一部の記事の内容が正しく表示されない場合があります。サイトの更新に伴い、ご不便をおかけして申し訳ありません。
cross icon
この記事の内容
dropdown icon
はじめに
    新規および変更された情報
    dropdown icon
    ハイブリッド データ セキュリティの使用を開始する
      ハイブリッド データ セキュリティの概要
        dropdown icon
        セキュリティRealmアーキテクチャ
          分離の領域(ハイブリッド データ セキュリティなし)
        他の組織との連携
          ハイブリッド データ セキュリティの展開への期待
            高レベルのセットアッププロセス
              dropdown icon
              ハイブリッド データ セキュリティ展開モデル
                ハイブリッド データ セキュリティ展開モデル
              ハイブリッド データ セキュリティ トライアル モード
                dropdown icon
                災害復旧のためのスタンバイデータセンター
                  災害復旧のためのスタンバイデータセンターを設定
                プロキシ サポート
                dropdown icon
                環境の準備
                  dropdown icon
                  ハイブリッド データ セキュリティの要件
                    Cisco Webex ライセンス要件
                    Docker デスクトップの要件
                    X.509 証明書の要件
                    仮想ホストの要件
                    データベースサーバーの要件
                    外部接続の要件
                    プロキシ サーバーの要件
                  ハイブリッド データ セキュリティの前提条件を完了する
                  dropdown icon
                  ハイブリッド データ セキュリティ クラスタのセットアップ
                    ハイブリッド データ セキュリティ展開タスク フロー
                      インストールファイルのダウンロード
                        HDS ホストの設定 ISO を作成する
                          HDS ホスト OVA のインストール
                            ハイブリッド データ セキュリティ VM のセットアップ
                              HDS 設定 ISO のアップロードとマウント
                                プロキシ統合のために HDS ノードを設定する
                                  クラスタ内の最初のノードを登録する
                                    より多くのノードを作成して登録する
                                    dropdown icon
                                    トライアルを実行して本番環境に移動
                                      プロダクション タスク フローへの試行
                                        トライアルの有効化
                                          ハイブリッド データ セキュリティ展開をテストする
                                            ハイブリッド データ セキュリティの健全性を監視する
                                              トライアルからユーザーを追加または削除する
                                                トライアルからプロダクションへの移行
                                                  本番環境に移行せずにトライアルを終了する
                                                  dropdown icon
                                                  HDS 展開の管理
                                                    HDS 展開の管理
                                                      クラスタアップグレードスケジュールの設定
                                                        ノードの設定を変更する
                                                          外部 DNS 解決ブロックモードをオフにする
                                                            ノードの削除
                                                              スタンバイデータセンターを使用したディザスタ リカバリ
                                                                (オプション)HDS設定後にISOをアンマウントする
                                                                dropdown icon
                                                                ハイブリッド データ セキュリティのトラブルシューティング
                                                                  アラートとトラブルシューティングの表示
                                                                    dropdown icon
                                                                    警告
                                                                      一般的な問題とそれらを解決するためのステップ
                                                                    ハイブリッド データ セキュリティのトラブルシューティング
                                                                    dropdown icon
                                                                    その他の注意事項
                                                                      ハイブリッド データ セキュリティの既知の問題
                                                                        OpenSSL を使用して PKCS12 ファイルを生成する
                                                                          HDS ノードとクラウド間のトラフィック
                                                                            dropdown icon
                                                                            ハイブリッド データ セキュリティの Squid プロキシを設定する
                                                                              Websocket は Squid プロキシを通じて接続できません
                                                                          この記事の内容
                                                                          cross icon
                                                                          dropdown icon
                                                                          はじめに
                                                                            新規および変更された情報
                                                                            dropdown icon
                                                                            ハイブリッド データ セキュリティの使用を開始する
                                                                              ハイブリッド データ セキュリティの概要
                                                                                dropdown icon
                                                                                セキュリティRealmアーキテクチャ
                                                                                  分離の領域(ハイブリッド データ セキュリティなし)
                                                                                他の組織との連携
                                                                                  ハイブリッド データ セキュリティの展開への期待
                                                                                    高レベルのセットアッププロセス
                                                                                      dropdown icon
                                                                                      ハイブリッド データ セキュリティ展開モデル
                                                                                        ハイブリッド データ セキュリティ展開モデル
                                                                                      ハイブリッド データ セキュリティ トライアル モード
                                                                                        dropdown icon
                                                                                        災害復旧のためのスタンバイデータセンター
                                                                                          災害復旧のためのスタンバイデータセンターを設定
                                                                                        プロキシ サポート
                                                                                        dropdown icon
                                                                                        環境の準備
                                                                                          dropdown icon
                                                                                          ハイブリッド データ セキュリティの要件
                                                                                            Cisco Webex ライセンス要件
                                                                                            Docker デスクトップの要件
                                                                                            X.509 証明書の要件
                                                                                            仮想ホストの要件
                                                                                            データベースサーバーの要件
                                                                                            外部接続の要件
                                                                                            プロキシ サーバーの要件
                                                                                          ハイブリッド データ セキュリティの前提条件を完了する
                                                                                          dropdown icon
                                                                                          ハイブリッド データ セキュリティ クラスタのセットアップ
                                                                                            ハイブリッド データ セキュリティ展開タスク フロー
                                                                                              インストールファイルのダウンロード
                                                                                                HDS ホストの設定 ISO を作成する
                                                                                                  HDS ホスト OVA のインストール
                                                                                                    ハイブリッド データ セキュリティ VM のセットアップ
                                                                                                      HDS 設定 ISO のアップロードとマウント
                                                                                                        プロキシ統合のために HDS ノードを設定する
                                                                                                          クラスタ内の最初のノードを登録する
                                                                                                            より多くのノードを作成して登録する
                                                                                                            dropdown icon
                                                                                                            トライアルを実行して本番環境に移動
                                                                                                              プロダクション タスク フローへの試行
                                                                                                                トライアルの有効化
                                                                                                                  ハイブリッド データ セキュリティ展開をテストする
                                                                                                                    ハイブリッド データ セキュリティの健全性を監視する
                                                                                                                      トライアルからユーザーを追加または削除する
                                                                                                                        トライアルからプロダクションへの移行
                                                                                                                          本番環境に移行せずにトライアルを終了する
                                                                                                                          dropdown icon
                                                                                                                          HDS 展開の管理
                                                                                                                            HDS 展開の管理
                                                                                                                              クラスタアップグレードスケジュールの設定
                                                                                                                                ノードの設定を変更する
                                                                                                                                  外部 DNS 解決ブロックモードをオフにする
                                                                                                                                    ノードの削除
                                                                                                                                      スタンバイデータセンターを使用したディザスタ リカバリ
                                                                                                                                        (オプション)HDS設定後にISOをアンマウントする
                                                                                                                                        dropdown icon
                                                                                                                                        ハイブリッド データ セキュリティのトラブルシューティング
                                                                                                                                          アラートとトラブルシューティングの表示
                                                                                                                                            dropdown icon
                                                                                                                                            警告
                                                                                                                                              一般的な問題とそれらを解決するためのステップ
                                                                                                                                            ハイブリッド データ セキュリティのトラブルシューティング
                                                                                                                                            dropdown icon
                                                                                                                                            その他の注意事項
                                                                                                                                              ハイブリッド データ セキュリティの既知の問題
                                                                                                                                                OpenSSL を使用して PKCS12 ファイルを生成する
                                                                                                                                                  HDS ノードとクラウド間のトラフィック
                                                                                                                                                    dropdown icon
                                                                                                                                                    ハイブリッド データ セキュリティの Squid プロキシを設定する
                                                                                                                                                      Websocket は Squid プロキシを通じて接続できません
                                                                                                                                                  Webex ハイブリッド データ セキュリティの展開ガイド
                                                                                                                                                  list-menuこの記事の内容
                                                                                                                                                  はじめに

                                                                                                                                                  新規および変更された情報

                                                                                                                                                  日付

                                                                                                                                                  変更履歴

                                                                                                                                                  2023年10月20日。

                                                                                                                                                  2023年8月7日。

                                                                                                                                                  2023年5月23日。

                                                                                                                                                  2022 年 12 月 06 日

                                                                                                                                                  2022年11月23日。

                                                                                                                                                  2021 年 10 月 13 日

                                                                                                                                                  HDS ノードをインストールする前に、Docker Desktop でセットアッププログラムを実行する必要があります。 Docker デスクトップの要件を参照してください。

                                                                                                                                                  2017 年 6 月 24 日

                                                                                                                                                  秘密鍵ファイルと CSR を再使用して別の証明書を要求できることに注意してください。 詳細については、「OpenSSL を使用して PKCS12 ファイルを生成する」を参照してください。

                                                                                                                                                  2021 年 4 月 30 日

                                                                                                                                                  ローカル ハード ディスク スペースの VM 要件を 30 GB に変更しました。 詳細については、「仮想ホスト要件」を参照してください。

                                                                                                                                                  2021 年 2 月 24 日

                                                                                                                                                  HDS セットアップ ツールは、プロキシの後ろで実行できるようになりました。 詳細については、「HDS ホストの設定 ISO を作成する」を参照してください。

                                                                                                                                                  2021 年 2 月 2 日

                                                                                                                                                  HDS は、マウントされた ISO ファイルなしで実行できるようになりました。 詳細については、「(オプション) HDS 設定後に ISO のマウント解除 」を参照してください。

                                                                                                                                                  2021年1月11日。

                                                                                                                                                  HDSセットアップツールとプロキシに関する情報を追加し、HDSホストの設定ISOを作成しました。

                                                                                                                                                  2020/10/13

                                                                                                                                                  インストールファイルのダウンロードを更新しました。

                                                                                                                                                  2020/10/08

                                                                                                                                                  更新HDSホスト用の構成ISOの作成およびFedRAMP環境のコマンドによるノード構成の変更

                                                                                                                                                  2020 年 8 月 14 日

                                                                                                                                                  サインイン プロセスの変更に伴い、「HDS ホストの構成 ISO を作成する」および「ノード構成を変更する」が更新されました。

                                                                                                                                                  2020年8月5日水曜日

                                                                                                                                                  ログ メッセージの変更に関するハイブリッド データ セキュリティ展開のテストを更新しました。

                                                                                                                                                  ホストの最大数を削除する仮想ホスト要件を更新しました。

                                                                                                                                                  2020 年 6 月 16 日

                                                                                                                                                  Control Hub UI の変更に関するノードの削除を更新しました。

                                                                                                                                                  2020 年 6 月 4 日

                                                                                                                                                  設定する詳細設定の変更に関するHDS ホストの設定 ISO の作成を更新しました。

                                                                                                                                                  2020 年 5 月 29 日

                                                                                                                                                  SQL Serverデータベース、UI変更、およびその他の説明でTLSを使用できることを示すために、HDSホストの構成ISOを作成するを更新しました。

                                                                                                                                                  2020 年 5 月 5 日

                                                                                                                                                  ESXi 6.5 の新しい要件を表示するために、仮想ホスト要件を更新しました。

                                                                                                                                                  2020 年 4 月 21 日

                                                                                                                                                  新しい Americas CI ホストとの外部接続要件が更新されました。

                                                                                                                                                  2020 年 4 月 1 日

                                                                                                                                                  地域 CI ホストに関する情報で外部接続要件が更新されました。

                                                                                                                                                  2020年2月20日水曜日HDSセットアップツールの新しいオプションの詳細設定画面に関する情報を記載したHDSホストの設定ISOを作成を更新しました。
                                                                                                                                                  2020年2月4日。プロキシサーバーの要件を更新しました。
                                                                                                                                                  2019年12月16日ブロックされた外部 DNS 解決モードがプロキシサーバーの要件で動作する要件を明確化しました。
                                                                                                                                                  2019 年 11 月 19 日

                                                                                                                                                  次のセクションで、ブロックされた外部 DNS 解決モードに関する情報を追加しました。

                                                                                                                                                  2019 年 11 月 8 日

                                                                                                                                                  OVA を後で展開するのではなく、ノードのネットワーク設定を構成できるようになりました。

                                                                                                                                                  以下のセクションを適宜更新しました。


                                                                                                                                                   

                                                                                                                                                  OVA 展開中にネットワーク設定を設定するオプションは、ESXi 6.5 でテストされています。 このオプションは、以前のバージョンでは使用できない場合があります。

                                                                                                                                                  2019年9月6日水曜日

                                                                                                                                                  データベースサーバーの要件にSQL Server Standardを追加しました。

                                                                                                                                                  2019 年 8 月 29 日適切な動作のためにWebSocketトラフィックを無視するようにSquidプロキシを設定する方法についてのガイダンスが追加されました。Configure Squid Proxies for Hybrid Data Securityの付録が追加されました。
                                                                                                                                                  2019 年 8 月 20 日

                                                                                                                                                  Webex クラウドへのハイブリッド データ セキュリティ ノード通信のプロキシ サポートをカバーするセクションを追加および更新しました。

                                                                                                                                                  既存の展開のプロキシ サポート コンテンツだけにアクセスするには、「ハイブリッド データ セキュリティと Webex ビデオ メッシュのプロキシ サポート」のヘルプ記事を参照してください。

                                                                                                                                                  2019年6月13日。トライアルから本番稼働タスク フローに更新し、 HdsTrialGroup 組織がディレクトリ同期を使用している場合、トライアルを開始する前にグループ オブジェクト。
                                                                                                                                                  2019年3月6日(火)
                                                                                                                                                  2019 年 2 月 28 日
                                                                                                                                                  • ハイブリッド データ セキュリティ ノードとなる仮想ホストを 50 GB から 20 GB に準備するときに、OVA が作成するディスクのサイズを反映させるために、サーバあたりのローカル ハード ディスクの空き容量を修正しました。

                                                                                                                                                  2019 年 2 月 26 日
                                                                                                                                                  • ハイブリッド データ セキュリティ ノードは、PostgreSQL データベース サーバとの暗号化された接続、および TLS 対応の syslog サーバへの暗号化されたロギング接続をサポートするようになりました。 手順が記載された「HDS ホストの設定 ISO を作成」を更新しました。

                                                                                                                                                  • 「ハイブリッド データ セキュリティ ノード VM のインターネット接続要件」の表から移動先 URL を削除しました。 この表は、Webex Teams サービスのネットワーク要件の「Webex Teams ハイブリッド サービスの追加 URL」表で維持されているリストを参照しています。

                                                                                                                                                  2019 年 1 月 24 日

                                                                                                                                                  • ハイブリッド データ セキュリティは、データベースとして Microsoft SQL Server をサポートするようになりました。 SQL Server Always On (Always On Failover Clusters and Always on Availability Groups) は、ハイブリッド データ セキュリティで使用される JDBC ドライバーによってサポートされています。 SQL Server での展開に関連するコンテンツを追加しました。


                                                                                                                                                     

                                                                                                                                                    Microsoft SQL Server のサポートは、ハイブリッド データ セキュリティの新規展開のみを対象としています。 現在のところ、既存の展開における、PostgreSQL から Microsoft SQL Server への移行はサポートしていません。

                                                                                                                                                  2018年11月5日。
                                                                                                                                                  2018年10月19日水曜日

                                                                                                                                                  2018 年 7 月 31 日

                                                                                                                                                  2018/05/21

                                                                                                                                                  Cisco Spark のリブランディングを反映する用語の変更:

                                                                                                                                                  • Cisco Spark ハイブリッド データ セキュリティがハイブリッド データ セキュリティになりました。

                                                                                                                                                  • Cisco Spark アプリが Webex アプリ アプリになりました。

                                                                                                                                                  • Cisco Collaboraton Cloud は Webex クラウドになりました。

                                                                                                                                                  2018年4月11日。
                                                                                                                                                  2018年2月22日水曜日
                                                                                                                                                  • サービスアカウントパスワードの9か月の寿命と、HDSセットアップツールを使用してサービスアカウントパスワードをリセットする方法についての情報を追加しました。「HDSホストの設定ISOの作成」および「ノード設定の変更」を参照してください。

                                                                                                                                                  2018 年 2 月 15 日
                                                                                                                                                  • X.509証明書の要件表では、証明書がワイルドカード証明書にはならないこと、KMSがCNドメインを使用していること、x.509v3 SANフィールドで定義されているドメインではないことが指定されています。

                                                                                                                                                  2018 年 1 月 18 日

                                                                                                                                                  2017年11月2日。

                                                                                                                                                  • HdsTrialGroup のディレクトリ同期を明確にしました。

                                                                                                                                                  • VM ノードにマウントするための ISO 設定ファイルをアップロードする手順を修正しました。

                                                                                                                                                  2017年8月18日。

                                                                                                                                                  初公開。

                                                                                                                                                  ハイブリッド データ セキュリティの使用を開始する

                                                                                                                                                  ハイブリッド データ セキュリティの概要

                                                                                                                                                  初日から、Webex アプリの設計において、データ セキュリティが主な焦点となっています。 このセキュリティはエンドツーエンドのコンテンツ暗号化を基礎とし、 Webexアプリ クライアントがキー管理サービス (KMS) とやり取りすることで実現しました。 KMS はメッセージとファイルを動的に暗号化し、解読するためにクライアントが使用する暗号キーの作成と管理の責任を負っています。

                                                                                                                                                  デフォルトでは、すべての Webex アプリの顧客は、Cisco のセキュリティ領域にあるクラウド KMS に保存されている動的キーを使用して、エンドツーエンドの暗号化を取得します。 ハイブリッド データ セキュリティは、KMS とその他のセキュリティ関連の機能をあなたのエンタープライズ データ センターに移動するため、誰でもなくあなたが暗号化コンテンツの鍵を持っています。

                                                                                                                                                  セキュリティRealmアーキテクチャ

                                                                                                                                                  Webex クラウド アーキテクチャは、以下に示すように、さまざまなタイプのサービスを別々の領域、または信頼ドメインに分離します。

                                                                                                                                                  分離の領域 (ハイブリッド データ セキュリティなし)

                                                                                                                                                  ハイブリッド データ セキュリティをさらに理解するには、まず、シスコがクラウド レルムですべての機能を提供しているこの純粋なクラウド ケースを見てみましょう。 メールアドレスなどの個人情報とユーザーが直接相関できる唯一の場所であるアイデンティティサービスは、データセンターBのセキュリティ領域と論理的かつ物理的に分離されています。

                                                                                                                                                  この図では、クライアントはユーザーのラップトップで実行されている Webex アプリであり、ID サービスで認証されています。 ユーザがスペースに送信するメッセージを作成すると、次の手順が実行されます。

                                                                                                                                                  1. クライアントは、キー管理サービス(KMS)とのセキュアな接続を確立し、メッセージを暗号化するためのキーを要求します。 安全な接続は ECDH を使用し、KMS は AES-256 マスター キーを使用してキーを暗号化します。

                                                                                                                                                  2. メッセージはクライアントを離れる前に暗号化されます。 クライアントはインデックスをインデックスサービスに送信します。これにより、暗号化された検索インデックスが作成され、今後のコンテンツの検索に役立ちます。

                                                                                                                                                  3. 暗号化されたメッセージは、コンプライアンス チェックのためにコンプライアンス サービスに送信されます。

                                                                                                                                                  4. 暗号化されたメッセージはストレージ領域に保存されます。

                                                                                                                                                  ハイブリッド データ セキュリティを展開すると、セキュリティ レルム機能 (KMS、インデックス、コンプライアンス) をオンプレミスのデータセンターに移動します。 Webex を構成する他のクラウド サービス (ID とコンテンツ ストレージを含む) は、シスコの領域に残ります。

                                                                                                                                                  他の組織との連携

                                                                                                                                                  組織内のユーザーは、Webex アプリを定期的に使用して、他の組織の外部参加者とコラボレーションできます。 ユーザーの 1 人が組織によって所有されているスペースのキーを要求すると(ユーザーの 1 人が作成したため)、KMS は ECDH 保護されたチャネルを介してキーをクライアントに送信します。 ただし、別の組織がスペースのキーを所有している場合、KMS は別の ECDH チャネルを介してリクエストを WEBEX クラウドにルーティングして、適切な KMS からキーを取得し、元のチャネルのユーザーにキーを返します。

                                                                                                                                                  組織 A で実行されている KMS サービスは、x.509 PKI 証明書を使用して他の組織の KMS への接続を検証します。 ハイブリッド データ セキュリティの展開で使用する x.509 証明書の生成の詳細については、「環境の準備」を参照してください。

                                                                                                                                                  ハイブリッド データ セキュリティの展開への期待

                                                                                                                                                  ハイブリッド データ セキュリティの展開には、重要な顧客のコミットメントと、暗号化キーの所有に伴うリスクの認識が必要です。

                                                                                                                                                  ハイブリッド データ セキュリティを展開するには、以下を提供する必要があります。

                                                                                                                                                  ハイブリッド データ セキュリティ用に構築する構成 ISO または提供されたデータベースのいずれかを完全に失うと、キーが失われます。 キー損失は、ユーザーが Webex アプリでスペース コンテンツやその他の暗号化されたデータを復号することを防ぎます。 この場合、新しい展開を構築できますが、新しいコンテンツのみが表示されます。 データへのアクセスの損失を避けるには、以下を行う必要があります。

                                                                                                                                                  • データベースのバックアップとリカバリ、および構成ISOを管理します。

                                                                                                                                                  • データベースのディスク障害やデータセンター障害などの大災害が発生した場合、迅速な災害復旧を実行する準備をしてください。


                                                                                                                                                   

                                                                                                                                                  HDS 導入後にキーをクラウドに戻すメカニズムはありません。

                                                                                                                                                  高レベルのセットアッププロセス

                                                                                                                                                  このドキュメントでは、ハイブリッド データ セキュリティ展開のセットアップと管理について説明します。

                                                                                                                                                  • ハイブリッド データ セキュリティのセットアップ—これには、必要なインフラストラクチャの準備とハイブリッド データ セキュリティ ソフトウェアのインストール、トライアル モードでのユーザーのサブセットを使用した展開のテスト、テストが完了すると本番環境に移行することが含まれます。 これにより、組織全体がセキュリティ機能にハイブリッド データ セキュリティ クラスタを使用できるようになります。

                                                                                                                                                    セットアップ、トライアル、および生産の各段階は、次の3つの章で詳しく説明されています。

                                                                                                                                                  • ハイブリッド データ セキュリティの展開を維持する—Webex クラウドは自動的に継続的なアップグレードを提供します。 IT 部門は、この展開に対してティア 1 のサポートを提供し、必要に応じてシスコのサポートを引き受けることができます。 画面上の通知を使用し、Control Hub でメールベースのアラートを設定できます。

                                                                                                                                                  • 一般的なアラート、トラブルシューティング手順、および既知の問題について理解する—ハイブリッド データ セキュリティの展開または使用で問題が発生した場合、このガイドの最後の章と既知の問題の付録は、問題を決定および修正するのに役立ちます。

                                                                                                                                                  ハイブリッド データ セキュリティ展開モデル

                                                                                                                                                  エンタープライズ データ センターでは、ハイブリッド データ セキュリティを個別の仮想ホスト上のノードの単一のクラスタとして展開します。 ノードは、セキュアなウェブソケットとセキュアな HTTP を通じて Webex クラウドと通信します。

                                                                                                                                                  インストールプロセス中に、提供するVM上の仮想アプライアンスを設定するためのOVAファイルを提供します。 HDS セットアップ ツールを使用して、各ノードにマウントするカスタム クラスタ構成 ISO ファイルを作成します。 ハイブリッド データ セキュリティ クラスタは、提供された Syslogd サーバーと PostgreSQL または Microsoft SQL Server データベースを使用します。 (HDS セットアップツールで Syslogd とデータベース接続の詳細を設定します。)

                                                                                                                                                  ハイブリッド データ セキュリティ展開モデル

                                                                                                                                                  クラスタに持つことができるノードの最小数は 2 です。 私たちは少なくとも3つをお勧めします、そしてあなたは最大5つを持つことができます。 複数のノードを持つことにより、ノードのソフトウェアアップグレードやその他のメンテナンス作業中にサービスが中断されないようにします。(Webex クラウドは一度に 1 つのノードのみをアップグレードします。)

                                                                                                                                                  クラスタ内のすべてのノードが同じキーデータストアにアクセスし、同じ syslog サーバにアクティビティをログします。 ノード自体はステートレスであり、クラウドの指示に従って、ラウンドロビン方式で重要な要求を処理します。

                                                                                                                                                  ノードは、Control Hub に登録するとアクティブになります。 個々のノードをサービスから削除するには、登録を解除し、必要に応じて後で再登録できます。

                                                                                                                                                  組織ごとに 1 つのクラスタのみをサポートします。

                                                                                                                                                  ハイブリッド データ セキュリティ トライアル モード

                                                                                                                                                  ハイブリッド データ セキュリティの展開をセットアップした後、最初にパイロット ユーザーのセットで試してください。 トライアル期間中、これらのユーザーは暗号化キーやその他のセキュリティ領域サービスにオンプレミスのハイブリッド データ セキュリティ ドメインを使用します。 他のユーザーは引き続きクラウド セキュリティ レルムを使用します。

                                                                                                                                                  トライアル中に展開を続行せず、サービスを無効にすると、パイロットユーザーとトライアル期間中に新しいスペースを作成して対話したユーザーは、メッセージとコンテンツへのアクセス権を失います。 Webex アプリに「このメッセージは復号化できません」と表示されます。

                                                                                                                                                  導入がトライアル ユーザーに対してうまく機能しており、ハイブリッド データ セキュリティをすべてのユーザーに拡張する準備ができている場合は、導入を本番環境に移行します。 パイロットのユーザーは、トライアル中に使用されたキーにアクセスできます。 ただし、プロダクションモードと元のトライアルを行ったり来たりすることはできません。 ディザスタ リカバリを実行するなど、サービスを非アクティブ化する必要がある場合は、再アクティブ化時に新しいトライアルを開始し、新しいトライアルのパイロット ユーザーのセットを設定してから、プロダクション モードに戻す必要があります。 ユーザがこの時点でデータへのアクセスを保持するかどうかは、クラスタ内のハイブリッド データ セキュリティ ノードのキー データ ストアと ISO 構成ファイルのバックアップを正常に維持したかどうかに依存します。

                                                                                                                                                  災害復旧のためのスタンバイデータセンター

                                                                                                                                                  展開中に、セキュアなスタンバイデータセンターを設定します。 データセンターに障害が発生した場合、スタンバイデータセンターへの展開を手動で失敗させることができます。

                                                                                                                                                  Before failover, Data Center A has active HDS nodes and the primary PostgreSQL or Microsoft SQL Server database, while B has a copy of the ISO file with additional configurations, VMs that are registered to the organization, and a standby database. After failover, Data Center B has active HDS nodes and the primary database, while A has unregistered VMs and a copy of the ISO file, and the database is in standby mode.
                                                                                                                                                  スタンバイデータセンターへの手動フェールオーバー

                                                                                                                                                  アクティブ データ センターとスタンバイ データ センターのデータベースが相互に同期されているため、フェールオーバーを実行するのにかかる時間が最小限に抑えられます。 スタンバイデータセンターの ISO ファイルは、ノードが組織に登録されていることを確認する追加の構成で更新されますが、トラフィックは処理されません。 したがって、スタンバイデータセンターのノードは、常に最新バージョンのHDSソフトウェアで最新の状態に保たれます。


                                                                                                                                                   

                                                                                                                                                  アクティブなハイブリッド データ セキュリティ ノードは、常にアクティブなデータベース サーバと同じデータセンターにある必要があります。

                                                                                                                                                  災害復旧のためのスタンバイデータセンターを設定

                                                                                                                                                  スタンバイデータセンターの ISO ファイルを設定するには、以下の手順に従います。

                                                                                                                                                  始める前に

                                                                                                                                                  • スタンバイデータセンターは、VMとバックアップPostgreSQLまたはMicrosoft SQL Serverデータベースの生産環境をミラーリングする必要があります。 たとえば、本番環境に HDS ノードを実行する 3 台の仮想マシンがある場合、バックアップ環境には 3 台の仮想マシンが必要です (このフェールオーバーモデルの概要については、「Standby Data Center for Disaster Recovery」を参照してください)。

                                                                                                                                                  • アクティブクラスタノードとパッシブクラスタノードのデータベース間でデータベース同期が有効になっていることを確認します。

                                                                                                                                                  1

                                                                                                                                                  HDS Setupツールを起動し、「HDSホストの設定ISOを作成する」の手順に従います。


                                                                                                                                                   

                                                                                                                                                  ISO ファイルは、次の構成更新を行うプライマリデータセンターの原本 ISO ファイルのコピーである必要があります。

                                                                                                                                                  2

                                                                                                                                                  Syslogdサーバーを構成した後、[詳細設定]をクリックします。

                                                                                                                                                  3

                                                                                                                                                  [詳細設定]ページで、以下の設定を追加して、ノードをパッシブモードにします。 このモードでは、ノードは組織に登録され、クラウドに接続されますが、トラフィックは処理されません。

                                                                                                                                                  
                                                                                                                                                  passiveMode: 'true'
                                                                                                                                                  
                                                                                                                                                  4

                                                                                                                                                  構成プロセスを完了し、見つけやすい場所にISOファイルを保存します。

                                                                                                                                                  5

                                                                                                                                                  ローカルシステム上のISOファイルのバックアップコピーを作成します。 バックアップコピーを安全に保管してください。 このファイルには、データベースコンテンツのマスター暗号化キーが含まれています。 構成を変更する必要があるハイブリッド データ セキュリティ管理者のみへのアクセスを制限します。

                                                                                                                                                  6

                                                                                                                                                  VMware vSphere クライアントの左側のナビゲーションペインで、仮想マシンを右クリックし、[設定の編集] をクリックします。

                                                                                                                                                  7

                                                                                                                                                  [設定の編集]>[CD/DVDドライブ1]をクリックし、[データストアISOファイル]を選択します。


                                                                                                                                                   

                                                                                                                                                  ノードを開始した後で、更新された設定変更を有効にするために、「接続」および「電源投入時に接続」がオンになっていることを確認します。

                                                                                                                                                  8

                                                                                                                                                  HDS ノードの電源を入れ、少なくとも 15 分間アラームがないことを確認します。

                                                                                                                                                  9

                                                                                                                                                  スタンバイデータセンター内のすべてのノードに対してプロセスを繰り返します。


                                                                                                                                                   

                                                                                                                                                  Syslogs をチェックして、ノードがパッシブモードになっていることを確認します。 Syslogsで「パッシブモードで設定されたKMS」というメッセージを表示できるはずです。

                                                                                                                                                  次に行うこと

                                                                                                                                                  設定後 passiveMode ISOファイルに保存すると、ISOファイルの別のコピーを作成できます。 passiveMode 設定し、安全な場所に保存します。 このISOファイルのコピー passiveMode 設定すると、ディザスタ リカバリ中の迅速なフェールオーバー プロセスに役立ちます。 詳細なフェールオーバー手順については、「 スタンバイデータセンターを使用したディザスタ リカバリ」を参照してください。

                                                                                                                                                  プロキシサポート

                                                                                                                                                  ハイブリッド データ セキュリティは、明示的な透過的な検査および非検査プロキシをサポートします。 これらのプロキシを展開に関連付けることができます。これにより、エンタープライズからクラウドに送信されるトラフィックをセキュリティ保護し、監視することができます。 証明書の管理のノードでプラットフォーム管理インターフェイスを使用して、ノードでプロキシを設定した後で、全体的な接続ステータスを確認することができます。

                                                                                                                                                  ハイブリッド データ セキュリティ ノードは、以下のプロキシ オプションをサポートしています。

                                                                                                                                                  • プロキシなし—プロキシを統合するために、HDS ノード セットアップの信頼ストアとプロキシ設定を使用しない場合は、デフォルトになります。 証明書の更新は必要ありません。

                                                                                                                                                  • 透過型の検査なしのプロキシ—ノードは特定のプロキシ サーバー アドレスを使用するように設定されていないため、検査なしのプロキシで動作するように変更を加える必要はありません。 証明書の更新は必要ありません。

                                                                                                                                                  • 透過トンネリングまたは検査プロキシ—ノードは特定のプロキシ サーバー アドレスを使用するように設定されていません。 ノードでは、HTTP または HTTPS の設定変更は必要ありません。 ただし、ノードはプロキシを信頼するためにルート証明書を必要とします。 プロキシを検査することで、Web サイトにアクセスするか、どのタイプのコンテンツを使用するかを強制するポリシーを施行することができます。 このタイプのプロキシは、すべてのトラフィック (HTTPS さえも含む) を復号化します。

                                                                                                                                                  • 明示的プロキシ—明示的なプロキシを使用して、使用するプロキシ サーバーと認証スキームを指定します。 明示的なプロキシを設定するには、各ノードに次の情報を入力する必要があります。

                                                                                                                                                    1. プロキシ IP/FQDN—プロキシ マシンに到達するために使用できるアドレス。

                                                                                                                                                    2. プロキシ ポート-プロキシがプロキシ トラフィックをリスンするために使用するポート番号。

                                                                                                                                                    3. プロキシ プロトコル-プロキシ サーバーがサポートするものに応じて、次のいずれかのプロトコルを選択します。

                                                                                                                                                      • HTTP—クライアントが送信するすべての要求を表示し、コントロールします。

                                                                                                                                                      • HTTPS—サーバーにチャネルを提供します。 クライアントがサーバーの証明書を受け取り、検証します。

                                                                                                                                                    4. 認証タイプ-次の認証タイプから選択します。

                                                                                                                                                      • なし—追加の認証は必要ありません。

                                                                                                                                                        プロキシ プロトコルとして HTTP または HTTPS のいずれかを選択した場合に利用できます。

                                                                                                                                                      • ベーシック—HTTP ユーザー エージェントがリクエストを行う際にユーザー名とパスワードを指定するために使用されます。 Base64 エンコードを使用します。

                                                                                                                                                        プロキシ プロトコルとして HTTP または HTTPS のいずれかを選択した場合に利用できます。

                                                                                                                                                        各ノードにユーザー名とパスワードを入力する必要があります。

                                                                                                                                                      • ダイジェスト—機密情報を送信する前にアカウントを確認するために使用されます。 ネットワークを経由して送信する前に、ユーザー名およびパスワードにハッシュ機能を適用します。

                                                                                                                                                        プロキシ プロトコルとして HTTPS を選択した場合にのみ利用できます。

                                                                                                                                                        各ノードにユーザー名とパスワードを入力する必要があります。

                                                                                                                                                  ハイブリッド データ セキュリティ ノードとプロキシの例

                                                                                                                                                  この図は、ハイブリッド データ セキュリティ、ネットワーク、およびプロキシ間の接続例を示しています。 透過的な検査および HTTPS 明示的な検査プロキシ オプションの場合、同じルート証明書がプロキシとハイブリッド データ セキュリティ ノードにインストールされている必要があります。

                                                                                                                                                  外部 DNS 解決ブロックモード (明示的プロキシ構成)

                                                                                                                                                  ノードを登録するか、またはノードのプロキシ構成を確認するとき、プロセスは DNS 検索と Cisco Webex クラウドへの接続をテストします。 内部クライアントのための外部 DNS 解決が許可されていない、明示的なプロキシ構成の展開では、ノードが DNS サーバーに問い合わせができない場合、自動的に外部 DNS 解決ブロックモードに切り替わります。 このモードでは、ノード登録および他のプロキシ接続テストを続行することができます。

                                                                                                                                                  環境の準備

                                                                                                                                                  ハイブリッド データ セキュリティの要件

                                                                                                                                                  Cisco Webex ライセンス要件

                                                                                                                                                  ハイブリッド データ セキュリティを展開するには:

                                                                                                                                                  Docker デスクトップの要件

                                                                                                                                                  HDS ノードをインストールする前に、セットアッププログラムを実行するには Docker Desktop が必要です。 Dockerは最近、ライセンスモデルを更新しました。 あなたの組織は、Docker デスクトップの有料サブスクリプションを必要としている場合があります。 詳細については、Docker ブログ投稿次を参照してください。 Docker は製品のサブスクリプションを更新し、延長しています」に置き換えることで、URL が有効かどうかを検証できます。

                                                                                                                                                  X.509 証明書の要件

                                                                                                                                                  証明書チェーンは、次の要件を満たしている必要があります。

                                                                                                                                                  表 1. ハイブリッド データ セキュリティ展開の X.509 証明書要件

                                                                                                                                                  要件

                                                                                                                                                  の詳細

                                                                                                                                                  • 信頼できる認証局 (CA) によって署名された

                                                                                                                                                  デフォルトでは、https://wiki.mozilla.org/CA:IncludedCAsでMozillaリスト(WoSignとStartComを除く)のCAを信頼しています。

                                                                                                                                                  • ハイブリッド データ セキュリティの展開を識別する共通名 (CN) ドメイン名を持つ

                                                                                                                                                  • ワイルドカード証明書ではありません

                                                                                                                                                  CN に到達可能またはライブホストである必要はありません。 組織を反映する名前を使用することを推奨します。たとえば、 hds.company.com です。

                                                                                                                                                  CN に * (ワイルドカード) を含めることはできません。

                                                                                                                                                  CN は、Webex アプリ クライアントへのハイブリッド データ セキュリティ ノードを確認するために使用されます。 クラスタ内のすべてのハイブリッド データ セキュリティ ノードが同じ証明書を使用します。 KMS は、x.509v3 SAN フィールドで定義されているドメインではなく、CN ドメインを使用して自身を識別します。

                                                                                                                                                  この証明書でノードを登録すると、CN ドメイン名の変更はサポートされません。 トライアル展開と本番展開の両方に適用できるドメインを選択します。

                                                                                                                                                  • 非SHA1署名

                                                                                                                                                  KMS ソフトウェアは、他の組織の KMS への接続を検証するための SHA1 署名をサポートしていません。

                                                                                                                                                  • パスワードで保護されたPKCS #12ファイルとしてフォーマット

                                                                                                                                                  • 親しみやすい名前を使用する kms-private-key 証明書、秘密キー、およびアップロードする中間証明書をタグ付けします。

                                                                                                                                                  OpenSSL などのコンバータを使用して、証明書の形式を変更できます。

                                                                                                                                                  HDSセットアップツールを実行するときは、パスワードを入力する必要があります。

                                                                                                                                                  KMS ソフトウェアは、キーの使用や拡張キーの使用制限を強制しません。 一部の証明機関では、サーバ認証など、各証明書に拡張されたキーの使用制限を適用する必要があります。 サーバー認証やその他の設定を使用してもかまいません。

                                                                                                                                                  仮想ホストの要件

                                                                                                                                                  クラスタ内のハイブリッド データ セキュリティ ノードとして設定する仮想ホストには、次の要件があります。

                                                                                                                                                  • 同じセキュア データ センターでコロケーションされた少なくとも 2 つの別のホスト (3 つの推奨)

                                                                                                                                                  • VMware ESXi 6.5 (またはそれ以降) がインストールされ、実行されています。


                                                                                                                                                     

                                                                                                                                                    以前のバージョンの ESXi がある場合は、アップグレードする必要があります。

                                                                                                                                                  • 最低4vCPU、8GBメインメモリ、サーバーあたり30GBのローカルハードディスク容量

                                                                                                                                                  データベースサーバーの要件


                                                                                                                                                   

                                                                                                                                                  キーストレージ用の新しいデータベースを作成します。 デフォルトのデータベースを使用しないでください。 HDS アプリケーションをインストールすると、データベース スキーマが作成されます。

                                                                                                                                                  データベースサーバーには2つのオプションがあります。 各要件は以下のとおりです。

                                                                                                                                                  表 2. データベースの種類別のデータベースサーバー要件

                                                                                                                                                  PostgreSQLについて

                                                                                                                                                  Microsoft SQL Server(マイクロソフト SQL サーバー)

                                                                                                                                                  • PostgreSQL 14、15、または 16 がインストールされ、実行されています。

                                                                                                                                                  • SQL Server 2016、2017、または 2019(Enterprise または Standard)がインストールされています。


                                                                                                                                                     

                                                                                                                                                    SQL Server 2016 では、Service Pack 2 および Cumulative Update 2 以降が必要です。

                                                                                                                                                  最小8 vCPU、16 GBのメインメモリ、十分なハードディスク容量、およびそれを超えないようにするための監視(ストレージを増やす必要なく、データベースを長時間実行する場合は2 TBを推奨)

                                                                                                                                                  最小8 vCPU、16 GBのメインメモリ、十分なハードディスク容量、およびそれを超えないようにするための監視(ストレージを増やす必要なく、データベースを長時間実行する場合は2 TBを推奨)

                                                                                                                                                  HDS ソフトウェアは現在、データベース サーバとの通信用に次のドライバ バージョンをインストールしています。

                                                                                                                                                  PostgreSQLについて

                                                                                                                                                  Microsoft SQL Server(マイクロソフト SQL サーバー)

                                                                                                                                                  Postgres JDBCドライバ 42.2.5

                                                                                                                                                  SQL Server JDBC ドライバ 4.6

                                                                                                                                                  このドライババージョンは、SQL Server Always On(Always On Failover Cluster InstancesおよびAlways On availability groups)をサポートしています。

                                                                                                                                                  Microsoft SQL Server に対する Windows 認証の追加要件

                                                                                                                                                  HDS ノードが Windows 認証を使用して Microsoft SQL Server のキーストア データベースにアクセスできるようにするには、環境内で次の設定が必要です。

                                                                                                                                                  • HDS ノード、Active Directory インフラストラクチャ、MS SQL Server はすべて NTP と同期する必要があります。

                                                                                                                                                  • HDS ノードに提供する Windows アカウントは、データベースへの読み取り/書き込みアクセス権を持っている必要があります。

                                                                                                                                                  • HDS ノードに提供する DNS サーバは、キー配布センター (KDC) を解決できる必要があります。

                                                                                                                                                  • Microsoft SQL Server に HDS データベース インスタンスをサービス プリンシパル名 (SPN) として Active Directory に登録できます。 詳細は、Kerberos Connections のサービス プリンシパル名を登録するを参照してください。

                                                                                                                                                    HDS セットアップツール、HDS ランチャー、およびローカル KMS はすべて、キーストアデータベースにアクセスするために Windows 認証を使用する必要があります。 Kerberos 認証でアクセスを要求するときに、ISO 設定の詳細を使用して SPN を構築します。

                                                                                                                                                  外部接続の要件

                                                                                                                                                  HDS アプリケーションに次の接続を許可するようにファイアウォールを設定します。

                                                                                                                                                  アプリケーション

                                                                                                                                                  プロトコル

                                                                                                                                                  ポート

                                                                                                                                                  アプリからの方向

                                                                                                                                                  移動先

                                                                                                                                                  ハイブリッド データ セキュリティ ノード

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  アウトバウンド HTTPS および WSS

                                                                                                                                                  HDS 設定ツール

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  アウトバウンド HTTPS

                                                                                                                                                  • *.wbx2.com

                                                                                                                                                  • すべての Common Identity ホスト

                                                                                                                                                  • ハブ.docker.com


                                                                                                                                                   

                                                                                                                                                  ハイブリッド データ セキュリティ ノードは、ネットワークアクセス変換(NAT)またはファイアウォールの後ろで動作します。ただし、NAT またはファイアウォールが前の表のドメイン宛先への必要な発信接続を許可している場合に限ります。 ハイブリッド データ セキュリティ ノードにインバウンドする接続の場合、インターネットからポートを表示することはできません。 データセンター内では、管理目的で、クライアントは TCP ポート 443 および 22 のハイブリッド データ セキュリティ ノードにアクセスする必要があります。

                                                                                                                                                  Common Identity (CI) ホストの URL は地域固有です。 これらは現在の CI ホストです。

                                                                                                                                                  地域

                                                                                                                                                  共通 ID ホスト URL

                                                                                                                                                  Americas (北米、中南米エリア)

                                                                                                                                                  • https://idbroker.webex.com

                                                                                                                                                  • https://identity.webex.com

                                                                                                                                                  • https://idbroker-b-us.webex.com

                                                                                                                                                  • https://identity-b-us.webex.com

                                                                                                                                                  欧州連合

                                                                                                                                                  • https://idbroker-eu.webex.com

                                                                                                                                                  • https://identity-eu.webex.com

                                                                                                                                                  カナダ

                                                                                                                                                  • https://idbroker-ca.webex.com

                                                                                                                                                  • https://identity-ca.webex.com

                                                                                                                                                  プロキシ サーバーの要件

                                                                                                                                                  • お使いのハイブリッド データ セキュリティ ノードと統合できる次のプロキシ ソリューションを正式にサポートしています。

                                                                                                                                                    • 透過的プロキシ—Cisco Web Security Appliance (WSA)。

                                                                                                                                                    • 明示的プロキシ—Squid。


                                                                                                                                                       

                                                                                                                                                      HTTPS トラフィックを検査する Squid プロキシは、websocket (wss:) 接続の確立に干渉することができます。 接続の確立に干渉することができます。 この問題を回避するには、「ハイブリッド データ セキュリティ用の Squid プロキシの設定」を参照してください。

                                                                                                                                                  • 明示的プロキシに対して次の認証タイプの組み合わせがサポートされています。

                                                                                                                                                    • HTTP または HTTPS による認証がありません

                                                                                                                                                    • HTTP または HTTPS による基本認証

                                                                                                                                                    • HTTPS のみによるダイジェスト認証

                                                                                                                                                  • 透過的検査プロキシまたは HTTPS 明示的プロキシについては、プロキシのルート証明書のコピーが必要です。 このガイドに記載されている展開手順は、ハイブリッド データ セキュリティ ノードの信頼ストアにコピーをアップロードする方法を説明しています。

                                                                                                                                                  • HDS ノードをホストするネットワークは、ポート 443 のアウトバウンド TCP トラフィックを強制的にプロキシ経由でルーティングするように設定されている必要があります。

                                                                                                                                                  • Web トラフィックを検査するプロキシは、Web ソケット接続に干渉する場合があります。 この問題が発生した場合、トラフィックをバイパス(検査しない)して wbx2.com および ciscospark.com 問題を解決します。

                                                                                                                                                  ハイブリッド データ セキュリティの前提条件を完了する

                                                                                                                                                  このチェックリストを使用して、ハイブリッド データ セキュリティ クラスタをインストールして設定する準備ができていることを確認します。
                                                                                                                                                  1

                                                                                                                                                  Webex 組織が Pro Pack for Cisco Webex Control Hub に対して有効になっていることを確認し、完全な組織管理者権限を持つアカウントの資格情報を取得します。 このプロセスについては、Cisco パートナーまたはアカウント マネージャーにお問い合わせください。

                                                                                                                                                  2

                                                                                                                                                  HDS 展開のドメイン名を選択します (たとえば、 hds.company.com) および X.509 証明書、秘密キー、および中間証明書を含む証明書チェーンを取得します。 証明書チェーンは、 X.509 証明書の要件の要件を満たす必要があります。

                                                                                                                                                  3

                                                                                                                                                  クラスタ内のハイブリッド データ セキュリティ ノードとして設定する同一の仮想ホストを準備します。 仮想ホスト要件の要件を満たす同じセキュアデータセンターにコロケーションされた少なくとも2つの個別のホスト(3つの推奨)が必要です。

                                                                                                                                                  4

                                                                                                                                                  データベースサーバーの要件に従って、クラスタのキーデータストアとして機能するデータベースサーバーを準備します。 データベースサーバーは、仮想ホストと安全なデータセンターでコロケーションする必要があります。

                                                                                                                                                  1. キーストレージ用のデータベースを作成します。 (このデータベースを作成する必要があります。デフォルトのデータベースを使用しないでください。 HDS アプリケーションをインストールすると、データベース スキーマが作成されます。

                                                                                                                                                  2. ノードがデータベース サーバと通信するために使用する詳細を収集します。

                                                                                                                                                    • ホスト名または IP アドレス (ホスト) とポート

                                                                                                                                                    • キーストレージのデータベース名(dbname)

                                                                                                                                                    • キーストレージデータベース上のすべての権限を持つユーザーのユーザー名とパスワード

                                                                                                                                                  5

                                                                                                                                                  迅速な災害復旧のために、別のデータセンターにバックアップ環境を設定します。 バックアップ環境は、VMとバックアップデータベースサーバの生成環境をミラーリングします。 たとえば、本番環境に HDS ノードを実行する 3 つの仮想マシンがある場合、バックアップ環境には 3 つの VM が必要です。

                                                                                                                                                  6

                                                                                                                                                  syslog ホストをセットアップして、クラスタ内のノードからログを収集します。 ネットワーク アドレスと syslog ポートを収集します(デフォルトは UDP 514)。

                                                                                                                                                  7

                                                                                                                                                  ハイブリッド データ セキュリティ ノード、データベース サーバ、および syslog ホスト用のセキュア バックアップ ポリシーを作成します。 少なくとも、回復不能なデータの損失を防ぐには、ハイブリッド データ セキュリティ ノード用に生成されたデータベースと構成 ISO ファイルをバックアップする必要があります。


                                                                                                                                                   

                                                                                                                                                  ハイブリッド データ セキュリティ ノードは、コンテンツの暗号化と復号化に使用されるキーを保存するため、運用展開を維持しないと、そのコンテンツが回復不能な損失を被ることになります。

                                                                                                                                                  Webex アプリ クライアントはキーをキャッシュするため、停止がすぐに目立つことはありませんが、時間の経過とともに明らかになります。 一時的な停止を防ぐことは不可能ですが、それらは回復可能です。 ただし、データベースまたは構成のISOファイルの完全な損失(利用可能なバックアップはありません)は、回復不能な顧客データになります。 ハイブリッド データ セキュリティ ノードのオペレータは、データベースと構成 ISO ファイルの頻繁なバックアップを維持し、壊滅的な障害が発生した場合にハイブリッド データ セキュリティ データ センターを再構築する準備をする必要があります。

                                                                                                                                                  8

                                                                                                                                                  ファイアウォール構成により、外部接続要件で説明されているように、ハイブリッド データ セキュリティ ノードの接続が許可されていることを確認してください。

                                                                                                                                                  9

                                                                                                                                                  サポートされているOS(Microsoft Windows 10 ProfessionalまたはEnterprise 64ビット、またはMac OSX Yosemite 10.10.3以降)を実行しているローカルマシンにDocker(https://www.docker.com)をインストールし、次の場所からアクセスできます。 http://127.0.0.1:8080.

