファイルを生成する

始める前に

OpenSSLは、HDSセットアップツールでロードするための適切な形式でPKCS12ファイルを作成するために使用できるツールの1つです。これを行うには他の方法があり、私たちは別の方法よりも支持または促進しません。
OpenSSLを使用することを選択した場合は、X.509証明書要件を満たすファイルを作成するのに役立つガイドラインとして、この手順を提供しています。 X.509 証明書の要件は... 続行する前にこれらの要件を理解してください。
サポートされている環境で OpenSSL をインストールします。ソフトウェアとマニュアルについてはhttps://www.openssl.orgを参照してください。
秘密鍵を作成します。
認証局（CA）からサーバ証明書を受け取ったら、この手順を開始します。

1	CA からサーバー証明書を受け取ったら、次のように保存します。 `hdsnode.pem` です。
2	証明書をテキストとして表示し、詳細を確認します。 `openssl x509 -text -noout -in hdsnode.pem`
3	テキストエディタを使用して、証明書バンドルファイルを作成します。 `hdsnode-bundle.pem` です。バンドルファイルには、次の形式で、サーバ証明書、中間の CA 証明書、ルート CA 証明書を含める必要があります。 `-----BEGIN CERTIFICATE----- ### Server certificate. ### -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ### Intermediate CA certificate. ### -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ### Root CA certificate. ### -----END CERTIFICATE-----`
4	親しみやすい名前で .p12 ファイルを作成する `kms-private-key` です。 `openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12`
5	サーバ証明書の詳細を確認してください。 `openssl pkcs12 -in hdsnode.p12` プロンプトでパスワードを入力して、秘密キーを出力に表示するように暗号化します。次に、秘密鍵と最初の証明書に、回線が含まれていることを確認します。 `friendlyName: kms-private-key`です。例: bash$ openssl pkcs12 -in hdsnode.p12 Enter Import Password: MAC verified OK Bag Attributes friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Key Attributes: <No Attributes> Enter PEM pass phrase: Verifying - Enter PEM pass phrase: -----BEGIN ENCRYPTED PRIVATE KEY----- <redacted> -----END ENCRYPTED PRIVATE KEY----- Bag Attributes friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 -----BEGIN CERTIFICATE----- <redacted> -----END CERTIFICATE----- Bag Attributes friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3 -----BEGIN CERTIFICATE----- <redacted> -----END CERTIFICATE-----

次に行うこと

これらのファイルを再使用して、元の証明書の有効期限が切れたときに新しい証明書を要求できます。

HDS ノードとクラウド間のトラフィック

アウトバウンドメトリック収集トラフィック

着信トラフィック

ハイブリッドデータセキュリティノードは、Webex クラウドから次のタイプのインバウンドトラフィックを受信します。

暗号化サービスによってルーティングされるクライアントからの暗号化要求
ノードソフトウェアへのアップグレード

ハイブリッドデータセキュリティの Squid プロキシを設定する

Websocket は Squid プロキシを通じて接続できません

Squid 4 および5

次を追加します: on_unsupported_protocol 指示する squid.conf:

on_unsupported_protocol tunnel all

Squid 3.5.27

acl wssMercuryConnection ssl::server_name_regex mercury-connection

ssl_bump splice wssMercuryConnection

acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all

序文

新規および変更された情報

日付	変更履歴
2023年10月20日。	データベースサーバー要件の情報を更新しました。「災害復旧のためのスタンバイデータセンターのセットアップ」を追加しました。「災害復旧のためのスタンバイデータセンター」および「スタンバイデータセンターを使用した災害復旧」の情報を更新しました。
2023 年 8 月 7 日	インストールファイルのダウンロードにメモを追加しました。「HDS ホストの構成 ISO の作成」と「ノード構成の変更」でメモを追加しました。
2023 年 5 月 23 日	アカウントチームに連絡して機能を有効にすることを要求するデータベースサーバー要件から情報を削除しました。外部接続要件の情報を更新し、CI 主催者テーブルにカナダを追加しました。「ハイブリッドデータセキュリティを展開する期待」でキーをクラウドに戻すメカニズムが利用できないというメモを追加しました。
2022 年 12 月 6 日	HDS セットアップツールの画像が `ciscocitg` dockerhub リポジトリでホストされるようになりました。「HDS ホストの構成 ISO の作成」と「ノード構成の変更」のトピックを更新し、コマンドの変更を反映します。
2022 年 11 月 23 日	HDS ノードが Microsoft SQL Server に対して Windows 認証を使用できるようになりました。この認証モードの追加要件でデータベースサーバー要件のトピックを更新しました。ノードで Windows 認証を設定する手順で、「HDS ホストの構成 ISO を作成する」を更新しました。「データベースサーバー要件」トピックを新しい最小要件バージョン (PostgreSQL 10) で更新しました。
2021 年 10 月 13 日	HDS ノードをインストールする前に、Docker デスクトップがセットアッププログラムを実行する必要があります。「Docker デスクトップの要件」を参照してください。
2017 年 6 月 24 日	秘密鍵ファイルと CSR を再使用して別の証明書を要求することができることに注意してください。詳細については、「OpenSSL を使用して PKCS12 ファイルを生成する」を参照してください。
2021 年 4 月 30 日	ローカルハードディスク領域の VM 要件を 30 GB に変更しました。詳細については、仮想主催者の要件を参照してください。
2021 年 2 月 24 日	HDS セットアップツールは、プロキシの背後に実行できるようになりました。詳細については、「HDS ホストの構成 ISO を作成する」を参照してください。
2021 年 2 月 2 日	HDS は、マウントされた ISO ファイルなしで実行できるようになりました。詳細については、「(オプション) HDS 設定後に ISO をマウント解除」を参照してください。
2021 年 1 月 11 日	HDS ホストの構成 ISO を作成するために、HDS セットアップツールとプロキシに関する情報を追加しました。
2020/10/13	「インストールファイルのダウンロード」を更新しました。
2020/10/08	「HDS ホストの構成 ISO の作成」および「ノード構成の変更」を FedRAMP 環境のコマンドで更新しました。
2020 年 8 月 14 日	「HDS ホストの構成 ISO の作成」と「ノード構成の変更」を更新し、サインインプロセスに変更を加えます。
2020年8月5日水曜日	ログメッセージの変更について、「ハイブリッドデータセキュリティ展開のテスト」を更新しました。仮想ホスト要件を更新し、最大ホスト数を削除しました。
2020 年 6 月 16 日	Control Hub UI の変更について、「ノードの削除」を更新しました。
2020 年 6 月 4 日	設定可能な詳細設定の変更のために、「HDS ホストの構成 ISO を作成する」を更新しました。
2020 年 5 月 29 日	「HDS ホストの構成 ISO の作成」を更新し、SQL Server データベース、UI 変更、その他の明確化で TLS を使用できることを示します。
2020 年 5 月 5 日	「仮想ホスト要件」を更新し、ESXi 6.5 の新しい要件を表示します。
2020 年 4 月 21 日	新しい Americas CI ホストで外部接続要件を更新しました。
2020 年 4 月 1 日	地域 CI 主催者に関する情報で外部接続要件を更新しました。
2020年2月20日水曜日	「HDS 主催者の構成 ISO の作成」を更新し、HDS セットアップツールの新しいオプションの詳細設定画面に関する情報を提供します。
2020年2月4日	プロキシサーバー要件を更新しました。
2019年12月16日	プロキシサーバー要件でブロックされた外部 DNS 解決モードが動作する要件を明確にしました。
2019 年 11 月 19 日	次のセクションで、ブロックされた外部 DNS 解決モードに関する情報を追加しました。プロキシサポートプロキシ統合のために HDS ノードを設定する外部 DNS 解決ブロックモードをオフにする
2019 年 11 月 8 日	その後ではなく、OVA を展開するときに、ノードのネットワーク設定を構成できるようになりました。以下のセクションを適宜更新しました。ハイブリッドデータセキュリティ展開のタスクフロー HDS 主催者 OVA をインストールするハイブリッドデータセキュリティ VM のセットアップ OVA 展開中にネットワーク設定を構成するオプションは、ESXi 6.5 でテストされています。このオプションは以前のバージョンでは利用できない場合があります。
2019年9月6日水曜日	データベースサーバー要件に SQL Server 標準を追加しました。
2019 年 8 月 29 日	適切な操作のために websocket トラフィックを無視するよう、Squid プロキシの設定に関するガイダンスを含む、「ハイブリッドデータセキュリティ用の Squid プロキシの設定」の付録を追加しました。
2019 年 8 月 20 日	Webex クラウドへのハイブリッドデータセキュリティコネクタ通信のプロキシサポートをカバーするセクションを追加し、更新しました。プロキシサポートプロキシサーバーの要件プロキシ統合のために HDS ノードを設定する既存の展開のプロキシサポートコンテンツだけにアクセスするには、「ハイブリッドデータセキュリティと Webex ビデオメッシュのプロキシサポート」のヘルプ記事を参照してください。
2019 年 6 月 13 日	組織がディレクトリ同期を使用している場合、トライアルを開始する前に HdsTrialGroup グループオブジェクトを同期するためのリマインダーで `Trial to Production Task Flow` を更新しました。
2019 年 3 月 6 日	要件と前提条件を別の章「環境を準備する」に移動しました。「ハイブリッドデータセキュリティクラスタのセットアップ」の章の「ハイブリッドデータセキュリティ展開タスクフロー」の概要を追加しました。トライアルを開始するまで（後述の章の手順を使用して）ノードは、サービスがまだアクティブになっていないことを示すアラームを生成することに注意してください。「トライアルの実行とプロダクションへの移動」の章の「プロダクションへのトライアルタスクフロー」を追加しました。
2019 年 2 月 28 日	OVA が作成するディスクのサイズを反映するために、ハイブリッドデータセキュリティノードとなる仮想ホストを準備するときに、サーバーあたりのローカルハードディスク容量を修正しました (50 GB から 20 GB まで)。
2019 年 2 月 26 日	ハイブリッドデータセキュリティノードは、PostgreSQL データベースサーバとの暗号化接続と、TLS 対応の syslog サーバへの暗号化ロギング接続をサポートするようになりました。「HDS 主催者の構成 ISO の作成」の手順が更新されました。「ハイブリッドデータセキュリティノード VM のインターネット接続の要件」テーブルから宛先 URL を削除しました。この表は、「Webex Teams サービスのネットワーク要件」の「Webex Teams ハイブリッドサービスの追加 URL」テーブルで保持されているリストを参照するようになりました。
2019 年 1 月 24 日	ハイブリッドデータセキュリティは、Microsoft SQL Server をデータベースとしてサポートするようになりました。SQL Server Always On（Always On Failover Clusters および Always on Availability Groups）は、ハイブリッドデータセキュリティで使用される JDBC ドライバによってサポートされています。SQL Server での展開に関連するコンテンツを追加しました。 Microsoft SQL Server のサポートは、ハイブリッドデータセキュリティの新規展開のみを対象としています。現在のところ、既存の展開における、PostgreSQL から Microsoft SQL Server への移行はサポートしていません。
2018 年 11 月 5 日	「HDS ホストの構成 ISO を作成する」と「ノード構成の変更」で既存の Docker hds インスタンスをクリーンアップするための予備手順を追加しました。「HDS ホストの構成 ISO を作成する」のキーアクセスレベルの手順を更新して、インターフェイスに一致しました。
2018年10月19日水曜日	ハイブリッドデータセキュリティの前提条件を完了でノード要件と ISO 構成マシン要件にファイアウォール接続情報を分割します。
2018 年 7 月 31 日	ポート 22 (SSH アクセス) と NAT およびファイアウォール接続に関する情報を追加し、ハイブリッドデータセキュリティの前提条件を完了しました。
2018 年 5 月 21 日	Cisco Spark のリブランディングを反映する用語を変更しました。 Cisco Spark ハイブリッドデータセキュリティは、ハイブリッドデータセキュリティになりました。 Cisco Spark アプリは Webex アプリになりました。 Cisco Collaboraton Cloud は Webex クラウドになりました。
2018 年 4 月 11 日	災害復旧のためのスタンバイデータセンターを追加しました。「ハイブリッドデータセキュリティの前提条件を完了」を更新し、バックアップ環境が別のデータセンターにあるように指定します。スタンバイデータセンターを使用した災害復旧を更新しました。
2018年2月22日	サービスアカウントパスワードについての情報を追加し、HDS セットアップツールを使用してサービスアカウントパスワードをリセットし、[HDS ホストの構成 ISO の作成] および [ノード構成の変更] でサービスアカウントパスワードをリセットします。
2018年2月15日	X.509 証明書要件表で、証明書がワイルドカード証明書ではないこと、KMS が CN をドメインを使用し、x.509v3 SAN フィールドで定義されたドメインではないことを指定しました。
2018年1月18日	付録「HDS ノードとクラウド間のトラフィック」を追加しました。ハイブリッドデータセキュリティの既知の問題から解決済みの問題を削除しました。 index.docker.io を .docker.io に変更し、「ハイブリッドデータセキュリティの前提条件を完了する」の HDS ノードの TCP 接続要件のリストに .cloudfront.net を追加しました。「HDS ホストの構成 ISO を作成する」を更新し、データベースホストと Syslogd サーバーが HDS ノードから DNS 解決できない場合、IP アドレスを使用して設定する必要があることを示します。
2017年11月2日	HdsTrialGroup のディレクトリ同期を分類しました。 VM ノードへマウントする際の ISO 構成のアップロードに関する指示を修正しました。
2017年8月18日	初版