                                                                                                                                                  Docker インスタンスを使用して、すべてのハイブリッド データ セキュリティ ノードのローカル設定情報を構築する HDS セットアップ ツールをダウンロードして実行します。 組織には Docker Desktop ライセンスが必要になる場合があります。 詳細については、「Docker デスクトップの要件」を参照してください。

                                                                                                                                                  HDSセットアップツールをインストールして実行するには、ローカルマシンに外部接続要件に記載されている接続性が必要です。

                                                                                                                                                  10

                                                                                                                                                  プロキシとハイブリッド データ セキュリティを統合する場合は、プロキシ サーバーの要件を満たしていることを確認してください。

                                                                                                                                                  11

                                                                                                                                                  組織でディレクトリ同期を使用している場合は、Active Directory でグループを作成します。 HdsTrialGroup 、およびパイロットユーザーを追加します。 トライアル グループには最大 250 人のユーザーが参加できます。 この HdsTrialGroup 組織のトライアルを開始する前に、オブジェクトをクラウドに同期する必要があります。 グループオブジェクトを同期するには、Directory Connectorの [構成] > [オブジェクトの選択] メニュー。(詳細については、『Cisco Directory Connector展開ガイド』を参照してください。)


                                                                                                                                                   

                                                                                                                                                  特定のスペースのキーは、スペースの作成者によって設定されます。 パイロット ユーザーを選択する場合、ハイブリッド データ セキュリティの展開を永久に無効にすると、すべてのユーザーがパイロット ユーザーによって作成されたスペースのコンテンツにアクセスできなくなることに注意してください。 ユーザーのアプリがキャッシュされたコンテンツのコピーを更新するとすぐに、損失が明らかになります。

                                                                                                                                                  ハイブリッド データ セキュリティ クラスタのセットアップ

                                                                                                                                                  ハイブリッド データ セキュリティ展開タスク フロー

                                                                                                                                                  始める前に

                                                                                                                                                  環境の準備

                                                                                                                                                  1

                                                                                                                                                  インストールファイルのダウンロード

                                                                                                                                                  後で使用するために、OVA ファイルをローカル マシンにダウンロードします。

                                                                                                                                                  2

                                                                                                                                                  HDS ホストの設定 ISO を作成する

                                                                                                                                                  HDS セットアップ ツールを使用して、ハイブリッド データ セキュリティ ノードの ISO 設定ファイルを作成します。

                                                                                                                                                  3

                                                                                                                                                  HDS ホスト OVA のインストール

                                                                                                                                                  OVA ファイルから仮想マシンを作成し、ネットワーク設定などの初期設定を実行します。


                                                                                                                                                   

                                                                                                                                                  OVA 展開中にネットワーク設定を設定するオプションは、ESXi 6.5 でテストされています。 このオプションは、以前のバージョンでは使用できない場合があります。

                                                                                                                                                  4

                                                                                                                                                  ハイブリッド データ セキュリティ VM のセットアップ

                                                                                                                                                  VM コンソールにサインインし、サインイン資格情報を設定します。 OVA 展開時にノードを設定しなかった場合は、ノードのネットワーク設定を構成します。

                                                                                                                                                  5

                                                                                                                                                  HDS 設定 ISO のアップロードとマウント

                                                                                                                                                  HDS セットアップ ツールを使用して作成した ISO 設定ファイルから VM を設定します。

                                                                                                                                                  6

                                                                                                                                                  プロキシ統合のために HDS ノードを設定する

                                                                                                                                                  ネットワーク環境にプロキシ設定が必要な場合は、ノードに使用するプロキシのタイプを指定し、必要に応じてプロキシ証明書を信頼ストアに追加します。

                                                                                                                                                  7

                                                                                                                                                  クラスタ内の最初のノードを登録する

                                                                                                                                                  ハイブリッド データ セキュリティ ノードとして Cisco Webex クラウドに仮想マシンを登録します。

                                                                                                                                                  8

                                                                                                                                                  より多くのノードを作成して登録する

                                                                                                                                                  クラスタの設定を完了します。

                                                                                                                                                  9

                                                                                                                                                  トライアルを実行して本番環境に移動 (次の章)

                                                                                                                                                  トライアルを開始するまで、ノードはサービスがまだアクティブ化されていないことを示すアラームを生成します。

                                                                                                                                                  インストールファイルのダウンロード

                                                                                                                                                  このタスクでは、OVA ファイルをマシンにダウンロードします (ハイブリッド データ セキュリティ ノードとして設定したサーバにはダウンロードしません)。 このファイルは後でインストールプロセスで使用します。
                                                                                                                                                  1

                                                                                                                                                  https://admin.webex.comにサインインし、「サービス」をクリックします。

                                                                                                                                                  2

                                                                                                                                                  [ハイブリッド サービス] セクションで、ハイブリッド データ セキュリティ カードを見つけて、[セットアップ] をクリックします。

                                                                                                                                                  カードが無効になっているか、表示されない場合は、アカウントチームまたはパートナー組織に連絡してください。 アカウント番号を入力し、組織でハイブリッド データ セキュリティを有効にするように依頼します。 アカウント番号を見つけるには、組織名の横にある右上の歯車をクリックします。


                                                                                                                                                   

                                                                                                                                                  OVAは、[設定]ページの[ヘルプ]セクションからいつでもダウンロードできます。 ハイブリッド データ セキュリティ カードで、[設定の編集] をクリックしてページを開きます。 次に、[ヘルプ]セクションで[ハイブリッド データ セキュリティ ソフトウェアをダウンロード]をクリックします。


                                                                                                                                                   

                                                                                                                                                  古いバージョンのソフトウェアパッケージ (OVA) は、最新のハイブリッド データ セキュリティ アップグレードと互換性がありません。 これにより、アプリケーションのアップグレード中に問題が発生する可能性があります。 OVA ファイルの最新バージョンをダウンロードしてください。

                                                                                                                                                  3

                                                                                                                                                  ノードがまだセットアップされていないことを示すにはいいえを選択し、「次へ」をクリックします。

                                                                                                                                                  OVAファイルは自動的にダウンロードを開始します。 ファイルをマシン上の場所に保存します。
                                                                                                                                                  4

                                                                                                                                                  必要に応じて、[導入ガイドを開く]をクリックして、このガイドの後半バージョンが利用可能かどうかを確認します。

                                                                                                                                                  HDS ホストの設定 ISO を作成する

                                                                                                                                                  ハイブリッド データ セキュリティのセットアップ プロセスは、ISO ファイルを作成します。 その後、ISO を使用してハイブリッド データ セキュリティ ホストを設定します。

                                                                                                                                                  始める前に

                                                                                                                                                  • HDS セットアップ ツールをローカル マシンの Docker コンテナとして実行します。 アクセスするには、そのマシンで Docker を実行します。 セットアップ プロセスでは、組織に対するフル管理者権限を持つ Control Hub アカウントの資格情報が必要です。

                                                                                                                                                    HDS Setup ツールが環境内のプロキシの後ろで実行されている場合は、手順 5 で Docker コンテナを起動するときに、Docker 環境変数を使用してプロキシ設定(サーバ、ポート、クレデンシャル)を提供します。 この表ではいくつかの可能な環境変数を示します。

                                                                                                                                                    説明

                                                                                                                                                    変数

                                                                                                                                                    認証なしの HTTP プロキシ

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    認証なしの HTTPS プロキシ

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    認証ありの HTTP プロキシ

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                    認証ありの HTTPS プロキシ

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                  • 生成する構成 ISO ファイルには、PostgreSQL または Microsoft SQL Server データベースを暗号化するマスター キーが含まれています。 次のように、設定を変更するたびに、このファイルの最新のコピーが必要です。

                                                                                                                                                    • データベースの資格情報

                                                                                                                                                    • 証明書の更新

                                                                                                                                                    • 承認ポリシーの変更

                                                                                                                                                  • データベース接続を暗号化する場合は、TLS 用の PostgreSQL または SQL Server 展開をセットアップします。

                                                                                                                                                  1

                                                                                                                                                  マシンのコマンド ラインで、お使い環境に適切なコマンドを入力します。

                                                                                                                                                  一般環境:

                                                                                                                                                  docker rmi ciscocitg/hds-setup:stable

                                                                                                                                                  FedRAMP 環境の場合:

                                                                                                                                                  docker rmi ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                   

                                                                                                                                                  このステップを実行すると、前の HDS セットアップ ツールの画像がクリーンアップされます。 これ以前の画像がない場合は、無視できるエラーを返します。

                                                                                                                                                  2

                                                                                                                                                  Docker 画像レジストリにサインインするには、以下を入力します。

                                                                                                                                                  docker login -u hdscustomersro
                                                                                                                                                  3

                                                                                                                                                  パスワードのプロンプトに対して、このハッシュを入力します。

                                                                                                                                                  dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
                                                                                                                                                  4

                                                                                                                                                  お使い環境に合った最新の安定した画像をダウンロードします。

                                                                                                                                                  一般環境:

                                                                                                                                                  docker pull ciscocitg/hds-setup:stable

                                                                                                                                                  FedRAMP 環境の場合:

                                                                                                                                                  docker pull ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  5

                                                                                                                                                  プルが完了したら、お使いの環境に適切なコマンドを入力します。

                                                                                                                                                  • プロキシなしの通常の環境の場合:

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
                                                                                                                                                  • HTTP プロキシがある通常の環境の場合、

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • HTTPS プロキシがある通常の環境の場合:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • プロキシなしの FedRAMP 環境の場合:

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • HTTP プロキシがある FedRAMP 環境の場合:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • HTTPS プロキシがある FedRAMP 環境の場合:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                  コンテナが実行中の時。「ポート 8080 で Express サーバー リスニング中」と表示されます。

                                                                                                                                                  6

                                                                                                                                                   

                                                                                                                                                  Setup ツールは、http://localhost:8080 を介した localhost への接続をサポートしていません。 http://127.0.0.1:8080を使用してlocalhostに接続します。

                                                                                                                                                  Web ブラウザを使用して localhost に移動し、 http://127.0.0.1:8080 、プロンプトで Control Hub の顧客管理者ユーザー名を入力します。

                                                                                                                                                  このツールは、ユーザー名の最初のエントリを使用して、そのアカウントの適切な環境を設定します。 このツールには、標準のサインインプロンプトが表示されます。

                                                                                                                                                  7

                                                                                                                                                  プロンプトが表示されたら、Control Hub の顧客管理者のサインイン資格情報を入力し、[ログイン] をクリックして、ハイブリッド データ セキュリティに必要なサービスへのアクセスを許可します。

                                                                                                                                                  8

                                                                                                                                                  [セットアップツールの概要] ページで、[はじめに] をクリックします。

                                                                                                                                                  9

                                                                                                                                                  [ISOインポート]ページには、次のオプションがあります。

                                                                                                                                                  • いいえ—最初の HDS ノードを作成する場合、アップロードする ISO ファイルがありません。
                                                                                                                                                  • はい—HDS ノードをすでに作成している場合は、ブラウズで ISO ファイルを選択してアップロードします。
                                                                                                                                                  10

                                                                                                                                                  X.509 証明書がX.509 証明書要件の要件を満たしていることを確認してください。

                                                                                                                                                  • 証明書をアップロードしたことがない場合は、X.509 証明書をアップロードし、パスワードを入力して [続行] をクリックします。
                                                                                                                                                  • 証明書がOKの場合、「続行」をクリックします。
                                                                                                                                                  • 証明書の有効期限が切れている場合、または証明書を置き換える場合は、「いいえ」を選択して、「以前のISOからHDS証明書チェーンと秘密キーの使用を続行」を選択します。 新しい X.509 証明書をアップロードし、パスワードを入力し、[続行] をクリックします。
                                                                                                                                                  11

                                                                                                                                                  HDS のデータベース アドレスとアカウントを入力して、キー データストアにアクセスします。

                                                                                                                                                  1. データベースの種類PostgreSQLまたはMicrosoft SQL Server)を選択します。

                                                                                                                                                    Microsoft SQL Serverを選択すると、[認証タイプ(Authentication Type)] フィールドが表示されます。

                                                                                                                                                  2. (Microsoft SQL Serverのみ) 認証タイプを選択します。

                                                                                                                                                    • 基本認証: [ユーザー名] フィールドには、ローカル SQL Server アカウント名が必要です。

                                                                                                                                                    • Windowsの認証: 形式の Windows アカウントが必要です username@DOMAINユーザー名フィールドに入力します。

                                                                                                                                                  3. フォームにデータベース サーバ アドレスを入力します <hostname>:<port> または <IP-address>:<port> です。

                                                                                                                                                    例:
                                                                                                                                                    dbhost.example.org:1433 または 198.51.100.17:1433

                                                                                                                                                    ノードがホスト名を解決するために DNS を使用できない場合、基本認証に IP アドレスを使用できます。

                                                                                                                                                    Windows 認証を使用している場合は、形式に完全修飾ドメイン名を入力する必要があります dbhost.example.org:1433

                                                                                                                                                  4. データベース名を入力します。

                                                                                                                                                  5. キーストレージデータベース上のすべての権限を持つユーザーのユーザー名パスワードを入力します。

                                                                                                                                                  12

                                                                                                                                                  TLS データベース接続モードを選択します。

                                                                                                                                                  モード

                                                                                                                                                  説明

                                                                                                                                                  TLS を優先 (デフォルトのオプション)

                                                                                                                                                  HDS ノードは、データベース サーバに接続するために TLS を必要としません データベース サーバで TLS を有効にすると、ノードは暗号化された接続を試行します。

                                                                                                                                                  TLS を要求する

                                                                                                                                                  データベース サーバが TLS をネゴシエートできる場合に限り、HDS ノードは接続されます。

                                                                                                                                                  TLS を要求し、証明書の署名者を確認する


                                                                                                                                                   

                                                                                                                                                  このモードは、SQL Server データベースには適用されません。

                                                                                                                                                  • データベース サーバが TLS をネゴシエートできる場合に限り、HDS ノードは接続されます。

                                                                                                                                                  • TLS 接続を確立した後、ノードはデータベース サーバからの証明書の署名者をデータベース ルート証明書の認証局と比較します。 一致しない場合、ノードにより接続が切断されます。

                                                                                                                                                  ドロップダウンの下にあるデータベースルート証明書コントロールを使用して、このオプションのルート証明書をアップロードしてください。

                                                                                                                                                  TLS を要求し、証明書の署名者およびホスト名を確認する

                                                                                                                                                  • データベース サーバが TLS をネゴシエートできる場合に限り、HDS ノードは接続されます。

                                                                                                                                                  • TLS 接続を確立した後、ノードはデータベース サーバからの証明書の署名者をデータベース ルート証明書の認証局と比較します。 一致しない場合、ノードにより接続が切断されます。

                                                                                                                                                  • ノードはまた、サーバ証明書のホスト名が [データベースホストとポート] フィールドのホスト名と一致することを確認します。 名前は正確に一致する必要があります。または、ノードが接続を切断します。

                                                                                                                                                  ドロップダウンの下にあるデータベースルート証明書コントロールを使用して、このオプションのルート証明書をアップロードしてください。

                                                                                                                                                  ルート証明書をアップロードし(必要に応じて)、[続行]をクリックすると、HDS Setup Tool がデータベース サーバへの TLS 接続をテストします。 また、必要に応じて、証明書の署名者とホスト名も検証されます。 テストが失敗した場合、問題を説明するエラー メッセージがツールによって表示されます。 エラーを無視してセットアップを続行するかどうかを選択できます。 (接続性の違いにより、HDS Setup Tool マシンが正常にテストできない場合でも、HDS ノードは TLS 接続を確立できる場合があります)。

                                                                                                                                                  13

                                                                                                                                                  [システムログ(System Logs)] ページで、Syslogd サーバを設定します。

                                                                                                                                                  1. syslog サーバの URL を入力します。

                                                                                                                                                    HDS クラスタのノードからサーバが DNS 解決可能でない場合は、URL で IP アドレスを使用します。

                                                                                                                                                    例:
                                                                                                                                                    udp://10.92.43.23:514 UDP ポート 514 の Syslogd ホスト 10.92.43.23 へのロギングを示します。
                                                                                                                                                  2. TLS 暗号化を使用するようにサーバを設定した場合は、「syslog サーバが SSL 暗号化用に設定されていますか?」にチェックを入れます。

                                                                                                                                                    このチェックボックスをオンにした場合は、次のような TCP URL を入力してください: tcp://10.92.43.23:514 です。

                                                                                                                                                  3. [syslogレコードの終了を選択]ドロップダウンから、ISOファイルの適切な設定を選択します。 選択または改行は Graylog および Rsyslog TCP に使用されます

                                                                                                                                                    • Null バイト -- \x00

                                                                                                                                                    • 改行 -- \n:Graylog および Rsyslog TCP の選択肢を選択します。

                                                                                                                                                  4. [続行] をクリックします。

                                                                                                                                                  14

                                                                                                                                                  (オプション)一部のデータベース接続パラメータのデフォルト値は、[詳細設定]で変更できます。 通常、このパラメータは、変更する可能性のある唯一のパラメータです。

                                                                                                                                                  app_datasource_connection_pool_maxSize: 10
                                                                                                                                                  15

                                                                                                                                                  [サービスアカウントのパスワードをリセット] 画面の [続行] をクリックします。

                                                                                                                                                  サービスアカウントのパスワードは9ヶ月の寿命を持っています。 パスワードの有効期限が近づいている場合、または以前の ISO ファイルを無効にするためにパスワードをリセットする場合は、この画面を使用します。

                                                                                                                                                  16

                                                                                                                                                  [ISOファイルのダウンロード] をクリックします。 見つけやすい場所にファイルを保存します。

                                                                                                                                                  17

                                                                                                                                                  ローカルシステム上のISOファイルのバックアップコピーを作成します。

                                                                                                                                                  バックアップコピーを安全に保管してください。 このファイルには、データベースコンテンツのマスター暗号化キーが含まれています。 構成を変更する必要があるハイブリッド データ セキュリティ管理者のみへのアクセスを制限します。

                                                                                                                                                  18

                                                                                                                                                  セットアップ ツールをシャットダウンするために次のように入力します。 CTRL+C です。

                                                                                                                                                  次に行うこと

                                                                                                                                                  設定 ISO ファイルをバックアップします。 リカバリのためにより多くのノードを作成したり、設定を変更したりする必要があります。 ISOファイルのコピーをすべて失うと、マスターキーも失われます。 PostgreSQL または Microsoft SQL Server データベースからキーを回復することはできません。


                                                                                                                                                   

                                                                                                                                                  私たちはこのキーのコピーを持っていないし、あなたがそれを失ったら助けることができません。

                                                                                                                                                  HDS ホスト OVA のインストール

                                                                                                                                                  OVA ファイルから仮想マシンを作成するには、次の手順を使用します。
                                                                                                                                                  1

                                                                                                                                                  コンピュータの VMware vSphere クライアントを使用して、ESXi 仮想ホストにログインします。

                                                                                                                                                  2

                                                                                                                                                  ファイル > OVF テンプレートを展開を選択します。

                                                                                                                                                  3

                                                                                                                                                  ウィザードで、先ほどダウンロードしたOVAファイルの場所を指定し、 をクリックします。 次へ

                                                                                                                                                  4

                                                                                                                                                  名前とフォルダを選択ページ、を入力します 仮想マシン名ノード(たとえば、「HDS_Node_1」)で、仮想マシンノードの展開が可能な場所を選択し、次へ

                                                                                                                                                  5

                                                                                                                                                  計算リソースを選択ページで、宛先計算リソースを選択し、をクリックします。 次へ

                                                                                                                                                  検証チェックが実行されます。 完了すると、テンプレートの詳細が表示されます。

                                                                                                                                                  6

                                                                                                                                                  テンプレートの詳細を確認し、[次へ]をクリックします。

                                                                                                                                                  7

                                                                                                                                                  のリソース設定を選択するよう求められた場合 設定ページ、をクリックします。 4 CPU をクリックし、 をクリックします。 次へ

                                                                                                                                                  8

                                                                                                                                                  ストレージを選択ページ、をクリックします。 次へは、デフォルトのディスク形式とVMストレージポリシーを受け入れます。

                                                                                                                                                  9

                                                                                                                                                  ネットワークを選択ページで、エントリのリストからネットワークオプションを選択し、仮想マシンへの接続を提供します。

                                                                                                                                                  10

                                                                                                                                                  [テンプレートのカスタマイズ] ページで、次のネットワーク設定を構成します。

                                                                                                                                                  • [ホスト名(Hostname)]:ノードの FQDN (ホスト名とドメイン) または単語 ホスト名を入力します。

                                                                                                                                                     
                                                                                                                                                    • X.509 証明書を取得するために使用したドメインと一致するようにドメインを設定する必要はありません。

                                                                                                                                                    • クラウドへの登録を成功させるには、ノードに設定した FQDN またはホスト名に小文字のみを使用します。 現時点では大文字化のサポートはありません。

                                                                                                                                                    • FQDNのトータルの長さは64文字を超えてはいけません。

                                                                                                                                                  • [IPアドレス(IP Address)]:ノードの内部インターフェイスの IP アドレスを入力します。

                                                                                                                                                     

                                                                                                                                                    ノードには内部 IP アドレスと DNS 名が必要です。 DHCP はサポートされていません。

                                                                                                                                                  • [マスク(Mask)]:サブネット マスク アドレスをドット小数表記で入力します。 たとえば、255.255.255.0 などです。
                                                                                                                                                  • [ゲートウェイ(Gateway)]:ゲートウェイの IP アドレスを入力します。 ゲートウェイは、別のネットワークへのアクセス ポイントとして機能するネットワーク ノードです。
                                                                                                                                                  • DNS サーバ:ドメイン名を数値の IP アドレスに変換する DNS サーバのカンマ区切りリストを入力します。 (最大 4 つの DNS エントリが許可されます。)
                                                                                                                                                  • NTP サーバ:組織の NTP サーバまたは組織で使用できる別の外部 NTP サーバを入力します。 デフォルトの NTP サーバは、すべての企業で機能しない場合があります。 カンマ区切りリストを使用して、複数の NTP サーバを入力することもできます。
                                                                                                                                                  • クラスタ内のすべてのノードが管理目的でネットワーク内のクライアントから到達できるように、すべてのノードを同じサブネットまたは VLAN に展開します。

                                                                                                                                                  必要に応じて、ネットワーク設定の構成をスキップし、[ハイブリッド データ セキュリティ VM のセットアップ] の手順に従って、ノード コンソールから設定を構成できます。


                                                                                                                                                   

                                                                                                                                                  OVA 展開中にネットワーク設定を設定するオプションは、ESXi 6.5 でテストされています。 このオプションは、以前のバージョンでは使用できない場合があります。

                                                                                                                                                  11

                                                                                                                                                  ノードVMを右クリックし、電源 > 電源オンだ。

                                                                                                                                                  ハイブリッド データ セキュリティ ソフトウェアは、VM ホストにゲストとしてインストールされます。 これで、コンソールにサインインしてノードを設定する準備ができました。

                                                                                                                                                  トラブルシューティングのヒント

                                                                                                                                                  ノード コンテナーが出てくるまでに、数分間の遅延がある場合があります。 初回起動の間、ブリッジ ファイアウォール メッセージが、コンソールに表示され、この間はサイン インできません。

                                                                                                                                                  ハイブリッド データ セキュリティ VM のセットアップ

                                                                                                                                                  この手順を使用して、ハイブリッド データ セキュリティ ノード VM コンソールに初めてサインインし、サインイン クレデンシャルを設定します。 OVA 展開時に設定しなかった場合は、コンソールを使用してノードのネットワーク設定を構成することもできます。

                                                                                                                                                  1

                                                                                                                                                  VMware vSphere クライアントで、ハイブリッド データ セキュリティ ノード VM を選択し、[コンソール] タブを選択します。

                                                                                                                                                  VM が起動し、ログインプロンプトが表示されます。 ログインプロンプトが表示されない場合は、 入力を押してください。
                                                                                                                                                  2

                                                                                                                                                  次のデフォルトのログインとパスワードを使用してサインインし、資格情報を変更します。

                                                                                                                                                  1. ログイン: admin

                                                                                                                                                  2. パスワード: cisco

                                                                                                                                                  初めて仮想マシンにサインインするため、管理者パスワードを変更する必要があります。

                                                                                                                                                  3

                                                                                                                                                  [HDS ホスト OVA のインストール]でネットワーク設定をすでに設定している場合は、残りの手順をスキップします。 それ以外の場合は、メインメニューで[設定の編集]オプションを選択します。

                                                                                                                                                  4

                                                                                                                                                  IP アドレス、マスク、ゲートウェイ、DNS 情報を含む静的設定をセットアップします。 ノードには内部 IP アドレスと DNS 名が必要です。 DHCP はサポートされていません。

                                                                                                                                                  5

                                                                                                                                                  (オプション) ネットワーク ポリシーと一致する必要がある場合は、ホスト名、ドメイン、または NTP サーバを変更します。

                                                                                                                                                  X.509 証明書を取得するために使用したドメインと一致するようにドメインを設定する必要はありません。

                                                                                                                                                  6

                                                                                                                                                  ネットワーク設定を保存し、仮想マシンを再起動して、変更を有効にします。

                                                                                                                                                  HDS 設定 ISO のアップロードとマウント

                                                                                                                                                  HDS セットアップツールを使用して作成した ISO ファイルから仮想マシンを設定するには、次の手順を使用します。

                                                                                                                                                  始める前に

                                                                                                                                                  ISOファイルはマスターキーを保持しているため、Hybrid Data Security VMおよび変更が必要な管理者によるアクセスのために、「知る必要性」に基づいてのみ公開する必要があります。 これらの管理者だけがデータストアにアクセスできることを確認してください。

                                                                                                                                                  1

                                                                                                                                                  コンピュータから ISO ファイルをアップロードします。

                                                                                                                                                  1. VMware vSphere クライアントの左側のナビゲーション ペインで、ESXi サーバをクリックします。

                                                                                                                                                  2. [設定] タブの [ハードウェア] リストで、[ストレージ] をクリックします。

                                                                                                                                                  3. [データストア(Datastores)] リストで、仮想マシンのデータストアを右クリックし、[データストアを参照(Browse Datastore)] をクリックします。

                                                                                                                                                  4. [ファイルのアップロード] アイコンをクリックし、[ファイルのアップロード] をクリックします。

                                                                                                                                                  5. コンピュータにISOファイルをダウンロードした場所を参照し、[開く]をクリックします。

                                                                                                                                                  6. アップロード/ダウンロード操作の警告を受け入れるには、[はい] をクリックし、データストアダイアログを閉じます。

                                                                                                                                                  2

                                                                                                                                                  ISO ファイルをマウントします。

                                                                                                                                                  1. VMware vSphere クライアントの左ナビゲーション ペインで、ESXi サーバーを右クリックし、[設定の編集] をクリックします。

                                                                                                                                                  2. [OK] をクリックして、制限された編集オプションの警告を受け入れます。

                                                                                                                                                  3. クリック CD/DVD Drive 1 、データストア ISO ファイルからマウントするオプションを選択し、構成 ISO ファイルをアップロードした場所を参照します。

                                                                                                                                                  4. 接続および電源オン時に接続をオンにします。

                                                                                                                                                  5. 変更を保存し、仮想マシンを再起動します。

                                                                                                                                                  次に行うこと

                                                                                                                                                  IT ポリシーが必要な場合は、すべてのノードが設定変更をピックアップした後、オプションで ISO ファイルのマウントを解除できます。 詳細については、「(オプション) HDS 設定後に ISO のマウント解除 」を参照してください。

                                                                                                                                                  プロキシ統合のために HDS ノードを設定する

                                                                                                                                                  ネットワーク環境でプロキシが必要な場合は、この手順を使用して、ハイブリッド データ セキュリティと統合するプロキシのタイプを指定します。 透過型のプロキシまたは HTTPS を明示的なプロキシを選択した場合、ノードのインターフェイスを使用してルート証明書をアップロードしてインストールすることができます。 インターフェイスからプロキシ接続を確認し、潜在的な問題をトラブルシューティングすることもできます。

                                                                                                                                                  始める前に

                                                                                                                                                  1

                                                                                                                                                  HDS ノードのセットアップ URL を入力 https://[HDS Node IP or FQDN]/setup Web ブラウザで、ノード用に設定した管理者資格情報を入力し、[ サインイン] をクリックします。

                                                                                                                                                  2

                                                                                                                                                  [信頼ストアとロキシ] に移動して、次のオプションを選択します。

                                                                                                                                                  • プロキシなし—プロキシを統合する前のデフォルトのオプション。 証明書の更新は必要ありません。
                                                                                                                                                  • 透過型の検査なしのプロキシ—ノードは特定のプロキシ サーバー アドレスを使用するように設定されていないため、検査なしのプロキシで動作するように変更を加える必要はありません。 証明書の更新は必要ありません。
                                                                                                                                                  • 透過トンネリングまたは検査プロキシ—ノードは特定のプロキシ サーバー アドレスを使用するように設定されていません。 ハイブリッド データ セキュリティの展開では HTTPS 構成の変更は必要ありませんが、HDS ノードはプロキシを信頼できるようにするためにルート証明書を必要とします。 プロキシを検査することで、Web サイトにアクセスするか、どのタイプのコンテンツを使用するかを強制するポリシーを施行することができます。 このタイプのプロキシは、すべてのトラフィック (HTTPS さえも含む) を復号化します。
                                                                                                                                                  • 明示的プロキシ—明示的なプロキシを使用して、使用するプロキシ サーバーをクライアント (HDS ノード) を指示し、このオプションはいくつかの認証スキームをサポートします。 このオプションを選択した後、次の情報を入力する必要があります。
                                                                                                                                                    1. プロキシ IP/FQDN—プロキシ マシンに到達するために使用できるアドレス。

                                                                                                                                                    2. プロキシ ポート-プロキシがプロキシ トラフィックをリスンするために使用するポート番号。

                                                                                                                                                    3. プロキシ プロトコル- http (クライアントから受信したすべての要求を表示して管理) または https (クライアントがサーバーへのチャネルを提供し、サーバーの証明書を検証) を選択します。 プロキシ サーバーがサポートするオプションを選択します。

                                                                                                                                                    4. 認証タイプ-次の認証タイプから選択します。

                                                                                                                                                      • なし—追加の認証は必要ありません。

                                                                                                                                                        HTTP または HTTPS プロキシで利用できます。

                                                                                                                                                      • ベーシック—HTTP ユーザー エージェントがリクエストを行う際にユーザー名とパスワードを指定するために使用されます。 Base64 エンコードを使用します。

                                                                                                                                                        HTTP または HTTPS プロキシで利用できます。

                                                                                                                                                        このオプションを選択した場合は、ユーザー名とパスワードも入力する必要があります。

                                                                                                                                                      • ダイジェスト—機密情報を送信する前にアカウントを確認するために使用されます。 ネットワークを経由して送信する前に、ユーザー名およびパスワードにハッシュ機能を適用します。

                                                                                                                                                        HTTPS プロキシに対してのみ利用できます。

                                                                                                                                                        このオプションを選択した場合は、ユーザー名とパスワードも入力する必要があります。

                                                                                                                                                  透過型検査プロキシ、基本認証を持つ HTTP 明示プロキシ、または HTTPS 明示プロキシについては、次のステップに従ってください。

                                                                                                                                                  3

                                                                                                                                                  [ルート証明書またはエンティティ終了証明書のアップロード] をクリックし、プロキシのルート証明書を選択するために移動します。

                                                                                                                                                  証明書はアップロードされていますが、まだインストールされていません。証明書をインストールするにはノードを再起動する必要があります。 証明書発行者名の山形矢印をクリックして詳細を確認するか、間違っている場合は [削除] をクリックして、ファイルを再度アップロードしてください。

                                                                                                                                                  4

                                                                                                                                                  [プロキシ接続を確認する] をクリックして、ノードとプロキシ間のネットワーク接続性をテストします。

                                                                                                                                                  接続テストが失敗した場合は、エラーメッセージが表示され、問題を解決するための理由と方法が示されます。

                                                                                                                                                  外部 DNS の解決が正常に行われなかったという内容のメッセージが表示された場合、ノードが DNS サーバーに到達できなかったことを示しています。 この状況は、多くの明示的なプロキシ構成で想定されています。 セットアップを続行すると、ノードは外部 DNS 解決ブロックモードで機能します。 これがエラーと思われる場合は、次の手順を実行し、「ブロックされた外部 DNS 解決モードをオフにする」を参照してください。

                                                                                                                                                  5

                                                                                                                                                  接続テストが成功した後、明示的なプロキシについては https のみに設定し、このノードからの すべてのポートの 443/444 https 要求を明示的プロキシを通してルーティングするように切り替えます。 この設定を有効にするには 15 秒かかります。

                                                                                                                                                  6

                                                                                                                                                  [すべての証明書を信頼ストアにインストールする(HTTPS 明示プロキシまたは透過型のプロキシで表示される)] または [再起動] をクリックして、プロンプトを読み、準備が完了したら [インストール] をクリックします。

                                                                                                                                                  ノードが数分以内に再起動されます。

                                                                                                                                                  7

                                                                                                                                                  ノードが再起動したら、必要に応じて再度サインインして、[概要] ページを開き、接続チェックを確認してすべて緑色のステータスになっていることを確認します。

                                                                                                                                                  プロキシ接続の確認は webex.com のサブドメインのみをテストします。 接続の問題がある場合、インストール手順に記載されているクラウド ドメインの一部がプロキシでブロックされているという問題がよく見られます。

                                                                                                                                                  クラスタ内の最初のノードを登録する

                                                                                                                                                  このタスクでは、ハイブリッド データ セキュリティ 仮想マシンのセットアップで作成した汎用ノードを取得し、ノードを Webex クラウドに登録し、ハイブリッド データ セキュリティ ノードに変換します。

                                                                                                                                                  最初のノードを登録するとき、クラスターをノードが指定されている場所に作成します。 クラスタには、冗長性を提供するために展開された 1 つ以上のノードが含まれています。

                                                                                                                                                  始める前に

                                                                                                                                                  • 一旦ノードの登録を開始すると、60 分以内に完了する必要があり、そうでなければ、再び最初からやり直しになります。

                                                                                                                                                  • ブラウザのポップアップ ブロッカーが無効になっているか、または admin.webex.com の例外を許可していることを確認してください。

                                                                                                                                                  1

                                                                                                                                                  https://admin.webex.comにサインインします。

                                                                                                                                                  2

                                                                                                                                                  スクリーンの左側にあるメニューからサービスを選択します。

                                                                                                                                                  3

                                                                                                                                                  [ハイブリッド サービス] セクションで、[ハイブリッド データ セキュリティ] を見つけ、[セットアップ] をクリックします。

                                                                                                                                                  [ハイブリッド データ セキュリティ ノードの登録] ページが表示されます。
                                                                                                                                                  4

                                                                                                                                                  ノードを設定し、登録する準備ができていることを示すには、「はい」を選択し、「次へ」をクリックします。

                                                                                                                                                  5

                                                                                                                                                  最初のフィールドに、ハイブリッド データ セキュリティ ノードを割り当てるクラスタの名前を入力します。

                                                                                                                                                  クラスタのノードが地理的にどこに配置されているかに基づきクラスタに名前を付けることをお薦めします。 例: 「サンフランシスコ」「ニューヨーク」「ダラス」

                                                                                                                                                  6

                                                                                                                                                  2 番目のフィールドに、ノードの内部 IP アドレスまたは完全修飾ドメイン名(FQDN)を入力し、[次へ] をクリックします。

                                                                                                                                                  この IP アドレスまたは FQDN は、ハイブリッド データ セキュリティ VM のセットアップ で使用した IP アドレスまたはホスト名とドメインと一致する必要があります。

                                                                                                                                                  ノードを Webex に登録できることを示すメッセージが表示されます。
                                                                                                                                                  7

                                                                                                                                                  [ノードに進む] をクリックします。

                                                                                                                                                  8

                                                                                                                                                  警告メッセージの [続ける] をクリックします。

                                                                                                                                                  しばらくすると、Webex サービスのノード接続テストにリダイレクトされます。 すべてのテストが成功すると、[ハイブリッド データ セキュリティ ノードへのアクセスを許可(Allow Access to Hybrid Data Security Node)] ページが表示されます。 ここで、ノードにアクセスする権限を Webex 組織に付与することを確認します。
                                                                                                                                                  9

                                                                                                                                                  [ハイブリッド データ セキュリティ ノードへのアクセスを許可] チェックボックスをオンにして、[続行] をクリックします。

                                                                                                                                                  アカウントが検証され、「登録完了」メッセージは、ノードが Webex クラウドに登録されたことを示します。
                                                                                                                                                  10

                                                                                                                                                  リンクをクリックするか、タブを閉じて、[Control Hub ハイブリッド データ セキュリティ] ページに戻ります。

                                                                                                                                                  [ハイブリッド データ セキュリティ] ページで、登録したノードを含む新しいクラスタが表示されます。 ノードはクラウドから最新のソフトウェアを自動的にダウンロードします。

                                                                                                                                                  より多くのノードを作成して登録する

                                                                                                                                                  クラスタに追加のノードを追加するには、追加の VM を作成し、同じ構成 ISO ファイルをマウントしてから、ノードを登録します。 少なくとも 3 つのノードを使用することをお勧めします。

                                                                                                                                                   

                                                                                                                                                  現時点では、「ハイブリッド データ セキュリティの前提条件を完了」で作成したバックアップ VM は、ディザスタ リカバリーの場合にのみ使用されるスタンバイ ホストであり、それまではシステムに登録されていません。 詳細については、「スタンバイデータセンターを使用した災害復旧」を参照してください。

                                                                                                                                                  始める前に

                                                                                                                                                  • 一旦ノードの登録を開始すると、60 分以内に完了する必要があり、そうでなければ、再び最初からやり直しになります。

                                                                                                                                                  • ブラウザのポップアップ ブロッカーが無効になっているか、または admin.webex.com の例外を許可していることを確認してください。

                                                                                                                                                  1

                                                                                                                                                  OVA から新しい仮想マシンを作成し、「HDS ホスト OVA のインストール」の手順を繰り返します。

                                                                                                                                                  2

                                                                                                                                                  新しい仮想マシンで初期設定を行い、「ハイブリッド データ セキュリティ 仮想マシンのセットアップ」の手順を繰り返します。

                                                                                                                                                  3

                                                                                                                                                  新しい VM で、「Upload and Mount the HDS Configuration ISO」の手順を繰り返します。

                                                                                                                                                  4

                                                                                                                                                  展開のプロキシを設定する場合は、新しいノードに必要に応じ「プロキシ統合の HDS ノードを設定する」の手順を繰り返します。

                                                                                                                                                  5

                                                                                                                                                  ノードを登録します。

                                                                                                                                                  1. https://admin.webex.comで画面の左側にあるメニューからサービスを選択します。

                                                                                                                                                  2. [ハイブリッド サービス] セクションで、ハイブリッド データ セキュリティ カードを見つけて、[リソース] をクリックします。

                                                                                                                                                    [ハイブリッド データ セキュリティ リソース] ページが表示されます。
                                                                                                                                                  3. [リソースの追加] をクリックします。

                                                                                                                                                  4. 最初のフィールドで、既存のクラスタの名前を選択します。

                                                                                                                                                  5. 2 番目のフィールドに、ノードの内部 IP アドレスまたは完全修飾ドメイン名(FQDN)を入力し、[次へ] をクリックします。

                                                                                                                                                    ノードを Webex クラウドに登録できることを示すメッセージが表示されます。
                                                                                                                                                  6. [ノードに進む] をクリックします。

                                                                                                                                                    しばらくすると、Webex サービスのノード接続テストにリダイレクトされます。 すべてのテストが成功すると、[ハイブリッド データ セキュリティ ノードへのアクセスを許可(Allow Access to Hybrid Data Security Node)] ページが表示されます。 ここで、ノードにアクセスするための権限を組織に付与することを確認します。
                                                                                                                                                  7. [ハイブリッド データ セキュリティ ノードへのアクセスを許可] チェックボックスをオンにして、[続行] をクリックします。

                                                                                                                                                    アカウントが検証され、「登録完了」メッセージは、ノードが Webex クラウドに登録されたことを示します。
                                                                                                                                                  8. リンクをクリックするか、タブを閉じて、[Control Hub ハイブリッド データ セキュリティ] ページに戻ります。

                                                                                                                                                  ノードが登録されています。 トライアルを開始するまで、ノードはサービスがまだアクティブ化されていないことを示すアラームを生成することに注意してください。

                                                                                                                                                  次に行うこと

                                                                                                                                                  トライアルを実行して本番環境に移動 (次の章)
                                                                                                                                                  トライアルを実行して本番環境に移動

                                                                                                                                                  プロダクション タスク フローへの試行

                                                                                                                                                  ハイブリッド データ セキュリティ クラスタをセットアップした後、パイロットを起動し、ユーザーを追加し、本番環境への移行に備えて展開のテストと検証に使用を開始できます。

                                                                                                                                                  1

                                                                                                                                                  必要に応じて、 HdsTrialGroup グループオブジェクト。

                                                                                                                                                  組織でユーザーのディレクトリ同期を使用している場合は、 HdsTrialGroup トライアルを開始する前に、クラウドに同期するためのグループ オブジェクト。 手順については、 Cisco Directory Connector 展開ガイドを参照してください。

                                                                                                                                                  2

                                                                                                                                                  トライアルの有効化

                                                                                                                                                  トライアルを開始します。 このタスクを実行するまで、ノードはサービスがまだアクティブ化されていないことを示すアラームを生成します。

                                                                                                                                                  3

                                                                                                                                                  ハイブリッド データ セキュリティ展開をテストする

                                                                                                                                                  重要な要求がハイブリッド データ セキュリティ展開に渡されていることを確認します。

                                                                                                                                                  4

                                                                                                                                                  ハイブリッド データ セキュリティの健全性を監視する

                                                                                                                                                  ステータスを確認し、アラームのメール通知を設定します。

                                                                                                                                                  5

                                                                                                                                                  トライアルからユーザーを追加または削除する

                                                                                                                                                  6

                                                                                                                                                  以下のいずれかの操作を行い、治験の段階を完了します。

                                                                                                                                                  トライアルの有効化

                                                                                                                                                  始める前に

                                                                                                                                                  組織でユーザーのディレクトリ同期を使用している場合は、 HdsTrialGroup 組織のトライアルを開始する前に、クラウドに同期するためのグループ オブジェクト。 手順については、 Cisco Directory Connector 展開ガイドを参照してください。

                                                                                                                                                  1

                                                                                                                                                  https://admin.webex.comにサインインし、「サービス」を選択します。

                                                                                                                                                  2

                                                                                                                                                  [ハイブリッド データ セキュリティ(Hybrid Data Security)] で、[設定] をクリックします。

                                                                                                                                                  3

                                                                                                                                                  [サービスステータス(Service Status)] セクションで、[トライアルの開始] をクリックします。

                                                                                                                                                  サービス ステータスがトライアル モードに変わります。
                                                                                                                                                  4

                                                                                                                                                  [ユーザーの追加] をクリックし、暗号化およびインデックスサービスのためにハイブリッド データ セキュリティ ノードを使用してパイロットする 1 人以上のユーザーのメール アドレスを入力します。

                                                                                                                                                  (組織がディレクトリ同期を使用している場合は、Active Directory を使用してトライアル グループを管理します。 HdsTrialGroup.)

                                                                                                                                                  ハイブリッド データ セキュリティ展開をテストする

                                                                                                                                                  この手順を使用して、ハイブリッド データ セキュリティの暗号化シナリオをテストします。

                                                                                                                                                  始める前に

                                                                                                                                                  • ハイブリッド データ セキュリティの展開をセットアップします。

                                                                                                                                                  • トライアルを有効にし、複数のトライアル ユーザーを追加します。

                                                                                                                                                  • キー要求がハイブリッド データ セキュリティ展開に渡されていることを確認するために、syslog にアクセスできることを確認します。

                                                                                                                                                  1

                                                                                                                                                  特定のスペースのキーは、スペースの作成者によって設定されます。 パイロットユーザーの 1 人として Webex アプリにサインインし、スペースを作成し、少なくとも 1 人のパイロットユーザーと 1 人の非パイロットユーザーを招待します。


                                                                                                                                                   

                                                                                                                                                  ハイブリッド データ セキュリティの展開を無効にすると、暗号化キーのクライアントキャッシュされたコピーが交換されると、パイロット ユーザーが作成したスペースのコンテンツにアクセスできなくなります。

                                                                                                                                                  2

                                                                                                                                                  新しいスペースにメッセージを送信します。

                                                                                                                                                  3

                                                                                                                                                  syslog 出力をチェックして、キー要求がハイブリッド データ セキュリティ展開に渡されていることを確認します。

                                                                                                                                                  1. ユーザが最初に KMS にセキュア チャネルを確立しているかどうかを確認するには、次のフィルタをオンにします。 kms.data.method=create および kms.data.type=EPHEMERAL_KEY_COLLECTION:

                                                                                                                                                    次のようなエントリを見つける必要があります (可読性のために短縮された識別子)。
                                                                                                                                                    2020-07-21 17:35:34.562 (+0000) INFO  KMS [pool-14-thread-1] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, 
                                                                                                                                                    kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2
                                                                                                                                                  2. KMS から既存のキーを要求するユーザーを確認するには、次のフィルタをオンにします。 kms.data.method=retrieve および kms.data.type=KEY:

                                                                                                                                                    次のようなエントリを見つける必要があります。
                                                                                                                                                    2020-07-21 17:44:19.889 (+0000) INFO  KMS [pool-14-thread-31] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, 
                                                                                                                                                    kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, 
                                                                                                                                                    kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b
                                                                                                                                                  3. 新しいKMSキーの作成を要求するユーザーを確認するには、 kms.data.method=create および kms.data.type=KEY_COLLECTION:

                                                                                                                                                    次のようなエントリを見つける必要があります。
                                                                                                                                                    2020-07-21 17:44:21.975 (+0000) INFO  KMS [pool-14-thread-33] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, 
                                                                                                                                                    kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b
                                                                                                                                                  4. スペースまたは他の保護リソースが作成されたときに新しい KMS リソース オブジェクト (KRO) の作成を要求するユーザを確認するには、次のフィルタをオンにします。 kms.data.method=create および kms.data.type=RESOURCE_COLLECTION:

                                                                                                                                                    次のようなエントリを見つける必要があります。
                                                                                                                                                    2020-07-21 17:44:22.808 (+0000) INFO  KMS [pool-15-thread-1] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
                                                                                                                                                    kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

                                                                                                                                                  ハイブリッド データ セキュリティの健全性を監視する

                                                                                                                                                  Control Hub 内のステータス インジケータは、ハイブリッド データ セキュリティの展開がうまく機能しているかどうかを示します。 より積極的なアラートについては、メール通知にサインアップしてください。 サービスに影響を与えるアラームまたはソフトウェア アップグレードがあると通知されます。
                                                                                                                                                  1

                                                                                                                                                  Control Hubで、画面左側のメニューからサービスを選択します。

                                                                                                                                                  2

                                                                                                                                                  [ハイブリッド サービス] セクションで、[ハイブリッド データ セキュリティ] を見つけ、[設定] をクリックします。

                                                                                                                                                  [ハイブリッド データ セキュリティ設定] ページが表示されます。
                                                                                                                                                  3

                                                                                                                                                  [メール通知] セクションで、カンマで区切られた 1 つ以上のメールアドレスを入力し、[Enter] を押します。

                                                                                                                                                  トライアルからユーザーを追加または削除する

                                                                                                                                                  トライアルをアクティベートし、トライアル ユーザーの初期セットを追加した後、トライアルがアクティブな間はいつでもトライアル メンバーを追加または削除できます。

                                                                                                                                                  トライアルからユーザーを削除すると、ユーザーのクライアントは KMS ではなく、クラウド KMS からキーとキーの作成を要求します。 クライアントが KMS に保存されているキーを必要とする場合、クラウド KMS はユーザーに代わってキーを取得します。

                                                                                                                                                  組織がディレクトリ同期を使用している場合、Active Directory (この手順の代わりに) を使用してトライアル グループを管理します。 HdsTrialGroup; Control Hub でグループメンバーを表示できますが、追加または削除することはできません。

                                                                                                                                                  1

                                                                                                                                                  Control Hub にサインインし、[サービス] を選択します。

                                                                                                                                                  2

                                                                                                                                                  [ハイブリッド データ セキュリティ(Hybrid Data Security)] で、[設定] をクリックします。

                                                                                                                                                  3

                                                                                                                                                  [サービスステータス(Service Status)] 領域の [トライアルモード(Trial Mode)] セクションで、[ユーザーの追加(Add Users)] をクリックするか、[表示と編集] をクリックしてユーザーをトライアルから削除します。

                                                                                                                                                  4

                                                                                                                                                  追加する 1 人以上のユーザーのメールアドレスを入力するか、ユーザー ID の X をクリックしてユーザーをトライアルから削除します。 その後、[保存] をクリックします。

                                                                                                                                                  トライアルからプロダクションへの移行

                                                                                                                                                  導入がトライアル ユーザーに対してうまく機能していることに満足したら、本番環境に移行できます。 本番環境に移行すると、組織内のすべてのユーザーは、暗号化キーやその他のセキュリティ領域サービスにオンプレミスのハイブリッド データ セキュリティ ドメインを使用します。 ディザスタ リカバリの一部としてサービスを非アクティブ化しない限り、本番環境からトライアル モードに戻すことはできません。 サービスを再アクティブ化するには、新しいトライアルを設定する必要があります。
                                                                                                                                                  1

                                                                                                                                                  Control Hub にサインインし、[サービス] を選択します。

                                                                                                                                                  2

                                                                                                                                                  [ハイブリッド データ セキュリティ(Hybrid Data Security)] で、[設定] をクリックします。

                                                                                                                                                  3

                                                                                                                                                  [サービスステータス(Service Status)] セクションで、[本番環境に移動] をクリックします。

                                                                                                                                                  4

                                                                                                                                                  すべてのユーザーを本番環境に移行することを確認します。

                                                                                                                                                  本番環境に移行せずにトライアルを終了する

                                                                                                                                                  トライアル中に、ハイブリッド データ セキュリティの展開を進めないと判断した場合、ハイブリッド データ セキュリティを無効にすることができます。これにより、トライアルが終了し、トライアル ユーザーはクラウド データ セキュリティ サービスに戻ります。 トライアル ユーザーは、トライアル中に暗号化されていたデータへのアクセスを失います。
                                                                                                                                                  1

                                                                                                                                                  Control Hub にサインインし、[サービス] を選択します。

                                                                                                                                                  2

                                                                                                                                                  [ハイブリッド データ セキュリティ(Hybrid Data Security)] で、[設定] をクリックします。

                                                                                                                                                  3

                                                                                                                                                  「Deactivate(無効化)」セクションで「Deactivate(無効化)」をクリックします。

                                                                                                                                                  4

                                                                                                                                                  サービスを無効にしてトライアルを終了することを確認します。

                                                                                                                                                  HDS 展開の管理

                                                                                                                                                  HDS 展開の管理

                                                                                                                                                  ここで説明するタスクを使用して、ハイブリッド データ セキュリティの展開を管理します。

                                                                                                                                                  クラスタアップグレードスケジュールの設定

                                                                                                                                                  ハイブリッド データ セキュリティのソフトウェア アップグレードは、クラスタ レベルで自動的に行われ、すべてのノードが常に同じソフトウェア バージョンを実行していることを保証します。 アップグレードは、クラスタのアップグレードのスケジュールに従って行われます。 ソフトウェアのアップグレードが可能になると、スケジュールされているアップグレードの時間の前に手動で行うことも可能になります。 特定のアップグレードのスケジュールを設定するか、毎日午前 3 時 (アメリカ合衆国) に行うというデフォルトのスケジュールも利用可能です。 アメリカ/ロサンゼルス 必要であれば、次に予定されているアップグレードを延期することも可能です。

                                                                                                                                                  アップグレードスケジュールを設定するには:

                                                                                                                                                  1

                                                                                                                                                  Control Hub にサインインします。

                                                                                                                                                  2

                                                                                                                                                  [概要] ページの [ハイブリッド サービス] で、[ハイブリッド データ セキュリティ] を選択します。

                                                                                                                                                  3

                                                                                                                                                  [ハイブリッド データ セキュリティ リソース] ページで、クラスタを選択します。

                                                                                                                                                  4

                                                                                                                                                  右側の [概要] パネルの [クラスタ設定] で、クラスタ名を選択します。

                                                                                                                                                  5

                                                                                                                                                  設定ページのアップグレードの下で、アップグレードのスケジュール設定を希望する時間およびタイムゾーンを選択します。

                                                                                                                                                  メモ: タイムゾーンの下に、次に可能なアップグレードの日時が表示されます。 必要に応じて、[延期] をクリックすることでアップグレードを翌日に延期することもできます。

                                                                                                                                                  ノードの設定を変更する

                                                                                                                                                  場合により、以下のような理由で ハイブリッド データ セキュリティ ノードの構成の変更が必要な場合があります。
                                                                                                                                                  • 有効期限が切れる、または他の理由による、x.509 証明書の変更。


                                                                                                                                                     

                                                                                                                                                    証明書の CN ドメイン名の変更はサポートされていません。 ドメインは、クラスターを登録するために使用される元のドメインと一致する必要があります。

                                                                                                                                                  • データベース設定を更新して、PostgreSQL または Microsoft SQL Server データベースのレプリカを変更します。


                                                                                                                                                     

                                                                                                                                                    PostgreSQL から Microsoft SQL Server への、またはその逆へのデータ移行はサポートしていません。 データベース環境を切り替えるには、ハイブリッド データ セキュリティの新しい展開を開始します。

                                                                                                                                                  • 新しい構成を作成して新しいデータセンターの準備をする。

                                                                                                                                                  また、セキュリティ上の理由により、ハイブリッド データ セキュリティは 9 か月間使用可能なサービス アカウント パスワードを使用します。 HDS セットアップ ツールがこれらのパスワードを生成した後で、ISO 構成ファイルの各 HDS ノードに展開します。 組織のパスワードの有効期限切れが近い場合、Webex チームから「パスワード期限切れ通知」を受け取り、マシン アカウントのパスワードのリセットを求められます。 (メールにはテキスト「マシン アカウント API を使用してパスワードを更新します」を含みます。) パスワードの有効期限が切れるまで時間が十分にある場合、ツールには次の 2 つのオプションがあります:

                                                                                                                                                  • ソフト リセット— 古いパスワードと新しいパスワードは最大 10 日間有効です。 この期間を使用して、ノードの ISO ファイルを段階的に置き換えることができます。

                                                                                                                                                  • ハード リセット—古いパスワードは即時に機能を停止します。

                                                                                                                                                  パスワードをリセットせずに期限切れになる場合、HDS サービスに影響を与える可能性があります。すぐにハード リセットし、すべてのノードの ISO ファイルを置換する必要があります。

                                                                                                                                                  この手順を使用して、新しい構成 ISO ファイルを生成し、クラスターに適用します。

                                                                                                                                                  始める前に

                                                                                                                                                  • HDS セットアップ ツールをローカル マシンの Docker コンテナとして実行します。 アクセスするには、そのマシンで Docker を実行します。 セットアップ プロセスでは、組織に対するフル管理者権限を持つ Control Hub アカウントの資格情報が必要です。

                                                                                                                                                    HDS Setup ツールが環境内のプロキシの後ろで実行されている場合は、1.eで Docker コンテナを起動するときに、Docker 環境変数を使用してプロキシ設定(サーバ、ポート、クレデンシャル)を提供します。 この表ではいくつかの可能な環境変数を示します。

                                                                                                                                                    説明

                                                                                                                                                    変数

                                                                                                                                                    認証なしの HTTP プロキシ

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    認証なしの HTTPS プロキシ

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    認証ありの HTTP プロキシ

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                    認証ありの HTTPS プロキシ

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                  • 新しい構成を生成するには、現在の構成 ISO ファイルのコピーが必要です。 ISO には PostgreSQL または Microsoft SQL Server データベースを暗号化するマスター キーを含むです。 データベースの証明書、証明書の更新、認証方針への変更を含む、構成の変更を行った場合は ISO が必要です。

                                                                                                                                                  1

                                                                                                                                                  ローカル マシンで Docker を使用し、HDS セットアップ ツールを実行します。

                                                                                                                                                  1. マシンのコマンド ラインで、お使い環境に適切なコマンドを入力します。

                                                                                                                                                    一般環境:

                                                                                                                                                    docker rmi ciscocitg/hds-setup:stable

                                                                                                                                                    FedRAMP 環境の場合:

                                                                                                                                                    docker rmi ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                     

                                                                                                                                                    このステップを実行すると、前の HDS セットアップ ツールの画像がクリーンアップされます。 これ以前の画像がない場合は、無視できるエラーを返します。

                                                                                                                                                  2. Docker 画像レジストリにサインインするには、以下を入力します。

                                                                                                                                                    docker login -u hdscustomersro
                                                                                                                                                  3. パスワードのプロンプトに対して、このハッシュを入力します。

                                                                                                                                                    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
                                                                                                                                                  4. お使い環境に合った最新の安定した画像をダウンロードします。

                                                                                                                                                    一般環境:

                                                                                                                                                    docker pull ciscocitg/hds-setup:stable

                                                                                                                                                    FedRAMP 環境の場合:

                                                                                                                                                    docker pull ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                     

                                                                                                                                                    この手順に最新のセットアップ ツールをプルしていることを確認します。 2018 年 2 月 22 日より前に作成されたツールのバージョンには、パスワード リセット画面が表示されません。

                                                                                                                                                  5. プルが完了したら、お使いの環境に適切なコマンドを入力します。

                                                                                                                                                    • プロキシなしの通常の環境の場合:

                                                                                                                                                      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
                                                                                                                                                    • HTTP プロキシがある通常の環境の場合、

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                    • HTTPS プロキシがある通常の環境の場合:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                    • プロキシなしの FedRAMP 環境の場合:

                                                                                                                                                      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                    • HTTP プロキシがある FedRAMP 環境の場合:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                    • HTTPS プロキシがある FedRAMP 環境の場合:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                    コンテナが実行中の時。「ポート 8080 で Express サーバー リスニング中」と表示されます。

                                                                                                                                                  6. ブラウザを使用して、ローカルホスト に接続します。 http://127.0.0.1:8080 です。


                                                                                                                                                     

                                                                                                                                                    Setup ツールは、http://localhost:8080 を介した localhost への接続をサポートしていません。 http://127.0.0.1:8080を使用してlocalhostに接続します。

                                                                                                                                                  7. 指示されたら、 Control Hub の顧客サインイン資格情報を入力し、[同意] をクリックして続行します。

                                                                                                                                                  8. 現在の構成 ISO ファイルをインポートします。

                                                                                                                                                  9. 指示に従い、ツールを完了し、更新されたファイルをダウンロードします。

                                                                                                                                                    セットアップ ツールをシャットダウンするために次のように入力します。 CTRL+C です。

                                                                                                                                                  10. 更新されたファイルのバックアップ コピーを別のデータ センターに作成します。

                                                                                                                                                  2

                                                                                                                                                  を実行している HDS ノードが 1 個のみある場合、新しいノード VM を作成し、新しいハイブリッド データ セキュリティ ノード VM を作成し、新しい構成 ISO ファイルを使用してそれを登録します。 手順の詳細については、「追加のノードを作成して登録する」を参照してください。

                                                                                                                                                  1. HDS 主催者 OVA をインストールします。

                                                                                                                                                  2. HDS VM をセットアップします。

                                                                                                                                                  3. 更新された構成ファイルをマウントします。

                                                                                                                                                  4. Control Hub の新しいノードを登録します。

                                                                                                                                                  3

                                                                                                                                                  古い構成ファイルを実行している既存の HDS ノードの場合、ISO ファイルをマウントします。 各ノードで以下の手順を実行し、次のノードをオフにする前に、各ノードを更新します。

                                                                                                                                                  1. 仮想マシンをオフにします。

                                                                                                                                                  2. VMware vSphere クライアントの左ナビゲーション ペインで、ESXi サーバーを右クリックし、[設定の編集] をクリックします。

                                                                                                                                                  3. クリック CD/DVD Drive 1[CD/DVD Drive 1] をクリックし、ISO ファイルからマウントするオプションを選択して、新規構成 ISO ファイルをダウンロードした場所を参照します。

                                                                                                                                                  4. [電源に接続する] をチェックします。

                                                                                                                                                  5. 変更を保存し、仮想マシンを起動します。

                                                                                                                                                  4

                                                                                                                                                  ステップ 3 を繰り返し、古い構成ファイルを実行している残りの各ノードで構成を置き換えます。

                                                                                                                                                  外部 DNS 解決ブロックモードをオフにする

                                                                                                                                                  ノードを登録するか、またはノードのプロキシ構成を確認するとき、プロセスは DNS 検索と Cisco Webex クラウドへの接続をテストします。 ノードの DNS サーバーがパブリック DNS 名を解決できない場合、ノードは自動的に外部 DNS 解決ブロックモードに進みます。

                                                                                                                                                  ノードが内部 DNS サーバーを通してパブリック DNS 名を解決できる場合、各ノードでプロキシ接続テストを再実行することで、このモードをオフにすることができます。

                                                                                                                                                  始める前に

                                                                                                                                                  内部 DNS サーバーがパブリック DNS 名を解決でき、ノードがそれらと通信できることを確認します。
                                                                                                                                                  1

                                                                                                                                                  Web ブラウザで、ハイブリッド データ セキュリティ ノード インターフェイス (IP アドレス/セットアップ、たとえば、ノードに設定した管理者資格情報をhttps://192.0.2.0/setup), 入力し、[サインイン] をクリックします。

                                                                                                                                                  2

                                                                                                                                                  [概要] (デフォルトページ) に移動します。

                                                                                                                                                  有効になっている場合、 [外部 DNS 解決ブロック][はい] に設定されています。

                                                                                                                                                  3

                                                                                                                                                  [信頼ストアとプロキシ] ページに移動します。

                                                                                                                                                  4

                                                                                                                                                  [プロキシ接続を確認する] をクリックします。

                                                                                                                                                  外部 DNS の解決が正常に行われなかったという内容のメッセージが表示された場合、ノードが DNS サーバーに到達できなかったことを示しており、このモードに留まっています。 そうでない場合には、ノードを再起動して[概要] ページに戻ると、[外部 DNS 解決ブロック] は [いいえ] に設定されるはずです。

                                                                                                                                                  次に行うこと

                                                                                                                                                  ハイブリッド データ セキュリティ クラスターの各ノードで、プロキシ接続テストを繰り返します。

                                                                                                                                                  ノードの削除

                                                                                                                                                  この手順を使用して、Webex クラウドからハイブリッド データ セキュリティ ノードを削除します。 クラスタからノードを削除した後、仮想マシンを削除して、セキュリティデータへのさらなるアクセスを防止します。
                                                                                                                                                  1

                                                                                                                                                  コンピュータの VMware vSphere クライアントを使用して、ESXi 仮想ホストにログインし、仮想マシンの電源を切ります。

                                                                                                                                                  2

                                                                                                                                                  ノードを削除します。

                                                                                                                                                  1. Control Hub にサインインし、[サービス] を選択します。

                                                                                                                                                  2. ハイブリッド データ セキュリティ カードで、 すべて表示 [ハイブリッド データ セキュリティ リソース] ページを表示します。

                                                                                                                                                  3. クラスタを選択して [概要] パネルを表示します。

                                                                                                                                                  4. [ノードリストを開く] をクリックします。

                                                                                                                                                  5. [ノード] タブで、削除するノードを選択します。

                                                                                                                                                  6. をクリックします。 アクション > ノードの登録解除

                                                                                                                                                  3

                                                                                                                                                  vSphere クライアントで、仮想マシンを削除します (左側のナビゲーションペインで、仮想マシンを右クリックし、[削除] をクリックします)。

                                                                                                                                                  仮想マシンを削除しない場合は、設定の ISO ファイルのマウントを解除することを忘れないでください。 ISO ファイルがないと、VM を使用してセキュリティ データにアクセスすることはできません。

                                                                                                                                                  スタンバイデータセンターを使用したディザスタ リカバリ

                                                                                                                                                  ハイブリッド データ セキュリティ クラスタが提供する最も重要なサービスは、Webex クラウドに保存されているメッセージやその他のコンテンツを暗号化するために使用されるキーの作成と保存です。 ハイブリッド データ セキュリティに割り当てられている組織内の各ユーザーについて、新しいキー作成要求がクラスタにルーティングされます。 また、クラスタは、作成したキーを、カンバセーションスペースのメンバーなど、取得を許可されたユーザーに返却する責任があります。

                                                                                                                                                  クラスタは、これらのキーを提供するという重要な機能を実行するため、クラスタが実行され、適切なバックアップが維持されることが不可欠です。 ハイブリッド データ セキュリティ データベースまたはスキーマに使用されている構成 ISO が失われると、顧客のコンテンツが回復不能に失われます。 このような損失を防ぐには、以下の慣行が必須です。

                                                                                                                                                  災害により、プライマリデータセンターの HDS 展開が使用できなくなる場合は、次の手順に従って、スタンバイデータセンターに手動でフェールオーバーします。

                                                                                                                                                  1

                                                                                                                                                  HDS Setupツールを起動し、「HDSホストの設定ISOを作成する」の手順に従います。

                                                                                                                                                  2

                                                                                                                                                  Syslogdサーバーを構成した後、[詳細設定]をクリックします。

                                                                                                                                                  3

                                                                                                                                                  [詳細設定]ページで、以下の設定を追加するか、 passiveMode ノードをアクティブにする設定。 ノードは、これが設定されるとトラフィックを処理できます。

                                                                                                                                                  
                                                                                                                                                  passiveMode: 'false'
                                                                                                                                                  
                                                                                                                                                  4

                                                                                                                                                  構成プロセスを完了し、見つけやすい場所にISOファイルを保存します。

                                                                                                                                                  5

                                                                                                                                                  ローカルシステム上のISOファイルのバックアップコピーを作成します。 バックアップコピーを安全に保管してください。 このファイルには、データベースコンテンツのマスター暗号化キーが含まれています。 構成を変更する必要があるハイブリッド データ セキュリティ管理者のみへのアクセスを制限します。

                                                                                                                                                  6

                                                                                                                                                  VMware vSphere クライアントの左側のナビゲーションペインで、仮想マシンを右クリックし、[設定の編集] をクリックします。

                                                                                                                                                  7

                                                                                                                                                  [設定の編集]>[CD/DVDドライブ1]をクリックし、[データストアISOファイル]を選択します。


                                                                                                                                                   

                                                                                                                                                  ノードを開始した後で、更新された設定変更を有効にするために、「接続」および「電源投入時に接続」がオンになっていることを確認します。

                                                                                                                                                  8

                                                                                                                                                  HDS ノードの電源を入れ、少なくとも 15 分間アラームがないことを確認します。

                                                                                                                                                  9

                                                                                                                                                  スタンバイデータセンター内のすべてのノードに対してプロセスを繰り返します。


                                                                                                                                                   

                                                                                                                                                  Syslog 出力をチェックして、スタンバイ データ センターのノードがパッシブ モードでないことを確認します。 「パッシブモードで設定された KMS」は syslogs には表示されません。

                                                                                                                                                  次に行うこと

                                                                                                                                                  フェールオーバー後、プライマリデータセンターが再びアクティブになった場合は、「災害復旧用のスタンバイデータセンターを設定」で説明されている手順に従って、スタンバイデータセンターを再びパッシブモードにします。

                                                                                                                                                  (オプション)HDS設定後にISOをアンマウントする

                                                                                                                                                  標準の HDS 構成は、ISO マウントで実行されます。 しかし、一部の顧客は、ISOファイルを継続的にマウントしたままにしないことを好みます。 すべての HDS ノードが新しい設定をピックアップした後、ISO ファイルのマウントを解除できます。

                                                                                                                                                  ISO ファイルを使用して、設定を変更します。 新しい ISO を作成するか、セットアップツールを使用して ISO を更新する場合は、更新された ISO をすべての HDS ノードにマウントする必要があります。 すべてのノードが設定変更をピックアップしたら、この手順で再び ISO のマウントを解除できます。

                                                                                                                                                  始める前に

                                                                                                                                                  すべての HDS ノードをバージョン 2021.01.22.4720 以降にアップグレードします。

                                                                                                                                                  1

                                                                                                                                                  1 つの HDS ノードをシャットダウンします。

                                                                                                                                                  2

                                                                                                                                                  vCenter Server Appliance で、HDS ノードを選択します。

                                                                                                                                                  3

                                                                                                                                                  を選択 [設定の編集] > [CD/DVDドライブを選択し、[データストアISOファイル]のチェックを外します。

                                                                                                                                                  4

                                                                                                                                                  HDS ノードの電源を入れ、少なくとも 20 分間アラームがないことを確認します。

                                                                                                                                                  5

                                                                                                                                                  HDS ノードごとに順番に繰り返します。

                                                                                                                                                  ハイブリッド データ セキュリティのトラブルシューティング

                                                                                                                                                  アラートとトラブルシューティングの表示

                                                                                                                                                  ハイブリッド データ セキュリティの展開は、クラスタ内のすべてのノードに到達できない場合、またはクラスタが非常にゆっくりと動作しているため、要求がタイムアウトした場合、利用できないと見なされます。 ユーザーがハイブリッド データ セキュリティ クラスタに到達できない場合、次の症状が発生します。

                                                                                                                                                  • 新しいスペースを作成できません (新しいキーを作成できません)

                                                                                                                                                  • メッセージとスペース タイトルの復号に失敗する:

                                                                                                                                                    • 新規ユーザーがスペースに追加されました (キーを取得できません)

                                                                                                                                                    • 新しいクライアントを使用するスペース内の既存のユーザー (キーを取得できません)

                                                                                                                                                  • スペース内の既存のユーザーは、クライアントが暗号化キーのキャッシュを持っている限り、正常に動作し続けます。

                                                                                                                                                  ハイブリッド データ セキュリティ クラスタを適切に監視し、サービスの中断を避けるために速やかにアラートに対処することが重要です。

                                                                                                                                                  警告

                                                                                                                                                  ハイブリッド データ セキュリティのセットアップに問題がある場合、Control Hub は組織管理者にアラートを表示し、設定されたメール アドレスにメールを送信します。 アラートは、多くの一般的なシナリオをカバーしています。

                                                                                                                                                  表 1. 一般的な問題とそれらを解決するためのステップ

                                                                                                                                                  警告

                                                                                                                                                  アクション

                                                                                                                                                  ローカル データべースへのアクセスに失敗しました。

                                                                                                                                                  データベース エラーまたはローカル ネットワークの問題を確認します。

                                                                                                                                                  ローカルデータベース接続に失敗しました。

                                                                                                                                                  データベース サーバが使用可能であり、ノード設定で適切なサービス アカウント クレデンシャルが使用されていることを確認します。

                                                                                                                                                  クラウド サービスへのアクセスに失敗しました。

                                                                                                                                                  外部接続要件で指定されているように、ノードが Webex サーバーにアクセスできることを確認します。

                                                                                                                                                  クラウドサービス登録の更新。

                                                                                                                                                  クラウドサービスへの登録が削除されました。 登録の更新が進行中です。

                                                                                                                                                  クラウドサービスの登録が削除されました。

                                                                                                                                                  クラウドサービスへの登録が終了しました。 サービスが停止しています。

                                                                                                                                                  サービスはまだアクティベートされていません。

                                                                                                                                                  トライアルを有効にするか、トライアルを本番環境に移行します。

                                                                                                                                                  設定されたドメインがサーバー証明書と一致しません。

                                                                                                                                                  サーバー証明書が設定されたサービス アクティベーション ドメインと一致していることを確認します。

                                                                                                                                                  最も可能性の高い原因は、証明書 CN が最近変更され、初期設定で使用された CN とは異なるようになったためです。

                                                                                                                                                  クラウド サービスの認証に失敗しました。

                                                                                                                                                  サービスアカウントの資格情報の正確さと有効期限の可否を確認します。

                                                                                                                                                  ローカル キーストア ファイルを開くことができませんでした。

                                                                                                                                                  ローカル キーストア ファイルの整合性とパスワードの正確性を確認します。

                                                                                                                                                  ローカルサーバー証明書が無効です。

                                                                                                                                                  サーバ証明書の有効期限を確認し、信頼できる認証局によって発行されていることを確認します。

                                                                                                                                                  メトリクスを投稿できません。

                                                                                                                                                  外部クラウド サービスへのローカル ネットワーク アクセスを確認します。

                                                                                                                                                  /media/configdrive/hds ディレクトリが存在しません。

                                                                                                                                                  仮想ホストの ISO マウント設定を確認します。 ISO ファイルが存在すること、再起動時にマウントするように設定されていること、正常にマウントされていることを確認します。

                                                                                                                                                  ハイブリッド データ セキュリティのトラブルシューティング

                                                                                                                                                  ハイブリッド データ セキュリティの問題をトラブルシューティングする場合は、次の一般的なガイドラインを使用します。
                                                                                                                                                  1

                                                                                                                                                  アラートについては Control Hub を確認し、見つかった項目を修正します。

                                                                                                                                                  2

                                                                                                                                                  ハイブリッド データ セキュリティ展開からのアクティビティの syslog サーバー出力を確認します。

                                                                                                                                                  3

                                                                                                                                                  Cisco サポート にお問い合わせください。

                                                                                                                                                  その他の注意事項

                                                                                                                                                  ハイブリッド データ セキュリティの既知の問題

                                                                                                                                                  • ハイブリッド データ セキュリティ クラスタをシャットダウンする (Control Hub で削除するか、すべてのノードをシャットダウンする)、構成 ISO ファイルを失う、またはキーストア データベースへのアクセスを失う場合、Webex アプリのユーザーは、KMS のキーを使用して作成された [ユーザー] リストの下のスペースを使用できなくなります。 これは、トライアル展開と本番展開の両方に適用されます。 現在、この問題の回避策や修正はありません。HDS サービスがアクティブなユーザーアカウントを処理したら、HDS サービスをシャットダウンしないようにしてください。

                                                                                                                                                  • KMS への既存の ECDH 接続を持つクライアントは、その接続を一定期間 (おそらく 1 時間) 維持します。 ユーザーがハイブリッド データ セキュリティ トライアルのメンバーになると、ユーザーのクライアントは、タイムアウトするまで既存の ECDH 接続を引き続き使用します。 代わりに、ユーザーは Webex アプリ アプリにサインアウトして再度ログインして、アプリが暗号化キーの連絡先を更新できます。

                                                                                                                                                    同じ動作は、組織のトライアルを本番環境に移行する場合にも発生します。 以前のデータ セキュリティ サービスへの既存の ECDH 接続を持つすべての非トライアル ユーザーは、ECDH 接続が再ネゴシエートされるまで (タイムアウトまたはサインアウトして戻る)、これらのサービスを使用し続けます。

                                                                                                                                                  OpenSSL を使用して PKCS12 ファイルを生成する

                                                                                                                                                  始める前に

                                                                                                                                                  • OpenSSLは、HDSセットアップツールでロードするための適切な形式でPKCS12ファイルを作成するために使用できるツールの1つです。 これを行うには他の方法があり、私たちは別の方法よりも支持または促進しません。

                                                                                                                                                  • OpenSSLを使用することを選択した場合は、X.509証明書要件を満たすファイルを作成するのに役立つガイドラインとして、この手順を提供しています。 X.509 証明書の要件は... 続行する前にこれらの要件を理解してください。

                                                                                                                                                  • サポートされている環境で OpenSSL をインストールします。 ソフトウェアとマニュアルについてはhttps://www.openssl.orgを参照してください。

                                                                                                                                                  • 秘密鍵を作成します。

                                                                                                                                                  • 認証局(CA)からサーバ証明書を受け取ったら、この手順を開始します。

                                                                                                                                                  1

                                                                                                                                                  CA からサーバー証明書を受け取ったら、次のように保存します。 hdsnode.pem です。

                                                                                                                                                  2

                                                                                                                                                  証明書をテキストとして表示し、詳細を確認します。

                                                                                                                                                  openssl x509 -text -noout -in hdsnode.pem

                                                                                                                                                  3

                                                                                                                                                  テキスト エディタを使用して、証明書バンドル ファイルを作成します。 hdsnode-bundle.pem です。 バンドル ファイルには、次の形式で、サーバ証明書、中間の CA 証明書、ルート CA 証明書を含める必要があります。

                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ### Server certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ###  Intermediate CA certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ###  Root CA certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  4

                                                                                                                                                  親しみやすい名前で .p12 ファイルを作成する kms-private-key です。

                                                                                                                                                  openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

                                                                                                                                                  5

                                                                                                                                                  サーバ証明書の詳細を確認してください。

                                                                                                                                                  1. openssl pkcs12 -in hdsnode.p12

                                                                                                                                                  2. プロンプトでパスワードを入力して、秘密キーを出力に表示するように暗号化します。 次に、秘密鍵と最初の証明書に、回線が含まれていることを確認します。 friendlyName: kms-private-keyです。

                                                                                                                                                    例:

                                                                                                                                                    bash$ openssl pkcs12 -in hdsnode.p12
                                                                                                                                                    Enter Import Password:
                                                                                                                                                    MAC verified OK
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: kms-private-key
                                                                                                                                                        localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
                                                                                                                                                    Key Attributes: <No Attributes>
                                                                                                                                                    Enter PEM pass phrase:
                                                                                                                                                    Verifying - Enter PEM pass phrase:
                                                                                                                                                    -----BEGIN ENCRYPTED PRIVATE KEY-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END ENCRYPTED PRIVATE KEY-----
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: kms-private-key
                                                                                                                                                        localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
                                                                                                                                                    subject=/CN=hds1.org6.portun.us
                                                                                                                                                    issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
                                                                                                                                                    -----BEGIN CERTIFICATE-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END CERTIFICATE-----
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US
                                                                                                                                                    subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
                                                                                                                                                    issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3
                                                                                                                                                    -----BEGIN CERTIFICATE-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END CERTIFICATE-----

                                                                                                                                                  次に行うこと

                                                                                                                                                  ハイブリッド データ セキュリティの前提条件を満たす」に戻ります。 次を使用します: hdsnode.p12[HDSホストの設定ISOの作成]で設定したファイルとパスワード。


                                                                                                                                                   

                                                                                                                                                  これらのファイルを再使用して、元の証明書の有効期限が切れたときに新しい証明書を要求できます。

                                                                                                                                                  HDS ノードとクラウド間のトラフィック

                                                                                                                                                  アウトバウンドメトリック収集トラフィック

                                                                                                                                                  ハイブリッド データ セキュリティ ノードは、Webex クラウドに特定のメトリックを送信します。 これには、ヒープ最大、使用されるヒープ、CPU 負荷、およびスレッド数のシステムメトリクス、同期スレッドと非同期スレッドのメトリクス、暗号化接続のしきい値、遅延、またはリクエストキュー長を含むアラートのメトリクス、データストアのメトリクス、および暗号化接続メトリックが含まれます。 ノードは、(リクエストとは別に)帯域外チャネル上で暗号化されたキー素材を送信します。

                                                                                                                                                  着信トラフィック

                                                                                                                                                  ハイブリッド データ セキュリティ ノードは、Webex クラウドから次のタイプのインバウンド トラフィックを受信します。

                                                                                                                                                  • 暗号化サービスによってルーティングされるクライアントからの暗号化要求

                                                                                                                                                  • ノード ソフトウェアへのアップグレード

                                                                                                                                                  ハイブリッド データ セキュリティの Squid プロキシを設定する

                                                                                                                                                  Websocket は Squid プロキシを通じて接続できません

                                                                                                                                                  Mサイズは箱入りとなります Sサイズは箱なしでのラッピングとなります ギフトボックス・ラッピングについて __________________ wss:) ハイブリッド データ セキュリティが必要とする接続。 これらのセクションでは、無視するためにさまざまなバージョンの Squid を設定する方法について説明します。 wss: これは、サービスの適切な運用のためのトラフィックです。

                                                                                                                                                  Squid 4 および5

                                                                                                                                                  次を追加します: on_unsupported_protocol 指示する squid.conf:

                                                                                                                                                  on_unsupported_protocol tunnel all

                                                                                                                                                  Squid 3.5.27

                                                                                                                                                  次のルールが追加され、ハイブリッド データ セキュリティが正常にテストされました。 squid.conf です。 これらのルールは、機能を開発し、Webex クラウドを更新する際に変更されることがあります。

                                                                                                                                                  acl wssMercuryConnection ssl::server_name_regex mercury-connection
                                                                                                                                                  
                                                                                                                                                  ssl_bump splice wssMercuryConnection
                                                                                                                                                  
                                                                                                                                                  acl step1 at_step SslBump1
                                                                                                                                                  acl step2 at_step SslBump2
                                                                                                                                                  acl step3 at_step SslBump3
                                                                                                                                                  ssl_bump peek step1 all
                                                                                                                                                  ssl_bump stare step2 all
                                                                                                                                                  ssl_bump bump step3 all
                                                                                                                                                  はじめに

                                                                                                                                                  新規および変更された情報

                                                                                                                                                  日付

                                                                                                                                                  変更履歴

                                                                                                                                                  2023年10月20日。

                                                                                                                                                  2023年8月7日。

                                                                                                                                                  2023年5月23日。

                                                                                                                                                  2022 年 12 月 06 日

                                                                                                                                                  2022年11月23日。

                                                                                                                                                  2021 年 10 月 13 日

                                                                                                                                                  HDS ノードをインストールする前に、Docker Desktop でセットアッププログラムを実行する必要があります。 Docker デスクトップの要件を参照してください。

                                                                                                                                                  2017 年 6 月 24 日

                                                                                                                                                  秘密鍵ファイルと CSR を再使用して別の証明書を要求できることに注意してください。 詳細については、「OpenSSL を使用して PKCS12 ファイルを生成する」を参照してください。

                                                                                                                                                  2021 年 4 月 30 日

                                                                                                                                                  ローカル ハード ディスク スペースの VM 要件を 30 GB に変更しました。 詳細については、「仮想ホスト要件」を参照してください。

                                                                                                                                                  2021 年 2 月 24 日

                                                                                                                                                  HDS セットアップ ツールは、プロキシの後ろで実行できるようになりました。 詳細については、「HDS ホストの設定 ISO を作成する」を参照してください。

                                                                                                                                                  2021 年 2 月 2 日

                                                                                                                                                  HDS は、マウントされた ISO ファイルなしで実行できるようになりました。 詳細については、「(オプション) HDS 設定後に ISO のマウント解除 」を参照してください。

                                                                                                                                                  2021年1月11日。

                                                                                                                                                  HDSセットアップツールとプロキシに関する情報を追加し、HDSホストの設定ISOを作成しました。

                                                                                                                                                  2020/10/13

                                                                                                                                                  インストールファイルのダウンロードを更新しました。

                                                                                                                                                  2020/10/08

                                                                                                                                                  更新HDSホスト用の構成ISOの作成およびFedRAMP環境のコマンドによるノード構成の変更

                                                                                                                                                  2020 年 8 月 14 日

                                                                                                                                                  サインイン プロセスの変更に伴い、「HDS ホストの構成 ISO を作成する」および「ノード構成を変更する」が更新されました。

                                                                                                                                                  2020年8月5日水曜日

                                                                                                                                                  ログ メッセージの変更に関するハイブリッド データ セキュリティ展開のテストを更新しました。

                                                                                                                                                  ホストの最大数を削除する仮想ホスト要件を更新しました。

                                                                                                                                                  2020 年 6 月 16 日

                                                                                                                                                  Control Hub UI の変更に関するノードの削除を更新しました。

                                                                                                                                                  2020 年 6 月 4 日

                                                                                                                                                  設定する詳細設定の変更に関するHDS ホストの設定 ISO の作成を更新しました。

                                                                                                                                                  2020 年 5 月 29 日

                                                                                                                                                  SQL Serverデータベース、UI変更、およびその他の説明でTLSを使用できることを示すために、HDSホストの構成ISOを作成するを更新しました。

                                                                                                                                                  2020 年 5 月 5 日

                                                                                                                                                  ESXi 6.5 の新しい要件を表示するために、仮想ホスト要件を更新しました。

                                                                                                                                                  2020 年 4 月 21 日

                                                                                                                                                  新しい Americas CI ホストとの外部接続要件が更新されました。

                                                                                                                                                  2020 年 4 月 1 日

                                                                                                                                                  地域 CI ホストに関する情報で外部接続要件が更新されました。

                                                                                                                                                  2020年2月20日水曜日HDSセットアップツールの新しいオプションの詳細設定画面に関する情報を記載したHDSホストの設定ISOを作成を更新しました。
                                                                                                                                                  2020年2月4日。プロキシサーバーの要件を更新しました。
                                                                                                                                                  2019年12月16日ブロックされた外部 DNS 解決モードがプロキシサーバーの要件で動作する要件を明確化しました。
                                                                                                                                                  2019 年 11 月 19 日

                                                                                                                                                  次のセクションで、ブロックされた外部 DNS 解決モードに関する情報を追加しました。

                                                                                                                                                  2019 年 11 月 8 日

                                                                                                                                                  OVA を後で展開するのではなく、ノードのネットワーク設定を構成できるようになりました。

                                                                                                                                                  以下のセクションを適宜更新しました。


                                                                                                                                                   

                                                                                                                                                  OVA 展開中にネットワーク設定を設定するオプションは、ESXi 6.5 でテストされています。 このオプションは、以前のバージョンでは使用できない場合があります。

                                                                                                                                                  2019年9月6日水曜日

                                                                                                                                                  データベースサーバーの要件にSQL Server Standardを追加しました。

                                                                                                                                                  2019 年 8 月 29 日適切な動作のためにWebSocketトラフィックを無視するようにSquidプロキシを設定する方法についてのガイダンスが追加されました。Configure Squid Proxies for Hybrid Data Securityの付録が追加されました。
                                                                                                                                                  2019 年 8 月 20 日

                                                                                                                                                  Webex クラウドへのハイブリッド データ セキュリティ ノード通信のプロキシ サポートをカバーするセクションを追加および更新しました。

                                                                                                                                                  既存の展開のプロキシ サポート コンテンツだけにアクセスするには、「ハイブリッド データ セキュリティと Webex ビデオ メッシュのプロキシ サポート」のヘルプ記事を参照してください。

                                                                                                                                                  2019年6月13日。トライアルから本番稼働タスク フローに更新し、 HdsTrialGroup 組織がディレクトリ同期を使用している場合、トライアルを開始する前にグループ オブジェクト。
                                                                                                                                                  2019年3月6日(火)
                                                                                                                                                  2019 年 2 月 28 日
                                                                                                                                                  • ハイブリッド データ セキュリティ ノードとなる仮想ホストを 50 GB から 20 GB に準備するときに、OVA が作成するディスクのサイズを反映させるために、サーバあたりのローカル ハード ディスクの空き容量を修正しました。

                                                                                                                                                  2019 年 2 月 26 日
                                                                                                                                                  • ハイブリッド データ セキュリティ ノードは、PostgreSQL データベース サーバとの暗号化された接続、および TLS 対応の syslog サーバへの暗号化されたロギング接続をサポートするようになりました。 手順が記載された「HDS ホストの設定 ISO を作成」を更新しました。

                                                                                                                                                  • 「ハイブリッド データ セキュリティ ノード VM のインターネット接続要件」の表から移動先 URL を削除しました。 この表は、Webex Teams サービスのネットワーク要件の「Webex Teams ハイブリッド サービスの追加 URL」表で維持されているリストを参照しています。

                                                                                                                                                  2019 年 1 月 24 日

                                                                                                                                                  • ハイブリッド データ セキュリティは、データベースとして Microsoft SQL Server をサポートするようになりました。 SQL Server Always On (Always On Failover Clusters and Always on Availability Groups) は、ハイブリッド データ セキュリティで使用される JDBC ドライバーによってサポートされています。 SQL Server での展開に関連するコンテンツを追加しました。


                                                                                                                                                     

                                                                                                                                                    Microsoft SQL Server のサポートは、ハイブリッド データ セキュリティの新規展開のみを対象としています。 現在のところ、既存の展開における、PostgreSQL から Microsoft SQL Server への移行はサポートしていません。

                                                                                                                                                  2018年11月5日。
                                                                                                                                                  2018年10月19日水曜日

                                                                                                                                                  2018 年 7 月 31 日

                                                                                                                                                  2018/05/21

                                                                                                                                                  Cisco Spark のリブランディングを反映する用語の変更:

                                                                                                                                                  • Cisco Spark ハイブリッド データ セキュリティがハイブリッド データ セキュリティになりました。

                                                                                                                                                  • Cisco Spark アプリが Webex アプリ アプリになりました。

                                                                                                                                                  • Cisco Collaboraton Cloud は Webex クラウドになりました。

                                                                                                                                                  2018年4月11日。
                                                                                                                                                  2018年2月22日水曜日
                                                                                                                                                  • サービスアカウントパスワードの9か月の寿命と、HDSセットアップツールを使用してサービスアカウントパスワードをリセットする方法についての情報を追加しました。「HDSホストの設定ISOの作成」および「ノード設定の変更」を参照してください。

                                                                                                                                                  2018 年 2 月 15 日
                                                                                                                                                  • X.509証明書の要件表では、証明書がワイルドカード証明書にはならないこと、KMSがCNドメインを使用していること、x.509v3 SANフィールドで定義されているドメインではないことが指定されています。

                                                                                                                                                  2018 年 1 月 18 日

                                                                                                                                                  2017年11月2日。

                                                                                                                                                  • HdsTrialGroup のディレクトリ同期を明確にしました。

                                                                                                                                                  • VM ノードにマウントするための ISO 設定ファイルをアップロードする手順を修正しました。

                                                                                                                                                  2017年8月18日。

                                                                                                                                                  初公開。

                                                                                                                                                  ハイブリッド データ セキュリティの使用を開始する

                                                                                                                                                  ハイブリッド データ セキュリティの概要

                                                                                                                                                  初日から、Webex アプリの設計において、データ セキュリティが主な焦点となっています。 このセキュリティはエンドツーエンドのコンテンツ暗号化を基礎とし、 Webexアプリ クライアントがキー管理サービス (KMS) とやり取りすることで実現しました。 KMS はメッセージとファイルを動的に暗号化し、解読するためにクライアントが使用する暗号キーの作成と管理の責任を負っています。

                                                                                                                                                  デフォルトでは、すべての Webex アプリの顧客は、Cisco のセキュリティ領域にあるクラウド KMS に保存されている動的キーを使用して、エンドツーエンドの暗号化を取得します。 ハイブリッド データ セキュリティは、KMS とその他のセキュリティ関連の機能をあなたのエンタープライズ データ センターに移動するため、誰でもなくあなたが暗号化コンテンツの鍵を持っています。

                                                                                                                                                  セキュリティRealmアーキテクチャ

                                                                                                                                                  Webex クラウド アーキテクチャは、以下に示すように、さまざまなタイプのサービスを別々の領域、または信頼ドメインに分離します。

                                                                                                                                                  分離の領域 (ハイブリッド データ セキュリティなし)

                                                                                                                                                  ハイブリッド データ セキュリティをさらに理解するには、まず、シスコがクラウド レルムですべての機能を提供しているこの純粋なクラウド ケースを見てみましょう。 メールアドレスなどの個人情報とユーザーが直接相関できる唯一の場所であるアイデンティティサービスは、データセンターBのセキュリティ領域と論理的かつ物理的に分離されています。

                                                                                                                                                  この図では、クライアントはユーザーのラップトップで実行されている Webex アプリであり、ID サービスで認証されています。 ユーザがスペースに送信するメッセージを作成すると、次の手順が実行されます。

                                                                                                                                                  1. クライアントは、キー管理サービス(KMS)とのセキュアな接続を確立し、メッセージを暗号化するためのキーを要求します。 安全な接続は ECDH を使用し、KMS は AES-256 マスター キーを使用してキーを暗号化します。

                                                                                                                                                  2. メッセージはクライアントを離れる前に暗号化されます。 クライアントはインデックスをインデックスサービスに送信します。これにより、暗号化された検索インデックスが作成され、今後のコンテンツの検索に役立ちます。

                                                                                                                                                  3. 暗号化されたメッセージは、コンプライアンス チェックのためにコンプライアンス サービスに送信されます。

                                                                                                                                                  4. 暗号化されたメッセージはストレージ領域に保存されます。

                                                                                                                                                  ハイブリッド データ セキュリティを展開すると、セキュリティ レルム機能 (KMS、インデックス、コンプライアンス) をオンプレミスのデータセンターに移動します。 Webex を構成する他のクラウド サービス (ID とコンテンツ ストレージを含む) は、シスコの領域に残ります。

                                                                                                                                                  他の組織との連携

                                                                                                                                                  組織内のユーザーは、Webex アプリを定期的に使用して、他の組織の外部参加者とコラボレーションできます。 ユーザーの 1 人が組織によって所有されているスペースのキーを要求すると(ユーザーの 1 人が作成したため)、KMS は ECDH 保護されたチャネルを介してキーをクライアントに送信します。 ただし、別の組織がスペースのキーを所有している場合、KMS は別の ECDH チャネルを介してリクエストを WEBEX クラウドにルーティングして、適切な KMS からキーを取得し、元のチャネルのユーザーにキーを返します。

                                                                                                                                                  組織 A で実行されている KMS サービスは、x.509 PKI 証明書を使用して他の組織の KMS への接続を検証します。 ハイブリッド データ セキュリティの展開で使用する x.509 証明書の生成の詳細については、「環境の準備」を参照してください。

                                                                                                                                                  ハイブリッド データ セキュリティの展開への期待

                                                                                                                                                  ハイブリッド データ セキュリティの展開には、重要な顧客のコミットメントと、暗号化キーの所有に伴うリスクの認識が必要です。

                                                                                                                                                  ハイブリッド データ セキュリティを展開するには、以下を提供する必要があります。

                                                                                                                                                  ハイブリッド データ セキュリティ用に構築する構成 ISO または提供されたデータベースのいずれかを完全に失うと、キーが失われます。 キー損失は、ユーザーが Webex アプリでスペース コンテンツやその他の暗号化されたデータを復号することを防ぎます。 この場合、新しい展開を構築できますが、新しいコンテンツのみが表示されます。 データへのアクセスの損失を避けるには、以下を行う必要があります。

                                                                                                                                                  • データベースのバックアップとリカバリ、および構成ISOを管理します。

                                                                                                                                                  • データベースのディスク障害やデータセンター障害などの大災害が発生した場合、迅速な災害復旧を実行する準備をしてください。


                                                                                                                                                   

                                                                                                                                                  HDS 導入後にキーをクラウドに戻すメカニズムはありません。

                                                                                                                                                  高レベルのセットアッププロセス

                                                                                                                                                  このドキュメントでは、ハイブリッド データ セキュリティ展開のセットアップと管理について説明します。

                                                                                                                                                  • ハイブリッド データ セキュリティのセットアップ—これには、必要なインフラストラクチャの準備とハイブリッド データ セキュリティ ソフトウェアのインストール、トライアル モードでのユーザーのサブセットを使用した展開のテスト、テストが完了すると本番環境に移行することが含まれます。 これにより、組織全体がセキュリティ機能にハイブリッド データ セキュリティ クラスタを使用できるようになります。

                                                                                                                                                    セットアップ、トライアル、および生産の各段階は、次の3つの章で詳しく説明されています。

                                                                                                                                                  • ハイブリッド データ セキュリティの展開を維持する—Webex クラウドは自動的に継続的なアップグレードを提供します。 IT 部門は、この展開に対してティア 1 のサポートを提供し、必要に応じてシスコのサポートを引き受けることができます。 画面上の通知を使用し、Control Hub でメールベースのアラートを設定できます。

                                                                                                                                                  • 一般的なアラート、トラブルシューティング手順、および既知の問題について理解する—ハイブリッド データ セキュリティの展開または使用で問題が発生した場合、このガイドの最後の章と既知の問題の付録は、問題を決定および修正するのに役立ちます。

                                                                                                                                                  ハイブリッド データ セキュリティ展開モデル

                                                                                                                                                  エンタープライズ データ センターでは、ハイブリッド データ セキュリティを個別の仮想ホスト上のノードの単一のクラスタとして展開します。 ノードは、セキュアなウェブソケットとセキュアな HTTP を通じて Webex クラウドと通信します。

                                                                                                                                                  インストールプロセス中に、提供するVM上の仮想アプライアンスを設定するためのOVAファイルを提供します。 HDS セットアップ ツールを使用して、各ノードにマウントするカスタム クラスタ構成 ISO ファイルを作成します。 ハイブリッド データ セキュリティ クラスタは、提供された Syslogd サーバーと PostgreSQL または Microsoft SQL Server データベースを使用します。 (HDS セットアップツールで Syslogd とデータベース接続の詳細を設定します。)

                                                                                                                                                  ハイブリッド データ セキュリティ展開モデル

                                                                                                                                                  クラスタに持つことができるノードの最小数は 2 です。 私たちは少なくとも3つをお勧めします、そしてあなたは最大5つを持つことができます。 複数のノードを持つことにより、ノードのソフトウェアアップグレードやその他のメンテナンス作業中にサービスが中断されないようにします。(Webex クラウドは一度に 1 つのノードのみをアップグレードします。)

                                                                                                                                                  クラスタ内のすべてのノードが同じキーデータストアにアクセスし、同じ syslog サーバにアクティビティをログします。 ノード自体はステートレスであり、クラウドの指示に従って、ラウンドロビン方式で重要な要求を処理します。

                                                                                                                                                  ノードは、Control Hub に登録するとアクティブになります。 個々のノードをサービスから削除するには、登録を解除し、必要に応じて後で再登録できます。

                                                                                                                                                  組織ごとに 1 つのクラスタのみをサポートします。

                                                                                                                                                  ハイブリッド データ セキュリティ トライアル モード

                                                                                                                                                  ハイブリッド データ セキュリティの展開をセットアップした後、最初にパイロット ユーザーのセットで試してください。 トライアル期間中、これらのユーザーは暗号化キーやその他のセキュリティ領域サービスにオンプレミスのハイブリッド データ セキュリティ ドメインを使用します。 他のユーザーは引き続きクラウド セキュリティ レルムを使用します。

                                                                                                                                                  トライアル中に展開を続行せず、サービスを無効にすると、パイロットユーザーとトライアル期間中に新しいスペースを作成して対話したユーザーは、メッセージとコンテンツへのアクセス権を失います。 Webex アプリに「このメッセージは復号化できません」と表示されます。

                                                                                                                                                  導入がトライアル ユーザーに対してうまく機能しており、ハイブリッド データ セキュリティをすべてのユーザーに拡張する準備ができている場合は、導入を本番環境に移行します。 パイロットのユーザーは、トライアル中に使用されたキーにアクセスできます。 ただし、プロダクションモードと元のトライアルを行ったり来たりすることはできません。 ディザスタ リカバリを実行するなど、サービスを非アクティブ化する必要がある場合は、再アクティブ化時に新しいトライアルを開始し、新しいトライアルのパイロット ユーザーのセットを設定してから、プロダクション モードに戻す必要があります。 ユーザがこの時点でデータへのアクセスを保持するかどうかは、クラスタ内のハイブリッド データ セキュリティ ノードのキー データ ストアと ISO 構成ファイルのバックアップを正常に維持したかどうかに依存します。

                                                                                                                                                  災害復旧のためのスタンバイデータセンター

                                                                                                                                                  展開中に、セキュアなスタンバイデータセンターを設定します。 データセンターに障害が発生した場合、スタンバイデータセンターへの展開を手動で失敗させることができます。

                                                                                                                                                  Before failover, Data Center A has active HDS nodes and the primary PostgreSQL or Microsoft SQL Server database, while B has a copy of the ISO file with additional configurations, VMs that are registered to the organization, and a standby database. After failover, Data Center B has active HDS nodes and the primary database, while A has unregistered VMs and a copy of the ISO file, and the database is in standby mode.
                                                                                                                                                  スタンバイデータセンターへの手動フェールオーバー

                                                                                                                                                  アクティブ データ センターとスタンバイ データ センターのデータベースが相互に同期されているため、フェールオーバーを実行するのにかかる時間が最小限に抑えられます。 スタンバイデータセンターの ISO ファイルは、ノードが組織に登録されていることを確認する追加の構成で更新されますが、トラフィックは処理されません。 したがって、スタンバイデータセンターのノードは、常に最新バージョンのHDSソフトウェアで最新の状態に保たれます。


                                                                                                                                                   

                                                                                                                                                  アクティブなハイブリッド データ セキュリティ ノードは、常にアクティブなデータベース サーバと同じデータセンターにある必要があります。

                                                                                                                                                  災害復旧のためのスタンバイデータセンターを設定

                                                                                                                                                  スタンバイデータセンターの ISO ファイルを設定するには、以下の手順に従います。

                                                                                                                                                  始める前に

                                                                                                                                                  • スタンバイデータセンターは、VMとバックアップPostgreSQLまたはMicrosoft SQL Serverデータベースの生産環境をミラーリングする必要があります。 たとえば、本番環境に HDS ノードを実行する 3 台の仮想マシンがある場合、バックアップ環境には 3 台の仮想マシンが必要です (このフェールオーバーモデルの概要については、「Standby Data Center for Disaster Recovery」を参照してください)。

                                                                                                                                                  • アクティブクラスタノードとパッシブクラスタノードのデータベース間でデータベース同期が有効になっていることを確認します。

                                                                                                                                                  1

                                                                                                                                                  HDS Setupツールを起動し、「HDSホストの設定ISOを作成する」の手順に従います。


                                                                                                                                                   

                                                                                                                                                  ISO ファイルは、次の構成更新を行うプライマリデータセンターの原本 ISO ファイルのコピーである必要があります。

                                                                                                                                                  2

                                                                                                                                                  Syslogdサーバーを構成した後、[詳細設定]をクリックします。

                                                                                                                                                  3

                                                                                                                                                  [詳細設定]ページで、以下の設定を追加して、ノードをパッシブモードにします。 このモードでは、ノードは組織に登録され、クラウドに接続されますが、トラフィックは処理されません。

                                                                                                                                                  
                                                                                                                                                  passiveMode: 'true'
                                                                                                                                                  
                                                                                                                                                  4

                                                                                                                                                  構成プロセスを完了し、見つけやすい場所にISOファイルを保存します。

                                                                                                                                                  5

                                                                                                                                                  ローカルシステム上のISOファイルのバックアップコピーを作成します。 バックアップコピーを安全に保管してください。 このファイルには、データベースコンテンツのマスター暗号化キーが含まれています。 構成を変更する必要があるハイブリッド データ セキュリティ管理者のみへのアクセスを制限します。

                                                                                                                                                  6

                                                                                                                                                  VMware vSphere クライアントの左側のナビゲーションペインで、仮想マシンを右クリックし、[設定の編集] をクリックします。

                                                                                                                                                  7

                                                                                                                                                  [設定の編集]>[CD/DVDドライブ1]をクリックし、[データストアISOファイル]を選択します。


                                                                                                                                                   

                                                                                                                                                  ノードを開始した後で、更新された設定変更を有効にするために、「接続」および「電源投入時に接続」がオンになっていることを確認します。

                                                                                                                                                  8

                                                                                                                                                  HDS ノードの電源を入れ、少なくとも 15 分間アラームがないことを確認します。

                                                                                                                                                  9

                                                                                                                                                  スタンバイデータセンター内のすべてのノードに対してプロセスを繰り返します。


                                                                                                                                                   

                                                                                                                                                  Syslogs をチェックして、ノードがパッシブモードになっていることを確認します。 Syslogsで「パッシブモードで設定されたKMS」というメッセージを表示できるはずです。

                                                                                                                                                  次に行うこと

                                                                                                                                                  設定後 passiveMode ISOファイルに保存すると、ISOファイルの別のコピーを作成できます。 passiveMode 設定し、安全な場所に保存します。 このISOファイルのコピー passiveMode 設定すると、ディザスタ リカバリ中の迅速なフェールオーバー プロセスに役立ちます。 詳細なフェールオーバー手順については、「 スタンバイデータセンターを使用したディザスタ リカバリ」を参照してください。

                                                                                                                                                  プロキシサポート

                                                                                                                                                  ハイブリッド データ セキュリティは、明示的な透過的な検査および非検査プロキシをサポートします。 これらのプロキシを展開に関連付けることができます。これにより、エンタープライズからクラウドに送信されるトラフィックをセキュリティ保護し、監視することができます。 証明書の管理のノードでプラットフォーム管理インターフェイスを使用して、ノードでプロキシを設定した後で、全体的な接続ステータスを確認することができます。