ハイブリッドデータセキュリティで開始する

ハイブリッドデータセキュリティ概要

Webex アプリの設計では、1 日目以降、データセキュリティが主要なフォーカスとなっています。このセキュリティのコーナーストンは、エンドツーエンドのコンテンツ暗号化であり、Webex アプリクライアントがキー管理サービス (KMS) と対話することで有効になります。KMS はメッセージとファイルを動的に暗号化し、解読するためにクライアントが使用する暗号キーの作成と管理の責任を負っています。

デフォルトでは、すべての Webex アプリの顧客は、Cisco のセキュリティ領域であるクラウド KMS に保存されているダイナミックキーを使用してエンドツーエンドの暗号化を取得します。ハイブリッドデータセキュリティは、KMS とその他のセキュリティ関連の機能をあなたのエンタープライズデータセンターに移動するため、誰でもなくあなたが暗号化コンテンツの鍵を持っています。

セキュリティ領域のアーキテクチャ

Webex クラウドアーキテクチャは、以下に示すように、異なるタイプのサービスを別の領域、または信頼ドメインに分離します。

ハイブリッドデータセキュリティをさらに理解するために、シスコがクラウド領域ですべての機能を提供している純粋なクラウドケースを見てみましょう。メールアドレスなど個人情報を直接ユーザーが関連付けることが可能な唯一の場所である ID サービスは、データセンター B のセキュリティ領域から論理的および物理的に分かれています。データセンター C では、暗号化されたコンテンツが最終的に保存される領域と、両方とも別になります。

この図では、クライアントがユーザーのラップトップで実行されている Webex アプリであり、ID サービスで認証されています。ユーザーがメッセージを編集し、スペースに送るとき、以下のステップを踏みます:

クライアントは重要な管理サービス (KMS) と安全な接続を確立し、メッセージを暗号化するためのキーをリクエストします。安全な接続では ECDH を使用し、KMS は AES-256 マスターキーを使用してキーを暗号化します。
メッセージはクライアントを離れる前に暗号化されます。クライアントは、暗号化された検索インデックスを作成し、コンテンツで将来検索を助けるインデックス化サービスに送信します。
暗号化されたメッセージは、コンプライアンスチェックのためコンプライアンスサービスに送信されます。
暗号化されたメッセージは、保管領域に保管されます。