                                                                                                                                                  ハイブリッド データ セキュリティ ノードは、以下のプロキシ オプションをサポートしています。

                                                                                                                                                  • プロキシなし—プロキシを統合するために、HDS ノード セットアップの信頼ストアとプロキシ設定を使用しない場合は、デフォルトになります。 証明書の更新は必要ありません。

                                                                                                                                                  • 透過型の検査なしのプロキシ—ノードは特定のプロキシ サーバー アドレスを使用するように設定されていないため、検査なしのプロキシで動作するように変更を加える必要はありません。 証明書の更新は必要ありません。

                                                                                                                                                  • 透過トンネリングまたは検査プロキシ—ノードは特定のプロキシ サーバー アドレスを使用するように設定されていません。 ノードでは、HTTP または HTTPS の設定変更は必要ありません。 ただし、ノードはプロキシを信頼するためにルート証明書を必要とします。 プロキシを検査することで、Web サイトにアクセスするか、どのタイプのコンテンツを使用するかを強制するポリシーを施行することができます。 このタイプのプロキシは、すべてのトラフィック (HTTPS さえも含む) を復号化します。

                                                                                                                                                  • 明示的プロキシ—明示的なプロキシを使用して、使用するプロキシ サーバーと認証スキームを指定します。 明示的なプロキシを設定するには、各ノードに次の情報を入力する必要があります。

                                                                                                                                                    1. プロキシ IP/FQDN—プロキシ マシンに到達するために使用できるアドレス。

                                                                                                                                                    2. プロキシ ポート-プロキシがプロキシ トラフィックをリスンするために使用するポート番号。

                                                                                                                                                    3. プロキシ プロトコル-プロキシ サーバーがサポートするものに応じて、次のいずれかのプロトコルを選択します。

                                                                                                                                                      • HTTP—クライアントが送信するすべての要求を表示し、コントロールします。

                                                                                                                                                      • HTTPS—サーバーにチャネルを提供します。 クライアントがサーバーの証明書を受け取り、検証します。

                                                                                                                                                    4. 認証タイプ-次の認証タイプから選択します。

                                                                                                                                                      • なし—追加の認証は必要ありません。

                                                                                                                                                        プロキシ プロトコルとして HTTP または HTTPS のいずれかを選択した場合に利用できます。

                                                                                                                                                      • ベーシック—HTTP ユーザー エージェントがリクエストを行う際にユーザー名とパスワードを指定するために使用されます。 Base64 エンコードを使用します。

                                                                                                                                                        プロキシ プロトコルとして HTTP または HTTPS のいずれかを選択した場合に利用できます。

                                                                                                                                                        各ノードにユーザー名とパスワードを入力する必要があります。

                                                                                                                                                      • ダイジェスト—機密情報を送信する前にアカウントを確認するために使用されます。 ネットワークを経由して送信する前に、ユーザー名およびパスワードにハッシュ機能を適用します。

                                                                                                                                                        プロキシ プロトコルとして HTTPS を選択した場合にのみ利用できます。

                                                                                                                                                        各ノードにユーザー名とパスワードを入力する必要があります。

                                                                                                                                                  ハイブリッド データ セキュリティ ノードとプロキシの例

                                                                                                                                                  この図は、ハイブリッド データ セキュリティ、ネットワーク、およびプロキシ間の接続例を示しています。 透過的な検査および HTTPS 明示的な検査プロキシ オプションの場合、同じルート証明書がプロキシとハイブリッド データ セキュリティ ノードにインストールされている必要があります。

                                                                                                                                                  外部 DNS 解決ブロックモード (明示的プロキシ構成)

                                                                                                                                                  ノードを登録するか、またはノードのプロキシ構成を確認するとき、プロセスは DNS 検索と Cisco Webex クラウドへの接続をテストします。 内部クライアントのための外部 DNS 解決が許可されていない、明示的なプロキシ構成の展開では、ノードが DNS サーバーに問い合わせができない場合、自動的に外部 DNS 解決ブロックモードに切り替わります。 このモードでは、ノード登録および他のプロキシ接続テストを続行することができます。

                                                                                                                                                  環境の準備

                                                                                                                                                  ハイブリッド データ セキュリティの要件

                                                                                                                                                  Cisco Webex ライセンス要件

                                                                                                                                                  ハイブリッド データ セキュリティを展開するには:

                                                                                                                                                  Docker デスクトップの要件

                                                                                                                                                  HDS ノードをインストールする前に、セットアッププログラムを実行するには Docker Desktop が必要です。 Dockerは最近、ライセンスモデルを更新しました。 あなたの組織は、Docker デスクトップの有料サブスクリプションを必要としている場合があります。 詳細については、Docker ブログ投稿次を参照してください。 Docker は製品のサブスクリプションを更新し、延長しています」に置き換えることで、URL が有効かどうかを検証できます。

                                                                                                                                                  X.509 証明書の要件

                                                                                                                                                  証明書チェーンは、次の要件を満たしている必要があります。

                                                                                                                                                  表 1. ハイブリッド データ セキュリティ展開の X.509 証明書要件

                                                                                                                                                  要件

                                                                                                                                                  の詳細

                                                                                                                                                  • 信頼できる認証局 (CA) によって署名された

                                                                                                                                                  デフォルトでは、https://wiki.mozilla.org/CA:IncludedCAsでMozillaリスト(WoSignとStartComを除く)のCAを信頼しています。

                                                                                                                                                  • ハイブリッド データ セキュリティの展開を識別する共通名 (CN) ドメイン名を持つ

                                                                                                                                                  • ワイルドカード証明書ではありません

                                                                                                                                                  CN に到達可能またはライブホストである必要はありません。 組織を反映する名前を使用することを推奨します。たとえば、 hds.company.com です。

                                                                                                                                                  CN に * (ワイルドカード) を含めることはできません。

                                                                                                                                                  CN は、Webex アプリ クライアントへのハイブリッド データ セキュリティ ノードを確認するために使用されます。 クラスタ内のすべてのハイブリッド データ セキュリティ ノードが同じ証明書を使用します。 KMS は、x.509v3 SAN フィールドで定義されているドメインではなく、CN ドメインを使用して自身を識別します。

                                                                                                                                                  この証明書でノードを登録すると、CN ドメイン名の変更はサポートされません。 トライアル展開と本番展開の両方に適用できるドメインを選択します。

                                                                                                                                                  • 非SHA1署名

                                                                                                                                                  KMS ソフトウェアは、他の組織の KMS への接続を検証するための SHA1 署名をサポートしていません。

                                                                                                                                                  • パスワードで保護されたPKCS #12ファイルとしてフォーマット

                                                                                                                                                  • 親しみやすい名前を使用する kms-private-key 証明書、秘密キー、およびアップロードする中間証明書をタグ付けします。

                                                                                                                                                  OpenSSL などのコンバータを使用して、証明書の形式を変更できます。

                                                                                                                                                  HDSセットアップツールを実行するときは、パスワードを入力する必要があります。

                                                                                                                                                  KMS ソフトウェアは、キーの使用や拡張キーの使用制限を強制しません。 一部の証明機関では、サーバ認証など、各証明書に拡張されたキーの使用制限を適用する必要があります。 サーバー認証やその他の設定を使用してもかまいません。

                                                                                                                                                  仮想ホストの要件

                                                                                                                                                  クラスタ内のハイブリッド データ セキュリティ ノードとして設定する仮想ホストには、次の要件があります。

                                                                                                                                                  • 同じセキュア データ センターでコロケーションされた少なくとも 2 つの別のホスト (3 つの推奨)

                                                                                                                                                  • VMware ESXi 6.5 (またはそれ以降) がインストールされ、実行されています。


                                                                                                                                                     

                                                                                                                                                    以前のバージョンの ESXi がある場合は、アップグレードする必要があります。

                                                                                                                                                  • 最低4vCPU、8GBメインメモリ、サーバーあたり30GBのローカルハードディスク容量

                                                                                                                                                  データベースサーバーの要件


                                                                                                                                                   

                                                                                                                                                  キーストレージ用の新しいデータベースを作成します。 デフォルトのデータベースを使用しないでください。 HDS アプリケーションをインストールすると、データベース スキーマが作成されます。

                                                                                                                                                  データベースサーバーには2つのオプションがあります。 各要件は以下のとおりです。

                                                                                                                                                  表 2. データベースの種類別のデータベースサーバー要件

                                                                                                                                                  PostgreSQLについて

                                                                                                                                                  Microsoft SQL Server(マイクロソフト SQL サーバー)

                                                                                                                                                  • PostgreSQL 14、15、または 16 がインストールされ、実行されています。

                                                                                                                                                  • SQL Server 2016、2017、または 2019(Enterprise または Standard)がインストールされています。


                                                                                                                                                     

                                                                                                                                                    SQL Server 2016 では、Service Pack 2 および Cumulative Update 2 以降が必要です。

                                                                                                                                                  最小8 vCPU、16 GBのメインメモリ、十分なハードディスク容量、およびそれを超えないようにするための監視(ストレージを増やす必要なく、データベースを長時間実行する場合は2 TBを推奨)

                                                                                                                                                  最小8 vCPU、16 GBのメインメモリ、十分なハードディスク容量、およびそれを超えないようにするための監視(ストレージを増やす必要なく、データベースを長時間実行する場合は2 TBを推奨)

                                                                                                                                                  HDS ソフトウェアは現在、データベース サーバとの通信用に次のドライバ バージョンをインストールしています。

                                                                                                                                                  PostgreSQLについて

                                                                                                                                                  Microsoft SQL Server(マイクロソフト SQL サーバー)

                                                                                                                                                  Postgres JDBCドライバ 42.2.5

                                                                                                                                                  SQL Server JDBC ドライバ 4.6

                                                                                                                                                  このドライババージョンは、SQL Server Always On(Always On Failover Cluster InstancesおよびAlways On availability groups)をサポートしています。

                                                                                                                                                  Microsoft SQL Server に対する Windows 認証の追加要件

                                                                                                                                                  HDS ノードが Windows 認証を使用して Microsoft SQL Server のキーストア データベースにアクセスできるようにするには、環境内で次の設定が必要です。

                                                                                                                                                  • HDS ノード、Active Directory インフラストラクチャ、MS SQL Server はすべて NTP と同期する必要があります。

                                                                                                                                                  • HDS ノードに提供する Windows アカウントは、データベースへの読み取り/書き込みアクセス権を持っている必要があります。

                                                                                                                                                  • HDS ノードに提供する DNS サーバは、キー配布センター (KDC) を解決できる必要があります。

                                                                                                                                                  • Microsoft SQL Server に HDS データベース インスタンスをサービス プリンシパル名 (SPN) として Active Directory に登録できます。 詳細は、Kerberos Connections のサービス プリンシパル名を登録するを参照してください。

                                                                                                                                                    HDS セットアップツール、HDS ランチャー、およびローカル KMS はすべて、キーストアデータベースにアクセスするために Windows 認証を使用する必要があります。 Kerberos 認証でアクセスを要求するときに、ISO 設定の詳細を使用して SPN を構築します。

                                                                                                                                                  外部接続の要件

                                                                                                                                                  HDS アプリケーションに次の接続を許可するようにファイアウォールを設定します。

                                                                                                                                                  アプリケーション

                                                                                                                                                  プロトコル

                                                                                                                                                  ポート

                                                                                                                                                  アプリからの方向

                                                                                                                                                  移動先

                                                                                                                                                  ハイブリッド データ セキュリティ ノード

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  アウトバウンド HTTPS および WSS

                                                                                                                                                  HDS 設定ツール

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  アウトバウンド HTTPS

                                                                                                                                                  • *.wbx2.com

                                                                                                                                                  • すべての Common Identity ホスト

                                                                                                                                                  • ハブ.docker.com


                                                                                                                                                   

                                                                                                                                                  ハイブリッド データ セキュリティ ノードは、ネットワークアクセス変換(NAT)またはファイアウォールの後ろで動作します。ただし、NAT またはファイアウォールが前の表のドメイン宛先への必要な発信接続を許可している場合に限ります。 ハイブリッド データ セキュリティ ノードにインバウンドする接続の場合、インターネットからポートを表示することはできません。 データセンター内では、管理目的で、クライアントは TCP ポート 443 および 22 のハイブリッド データ セキュリティ ノードにアクセスする必要があります。

                                                                                                                                                  Common Identity (CI) ホストの URL は地域固有です。 これらは現在の CI ホストです。

                                                                                                                                                  地域

                                                                                                                                                  共通 ID ホスト URL

                                                                                                                                                  Americas (北米、中南米エリア)

                                                                                                                                                  • https://idbroker.webex.com

                                                                                                                                                  • https://identity.webex.com

                                                                                                                                                  • https://idbroker-b-us.webex.com

                                                                                                                                                  • https://identity-b-us.webex.com

                                                                                                                                                  欧州連合

                                                                                                                                                  • https://idbroker-eu.webex.com

                                                                                                                                                  • https://identity-eu.webex.com

                                                                                                                                                  カナダ

                                                                                                                                                  • https://idbroker-ca.webex.com

                                                                                                                                                  • https://identity-ca.webex.com

                                                                                                                                                  プロキシ サーバーの要件

                                                                                                                                                  • お使いのハイブリッド データ セキュリティ ノードと統合できる次のプロキシ ソリューションを正式にサポートしています。

                                                                                                                                                    • 透過的プロキシ—Cisco Web Security Appliance (WSA)。

                                                                                                                                                    • 明示的プロキシ—Squid。


                                                                                                                                                       

                                                                                                                                                      HTTPS トラフィックを検査する Squid プロキシは、websocket (wss:) 接続の確立に干渉することができます。 接続の確立に干渉することができます。 この問題を回避するには、「ハイブリッド データ セキュリティ用の Squid プロキシの設定」を参照してください。

                                                                                                                                                  • 明示的プロキシに対して次の認証タイプの組み合わせがサポートされています。

                                                                                                                                                    • HTTP または HTTPS による認証がありません

                                                                                                                                                    • HTTP または HTTPS による基本認証

                                                                                                                                                    • HTTPS のみによるダイジェスト認証

                                                                                                                                                  • 透過的検査プロキシまたは HTTPS 明示的プロキシについては、プロキシのルート証明書のコピーが必要です。 このガイドに記載されている展開手順は、ハイブリッド データ セキュリティ ノードの信頼ストアにコピーをアップロードする方法を説明しています。

                                                                                                                                                  • HDS ノードをホストするネットワークは、ポート 443 のアウトバウンド TCP トラフィックを強制的にプロキシ経由でルーティングするように設定されている必要があります。

                                                                                                                                                  • Web トラフィックを検査するプロキシは、Web ソケット接続に干渉する場合があります。 この問題が発生した場合、トラフィックをバイパス(検査しない)して wbx2.com および ciscospark.com 問題を解決します。

                                                                                                                                                  ハイブリッド データ セキュリティの前提条件を完了する

                                                                                                                                                  このチェックリストを使用して、ハイブリッド データ セキュリティ クラスタをインストールして設定する準備ができていることを確認します。
                                                                                                                                                  1

                                                                                                                                                  Webex 組織が Pro Pack for Cisco Webex Control Hub に対して有効になっていることを確認し、完全な組織管理者権限を持つアカウントの資格情報を取得します。 このプロセスについては、Cisco パートナーまたはアカウント マネージャーにお問い合わせください。

                                                                                                                                                  2

                                                                                                                                                  HDS 展開のドメイン名を選択します (たとえば、 hds.company.com) および X.509 証明書、秘密キー、および中間証明書を含む証明書チェーンを取得します。 証明書チェーンは、 X.509 証明書の要件の要件を満たす必要があります。

                                                                                                                                                  3

                                                                                                                                                  クラスタ内のハイブリッド データ セキュリティ ノードとして設定する同一の仮想ホストを準備します。 仮想ホスト要件の要件を満たす同じセキュアデータセンターにコロケーションされた少なくとも2つの個別のホスト(3つの推奨)が必要です。

                                                                                                                                                  4

                                                                                                                                                  データベースサーバーの要件に従って、クラスタのキーデータストアとして機能するデータベースサーバーを準備します。 データベースサーバーは、仮想ホストと安全なデータセンターでコロケーションする必要があります。

                                                                                                                                                  1. キーストレージ用のデータベースを作成します。 (このデータベースを作成する必要があります。デフォルトのデータベースを使用しないでください。 HDS アプリケーションをインストールすると、データベース スキーマが作成されます。

                                                                                                                                                  2. ノードがデータベース サーバと通信するために使用する詳細を収集します。

                                                                                                                                                    • ホスト名または IP アドレス (ホスト) とポート

                                                                                                                                                    • キーストレージのデータベース名(dbname)

                                                                                                                                                    • キーストレージデータベース上のすべての権限を持つユーザーのユーザー名とパスワード

                                                                                                                                                  5

                                                                                                                                                  迅速な災害復旧のために、別のデータセンターにバックアップ環境を設定します。 バックアップ環境は、VMとバックアップデータベースサーバの生成環境をミラーリングします。 たとえば、本番環境に HDS ノードを実行する 3 つの仮想マシンがある場合、バックアップ環境には 3 つの VM が必要です。

                                                                                                                                                  6

                                                                                                                                                  syslog ホストをセットアップして、クラスタ内のノードからログを収集します。 ネットワーク アドレスと syslog ポートを収集します(デフォルトは UDP 514)。

                                                                                                                                                  7

                                                                                                                                                  ハイブリッド データ セキュリティ ノード、データベース サーバ、および syslog ホスト用のセキュア バックアップ ポリシーを作成します。 少なくとも、回復不能なデータの損失を防ぐには、ハイブリッド データ セキュリティ ノード用に生成されたデータベースと構成 ISO ファイルをバックアップする必要があります。


                                                                                                                                                   

                                                                                                                                                  ハイブリッド データ セキュリティ ノードは、コンテンツの暗号化と復号化に使用されるキーを保存するため、運用展開を維持しないと、そのコンテンツが回復不能な損失を被ることになります。

                                                                                                                                                  Webex アプリ クライアントはキーをキャッシュするため、停止がすぐに目立つことはありませんが、時間の経過とともに明らかになります。 一時的な停止を防ぐことは不可能ですが、それらは回復可能です。 ただし、データベースまたは構成のISOファイルの完全な損失(利用可能なバックアップはありません)は、回復不能な顧客データになります。 ハイブリッド データ セキュリティ ノードのオペレータは、データベースと構成 ISO ファイルの頻繁なバックアップを維持し、壊滅的な障害が発生した場合にハイブリッド データ セキュリティ データ センターを再構築する準備をする必要があります。

                                                                                                                                                  8

                                                                                                                                                  ファイアウォール構成により、外部接続要件で説明されているように、ハイブリッド データ セキュリティ ノードの接続が許可されていることを確認してください。

                                                                                                                                                  9

                                                                                                                                                  サポートされているOS(Microsoft Windows 10 ProfessionalまたはEnterprise 64ビット、またはMac OSX Yosemite 10.10.3以降)を実行しているローカルマシンにDocker(https://www.docker.com)をインストールし、次の場所からアクセスできます。 http://127.0.0.1:8080.

                                                                                                                                                  Docker インスタンスを使用して、すべてのハイブリッド データ セキュリティ ノードのローカル設定情報を構築する HDS セットアップ ツールをダウンロードして実行します。 組織には Docker Desktop ライセンスが必要になる場合があります。 詳細については、「Docker デスクトップの要件」を参照してください。

                                                                                                                                                  HDSセットアップツールをインストールして実行するには、ローカルマシンに外部接続要件に記載されている接続性が必要です。

                                                                                                                                                  10

                                                                                                                                                  プロキシとハイブリッド データ セキュリティを統合する場合は、プロキシ サーバーの要件を満たしていることを確認してください。

                                                                                                                                                  11

                                                                                                                                                  組織でディレクトリ同期を使用している場合は、Active Directory でグループを作成します。 HdsTrialGroup 、およびパイロットユーザーを追加します。 トライアル グループには最大 250 人のユーザーが参加できます。 この HdsTrialGroup 組織のトライアルを開始する前に、オブジェクトをクラウドに同期する必要があります。 グループオブジェクトを同期するには、Directory Connectorの [構成] > [オブジェクトの選択] メニュー。(詳細については、『Cisco Directory Connector展開ガイド』を参照してください。)


                                                                                                                                                   

                                                                                                                                                  特定のスペースのキーは、スペースの作成者によって設定されます。 パイロット ユーザーを選択する場合、ハイブリッド データ セキュリティの展開を永久に無効にすると、すべてのユーザーがパイロット ユーザーによって作成されたスペースのコンテンツにアクセスできなくなることに注意してください。 ユーザーのアプリがキャッシュされたコンテンツのコピーを更新するとすぐに、損失が明らかになります。

                                                                                                                                                  ハイブリッド データ セキュリティ クラスタのセットアップ

                                                                                                                                                  ハイブリッド データ セキュリティ展開タスク フロー

                                                                                                                                                  始める前に

                                                                                                                                                  環境の準備

                                                                                                                                                  1

                                                                                                                                                  インストールファイルのダウンロード

                                                                                                                                                  後で使用するために、OVA ファイルをローカル マシンにダウンロードします。

                                                                                                                                                  2

                                                                                                                                                  HDS ホストの設定 ISO を作成する

                                                                                                                                                  HDS セットアップ ツールを使用して、ハイブリッド データ セキュリティ ノードの ISO 設定ファイルを作成します。

                                                                                                                                                  3

                                                                                                                                                  HDS ホスト OVA のインストール

                                                                                                                                                  OVA ファイルから仮想マシンを作成し、ネットワーク設定などの初期設定を実行します。


                                                                                                                                                   

                                                                                                                                                  OVA 展開中にネットワーク設定を設定するオプションは、ESXi 6.5 でテストされています。 このオプションは、以前のバージョンでは使用できない場合があります。

                                                                                                                                                  4

                                                                                                                                                  ハイブリッド データ セキュリティ VM のセットアップ

                                                                                                                                                  VM コンソールにサインインし、サインイン資格情報を設定します。 OVA 展開時にノードを設定しなかった場合は、ノードのネットワーク設定を構成します。

                                                                                                                                                  5

                                                                                                                                                  HDS 設定 ISO のアップロードとマウント

                                                                                                                                                  HDS セットアップ ツールを使用して作成した ISO 設定ファイルから VM を設定します。

                                                                                                                                                  6

                                                                                                                                                  プロキシ統合のために HDS ノードを設定する

                                                                                                                                                  ネットワーク環境にプロキシ設定が必要な場合は、ノードに使用するプロキシのタイプを指定し、必要に応じてプロキシ証明書を信頼ストアに追加します。

                                                                                                                                                  7

                                                                                                                                                  クラスタ内の最初のノードを登録する

                                                                                                                                                  ハイブリッド データ セキュリティ ノードとして Cisco Webex クラウドに仮想マシンを登録します。

                                                                                                                                                  8

                                                                                                                                                  より多くのノードを作成して登録する

                                                                                                                                                  クラスタの設定を完了します。

                                                                                                                                                  9

                                                                                                                                                  トライアルを実行して本番環境に移動 (次の章)

                                                                                                                                                  トライアルを開始するまで、ノードはサービスがまだアクティブ化されていないことを示すアラームを生成します。

                                                                                                                                                  インストールファイルのダウンロード

                                                                                                                                                  このタスクでは、OVA ファイルをマシンにダウンロードします (ハイブリッド データ セキュリティ ノードとして設定したサーバにはダウンロードしません)。 このファイルは後でインストールプロセスで使用します。
                                                                                                                                                  1

                                                                                                                                                  https://admin.webex.comにサインインし、「サービス」をクリックします。

                                                                                                                                                  2

                                                                                                                                                  [ハイブリッド サービス] セクションで、ハイブリッド データ セキュリティ カードを見つけて、[セットアップ] をクリックします。

                                                                                                                                                  カードが無効になっているか、表示されない場合は、アカウントチームまたはパートナー組織に連絡してください。 アカウント番号を入力し、組織でハイブリッド データ セキュリティを有効にするように依頼します。 アカウント番号を見つけるには、組織名の横にある右上の歯車をクリックします。


                                                                                                                                                   

                                                                                                                                                  OVAは、[設定]ページの[ヘルプ]セクションからいつでもダウンロードできます。 ハイブリッド データ セキュリティ カードで、[設定の編集] をクリックしてページを開きます。 次に、[ヘルプ]セクションで[ハイブリッド データ セキュリティ ソフトウェアをダウンロード]をクリックします。


                                                                                                                                                   

                                                                                                                                                  古いバージョンのソフトウェアパッケージ (OVA) は、最新のハイブリッド データ セキュリティ アップグレードと互換性がありません。 これにより、アプリケーションのアップグレード中に問題が発生する可能性があります。 OVA ファイルの最新バージョンをダウンロードしてください。

                                                                                                                                                  3

                                                                                                                                                  ノードがまだセットアップされていないことを示すにはいいえを選択し、「次へ」をクリックします。

                                                                                                                                                  OVAファイルは自動的にダウンロードを開始します。 ファイルをマシン上の場所に保存します。
                                                                                                                                                  4

                                                                                                                                                  必要に応じて、[導入ガイドを開く]をクリックして、このガイドの後半バージョンが利用可能かどうかを確認します。

                                                                                                                                                  HDS ホストの設定 ISO を作成する

                                                                                                                                                  ハイブリッド データ セキュリティのセットアップ プロセスは、ISO ファイルを作成します。 その後、ISO を使用してハイブリッド データ セキュリティ ホストを設定します。

                                                                                                                                                  始める前に

                                                                                                                                                  • HDS セットアップ ツールをローカル マシンの Docker コンテナとして実行します。 アクセスするには、そのマシンで Docker を実行します。 セットアップ プロセスでは、組織に対するフル管理者権限を持つ Control Hub アカウントの資格情報が必要です。

                                                                                                                                                    HDS Setup ツールが環境内のプロキシの後ろで実行されている場合は、手順 5 で Docker コンテナを起動するときに、Docker 環境変数を使用してプロキシ設定(サーバ、ポート、クレデンシャル)を提供します。 この表ではいくつかの可能な環境変数を示します。

                                                                                                                                                    説明

                                                                                                                                                    変数

                                                                                                                                                    認証なしの HTTP プロキシ

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    認証なしの HTTPS プロキシ

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    認証ありの HTTP プロキシ

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                    認証ありの HTTPS プロキシ

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                  • 生成する構成 ISO ファイルには、PostgreSQL または Microsoft SQL Server データベースを暗号化するマスター キーが含まれています。 次のように、設定を変更するたびに、このファイルの最新のコピーが必要です。

                                                                                                                                                    • データベースの資格情報

                                                                                                                                                    • 証明書の更新

                                                                                                                                                    • 承認ポリシーの変更

                                                                                                                                                  • データベース接続を暗号化する場合は、TLS 用の PostgreSQL または SQL Server 展開をセットアップします。

                                                                                                                                                  1

                                                                                                                                                  マシンのコマンド ラインで、お使い環境に適切なコマンドを入力します。

                                                                                                                                                  一般環境:

                                                                                                                                                  docker rmi ciscocitg/hds-setup:stable

                                                                                                                                                  FedRAMP 環境の場合:

                                                                                                                                                  docker rmi ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                   

                                                                                                                                                  このステップを実行すると、前の HDS セットアップ ツールの画像がクリーンアップされます。 これ以前の画像がない場合は、無視できるエラーを返します。

                                                                                                                                                  2

                                                                                                                                                  Docker 画像レジストリにサインインするには、以下を入力します。

                                                                                                                                                  docker login -u hdscustomersro
                                                                                                                                                  3

                                                                                                                                                  パスワードのプロンプトに対して、このハッシュを入力します。

                                                                                                                                                  dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
                                                                                                                                                  4

                                                                                                                                                  お使い環境に合った最新の安定した画像をダウンロードします。

                                                                                                                                                  一般環境:

                                                                                                                                                  docker pull ciscocitg/hds-setup:stable

                                                                                                                                                  FedRAMP 環境の場合:

                                                                                                                                                  docker pull ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  5

                                                                                                                                                  プルが完了したら、お使いの環境に適切なコマンドを入力します。

                                                                                                                                                  • プロキシなしの通常の環境の場合:

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
                                                                                                                                                  • HTTP プロキシがある通常の環境の場合、

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • HTTPS プロキシがある通常の環境の場合:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • プロキシなしの FedRAMP 環境の場合:

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • HTTP プロキシがある FedRAMP 環境の場合:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • HTTPS プロキシがある FedRAMP 環境の場合:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                  コンテナが実行中の時。「ポート 8080 で Express サーバー リスニング中」と表示されます。

                                                                                                                                                  6

                                                                                                                                                   

                                                                                                                                                  Setup ツールは、http://localhost:8080 を介した localhost への接続をサポートしていません。 http://127.0.0.1:8080を使用してlocalhostに接続します。

                                                                                                                                                  Web ブラウザを使用して localhost に移動し、 http://127.0.0.1:8080 、プロンプトで Control Hub の顧客管理者ユーザー名を入力します。

                                                                                                                                                  このツールは、ユーザー名の最初のエントリを使用して、そのアカウントの適切な環境を設定します。 このツールには、標準のサインインプロンプトが表示されます。

                                                                                                                                                  7

                                                                                                                                                  プロンプトが表示されたら、Control Hub の顧客管理者のサインイン資格情報を入力し、[ログイン] をクリックして、ハイブリッド データ セキュリティに必要なサービスへのアクセスを許可します。

                                                                                                                                                  8

                                                                                                                                                  [セットアップツールの概要] ページで、[はじめに] をクリックします。

                                                                                                                                                  9

                                                                                                                                                  [ISOインポート]ページには、次のオプションがあります。

                                                                                                                                                  • いいえ—最初の HDS ノードを作成する場合、アップロードする ISO ファイルがありません。
                                                                                                                                                  • はい—HDS ノードをすでに作成している場合は、ブラウズで ISO ファイルを選択してアップロードします。
                                                                                                                                                  10

                                                                                                                                                  X.509 証明書がX.509 証明書要件の要件を満たしていることを確認してください。

                                                                                                                                                  • 証明書をアップロードしたことがない場合は、X.509 証明書をアップロードし、パスワードを入力して [続行] をクリックします。
                                                                                                                                                  • 証明書がOKの場合、「続行」をクリックします。
                                                                                                                                                  • 証明書の有効期限が切れている場合、または証明書を置き換える場合は、「いいえ」を選択して、「以前のISOからHDS証明書チェーンと秘密キーの使用を続行」を選択します。 新しい X.509 証明書をアップロードし、パスワードを入力し、[続行] をクリックします。
                                                                                                                                                  11

                                                                                                                                                  HDS のデータベース アドレスとアカウントを入力して、キー データストアにアクセスします。

                                                                                                                                                  1. データベースの種類PostgreSQLまたはMicrosoft SQL Server)を選択します。

                                                                                                                                                    Microsoft SQL Serverを選択すると、[認証タイプ(Authentication Type)] フィールドが表示されます。

                                                                                                                                                  2. (Microsoft SQL Serverのみ) 認証タイプを選択します。

                                                                                                                                                    • 基本認証: [ユーザー名] フィールドには、ローカル SQL Server アカウント名が必要です。

                                                                                                                                                    • Windowsの認証: 形式の Windows アカウントが必要です username@DOMAINユーザー名フィールドに入力します。

                                                                                                                                                  3. フォームにデータベース サーバ アドレスを入力します <hostname>:<port> または <IP-address>:<port> です。

                                                                                                                                                    例:
                                                                                                                                                    dbhost.example.org:1433 または 198.51.100.17:1433

                                                                                                                                                    ノードがホスト名を解決するために DNS を使用できない場合、基本認証に IP アドレスを使用できます。

                                                                                                                                                    Windows 認証を使用している場合は、形式に完全修飾ドメイン名を入力する必要があります dbhost.example.org:1433

                                                                                                                                                  4. データベース名を入力します。

                                                                                                                                                  5. キーストレージデータベース上のすべての権限を持つユーザーのユーザー名パスワードを入力します。

                                                                                                                                                  12

                                                                                                                                                  TLS データベース接続モードを選択します。

                                                                                                                                                  モード

                                                                                                                                                  説明

                                                                                                                                                  TLS を優先 (デフォルトのオプション)

                                                                                                                                                  HDS ノードは、データベース サーバに接続するために TLS を必要としません データベース サーバで TLS を有効にすると、ノードは暗号化された接続を試行します。

                                                                                                                                                  TLS を要求する

                                                                                                                                                  データベース サーバが TLS をネゴシエートできる場合に限り、HDS ノードは接続されます。

                                                                                                                                                  TLS を要求し、証明書の署名者を確認する


                                                                                                                                                   

                                                                                                                                                  このモードは、SQL Server データベースには適用されません。

                                                                                                                                                  • データベース サーバが TLS をネゴシエートできる場合に限り、HDS ノードは接続されます。

                                                                                                                                                  • TLS 接続を確立した後、ノードはデータベース サーバからの証明書の署名者をデータベース ルート証明書の認証局と比較します。 一致しない場合、ノードにより接続が切断されます。

                                                                                                                                                  ドロップダウンの下にあるデータベースルート証明書コントロールを使用して、このオプションのルート証明書をアップロードしてください。

                                                                                                                                                  TLS を要求し、証明書の署名者およびホスト名を確認する

                                                                                                                                                  • データベース サーバが TLS をネゴシエートできる場合に限り、HDS ノードは接続されます。

                                                                                                                                                  • TLS 接続を確立した後、ノードはデータベース サーバからの証明書の署名者をデータベース ルート証明書の認証局と比較します。 一致しない場合、ノードにより接続が切断されます。

                                                                                                                                                  • ノードはまた、サーバ証明書のホスト名が [データベースホストとポート] フィールドのホスト名と一致することを確認します。 名前は正確に一致する必要があります。または、ノードが接続を切断します。

                                                                                                                                                  ドロップダウンの下にあるデータベースルート証明書コントロールを使用して、このオプションのルート証明書をアップロードしてください。

                                                                                                                                                  ルート証明書をアップロードし(必要に応じて)、[続行]をクリックすると、HDS Setup Tool がデータベース サーバへの TLS 接続をテストします。 また、必要に応じて、証明書の署名者とホスト名も検証されます。 テストが失敗した場合、問題を説明するエラー メッセージがツールによって表示されます。 エラーを無視してセットアップを続行するかどうかを選択できます。 (接続性の違いにより、HDS Setup Tool マシンが正常にテストできない場合でも、HDS ノードは TLS 接続を確立できる場合があります)。

                                                                                                                                                  13

                                                                                                                                                  [システムログ(System Logs)] ページで、Syslogd サーバを設定します。

                                                                                                                                                  1. syslog サーバの URL を入力します。

                                                                                                                                                    HDS クラスタのノードからサーバが DNS 解決可能でない場合は、URL で IP アドレスを使用します。

                                                                                                                                                    例:
                                                                                                                                                    udp://10.92.43.23:514 UDP ポート 514 の Syslogd ホスト 10.92.43.23 へのロギングを示します。
                                                                                                                                                  2. TLS 暗号化を使用するようにサーバを設定した場合は、「syslog サーバが SSL 暗号化用に設定されていますか?」にチェックを入れます。

                                                                                                                                                    このチェックボックスをオンにした場合は、次のような TCP URL を入力してください: tcp://10.92.43.23:514 です。

                                                                                                                                                  3. [syslogレコードの終了を選択]ドロップダウンから、ISOファイルの適切な設定を選択します。 選択または改行は Graylog および Rsyslog TCP に使用されます

                                                                                                                                                    • Null バイト -- \x00

                                                                                                                                                    • 改行 -- \n:Graylog および Rsyslog TCP の選択肢を選択します。

                                                                                                                                                  4. [続行] をクリックします。

                                                                                                                                                  14

                                                                                                                                                  (オプション)一部のデータベース接続パラメータのデフォルト値は、[詳細設定]で変更できます。 通常、このパラメータは、変更する可能性のある唯一のパラメータです。

                                                                                                                                                  app_datasource_connection_pool_maxSize: 10
                                                                                                                                                  15

                                                                                                                                                  [サービスアカウントのパスワードをリセット] 画面の [続行] をクリックします。

                                                                                                                                                  サービスアカウントのパスワードは9ヶ月の寿命を持っています。 パスワードの有効期限が近づいている場合、または以前の ISO ファイルを無効にするためにパスワードをリセットする場合は、この画面を使用します。

                                                                                                                                                  16

                                                                                                                                                  [ISOファイルのダウンロード] をクリックします。 見つけやすい場所にファイルを保存します。

                                                                                                                                                  17

                                                                                                                                                  ローカルシステム上のISOファイルのバックアップコピーを作成します。

                                                                                                                                                  バックアップコピーを安全に保管してください。 このファイルには、データベースコンテンツのマスター暗号化キーが含まれています。 構成を変更する必要があるハイブリッド データ セキュリティ管理者のみへのアクセスを制限します。

                                                                                                                                                  18

                                                                                                                                                  セットアップ ツールをシャットダウンするために次のように入力します。 CTRL+C です。

                                                                                                                                                  次に行うこと

                                                                                                                                                  設定 ISO ファイルをバックアップします。 リカバリのためにより多くのノードを作成したり、設定を変更したりする必要があります。 ISOファイルのコピーをすべて失うと、マスターキーも失われます。 PostgreSQL または Microsoft SQL Server データベースからキーを回復することはできません。


                                                                                                                                                   

                                                                                                                                                  私たちはこのキーのコピーを持っていないし、あなたがそれを失ったら助けることができません。

                                                                                                                                                  HDS ホスト OVA のインストール

                                                                                                                                                  OVA ファイルから仮想マシンを作成するには、次の手順を使用します。
                                                                                                                                                  1

                                                                                                                                                  コンピュータの VMware vSphere クライアントを使用して、ESXi 仮想ホストにログインします。

                                                                                                                                                  2

                                                                                                                                                  ファイル > OVF テンプレートを展開を選択します。

                                                                                                                                                  3

                                                                                                                                                  ウィザードで、先ほどダウンロードしたOVAファイルの場所を指定し、 をクリックします。 次へ

                                                                                                                                                  4

                                                                                                                                                  名前とフォルダを選択ページ、を入力します 仮想マシン名ノード(たとえば、「HDS_Node_1」)で、仮想マシンノードの展開が可能な場所を選択し、次へ

                                                                                                                                                  5

                                                                                                                                                  計算リソースを選択ページで、宛先計算リソースを選択し、をクリックします。 次へ

                                                                                                                                                  検証チェックが実行されます。 完了すると、テンプレートの詳細が表示されます。

                                                                                                                                                  6

                                                                                                                                                  テンプレートの詳細を確認し、[次へ]をクリックします。

                                                                                                                                                  7

                                                                                                                                                  のリソース設定を選択するよう求められた場合 設定ページ、をクリックします。 4 CPU をクリックし、 をクリックします。 次へ

                                                                                                                                                  8

                                                                                                                                                  ストレージを選択ページ、をクリックします。 次へは、デフォルトのディスク形式とVMストレージポリシーを受け入れます。

                                                                                                                                                  9

                                                                                                                                                  ネットワークを選択ページで、エントリのリストからネットワークオプションを選択し、仮想マシンへの接続を提供します。

                                                                                                                                                  10

                                                                                                                                                  [テンプレートのカスタマイズ] ページで、次のネットワーク設定を構成します。

                                                                                                                                                  • [ホスト名(Hostname)]:ノードの FQDN (ホスト名とドメイン) または単語 ホスト名を入力します。

                                                                                                                                                     
                                                                                                                                                    • X.509 証明書を取得するために使用したドメインと一致するようにドメインを設定する必要はありません。

                                                                                                                                                    • クラウドへの登録を成功させるには、ノードに設定した FQDN またはホスト名に小文字のみを使用します。 現時点では大文字化のサポートはありません。

                                                                                                                                                    • FQDNのトータルの長さは64文字を超えてはいけません。

                                                                                                                                                  • [IPアドレス(IP Address)]:ノードの内部インターフェイスの IP アドレスを入力します。

                                                                                                                                                     

                                                                                                                                                    ノードには内部 IP アドレスと DNS 名が必要です。 DHCP はサポートされていません。

                                                                                                                                                  • [マスク(Mask)]:サブネット マスク アドレスをドット小数表記で入力します。 たとえば、255.255.255.0 などです。
                                                                                                                                                  • [ゲートウェイ(Gateway)]:ゲートウェイの IP アドレスを入力します。 ゲートウェイは、別のネットワークへのアクセス ポイントとして機能するネットワーク ノードです。
                                                                                                                                                  • DNS サーバ:ドメイン名を数値の IP アドレスに変換する DNS サーバのカンマ区切りリストを入力します。 (最大 4 つの DNS エントリが許可されます。)
                                                                                                                                                  • NTP サーバ:組織の NTP サーバまたは組織で使用できる別の外部 NTP サーバを入力します。 デフォルトの NTP サーバは、すべての企業で機能しない場合があります。 カンマ区切りリストを使用して、複数の NTP サーバを入力することもできます。
                                                                                                                                                  • クラスタ内のすべてのノードが管理目的でネットワーク内のクライアントから到達できるように、すべてのノードを同じサブネットまたは VLAN に展開します。

                                                                                                                                                  必要に応じて、ネットワーク設定の構成をスキップし、[ハイブリッド データ セキュリティ VM のセットアップ] の手順に従って、ノード コンソールから設定を構成できます。


                                                                                                                                                   

                                                                                                                                                  OVA 展開中にネットワーク設定を設定するオプションは、ESXi 6.5 でテストされています。 このオプションは、以前のバージョンでは使用できない場合があります。

                                                                                                                                                  11

                                                                                                                                                  ノードVMを右クリックし、電源 > 電源オンだ。

                                                                                                                                                  ハイブリッド データ セキュリティ ソフトウェアは、VM ホストにゲストとしてインストールされます。 これで、コンソールにサインインしてノードを設定する準備ができました。

                                                                                                                                                  トラブルシューティングのヒント

                                                                                                                                                  ノード コンテナーが出てくるまでに、数分間の遅延がある場合があります。 初回起動の間、ブリッジ ファイアウォール メッセージが、コンソールに表示され、この間はサイン インできません。

                                                                                                                                                  ハイブリッド データ セキュリティ VM のセットアップ

                                                                                                                                                  この手順を使用して、ハイブリッド データ セキュリティ ノード VM コンソールに初めてサインインし、サインイン クレデンシャルを設定します。 OVA 展開時に設定しなかった場合は、コンソールを使用してノードのネットワーク設定を構成することもできます。

                                                                                                                                                  1

                                                                                                                                                  VMware vSphere クライアントで、ハイブリッド データ セキュリティ ノード VM を選択し、[コンソール] タブを選択します。

                                                                                                                                                  VM が起動し、ログインプロンプトが表示されます。 ログインプロンプトが表示されない場合は、 入力を押してください。
                                                                                                                                                  2

                                                                                                                                                  次のデフォルトのログインとパスワードを使用してサインインし、資格情報を変更します。

                                                                                                                                                  1. ログイン: admin

                                                                                                                                                  2. パスワード: cisco

                                                                                                                                                  初めて仮想マシンにサインインするため、管理者パスワードを変更する必要があります。

                                                                                                                                                  3

                                                                                                                                                  [HDS ホスト OVA のインストール]でネットワーク設定をすでに設定している場合は、残りの手順をスキップします。 それ以外の場合は、メインメニューで[設定の編集]オプションを選択します。

                                                                                                                                                  4

                                                                                                                                                  IP アドレス、マスク、ゲートウェイ、DNS 情報を含む静的設定をセットアップします。 ノードには内部 IP アドレスと DNS 名が必要です。 DHCP はサポートされていません。

                                                                                                                                                  5

                                                                                                                                                  (オプション) ネットワーク ポリシーと一致する必要がある場合は、ホスト名、ドメイン、または NTP サーバを変更します。

                                                                                                                                                  X.509 証明書を取得するために使用したドメインと一致するようにドメインを設定する必要はありません。

                                                                                                                                                  6

                                                                                                                                                  ネットワーク設定を保存し、仮想マシンを再起動して、変更を有効にします。

                                                                                                                                                  HDS 設定 ISO のアップロードとマウント

                                                                                                                                                  HDS セットアップツールを使用して作成した ISO ファイルから仮想マシンを設定するには、次の手順を使用します。

                                                                                                                                                  始める前に

                                                                                                                                                  ISOファイルはマスターキーを保持しているため、Hybrid Data Security VMおよび変更が必要な管理者によるアクセスのために、「知る必要性」に基づいてのみ公開する必要があります。 これらの管理者だけがデータストアにアクセスできることを確認してください。

                                                                                                                                                  1

                                                                                                                                                  コンピュータから ISO ファイルをアップロードします。

                                                                                                                                                  1. VMware vSphere クライアントの左側のナビゲーション ペインで、ESXi サーバをクリックします。

                                                                                                                                                  2. [設定] タブの [ハードウェア] リストで、[ストレージ] をクリックします。

                                                                                                                                                  3. [データストア(Datastores)] リストで、仮想マシンのデータストアを右クリックし、[データストアを参照(Browse Datastore)] をクリックします。

                                                                                                                                                  4. [ファイルのアップロード] アイコンをクリックし、[ファイルのアップロード] をクリックします。

                                                                                                                                                  5. コンピュータにISOファイルをダウンロードした場所を参照し、[開く]をクリックします。

                                                                                                                                                  6. アップロード/ダウンロード操作の警告を受け入れるには、[はい] をクリックし、データストアダイアログを閉じます。

                                                                                                                                                  2

                                                                                                                                                  ISO ファイルをマウントします。

                                                                                                                                                  1. VMware vSphere クライアントの左ナビゲーション ペインで、ESXi サーバーを右クリックし、[設定の編集] をクリックします。

                                                                                                                                                  2. [OK] をクリックして、制限された編集オプションの警告を受け入れます。

                                                                                                                                                  3. クリック CD/DVD Drive 1 、データストア ISO ファイルからマウントするオプションを選択し、構成 ISO ファイルをアップロードした場所を参照します。

                                                                                                                                                  4. 接続および電源オン時に接続をオンにします。

                                                                                                                                                  5. 変更を保存し、仮想マシンを再起動します。

                                                                                                                                                  次に行うこと

                                                                                                                                                  IT ポリシーが必要な場合は、すべてのノードが設定変更をピックアップした後、オプションで ISO ファイルのマウントを解除できます。 詳細については、「(オプション) HDS 設定後に ISO のマウント解除 」を参照してください。

                                                                                                                                                  プロキシ統合のために HDS ノードを設定する

                                                                                                                                                  ネットワーク環境でプロキシが必要な場合は、この手順を使用して、ハイブリッド データ セキュリティと統合するプロキシのタイプを指定します。 透過型のプロキシまたは HTTPS を明示的なプロキシを選択した場合、ノードのインターフェイスを使用してルート証明書をアップロードしてインストールすることができます。 インターフェイスからプロキシ接続を確認し、潜在的な問題をトラブルシューティングすることもできます。

                                                                                                                                                  始める前に

                                                                                                                                                  1

                                                                                                                                                  HDS ノードのセットアップ URL を入力 https://[HDS Node IP or FQDN]/setup Web ブラウザで、ノード用に設定した管理者資格情報を入力し、[ サインイン] をクリックします。

                                                                                                                                                  2

                                                                                                                                                  [信頼ストアとロキシ] に移動して、次のオプションを選択します。

                                                                                                                                                  • プロキシなし—プロキシを統合する前のデフォルトのオプション。 証明書の更新は必要ありません。
                                                                                                                                                  • 透過型の検査なしのプロキシ—ノードは特定のプロキシ サーバー アドレスを使用するように設定されていないため、検査なしのプロキシで動作するように変更を加える必要はありません。 証明書の更新は必要ありません。
                                                                                                                                                  • 透過トンネリングまたは検査プロキシ—ノードは特定のプロキシ サーバー アドレスを使用するように設定されていません。 ハイブリッド データ セキュリティの展開では HTTPS 構成の変更は必要ありませんが、HDS ノードはプロキシを信頼できるようにするためにルート証明書を必要とします。 プロキシを検査することで、Web サイトにアクセスするか、どのタイプのコンテンツを使用するかを強制するポリシーを施行することができます。 このタイプのプロキシは、すべてのトラフィック (HTTPS さえも含む) を復号化します。
                                                                                                                                                  • 明示的プロキシ—明示的なプロキシを使用して、使用するプロキシ サーバーをクライアント (HDS ノード) を指示し、このオプションはいくつかの認証スキームをサポートします。 このオプションを選択した後、次の情報を入力する必要があります。
                                                                                                                                                    1. プロキシ IP/FQDN—プロキシ マシンに到達するために使用できるアドレス。

                                                                                                                                                    2. プロキシ ポート-プロキシがプロキシ トラフィックをリスンするために使用するポート番号。

                                                                                                                                                    3. プロキシ プロトコル- http (クライアントから受信したすべての要求を表示して管理) または https (クライアントがサーバーへのチャネルを提供し、サーバーの証明書を検証) を選択します。 プロキシ サーバーがサポートするオプションを選択します。

                                                                                                                                                    4. 認証タイプ-次の認証タイプから選択します。

                                                                                                                                                      • なし—追加の認証は必要ありません。

                                                                                                                                                        HTTP または HTTPS プロキシで利用できます。

                                                                                                                                                      • ベーシック—HTTP ユーザー エージェントがリクエストを行う際にユーザー名とパスワードを指定するために使用されます。 Base64 エンコードを使用します。

                                                                                                                                                        HTTP または HTTPS プロキシで利用できます。

                                                                                                                                                        このオプションを選択した場合は、ユーザー名とパスワードも入力する必要があります。

                                                                                                                                                      • ダイジェスト—機密情報を送信する前にアカウントを確認するために使用されます。 ネットワークを経由して送信する前に、ユーザー名およびパスワードにハッシュ機能を適用します。

                                                                                                                                                        HTTPS プロキシに対してのみ利用できます。

                                                                                                                                                        このオプションを選択した場合は、ユーザー名とパスワードも入力する必要があります。

                                                                                                                                                  透過型検査プロキシ、基本認証を持つ HTTP 明示プロキシ、または HTTPS 明示プロキシについては、次のステップに従ってください。

                                                                                                                                                  3

                                                                                                                                                  [ルート証明書またはエンティティ終了証明書のアップロード] をクリックし、プロキシのルート証明書を選択するために移動します。

                                                                                                                                                  証明書はアップロードされていますが、まだインストールされていません。証明書をインストールするにはノードを再起動する必要があります。 証明書発行者名の山形矢印をクリックして詳細を確認するか、間違っている場合は [削除] をクリックして、ファイルを再度アップロードしてください。

                                                                                                                                                  4

                                                                                                                                                  [プロキシ接続を確認する] をクリックして、ノードとプロキシ間のネットワーク接続性をテストします。

                                                                                                                                                  接続テストが失敗した場合は、エラーメッセージが表示され、問題を解決するための理由と方法が示されます。

                                                                                                                                                  外部 DNS の解決が正常に行われなかったという内容のメッセージが表示された場合、ノードが DNS サーバーに到達できなかったことを示しています。 この状況は、多くの明示的なプロキシ構成で想定されています。 セットアップを続行すると、ノードは外部 DNS 解決ブロックモードで機能します。 これがエラーと思われる場合は、次の手順を実行し、「ブロックされた外部 DNS 解決モードをオフにする」を参照してください。

                                                                                                                                                  5

                                                                                                                                                  接続テストが成功した後、明示的なプロキシについては https のみに設定し、このノードからの すべてのポートの 443/444 https 要求を明示的プロキシを通してルーティングするように切り替えます。 この設定を有効にするには 15 秒かかります。

                                                                                                                                                  6

                                                                                                                                                  [すべての証明書を信頼ストアにインストールする(HTTPS 明示プロキシまたは透過型のプロキシで表示される)] または [再起動] をクリックして、プロンプトを読み、準備が完了したら [インストール] をクリックします。

                                                                                                                                                  ノードが数分以内に再起動されます。

                                                                                                                                                  7

                                                                                                                                                  ノードが再起動したら、必要に応じて再度サインインして、[概要] ページを開き、接続チェックを確認してすべて緑色のステータスになっていることを確認します。

                                                                                                                                                  プロキシ接続の確認は webex.com のサブドメインのみをテストします。 接続の問題がある場合、インストール手順に記載されているクラウド ドメインの一部がプロキシでブロックされているという問題がよく見られます。

                                                                                                                                                  クラスタ内の最初のノードを登録する

                                                                                                                                                  このタスクでは、ハイブリッド データ セキュリティ 仮想マシンのセットアップで作成した汎用ノードを取得し、ノードを Webex クラウドに登録し、ハイブリッド データ セキュリティ ノードに変換します。

                                                                                                                                                  最初のノードを登録するとき、クラスターをノードが指定されている場所に作成します。 クラスタには、冗長性を提供するために展開された 1 つ以上のノードが含まれています。

                                                                                                                                                  始める前に

                                                                                                                                                  • 一旦ノードの登録を開始すると、60 分以内に完了する必要があり、そうでなければ、再び最初からやり直しになります。

                                                                                                                                                  • ブラウザのポップアップ ブロッカーが無効になっているか、または admin.webex.com の例外を許可していることを確認してください。

                                                                                                                                                  1

                                                                                                                                                  https://admin.webex.comにサインインします。

                                                                                                                                                  2

                                                                                                                                                  スクリーンの左側にあるメニューからサービスを選択します。

                                                                                                                                                  3

                                                                                                                                                  [ハイブリッド サービス] セクションで、[ハイブリッド データ セキュリティ] を見つけ、[セットアップ] をクリックします。

                                                                                                                                                  [ハイブリッド データ セキュリティ ノードの登録] ページが表示されます。
                                                                                                                                                  4

                                                                                                                                                  ノードを設定し、登録する準備ができていることを示すには、「はい」を選択し、「次へ」をクリックします。

                                                                                                                                                  5

                                                                                                                                                  最初のフィールドに、ハイブリッド データ セキュリティ ノードを割り当てるクラスタの名前を入力します。

                                                                                                                                                  クラスタのノードが地理的にどこに配置されているかに基づきクラスタに名前を付けることをお薦めします。 例: 「サンフランシスコ」「ニューヨーク」「ダラス」

                                                                                                                                                  6

                                                                                                                                                  2 番目のフィールドに、ノードの内部 IP アドレスまたは完全修飾ドメイン名(FQDN)を入力し、[次へ] をクリックします。

                                                                                                                                                  この IP アドレスまたは FQDN は、ハイブリッド データ セキュリティ VM のセットアップ で使用した IP アドレスまたはホスト名とドメインと一致する必要があります。

                                                                                                                                                  ノードを Webex に登録できることを示すメッセージが表示されます。
                                                                                                                                                  7

                                                                                                                                                  [ノードに進む] をクリックします。

                                                                                                                                                  8

                                                                                                                                                  警告メッセージの [続ける] をクリックします。

                                                                                                                                                  しばらくすると、Webex サービスのノード接続テストにリダイレクトされます。 すべてのテストが成功すると、[ハイブリッド データ セキュリティ ノードへのアクセスを許可(Allow Access to Hybrid Data Security Node)] ページが表示されます。 ここで、ノードにアクセスする権限を Webex 組織に付与することを確認します。
                                                                                                                                                  9

                                                                                                                                                  [ハイブリッド データ セキュリティ ノードへのアクセスを許可] チェックボックスをオンにして、[続行] をクリックします。

                                                                                                                                                  アカウントが検証され、「登録完了」メッセージは、ノードが Webex クラウドに登録されたことを示します。
                                                                                                                                                  10

                                                                                                                                                  リンクをクリックするか、タブを閉じて、[Control Hub ハイブリッド データ セキュリティ] ページに戻ります。

                                                                                                                                                  [ハイブリッド データ セキュリティ] ページで、登録したノードを含む新しいクラスタが表示されます。 ノードはクラウドから最新のソフトウェアを自動的にダウンロードします。

                                                                                                                                                  より多くのノードを作成して登録する

                                                                                                                                                  クラスタに追加のノードを追加するには、追加の VM を作成し、同じ構成 ISO ファイルをマウントしてから、ノードを登録します。 少なくとも 3 つのノードを使用することをお勧めします。

                                                                                                                                                   

                                                                                                                                                  現時点では、「ハイブリッド データ セキュリティの前提条件を完了」で作成したバックアップ VM は、ディザスタ リカバリーの場合にのみ使用されるスタンバイ ホストであり、それまではシステムに登録されていません。 詳細については、「スタンバイデータセンターを使用した災害復旧」を参照してください。

                                                                                                                                                  始める前に

                                                                                                                                                  • 一旦ノードの登録を開始すると、60 分以内に完了する必要があり、そうでなければ、再び最初からやり直しになります。

                                                                                                                                                  • ブラウザのポップアップ ブロッカーが無効になっているか、または admin.webex.com の例外を許可していることを確認してください。

                                                                                                                                                  1

                                                                                                                                                  OVA から新しい仮想マシンを作成し、「HDS ホスト OVA のインストール」の手順を繰り返します。

                                                                                                                                                  2

                                                                                                                                                  新しい仮想マシンで初期設定を行い、「ハイブリッド データ セキュリティ 仮想マシンのセットアップ」の手順を繰り返します。

                                                                                                                                                  3

                                                                                                                                                  新しい VM で、「Upload and Mount the HDS Configuration ISO」の手順を繰り返します。

                                                                                                                                                  4

                                                                                                                                                  展開のプロキシを設定する場合は、新しいノードに必要に応じ「プロキシ統合の HDS ノードを設定する」の手順を繰り返します。

                                                                                                                                                  5

                                                                                                                                                  ノードを登録します。

                                                                                                                                                  1. https://admin.webex.comで画面の左側にあるメニューからサービスを選択します。

                                                                                                                                                  2. [ハイブリッド サービス] セクションで、ハイブリッド データ セキュリティ カードを見つけて、[リソース] をクリックします。

                                                                                                                                                    [ハイブリッド データ セキュリティ リソース] ページが表示されます。
                                                                                                                                                  3. [リソースの追加] をクリックします。

                                                                                                                                                  4. 最初のフィールドで、既存のクラスタの名前を選択します。

                                                                                                                                                  5. 2 番目のフィールドに、ノードの内部 IP アドレスまたは完全修飾ドメイン名(FQDN)を入力し、[次へ] をクリックします。

                                                                                                                                                    ノードを Webex クラウドに登録できることを示すメッセージが表示されます。
                                                                                                                                                  6. [ノードに進む] をクリックします。

                                                                                                                                                    しばらくすると、Webex サービスのノード接続テストにリダイレクトされます。 すべてのテストが成功すると、[ハイブリッド データ セキュリティ ノードへのアクセスを許可(Allow Access to Hybrid Data Security Node)] ページが表示されます。 ここで、ノードにアクセスするための権限を組織に付与することを確認します。
                                                                                                                                                  7. [ハイブリッド データ セキュリティ ノードへのアクセスを許可] チェックボックスをオンにして、[続行] をクリックします。

                                                                                                                                                    アカウントが検証され、「登録完了」メッセージは、ノードが Webex クラウドに登録されたことを示します。
                                                                                                                                                  8. リンクをクリックするか、タブを閉じて、[Control Hub ハイブリッド データ セキュリティ] ページに戻ります。

                                                                                                                                                  ノードが登録されています。 トライアルを開始するまで、ノードはサービスがまだアクティブ化されていないことを示すアラームを生成することに注意してください。

                                                                                                                                                  次に行うこと

                                                                                                                                                  トライアルを実行して本番環境に移動 (次の章)
                                                                                                                                                  トライアルを実行して本番環境に移動

                                                                                                                                                  プロダクション タスク フローへの試行

                                                                                                                                                  ハイブリッド データ セキュリティ クラスタをセットアップした後、パイロットを起動し、ユーザーを追加し、本番環境への移行に備えて展開のテストと検証に使用を開始できます。

                                                                                                                                                  1

                                                                                                                                                  必要に応じて、 HdsTrialGroup グループオブジェクト。

                                                                                                                                                  組織でユーザーのディレクトリ同期を使用している場合は、 HdsTrialGroup トライアルを開始する前に、クラウドに同期するためのグループ オブジェクト。 手順については、 Cisco Directory Connector 展開ガイドを参照してください。

                                                                                                                                                  2

                                                                                                                                                  トライアルの有効化

                                                                                                                                                  トライアルを開始します。 このタスクを実行するまで、ノードはサービスがまだアクティブ化されていないことを示すアラームを生成します。

                                                                                                                                                  3

                                                                                                                                                  ハイブリッド データ セキュリティ展開をテストする

                                                                                                                                                  重要な要求がハイブリッド データ セキュリティ展開に渡されていることを確認します。

                                                                                                                                                  4

                                                                                                                                                  ハイブリッド データ セキュリティの健全性を監視する

                                                                                                                                                  ステータスを確認し、アラームのメール通知を設定します。

                                                                                                                                                  5

                                                                                                                                                  トライアルからユーザーを追加または削除する

                                                                                                                                                  6

                                                                                                                                                  以下のいずれかの操作を行い、治験の段階を完了します。

                                                                                                                                                  トライアルの有効化

                                                                                                                                                  始める前に

                                                                                                                                                  組織でユーザーのディレクトリ同期を使用している場合は、 HdsTrialGroup 組織のトライアルを開始する前に、クラウドに同期するためのグループ オブジェクト。 手順については、 Cisco Directory Connector 展開ガイドを参照してください。

                                                                                                                                                  1

                                                                                                                                                  https://admin.webex.comにサインインし、「サービス」を選択します。

                                                                                                                                                  2

                                                                                                                                                  [ハイブリッド データ セキュリティ(Hybrid Data Security)] で、[設定] をクリックします。

                                                                                                                                                  3

                                                                                                                                                  [サービスステータス(Service Status)] セクションで、[トライアルの開始] をクリックします。

                                                                                                                                                  サービス ステータスがトライアル モードに変わります。
                                                                                                                                                  4

                                                                                                                                                  [ユーザーの追加] をクリックし、暗号化およびインデックスサービスのためにハイブリッド データ セキュリティ ノードを使用してパイロットする 1 人以上のユーザーのメール アドレスを入力します。

                                                                                                                                                  (組織がディレクトリ同期を使用している場合は、Active Directory を使用してトライアル グループを管理します。 HdsTrialGroup.)

                                                                                                                                                  ハイブリッド データ セキュリティ展開をテストする

                                                                                                                                                  この手順を使用して、ハイブリッド データ セキュリティの暗号化シナリオをテストします。

                                                                                                                                                  始める前に

                                                                                                                                                  • ハイブリッド データ セキュリティの展開をセットアップします。

                                                                                                                                                  • トライアルを有効にし、複数のトライアル ユーザーを追加します。

                                                                                                                                                  • キー要求がハイブリッド データ セキュリティ展開に渡されていることを確認するために、syslog にアクセスできることを確認します。

                                                                                                                                                  1

                                                                                                                                                  特定のスペースのキーは、スペースの作成者によって設定されます。 パイロットユーザーの 1 人として Webex アプリにサインインし、スペースを作成し、少なくとも 1 人のパイロットユーザーと 1 人の非パイロットユーザーを招待します。


                                                                                                                                                   

                                                                                                                                                  ハイブリッド データ セキュリティの展開を無効にすると、暗号化キーのクライアントキャッシュされたコピーが交換されると、パイロット ユーザーが作成したスペースのコンテンツにアクセスできなくなります。

                                                                                                                                                  2

                                                                                                                                                  新しいスペースにメッセージを送信します。

                                                                                                                                                  3

                                                                                                                                                  syslog 出力をチェックして、キー要求がハイブリッド データ セキュリティ展開に渡されていることを確認します。

                                                                                                                                                  1. ユーザが最初に KMS にセキュア チャネルを確立しているかどうかを確認するには、次のフィルタをオンにします。 kms.data.method=create および kms.data.type=EPHEMERAL_KEY_COLLECTION:

                                                                                                                                                    次のようなエントリを見つける必要があります (可読性のために短縮された識別子)。
                                                                                                                                                    2020-07-21 17:35:34.562 (+0000) INFO  KMS [pool-14-thread-1] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, 
                                                                                                                                                    kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2
                                                                                                                                                  2. KMS から既存のキーを要求するユーザーを確認するには、次のフィルタをオンにします。 kms.data.method=retrieve および kms.data.type=KEY:

                                                                                                                                                    次のようなエントリを見つける必要があります。
                                                                                                                                                    2020-07-21 17:44:19.889 (+0000) INFO  KMS [pool-14-thread-31] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, 
                                                                                                                                                    kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, 
                                                                                                                                                    kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b
                                                                                                                                                  3. 新しいKMSキーの作成を要求するユーザーを確認するには、 kms.data.method=create および kms.data.type=KEY_COLLECTION:

                                                                                                                                                    次のようなエントリを見つける必要があります。
                                                                                                                                                    2020-07-21 17:44:21.975 (+0000) INFO  KMS [pool-14-thread-33] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, 
                                                                                                                                                    kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b
                                                                                                                                                  4. スペースまたは他の保護リソースが作成されたときに新しい KMS リソース オブジェクト (KRO) の作成を要求するユーザを確認するには、次のフィルタをオンにします。 kms.data.method=create および kms.data.type=RESOURCE_COLLECTION:

                                                                                                                                                    次のようなエントリを見つける必要があります。
                                                                                                                                                    2020-07-21 17:44:22.808 (+0000) INFO  KMS [pool-15-thread-1] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
                                                                                                                                                    kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

                                                                                                                                                  ハイブリッド データ セキュリティの健全性を監視する

                                                                                                                                                  Control Hub 内のステータス インジケータは、ハイブリッド データ セキュリティの展開がうまく機能しているかどうかを示します。 より積極的なアラートについては、メール通知にサインアップしてください。 サービスに影響を与えるアラームまたはソフトウェア アップグレードがあると通知されます。
                                                                                                                                                  1

                                                                                                                                                  Control Hubで、画面左側のメニューからサービスを選択します。

                                                                                                                                                  2

                                                                                                                                                  [ハイブリッド サービス] セクションで、[ハイブリッド データ セキュリティ] を見つけ、[設定] をクリックします。

                                                                                                                                                  [ハイブリッド データ セキュリティ設定] ページが表示されます。
                                                                                                                                                  3

                                                                                                                                                  [メール通知] セクションで、カンマで区切られた 1 つ以上のメールアドレスを入力し、[Enter] を押します。

                                                                                                                                                  トライアルからユーザーを追加または削除する

                                                                                                                                                  トライアルをアクティベートし、トライアル ユーザーの初期セットを追加した後、トライアルがアクティブな間はいつでもトライアル メンバーを追加または削除できます。

                                                                                                                                                  トライアルからユーザーを削除すると、ユーザーのクライアントは KMS ではなく、クラウド KMS からキーとキーの作成を要求します。 クライアントが KMS に保存されているキーを必要とする場合、クラウド KMS はユーザーに代わってキーを取得します。

                                                                                                                                                  組織がディレクトリ同期を使用している場合、Active Directory (この手順の代わりに) を使用してトライアル グループを管理します。 HdsTrialGroup; Control Hub でグループメンバーを表示できますが、追加または削除することはできません。

                                                                                                                                                  1

                                                                                                                                                  Control Hub にサインインし、[サービス] を選択します。

                                                                                                                                                  2

                                                                                                                                                  [ハイブリッド データ セキュリティ(Hybrid Data Security)] で、[設定] をクリックします。

                                                                                                                                                  3

                                                                                                                                                  [サービスステータス(Service Status)] 領域の [トライアルモード(Trial Mode)] セクションで、[ユーザーの追加(Add Users)] をクリックするか、[表示と編集] をクリックしてユーザーをトライアルから削除します。

                                                                                                                                                  4

                                                                                                                                                  追加する 1 人以上のユーザーのメールアドレスを入力するか、ユーザー ID の X をクリックしてユーザーをトライアルから削除します。 その後、[保存] をクリックします。

                                                                                                                                                  トライアルからプロダクションへの移行

                                                                                                                                                  導入がトライアル ユーザーに対してうまく機能していることに満足したら、本番環境に移行できます。 本番環境に移行すると、組織内のすべてのユーザーは、暗号化キーやその他のセキュリティ領域サービスにオンプレミスのハイブリッド データ セキュリティ ドメインを使用します。 ディザスタ リカバリの一部としてサービスを非アクティブ化しない限り、本番環境からトライアル モードに戻すことはできません。 サービスを再アクティブ化するには、新しいトライアルを設定する必要があります。
                                                                                                                                                  1

                                                                                                                                                  Control Hub にサインインし、[サービス] を選択します。

                                                                                                                                                  2

                                                                                                                                                  [ハイブリッド データ セキュリティ(Hybrid Data Security)] で、[設定] をクリックします。

                                                                                                                                                  3

                                                                                                                                                  [サービスステータス(Service Status)] セクションで、[本番環境に移動] をクリックします。

                                                                                                                                                  4

                                                                                                                                                  すべてのユーザーを本番環境に移行することを確認します。

                                                                                                                                                  本番環境に移行せずにトライアルを終了する

                                                                                                                                                  トライアル中に、ハイブリッド データ セキュリティの展開を進めないと判断した場合、ハイブリッド データ セキュリティを無効にすることができます。これにより、トライアルが終了し、トライアル ユーザーはクラウド データ セキュリティ サービスに戻ります。 トライアル ユーザーは、トライアル中に暗号化されていたデータへのアクセスを失います。
                                                                                                                                                  1

                                                                                                                                                  Control Hub にサインインし、[サービス] を選択します。

                                                                                                                                                  2

                                                                                                                                                  [ハイブリッド データ セキュリティ(Hybrid Data Security)] で、[設定] をクリックします。

                                                                                                                                                  3

                                                                                                                                                  「Deactivate(無効化)」セクションで「Deactivate(無効化)」をクリックします。

                                                                                                                                                  4

                                                                                                                                                  サービスを無効にしてトライアルを終了することを確認します。

                                                                                                                                                  HDS 展開の管理

                                                                                                                                                  HDS 展開の管理

                                                                                                                                                  ここで説明するタスクを使用して、ハイブリッド データ セキュリティの展開を管理します。

                                                                                                                                                  クラスタアップグレードスケジュールの設定

                                                                                                                                                  ハイブリッド データ セキュリティのソフトウェア アップグレードは、クラスタ レベルで自動的に行われ、すべてのノードが常に同じソフトウェア バージョンを実行していることを保証します。 アップグレードは、クラスタのアップグレードのスケジュールに従って行われます。 ソフトウェアのアップグレードが可能になると、スケジュールされているアップグレードの時間の前に手動で行うことも可能になります。 特定のアップグレードのスケジュールを設定するか、毎日午前 3 時 (アメリカ合衆国) に行うというデフォルトのスケジュールも利用可能です。 アメリカ/ロサンゼルス 必要であれば、次に予定されているアップグレードを延期することも可能です。

                                                                                                                                                  アップグレードスケジュールを設定するには:

                                                                                                                                                  1

                                                                                                                                                  Control Hub にサインインします。

                                                                                                                                                  2

                                                                                                                                                  [概要] ページの [ハイブリッド サービス] で、[ハイブリッド データ セキュリティ] を選択します。

                                                                                                                                                  3

                                                                                                                                                  [ハイブリッド データ セキュリティ リソース] ページで、クラスタを選択します。

                                                                                                                                                  4

                                                                                                                                                  右側の [概要] パネルの [クラスタ設定] で、クラスタ名を選択します。

                                                                                                                                                  5

                                                                                                                                                  設定ページのアップグレードの下で、アップグレードのスケジュール設定を希望する時間およびタイムゾーンを選択します。

                                                                                                                                                  メモ: タイムゾーンの下に、次に可能なアップグレードの日時が表示されます。 必要に応じて、[延期] をクリックすることでアップグレードを翌日に延期することもできます。

                                                                                                                                                  ノードの設定を変更する

                                                                                                                                                  場合により、以下のような理由で ハイブリッド データ セキュリティ ノードの構成の変更が必要な場合があります。
                                                                                                                                                  • 有効期限が切れる、または他の理由による、x.509 証明書の変更。


                                                                                                                                                     

                                                                                                                                                    証明書の CN ドメイン名の変更はサポートされていません。 ドメインは、クラスターを登録するために使用される元のドメインと一致する必要があります。

                                                                                                                                                  • データベース設定を更新して、PostgreSQL または Microsoft SQL Server データベースのレプリカを変更します。


                                                                                                                                                     

                                                                                                                                                    PostgreSQL から Microsoft SQL Server への、またはその逆へのデータ移行はサポートしていません。 データベース環境を切り替えるには、ハイブリッド データ セキュリティの新しい展開を開始します。

                                                                                                                                                  • 新しい構成を作成して新しいデータセンターの準備をする。

                                                                                                                                                  また、セキュリティ上の理由により、ハイブリッド データ セキュリティは 9 か月間使用可能なサービス アカウント パスワードを使用します。 HDS セットアップ ツールがこれらのパスワードを生成した後で、ISO 構成ファイルの各 HDS ノードに展開します。 組織のパスワードの有効期限切れが近い場合、Webex チームから「パスワード期限切れ通知」を受け取り、マシン アカウントのパスワードのリセットを求められます。 (メールにはテキスト「マシン アカウント API を使用してパスワードを更新します」を含みます。) パスワードの有効期限が切れるまで時間が十分にある場合、ツールには次の 2 つのオプションがあります:

                                                                                                                                                  • ソフト リセット— 古いパスワードと新しいパスワードは最大 10 日間有効です。 この期間を使用して、ノードの ISO ファイルを段階的に置き換えることができます。

                                                                                                                                                  • ハード リセット—古いパスワードは即時に機能を停止します。

                                                                                                                                                  パスワードをリセットせずに期限切れになる場合、HDS サービスに影響を与える可能性があります。すぐにハード リセットし、すべてのノードの ISO ファイルを置換する必要があります。

                                                                                                                                                  この手順を使用して、新しい構成 ISO ファイルを生成し、クラスターに適用します。

                                                                                                                                                  始める前に

                                                                                                                                                  • HDS セットアップ ツールをローカル マシンの Docker コンテナとして実行します。 アクセスするには、そのマシンで Docker を実行します。 セットアップ プロセスでは、組織に対するフル管理者権限を持つ Control Hub アカウントの資格情報が必要です。

                                                                                                                                                    HDS Setup ツールが環境内のプロキシの後ろで実行されている場合は、1.eで Docker コンテナを起動するときに、Docker 環境変数を使用してプロキシ設定(サーバ、ポート、クレデンシャル)を提供します。 この表ではいくつかの可能な環境変数を示します。

                                                                                                                                                    説明

                                                                                                                                                    変数

                                                                                                                                                    認証なしの HTTP プロキシ

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    認証なしの HTTPS プロキシ

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    認証ありの HTTP プロキシ

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                    認証ありの HTTPS プロキシ

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                  • 新しい構成を生成するには、現在の構成 ISO ファイルのコピーが必要です。 ISO には PostgreSQL または Microsoft SQL Server データベースを暗号化するマスター キーを含むです。 データベースの証明書、証明書の更新、認証方針への変更を含む、構成の変更を行った場合は ISO が必要です。

                                                                                                                                                  1

                                                                                                                                                  ローカル マシンで Docker を使用し、HDS セットアップ ツールを実行します。

                                                                                                                                                  1. マシンのコマンド ラインで、お使い環境に適切なコマンドを入力します。

                                                                                                                                                    一般環境:

                                                                                                                                                    docker rmi ciscocitg/hds-setup:stable

                                                                                                                                                    FedRAMP 環境の場合:

                                                                                                                                                    docker rmi ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                     

                                                                                                                                                    このステップを実行すると、前の HDS セットアップ ツールの画像がクリーンアップされます。 これ以前の画像がない場合は、無視できるエラーを返します。

                                                                                                                                                  2. Docker 画像レジストリにサインインするには、以下を入力します。

                                                                                                                                                    docker login -u hdscustomersro
                                                                                                                                                  3. パスワードのプロンプトに対して、このハッシュを入力します。

                                                                                                                                                    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
                                                                                                                                                  4. お使い環境に合った最新の安定した画像をダウンロードします。

                                                                                                                                                    一般環境:

                                                                                                                                                    docker pull ciscocitg/hds-setup:stable

                                                                                                                                                    FedRAMP 環境の場合:

                                                                                                                                                    docker pull ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                     

                                                                                                                                                    この手順に最新のセットアップ ツールをプルしていることを確認します。 2018 年 2 月 22 日より前に作成されたツールのバージョンには、パスワード リセット画面が表示されません。

                                                                                                                                                  5. プルが完了したら、お使いの環境に適切なコマンドを入力します。

                                                                                                                                                    • プロキシなしの通常の環境の場合:

                                                                                                                                                      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
                                                                                                                                                    • HTTP プロキシがある通常の環境の場合、

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                    • HTTPS プロキシがある通常の環境の場合:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                    • プロキシなしの FedRAMP 環境の場合:

                                                                                                                                                      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                    • HTTP プロキシがある FedRAMP 環境の場合:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                    • HTTPS プロキシがある FedRAMP 環境の場合:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                    コンテナが実行中の時。「ポート 8080 で Express サーバー リスニング中」と表示されます。

                                                                                                                                                  6. ブラウザを使用して、ローカルホスト に接続します。 http://127.0.0.1:8080 です。


                                                                                                                                                     

                                                                                                                                                    Setup ツールは、http://localhost:8080 を介した localhost への接続をサポートしていません。 http://127.0.0.1:8080を使用してlocalhostに接続します。

                                                                                                                                                  7. 指示されたら、 Control Hub の顧客サインイン資格情報を入力し、[同意] をクリックして続行します。

                                                                                                                                                  8. 現在の構成 ISO ファイルをインポートします。

                                                                                                                                                  9. 指示に従い、ツールを完了し、更新されたファイルをダウンロードします。

                                                                                                                                                    セットアップ ツールをシャットダウンするために次のように入力します。 CTRL+C です。

                                                                                                                                                  10. 更新されたファイルのバックアップ コピーを別のデータ センターに作成します。

                                                                                                                                                  2

                                                                                                                                                  を実行している HDS ノードが 1 個のみある場合、新しいノード VM を作成し、新しいハイブリッド データ セキュリティ ノード VM を作成し、新しい構成 ISO ファイルを使用してそれを登録します。 手順の詳細については、「追加のノードを作成して登録する」を参照してください。

                                                                                                                                                  1. HDS 主催者 OVA をインストールします。

                                                                                                                                                  2. HDS VM をセットアップします。

                                                                                                                                                  3. 更新された構成ファイルをマウントします。

                                                                                                                                                  4. Control Hub の新しいノードを登録します。

                                                                                                                                                  3

                                                                                                                                                  古い構成ファイルを実行している既存の HDS ノードの場合、ISO ファイルをマウントします。 各ノードで以下の手順を実行し、次のノードをオフにする前に、各ノードを更新します。

                                                                                                                                                  1. 仮想マシンをオフにします。

                                                                                                                                                  2. VMware vSphere クライアントの左ナビゲーション ペインで、ESXi サーバーを右クリックし、[設定の編集] をクリックします。

                                                                                                                                                  3. クリック CD/DVD Drive 1[CD/DVD Drive 1] をクリックし、ISO ファイルからマウントするオプションを選択して、新規構成 ISO ファイルをダウンロードした場所を参照します。

                                                                                                                                                  4. [電源に接続する] をチェックします。

                                                                                                                                                  5. 変更を保存し、仮想マシンを起動します。

                                                                                                                                                  4

                                                                                                                                                  ステップ 3 を繰り返し、古い構成ファイルを実行している残りの各ノードで構成を置き換えます。

                                                                                                                                                  外部 DNS 解決ブロックモードをオフにする

                                                                                                                                                  ノードを登録するか、またはノードのプロキシ構成を確認するとき、プロセスは DNS 検索と Cisco Webex クラウドへの接続をテストします。 ノードの DNS サーバーがパブリック DNS 名を解決できない場合、ノードは自動的に外部 DNS 解決ブロックモードに進みます。

                                                                                                                                                  ノードが内部 DNS サーバーを通してパブリック DNS 名を解決できる場合、各ノードでプロキシ接続テストを再実行することで、このモードをオフにすることができます。

                                                                                                                                                  始める前に

                                                                                                                                                  内部 DNS サーバーがパブリック DNS 名を解決でき、ノードがそれらと通信できることを確認します。
                                                                                                                                                  1

                                                                                                                                                  Web ブラウザで、ハイブリッド データ セキュリティ ノード インターフェイス (IP アドレス/セットアップ、たとえば、ノードに設定した管理者資格情報をhttps://192.0.2.0/setup), 入力し、[サインイン] をクリックします。

                                                                                                                                                  2

                                                                                                                                                  [概要] (デフォルトページ) に移動します。

                                                                                                                                                  有効になっている場合、 [外部 DNS 解決ブロック][はい] に設定されています。

                                                                                                                                                  3

                                                                                                                                                  [信頼ストアとプロキシ] ページに移動します。

                                                                                                                                                  4

                                                                                                                                                  [プロキシ接続を確認する] をクリックします。

                                                                                                                                                  外部 DNS の解決が正常に行われなかったという内容のメッセージが表示された場合、ノードが DNS サーバーに到達できなかったことを示しており、このモードに留まっています。 そうでない場合には、ノードを再起動して[概要] ページに戻ると、[外部 DNS 解決ブロック] は [いいえ] に設定されるはずです。

                                                                                                                                                  次に行うこと

                                                                                                                                                  ハイブリッド データ セキュリティ クラスターの各ノードで、プロキシ接続テストを繰り返します。

                                                                                                                                                  ノードの削除

                                                                                                                                                  この手順を使用して、Webex クラウドからハイブリッド データ セキュリティ ノードを削除します。 クラスタからノードを削除した後、仮想マシンを削除して、セキュリティデータへのさらなるアクセスを防止します。
                                                                                                                                                  1

                                                                                                                                                  コンピュータの VMware vSphere クライアントを使用して、ESXi 仮想ホストにログインし、仮想マシンの電源を切ります。

                                                                                                                                                  2

                                                                                                                                                  ノードを削除します。

                                                                                                                                                  1. Control Hub にサインインし、[サービス] を選択します。

                                                                                                                                                  2. ハイブリッド データ セキュリティ カードで、 すべて表示 [ハイブリッド データ セキュリティ リソース] ページを表示します。

                                                                                                                                                  3. クラスタを選択して [概要] パネルを表示します。

                                                                                                                                                  4. [ノードリストを開く] をクリックします。

                                                                                                                                                  5. [ノード] タブで、削除するノードを選択します。

                                                                                                                                                  6. をクリックします。 アクション > ノードの登録解除

                                                                                                                                                  3

                                                                                                                                                  vSphere クライアントで、仮想マシンを削除します (左側のナビゲーションペインで、仮想マシンを右クリックし、[削除] をクリックします)。

                                                                                                                                                  仮想マシンを削除しない場合は、設定の ISO ファイルのマウントを解除することを忘れないでください。 ISO ファイルがないと、VM を使用してセキュリティ データにアクセスすることはできません。

                                                                                                                                                  スタンバイデータセンターを使用したディザスタ リカバリ

                                                                                                                                                  ハイブリッド データ セキュリティ クラスタが提供する最も重要なサービスは、Webex クラウドに保存されているメッセージやその他のコンテンツを暗号化するために使用されるキーの作成と保存です。 ハイブリッド データ セキュリティに割り当てられている組織内の各ユーザーについて、新しいキー作成要求がクラスタにルーティングされます。 また、クラスタは、作成したキーを、カンバセーションスペースのメンバーなど、取得を許可されたユーザーに返却する責任があります。

                                                                                                                                                  クラスタは、これらのキーを提供するという重要な機能を実行するため、クラスタが実行され、適切なバックアップが維持されることが不可欠です。 ハイブリッド データ セキュリティ データベースまたはスキーマに使用されている構成 ISO が失われると、顧客のコンテンツが回復不能に失われます。 このような損失を防ぐには、以下の慣行が必須です。

                                                                                                                                                  災害により、プライマリデータセンターの HDS 展開が使用できなくなる場合は、次の手順に従って、スタンバイデータセンターに手動でフェールオーバーします。

                                                                                                                                                  1

                                                                                                                                                  HDS Setupツールを起動し、「HDSホストの設定ISOを作成する」の手順に従います。

                                                                                                                                                  2

                                                                                                                                                  Syslogdサーバーを構成した後、[詳細設定]をクリックします。

                                                                                                                                                  3

                                                                                                                                                  [詳細設定]ページで、以下の設定を追加するか、 passiveMode ノードをアクティブにする設定。 ノードは、これが設定されるとトラフィックを処理できます。

                                                                                                                                                  
                                                                                                                                                  passiveMode: 'false'
                                                                                                                                                  
                                                                                                                                                  4

                                                                                                                                                  構成プロセスを完了し、見つけやすい場所にISOファイルを保存します。

                                                                                                                                                  5

                                                                                                                                                  ローカルシステム上のISOファイルのバックアップコピーを作成します。 バックアップコピーを安全に保管してください。 このファイルには、データベースコンテンツのマスター暗号化キーが含まれています。 構成を変更する必要があるハイブリッド データ セキュリティ管理者のみへのアクセスを制限します。

                                                                                                                                                  6

                                                                                                                                                  VMware vSphere クライアントの左側のナビゲーションペインで、仮想マシンを右クリックし、[設定の編集] をクリックします。

                                                                                                                                                  7

                                                                                                                                                  [設定の編集]>[CD/DVDドライブ1]をクリックし、[データストアISOファイル]を選択します。


                                                                                                                                                   

                                                                                                                                                  ノードを開始した後で、更新された設定変更を有効にするために、「接続」および「電源投入時に接続」がオンになっていることを確認します。

                                                                                                                                                  8

                                                                                                                                                  HDS ノードの電源を入れ、少なくとも 15 分間アラームがないことを確認します。

                                                                                                                                                  9

                                                                                                                                                  スタンバイデータセンター内のすべてのノードに対してプロセスを繰り返します。


                                                                                                                                                   

                                                                                                                                                  Syslog 出力をチェックして、スタンバイ データ センターのノードがパッシブ モードでないことを確認します。 「パッシブモードで設定された KMS」は syslogs には表示されません。

                                                                                                                                                  次に行うこと

                                                                                                                                                  フェールオーバー後、プライマリデータセンターが再びアクティブになった場合は、「災害復旧用のスタンバイデータセンターを設定」で説明されている手順に従って、スタンバイデータセンターを再びパッシブモードにします。

                                                                                                                                                  (オプション)HDS設定後にISOをアンマウントする

                                                                                                                                                  標準の HDS 構成は、ISO マウントで実行されます。 しかし、一部の顧客は、ISOファイルを継続的にマウントしたままにしないことを好みます。 すべての HDS ノードが新しい設定をピックアップした後、ISO ファイルのマウントを解除できます。

                                                                                                                                                  ISO ファイルを使用して、設定を変更します。 新しい ISO を作成するか、セットアップツールを使用して ISO を更新する場合は、更新された ISO をすべての HDS ノードにマウントする必要があります。 すべてのノードが設定変更をピックアップしたら、この手順で再び ISO のマウントを解除できます。

                                                                                                                                                  始める前に

                                                                                                                                                  すべての HDS ノードをバージョン 2021.01.22.4720 以降にアップグレードします。

                                                                                                                                                  1

                                                                                                                                                  1 つの HDS ノードをシャットダウンします。

                                                                                                                                                  2

                                                                                                                                                  vCenter Server Appliance で、HDS ノードを選択します。

                                                                                                                                                  3

                                                                                                                                                  を選択 [設定の編集] > [CD/DVDドライブを選択し、[データストアISOファイル]のチェックを外します。

                                                                                                                                                  4

                                                                                                                                                  HDS ノードの電源を入れ、少なくとも 20 分間アラームがないことを確認します。

                                                                                                                                                  5

                                                                                                                                                  HDS ノードごとに順番に繰り返します。

                                                                                                                                                  ハイブリッド データ セキュリティのトラブルシューティング

                                                                                                                                                  アラートとトラブルシューティングの表示

                                                                                                                                                  ハイブリッド データ セキュリティの展開は、クラスタ内のすべてのノードに到達できない場合、またはクラスタが非常にゆっくりと動作しているため、要求がタイムアウトした場合、利用できないと見なされます。 ユーザーがハイブリッド データ セキュリティ クラスタに到達できない場合、次の症状が発生します。

                                                                                                                                                  • 新しいスペースを作成できません (新しいキーを作成できません)

                                                                                                                                                  • メッセージとスペース タイトルの復号に失敗する:

                                                                                                                                                    • 新規ユーザーがスペースに追加されました (キーを取得できません)

                                                                                                                                                    • 新しいクライアントを使用するスペース内の既存のユーザー (キーを取得できません)

                                                                                                                                                  • スペース内の既存のユーザーは、クライアントが暗号化キーのキャッシュを持っている限り、正常に動作し続けます。

                                                                                                                                                  ハイブリッド データ セキュリティ クラスタを適切に監視し、サービスの中断を避けるために速やかにアラートに対処することが重要です。

                                                                                                                                                  警告

                                                                                                                                                  ハイブリッド データ セキュリティのセットアップに問題がある場合、Control Hub は組織管理者にアラートを表示し、設定されたメール アドレスにメールを送信します。 アラートは、多くの一般的なシナリオをカバーしています。

                                                                                                                                                  表 1. 一般的な問題とそれらを解決するためのステップ

                                                                                                                                                  警告

                                                                                                                                                  アクション

                                                                                                                                                  ローカル データべースへのアクセスに失敗しました。

                                                                                                                                                  データベース エラーまたはローカル ネットワークの問題を確認します。

                                                                                                                                                  ローカルデータベース接続に失敗しました。

                                                                                                                                                  データベース サーバが使用可能であり、ノード設定で適切なサービス アカウント クレデンシャルが使用されていることを確認します。

                                                                                                                                                  クラウド サービスへのアクセスに失敗しました。

                                                                                                                                                  外部接続要件で指定されているように、ノードが Webex サーバーにアクセスできることを確認します。

                                                                                                                                                  クラウドサービス登録の更新。

                                                                                                                                                  クラウドサービスへの登録が削除されました。 登録の更新が進行中です。

                                                                                                                                                  クラウドサービスの登録が削除されました。

                                                                                                                                                  クラウドサービスへの登録が終了しました。 サービスが停止しています。

                                                                                                                                                  サービスはまだアクティベートされていません。

                                                                                                                                                  トライアルを有効にするか、トライアルを本番環境に移行します。

                                                                                                                                                  設定されたドメインがサーバー証明書と一致しません。

                                                                                                                                                  サーバー証明書が設定されたサービス アクティベーション ドメインと一致していることを確認します。

                                                                                                                                                  最も可能性の高い原因は、証明書 CN が最近変更され、初期設定で使用された CN とは異なるようになったためです。

                                                                                                                                                  クラウド サービスの認証に失敗しました。

                                                                                                                                                  サービスアカウントの資格情報の正確さと有効期限の可否を確認します。

                                                                                                                                                  ローカル キーストア ファイルを開くことができませんでした。

                                                                                                                                                  ローカル キーストア ファイルの整合性とパスワードの正確性を確認します。

                                                                                                                                                  ローカルサーバー証明書が無効です。

                                                                                                                                                  サーバ証明書の有効期限を確認し、信頼できる認証局によって発行されていることを確認します。

                                                                                                                                                  メトリクスを投稿できません。

                                                                                                                                                  外部クラウド サービスへのローカル ネットワーク アクセスを確認します。

                                                                                                                                                  /media/configdrive/hds ディレクトリが存在しません。

                                                                                                                                                  仮想ホストの ISO マウント設定を確認します。 ISO ファイルが存在すること、再起動時にマウントするように設定されていること、正常にマウントされていることを確認します。

                                                                                                                                                  ハイブリッド データ セキュリティのトラブルシューティング

                                                                                                                                                  ハイブリッド データ セキュリティの問題をトラブルシューティングする場合は、次の一般的なガイドラインを使用します。
                                                                                                                                                  1

                                                                                                                                                  アラートについては Control Hub を確認し、見つかった項目を修正します。

                                                                                                                                                  2

                                                                                                                                                  ハイブリッド データ セキュリティ展開からのアクティビティの syslog サーバー出力を確認します。

                                                                                                                                                  3

                                                                                                                                                  Cisco サポート にお問い合わせください。

                                                                                                                                                  その他の注意事項

                                                                                                                                                  ハイブリッド データ セキュリティの既知の問題

                                                                                                                                                  • ハイブリッド データ セキュリティ クラスタをシャットダウンする (Control Hub で削除するか、すべてのノードをシャットダウンする)、構成 ISO ファイルを失う、またはキーストア データベースへのアクセスを失う場合、Webex アプリのユーザーは、KMS のキーを使用して作成された [ユーザー] リストの下のスペースを使用できなくなります。 これは、トライアル展開と本番展開の両方に適用されます。 現在、この問題の回避策や修正はありません。HDS サービスがアクティブなユーザーアカウントを処理したら、HDS サービスをシャットダウンしないようにしてください。

                                                                                                                                                  • KMS への既存の ECDH 接続を持つクライアントは、その接続を一定期間 (おそらく 1 時間) 維持します。 ユーザーがハイブリッド データ セキュリティ トライアルのメンバーになると、ユーザーのクライアントは、タイムアウトするまで既存の ECDH 接続を引き続き使用します。 代わりに、ユーザーは Webex アプリ アプリにサインアウトして再度ログインして、アプリが暗号化キーの連絡先を更新できます。

                                                                                                                                                    同じ動作は、組織のトライアルを本番環境に移行する場合にも発生します。 以前のデータ セキュリティ サービスへの既存の ECDH 接続を持つすべての非トライアル ユーザーは、ECDH 接続が再ネゴシエートされるまで (タイムアウトまたはサインアウトして戻る)、これらのサービスを使用し続けます。

                                                                                                                                                  OpenSSL を使用して PKCS12 ファイルを生成する

                                                                                                                                                  始める前に

                                                                                                                                                  • OpenSSLは、HDSセットアップツールでロードするための適切な形式でPKCS12ファイルを作成するために使用できるツールの1つです。 これを行うには他の方法があり、私たちは別の方法よりも支持または促進しません。

                                                                                                                                                  • OpenSSLを使用することを選択した場合は、X.509証明書要件を満たすファイルを作成するのに役立つガイドラインとして、この手順を提供しています。 X.509 証明書の要件は... 続行する前にこれらの要件を理解してください。

                                                                                                                                                  • サポートされている環境で OpenSSL をインストールします。 ソフトウェアとマニュアルについてはhttps://www.openssl.orgを参照してください。

                                                                                                                                                  • 秘密鍵を作成します。

                                                                                                                                                  • 認証局(CA)からサーバ証明書を受け取ったら、この手順を開始します。

                                                                                                                                                  1

                                                                                                                                                  CA からサーバー証明書を受け取ったら、次のように保存します。 hdsnode.pem です。

                                                                                                                                                  2

                                                                                                                                                  証明書をテキストとして表示し、詳細を確認します。

                                                                                                                                                  openssl x509 -text -noout -in hdsnode.pem

                                                                                                                                                  3

                                                                                                                                                  テキスト エディタを使用して、証明書バンドル ファイルを作成します。 hdsnode-bundle.pem です。 バンドル ファイルには、次の形式で、サーバ証明書、中間の CA 証明書、ルート CA 証明書を含める必要があります。

                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ### Server certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ###  Intermediate CA certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ###  Root CA certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  4

                                                                                                                                                  親しみやすい名前で .p12 ファイルを作成する kms-private-key です。

                                                                                                                                                  openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

                                                                                                                                                  5

                                                                                                                                                  サーバ証明書の詳細を確認してください。

                                                                                                                                                  1. openssl pkcs12 -in hdsnode.p12

                                                                                                                                                  2. プロンプトでパスワードを入力して、秘密キーを出力に表示するように暗号化します。 次に、秘密鍵と最初の証明書に、回線が含まれていることを確認します。 friendlyName: kms-private-keyです。

                                                                                                                                                    例:

                                                                                                                                                    bash$ openssl pkcs12 -in hdsnode.p12
                                                                                                                                                    Enter Import Password:
                                                                                                                                                    MAC verified OK
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: kms-private-key
                                                                                                                                                        localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
                                                                                                                                                    Key Attributes: <No Attributes>
                                                                                                                                                    Enter PEM pass phrase:
                                                                                                                                                    Verifying - Enter PEM pass phrase:
                                                                                                                                                    -----BEGIN ENCRYPTED PRIVATE KEY-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END ENCRYPTED PRIVATE KEY-----
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: kms-private-key
                                                                                                                                                        localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
                                                                                                                                                    subject=/CN=hds1.org6.portun.us
                                                                                                                                                    issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
                                                                                                                                                    -----BEGIN CERTIFICATE-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END CERTIFICATE-----
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US
                                                                                                                                                    subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
                                                                                                                                                    issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3
                                                                                                                                                    -----BEGIN CERTIFICATE-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END CERTIFICATE-----

                                                                                                                                                  次に行うこと

                                                                                                                                                  ハイブリッド データ セキュリティの前提条件を満たす」に戻ります。 次を使用します: hdsnode.p12[HDSホストの設定ISOの作成]で設定したファイルとパスワード。


                                                                                                                                                   

                                                                                                                                                  これらのファイルを再使用して、元の証明書の有効期限が切れたときに新しい証明書を要求できます。

                                                                                                                                                  HDS ノードとクラウド間のトラフィック

                                                                                                                                                  アウトバウンドメトリック収集トラフィック

                                                                                                                                                  ハイブリッド データ セキュリティ ノードは、Webex クラウドに特定のメトリックを送信します。 これには、ヒープ最大、使用されるヒープ、CPU 負荷、およびスレッド数のシステムメトリクス、同期スレッドと非同期スレッドのメトリクス、暗号化接続のしきい値、遅延、またはリクエストキュー長を含むアラートのメトリクス、データストアのメトリクス、および暗号化接続メトリックが含まれます。 ノードは、(リクエストとは別に)帯域外チャネル上で暗号化されたキー素材を送信します。

                                                                                                                                                  着信トラフィック

                                                                                                                                                  ハイブリッド データ セキュリティ ノードは、Webex クラウドから次のタイプのインバウンド トラフィックを受信します。

                                                                                                                                                  • 暗号化サービスによってルーティングされるクライアントからの暗号化要求

                                                                                                                                                  • ノード ソフトウェアへのアップグレード

                                                                                                                                                  ハイブリッド データ セキュリティの Squid プロキシを設定する

                                                                                                                                                  Websocket は Squid プロキシを通じて接続できません

                                                                                                                                                  Mサイズは箱入りとなります Sサイズは箱なしでのラッピングとなります ギフトボックス・ラッピングについて __________________ wss:) ハイブリッド データ セキュリティが必要とする接続。 これらのセクションでは、無視するためにさまざまなバージョンの Squid を設定する方法について説明します。 wss: これは、サービスの適切な運用のためのトラフィックです。

                                                                                                                                                  Squid 4 および5

                                                                                                                                                  次を追加します: on_unsupported_protocol 指示する squid.conf:

                                                                                                                                                  on_unsupported_protocol tunnel all

                                                                                                                                                  Squid 3.5.27

                                                                                                                                                  次のルールが追加され、ハイブリッド データ セキュリティが正常にテストされました。 squid.conf です。 これらのルールは、機能を開発し、Webex クラウドを更新する際に変更されることがあります。

                                                                                                                                                  acl wssMercuryConnection ssl::server_name_regex mercury-connection
                                                                                                                                                  
                                                                                                                                                  ssl_bump splice wssMercuryConnection
                                                                                                                                                  
                                                                                                                                                  acl step1 at_step SslBump1
                                                                                                                                                  acl step2 at_step SslBump2
                                                                                                                                                  acl step3 at_step SslBump3
                                                                                                                                                  ssl_bump peek step1 all
                                                                                                                                                  ssl_bump stare step2 all
                                                                                                                                                  ssl_bump bump step3 all
                                                                                                                                                  はじめに

                                                                                                                                                  新規および変更された情報

                                                                                                                                                  日付

                                                                                                                                                  変更履歴

                                                                                                                                                  2023年10月20日。

                                                                                                                                                  2023年8月7日。

                                                                                                                                                  2023年5月23日。

                                                                                                                                                  2022 年 12 月 06 日

                                                                                                                                                  2022年11月23日。

                                                                                                                                                  2021 年 10 月 13 日

                                                                                                                                                  HDS ノードをインストールする前に、Docker Desktop でセットアッププログラムを実行する必要があります。 Docker デスクトップの要件を参照してください。

                                                                                                                                                  2017 年 6 月 24 日

                                                                                                                                                  秘密鍵ファイルと CSR を再使用して別の証明書を要求できることに注意してください。 詳細については、「OpenSSL を使用して PKCS12 ファイルを生成する」を参照してください。

                                                                                                                                                  2021 年 4 月 30 日

                                                                                                                                                  ローカル ハード ディスク スペースの VM 要件を 30 GB に変更しました。 詳細については、「仮想ホスト要件」を参照してください。

                                                                                                                                                  2021 年 2 月 24 日

                                                                                                                                                  HDS セットアップ ツールは、プロキシの後ろで実行できるようになりました。 詳細については、「HDS ホストの設定 ISO を作成する」を参照してください。

                                                                                                                                                  2021 年 2 月 2 日

                                                                                                                                                  HDS は、マウントされた ISO ファイルなしで実行できるようになりました。 詳細については、「(オプション) HDS 設定後に ISO のマウント解除 」を参照してください。

                                                                                                                                                  2021年1月11日。

                                                                                                                                                  HDSセットアップツールとプロキシに関する情報を追加し、HDSホストの設定ISOを作成しました。

                                                                                                                                                  2020/10/13

                                                                                                                                                  インストールファイルのダウンロードを更新しました。

                                                                                                                                                  2020/10/08

                                                                                                                                                  更新HDSホスト用の構成ISOの作成およびFedRAMP環境のコマンドによるノード構成の変更

                                                                                                                                                  2020 年 8 月 14 日

                                                                                                                                                  サインイン プロセスの変更に伴い、「HDS ホストの構成 ISO を作成する」および「ノード構成を変更する」が更新されました。

                                                                                                                                                  2020年8月5日水曜日

                                                                                                                                                  ログ メッセージの変更に関するハイブリッド データ セキュリティ展開のテストを更新しました。

                                                                                                                                                  ホストの最大数を削除する仮想ホスト要件を更新しました。

                                                                                                                                                  2020 年 6 月 16 日

                                                                                                                                                  Control Hub UI の変更に関するノードの削除を更新しました。

                                                                                                                                                  2020 年 6 月 4 日

                                                                                                                                                  設定する詳細設定の変更に関するHDS ホストの設定 ISO の作成を更新しました。

                                                                                                                                                  2020 年 5 月 29 日

                                                                                                                                                  SQL Serverデータベース、UI変更、およびその他の説明でTLSを使用できることを示すために、HDSホストの構成ISOを作成するを更新しました。

                                                                                                                                                  2020 年 5 月 5 日

                                                                                                                                                  ESXi 6.5 の新しい要件を表示するために、仮想ホスト要件を更新しました。

                                                                                                                                                  2020 年 4 月 21 日

                                                                                                                                                  新しい Americas CI ホストとの外部接続要件が更新されました。

                                                                                                                                                  2020 年 4 月 1 日

                                                                                                                                                  地域 CI ホストに関する情報で外部接続要件が更新されました。

                                                                                                                                                  2020年2月20日水曜日HDSセットアップツールの新しいオプションの詳細設定画面に関する情報を記載したHDSホストの設定ISOを作成を更新しました。
                                                                                                                                                  2020年2月4日。プロキシサーバーの要件を更新しました。
                                                                                                                                                  2019年12月16日ブロックされた外部 DNS 解決モードがプロキシサーバーの要件で動作する要件を明確化しました。
                                                                                                                                                  2019 年 11 月 19 日