ハイブリッドデータセキュリティを展開する際、セキュリティ領域機能 (KMS、インデックス作成、コンプライアンス) をオンプレミスデータセンターに移動します。Webex を構成するその他のクラウドサービス (ID とコンテンツストレージを含む) は、Cisco の領域に残ります。

他の組織と協力する

組織内のユーザーは定期的に Webex アプリを使用して、他の組織の外部参加者と共同作業を行うことができます。ユーザーの 1 人があなたの組織が所有しているスペースのキーをリクエストしたとき (あなたの組織のユーザーの 1 人が作成したため)、KMS は ECDH の安全なチャンネルでキーをクライアントに送信します。ただし、別の組織がスペースのキーを所有している場合、KMS は別の ECDH チャネルを通じて、リクエストを WEBEX クラウドにルーティングして、適切な KMS からキーを取得し、そのキーを元のチャネルのユーザーに返します。

組織 A で実行されている KMS サービスは、X.509 PKI 証明書を使用して他の組織の KMS への接続を検証します。ハイブリッドデータセキュリティ展開で使用する X.509 証明書を生成する方法の詳細については、「環境を準備する」を参照してください。

ハイブリッドデータセキュリティの展開の例外

ハイブリッドデータセキュリティの展開には、重要な顧客のコミットメントと、暗号化キーを所有することに伴うリスクを認識する必要があります。

ハイブリッドデータセキュリティを展開するには、以下を提供する必要があります。

Cisco Webex Teams プランでサポートされている場所である国の安全なデータセンター。
で説明されている機器、ソフトウェア、ネットワークアクセス。

ハイブリッドデータセキュリティ用に構築する構成 ISO または提供するデータベースのいずれかが完全に失われると、キーが失われます。キー損失により、ユーザーが Webex アプリのスペースコンテンツやその他の暗号化されたデータを復号できなくなります。このことが発生する場合、新しい展開を構築できますが、新しいコンテンツのみが表示されます。データのアクセス権の喪失を防ぐには、以下を行う必要があります:

データベースのバックアップと復元および構成 ISO を管理します。
データベースディスクの障害やデータセンターの災害などの災害が発生した場合は、迅速な災害復旧を行う準備をしてください。

HDS 展開後にキーをクラウドに戻すメカニズムはありません。

高レベルのセットアッププロセス

このドキュメントでは、ハイブリッドデータセキュリティ展開のセットアップと管理について説明します。

ハイブリッドデータセキュリティのセットアップ—これには、必要なインフラストラクチャの準備、ハイブリッドデータセキュリティソフトウェアのインストール、トライアルモードでのユーザーのサブセットでの展開のテスト、テストの完了後、実稼働に移行が含まれます。これにより、組織全体がセキュリティ機能にハイブリッドデータセキュリティクラスタを使用するようになります。
セットアップ、トライアル、およびプロダクションフェーズについては、次の 3 つの章で詳しく説明します。
ハイブリッドデータセキュリティ展開の維持—Webex クラウドは自動的に進行中のアップグレードを提供します。IT 部門は階層 1 のサポートをこの展開に提供し、必要に応じて Cisco サポートを提供します。Control Hub では、画面上の通知を使用して、メールベースのアラートを設定できます。
一般的なアラート、トラブルシューティング手順、および既知の問題について理解する - ハイブリッドデータセキュリティの展開または使用に問題が発生した場合、このガイドの最後の章と「既知の問題の付録」が問題の判別と修正に役立ちます。

ハイブリッドデータセキュリティ展開モデル

エンタープライズデータセンター内で、ハイブリッドデータセキュリティを別々の仮想ホスト上のノードの単一のクラスタとして展開します。ノードは、セキュアなウェブソケットとセキュア HTTP を通じて Webex クラウドと通信します。

インストールプロセス中、提供する VM 上で仮想マシンセットアップするために、OVA ファイルを提供します。HDS セットアップツールを使用し、各ノードにマウントするカスタムクラスター構成 ISO ファイルを作成します。ハイブリッドデータセキュリティクラスタは、提供された Syslogd サーバと PostgreSQL または Microsoft SQL Server データベースを使用します。（HDS セットアップツールで Syslogd とデータベース接続の詳細を設定します）。

クラスターで保持できるノードの最小数は 2 つです。クラスターごとに少なくとも 3 つをお勧めします。複数のノードを持つと、ノード上のソフトウェアアップグレードやその他のメンテナンスアクティビティ中にサービスが中断されないようにします。(Webex クラウドは一度に 1 つのノードのみアップグレードします。)

クラスターのすべてのノードは、同じキーデータストアにアクセスし、同じ syslog サーバーに対するアクティビティをログ記録します。クラウドで指示された通り、ノード自体では処理状態が把握されておらず、ラウンドロビン方式でキーリクエストを処理します。

ノードは Control Hub に登録するとアクティブになります。個別ノードをサービス外にするには、必要に応じて登録解除し、再登録できます。

組織ごとに単一のクラスターのみサポートします。

ハイブリッドデータセキュリティトライアルモード

ハイブリッドデータセキュリティの展開を設定した後、まずパイロットユーザのセットで試します。トライアル期間中、これらのユーザーは暗号化キーやその他のセキュリティ領域サービスにオンプレミスのハイブリッドデータセキュリティドメインを使用します。他のユーザーは継続してクラウドセキュリティ領域を使用します。