                                                                                                                                                  次のセクションで、ブロックされた外部 DNS 解決モードに関する情報を追加しました。

                                                                                                                                                  2019 年 11 月 8 日

                                                                                                                                                  OVA を後で展開するのではなく、ノードのネットワーク設定を構成できるようになりました。

                                                                                                                                                  以下のセクションを適宜更新しました。


                                                                                                                                                   

                                                                                                                                                  OVA 展開中にネットワーク設定を設定するオプションは、ESXi 6.5 でテストされています。 このオプションは、以前のバージョンでは使用できない場合があります。

                                                                                                                                                  2019年9月6日水曜日

                                                                                                                                                  データベースサーバーの要件にSQL Server Standardを追加しました。

                                                                                                                                                  2019 年 8 月 29 日適切な動作のためにWebSocketトラフィックを無視するようにSquidプロキシを設定する方法についてのガイダンスが追加されました。Configure Squid Proxies for Hybrid Data Securityの付録が追加されました。
                                                                                                                                                  2019 年 8 月 20 日

                                                                                                                                                  Webex クラウドへのハイブリッド データ セキュリティ ノード通信のプロキシ サポートをカバーするセクションを追加および更新しました。

                                                                                                                                                  既存の展開のプロキシ サポート コンテンツだけにアクセスするには、「ハイブリッド データ セキュリティと Webex ビデオ メッシュのプロキシ サポート」のヘルプ記事を参照してください。

                                                                                                                                                  2019年6月13日。トライアルから本番稼働タスク フローに更新し、 HdsTrialGroup 組織がディレクトリ同期を使用している場合、トライアルを開始する前にグループ オブジェクト。
                                                                                                                                                  2019年3月6日(火)
                                                                                                                                                  2019 年 2 月 28 日
                                                                                                                                                  • ハイブリッド データ セキュリティ ノードとなる仮想ホストを 50 GB から 20 GB に準備するときに、OVA が作成するディスクのサイズを反映させるために、サーバあたりのローカル ハード ディスクの空き容量を修正しました。

                                                                                                                                                  2019 年 2 月 26 日
                                                                                                                                                  • ハイブリッド データ セキュリティ ノードは、PostgreSQL データベース サーバとの暗号化された接続、および TLS 対応の syslog サーバへの暗号化されたロギング接続をサポートするようになりました。 手順が記載された「HDS ホストの設定 ISO を作成」を更新しました。

                                                                                                                                                  • 「ハイブリッド データ セキュリティ ノード VM のインターネット接続要件」の表から移動先 URL を削除しました。 この表は、Webex Teams サービスのネットワーク要件の「Webex Teams ハイブリッド サービスの追加 URL」表で維持されているリストを参照しています。

                                                                                                                                                  2019 年 1 月 24 日

                                                                                                                                                  • ハイブリッド データ セキュリティは、データベースとして Microsoft SQL Server をサポートするようになりました。 SQL Server Always On (Always On Failover Clusters and Always on Availability Groups) は、ハイブリッド データ セキュリティで使用される JDBC ドライバーによってサポートされています。 SQL Server での展開に関連するコンテンツを追加しました。


                                                                                                                                                     

                                                                                                                                                    Microsoft SQL Server のサポートは、ハイブリッド データ セキュリティの新規展開のみを対象としています。 現在のところ、既存の展開における、PostgreSQL から Microsoft SQL Server への移行はサポートしていません。

                                                                                                                                                  2018年11月5日。
                                                                                                                                                  2018年10月19日水曜日

                                                                                                                                                  2018 年 7 月 31 日

                                                                                                                                                  2018/05/21

                                                                                                                                                  Cisco Spark のリブランディングを反映する用語の変更:

                                                                                                                                                  • Cisco Spark ハイブリッド データ セキュリティがハイブリッド データ セキュリティになりました。

                                                                                                                                                  • Cisco Spark アプリが Webex アプリ アプリになりました。

                                                                                                                                                  • Cisco Collaboraton Cloud は Webex クラウドになりました。

                                                                                                                                                  2018年4月11日。
                                                                                                                                                  2018年2月22日水曜日
                                                                                                                                                  • サービスアカウントパスワードの9か月の寿命と、HDSセットアップツールを使用してサービスアカウントパスワードをリセットする方法についての情報を追加しました。「HDSホストの設定ISOの作成」および「ノード設定の変更」を参照してください。

                                                                                                                                                  2018 年 2 月 15 日
                                                                                                                                                  • X.509証明書の要件表では、証明書がワイルドカード証明書にはならないこと、KMSがCNドメインを使用していること、x.509v3 SANフィールドで定義されているドメインではないことが指定されています。

                                                                                                                                                  2018 年 1 月 18 日

                                                                                                                                                  2017年11月2日。

                                                                                                                                                  • HdsTrialGroup のディレクトリ同期を明確にしました。

                                                                                                                                                  • VM ノードにマウントするための ISO 設定ファイルをアップロードする手順を修正しました。

                                                                                                                                                  2017年8月18日。

                                                                                                                                                  初公開。

                                                                                                                                                  ハイブリッド データ セキュリティの使用を開始する

                                                                                                                                                  ハイブリッド データ セキュリティの概要

                                                                                                                                                  初日から、Webex アプリの設計において、データ セキュリティが主な焦点となっています。 このセキュリティはエンドツーエンドのコンテンツ暗号化を基礎とし、 Webexアプリ クライアントがキー管理サービス (KMS) とやり取りすることで実現しました。 KMS はメッセージとファイルを動的に暗号化し、解読するためにクライアントが使用する暗号キーの作成と管理の責任を負っています。

                                                                                                                                                  デフォルトでは、すべての Webex アプリの顧客は、Cisco のセキュリティ領域にあるクラウド KMS に保存されている動的キーを使用して、エンドツーエンドの暗号化を取得します。 ハイブリッド データ セキュリティは、KMS とその他のセキュリティ関連の機能をあなたのエンタープライズ データ センターに移動するため、誰でもなくあなたが暗号化コンテンツの鍵を持っています。

                                                                                                                                                  セキュリティRealmアーキテクチャ

                                                                                                                                                  Webex クラウド アーキテクチャは、以下に示すように、さまざまなタイプのサービスを別々の領域、または信頼ドメインに分離します。

                                                                                                                                                  分離の領域 (ハイブリッド データ セキュリティなし)

                                                                                                                                                  ハイブリッド データ セキュリティをさらに理解するには、まず、シスコがクラウド レルムですべての機能を提供しているこの純粋なクラウド ケースを見てみましょう。 メールアドレスなどの個人情報とユーザーが直接相関できる唯一の場所であるアイデンティティサービスは、データセンターBのセキュリティ領域と論理的かつ物理的に分離されています。

                                                                                                                                                  この図では、クライアントはユーザーのラップトップで実行されている Webex アプリであり、ID サービスで認証されています。 ユーザがスペースに送信するメッセージを作成すると、次の手順が実行されます。

                                                                                                                                                  1. クライアントは、キー管理サービス(KMS)とのセキュアな接続を確立し、メッセージを暗号化するためのキーを要求します。 安全な接続は ECDH を使用し、KMS は AES-256 マスター キーを使用してキーを暗号化します。

                                                                                                                                                  2. メッセージはクライアントを離れる前に暗号化されます。 クライアントはインデックスをインデックスサービスに送信します。これにより、暗号化された検索インデックスが作成され、今後のコンテンツの検索に役立ちます。

                                                                                                                                                  3. 暗号化されたメッセージは、コンプライアンス チェックのためにコンプライアンス サービスに送信されます。

                                                                                                                                                  4. 暗号化されたメッセージはストレージ領域に保存されます。

                                                                                                                                                  ハイブリッド データ セキュリティを展開すると、セキュリティ レルム機能 (KMS、インデックス、コンプライアンス) をオンプレミスのデータセンターに移動します。 Webex を構成する他のクラウド サービス (ID とコンテンツ ストレージを含む) は、シスコの領域に残ります。

                                                                                                                                                  他の組織との連携

                                                                                                                                                  組織内のユーザーは、Webex アプリを定期的に使用して、他の組織の外部参加者とコラボレーションできます。 ユーザーの 1 人が組織によって所有されているスペースのキーを要求すると(ユーザーの 1 人が作成したため)、KMS は ECDH 保護されたチャネルを介してキーをクライアントに送信します。 ただし、別の組織がスペースのキーを所有している場合、KMS は別の ECDH チャネルを介してリクエストを WEBEX クラウドにルーティングして、適切な KMS からキーを取得し、元のチャネルのユーザーにキーを返します。

                                                                                                                                                  組織 A で実行されている KMS サービスは、x.509 PKI 証明書を使用して他の組織の KMS への接続を検証します。 ハイブリッド データ セキュリティの展開で使用する x.509 証明書の生成の詳細については、「環境の準備」を参照してください。

                                                                                                                                                  ハイブリッド データ セキュリティの展開への期待

                                                                                                                                                  ハイブリッド データ セキュリティの展開には、重要な顧客のコミットメントと、暗号化キーの所有に伴うリスクの認識が必要です。

                                                                                                                                                  ハイブリッド データ セキュリティを展開するには、以下を提供する必要があります。

                                                                                                                                                  ハイブリッド データ セキュリティ用に構築する構成 ISO または提供されたデータベースのいずれかを完全に失うと、キーが失われます。 キー損失は、ユーザーが Webex アプリでスペース コンテンツやその他の暗号化されたデータを復号することを防ぎます。 この場合、新しい展開を構築できますが、新しいコンテンツのみが表示されます。 データへのアクセスの損失を避けるには、以下を行う必要があります。

                                                                                                                                                  • データベースのバックアップとリカバリ、および構成ISOを管理します。

                                                                                                                                                  • データベースのディスク障害やデータセンター障害などの大災害が発生した場合、迅速な災害復旧を実行する準備をしてください。


                                                                                                                                                   

                                                                                                                                                  HDS 導入後にキーをクラウドに戻すメカニズムはありません。

                                                                                                                                                  高レベルのセットアッププロセス

                                                                                                                                                  このドキュメントでは、ハイブリッド データ セキュリティ展開のセットアップと管理について説明します。

                                                                                                                                                  • ハイブリッド データ セキュリティのセットアップ—これには、必要なインフラストラクチャの準備とハイブリッド データ セキュリティ ソフトウェアのインストール、トライアル モードでのユーザーのサブセットを使用した展開のテスト、テストが完了すると本番環境に移行することが含まれます。 これにより、組織全体がセキュリティ機能にハイブリッド データ セキュリティ クラスタを使用できるようになります。

                                                                                                                                                    セットアップ、トライアル、および生産の各段階は、次の3つの章で詳しく説明されています。

                                                                                                                                                  • ハイブリッド データ セキュリティの展開を維持する—Webex クラウドは自動的に継続的なアップグレードを提供します。 IT 部門は、この展開に対してティア 1 のサポートを提供し、必要に応じてシスコのサポートを引き受けることができます。 画面上の通知を使用し、Control Hub でメールベースのアラートを設定できます。

                                                                                                                                                  • 一般的なアラート、トラブルシューティング手順、および既知の問題について理解する—ハイブリッド データ セキュリティの展開または使用で問題が発生した場合、このガイドの最後の章と既知の問題の付録は、問題を決定および修正するのに役立ちます。

                                                                                                                                                  ハイブリッド データ セキュリティ展開モデル

                                                                                                                                                  エンタープライズ データ センターでは、ハイブリッド データ セキュリティを個別の仮想ホスト上のノードの単一のクラスタとして展開します。 ノードは、セキュアなウェブソケットとセキュアな HTTP を通じて Webex クラウドと通信します。

                                                                                                                                                  インストールプロセス中に、提供するVM上の仮想アプライアンスを設定するためのOVAファイルを提供します。 HDS セットアップ ツールを使用して、各ノードにマウントするカスタム クラスタ構成 ISO ファイルを作成します。 ハイブリッド データ セキュリティ クラスタは、提供された Syslogd サーバーと PostgreSQL または Microsoft SQL Server データベースを使用します。 (HDS セットアップツールで Syslogd とデータベース接続の詳細を設定します。)

                                                                                                                                                  ハイブリッド データ セキュリティ展開モデル

                                                                                                                                                  クラスタに持つことができるノードの最小数は 2 です。 私たちは少なくとも3つをお勧めします、そしてあなたは最大5つを持つことができます。 複数のノードを持つことにより、ノードのソフトウェアアップグレードやその他のメンテナンス作業中にサービスが中断されないようにします。(Webex クラウドは一度に 1 つのノードのみをアップグレードします。)

                                                                                                                                                  クラスタ内のすべてのノードが同じキーデータストアにアクセスし、同じ syslog サーバにアクティビティをログします。 ノード自体はステートレスであり、クラウドの指示に従って、ラウンドロビン方式で重要な要求を処理します。

                                                                                                                                                  ノードは、Control Hub に登録するとアクティブになります。 個々のノードをサービスから削除するには、登録を解除し、必要に応じて後で再登録できます。

                                                                                                                                                  組織ごとに 1 つのクラスタのみをサポートします。

                                                                                                                                                  ハイブリッド データ セキュリティ トライアル モード

                                                                                                                                                  ハイブリッド データ セキュリティの展開をセットアップした後、最初にパイロット ユーザーのセットで試してください。 トライアル期間中、これらのユーザーは暗号化キーやその他のセキュリティ領域サービスにオンプレミスのハイブリッド データ セキュリティ ドメインを使用します。 他のユーザーは引き続きクラウド セキュリティ レルムを使用します。

                                                                                                                                                  トライアル中に展開を続行せず、サービスを無効にすると、パイロットユーザーとトライアル期間中に新しいスペースを作成して対話したユーザーは、メッセージとコンテンツへのアクセス権を失います。 Webex アプリに「このメッセージは復号化できません」と表示されます。

                                                                                                                                                  導入がトライアル ユーザーに対してうまく機能しており、ハイブリッド データ セキュリティをすべてのユーザーに拡張する準備ができている場合は、導入を本番環境に移行します。 パイロットのユーザーは、トライアル中に使用されたキーにアクセスできます。 ただし、プロダクションモードと元のトライアルを行ったり来たりすることはできません。 ディザスタ リカバリを実行するなど、サービスを非アクティブ化する必要がある場合は、再アクティブ化時に新しいトライアルを開始し、新しいトライアルのパイロット ユーザーのセットを設定してから、プロダクション モードに戻す必要があります。 ユーザがこの時点でデータへのアクセスを保持するかどうかは、クラスタ内のハイブリッド データ セキュリティ ノードのキー データ ストアと ISO 構成ファイルのバックアップを正常に維持したかどうかに依存します。

                                                                                                                                                  災害復旧のためのスタンバイデータセンター

                                                                                                                                                  展開中に、セキュアなスタンバイデータセンターを設定します。 データセンターに障害が発生した場合、スタンバイデータセンターへの展開を手動で失敗させることができます。

                                                                                                                                                  Before failover, Data Center A has active HDS nodes and the primary PostgreSQL or Microsoft SQL Server database, while B has a copy of the ISO file with additional configurations, VMs that are registered to the organization, and a standby database. After failover, Data Center B has active HDS nodes and the primary database, while A has unregistered VMs and a copy of the ISO file, and the database is in standby mode.
                                                                                                                                                  スタンバイデータセンターへの手動フェールオーバー

                                                                                                                                                  アクティブ データ センターとスタンバイ データ センターのデータベースが相互に同期されているため、フェールオーバーを実行するのにかかる時間が最小限に抑えられます。 スタンバイデータセンターの ISO ファイルは、ノードが組織に登録されていることを確認する追加の構成で更新されますが、トラフィックは処理されません。 したがって、スタンバイデータセンターのノードは、常に最新バージョンのHDSソフトウェアで最新の状態に保たれます。


                                                                                                                                                   

                                                                                                                                                  アクティブなハイブリッド データ セキュリティ ノードは、常にアクティブなデータベース サーバと同じデータセンターにある必要があります。

                                                                                                                                                  災害復旧のためのスタンバイデータセンターを設定

                                                                                                                                                  スタンバイデータセンターの ISO ファイルを設定するには、以下の手順に従います。

                                                                                                                                                  始める前に

                                                                                                                                                  • スタンバイデータセンターは、VMとバックアップPostgreSQLまたはMicrosoft SQL Serverデータベースの生産環境をミラーリングする必要があります。 たとえば、本番環境に HDS ノードを実行する 3 台の仮想マシンがある場合、バックアップ環境には 3 台の仮想マシンが必要です (このフェールオーバーモデルの概要については、「Standby Data Center for Disaster Recovery」を参照してください)。

                                                                                                                                                  • アクティブクラスタノードとパッシブクラスタノードのデータベース間でデータベース同期が有効になっていることを確認します。

                                                                                                                                                  1

                                                                                                                                                  HDS Setupツールを起動し、「HDSホストの設定ISOを作成する」の手順に従います。


                                                                                                                                                   

                                                                                                                                                  ISO ファイルは、次の構成更新を行うプライマリデータセンターの原本 ISO ファイルのコピーである必要があります。

                                                                                                                                                  2

                                                                                                                                                  Syslogdサーバーを構成した後、[詳細設定]をクリックします。

                                                                                                                                                  3

                                                                                                                                                  [詳細設定]ページで、以下の設定を追加して、ノードをパッシブモードにします。 このモードでは、ノードは組織に登録され、クラウドに接続されますが、トラフィックは処理されません。

                                                                                                                                                  
                                                                                                                                                  passiveMode: 'true'
                                                                                                                                                  
                                                                                                                                                  4

                                                                                                                                                  構成プロセスを完了し、見つけやすい場所にISOファイルを保存します。

                                                                                                                                                  5

                                                                                                                                                  ローカルシステム上のISOファイルのバックアップコピーを作成します。 バックアップコピーを安全に保管してください。 このファイルには、データベースコンテンツのマスター暗号化キーが含まれています。 構成を変更する必要があるハイブリッド データ セキュリティ管理者のみへのアクセスを制限します。

                                                                                                                                                  6

                                                                                                                                                  VMware vSphere クライアントの左側のナビゲーションペインで、仮想マシンを右クリックし、[設定の編集] をクリックします。

                                                                                                                                                  7

                                                                                                                                                  [設定の編集]>[CD/DVDドライブ1]をクリックし、[データストアISOファイル]を選択します。


                                                                                                                                                   

                                                                                                                                                  ノードを開始した後で、更新された設定変更を有効にするために、「接続」および「電源投入時に接続」がオンになっていることを確認します。

                                                                                                                                                  8

                                                                                                                                                  HDS ノードの電源を入れ、少なくとも 15 分間アラームがないことを確認します。

                                                                                                                                                  9

                                                                                                                                                  スタンバイデータセンター内のすべてのノードに対してプロセスを繰り返します。


                                                                                                                                                   

                                                                                                                                                  Syslogs をチェックして、ノードがパッシブモードになっていることを確認します。 Syslogsで「パッシブモードで設定されたKMS」というメッセージを表示できるはずです。

                                                                                                                                                  次に行うこと

                                                                                                                                                  設定後 passiveMode ISOファイルに保存すると、ISOファイルの別のコピーを作成できます。 passiveMode 設定し、安全な場所に保存します。 このISOファイルのコピー passiveMode 設定すると、ディザスタ リカバリ中の迅速なフェールオーバー プロセスに役立ちます。 詳細なフェールオーバー手順については、「 スタンバイデータセンターを使用したディザスタ リカバリ」を参照してください。

                                                                                                                                                  プロキシサポート

                                                                                                                                                  ハイブリッド データ セキュリティは、明示的な透過的な検査および非検査プロキシをサポートします。 これらのプロキシを展開に関連付けることができます。これにより、エンタープライズからクラウドに送信されるトラフィックをセキュリティ保護し、監視することができます。 証明書の管理のノードでプラットフォーム管理インターフェイスを使用して、ノードでプロキシを設定した後で、全体的な接続ステータスを確認することができます。

                                                                                                                                                  ハイブリッド データ セキュリティ ノードは、以下のプロキシ オプションをサポートしています。

                                                                                                                                                  • プロキシなし—プロキシを統合するために、HDS ノード セットアップの信頼ストアとプロキシ設定を使用しない場合は、デフォルトになります。 証明書の更新は必要ありません。

                                                                                                                                                  • 透過型の検査なしのプロキシ—ノードは特定のプロキシ サーバー アドレスを使用するように設定されていないため、検査なしのプロキシで動作するように変更を加える必要はありません。 証明書の更新は必要ありません。

                                                                                                                                                  • 透過トンネリングまたは検査プロキシ—ノードは特定のプロキシ サーバー アドレスを使用するように設定されていません。 ノードでは、HTTP または HTTPS の設定変更は必要ありません。 ただし、ノードはプロキシを信頼するためにルート証明書を必要とします。 プロキシを検査することで、Web サイトにアクセスするか、どのタイプのコンテンツを使用するかを強制するポリシーを施行することができます。 このタイプのプロキシは、すべてのトラフィック (HTTPS さえも含む) を復号化します。

                                                                                                                                                  • 明示的プロキシ—明示的なプロキシを使用して、使用するプロキシ サーバーと認証スキームを指定します。 明示的なプロキシを設定するには、各ノードに次の情報を入力する必要があります。

                                                                                                                                                    1. プロキシ IP/FQDN—プロキシ マシンに到達するために使用できるアドレス。

                                                                                                                                                    2. プロキシ ポート-プロキシがプロキシ トラフィックをリスンするために使用するポート番号。

                                                                                                                                                    3. プロキシ プロトコル-プロキシ サーバーがサポートするものに応じて、次のいずれかのプロトコルを選択します。

                                                                                                                                                      • HTTP—クライアントが送信するすべての要求を表示し、コントロールします。

                                                                                                                                                      • HTTPS—サーバーにチャネルを提供します。 クライアントがサーバーの証明書を受け取り、検証します。

                                                                                                                                                    4. 認証タイプ-次の認証タイプから選択します。

                                                                                                                                                      • なし—追加の認証は必要ありません。

                                                                                                                                                        プロキシ プロトコルとして HTTP または HTTPS のいずれかを選択した場合に利用できます。

                                                                                                                                                      • ベーシック—HTTP ユーザー エージェントがリクエストを行う際にユーザー名とパスワードを指定するために使用されます。 Base64 エンコードを使用します。

                                                                                                                                                        プロキシ プロトコルとして HTTP または HTTPS のいずれかを選択した場合に利用できます。

                                                                                                                                                        各ノードにユーザー名とパスワードを入力する必要があります。

                                                                                                                                                      • ダイジェスト—機密情報を送信する前にアカウントを確認するために使用されます。 ネットワークを経由して送信する前に、ユーザー名およびパスワードにハッシュ機能を適用します。

                                                                                                                                                        プロキシ プロトコルとして HTTPS を選択した場合にのみ利用できます。

                                                                                                                                                        各ノードにユーザー名とパスワードを入力する必要があります。

                                                                                                                                                  ハイブリッド データ セキュリティ ノードとプロキシの例

                                                                                                                                                  この図は、ハイブリッド データ セキュリティ、ネットワーク、およびプロキシ間の接続例を示しています。 透過的な検査および HTTPS 明示的な検査プロキシ オプションの場合、同じルート証明書がプロキシとハイブリッド データ セキュリティ ノードにインストールされている必要があります。

                                                                                                                                                  外部 DNS 解決ブロックモード (明示的プロキシ構成)

                                                                                                                                                  ノードを登録するか、またはノードのプロキシ構成を確認するとき、プロセスは DNS 検索と Cisco Webex クラウドへの接続をテストします。 内部クライアントのための外部 DNS 解決が許可されていない、明示的なプロキシ構成の展開では、ノードが DNS サーバーに問い合わせができない場合、自動的に外部 DNS 解決ブロックモードに切り替わります。 このモードでは、ノード登録および他のプロキシ接続テストを続行することができます。

                                                                                                                                                  環境の準備

                                                                                                                                                  ハイブリッド データ セキュリティの要件

                                                                                                                                                  Cisco Webex ライセンス要件

                                                                                                                                                  ハイブリッド データ セキュリティを展開するには:

                                                                                                                                                  Docker デスクトップの要件

                                                                                                                                                  HDS ノードをインストールする前に、セットアッププログラムを実行するには Docker Desktop が必要です。 Dockerは最近、ライセンスモデルを更新しました。 あなたの組織は、Docker デスクトップの有料サブスクリプションを必要としている場合があります。 詳細については、Docker ブログ投稿次を参照してください。 Docker は製品のサブスクリプションを更新し、延長しています」に置き換えることで、URL が有効かどうかを検証できます。

                                                                                                                                                  X.509 証明書の要件

                                                                                                                                                  証明書チェーンは、次の要件を満たしている必要があります。

                                                                                                                                                  表 1. ハイブリッド データ セキュリティ展開の X.509 証明書要件

                                                                                                                                                  要件

                                                                                                                                                  の詳細

                                                                                                                                                  • 信頼できる認証局 (CA) によって署名された

                                                                                                                                                  デフォルトでは、https://wiki.mozilla.org/CA:IncludedCAsでMozillaリスト(WoSignとStartComを除く)のCAを信頼しています。

                                                                                                                                                  • ハイブリッド データ セキュリティの展開を識別する共通名 (CN) ドメイン名を持つ

                                                                                                                                                  • ワイルドカード証明書ではありません

                                                                                                                                                  CN に到達可能またはライブホストである必要はありません。 組織を反映する名前を使用することを推奨します。たとえば、 hds.company.com です。

                                                                                                                                                  CN に * (ワイルドカード) を含めることはできません。

                                                                                                                                                  CN は、Webex アプリ クライアントへのハイブリッド データ セキュリティ ノードを確認するために使用されます。 クラスタ内のすべてのハイブリッド データ セキュリティ ノードが同じ証明書を使用します。 KMS は、x.509v3 SAN フィールドで定義されているドメインではなく、CN ドメインを使用して自身を識別します。

                                                                                                                                                  この証明書でノードを登録すると、CN ドメイン名の変更はサポートされません。 トライアル展開と本番展開の両方に適用できるドメインを選択します。

                                                                                                                                                  • 非SHA1署名

                                                                                                                                                  KMS ソフトウェアは、他の組織の KMS への接続を検証するための SHA1 署名をサポートしていません。

                                                                                                                                                  • パスワードで保護されたPKCS #12ファイルとしてフォーマット

                                                                                                                                                  • 親しみやすい名前を使用する kms-private-key 証明書、秘密キー、およびアップロードする中間証明書をタグ付けします。

                                                                                                                                                  OpenSSL などのコンバータを使用して、証明書の形式を変更できます。

                                                                                                                                                  HDSセットアップツールを実行するときは、パスワードを入力する必要があります。

                                                                                                                                                  KMS ソフトウェアは、キーの使用や拡張キーの使用制限を強制しません。 一部の証明機関では、サーバ認証など、各証明書に拡張されたキーの使用制限を適用する必要があります。 サーバー認証やその他の設定を使用してもかまいません。

                                                                                                                                                  仮想ホストの要件

                                                                                                                                                  クラスタ内のハイブリッド データ セキュリティ ノードとして設定する仮想ホストには、次の要件があります。

                                                                                                                                                  • 同じセキュア データ センターでコロケーションされた少なくとも 2 つの別のホスト (3 つの推奨)

                                                                                                                                                  • VMware ESXi 6.5 (またはそれ以降) がインストールされ、実行されています。


                                                                                                                                                     

                                                                                                                                                    以前のバージョンの ESXi がある場合は、アップグレードする必要があります。

                                                                                                                                                  • 最低4vCPU、8GBメインメモリ、サーバーあたり30GBのローカルハードディスク容量

                                                                                                                                                  データベースサーバーの要件


                                                                                                                                                   

                                                                                                                                                  キーストレージ用の新しいデータベースを作成します。 デフォルトのデータベースを使用しないでください。 HDS アプリケーションをインストールすると、データベース スキーマが作成されます。

                                                                                                                                                  データベースサーバーには2つのオプションがあります。 各要件は以下のとおりです。

                                                                                                                                                  表 2. データベースの種類別のデータベースサーバー要件

                                                                                                                                                  PostgreSQLについて

                                                                                                                                                  Microsoft SQL Server(マイクロソフト SQL サーバー)

                                                                                                                                                  • PostgreSQL 14、15、または 16 がインストールされ、実行されています。

                                                                                                                                                  • SQL Server 2016、2017、または 2019(Enterprise または Standard)がインストールされています。


                                                                                                                                                     

                                                                                                                                                    SQL Server 2016 では、Service Pack 2 および Cumulative Update 2 以降が必要です。

                                                                                                                                                  最小8 vCPU、16 GBのメインメモリ、十分なハードディスク容量、およびそれを超えないようにするための監視(ストレージを増やす必要なく、データベースを長時間実行する場合は2 TBを推奨)

                                                                                                                                                  最小8 vCPU、16 GBのメインメモリ、十分なハードディスク容量、およびそれを超えないようにするための監視(ストレージを増やす必要なく、データベースを長時間実行する場合は2 TBを推奨)

                                                                                                                                                  HDS ソフトウェアは現在、データベース サーバとの通信用に次のドライバ バージョンをインストールしています。

                                                                                                                                                  PostgreSQLについて

                                                                                                                                                  Microsoft SQL Server(マイクロソフト SQL サーバー)

                                                                                                                                                  Postgres JDBCドライバ 42.2.5

                                                                                                                                                  SQL Server JDBC ドライバ 4.6

                                                                                                                                                  このドライババージョンは、SQL Server Always On(Always On Failover Cluster InstancesおよびAlways On availability groups)をサポートしています。

                                                                                                                                                  Microsoft SQL Server に対する Windows 認証の追加要件

                                                                                                                                                  HDS ノードが Windows 認証を使用して Microsoft SQL Server のキーストア データベースにアクセスできるようにするには、環境内で次の設定が必要です。

                                                                                                                                                  • HDS ノード、Active Directory インフラストラクチャ、MS SQL Server はすべて NTP と同期する必要があります。

                                                                                                                                                  • HDS ノードに提供する Windows アカウントは、データベースへの読み取り/書き込みアクセス権を持っている必要があります。

                                                                                                                                                  • HDS ノードに提供する DNS サーバは、キー配布センター (KDC) を解決できる必要があります。

                                                                                                                                                  • Microsoft SQL Server に HDS データベース インスタンスをサービス プリンシパル名 (SPN) として Active Directory に登録できます。 詳細は、Kerberos Connections のサービス プリンシパル名を登録するを参照してください。

                                                                                                                                                    HDS セットアップツール、HDS ランチャー、およびローカル KMS はすべて、キーストアデータベースにアクセスするために Windows 認証を使用する必要があります。 Kerberos 認証でアクセスを要求するときに、ISO 設定の詳細を使用して SPN を構築します。

                                                                                                                                                  外部接続の要件

                                                                                                                                                  HDS アプリケーションに次の接続を許可するようにファイアウォールを設定します。

                                                                                                                                                  アプリケーション

                                                                                                                                                  プロトコル

                                                                                                                                                  ポート

                                                                                                                                                  アプリからの方向

                                                                                                                                                  移動先

                                                                                                                                                  ハイブリッド データ セキュリティ ノード

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  アウトバウンド HTTPS および WSS

                                                                                                                                                  HDS 設定ツール

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  アウトバウンド HTTPS

                                                                                                                                                  • *.wbx2.com

                                                                                                                                                  • すべての Common Identity ホスト

                                                                                                                                                  • ハブ.docker.com


                                                                                                                                                   

                                                                                                                                                  ハイブリッド データ セキュリティ ノードは、ネットワークアクセス変換(NAT)またはファイアウォールの後ろで動作します。ただし、NAT またはファイアウォールが前の表のドメイン宛先への必要な発信接続を許可している場合に限ります。 ハイブリッド データ セキュリティ ノードにインバウンドする接続の場合、インターネットからポートを表示することはできません。 データセンター内では、管理目的で、クライアントは TCP ポート 443 および 22 のハイブリッド データ セキュリティ ノードにアクセスする必要があります。

                                                                                                                                                  Common Identity (CI) ホストの URL は地域固有です。 これらは現在の CI ホストです。

                                                                                                                                                  地域

                                                                                                                                                  共通 ID ホスト URL

                                                                                                                                                  Americas (北米、中南米エリア)

                                                                                                                                                  • https://idbroker.webex.com

                                                                                                                                                  • https://identity.webex.com

                                                                                                                                                  • https://idbroker-b-us.webex.com

                                                                                                                                                  • https://identity-b-us.webex.com

                                                                                                                                                  欧州連合

                                                                                                                                                  • https://idbroker-eu.webex.com

                                                                                                                                                  • https://identity-eu.webex.com

                                                                                                                                                  カナダ

                                                                                                                                                  • https://idbroker-ca.webex.com

                                                                                                                                                  • https://identity-ca.webex.com

                                                                                                                                                  プロキシ サーバーの要件

                                                                                                                                                  • お使いのハイブリッド データ セキュリティ ノードと統合できる次のプロキシ ソリューションを正式にサポートしています。

                                                                                                                                                    • 透過的プロキシ—Cisco Web Security Appliance (WSA)。

                                                                                                                                                    • 明示的プロキシ—Squid。


                                                                                                                                                       

                                                                                                                                                      HTTPS トラフィックを検査する Squid プロキシは、websocket (wss:) 接続の確立に干渉することができます。 接続の確立に干渉することができます。 この問題を回避するには、「ハイブリッド データ セキュリティ用の Squid プロキシの設定」を参照してください。

                                                                                                                                                  • 明示的プロキシに対して次の認証タイプの組み合わせがサポートされています。

                                                                                                                                                    • HTTP または HTTPS による認証がありません

                                                                                                                                                    • HTTP または HTTPS による基本認証

                                                                                                                                                    • HTTPS のみによるダイジェスト認証

                                                                                                                                                  • 透過的検査プロキシまたは HTTPS 明示的プロキシについては、プロキシのルート証明書のコピーが必要です。 このガイドに記載されている展開手順は、ハイブリッド データ セキュリティ ノードの信頼ストアにコピーをアップロードする方法を説明しています。

                                                                                                                                                  • HDS ノードをホストするネットワークは、ポート 443 のアウトバウンド TCP トラフィックを強制的にプロキシ経由でルーティングするように設定されている必要があります。

                                                                                                                                                  • Web トラフィックを検査するプロキシは、Web ソケット接続に干渉する場合があります。 この問題が発生した場合、トラフィックをバイパス(検査しない)して wbx2.com および ciscospark.com 問題を解決します。

                                                                                                                                                  ハイブリッド データ セキュリティの前提条件を完了する

                                                                                                                                                  このチェックリストを使用して、ハイブリッド データ セキュリティ クラスタをインストールして設定する準備ができていることを確認します。
                                                                                                                                                  1

                                                                                                                                                  Webex 組織が Pro Pack for Cisco Webex Control Hub に対して有効になっていることを確認し、完全な組織管理者権限を持つアカウントの資格情報を取得します。 このプロセスについては、Cisco パートナーまたはアカウント マネージャーにお問い合わせください。

                                                                                                                                                  2

                                                                                                                                                  HDS 展開のドメイン名を選択します (たとえば、 hds.company.com) および X.509 証明書、秘密キー、および中間証明書を含む証明書チェーンを取得します。 証明書チェーンは、 X.509 証明書の要件の要件を満たす必要があります。

                                                                                                                                                  3

                                                                                                                                                  クラスタ内のハイブリッド データ セキュリティ ノードとして設定する同一の仮想ホストを準備します。 仮想ホスト要件の要件を満たす同じセキュアデータセンターにコロケーションされた少なくとも2つの個別のホスト(3つの推奨)が必要です。

                                                                                                                                                  4

                                                                                                                                                  データベースサーバーの要件に従って、クラスタのキーデータストアとして機能するデータベースサーバーを準備します。 データベースサーバーは、仮想ホストと安全なデータセンターでコロケーションする必要があります。

                                                                                                                                                  1. キーストレージ用のデータベースを作成します。 (このデータベースを作成する必要があります。デフォルトのデータベースを使用しないでください。 HDS アプリケーションをインストールすると、データベース スキーマが作成されます。

                                                                                                                                                  2. ノードがデータベース サーバと通信するために使用する詳細を収集します。

                                                                                                                                                    • ホスト名または IP アドレス (ホスト) とポート

                                                                                                                                                    • キーストレージのデータベース名(dbname)

                                                                                                                                                    • キーストレージデータベース上のすべての権限を持つユーザーのユーザー名とパスワード

                                                                                                                                                  5

                                                                                                                                                  迅速な災害復旧のために、別のデータセンターにバックアップ環境を設定します。 バックアップ環境は、VMとバックアップデータベースサーバの生成環境をミラーリングします。 たとえば、本番環境に HDS ノードを実行する 3 つの仮想マシンがある場合、バックアップ環境には 3 つの VM が必要です。

                                                                                                                                                  6

                                                                                                                                                  syslog ホストをセットアップして、クラスタ内のノードからログを収集します。 ネットワーク アドレスと syslog ポートを収集します(デフォルトは UDP 514)。

                                                                                                                                                  7

                                                                                                                                                  ハイブリッド データ セキュリティ ノード、データベース サーバ、および syslog ホスト用のセキュア バックアップ ポリシーを作成します。 少なくとも、回復不能なデータの損失を防ぐには、ハイブリッド データ セキュリティ ノード用に生成されたデータベースと構成 ISO ファイルをバックアップする必要があります。


                                                                                                                                                   

                                                                                                                                                  ハイブリッド データ セキュリティ ノードは、コンテンツの暗号化と復号化に使用されるキーを保存するため、運用展開を維持しないと、そのコンテンツが回復不能な損失を被ることになります。

                                                                                                                                                  Webex アプリ クライアントはキーをキャッシュするため、停止がすぐに目立つことはありませんが、時間の経過とともに明らかになります。 一時的な停止を防ぐことは不可能ですが、それらは回復可能です。 ただし、データベースまたは構成のISOファイルの完全な損失(利用可能なバックアップはありません)は、回復不能な顧客データになります。 ハイブリッド データ セキュリティ ノードのオペレータは、データベースと構成 ISO ファイルの頻繁なバックアップを維持し、壊滅的な障害が発生した場合にハイブリッド データ セキュリティ データ センターを再構築する準備をする必要があります。

                                                                                                                                                  8

                                                                                                                                                  ファイアウォール構成により、外部接続要件で説明されているように、ハイブリッド データ セキュリティ ノードの接続が許可されていることを確認してください。

                                                                                                                                                  9

                                                                                                                                                  サポートされているOS(Microsoft Windows 10 ProfessionalまたはEnterprise 64ビット、またはMac OSX Yosemite 10.10.3以降)を実行しているローカルマシンにDocker(https://www.docker.com)をインストールし、次の場所からアクセスできます。 http://127.0.0.1:8080.

                                                                                                                                                  Docker インスタンスを使用して、すべてのハイブリッド データ セキュリティ ノードのローカル設定情報を構築する HDS セットアップ ツールをダウンロードして実行します。 組織には Docker Desktop ライセンスが必要になる場合があります。 詳細については、「Docker デスクトップの要件」を参照してください。

                                                                                                                                                  HDSセットアップツールをインストールして実行するには、ローカルマシンに外部接続要件に記載されている接続性が必要です。

                                                                                                                                                  10

                                                                                                                                                  プロキシとハイブリッド データ セキュリティを統合する場合は、プロキシ サーバーの要件を満たしていることを確認してください。

                                                                                                                                                  11

                                                                                                                                                  組織でディレクトリ同期を使用している場合は、Active Directory でグループを作成します。 HdsTrialGroup 、およびパイロットユーザーを追加します。 トライアル グループには最大 250 人のユーザーが参加できます。 この HdsTrialGroup 組織のトライアルを開始する前に、オブジェクトをクラウドに同期する必要があります。 グループオブジェクトを同期するには、Directory Connectorの [構成] > [オブジェクトの選択] メニュー。(詳細については、『Cisco Directory Connector展開ガイド』を参照してください。)


                                                                                                                                                   

                                                                                                                                                  特定のスペースのキーは、スペースの作成者によって設定されます。 パイロット ユーザーを選択する場合、ハイブリッド データ セキュリティの展開を永久に無効にすると、すべてのユーザーがパイロット ユーザーによって作成されたスペースのコンテンツにアクセスできなくなることに注意してください。 ユーザーのアプリがキャッシュされたコンテンツのコピーを更新するとすぐに、損失が明らかになります。

                                                                                                                                                  ハイブリッド データ セキュリティ クラスタのセットアップ

                                                                                                                                                  ハイブリッド データ セキュリティ展開タスク フロー

                                                                                                                                                  始める前に

                                                                                                                                                  環境の準備

                                                                                                                                                  1

                                                                                                                                                  インストールファイルのダウンロード

                                                                                                                                                  後で使用するために、OVA ファイルをローカル マシンにダウンロードします。

                                                                                                                                                  2

                                                                                                                                                  HDS ホストの設定 ISO を作成する

                                                                                                                                                  HDS セットアップ ツールを使用して、ハイブリッド データ セキュリティ ノードの ISO 設定ファイルを作成します。

                                                                                                                                                  3

                                                                                                                                                  HDS ホスト OVA のインストール

                                                                                                                                                  OVA ファイルから仮想マシンを作成し、ネットワーク設定などの初期設定を実行します。


                                                                                                                                                   

                                                                                                                                                  OVA 展開中にネットワーク設定を設定するオプションは、ESXi 6.5 でテストされています。 このオプションは、以前のバージョンでは使用できない場合があります。

                                                                                                                                                  4

                                                                                                                                                  ハイブリッド データ セキュリティ VM のセットアップ

                                                                                                                                                  VM コンソールにサインインし、サインイン資格情報を設定します。 OVA 展開時にノードを設定しなかった場合は、ノードのネットワーク設定を構成します。

                                                                                                                                                  5

                                                                                                                                                  HDS 設定 ISO のアップロードとマウント

                                                                                                                                                  HDS セットアップ ツールを使用して作成した ISO 設定ファイルから VM を設定します。

                                                                                                                                                  6

                                                                                                                                                  プロキシ統合のために HDS ノードを設定する

                                                                                                                                                  ネットワーク環境にプロキシ設定が必要な場合は、ノードに使用するプロキシのタイプを指定し、必要に応じてプロキシ証明書を信頼ストアに追加します。

                                                                                                                                                  7

                                                                                                                                                  クラスタ内の最初のノードを登録する

                                                                                                                                                  ハイブリッド データ セキュリティ ノードとして Cisco Webex クラウドに仮想マシンを登録します。

                                                                                                                                                  8

                                                                                                                                                  より多くのノードを作成して登録する

                                                                                                                                                  クラスタの設定を完了します。

                                                                                                                                                  9

                                                                                                                                                  トライアルを実行して本番環境に移動 (次の章)

                                                                                                                                                  トライアルを開始するまで、ノードはサービスがまだアクティブ化されていないことを示すアラームを生成します。

                                                                                                                                                  インストールファイルのダウンロード

                                                                                                                                                  このタスクでは、OVA ファイルをマシンにダウンロードします (ハイブリッド データ セキュリティ ノードとして設定したサーバにはダウンロードしません)。 このファイルは後でインストールプロセスで使用します。
                                                                                                                                                  1

                                                                                                                                                  https://admin.webex.comにサインインし、「サービス」をクリックします。

                                                                                                                                                  2

                                                                                                                                                  [ハイブリッド サービス] セクションで、ハイブリッド データ セキュリティ カードを見つけて、[セットアップ] をクリックします。

                                                                                                                                                  カードが無効になっているか、表示されない場合は、アカウントチームまたはパートナー組織に連絡してください。 アカウント番号を入力し、組織でハイブリッド データ セキュリティを有効にするように依頼します。 アカウント番号を見つけるには、組織名の横にある右上の歯車をクリックします。


                                                                                                                                                   

                                                                                                                                                  OVAは、[設定]ページの[ヘルプ]セクションからいつでもダウンロードできます。 ハイブリッド データ セキュリティ カードで、[設定の編集] をクリックしてページを開きます。 次に、[ヘルプ]セクションで[ハイブリッド データ セキュリティ ソフトウェアをダウンロード]をクリックします。


                                                                                                                                                   

                                                                                                                                                  古いバージョンのソフトウェアパッケージ (OVA) は、最新のハイブリッド データ セキュリティ アップグレードと互換性がありません。 これにより、アプリケーションのアップグレード中に問題が発生する可能性があります。 OVA ファイルの最新バージョンをダウンロードしてください。

                                                                                                                                                  3

                                                                                                                                                  ノードがまだセットアップされていないことを示すにはいいえを選択し、「次へ」をクリックします。

                                                                                                                                                  OVAファイルは自動的にダウンロードを開始します。 ファイルをマシン上の場所に保存します。
                                                                                                                                                  4

                                                                                                                                                  必要に応じて、[導入ガイドを開く]をクリックして、このガイドの後半バージョンが利用可能かどうかを確認します。

                                                                                                                                                  HDS ホストの設定 ISO を作成する

                                                                                                                                                  ハイブリッド データ セキュリティのセットアップ プロセスは、ISO ファイルを作成します。 その後、ISO を使用してハイブリッド データ セキュリティ ホストを設定します。

                                                                                                                                                  始める前に

                                                                                                                                                  • HDS セットアップ ツールをローカル マシンの Docker コンテナとして実行します。 アクセスするには、そのマシンで Docker を実行します。 セットアップ プロセスでは、組織に対するフル管理者権限を持つ Control Hub アカウントの資格情報が必要です。

                                                                                                                                                    HDS Setup ツールが環境内のプロキシの後ろで実行されている場合は、手順 5 で Docker コンテナを起動するときに、Docker 環境変数を使用してプロキシ設定(サーバ、ポート、クレデンシャル)を提供します。 この表ではいくつかの可能な環境変数を示します。

                                                                                                                                                    説明

                                                                                                                                                    変数

                                                                                                                                                    認証なしの HTTP プロキシ

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    認証なしの HTTPS プロキシ

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    認証ありの HTTP プロキシ

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                    認証ありの HTTPS プロキシ

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                  • 生成する構成 ISO ファイルには、PostgreSQL または Microsoft SQL Server データベースを暗号化するマスター キーが含まれています。 次のように、設定を変更するたびに、このファイルの最新のコピーが必要です。

                                                                                                                                                    • データベースの資格情報

                                                                                                                                                    • 証明書の更新

                                                                                                                                                    • 承認ポリシーの変更

                                                                                                                                                  • データベース接続を暗号化する場合は、TLS 用の PostgreSQL または SQL Server 展開をセットアップします。

                                                                                                                                                  1

                                                                                                                                                  マシンのコマンド ラインで、お使い環境に適切なコマンドを入力します。

                                                                                                                                                  一般環境:

                                                                                                                                                  docker rmi ciscocitg/hds-setup:stable

                                                                                                                                                  FedRAMP 環境の場合:

                                                                                                                                                  docker rmi ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                   

                                                                                                                                                  このステップを実行すると、前の HDS セットアップ ツールの画像がクリーンアップされます。 これ以前の画像がない場合は、無視できるエラーを返します。

                                                                                                                                                  2

                                                                                                                                                  Docker 画像レジストリにサインインするには、以下を入力します。

                                                                                                                                                  docker login -u hdscustomersro
                                                                                                                                                  3

                                                                                                                                                  パスワードのプロンプトに対して、このハッシュを入力します。

                                                                                                                                                  dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
                                                                                                                                                  4

                                                                                                                                                  お使い環境に合った最新の安定した画像をダウンロードします。

                                                                                                                                                  一般環境:

                                                                                                                                                  docker pull ciscocitg/hds-setup:stable

                                                                                                                                                  FedRAMP 環境の場合:

                                                                                                                                                  docker pull ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  5

                                                                                                                                                  プルが完了したら、お使いの環境に適切なコマンドを入力します。

                                                                                                                                                  • プロキシなしの通常の環境の場合:

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
                                                                                                                                                  • HTTP プロキシがある通常の環境の場合、

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • HTTPS プロキシがある通常の環境の場合:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • プロキシなしの FedRAMP 環境の場合:

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • HTTP プロキシがある FedRAMP 環境の場合:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • HTTPS プロキシがある FedRAMP 環境の場合:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                  コンテナが実行中の時。「ポート 8080 で Express サーバー リスニング中」と表示されます。

                                                                                                                                                  6

                                                                                                                                                   

                                                                                                                                                  Setup ツールは、http://localhost:8080 を介した localhost への接続をサポートしていません。 http://127.0.0.1:8080を使用してlocalhostに接続します。

                                                                                                                                                  Web ブラウザを使用して localhost に移動し、 http://127.0.0.1:8080 、プロンプトで Control Hub の顧客管理者ユーザー名を入力します。

                                                                                                                                                  このツールは、ユーザー名の最初のエントリを使用して、そのアカウントの適切な環境を設定します。 このツールには、標準のサインインプロンプトが表示されます。

                                                                                                                                                  7

                                                                                                                                                  プロンプトが表示されたら、Control Hub の顧客管理者のサインイン資格情報を入力し、[ログイン] をクリックして、ハイブリッド データ セキュリティに必要なサービスへのアクセスを許可します。

                                                                                                                                                  8

                                                                                                                                                  [セットアップツールの概要] ページで、[はじめに] をクリックします。

                                                                                                                                                  9

                                                                                                                                                  [ISOインポート]ページには、次のオプションがあります。

                                                                                                                                                  • いいえ—最初の HDS ノードを作成する場合、アップロードする ISO ファイルがありません。
                                                                                                                                                  • はい—HDS ノードをすでに作成している場合は、ブラウズで ISO ファイルを選択してアップロードします。
                                                                                                                                                  10

                                                                                                                                                  X.509 証明書がX.509 証明書要件の要件を満たしていることを確認してください。

                                                                                                                                                  • 証明書をアップロードしたことがない場合は、X.509 証明書をアップロードし、パスワードを入力して [続行] をクリックします。
                                                                                                                                                  • 証明書がOKの場合、「続行」をクリックします。
                                                                                                                                                  • 証明書の有効期限が切れている場合、または証明書を置き換える場合は、「いいえ」を選択して、「以前のISOからHDS証明書チェーンと秘密キーの使用を続行」を選択します。 新しい X.509 証明書をアップロードし、パスワードを入力し、[続行] をクリックします。
                                                                                                                                                  11

                                                                                                                                                  HDS のデータベース アドレスとアカウントを入力して、キー データストアにアクセスします。

                                                                                                                                                  1. データベースの種類PostgreSQLまたはMicrosoft SQL Server)を選択します。

                                                                                                                                                    Microsoft SQL Serverを選択すると、[認証タイプ(Authentication Type)] フィールドが表示されます。

                                                                                                                                                  2. (Microsoft SQL Serverのみ) 認証タイプを選択します。

                                                                                                                                                    • 基本認証: [ユーザー名] フィールドには、ローカル SQL Server アカウント名が必要です。

                                                                                                                                                    • Windowsの認証: 形式の Windows アカウントが必要です username@DOMAINユーザー名フィールドに入力します。

                                                                                                                                                  3. フォームにデータベース サーバ アドレスを入力します <hostname>:<port> または <IP-address>:<port> です。

                                                                                                                                                    例:
                                                                                                                                                    dbhost.example.org:1433 または 198.51.100.17:1433

                                                                                                                                                    ノードがホスト名を解決するために DNS を使用できない場合、基本認証に IP アドレスを使用できます。

                                                                                                                                                    Windows 認証を使用している場合は、形式に完全修飾ドメイン名を入力する必要があります dbhost.example.org:1433

                                                                                                                                                  4. データベース名を入力します。

                                                                                                                                                  5. キーストレージデータベース上のすべての権限を持つユーザーのユーザー名パスワードを入力します。

                                                                                                                                                  12

                                                                                                                                                  TLS データベース接続モードを選択します。

                                                                                                                                                  モード

                                                                                                                                                  説明

                                                                                                                                                  TLS を優先 (デフォルトのオプション)

                                                                                                                                                  HDS ノードは、データベース サーバに接続するために TLS を必要としません データベース サーバで TLS を有効にすると、ノードは暗号化された接続を試行します。

                                                                                                                                                  TLS を要求する

                                                                                                                                                  データベース サーバが TLS をネゴシエートできる場合に限り、HDS ノードは接続されます。

                                                                                                                                                  TLS を要求し、証明書の署名者を確認する


                                                                                                                                                   

                                                                                                                                                  このモードは、SQL Server データベースには適用されません。

                                                                                                                                                  • データベース サーバが TLS をネゴシエートできる場合に限り、HDS ノードは接続されます。

                                                                                                                                                  • TLS 接続を確立した後、ノードはデータベース サーバからの証明書の署名者をデータベース ルート証明書の認証局と比較します。 一致しない場合、ノードにより接続が切断されます。

                                                                                                                                                  ドロップダウンの下にあるデータベースルート証明書コントロールを使用して、このオプションのルート証明書をアップロードしてください。

                                                                                                                                                  TLS を要求し、証明書の署名者およびホスト名を確認する

                                                                                                                                                  • データベース サーバが TLS をネゴシエートできる場合に限り、HDS ノードは接続されます。

                                                                                                                                                  • TLS 接続を確立した後、ノードはデータベース サーバからの証明書の署名者をデータベース ルート証明書の認証局と比較します。 一致しない場合、ノードにより接続が切断されます。

                                                                                                                                                  • ノードはまた、サーバ証明書のホスト名が [データベースホストとポート] フィールドのホスト名と一致することを確認します。 名前は正確に一致する必要があります。または、ノードが接続を切断します。

                                                                                                                                                  ドロップダウンの下にあるデータベースルート証明書コントロールを使用して、このオプションのルート証明書をアップロードしてください。

                                                                                                                                                  ルート証明書をアップロードし(必要に応じて)、[続行]をクリックすると、HDS Setup Tool がデータベース サーバへの TLS 接続をテストします。 また、必要に応じて、証明書の署名者とホスト名も検証されます。 テストが失敗した場合、問題を説明するエラー メッセージがツールによって表示されます。 エラーを無視してセットアップを続行するかどうかを選択できます。 (接続性の違いにより、HDS Setup Tool マシンが正常にテストできない場合でも、HDS ノードは TLS 接続を確立できる場合があります)。

                                                                                                                                                  13

                                                                                                                                                  [システムログ(System Logs)] ページで、Syslogd サーバを設定します。

                                                                                                                                                  1. syslog サーバの URL を入力します。

                                                                                                                                                    HDS クラスタのノードからサーバが DNS 解決可能でない場合は、URL で IP アドレスを使用します。

                                                                                                                                                    例:
                                                                                                                                                    udp://10.92.43.23:514 UDP ポート 514 の Syslogd ホスト 10.92.43.23 へのロギングを示します。
                                                                                                                                                  2. TLS 暗号化を使用するようにサーバを設定した場合は、「syslog サーバが SSL 暗号化用に設定されていますか?」にチェックを入れます。

                                                                                                                                                    このチェックボックスをオンにした場合は、次のような TCP URL を入力してください: tcp://10.92.43.23:514 です。

                                                                                                                                                  3. [syslogレコードの終了を選択]ドロップダウンから、ISOファイルの適切な設定を選択します。 選択または改行は Graylog および Rsyslog TCP に使用されます

                                                                                                                                                    • Null バイト -- \x00

                                                                                                                                                    • 改行 -- \n:Graylog および Rsyslog TCP の選択肢を選択します。

                                                                                                                                                  4. [続行] をクリックします。

                                                                                                                                                  14

                                                                                                                                                  (オプション)一部のデータベース接続パラメータのデフォルト値は、[詳細設定]で変更できます。 通常、このパラメータは、変更する可能性のある唯一のパラメータです。

                                                                                                                                                  app_datasource_connection_pool_maxSize: 10
                                                                                                                                                  15

                                                                                                                                                  [サービスアカウントのパスワードをリセット] 画面の [続行] をクリックします。

                                                                                                                                                  サービスアカウントのパスワードは9ヶ月の寿命を持っています。 パスワードの有効期限が近づいている場合、または以前の ISO ファイルを無効にするためにパスワードをリセットする場合は、この画面を使用します。

                                                                                                                                                  16

                                                                                                                                                  [ISOファイルのダウンロード] をクリックします。 見つけやすい場所にファイルを保存します。

                                                                                                                                                  17

                                                                                                                                                  ローカルシステム上のISOファイルのバックアップコピーを作成します。

                                                                                                                                                  バックアップコピーを安全に保管してください。 このファイルには、データベースコンテンツのマスター暗号化キーが含まれています。 構成を変更する必要があるハイブリッド データ セキュリティ管理者のみへのアクセスを制限します。

                                                                                                                                                  18

                                                                                                                                                  セットアップ ツールをシャットダウンするために次のように入力します。 CTRL+C です。

                                                                                                                                                  次に行うこと

                                                                                                                                                  設定 ISO ファイルをバックアップします。 リカバリのためにより多くのノードを作成したり、設定を変更したりする必要があります。 ISOファイルのコピーをすべて失うと、マスターキーも失われます。 PostgreSQL または Microsoft SQL Server データベースからキーを回復することはできません。


                                                                                                                                                   

                                                                                                                                                  私たちはこのキーのコピーを持っていないし、あなたがそれを失ったら助けることができません。

                                                                                                                                                  HDS ホスト OVA のインストール

                                                                                                                                                  OVA ファイルから仮想マシンを作成するには、次の手順を使用します。
                                                                                                                                                  1

                                                                                                                                                  コンピュータの VMware vSphere クライアントを使用して、ESXi 仮想ホストにログインします。

                                                                                                                                                  2

                                                                                                                                                  ファイル > OVF テンプレートを展開を選択します。

                                                                                                                                                  3

                                                                                                                                                  ウィザードで、先ほどダウンロードしたOVAファイルの場所を指定し、 をクリックします。 次へ

                                                                                                                                                  4

                                                                                                                                                  名前とフォルダを選択ページ、を入力します 仮想マシン名ノード(たとえば、「HDS_Node_1」)で、仮想マシンノードの展開が可能な場所を選択し、次へ

                                                                                                                                                  5

                                                                                                                                                  計算リソースを選択ページで、宛先計算リソースを選択し、をクリックします。 次へ

                                                                                                                                                  検証チェックが実行されます。 完了すると、テンプレートの詳細が表示されます。

                                                                                                                                                  6

                                                                                                                                                  テンプレートの詳細を確認し、[次へ]をクリックします。

                                                                                                                                                  7

                                                                                                                                                  のリソース設定を選択するよう求められた場合 設定ページ、をクリックします。 4 CPU をクリックし、 をクリックします。 次へ

                                                                                                                                                  8

                                                                                                                                                  ストレージを選択ページ、をクリックします。 次へは、デフォルトのディスク形式とVMストレージポリシーを受け入れます。

                                                                                                                                                  9

                                                                                                                                                  ネットワークを選択ページで、エントリのリストからネットワークオプションを選択し、仮想マシンへの接続を提供します。

                                                                                                                                                  10

                                                                                                                                                  [テンプレートのカスタマイズ] ページで、次のネットワーク設定を構成します。

                                                                                                                                                  • [ホスト名(Hostname)]:ノードの FQDN (ホスト名とドメイン) または単語 ホスト名を入力します。

                                                                                                                                                     
                                                                                                                                                    • X.509 証明書を取得するために使用したドメインと一致するようにドメインを設定する必要はありません。

                                                                                                                                                    • クラウドへの登録を成功させるには、ノードに設定した FQDN またはホスト名に小文字のみを使用します。 現時点では大文字化のサポートはありません。

                                                                                                                                                    • FQDNのトータルの長さは64文字を超えてはいけません。

                                                                                                                                                  • [IPアドレス(IP Address)]:ノードの内部インターフェイスの IP アドレスを入力します。

                                                                                                                                                     

                                                                                                                                                    ノードには内部 IP アドレスと DNS 名が必要です。 DHCP はサポートされていません。

                                                                                                                                                  • [マスク(Mask)]:サブネット マスク アドレスをドット小数表記で入力します。 たとえば、255.255.255.0 などです。
                                                                                                                                                  • [ゲートウェイ(Gateway)]:ゲートウェイの IP アドレスを入力します。 ゲートウェイは、別のネットワークへのアクセス ポイントとして機能するネットワーク ノードです。
                                                                                                                                                  • DNS サーバ:ドメイン名を数値の IP アドレスに変換する DNS サーバのカンマ区切りリストを入力します。 (最大 4 つの DNS エントリが許可されます。)
                                                                                                                                                  • NTP サーバ:組織の NTP サーバまたは組織で使用できる別の外部 NTP サーバを入力します。 デフォルトの NTP サーバは、すべての企業で機能しない場合があります。 カンマ区切りリストを使用して、複数の NTP サーバを入力することもできます。
                                                                                                                                                  • クラスタ内のすべてのノードが管理目的でネットワーク内のクライアントから到達できるように、すべてのノードを同じサブネットまたは VLAN に展開します。

                                                                                                                                                  必要に応じて、ネットワーク設定の構成をスキップし、[ハイブリッド データ セキュリティ VM のセットアップ] の手順に従って、ノード コンソールから設定を構成できます。


                                                                                                                                                   

                                                                                                                                                  OVA 展開中にネットワーク設定を設定するオプションは、ESXi 6.5 でテストされています。 このオプションは、以前のバージョンでは使用できない場合があります。

                                                                                                                                                  11

                                                                                                                                                  ノードVMを右クリックし、電源 > 電源オンだ。

                                                                                                                                                  ハイブリッド データ セキュリティ ソフトウェアは、VM ホストにゲストとしてインストールされます。 これで、コンソールにサインインしてノードを設定する準備ができました。

                                                                                                                                                  トラブルシューティングのヒント

                                                                                                                                                  ノード コンテナーが出てくるまでに、数分間の遅延がある場合があります。 初回起動の間、ブリッジ ファイアウォール メッセージが、コンソールに表示され、この間はサイン インできません。

                                                                                                                                                  ハイブリッド データ セキュリティ VM のセットアップ

                                                                                                                                                  この手順を使用して、ハイブリッド データ セキュリティ ノード VM コンソールに初めてサインインし、サインイン クレデンシャルを設定します。 OVA 展開時に設定しなかった場合は、コンソールを使用してノードのネットワーク設定を構成することもできます。

                                                                                                                                                  1

                                                                                                                                                  VMware vSphere クライアントで、ハイブリッド データ セキュリティ ノード VM を選択し、[コンソール] タブを選択します。

                                                                                                                                                  VM が起動し、ログインプロンプトが表示されます。 ログインプロンプトが表示されない場合は、 入力を押してください。
                                                                                                                                                  2

                                                                                                                                                  次のデフォルトのログインとパスワードを使用してサインインし、資格情報を変更します。

                                                                                                                                                  1. ログイン: admin

                                                                                                                                                  2. パスワード: cisco

                                                                                                                                                  初めて仮想マシンにサインインするため、管理者パスワードを変更する必要があります。

                                                                                                                                                  3

                                                                                                                                                  [HDS ホスト OVA のインストール]でネットワーク設定をすでに設定している場合は、残りの手順をスキップします。 それ以外の場合は、メインメニューで[設定の編集]オプションを選択します。

                                                                                                                                                  4

                                                                                                                                                  IP アドレス、マスク、ゲートウェイ、DNS 情報を含む静的設定をセットアップします。 ノードには内部 IP アドレスと DNS 名が必要です。 DHCP はサポートされていません。

                                                                                                                                                  5

                                                                                                                                                  (オプション) ネットワーク ポリシーと一致する必要がある場合は、ホスト名、ドメイン、または NTP サーバを変更します。

                                                                                                                                                  X.509 証明書を取得するために使用したドメインと一致するようにドメインを設定する必要はありません。

                                                                                                                                                  6

                                                                                                                                                  ネットワーク設定を保存し、仮想マシンを再起動して、変更を有効にします。

                                                                                                                                                  HDS 設定 ISO のアップロードとマウント

                                                                                                                                                  HDS セットアップツールを使用して作成した ISO ファイルから仮想マシンを設定するには、次の手順を使用します。

                                                                                                                                                  始める前に

                                                                                                                                                  ISOファイルはマスターキーを保持しているため、Hybrid Data Security VMおよび変更が必要な管理者によるアクセスのために、「知る必要性」に基づいてのみ公開する必要があります。 これらの管理者だけがデータストアにアクセスできることを確認してください。

                                                                                                                                                  1

                                                                                                                                                  コンピュータから ISO ファイルをアップロードします。

                                                                                                                                                  1. VMware vSphere クライアントの左側のナビゲーション ペインで、ESXi サーバをクリックします。

                                                                                                                                                  2. [設定] タブの [ハードウェア] リストで、[ストレージ] をクリックします。

                                                                                                                                                  3. [データストア(Datastores)] リストで、仮想マシンのデータストアを右クリックし、[データストアを参照(Browse Datastore)] をクリックします。

                                                                                                                                                  4. [ファイルのアップロード] アイコンをクリックし、[ファイルのアップロード] をクリックします。

                                                                                                                                                  5. コンピュータにISOファイルをダウンロードした場所を参照し、[開く]をクリックします。

                                                                                                                                                  6. アップロード/ダウンロード操作の警告を受け入れるには、[はい] をクリックし、データストアダイアログを閉じます。

                                                                                                                                                  2

                                                                                                                                                  ISO ファイルをマウントします。

                                                                                                                                                  1. VMware vSphere クライアントの左ナビゲーション ペインで、ESXi サーバーを右クリックし、[設定の編集] をクリックします。

                                                                                                                                                  2. [OK] をクリックして、制限された編集オプションの警告を受け入れます。

                                                                                                                                                  3. クリック CD/DVD Drive 1 、データストア ISO ファイルからマウントするオプションを選択し、構成 ISO ファイルをアップロードした場所を参照します。

                                                                                                                                                  4. 接続および電源オン時に接続をオンにします。

                                                                                                                                                  5. 変更を保存し、仮想マシンを再起動します。

                                                                                                                                                  次に行うこと

                                                                                                                                                  IT ポリシーが必要な場合は、すべてのノードが設定変更をピックアップした後、オプションで ISO ファイルのマウントを解除できます。 詳細については、「(オプション) HDS 設定後に ISO のマウント解除 」を参照してください。

                                                                                                                                                  プロキシ統合のために HDS ノードを設定する

                                                                                                                                                  ネットワーク環境でプロキシが必要な場合は、この手順を使用して、ハイブリッド データ セキュリティと統合するプロキシのタイプを指定します。 透過型のプロキシまたは HTTPS を明示的なプロキシを選択した場合、ノードのインターフェイスを使用してルート証明書をアップロードしてインストールすることができます。 インターフェイスからプロキシ接続を確認し、潜在的な問題をトラブルシューティングすることもできます。

                                                                                                                                                  始める前に

                                                                                                                                                  1

                                                                                                                                                  HDS ノードのセットアップ URL を入力 https://[HDS Node IP or FQDN]/setup Web ブラウザで、ノード用に設定した管理者資格情報を入力し、[ サインイン] をクリックします。

                                                                                                                                                  2

                                                                                                                                                  [信頼ストアとロキシ] に移動して、次のオプションを選択します。

                                                                                                                                                  • プロキシなし—プロキシを統合する前のデフォルトのオプション。 証明書の更新は必要ありません。
                                                                                                                                                  • 透過型の検査なしのプロキシ—ノードは特定のプロキシ サーバー アドレスを使用するように設定されていないため、検査なしのプロキシで動作するように変更を加える必要はありません。 証明書の更新は必要ありません。
                                                                                                                                                  • 透過トンネリングまたは検査プロキシ—ノードは特定のプロキシ サーバー アドレスを使用するように設定されていません。 ハイブリッド データ セキュリティの展開では HTTPS 構成の変更は必要ありませんが、HDS ノードはプロキシを信頼できるようにするためにルート証明書を必要とします。 プロキシを検査することで、Web サイトにアクセスするか、どのタイプのコンテンツを使用するかを強制するポリシーを施行することができます。 このタイプのプロキシは、すべてのトラフィック (HTTPS さえも含む) を復号化します。
                                                                                                                                                  • 明示的プロキシ—明示的なプロキシを使用して、使用するプロキシ サーバーをクライアント (HDS ノード) を指示し、このオプションはいくつかの認証スキームをサポートします。 このオプションを選択した後、次の情報を入力する必要があります。
                                                                                                                                                    1. プロキシ IP/FQDN—プロキシ マシンに到達するために使用できるアドレス。

                                                                                                                                                    2. プロキシ ポート-プロキシがプロキシ トラフィックをリスンするために使用するポート番号。

                                                                                                                                                    3. プロキシ プロトコル- http (クライアントから受信したすべての要求を表示して管理) または https (クライアントがサーバーへのチャネルを提供し、サーバーの証明書を検証) を選択します。 プロキシ サーバーがサポートするオプションを選択します。

                                                                                                                                                    4. 認証タイプ-次の認証タイプから選択します。

                                                                                                                                                      • なし—追加の認証は必要ありません。

                                                                                                                                                        HTTP または HTTPS プロキシで利用できます。

                                                                                                                                                      • ベーシック—HTTP ユーザー エージェントがリクエストを行う際にユーザー名とパスワードを指定するために使用されます。 Base64 エンコードを使用します。

                                                                                                                                                        HTTP または HTTPS プロキシで利用できます。

                                                                                                                                                        このオプションを選択した場合は、ユーザー名とパスワードも入力する必要があります。

                                                                                                                                                      • ダイジェスト—機密情報を送信する前にアカウントを確認するために使用されます。 ネットワークを経由して送信する前に、ユーザー名およびパスワードにハッシュ機能を適用します。

                                                                                                                                                        HTTPS プロキシに対してのみ利用できます。

                                                                                                                                                        このオプションを選択した場合は、ユーザー名とパスワードも入力する必要があります。

                                                                                                                                                  透過型検査プロキシ、基本認証を持つ HTTP 明示プロキシ、または HTTPS 明示プロキシについては、次のステップに従ってください。

                                                                                                                                                  3

                                                                                                                                                  [ルート証明書またはエンティティ終了証明書のアップロード] をクリックし、プロキシのルート証明書を選択するために移動します。

                                                                                                                                                  証明書はアップロードされていますが、まだインストールされていません。証明書をインストールするにはノードを再起動する必要があります。 証明書発行者名の山形矢印をクリックして詳細を確認するか、間違っている場合は [削除] をクリックして、ファイルを再度アップロードしてください。

                                                                                                                                                  4

                                                                                                                                                  [プロキシ接続を確認する] をクリックして、ノードとプロキシ間のネットワーク接続性をテストします。

                                                                                                                                                  接続テストが失敗した場合は、エラーメッセージが表示され、問題を解決するための理由と方法が示されます。

                                                                                                                                                  外部 DNS の解決が正常に行われなかったという内容のメッセージが表示された場合、ノードが DNS サーバーに到達できなかったことを示しています。 この状況は、多くの明示的なプロキシ構成で想定されています。 セットアップを続行すると、ノードは外部 DNS 解決ブロックモードで機能します。 これがエラーと思われる場合は、次の手順を実行し、「ブロックされた外部 DNS 解決モードをオフにする」を参照してください。

                                                                                                                                                  5

                                                                                                                                                  接続テストが成功した後、明示的なプロキシについては https のみに設定し、このノードからの すべてのポートの 443/444 https 要求を明示的プロキシを通してルーティングするように切り替えます。 この設定を有効にするには 15 秒かかります。

                                                                                                                                                  6

                                                                                                                                                  [すべての証明書を信頼ストアにインストールする(HTTPS 明示プロキシまたは透過型のプロキシで表示される)] または [再起動] をクリックして、プロンプトを読み、準備が完了したら [インストール] をクリックします。

                                                                                                                                                  ノードが数分以内に再起動されます。

                                                                                                                                                  7

                                                                                                                                                  ノードが再起動したら、必要に応じて再度サインインして、[概要] ページを開き、接続チェックを確認してすべて緑色のステータスになっていることを確認します。

                                                                                                                                                  プロキシ接続の確認は webex.com のサブドメインのみをテストします。 接続の問題がある場合、インストール手順に記載されているクラウド ドメインの一部がプロキシでブロックされているという問題がよく見られます。

                                                                                                                                                  クラスタ内の最初のノードを登録する

                                                                                                                                                  このタスクでは、ハイブリッド データ セキュリティ 仮想マシンのセットアップで作成した汎用ノードを取得し、ノードを Webex クラウドに登録し、ハイブリッド データ セキュリティ ノードに変換します。

                                                                                                                                                  最初のノードを登録するとき、クラスターをノードが指定されている場所に作成します。 クラスタには、冗長性を提供するために展開された 1 つ以上のノードが含まれています。

                                                                                                                                                  始める前に

                                                                                                                                                  • 一旦ノードの登録を開始すると、60 分以内に完了する必要があり、そうでなければ、再び最初からやり直しになります。

                                                                                                                                                  • ブラウザのポップアップ ブロッカーが無効になっているか、または admin.webex.com の例外を許可していることを確認してください。

                                                                                                                                                  1

                                                                                                                                                  https://admin.webex.comにサインインします。

                                                                                                                                                  2

                                                                                                                                                  スクリーンの左側にあるメニューからサービスを選択します。

                                                                                                                                                  3

                                                                                                                                                  [ハイブリッド サービス] セクションで、[ハイブリッド データ セキュリティ] を見つけ、[セットアップ] をクリックします。

                                                                                                                                                  [ハイブリッド データ セキュリティ ノードの登録] ページが表示されます。
                                                                                                                                                  4

                                                                                                                                                  ノードを設定し、登録する準備ができていることを示すには、「はい」を選択し、「次へ」をクリックします。

                                                                                                                                                  5

                                                                                                                                                  最初のフィールドに、ハイブリッド データ セキュリティ ノードを割り当てるクラスタの名前を入力します。

                                                                                                                                                  クラスタのノードが地理的にどこに配置されているかに基づきクラスタに名前を付けることをお薦めします。 例: 「サンフランシスコ」「ニューヨーク」「ダラス」

                                                                                                                                                  6

                                                                                                                                                  2 番目のフィールドに、ノードの内部 IP アドレスまたは完全修飾ドメイン名(FQDN)を入力し、[次へ] をクリックします。

                                                                                                                                                  この IP アドレスまたは FQDN は、ハイブリッド データ セキュリティ VM のセットアップ で使用した IP アドレスまたはホスト名とドメインと一致する必要があります。

                                                                                                                                                  ノードを Webex に登録できることを示すメッセージが表示されます。
                                                                                                                                                  7

                                                                                                                                                  [ノードに進む] をクリックします。

                                                                                                                                                  8

                                                                                                                                                  警告メッセージの [続ける] をクリックします。

                                                                                                                                                  しばらくすると、Webex サービスのノード接続テストにリダイレクトされます。 すべてのテストが成功すると、[ハイブリッド データ セキュリティ ノードへのアクセスを許可(Allow Access to Hybrid Data Security Node)] ページが表示されます。 ここで、ノードにアクセスする権限を Webex 組織に付与することを確認します。
                                                                                                                                                  9

                                                                                                                                                  [ハイブリッド データ セキュリティ ノードへのアクセスを許可] チェックボックスをオンにして、[続行] をクリックします。

                                                                                                                                                  アカウントが検証され、「登録完了」メッセージは、ノードが Webex クラウドに登録されたことを示します。
                                                                                                                                                  10

                                                                                                                                                  リンクをクリックするか、タブを閉じて、[Control Hub ハイブリッド データ セキュリティ] ページに戻ります。

                                                                                                                                                  [ハイブリッド データ セキュリティ] ページで、登録したノードを含む新しいクラスタが表示されます。 ノードはクラウドから最新のソフトウェアを自動的にダウンロードします。

                                                                                                                                                  より多くのノードを作成して登録する

                                                                                                                                                  クラスタに追加のノードを追加するには、追加の VM を作成し、同じ構成 ISO ファイルをマウントしてから、ノードを登録します。 少なくとも 3 つのノードを使用することをお勧めします。

                                                                                                                                                   

                                                                                                                                                  現時点では、「ハイブリッド データ セキュリティの前提条件を完了」で作成したバックアップ VM は、ディザスタ リカバリーの場合にのみ使用されるスタンバイ ホストであり、それまではシステムに登録されていません。 詳細については、「スタンバイデータセンターを使用した災害復旧」を参照してください。

                                                                                                                                                  始める前に

                                                                                                                                                  • 一旦ノードの登録を開始すると、60 分以内に完了する必要があり、そうでなければ、再び最初からやり直しになります。

                                                                                                                                                  • ブラウザのポップアップ ブロッカーが無効になっているか、または admin.webex.com の例外を許可していることを確認してください。

                                                                                                                                                  1

                                                                                                                                                  OVA から新しい仮想マシンを作成し、「HDS ホスト OVA のインストール」の手順を繰り返します。

                                                                                                                                                  2

                                                                                                                                                  新しい仮想マシンで初期設定を行い、「ハイブリッド データ セキュリティ 仮想マシンのセットアップ」の手順を繰り返します。

                                                                                                                                                  3

                                                                                                                                                  新しい VM で、「Upload and Mount the HDS Configuration ISO」の手順を繰り返します。

                                                                                                                                                  4

                                                                                                                                                  展開のプロキシを設定する場合は、新しいノードに必要に応じ「プロキシ統合の HDS ノードを設定する」の手順を繰り返します。

                                                                                                                                                  5

                                                                                                                                                  ノードを登録します。

                                                                                                                                                  1. https://admin.webex.comで画面の左側にあるメニューからサービスを選択します。

                                                                                                                                                  2. [ハイブリッド サービス] セクションで、ハイブリッド データ セキュリティ カードを見つけて、[リソース] をクリックします。

                                                                                                                                                    [ハイブリッド データ セキュリティ リソース] ページが表示されます。
                                                                                                                                                  3. [リソースの追加] をクリックします。

                                                                                                                                                  4. 最初のフィールドで、既存のクラスタの名前を選択します。

                                                                                                                                                  5. 2 番目のフィールドに、ノードの内部 IP アドレスまたは完全修飾ドメイン名(FQDN)を入力し、[次へ] をクリックします。

                                                                                                                                                    ノードを Webex クラウドに登録できることを示すメッセージが表示されます。
                                                                                                                                                  6. [ノードに進む] をクリックします。

                                                                                                                                                    しばらくすると、Webex サービスのノード接続テストにリダイレクトされます。 すべてのテストが成功すると、[ハイブリッド データ セキュリティ ノードへのアクセスを許可(Allow Access to Hybrid Data Security Node)] ページが表示されます。 ここで、ノードにアクセスするための権限を組織に付与することを確認します。
                                                                                                                                                  7. [ハイブリッド データ セキュリティ ノードへのアクセスを許可] チェックボックスをオンにして、[続行] をクリックします。

                                                                                                                                                    アカウントが検証され、「登録完了」メッセージは、ノードが Webex クラウドに登録されたことを示します。
                                                                                                                                                  8. リンクをクリックするか、タブを閉じて、[Control Hub ハイブリッド データ セキュリティ] ページに戻ります。

                                                                                                                                                  ノードが登録されています。 トライアルを開始するまで、ノードはサービスがまだアクティブ化されていないことを示すアラームを生成することに注意してください。

                                                                                                                                                  次に行うこと

                                                                                                                                                  トライアルを実行して本番環境に移動 (次の章)
                                                                                                                                                  トライアルを実行して本番環境に移動

                                                                                                                                                  プロダクション タスク フローへの試行

                                                                                                                                                  ハイブリッド データ セキュリティ クラスタをセットアップした後、パイロットを起動し、ユーザーを追加し、本番環境への移行に備えて展開のテストと検証に使用を開始できます。

                                                                                                                                                  1

                                                                                                                                                  必要に応じて、 HdsTrialGroup グループオブジェクト。

                                                                                                                                                  組織でユーザーのディレクトリ同期を使用している場合は、 HdsTrialGroup トライアルを開始する前に、クラウドに同期するためのグループ オブジェクト。 手順については、 Cisco Directory Connector 展開ガイドを参照してください。

                                                                                                                                                  2

                                                                                                                                                  トライアルの有効化

                                                                                                                                                  トライアルを開始します。 このタスクを実行するまで、ノードはサービスがまだアクティブ化されていないことを示すアラームを生成します。

                                                                                                                                                  3

                                                                                                                                                  ハイブリッド データ セキュリティ展開をテストする

                                                                                                                                                  重要な要求がハイブリッド データ セキュリティ展開に渡されていることを確認します。

                                                                                                                                                  4

                                                                                                                                                  ハイブリッド データ セキュリティの健全性を監視する

                                                                                                                                                  ステータスを確認し、アラームのメール通知を設定します。

                                                                                                                                                  5

                                                                                                                                                  トライアルからユーザーを追加または削除する

                                                                                                                                                  6

                                                                                                                                                  以下のいずれかの操作を行い、治験の段階を完了します。

                                                                                                                                                  トライアルの有効化

                                                                                                                                                  始める前に

                                                                                                                                                  組織でユーザーのディレクトリ同期を使用している場合は、 HdsTrialGroup 組織のトライアルを開始する前に、クラウドに同期するためのグループ オブジェクト。 手順については、 Cisco Directory Connector 展開ガイドを参照してください。

                                                                                                                                                  1

                                                                                                                                                  https://admin.webex.comにサインインし、「サービス」を選択します。

                                                                                                                                                  2

                                                                                                                                                  [ハイブリッド データ セキュリティ(Hybrid Data Security)] で、[設定] をクリックします。

                                                                                                                                                  3

                                                                                                                                                  [サービスステータス(Service Status)] セクションで、[トライアルの開始] をクリックします。

                                                                                                                                                  サービス ステータスがトライアル モードに変わります。
                                                                                                                                                  4

                                                                                                                                                  [ユーザーの追加] をクリックし、暗号化およびインデックスサービスのためにハイブリッド データ セキュリティ ノードを使用してパイロットする 1 人以上のユーザーのメール アドレスを入力します。

                                                                                                                                                  (組織がディレクトリ同期を使用している場合は、Active Directory を使用してトライアル グループを管理します。 HdsTrialGroup.)

                                                                                                                                                  ハイブリッド データ セキュリティ展開をテストする

                                                                                                                                                  この手順を使用して、ハイブリッド データ セキュリティの暗号化シナリオをテストします。

                                                                                                                                                  始める前に

                                                                                                                                                  • ハイブリッド データ セキュリティの展開をセットアップします。

                                                                                                                                                  • トライアルを有効にし、複数のトライアル ユーザーを追加します。

                                                                                                                                                  • キー要求がハイブリッド データ セキュリティ展開に渡されていることを確認するために、syslog にアクセスできることを確認します。

                                                                                                                                                  1

                                                                                                                                                  特定のスペースのキーは、スペースの作成者によって設定されます。 パイロットユーザーの 1 人として Webex アプリにサインインし、スペースを作成し、少なくとも 1 人のパイロットユーザーと 1 人の非パイロットユーザーを招待します。


                                                                                                                                                   

                                                                                                                                                  ハイブリッド データ セキュリティの展開を無効にすると、暗号化キーのクライアントキャッシュされたコピーが交換されると、パイロット ユーザーが作成したスペースのコンテンツにアクセスできなくなります。

                                                                                                                                                  2

                                                                                                                                                  新しいスペースにメッセージを送信します。

                                                                                                                                                  3

                                                                                                                                                  syslog 出力をチェックして、キー要求がハイブリッド データ セキュリティ展開に渡されていることを確認します。

                                                                                                                                                  1. ユーザが最初に KMS にセキュア チャネルを確立しているかどうかを確認するには、次のフィルタをオンにします。 kms.data.method=create および kms.data.type=EPHEMERAL_KEY_COLLECTION:

                                                                                                                                                    次のようなエントリを見つける必要があります (可読性のために短縮された識別子)。
                                                                                                                                                    2020-07-21 17:35:34.562 (+0000) INFO  KMS [pool-14-thread-1] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, 
                                                                                                                                                    kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2
                                                                                                                                                  2. KMS から既存のキーを要求するユーザーを確認するには、次のフィルタをオンにします。 kms.data.method=retrieve および kms.data.type=KEY:

                                                                                                                                                    次のようなエントリを見つける必要があります。
                                                                                                                                                    2020-07-21 17:44:19.889 (+0000) INFO  KMS [pool-14-thread-31] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, 
                                                                                                                                                    kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, 
                                                                                                                                                    kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b
                                                                                                                                                  3. 新しいKMSキーの作成を要求するユーザーを確認するには、 kms.data.method=create および kms.data.type=KEY_COLLECTION:

                                                                                                                                                    次のようなエントリを見つける必要があります。
                                                                                                                                                    2020-07-21 17:44:21.975 (+0000) INFO  KMS [pool-14-thread-33] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, 
                                                                                                                                                    kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b
                                                                                                                                                  4. スペースまたは他の保護リソースが作成されたときに新しい KMS リソース オブジェクト (KRO) の作成を要求するユーザを確認するには、次のフィルタをオンにします。 kms.data.method=create および kms.data.type=RESOURCE_COLLECTION:

                                                                                                                                                    次のようなエントリを見つける必要があります。
                                                                                                                                                    2020-07-21 17:44:22.808 (+0000) INFO  KMS [pool-15-thread-1] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
                                                                                                                                                    kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

                                                                                                                                                  ハイブリッド データ セキュリティの健全性を監視する

                                                                                                                                                  Control Hub 内のステータス インジケータは、ハイブリッド データ セキュリティの展開がうまく機能しているかどうかを示します。 より積極的なアラートについては、メール通知にサインアップしてください。 サービスに影響を与えるアラームまたはソフトウェア アップグレードがあると通知されます。
                                                                                                                                                  1

                                                                                                                                                  Control Hubで、画面左側のメニューからサービスを選択します。

                                                                                                                                                  2

                                                                                                                                                  [ハイブリッド サービス] セクションで、[ハイブリッド データ セキュリティ] を見つけ、[設定] をクリックします。

                                                                                                                                                  [ハイブリッド データ セキュリティ設定] ページが表示されます。
                                                                                                                                                  3

                                                                                                                                                  [メール通知] セクションで、カンマで区切られた 1 つ以上のメールアドレスを入力し、[Enter] を押します。

                                                                                                                                                  トライアルからユーザーを追加または削除する

                                                                                                                                                  トライアルをアクティベートし、トライアル ユーザーの初期セットを追加した後、トライアルがアクティブな間はいつでもトライアル メンバーを追加または削除できます。

                                                                                                                                                  トライアルからユーザーを削除すると、ユーザーのクライアントは KMS ではなく、クラウド KMS からキーとキーの作成を要求します。 クライアントが KMS に保存されているキーを必要とする場合、クラウド KMS はユーザーに代わってキーを取得します。

                                                                                                                                                  組織がディレクトリ同期を使用している場合、Active Directory (この手順の代わりに) を使用してトライアル グループを管理します。 HdsTrialGroup; Control Hub でグループメンバーを表示できますが、追加または削除することはできません。

                                                                                                                                                  1

                                                                                                                                                  Control Hub にサインインし、[サービス] を選択します。

                                                                                                                                                  2

                                                                                                                                                  [ハイブリッド データ セキュリティ(Hybrid Data Security)] で、[設定] をクリックします。

                                                                                                                                                  3

                                                                                                                                                  [サービスステータス(Service Status)] 領域の [トライアルモード(Trial Mode)] セクションで、[ユーザーの追加(Add Users)] をクリックするか、[表示と編集] をクリックしてユーザーをトライアルから削除します。

                                                                                                                                                  4

                                                                                                                                                  追加する 1 人以上のユーザーのメールアドレスを入力するか、ユーザー ID の X をクリックしてユーザーをトライアルから削除します。 その後、[保存] をクリックします。

                                                                                                                                                  トライアルからプロダクションへの移行

                                                                                                                                                  導入がトライアル ユーザーに対してうまく機能していることに満足したら、本番環境に移行できます。 本番環境に移行すると、組織内のすべてのユーザーは、暗号化キーやその他のセキュリティ領域サービスにオンプレミスのハイブリッド データ セキュリティ ドメインを使用します。 ディザスタ リカバリの一部としてサービスを非アクティブ化しない限り、本番環境からトライアル モードに戻すことはできません。 サービスを再アクティブ化するには、新しいトライアルを設定する必要があります。
                                                                                                                                                  1

                                                                                                                                                  Control Hub にサインインし、[サービス] を選択します。

                                                                                                                                                  2

                                                                                                                                                  [ハイブリッド データ セキュリティ(Hybrid Data Security)] で、[設定] をクリックします。

                                                                                                                                                  3

                                                                                                                                                  [サービスステータス(Service Status)] セクションで、[本番環境に移動] をクリックします。

                                                                                                                                                  4

                                                                                                                                                  すべてのユーザーを本番環境に移行することを確認します。

                                                                                                                                                  本番環境に移行せずにトライアルを終了する

                                                                                                                                                  トライアル中に、ハイブリッド データ セキュリティの展開を進めないと判断した場合、ハイブリッド データ セキュリティを無効にすることができます。これにより、トライアルが終了し、トライアル ユーザーはクラウド データ セキュリティ サービスに戻ります。 トライアル ユーザーは、トライアル中に暗号化されていたデータへのアクセスを失います。
                                                                                                                                                  1

                                                                                                                                                  Control Hub にサインインし、[サービス] を選択します。

                                                                                                                                                  2

                                                                                                                                                  [ハイブリッド データ セキュリティ(Hybrid Data Security)] で、[設定] をクリックします。

                                                                                                                                                  3

                                                                                                                                                  「Deactivate(無効化)」セクションで「Deactivate(無効化)」をクリックします。

                                                                                                                                                  4

                                                                                                                                                  サービスを無効にしてトライアルを終了することを確認します。

                                                                                                                                                  HDS 展開の管理

                                                                                                                                                  HDS 展開の管理

                                                                                                                                                  ここで説明するタスクを使用して、ハイブリッド データ セキュリティの展開を管理します。

                                                                                                                                                  クラスタアップグレードスケジュールの設定

                                                                                                                                                  ハイブリッド データ セキュリティのソフトウェア アップグレードは、クラスタ レベルで自動的に行われ、すべてのノードが常に同じソフトウェア バージョンを実行していることを保証します。 アップグレードは、クラスタのアップグレードのスケジュールに従って行われます。 ソフトウェアのアップグレードが可能になると、スケジュールされているアップグレードの時間の前に手動で行うことも可能になります。 特定のアップグレードのスケジュールを設定するか、毎日午前 3 時 (アメリカ合衆国) に行うというデフォルトのスケジュールも利用可能です。 アメリカ/ロサンゼルス 必要であれば、次に予定されているアップグレードを延期することも可能です。

                                                                                                                                                  アップグレードスケジュールを設定するには:

                                                                                                                                                  1

                                                                                                                                                  Control Hub にサインインします。

                                                                                                                                                  2

                                                                                                                                                  [概要] ページの [ハイブリッド サービス] で、[ハイブリッド データ セキュリティ] を選択します。

                                                                                                                                                  3

                                                                                                                                                  [ハイブリッド データ セキュリティ リソース] ページで、クラスタを選択します。

                                                                                                                                                  4

                                                                                                                                                  右側の [概要] パネルの [クラスタ設定] で、クラスタ名を選択します。

                                                                                                                                                  5

                                                                                                                                                  設定ページのアップグレードの下で、アップグレードのスケジュール設定を希望する時間およびタイムゾーンを選択します。

                                                                                                                                                  メモ: タイムゾーンの下に、次に可能なアップグレードの日時が表示されます。 必要に応じて、[延期] をクリックすることでアップグレードを翌日に延期することもできます。

                                                                                                                                                  ノードの設定を変更する

                                                                                                                                                  場合により、以下のような理由で ハイブリッド データ セキュリティ ノードの構成の変更が必要な場合があります。
                                                                                                                                                  • 有効期限が切れる、または他の理由による、x.509 証明書の変更。


                                                                                                                                                     

                                                                                                                                                    証明書の CN ドメイン名の変更はサポートされていません。 ドメインは、クラスターを登録するために使用される元のドメインと一致する必要があります。

                                                                                                                                                  • データベース設定を更新して、PostgreSQL または Microsoft SQL Server データベースのレプリカを変更します。


                                                                                                                                                     

                                                                                                                                                    PostgreSQL から Microsoft SQL Server への、またはその逆へのデータ移行はサポートしていません。 データベース環境を切り替えるには、ハイブリッド データ セキュリティの新しい展開を開始します。

                                                                                                                                                  • 新しい構成を作成して新しいデータセンターの準備をする。

                                                                                                                                                  また、セキュリティ上の理由により、ハイブリッド データ セキュリティは 9 か月間使用可能なサービス アカウント パスワードを使用します。 HDS セットアップ ツールがこれらのパスワードを生成した後で、ISO 構成ファイルの各 HDS ノードに展開します。 組織のパスワードの有効期限切れが近い場合、Webex チームから「パスワード期限切れ通知」を受け取り、マシン アカウントのパスワードのリセットを求められます。 (メールにはテキスト「マシン アカウント API を使用してパスワードを更新します」を含みます。) パスワードの有効期限が切れるまで時間が十分にある場合、ツールには次の 2 つのオプションがあります:

                                                                                                                                                  • ソフト リセット— 古いパスワードと新しいパスワードは最大 10 日間有効です。 この期間を使用して、ノードの ISO ファイルを段階的に置き換えることができます。

                                                                                                                                                  • ハード リセット—古いパスワードは即時に機能を停止します。

                                                                                                                                                  パスワードをリセットせずに期限切れになる場合、HDS サービスに影響を与える可能性があります。すぐにハード リセットし、すべてのノードの ISO ファイルを置換する必要があります。

                                                                                                                                                  この手順を使用して、新しい構成 ISO ファイルを生成し、クラスターに適用します。

                                                                                                                                                  始める前に

                                                                                                                                                  • HDS セットアップ ツールをローカル マシンの Docker コンテナとして実行します。 アクセスするには、そのマシンで Docker を実行します。 セットアップ プロセスでは、組織に対するフル管理者権限を持つ Control Hub アカウントの資格情報が必要です。

                                                                                                                                                    HDS Setup ツールが環境内のプロキシの後ろで実行されている場合は、1.eで Docker コンテナを起動するときに、Docker 環境変数を使用してプロキシ設定(サーバ、ポート、クレデンシャル)を提供します。 この表ではいくつかの可能な環境変数を示します。

                                                                                                                                                    説明

                                                                                                                                                    変数

                                                                                                                                                    認証なしの HTTP プロキシ

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    認証なしの HTTPS プロキシ

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    認証ありの HTTP プロキシ

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                    認証ありの HTTPS プロキシ

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                  • 新しい構成を生成するには、現在の構成 ISO ファイルのコピーが必要です。 ISO には PostgreSQL または Microsoft SQL Server データベースを暗号化するマスター キーを含むです。 データベースの証明書、証明書の更新、認証方針への変更を含む、構成の変更を行った場合は ISO が必要です。

                                                                                                                                                  1

                                                                                                                                                  ローカル マシンで Docker を使用し、HDS セットアップ ツールを実行します。

                                                                                                                                                  1. マシンのコマンド ラインで、お使い環境に適切なコマンドを入力します。

                                                                                                                                                    一般環境:

                                                                                                                                                    docker rmi ciscocitg/hds-setup:stable

                                                                                                                                                    FedRAMP 環境の場合:

                                                                                                                                                    docker rmi ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                     

                                                                                                                                                    このステップを実行すると、前の HDS セットアップ ツールの画像がクリーンアップされます。 これ以前の画像がない場合は、無視できるエラーを返します。

                                                                                                                                                  2. Docker 画像レジストリにサインインするには、以下を入力します。

                                                                                                                                                    docker login -u hdscustomersro
                                                                                                                                                  3. パスワードのプロンプトに対して、このハッシュを入力します。

                                                                                                                                                    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
                                                                                                                                                  4. お使い環境に合った最新の安定した画像をダウンロードします。

                                                                                                                                                    一般環境:

                                                                                                                                                    docker pull ciscocitg/hds-setup:stable

                                                                                                                                                    FedRAMP 環境の場合:

                                                                                                                                                    docker pull ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                     

                                                                                                                                                    この手順に最新のセットアップ ツールをプルしていることを確認します。 2018 年 2 月 22 日より前に作成されたツールのバージョンには、パスワード リセット画面が表示されません。

                                                                                                                                                  5. プルが完了したら、お使いの環境に適切なコマンドを入力します。

                                                                                                                                                    • プロキシなしの通常の環境の場合:

                                                                                                                                                      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
                                                                                                                                                    • HTTP プロキシがある通常の環境の場合、

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                    • HTTPS プロキシがある通常の環境の場合:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                    • プロキシなしの FedRAMP 環境の場合:

                                                                                                                                                      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                    • HTTP プロキシがある FedRAMP 環境の場合:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                    • HTTPS プロキシがある FedRAMP 環境の場合:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                    コンテナが実行中の時。「ポート 8080 で Express サーバー リスニング中」と表示されます。

                                                                                                                                                  6. ブラウザを使用して、ローカルホスト に接続します。 http://127.0.0.1:8080 です。


                                                                                                                                                     

                                                                                                                                                    Setup ツールは、http://localhost:8080 を介した localhost への接続をサポートしていません。 http://127.0.0.1:8080を使用してlocalhostに接続します。

                                                                                                                                                  7. 指示されたら、 Control Hub の顧客サインイン資格情報を入力し、[同意] をクリックして続行します。

                                                                                                                                                  8. 現在の構成 ISO ファイルをインポートします。

                                                                                                                                                  9. 指示に従い、ツールを完了し、更新されたファイルをダウンロードします。

                                                                                                                                                    セットアップ ツールをシャットダウンするために次のように入力します。 CTRL+C です。

                                                                                                                                                  10. 更新されたファイルのバックアップ コピーを別のデータ センターに作成します。

                                                                                                                                                  2

                                                                                                                                                  を実行している HDS ノードが 1 個のみある場合、新しいノード VM を作成し、新しいハイブリッド データ セキュリティ ノード VM を作成し、新しい構成 ISO ファイルを使用してそれを登録します。 手順の詳細については、「追加のノードを作成して登録する」を参照してください。

                                                                                                                                                  1. HDS 主催者 OVA をインストールします。

                                                                                                                                                  2. HDS VM をセットアップします。

                                                                                                                                                  3. 更新された構成ファイルをマウントします。

                                                                                                                                                  4. Control Hub の新しいノードを登録します。

                                                                                                                                                  3

                                                                                                                                                  古い構成ファイルを実行している既存の HDS ノードの場合、ISO ファイルをマウントします。 各ノードで以下の手順を実行し、次のノードをオフにする前に、各ノードを更新します。

                                                                                                                                                  1. 仮想マシンをオフにします。

                                                                                                                                                  2. VMware vSphere クライアントの左ナビゲーション ペインで、ESXi サーバーを右クリックし、[設定の編集] をクリックします。

                                                                                                                                                  3. クリック CD/DVD Drive 1[CD/DVD Drive 1] をクリックし、ISO ファイルからマウントするオプションを選択して、新規構成 ISO ファイルをダウンロードした場所を参照します。

                                                                                                                                                  4. [電源に接続する] をチェックします。

                                                                                                                                                  5. 変更を保存し、仮想マシンを起動します。

                                                                                                                                                  4

                                                                                                                                                  ステップ 3 を繰り返し、古い構成ファイルを実行している残りの各ノードで構成を置き換えます。

                                                                                                                                                  外部 DNS 解決ブロックモードをオフにする

                                                                                                                                                  ノードを登録するか、またはノードのプロキシ構成を確認するとき、プロセスは DNS 検索と Cisco Webex クラウドへの接続をテストします。 ノードの DNS サーバーがパブリック DNS 名を解決できない場合、ノードは自動的に外部 DNS 解決ブロックモードに進みます。

                                                                                                                                                  ノードが内部 DNS サーバーを通してパブリック DNS 名を解決できる場合、各ノードでプロキシ接続テストを再実行することで、このモードをオフにすることができます。

                                                                                                                                                  始める前に

                                                                                                                                                  内部 DNS サーバーがパブリック DNS 名を解決でき、ノードがそれらと通信できることを確認します。
                                                                                                                                                  1

                                                                                                                                                  Web ブラウザで、ハイブリッド データ セキュリティ ノード インターフェイス (IP アドレス/セットアップ、たとえば、ノードに設定した管理者資格情報をhttps://192.0.2.0/setup), 入力し、[サインイン] をクリックします。

                                                                                                                                                  2

                                                                                                                                                  [概要] (デフォルトページ) に移動します。

                                                                                                                                                  有効になっている場合、 [外部 DNS 解決ブロック][はい] に設定されています。

                                                                                                                                                  3

                                                                                                                                                  [信頼ストアとプロキシ] ページに移動します。

                                                                                                                                                  4

                                                                                                                                                  [プロキシ接続を確認する] をクリックします。

                                                                                                                                                  外部 DNS の解決が正常に行われなかったという内容のメッセージが表示された場合、ノードが DNS サーバーに到達できなかったことを示しており、このモードに留まっています。 そうでない場合には、ノードを再起動して[概要] ページに戻ると、[外部 DNS 解決ブロック] は [いいえ] に設定されるはずです。

                                                                                                                                                  次に行うこと

                                                                                                                                                  ハイブリッド データ セキュリティ クラスターの各ノードで、プロキシ接続テストを繰り返します。

                                                                                                                                                  ノードの削除

                                                                                                                                                  この手順を使用して、Webex クラウドからハイブリッド データ セキュリティ ノードを削除します。 クラスタからノードを削除した後、仮想マシンを削除して、セキュリティデータへのさらなるアクセスを防止します。
                                                                                                                                                  1

                                                                                                                                                  コンピュータの VMware vSphere クライアントを使用して、ESXi 仮想ホストにログインし、仮想マシンの電源を切ります。

                                                                                                                                                  2

                                                                                                                                                  ノードを削除します。

                                                                                                                                                  1. Control Hub にサインインし、[サービス] を選択します。

                                                                                                                                                  2. ハイブリッド データ セキュリティ カードで、 すべて表示 [ハイブリッド データ セキュリティ リソース] ページを表示します。

                                                                                                                                                  3. クラスタを選択して [概要] パネルを表示します。

                                                                                                                                                  4. [ノードリストを開く] をクリックします。

                                                                                                                                                  5. [ノード] タブで、削除するノードを選択します。

                                                                                                                                                  6. をクリックします。 アクション > ノードの登録解除

                                                                                                                                                  3

                                                                                                                                                  vSphere クライアントで、仮想マシンを削除します (左側のナビゲーションペインで、仮想マシンを右クリックし、[削除] をクリックします)。

                                                                                                                                                  仮想マシンを削除しない場合は、設定の ISO ファイルのマウントを解除することを忘れないでください。 ISO ファイルがないと、VM を使用してセキュリティ データにアクセスすることはできません。