トライアル中に展開を継続せず、サービスを非アクティブ化する場合、トライアル期間中に新しいスペースを作成することによって、相互作用したパイロットユーザーとユーザーは、メッセージとコンテンツへのアクセス権を失います。Webex アプリで「このメッセージを復号できません」と表示されます。

トライアルユーザーに対して展開がうまく機能しており、すべてのユーザーにハイブリッドデータセキュリティを拡張する準備ができている場合は、展開を本番環境に移行します。パイロットユーザーは、継続してトライアル中に使用されていたキーにアクセス権があります。しかし、実稼働環境モードと元のトライアル間で移動はできません。災害復旧の実行など、サービスを非アクティブ化する必要がある場合、再アクティブ化するとき、実稼働環境モードに戻る前に、新しいトライアルを開始し、新しいトライアルに一連のパイロットユーザーをセットアップする必要があります。この時点でユーザーがデータへのアクセスを保持するかどうかは、クラスタ内のハイブリッドデータセキュリティノードのキーデータストアと ISO 構成ファイルのバックアップを正常に維持したかどうかによって異なります。

災害復旧のためのスタンバイデータセンター

展開中、セキュアなスタンバイデータセンターをセットアップします。データセンターの災害が発生した場合、スタンバイデータセンターへの展開を手動で失敗させることができます。

フェールオーバー前、データセンター A にはアクティブな HDS ノードとプライマリ PostgreSQL または Microsoft SQL Server データベースがあり、B には追加の設定を含む ISO ファイルのコピーがあり、組織に登録されている VM、スタンバイデータベースがあります。フェールオーバー後、データセンター B にはアクティブな HDS ノードとプライマリデータベースがあり、A には未登録の VM と ISO ファイルのコピーがあり、データベースはスタンバイモードになっています。 — ***スタンバイデータセンターへの手動フェールオーバー***

アクティブおよびスタンバイデータセンターのデータベースは相互に同期されているため、フェールオーバーを実行するのにかかる時間を最小限に抑えます。スタンバイデータセンターの ISO ファイルが更新され、ノードが組織に登録されていることを確認しますが、トラフィックを処理しません。したがって、スタンバイデータセンターのノードは、常に最新バージョンの HDS ソフトウェアの最新バージョンのままになります。

アクティブなハイブリッドデータセキュリティノードは、常にアクティブなデータベースサーバと同じデータセンターにある必要があります。

ディザスタリカバリ用のスタンバイデータセンターのセットアップ

スタンバイデータセンターの ISO ファイルを構成するには、以下の手順に従ってください。

開始する前に

スタンバイデータセンターは、VM の生産環境とバックアップ PostgreSQL または Microsoft SQL Server データベースをミラーリングする必要があります。たとえば、生産に HDS ノードを実行している 3 VMs がある場合、バックアップ環境には 3 Vms が必要です。(このフェールオーバーモデルの概要については、「災害復旧のためのスタンバイデータセンター」を参照してください。)
アクティブクラスタノードのデータベースとパッシブクラスタノードのデータベース間でデータベース同期が有効になっていることを確認します。

1	HDS セットアップツールを開始し、「HDS ホストの構成 ISO を作成する」に記載されている手順に従います。 ISO ファイルは、次の構成の更新が行われるプライマリデータセンターの元の ISO ファイルのコピーである必要があります。
2	Syslogd サーバーを構成したら、[詳細設定] をクリックします。
3	[詳細設定] ページで、以下の構成を追加して、ノードをパッシブモードにします。このモードでは、ノードは組織に登録され、クラウドに接続されますが、トラフィックは処理されません。 `passiveMode: 「true」`
4	設定プロセスを完了し、見つけやすい場所に ISO ファイルを保存します。
5	ローカルシステムの ISO ファイルのバックアップコピーを作成します。バックアップコピーを安全に保ちます。このファイルには、データベースコンテンツのマスター暗号化キーを含みます。設定変更を行う必要があるハイブリッドデータセキュリティ管理者のみにアクセスを制限します。
6	VMware vSphere クライアントの左側のナビゲーションペインで、VM を右クリックし、[設定の編集] をクリックします。
7	[設定の編集] > [CD/DVD ドライブ 1] をクリックし、データストア ISO ファイルを選択します。ノードの開始後に更新された構成変更が有効になるように、[接続済み] と [電源で接続] がオンになっていることを確認します。
8	HDS ノードの電源をオンにし、少なくとも 15 分間アラームがないことを確認します。
9	スタンバイデータセンター内のすべてのノードに対してこのプロセスを繰り返します。 syslogs を確認して、ノードがパッシブモードになっていることを確認します。syslogs で「受動モードで設定された KMS」というメッセージを表示できるはずです。

次に行うこと

ISO ファイルで passiveMode を設定して保存した後、passiveMode 設定なしで ISO ファイルの別のコピーを作成し、安全な場所に保存できます。passiveMode が設定されていない ISO ファイルのこのコピーは、災害復旧時の迅速なフェールオーバープロセスに役立ちます。詳細なフェールオーバー手順については、「スタンバイデータセンターを使用した災害復旧」を参照してください。

プロキシサポート

ハイブリッドデータセキュリティノードは、以下のプロキシオプションをサポートしています。

プロキシなし: プロキシを統合するために HDS ノードのセットアップ信頼ストアとプロキシ構成を使用しない場合のデフォルト。証明書の更新は必要ありません。
透過的な検査なしのプロキシ: ノードは特定のプロキシサーバーアドレスを使用するように設定されていないため、検査なしのプロキシで動作するように変更を加える必要はありません。証明書の更新は必要ありません。
透過的なトンネリングまたは検査プロキシ: ノードは特定のプロキシサーバーアドレスを使用するように設定されていません。ノードでは、HTTP または HTTPS の設定変更は必要ありません。ただし、ノードはプロキシを信頼するためにルート証明書を必要とします。プロキシを検査することで、Web サイトにアクセスするか、どのタイプのコンテンツを使用するかを強制するポリシーを施行することができます。このタイプのプロキシは、すべてのトラフィック (HTTPS さえも含む) を復号化します。
明示的プロキシ: 明示的プロキシを使用して、使用するプロキシサーバーと認証スキームを HDS ノードに指示します。明示的なプロキシを設定するには、各ノードに次の情報を入力する必要があります。
1. プロキシ IP/FQDN—プロキシマシンに到達するために使用できるアドレス。
2. プロキシポート: プロキシがプロキシトラフィックをリッスンするために使用するポート番号。
3. プロキシプロトコル: プロキシサーバーがサポートしているものに応じて、次のプロトコルから選択します。
  - HTTP—クライアントが送信するすべての要求を表示し、コントロールします。
  - HTTPS—サーバーにチャネルを提供します。クライアントがサーバーの証明書を受け取り、検証します。
4. 認証タイプ: 次の認証タイプから選択します。
  - なし: 追加の認証は必要ありません。
    
    プロキシプロトコルとして HTTP または HTTPS のいずれかを選択した場合に利用できます。
  - ベーシック—HTTP ユーザーエージェントがリクエストを行う際にユーザー名とパスワードを指定するために使用されます。Base64 エンコードを使用します。
    
    プロキシプロトコルとして HTTP または HTTPS のいずれかを選択した場合に利用できます。
    
    各ノードにユーザー名とパスワードを入力する必要があります。
  - ダイジェスト: 機密情報を送信する前にアカウントを確認するために使用されます。ネットワークを経由して送信する前に、ユーザー名およびパスワードにハッシュ機能を適用します。
    
    プロキシプロトコルとして HTTPS を選択した場合にのみ利用できます。
    
    各ノードにユーザー名とパスワードを入力する必要があります。

ハイブリッドデータセキュリティノードとプロキシの例

外部 DNS 解決ブロックモード (明示的プロキシ構成)

環境の準備

ハイブリッドデータセキュリティの要件

Cisco Webex ライセンス要件

ハイブリッドデータセキュリティを展開するには:

Pro Pack for Cisco Webex Control Hub が必要です。(https://www.cisco.com/go/pro-packを参照。)

Docker デスクトップの要件

HDS ノードをインストールする前に、セットアッププログラムを実行するには Docker デスクトップが必要です。Docker は最近、ライセンスモデルを更新しました。組織は Docker デスクトップの有料サブスクリプションを必要とする場合があります。詳細については、Docker ブログ投稿「 Docker は更新および製品サブスクリプションを拡張しています」を参照してください。

X.509 証明書要件

証明書チェーンは、次の条件を満たす必要があります。

表1。ハイブリッドデータセキュリティ展開のための X.509 証明書要件
要件	詳細
信頼できる証明書権限 (CA) で署名済み	デフォルトでは、https://wiki.mozilla.org/CA:IncludedCAs で Mozilla リスト (WoSign と StartCom を除く) の CA を信頼します。
ハイブリッドデータセキュリティ展開を識別する共通名 (CN) ドメイン名を保持しますワイルドカード証明書ではありません	CN は到達可能またはアクティブな主催者である必要はありません。たとえばなど、組織を反映する名前を使用することを推奨します。 CN に *（ワイルドカード）を含めることはできません。 CN は、Webex アプリクライアントに対してハイブリッドデータセキュリティノードを検証するために使用されます。クラスタ内のすべてのハイブリッドデータセキュリティノードが同じ証明書を使用します。KMS は x.509v3 SAN フィールドで定義されるドメインではなく、CN ドメインを使用してそれ自体を識別します。この証明書でノードを登録した場合、CN ドメイン名の変更をサポートしません。トライアルと生産展開の両方に適用可能なドメインを選択します。
非 SHA1 署名	KMS ソフトウェアは、他の組織の KMS に対する接続を検証するために、SHA1 署名をサポートしません。
パスワード保護された PKCS #12 ファイルとして形式化 `Kms-private-key` の有効な名前を使用して、証明書、秘密鍵、中間証明書をタグ付けしてアップロードします。	OpenSSL などのコンバーターを使用して、証明書の形式を変更できます。 HDS セットアップツールを実行する時、パスワードを入力する必要があります。

KMS ソフトウェアはキー使用量を強制したり、キー使用量の誓約を拡張したりしません。いくつかの証明書権限は、サーバー認証など、拡張キー使用量が各証明書に適用されることを必要とします。サーバー認証や他の設定を使用しても大丈夫です。

仮想ホストの要件

クラスタでハイブリッドデータセキュリティノードとして設定する仮想ホストには、次の要件があります。

同じセキュアなデータセンターに少なくとも 2 つの個別のホスト (推奨 3 つ) が共存
VMware ESXi 6.5 (またはそれ以降) がインストールされ、実行されています。

ESXi の以前のバージョンがある場合は、アップグレードする必要があります。
最低 4 つの vCPU、8 GB メインメモリ、サーバーあたり 30 GB のローカルハードディスク容量

データベースサーバーの要件

キーストレージ用の新しいデータベースを作成します。デフォルトのデータベースを使用しないでください。インストールしたとき、HDS アプリケーションはデータベーススキーマを作成します。

データベースサーバには 2 つのオプションがあります。各要件は次のとおりです。

表 2. データベースのタイプ別のデータベースサーバー要件
ポストSQL	Microsoft SQL サーバー
PostgreSQL 14、15、または 16 がインストールされ、実行されています。	SQL Server 2016、2017、または 2019 (エンタープライズまたは標準) がインストールされています。 SQL Server 2016 には、Service Pack 2 および累積アップデート 2 以降が必要です。
最低 8 vCPUs、16-GB メインメモリ、十分なハードディスクスペース、超過がないように監視 (ストレージを増やす必要なく、長期間データべースを実行する場合、2-TB が推奨されます。)	最低 8 vCPUs、16-GB メインメモリ、十分なハードディスクスペース、超過がないように監視 (ストレージを増やす必要なく、長期間データべースを実行する場合、2-TB が推奨されます。)

現在、HDS ソフトウェアは、データベースサーバと通信するための次のドライババージョンをインストールしています。

ポストSQL

Microsoft SQL サーバー

Postgres JDBCドライバー 42.2.5

SQL Server JDBC ドライバー 4.6

このドライババージョンは、SQL Server Always On（Always On Failover Cluster Instances および Always On アベイラビリティグループ）をサポートしています。

Microsoft SQL Server に対する Windows 認証の追加要件

HDS ノードが Windows 認証を使用して Microsoft SQL Server 上のキーストアデータベースにアクセスできるようにする場合は、環境内で次の設定が必要です。

HDS ノード、Active Directory インフラストラクチャ、MS SQL Server はすべて NTP と同期する必要があります。
HDS ノードに提供する Windows アカウントは、データベースへの読み取り/書き込みアクセス権を持っている必要があります。
HDS ノードに提供する DNS サーバーは、キー配布センター (KDC) を解決できる必要があります。
Microsoft SQL Server で HDS データベースインスタンスをサービスプリンシパルネーム (SPN) として登録できます。「Kerberos 接続のサービスプリンシパル名を登録する」を参照してください。

HDS セットアップツール、HDS ランチャー、およびローカル KMS はすべて、キーストアデータベースにアクセスするために Windows 認証を使用する必要があります。Kerberos 認証によるアクセスを要求するときに、ISO 設定の詳細を使用して SPN を構築します。

外部接続要件

ファイアウォールを構成して、HDS アプリケーションに対して次の接続を許可します。

アプリケーション	プロトコル	ポート	アプリからの方向	移動先
ハイブリッドデータセキュリティノード	TCP	443	アウトバウンド HTTPS および WSS	Webex サーバー: .wbx2.com .ciscospark.com すべての Common Identity ホスト [Webex サービスのネットワーク要件] の [Webex ハイブリッドサービスの追加 URL] テーブルにハイブリッドデータセキュリティのためにリストされているその他の URL
HDS セットアップツール	TCP	443	アウトバウンド HTTPS	*.wbx2.com すべての Common Identity ホスト hub.docker.com

ハイブリッドデータセキュリティノードは、NAT またはファイアウォールが前の表のドメイン宛先への必要な発信接続を許可している限り、ネットワークアクセストランスレーション（NAT）またはファイアウォールの背後で機能します。ハイブリッドデータセキュリティノードにインバウンドする接続の場合、インターネットからポートを表示することはできません。データセンター内で、クライアントは管理目的のため、TCP ポート 443 および 22 のハイブリッドデータセキュリティノードにアクセスする必要があります。

Common Identity (CI) ホストの URL は地域固有です。これらは、現在の CI ホストです。

地域	共通 ID ホスト URL
Americas（北米、南米エリア）	https://idbroker.webex.com https://identity.webex.com https://idbroker-b-us.webex.com https://identity-b-us.webex.com
欧州連合	https://idbroker-eu.webex.com https://identity-eu.webex.com
カナダ	https://idbroker-ca.webex.com https://identity-ca.webex.com

プロキシサーバーの要件

お使いのハイブリッドデータセキュリティノードと統合できる次のプロキシソリューションを正式にサポートしています。
- 透過的プロキシ—Cisco Web Security Appliance (WSA)。
- 明示的プロキシ—Squid。
  
  HTTPS トラフィックを検査する Squid プロキシは、websocket (wss:) 接続の確立に干渉する可能性があります。この問題を回避するには、「ハイブリッドデータセキュリティのために Squid プロキシを構成する」を参照してください。
明示的プロキシに対して次の認証タイプの組み合わせがサポートされています。
- HTTP または HTTPS による認証がありません
- HTTP または HTTPS による基本認証
- HTTPS のみによるダイジェスト認証
透過的検査プロキシまたは HTTPS 明示的プロキシについては、プロキシのルート証明書のコピーが必要です。このガイドに記載されている展開手順は、ハイブリッドデータセキュリティノードの信頼ストアにコピーをアップロードする方法を説明しています。
HDS ノードをホストするネットワークは、ポート 443 のアウトバウンド TCP トラフィックを強制的にプロキシ経由でルーティングするように設定されている必要があります。
Web トラフィックを検査するプロキシは、Web ソケット接続に干渉する場合があります。この問題が発生した場合、wbx2.com および ciscospark.com へのトラフィックをバイパスする (検査しない) ことで問題を解決します。

ハイブリッドデータセキュリティの前提条件を満たします

このチェックリストを使用して、ハイブリッドデータセキュリティクラスタをインストールして構成する準備ができていることを確認してください。

1	Webex 組織で Pro Pack for Cisco Webex Control Hub が有効になっていることを確認し、組織の完全な管理者権限を持つアカウントの資格情報を取得してください。Cisco パートナーもしくはアカウントマネージャーにこのプロセスについてサポートを受けるために連絡してください。
2	HDS 展開のドメイン名 (例: `hds.company.com`) を選択し、X.509 証明書、秘密キー、および中間証明書を含む証明書チェーンを取得します。証明書チェーンは、X.509 証明書要件の要件を満たす必要があります。
3	クラスタでハイブリッドデータセキュリティノードとしてセットアップする同じ仮想ホストを準備します。仮想ホスト要件の要件を満たす同じセキュアなデータセンターに少なくとも 2 つの個別のホスト (推奨 3 つ) が共同で必要です。
4	データベースサーバーの要件に従って、クラスタのキーデータストアとして機能するデータベースサーバーを準備します。データベースサーバーは、セキュアなデータセンターに仮想ホストと共存する必要があります。キーストレージ用のデータベースを作成します。（このデータベースを作成する必要があります。デフォルトのデータベースを使用しないでください。インストールしたとき、HDS アプリケーションはデータベーススキーマを作成します。) ノードがデータベースサーバーと通信するために使用する詳細をまとめます: 主催者名または IP アドレス (主催者) およびポート重要なストレージ向けのデータベース名 (dbname) 重要なストレージデータベースですべての権限を持つユーザーのユーザー名とよびパスワード
5	災害復旧をすばやくするには、別のデータセンターでバックアップ環境を設定します。バックアップ環境は、VM とバックアップデータベースサーバの本番環境を反映します。たとえば、生産に HDS ノードを実行している 3 VMs がある場合、バックアップ環境には 3 Vms が必要です。
6	Syslog 主催者をセットアップして、クラスターのノードからログを収集します。ネットワークアドレスと syslog ポート (デフォルトは UDP 514) をまとめます。
7	ハイブリッドデータセキュリティノード、データベースサーバ、および syslog ホストの安全なバックアップポリシーを作成します。少なくとも、回復不能なデータの損失を防ぐには、ハイブリッドデータセキュリティノード用に生成されたデータベースと構成 ISO ファイルをバックアップする必要があります。ハイブリッドデータセキュリティノードは、コンテンツの暗号化と復号に使用されるキーを保存するため、運用展開の維持に失敗すると、コンテンツの回復不能な損失が発生します。 Webex アプリクライアントはキーをキャッシュするため、サービス停止はすぐに目立たなくなりますが、時間の経過とともに明らかになります。一時的な停電が防げない場合、復元可能です。しかし、データベースまたは構成 ISO ファイルのどちらかを完全に失う (バックアップが利用できない) ことは、顧客データは復元できません。ハイブリッドデータセキュリティノードのオペレータは、データベースと構成 ISO ファイルの頻繁なバックアップを維持し、壊滅的な障害が発生した場合に、ハイブリッドデータセキュリティデータセンターを再構築する準備をする必要があります。
8	外部接続の要件で説明されているように、ファイアウォール構成でハイブリッドデータセキュリティノードの接続を許可していることを確認してください。
9	Web ブラウザを使用して、サポートされている OS (Microsoft Windows 10 Professional または Enterprise 64 ビット、または Mac OSX Yosemite 10.10.3 以上) を実行している任意のローカルマシンに Docker (https://www.docker.com) をインストールします。http://127.0.0.1:8080. Docker インスタンスを使用して、すべてのハイブリッドデータセキュリティノードのローカル設定情報を構築する HDS セットアップツールをダウンロードして実行します。組織には Docker デスクトップライセンスが必要な場合があります。詳細については、「Docker デスクトップの要件」を参照してください。 HDS セットアップツールをインストールして実行するには、ローカルマシンに外部接続要件で説明されている接続性が必要です。
10	プロキシをハイブリッドデータセキュリティと統合する場合は、プロキシサーバー要件を満たしていることを確認してください。
11	組織がディレクトリ同期を使用する場合、`HdsTrialGroup` というアクティブディレクトリでグループを作成し、パイロットユーザーを追加します。トライアルグループには最大 250 ユーザー含められます。`HdsTrialGroup` オブジェクトは、組織のトライアルを開始する前に、クラウドに対して同期される必要があります。グループオブジェクトを同期するには、Directory Connector の [構成] > [オブジェクトの選択] メニューで選択します。(詳細については、「Cisco Directory Connector の展開ガイド」を参照してください。) 与えられたスペースのキーは、スペースの作成者により設定されます。パイロットユーザーを選択する場合、ハイブリッドデータセキュリティ展開を完全に無効にする場合、すべてのユーザーはパイロットユーザーによって作成されたスペースのコンテンツにアクセスできなくなることに注意してください。損失はユーザーのアプリがコンテンツのキャッシュされたコピーを更新するとすぐに明らかになります。

ハイブリッドデータセキュリティクラスターのセットアップ

ハイブリッドデータセキュリティ展開のタスクフロー

開始する前に