                                                                                                                                                  スタンバイデータセンターを使用したディザスタ リカバリ

                                                                                                                                                  ハイブリッド データ セキュリティ クラスタが提供する最も重要なサービスは、Webex クラウドに保存されているメッセージやその他のコンテンツを暗号化するために使用されるキーの作成と保存です。 ハイブリッド データ セキュリティに割り当てられている組織内の各ユーザーについて、新しいキー作成要求がクラスタにルーティングされます。 また、クラスタは、作成したキーを、カンバセーションスペースのメンバーなど、取得を許可されたユーザーに返却する責任があります。

                                                                                                                                                  クラスタは、これらのキーを提供するという重要な機能を実行するため、クラスタが実行され、適切なバックアップが維持されることが不可欠です。 ハイブリッド データ セキュリティ データベースまたはスキーマに使用されている構成 ISO が失われると、顧客のコンテンツが回復不能に失われます。 このような損失を防ぐには、以下の慣行が必須です。

                                                                                                                                                  災害により、プライマリデータセンターの HDS 展開が使用できなくなる場合は、次の手順に従って、スタンバイデータセンターに手動でフェールオーバーします。

                                                                                                                                                  1

                                                                                                                                                  HDS Setupツールを起動し、「HDSホストの設定ISOを作成する」の手順に従います。

                                                                                                                                                  2

                                                                                                                                                  Syslogdサーバーを構成した後、[詳細設定]をクリックします。

                                                                                                                                                  3

                                                                                                                                                  [詳細設定]ページで、以下の設定を追加するか、 passiveMode ノードをアクティブにする設定。 ノードは、これが設定されるとトラフィックを処理できます。

                                                                                                                                                  
                                                                                                                                                  passiveMode: 'false'
                                                                                                                                                  
                                                                                                                                                  4

                                                                                                                                                  構成プロセスを完了し、見つけやすい場所にISOファイルを保存します。

                                                                                                                                                  5

                                                                                                                                                  ローカルシステム上のISOファイルのバックアップコピーを作成します。 バックアップコピーを安全に保管してください。 このファイルには、データベースコンテンツのマスター暗号化キーが含まれています。 構成を変更する必要があるハイブリッド データ セキュリティ管理者のみへのアクセスを制限します。

                                                                                                                                                  6

                                                                                                                                                  VMware vSphere クライアントの左側のナビゲーションペインで、仮想マシンを右クリックし、[設定の編集] をクリックします。

                                                                                                                                                  7

                                                                                                                                                  [設定の編集]>[CD/DVDドライブ1]をクリックし、[データストアISOファイル]を選択します。


                                                                                                                                                   

                                                                                                                                                  ノードを開始した後で、更新された設定変更を有効にするために、「接続」および「電源投入時に接続」がオンになっていることを確認します。

                                                                                                                                                  8

                                                                                                                                                  HDS ノードの電源を入れ、少なくとも 15 分間アラームがないことを確認します。

                                                                                                                                                  9

                                                                                                                                                  スタンバイデータセンター内のすべてのノードに対してプロセスを繰り返します。


                                                                                                                                                   

                                                                                                                                                  Syslog 出力をチェックして、スタンバイ データ センターのノードがパッシブ モードでないことを確認します。 「パッシブモードで設定された KMS」は syslogs には表示されません。

                                                                                                                                                  次に行うこと

                                                                                                                                                  フェールオーバー後、プライマリデータセンターが再びアクティブになった場合は、「災害復旧用のスタンバイデータセンターを設定」で説明されている手順に従って、スタンバイデータセンターを再びパッシブモードにします。

                                                                                                                                                  (オプション)HDS設定後にISOをアンマウントする

                                                                                                                                                  標準の HDS 構成は、ISO マウントで実行されます。 しかし、一部の顧客は、ISOファイルを継続的にマウントしたままにしないことを好みます。 すべての HDS ノードが新しい設定をピックアップした後、ISO ファイルのマウントを解除できます。

                                                                                                                                                  ISO ファイルを使用して、設定を変更します。 新しい ISO を作成するか、セットアップツールを使用して ISO を更新する場合は、更新された ISO をすべての HDS ノードにマウントする必要があります。 すべてのノードが設定変更をピックアップしたら、この手順で再び ISO のマウントを解除できます。

                                                                                                                                                  始める前に

                                                                                                                                                  すべての HDS ノードをバージョン 2021.01.22.4720 以降にアップグレードします。

                                                                                                                                                  1

                                                                                                                                                  1 つの HDS ノードをシャットダウンします。

                                                                                                                                                  2

                                                                                                                                                  vCenter Server Appliance で、HDS ノードを選択します。

                                                                                                                                                  3

                                                                                                                                                  を選択 [設定の編集] > [CD/DVDドライブを選択し、[データストアISOファイル]のチェックを外します。

                                                                                                                                                  4

                                                                                                                                                  HDS ノードの電源を入れ、少なくとも 20 分間アラームがないことを確認します。

                                                                                                                                                  5

                                                                                                                                                  HDS ノードごとに順番に繰り返します。

                                                                                                                                                  ハイブリッド データ セキュリティのトラブルシューティング

                                                                                                                                                  アラートとトラブルシューティングの表示

                                                                                                                                                  ハイブリッド データ セキュリティの展開は、クラスタ内のすべてのノードに到達できない場合、またはクラスタが非常にゆっくりと動作しているため、要求がタイムアウトした場合、利用できないと見なされます。 ユーザーがハイブリッド データ セキュリティ クラスタに到達できない場合、次の症状が発生します。

                                                                                                                                                  • 新しいスペースを作成できません (新しいキーを作成できません)

                                                                                                                                                  • メッセージとスペース タイトルの復号に失敗する:

                                                                                                                                                    • 新規ユーザーがスペースに追加されました (キーを取得できません)

                                                                                                                                                    • 新しいクライアントを使用するスペース内の既存のユーザー (キーを取得できません)

                                                                                                                                                  • スペース内の既存のユーザーは、クライアントが暗号化キーのキャッシュを持っている限り、正常に動作し続けます。

                                                                                                                                                  ハイブリッド データ セキュリティ クラスタを適切に監視し、サービスの中断を避けるために速やかにアラートに対処することが重要です。

                                                                                                                                                  警告

                                                                                                                                                  ハイブリッド データ セキュリティのセットアップに問題がある場合、Control Hub は組織管理者にアラートを表示し、設定されたメール アドレスにメールを送信します。 アラートは、多くの一般的なシナリオをカバーしています。

                                                                                                                                                  表 1. 一般的な問題とそれらを解決するためのステップ

                                                                                                                                                  警告

                                                                                                                                                  アクション

                                                                                                                                                  ローカル データべースへのアクセスに失敗しました。

                                                                                                                                                  データベース エラーまたはローカル ネットワークの問題を確認します。

                                                                                                                                                  ローカルデータベース接続に失敗しました。

                                                                                                                                                  データベース サーバが使用可能であり、ノード設定で適切なサービス アカウント クレデンシャルが使用されていることを確認します。

                                                                                                                                                  クラウド サービスへのアクセスに失敗しました。

                                                                                                                                                  外部接続要件で指定されているように、ノードが Webex サーバーにアクセスできることを確認します。

                                                                                                                                                  クラウドサービス登録の更新。

                                                                                                                                                  クラウドサービスへの登録が削除されました。 登録の更新が進行中です。

                                                                                                                                                  クラウドサービスの登録が削除されました。

                                                                                                                                                  クラウドサービスへの登録が終了しました。 サービスが停止しています。

                                                                                                                                                  サービスはまだアクティベートされていません。

                                                                                                                                                  トライアルを有効にするか、トライアルを本番環境に移行します。

                                                                                                                                                  設定されたドメインがサーバー証明書と一致しません。

                                                                                                                                                  サーバー証明書が設定されたサービス アクティベーション ドメインと一致していることを確認します。

                                                                                                                                                  最も可能性の高い原因は、証明書 CN が最近変更され、初期設定で使用された CN とは異なるようになったためです。

                                                                                                                                                  クラウド サービスの認証に失敗しました。

                                                                                                                                                  サービスアカウントの資格情報の正確さと有効期限の可否を確認します。

                                                                                                                                                  ローカル キーストア ファイルを開くことができませんでした。

                                                                                                                                                  ローカル キーストア ファイルの整合性とパスワードの正確性を確認します。

                                                                                                                                                  ローカルサーバー証明書が無効です。

                                                                                                                                                  サーバ証明書の有効期限を確認し、信頼できる認証局によって発行されていることを確認します。

                                                                                                                                                  メトリクスを投稿できません。

                                                                                                                                                  外部クラウド サービスへのローカル ネットワーク アクセスを確認します。

                                                                                                                                                  /media/configdrive/hds ディレクトリが存在しません。

                                                                                                                                                  仮想ホストの ISO マウント設定を確認します。 ISO ファイルが存在すること、再起動時にマウントするように設定されていること、正常にマウントされていることを確認します。

                                                                                                                                                  ハイブリッド データ セキュリティのトラブルシューティング

                                                                                                                                                  ハイブリッド データ セキュリティの問題をトラブルシューティングする場合は、次の一般的なガイドラインを使用します。
                                                                                                                                                  1

                                                                                                                                                  アラートについては Control Hub を確認し、見つかった項目を修正します。

                                                                                                                                                  2

                                                                                                                                                  ハイブリッド データ セキュリティ展開からのアクティビティの syslog サーバー出力を確認します。

                                                                                                                                                  3

                                                                                                                                                  Cisco サポート にお問い合わせください。

                                                                                                                                                  その他の注意事項

                                                                                                                                                  ハイブリッド データ セキュリティの既知の問題

                                                                                                                                                  • ハイブリッド データ セキュリティ クラスタをシャットダウンする (Control Hub で削除するか、すべてのノードをシャットダウンする)、構成 ISO ファイルを失う、またはキーストア データベースへのアクセスを失う場合、Webex アプリのユーザーは、KMS のキーを使用して作成された [ユーザー] リストの下のスペースを使用できなくなります。 これは、トライアル展開と本番展開の両方に適用されます。 現在、この問題の回避策や修正はありません。HDS サービスがアクティブなユーザーアカウントを処理したら、HDS サービスをシャットダウンしないようにしてください。

                                                                                                                                                  • KMS への既存の ECDH 接続を持つクライアントは、その接続を一定期間 (おそらく 1 時間) 維持します。 ユーザーがハイブリッド データ セキュリティ トライアルのメンバーになると、ユーザーのクライアントは、タイムアウトするまで既存の ECDH 接続を引き続き使用します。 代わりに、ユーザーは Webex アプリ アプリにサインアウトして再度ログインして、アプリが暗号化キーの連絡先を更新できます。

                                                                                                                                                    同じ動作は、組織のトライアルを本番環境に移行する場合にも発生します。 以前のデータ セキュリティ サービスへの既存の ECDH 接続を持つすべての非トライアル ユーザーは、ECDH 接続が再ネゴシエートされるまで (タイムアウトまたはサインアウトして戻る)、これらのサービスを使用し続けます。

                                                                                                                                                  OpenSSL を使用して PKCS12 ファイルを生成する

                                                                                                                                                  始める前に

                                                                                                                                                  • OpenSSLは、HDSセットアップツールでロードするための適切な形式でPKCS12ファイルを作成するために使用できるツールの1つです。 これを行うには他の方法があり、私たちは別の方法よりも支持または促進しません。

                                                                                                                                                  • OpenSSLを使用することを選択した場合は、X.509証明書要件を満たすファイルを作成するのに役立つガイドラインとして、この手順を提供しています。 X.509 証明書の要件は... 続行する前にこれらの要件を理解してください。

                                                                                                                                                  • サポートされている環境で OpenSSL をインストールします。 ソフトウェアとマニュアルについてはhttps://www.openssl.orgを参照してください。

                                                                                                                                                  • 秘密鍵を作成します。

                                                                                                                                                  • 認証局(CA)からサーバ証明書を受け取ったら、この手順を開始します。

                                                                                                                                                  1

                                                                                                                                                  CA からサーバー証明書を受け取ったら、次のように保存します。 hdsnode.pem です。

                                                                                                                                                  2

                                                                                                                                                  証明書をテキストとして表示し、詳細を確認します。

                                                                                                                                                  openssl x509 -text -noout -in hdsnode.pem

                                                                                                                                                  3

                                                                                                                                                  テキスト エディタを使用して、証明書バンドル ファイルを作成します。 hdsnode-bundle.pem です。 バンドル ファイルには、次の形式で、サーバ証明書、中間の CA 証明書、ルート CA 証明書を含める必要があります。

                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ### Server certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ###  Intermediate CA certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ###  Root CA certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  4

                                                                                                                                                  親しみやすい名前で .p12 ファイルを作成する kms-private-key です。

                                                                                                                                                  openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

                                                                                                                                                  5

                                                                                                                                                  サーバ証明書の詳細を確認してください。

                                                                                                                                                  1. openssl pkcs12 -in hdsnode.p12

                                                                                                                                                  2. プロンプトでパスワードを入力して、秘密キーを出力に表示するように暗号化します。 次に、秘密鍵と最初の証明書に、回線が含まれていることを確認します。 friendlyName: kms-private-keyです。

                                                                                                                                                    例:

                                                                                                                                                    bash$ openssl pkcs12 -in hdsnode.p12
                                                                                                                                                    Enter Import Password:
                                                                                                                                                    MAC verified OK
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: kms-private-key
                                                                                                                                                        localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
                                                                                                                                                    Key Attributes: <No Attributes>
                                                                                                                                                    Enter PEM pass phrase:
                                                                                                                                                    Verifying - Enter PEM pass phrase:
                                                                                                                                                    -----BEGIN ENCRYPTED PRIVATE KEY-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END ENCRYPTED PRIVATE KEY-----
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: kms-private-key
                                                                                                                                                        localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
                                                                                                                                                    subject=/CN=hds1.org6.portun.us
                                                                                                                                                    issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
                                                                                                                                                    -----BEGIN CERTIFICATE-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END CERTIFICATE-----
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US
                                                                                                                                                    subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
                                                                                                                                                    issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3
                                                                                                                                                    -----BEGIN CERTIFICATE-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END CERTIFICATE-----

                                                                                                                                                  次に行うこと

                                                                                                                                                  ハイブリッド データ セキュリティの前提条件を満たす」に戻ります。 次を使用します: hdsnode.p12[HDSホストの設定ISOの作成]で設定したファイルとパスワード。


                                                                                                                                                   

                                                                                                                                                  これらのファイルを再使用して、元の証明書の有効期限が切れたときに新しい証明書を要求できます。

                                                                                                                                                  HDS ノードとクラウド間のトラフィック

                                                                                                                                                  アウトバウンドメトリック収集トラフィック

                                                                                                                                                  ハイブリッド データ セキュリティ ノードは、Webex クラウドに特定のメトリックを送信します。 これには、ヒープ最大、使用されるヒープ、CPU 負荷、およびスレッド数のシステムメトリクス、同期スレッドと非同期スレッドのメトリクス、暗号化接続のしきい値、遅延、またはリクエストキュー長を含むアラートのメトリクス、データストアのメトリクス、および暗号化接続メトリックが含まれます。 ノードは、(リクエストとは別に)帯域外チャネル上で暗号化されたキー素材を送信します。

                                                                                                                                                  着信トラフィック

                                                                                                                                                  ハイブリッド データ セキュリティ ノードは、Webex クラウドから次のタイプのインバウンド トラフィックを受信します。

                                                                                                                                                  • 暗号化サービスによってルーティングされるクライアントからの暗号化要求

                                                                                                                                                  • ノード ソフトウェアへのアップグレード

                                                                                                                                                  ハイブリッド データ セキュリティの Squid プロキシを設定する

                                                                                                                                                  Websocket は Squid プロキシを通じて接続できません

                                                                                                                                                  Mサイズは箱入りとなります Sサイズは箱なしでのラッピングとなります ギフトボックス・ラッピングについて __________________ wss:) ハイブリッド データ セキュリティが必要とする接続。 これらのセクションでは、無視するためにさまざまなバージョンの Squid を設定する方法について説明します。 wss: これは、サービスの適切な運用のためのトラフィックです。

                                                                                                                                                  Squid 4 および5

                                                                                                                                                  次を追加します: on_unsupported_protocol 指示する squid.conf:

                                                                                                                                                  on_unsupported_protocol tunnel all

                                                                                                                                                  Squid 3.5.27

                                                                                                                                                  次のルールが追加され、ハイブリッド データ セキュリティが正常にテストされました。 squid.conf です。 これらのルールは、機能を開発し、Webex クラウドを更新する際に変更されることがあります。

                                                                                                                                                  acl wssMercuryConnection ssl::server_name_regex mercury-connection
                                                                                                                                                  
                                                                                                                                                  ssl_bump splice wssMercuryConnection
                                                                                                                                                  
                                                                                                                                                  acl step1 at_step SslBump1
                                                                                                                                                  acl step2 at_step SslBump2
                                                                                                                                                  acl step3 at_step SslBump3
                                                                                                                                                  ssl_bump peek step1 all
                                                                                                                                                  ssl_bump stare step2 all
                                                                                                                                                  ssl_bump bump step3 all
                                                                                                                                                  はじめに

                                                                                                                                                  新規および変更された情報

                                                                                                                                                  日付

                                                                                                                                                  変更履歴

                                                                                                                                                  2023年10月20日。

                                                                                                                                                  2023年8月7日。

                                                                                                                                                  2023年5月23日。

                                                                                                                                                  2022 年 12 月 06 日

                                                                                                                                                  2022年11月23日。

                                                                                                                                                  2021 年 10 月 13 日

                                                                                                                                                  HDS ノードをインストールする前に、Docker Desktop でセットアッププログラムを実行する必要があります。 Docker デスクトップの要件を参照してください。

                                                                                                                                                  2017 年 6 月 24 日

                                                                                                                                                  秘密鍵ファイルと CSR を再使用して別の証明書を要求できることに注意してください。 詳細については、「OpenSSL を使用して PKCS12 ファイルを生成する」を参照してください。

                                                                                                                                                  2021 年 4 月 30 日

                                                                                                                                                  ローカル ハード ディスク スペースの VM 要件を 30 GB に変更しました。 詳細については、「仮想ホスト要件」を参照してください。

                                                                                                                                                  2021 年 2 月 24 日

                                                                                                                                                  HDS セットアップ ツールは、プロキシの後ろで実行できるようになりました。 詳細については、「HDS ホストの設定 ISO を作成する」を参照してください。

                                                                                                                                                  2021 年 2 月 2 日

                                                                                                                                                  HDS は、マウントされた ISO ファイルなしで実行できるようになりました。 詳細については、「(オプション) HDS 設定後に ISO のマウント解除 」を参照してください。

                                                                                                                                                  2021年1月11日。

                                                                                                                                                  HDSセットアップツールとプロキシに関する情報を追加し、HDSホストの設定ISOを作成しました。

                                                                                                                                                  2020/10/13

                                                                                                                                                  インストールファイルのダウンロードを更新しました。

                                                                                                                                                  2020/10/08

                                                                                                                                                  更新HDSホスト用の構成ISOの作成およびFedRAMP環境のコマンドによるノード構成の変更

                                                                                                                                                  2020 年 8 月 14 日

                                                                                                                                                  サインイン プロセスの変更に伴い、「HDS ホストの構成 ISO を作成する」および「ノード構成を変更する」が更新されました。

                                                                                                                                                  2020年8月5日水曜日

                                                                                                                                                  ログ メッセージの変更に関するハイブリッド データ セキュリティ展開のテストを更新しました。

                                                                                                                                                  ホストの最大数を削除する仮想ホスト要件を更新しました。

                                                                                                                                                  2020 年 6 月 16 日

                                                                                                                                                  Control Hub UI の変更に関するノードの削除を更新しました。

                                                                                                                                                  2020 年 6 月 4 日

                                                                                                                                                  設定する詳細設定の変更に関するHDS ホストの設定 ISO の作成を更新しました。

                                                                                                                                                  2020 年 5 月 29 日

                                                                                                                                                  SQL Serverデータベース、UI変更、およびその他の説明でTLSを使用できることを示すために、HDSホストの構成ISOを作成するを更新しました。

                                                                                                                                                  2020 年 5 月 5 日

                                                                                                                                                  ESXi 6.5 の新しい要件を表示するために、仮想ホスト要件を更新しました。

                                                                                                                                                  2020 年 4 月 21 日

                                                                                                                                                  新しい Americas CI ホストとの外部接続要件が更新されました。

                                                                                                                                                  2020 年 4 月 1 日

                                                                                                                                                  地域 CI ホストに関する情報で外部接続要件が更新されました。

                                                                                                                                                  2020年2月20日水曜日HDSセットアップツールの新しいオプションの詳細設定画面に関する情報を記載したHDSホストの設定ISOを作成を更新しました。
                                                                                                                                                  2020年2月4日。プロキシサーバーの要件を更新しました。
                                                                                                                                                  2019年12月16日ブロックされた外部 DNS 解決モードがプロキシサーバーの要件で動作する要件を明確化しました。
                                                                                                                                                  2019 年 11 月 19 日

                                                                                                                                                  次のセクションで、ブロックされた外部 DNS 解決モードに関する情報を追加しました。

                                                                                                                                                  2019 年 11 月 8 日

                                                                                                                                                  OVA を後で展開するのではなく、ノードのネットワーク設定を構成できるようになりました。

                                                                                                                                                  以下のセクションを適宜更新しました。


                                                                                                                                                   

                                                                                                                                                  OVA 展開中にネットワーク設定を設定するオプションは、ESXi 6.5 でテストされています。 このオプションは、以前のバージョンでは使用できない場合があります。

                                                                                                                                                  2019年9月6日水曜日

                                                                                                                                                  データベースサーバーの要件にSQL Server Standardを追加しました。

                                                                                                                                                  2019 年 8 月 29 日適切な動作のためにWebSocketトラフィックを無視するようにSquidプロキシを設定する方法についてのガイダンスが追加されました。Configure Squid Proxies for Hybrid Data Securityの付録が追加されました。
                                                                                                                                                  2019 年 8 月 20 日

                                                                                                                                                  Webex クラウドへのハイブリッド データ セキュリティ ノード通信のプロキシ サポートをカバーするセクションを追加および更新しました。

                                                                                                                                                  既存の展開のプロキシ サポート コンテンツだけにアクセスするには、「ハイブリッド データ セキュリティと Webex ビデオ メッシュのプロキシ サポート」のヘルプ記事を参照してください。

                                                                                                                                                  2019年6月13日。トライアルから本番稼働タスク フローに更新し、 HdsTrialGroup 組織がディレクトリ同期を使用している場合、トライアルを開始する前にグループ オブジェクト。
                                                                                                                                                  2019年3月6日(火)
                                                                                                                                                  2019 年 2 月 28 日
                                                                                                                                                  • ハイブリッド データ セキュリティ ノードとなる仮想ホストを 50 GB から 20 GB に準備するときに、OVA が作成するディスクのサイズを反映させるために、サーバあたりのローカル ハード ディスクの空き容量を修正しました。

                                                                                                                                                  2019 年 2 月 26 日
                                                                                                                                                  • ハイブリッド データ セキュリティ ノードは、PostgreSQL データベース サーバとの暗号化された接続、および TLS 対応の syslog サーバへの暗号化されたロギング接続をサポートするようになりました。 手順が記載された「HDS ホストの設定 ISO を作成」を更新しました。

                                                                                                                                                  • 「ハイブリッド データ セキュリティ ノード VM のインターネット接続要件」の表から移動先 URL を削除しました。 この表は、Webex Teams サービスのネットワーク要件の「Webex Teams ハイブリッド サービスの追加 URL」表で維持されているリストを参照しています。

                                                                                                                                                  2019 年 1 月 24 日

                                                                                                                                                  • ハイブリッド データ セキュリティは、データベースとして Microsoft SQL Server をサポートするようになりました。 SQL Server Always On (Always On Failover Clusters and Always on Availability Groups) は、ハイブリッド データ セキュリティで使用される JDBC ドライバーによってサポートされています。 SQL Server での展開に関連するコンテンツを追加しました。


                                                                                                                                                     

                                                                                                                                                    Microsoft SQL Server のサポートは、ハイブリッド データ セキュリティの新規展開のみを対象としています。 現在のところ、既存の展開における、PostgreSQL から Microsoft SQL Server への移行はサポートしていません。

                                                                                                                                                  2018年11月5日。
                                                                                                                                                  2018年10月19日水曜日

                                                                                                                                                  2018 年 7 月 31 日

                                                                                                                                                  2018/05/21

                                                                                                                                                  Cisco Spark のリブランディングを反映する用語の変更:

                                                                                                                                                  • Cisco Spark ハイブリッド データ セキュリティがハイブリッド データ セキュリティになりました。

                                                                                                                                                  • Cisco Spark アプリが Webex アプリ アプリになりました。

                                                                                                                                                  • Cisco Collaboraton Cloud は Webex クラウドになりました。

                                                                                                                                                  2018年4月11日。
                                                                                                                                                  2018年2月22日水曜日
                                                                                                                                                  • サービスアカウントパスワードの9か月の寿命と、HDSセットアップツールを使用してサービスアカウントパスワードをリセットする方法についての情報を追加しました。「HDSホストの設定ISOの作成」および「ノード設定の変更」を参照してください。

                                                                                                                                                  2018 年 2 月 15 日
                                                                                                                                                  • X.509証明書の要件表では、証明書がワイルドカード証明書にはならないこと、KMSがCNドメインを使用していること、x.509v3 SANフィールドで定義されているドメインではないことが指定されています。

                                                                                                                                                  2018 年 1 月 18 日

                                                                                                                                                  2017年11月2日。

                                                                                                                                                  • HdsTrialGroup のディレクトリ同期を明確にしました。

                                                                                                                                                  • VM ノードにマウントするための ISO 設定ファイルをアップロードする手順を修正しました。

                                                                                                                                                  2017年8月18日。

                                                                                                                                                  初公開。

                                                                                                                                                  ハイブリッド データ セキュリティの使用を開始する

                                                                                                                                                  ハイブリッド データ セキュリティの概要

                                                                                                                                                  初日から、Webex アプリの設計において、データ セキュリティが主な焦点となっています。 このセキュリティはエンドツーエンドのコンテンツ暗号化を基礎とし、 Webexアプリ クライアントがキー管理サービス (KMS) とやり取りすることで実現しました。 KMS はメッセージとファイルを動的に暗号化し、解読するためにクライアントが使用する暗号キーの作成と管理の責任を負っています。

                                                                                                                                                  デフォルトでは、すべての Webex アプリの顧客は、Cisco のセキュリティ領域にあるクラウド KMS に保存されている動的キーを使用して、エンドツーエンドの暗号化を取得します。 ハイブリッド データ セキュリティは、KMS とその他のセキュリティ関連の機能をあなたのエンタープライズ データ センターに移動するため、誰でもなくあなたが暗号化コンテンツの鍵を持っています。

                                                                                                                                                  セキュリティRealmアーキテクチャ

                                                                                                                                                  Webex クラウド アーキテクチャは、以下に示すように、さまざまなタイプのサービスを別々の領域、または信頼ドメインに分離します。

                                                                                                                                                  分離の領域 (ハイブリッド データ セキュリティなし)

                                                                                                                                                  ハイブリッド データ セキュリティをさらに理解するには、まず、シスコがクラウド レルムですべての機能を提供しているこの純粋なクラウド ケースを見てみましょう。 メールアドレスなどの個人情報とユーザーが直接相関できる唯一の場所であるアイデンティティサービスは、データセンターBのセキュリティ領域と論理的かつ物理的に分離されています。

                                                                                                                                                  この図では、クライアントはユーザーのラップトップで実行されている Webex アプリであり、ID サービスで認証されています。 ユーザがスペースに送信するメッセージを作成すると、次の手順が実行されます。

                                                                                                                                                  1. クライアントは、キー管理サービス(KMS)とのセキュアな接続を確立し、メッセージを暗号化するためのキーを要求します。 安全な接続は ECDH を使用し、KMS は AES-256 マスター キーを使用してキーを暗号化します。

                                                                                                                                                  2. メッセージはクライアントを離れる前に暗号化されます。 クライアントはインデックスをインデックスサービスに送信します。これにより、暗号化された検索インデックスが作成され、今後のコンテンツの検索に役立ちます。

                                                                                                                                                  3. 暗号化されたメッセージは、コンプライアンス チェックのためにコンプライアンス サービスに送信されます。

                                                                                                                                                  4. 暗号化されたメッセージはストレージ領域に保存されます。

                                                                                                                                                  ハイブリッド データ セキュリティを展開すると、セキュリティ レルム機能 (KMS、インデックス、コンプライアンス) をオンプレミスのデータセンターに移動します。 Webex を構成する他のクラウド サービス (ID とコンテンツ ストレージを含む) は、シスコの領域に残ります。

                                                                                                                                                  他の組織との連携

                                                                                                                                                  組織内のユーザーは、Webex アプリを定期的に使用して、他の組織の外部参加者とコラボレーションできます。 ユーザーの 1 人が組織によって所有されているスペースのキーを要求すると(ユーザーの 1 人が作成したため)、KMS は ECDH 保護されたチャネルを介してキーをクライアントに送信します。 ただし、別の組織がスペースのキーを所有している場合、KMS は別の ECDH チャネルを介してリクエストを WEBEX クラウドにルーティングして、適切な KMS からキーを取得し、元のチャネルのユーザーにキーを返します。

                                                                                                                                                  組織 A で実行されている KMS サービスは、x.509 PKI 証明書を使用して他の組織の KMS への接続を検証します。 ハイブリッド データ セキュリティの展開で使用する x.509 証明書の生成の詳細については、「環境の準備」を参照してください。

                                                                                                                                                  ハイブリッド データ セキュリティの展開への期待

                                                                                                                                                  ハイブリッド データ セキュリティの展開には、重要な顧客のコミットメントと、暗号化キーの所有に伴うリスクの認識が必要です。

                                                                                                                                                  ハイブリッド データ セキュリティを展開するには、以下を提供する必要があります。

                                                                                                                                                  ハイブリッド データ セキュリティ用に構築する構成 ISO または提供されたデータベースのいずれかを完全に失うと、キーが失われます。 キー損失は、ユーザーが Webex アプリでスペース コンテンツやその他の暗号化されたデータを復号することを防ぎます。 この場合、新しい展開を構築できますが、新しいコンテンツのみが表示されます。 データへのアクセスの損失を避けるには、以下を行う必要があります。

                                                                                                                                                  • データベースのバックアップとリカバリ、および構成ISOを管理します。

                                                                                                                                                  • データベースのディスク障害やデータセンター障害などの大災害が発生した場合、迅速な災害復旧を実行する準備をしてください。


                                                                                                                                                   

                                                                                                                                                  HDS 導入後にキーをクラウドに戻すメカニズムはありません。

                                                                                                                                                  高レベルのセットアッププロセス

                                                                                                                                                  このドキュメントでは、ハイブリッド データ セキュリティ展開のセットアップと管理について説明します。

                                                                                                                                                  • ハイブリッド データ セキュリティのセットアップ—これには、必要なインフラストラクチャの準備とハイブリッド データ セキュリティ ソフトウェアのインストール、トライアル モードでのユーザーのサブセットを使用した展開のテスト、テストが完了すると本番環境に移行することが含まれます。 これにより、組織全体がセキュリティ機能にハイブリッド データ セキュリティ クラスタを使用できるようになります。

                                                                                                                                                    セットアップ、トライアル、および生産の各段階は、次の3つの章で詳しく説明されています。

                                                                                                                                                  • ハイブリッド データ セキュリティの展開を維持する—Webex クラウドは自動的に継続的なアップグレードを提供します。 IT 部門は、この展開に対してティア 1 のサポートを提供し、必要に応じてシスコのサポートを引き受けることができます。 画面上の通知を使用し、Control Hub でメールベースのアラートを設定できます。

                                                                                                                                                  • 一般的なアラート、トラブルシューティング手順、および既知の問題について理解する—ハイブリッド データ セキュリティの展開または使用で問題が発生した場合、このガイドの最後の章と既知の問題の付録は、問題を決定および修正するのに役立ちます。

                                                                                                                                                  ハイブリッド データ セキュリティ展開モデル

                                                                                                                                                  エンタープライズ データ センターでは、ハイブリッド データ セキュリティを個別の仮想ホスト上のノードの単一のクラスタとして展開します。 ノードは、セキュアなウェブソケットとセキュアな HTTP を通じて Webex クラウドと通信します。

                                                                                                                                                  インストールプロセス中に、提供するVM上の仮想アプライアンスを設定するためのOVAファイルを提供します。 HDS セットアップ ツールを使用して、各ノードにマウントするカスタム クラスタ構成 ISO ファイルを作成します。 ハイブリッド データ セキュリティ クラスタは、提供された Syslogd サーバーと PostgreSQL または Microsoft SQL Server データベースを使用します。 (HDS セットアップツールで Syslogd とデータベース接続の詳細を設定します。)

                                                                                                                                                  ハイブリッド データ セキュリティ展開モデル

                                                                                                                                                  クラスタに持つことができるノードの最小数は 2 です。 私たちは少なくとも3つをお勧めします、そしてあなたは最大5つを持つことができます。 複数のノードを持つことにより、ノードのソフトウェアアップグレードやその他のメンテナンス作業中にサービスが中断されないようにします。(Webex クラウドは一度に 1 つのノードのみをアップグレードします。)

                                                                                                                                                  クラスタ内のすべてのノードが同じキーデータストアにアクセスし、同じ syslog サーバにアクティビティをログします。 ノード自体はステートレスであり、クラウドの指示に従って、ラウンドロビン方式で重要な要求を処理します。

                                                                                                                                                  ノードは、Control Hub に登録するとアクティブになります。 個々のノードをサービスから削除するには、登録を解除し、必要に応じて後で再登録できます。

                                                                                                                                                  組織ごとに 1 つのクラスタのみをサポートします。

                                                                                                                                                  ハイブリッド データ セキュリティ トライアル モード

                                                                                                                                                  ハイブリッド データ セキュリティの展開をセットアップした後、最初にパイロット ユーザーのセットで試してください。 トライアル期間中、これらのユーザーは暗号化キーやその他のセキュリティ領域サービスにオンプレミスのハイブリッド データ セキュリティ ドメインを使用します。 他のユーザーは引き続きクラウド セキュリティ レルムを使用します。

                                                                                                                                                  トライアル中に展開を続行せず、サービスを無効にすると、パイロットユーザーとトライアル期間中に新しいスペースを作成して対話したユーザーは、メッセージとコンテンツへのアクセス権を失います。 Webex アプリに「このメッセージは復号化できません」と表示されます。

                                                                                                                                                  導入がトライアル ユーザーに対してうまく機能しており、ハイブリッド データ セキュリティをすべてのユーザーに拡張する準備ができている場合は、導入を本番環境に移行します。 パイロットのユーザーは、トライアル中に使用されたキーにアクセスできます。 ただし、プロダクションモードと元のトライアルを行ったり来たりすることはできません。 ディザスタ リカバリを実行するなど、サービスを非アクティブ化する必要がある場合は、再アクティブ化時に新しいトライアルを開始し、新しいトライアルのパイロット ユーザーのセットを設定してから、プロダクション モードに戻す必要があります。 ユーザがこの時点でデータへのアクセスを保持するかどうかは、クラスタ内のハイブリッド データ セキュリティ ノードのキー データ ストアと ISO 構成ファイルのバックアップを正常に維持したかどうかに依存します。

                                                                                                                                                  災害復旧のためのスタンバイデータセンター

                                                                                                                                                  展開中に、セキュアなスタンバイデータセンターを設定します。 データセンターに障害が発生した場合、スタンバイデータセンターへの展開を手動で失敗させることができます。

                                                                                                                                                  Before failover, Data Center A has active HDS nodes and the primary PostgreSQL or Microsoft SQL Server database, while B has a copy of the ISO file with additional configurations, VMs that are registered to the organization, and a standby database. After failover, Data Center B has active HDS nodes and the primary database, while A has unregistered VMs and a copy of the ISO file, and the database is in standby mode.
                                                                                                                                                  スタンバイデータセンターへの手動フェールオーバー

                                                                                                                                                  アクティブ データ センターとスタンバイ データ センターのデータベースが相互に同期されているため、フェールオーバーを実行するのにかかる時間が最小限に抑えられます。 スタンバイデータセンターの ISO ファイルは、ノードが組織に登録されていることを確認する追加の構成で更新されますが、トラフィックは処理されません。 したがって、スタンバイデータセンターのノードは、常に最新バージョンのHDSソフトウェアで最新の状態に保たれます。


                                                                                                                                                   

                                                                                                                                                  アクティブなハイブリッド データ セキュリティ ノードは、常にアクティブなデータベース サーバと同じデータセンターにある必要があります。

                                                                                                                                                  災害復旧のためのスタンバイデータセンターを設定

                                                                                                                                                  スタンバイデータセンターの ISO ファイルを設定するには、以下の手順に従います。

                                                                                                                                                  始める前に

                                                                                                                                                  • スタンバイデータセンターは、VMとバックアップPostgreSQLまたはMicrosoft SQL Serverデータベースの生産環境をミラーリングする必要があります。 たとえば、本番環境に HDS ノードを実行する 3 台の仮想マシンがある場合、バックアップ環境には 3 台の仮想マシンが必要です (このフェールオーバーモデルの概要については、「Standby Data Center for Disaster Recovery」を参照してください)。

                                                                                                                                                  • アクティブクラスタノードとパッシブクラスタノードのデータベース間でデータベース同期が有効になっていることを確認します。

                                                                                                                                                  1

                                                                                                                                                  HDS Setupツールを起動し、「HDSホストの設定ISOを作成する」の手順に従います。


                                                                                                                                                   

                                                                                                                                                  ISO ファイルは、次の構成更新を行うプライマリデータセンターの原本 ISO ファイルのコピーである必要があります。

                                                                                                                                                  2

                                                                                                                                                  Syslogdサーバーを構成した後、[詳細設定]をクリックします。

                                                                                                                                                  3

                                                                                                                                                  [詳細設定]ページで、以下の設定を追加して、ノードをパッシブモードにします。 このモードでは、ノードは組織に登録され、クラウドに接続されますが、トラフィックは処理されません。

                                                                                                                                                  
                                                                                                                                                  passiveMode: 'true'
                                                                                                                                                  
                                                                                                                                                  4

                                                                                                                                                  構成プロセスを完了し、見つけやすい場所にISOファイルを保存します。

                                                                                                                                                  5

                                                                                                                                                  ローカルシステム上のISOファイルのバックアップコピーを作成します。 バックアップコピーを安全に保管してください。 このファイルには、データベースコンテンツのマスター暗号化キーが含まれています。 構成を変更する必要があるハイブリッド データ セキュリティ管理者のみへのアクセスを制限します。

                                                                                                                                                  6

                                                                                                                                                  VMware vSphere クライアントの左側のナビゲーションペインで、仮想マシンを右クリックし、[設定の編集] をクリックします。

                                                                                                                                                  7

                                                                                                                                                  [設定の編集]>[CD/DVDドライブ1]をクリックし、[データストアISOファイル]を選択します。


                                                                                                                                                   

                                                                                                                                                  ノードを開始した後で、更新された設定変更を有効にするために、「接続」および「電源投入時に接続」がオンになっていることを確認します。

                                                                                                                                                  8

                                                                                                                                                  HDS ノードの電源を入れ、少なくとも 15 分間アラームがないことを確認します。

                                                                                                                                                  9

                                                                                                                                                  スタンバイデータセンター内のすべてのノードに対してプロセスを繰り返します。


                                                                                                                                                   

                                                                                                                                                  Syslogs をチェックして、ノードがパッシブモードになっていることを確認します。 Syslogsで「パッシブモードで設定されたKMS」というメッセージを表示できるはずです。

                                                                                                                                                  次に行うこと

                                                                                                                                                  設定後 passiveMode ISOファイルに保存すると、ISOファイルの別のコピーを作成できます。 passiveMode 設定し、安全な場所に保存します。 このISOファイルのコピー passiveMode 設定すると、ディザスタ リカバリ中の迅速なフェールオーバー プロセスに役立ちます。 詳細なフェールオーバー手順については、「 スタンバイデータセンターを使用したディザスタ リカバリ」を参照してください。

                                                                                                                                                  プロキシサポート

                                                                                                                                                  ハイブリッド データ セキュリティは、明示的な透過的な検査および非検査プロキシをサポートします。 これらのプロキシを展開に関連付けることができます。これにより、エンタープライズからクラウドに送信されるトラフィックをセキュリティ保護し、監視することができます。 証明書の管理のノードでプラットフォーム管理インターフェイスを使用して、ノードでプロキシを設定した後で、全体的な接続ステータスを確認することができます。

                                                                                                                                                  ハイブリッド データ セキュリティ ノードは、以下のプロキシ オプションをサポートしています。

                                                                                                                                                  • プロキシなし—プロキシを統合するために、HDS ノード セットアップの信頼ストアとプロキシ設定を使用しない場合は、デフォルトになります。 証明書の更新は必要ありません。

                                                                                                                                                  • 透過型の検査なしのプロキシ—ノードは特定のプロキシ サーバー アドレスを使用するように設定されていないため、検査なしのプロキシで動作するように変更を加える必要はありません。 証明書の更新は必要ありません。

                                                                                                                                                  • 透過トンネリングまたは検査プロキシ—ノードは特定のプロキシ サーバー アドレスを使用するように設定されていません。 ノードでは、HTTP または HTTPS の設定変更は必要ありません。 ただし、ノードはプロキシを信頼するためにルート証明書を必要とします。 プロキシを検査することで、Web サイトにアクセスするか、どのタイプのコンテンツを使用するかを強制するポリシーを施行することができます。 このタイプのプロキシは、すべてのトラフィック (HTTPS さえも含む) を復号化します。

                                                                                                                                                  • 明示的プロキシ—明示的なプロキシを使用して、使用するプロキシ サーバーと認証スキームを指定します。 明示的なプロキシを設定するには、各ノードに次の情報を入力する必要があります。

                                                                                                                                                    1. プロキシ IP/FQDN—プロキシ マシンに到達するために使用できるアドレス。

                                                                                                                                                    2. プロキシ ポート-プロキシがプロキシ トラフィックをリスンするために使用するポート番号。

                                                                                                                                                    3. プロキシ プロトコル-プロキシ サーバーがサポートするものに応じて、次のいずれかのプロトコルを選択します。

                                                                                                                                                      • HTTP—クライアントが送信するすべての要求を表示し、コントロールします。

                                                                                                                                                      • HTTPS—サーバーにチャネルを提供します。 クライアントがサーバーの証明書を受け取り、検証します。

                                                                                                                                                    4. 認証タイプ-次の認証タイプから選択します。

                                                                                                                                                      • なし—追加の認証は必要ありません。

                                                                                                                                                        プロキシ プロトコルとして HTTP または HTTPS のいずれかを選択した場合に利用できます。

                                                                                                                                                      • ベーシック—HTTP ユーザー エージェントがリクエストを行う際にユーザー名とパスワードを指定するために使用されます。 Base64 エンコードを使用します。

                                                                                                                                                        プロキシ プロトコルとして HTTP または HTTPS のいずれかを選択した場合に利用できます。

                                                                                                                                                        各ノードにユーザー名とパスワードを入力する必要があります。

                                                                                                                                                      • ダイジェスト—機密情報を送信する前にアカウントを確認するために使用されます。 ネットワークを経由して送信する前に、ユーザー名およびパスワードにハッシュ機能を適用します。

                                                                                                                                                        プロキシ プロトコルとして HTTPS を選択した場合にのみ利用できます。

                                                                                                                                                        各ノードにユーザー名とパスワードを入力する必要があります。

                                                                                                                                                  ハイブリッド データ セキュリティ ノードとプロキシの例

                                                                                                                                                  この図は、ハイブリッド データ セキュリティ、ネットワーク、およびプロキシ間の接続例を示しています。 透過的な検査および HTTPS 明示的な検査プロキシ オプションの場合、同じルート証明書がプロキシとハイブリッド データ セキュリティ ノードにインストールされている必要があります。

                                                                                                                                                  外部 DNS 解決ブロックモード (明示的プロキシ構成)

                                                                                                                                                  ノードを登録するか、またはノードのプロキシ構成を確認するとき、プロセスは DNS 検索と Cisco Webex クラウドへの接続をテストします。 内部クライアントのための外部 DNS 解決が許可されていない、明示的なプロキシ構成の展開では、ノードが DNS サーバーに問い合わせができない場合、自動的に外部 DNS 解決ブロックモードに切り替わります。 このモードでは、ノード登録および他のプロキシ接続テストを続行することができます。

                                                                                                                                                  環境の準備

                                                                                                                                                  ハイブリッド データ セキュリティの要件

                                                                                                                                                  Cisco Webex ライセンス要件

                                                                                                                                                  ハイブリッド データ セキュリティを展開するには:

                                                                                                                                                  Docker デスクトップの要件

                                                                                                                                                  HDS ノードをインストールする前に、セットアッププログラムを実行するには Docker Desktop が必要です。 Dockerは最近、ライセンスモデルを更新しました。 あなたの組織は、Docker デスクトップの有料サブスクリプションを必要としている場合があります。 詳細については、Docker ブログ投稿次を参照してください。 Docker は製品のサブスクリプションを更新し、延長しています」に置き換えることで、URL が有効かどうかを検証できます。

                                                                                                                                                  X.509 証明書の要件

                                                                                                                                                  証明書チェーンは、次の要件を満たしている必要があります。

                                                                                                                                                  表 1. ハイブリッド データ セキュリティ展開の X.509 証明書要件

                                                                                                                                                  要件

                                                                                                                                                  の詳細

                                                                                                                                                  • 信頼できる認証局 (CA) によって署名された

                                                                                                                                                  デフォルトでは、https://wiki.mozilla.org/CA:IncludedCAsでMozillaリスト(WoSignとStartComを除く)のCAを信頼しています。

                                                                                                                                                  • ハイブリッド データ セキュリティの展開を識別する共通名 (CN) ドメイン名を持つ

                                                                                                                                                  • ワイルドカード証明書ではありません

                                                                                                                                                  CN に到達可能またはライブホストである必要はありません。 組織を反映する名前を使用することを推奨します。たとえば、 hds.company.com です。

                                                                                                                                                  CN に * (ワイルドカード) を含めることはできません。

                                                                                                                                                  CN は、Webex アプリ クライアントへのハイブリッド データ セキュリティ ノードを確認するために使用されます。 クラスタ内のすべてのハイブリッド データ セキュリティ ノードが同じ証明書を使用します。 KMS は、x.509v3 SAN フィールドで定義されているドメインではなく、CN ドメインを使用して自身を識別します。

                                                                                                                                                  この証明書でノードを登録すると、CN ドメイン名の変更はサポートされません。 トライアル展開と本番展開の両方に適用できるドメインを選択します。

                                                                                                                                                  • 非SHA1署名

                                                                                                                                                  KMS ソフトウェアは、他の組織の KMS への接続を検証するための SHA1 署名をサポートしていません。

                                                                                                                                                  • パスワードで保護されたPKCS #12ファイルとしてフォーマット

                                                                                                                                                  • 親しみやすい名前を使用する kms-private-key 証明書、秘密キー、およびアップロードする中間証明書をタグ付けします。

                                                                                                                                                  OpenSSL などのコンバータを使用して、証明書の形式を変更できます。

                                                                                                                                                  HDSセットアップツールを実行するときは、パスワードを入力する必要があります。

                                                                                                                                                  KMS ソフトウェアは、キーの使用や拡張キーの使用制限を強制しません。 一部の証明機関では、サーバ認証など、各証明書に拡張されたキーの使用制限を適用する必要があります。 サーバー認証やその他の設定を使用してもかまいません。

                                                                                                                                                  仮想ホストの要件

                                                                                                                                                  クラスタ内のハイブリッド データ セキュリティ ノードとして設定する仮想ホストには、次の要件があります。

                                                                                                                                                  • 同じセキュア データ センターでコロケーションされた少なくとも 2 つの別のホスト (3 つの推奨)

                                                                                                                                                  • VMware ESXi 6.5 (またはそれ以降) がインストールされ、実行されています。


                                                                                                                                                     

                                                                                                                                                    以前のバージョンの ESXi がある場合は、アップグレードする必要があります。

                                                                                                                                                  • 最低4vCPU、8GBメインメモリ、サーバーあたり30GBのローカルハードディスク容量

                                                                                                                                                  データベースサーバーの要件


                                                                                                                                                   

                                                                                                                                                  キーストレージ用の新しいデータベースを作成します。 デフォルトのデータベースを使用しないでください。 HDS アプリケーションをインストールすると、データベース スキーマが作成されます。

                                                                                                                                                  データベースサーバーには2つのオプションがあります。 各要件は以下のとおりです。

                                                                                                                                                  表 2. データベースの種類別のデータベースサーバー要件

                                                                                                                                                  PostgreSQLについて

                                                                                                                                                  Microsoft SQL Server(マイクロソフト SQL サーバー)

                                                                                                                                                  • PostgreSQL 14、15、または 16 がインストールされ、実行されています。

                                                                                                                                                  • SQL Server 2016、2017、または 2019(Enterprise または Standard)がインストールされています。


                                                                                                                                                     

                                                                                                                                                    SQL Server 2016 では、Service Pack 2 および Cumulative Update 2 以降が必要です。

                                                                                                                                                  最小8 vCPU、16 GBのメインメモリ、十分なハードディスク容量、およびそれを超えないようにするための監視(ストレージを増やす必要なく、データベースを長時間実行する場合は2 TBを推奨)

                                                                                                                                                  最小8 vCPU、16 GBのメインメモリ、十分なハードディスク容量、およびそれを超えないようにするための監視(ストレージを増やす必要なく、データベースを長時間実行する場合は2 TBを推奨)

                                                                                                                                                  HDS ソフトウェアは現在、データベース サーバとの通信用に次のドライバ バージョンをインストールしています。

                                                                                                                                                  PostgreSQLについて

                                                                                                                                                  Microsoft SQL Server(マイクロソフト SQL サーバー)

                                                                                                                                                  Postgres JDBCドライバ 42.2.5

                                                                                                                                                  SQL Server JDBC ドライバ 4.6

                                                                                                                                                  このドライババージョンは、SQL Server Always On(Always On Failover Cluster InstancesおよびAlways On availability groups)をサポートしています。

                                                                                                                                                  Microsoft SQL Server に対する Windows 認証の追加要件

                                                                                                                                                  HDS ノードが Windows 認証を使用して Microsoft SQL Server のキーストア データベースにアクセスできるようにするには、環境内で次の設定が必要です。

                                                                                                                                                  • HDS ノード、Active Directory インフラストラクチャ、MS SQL Server はすべて NTP と同期する必要があります。

                                                                                                                                                  • HDS ノードに提供する Windows アカウントは、データベースへの読み取り/書き込みアクセス権を持っている必要があります。

                                                                                                                                                  • HDS ノードに提供する DNS サーバは、キー配布センター (KDC) を解決できる必要があります。

                                                                                                                                                  • Microsoft SQL Server に HDS データベース インスタンスをサービス プリンシパル名 (SPN) として Active Directory に登録できます。 詳細は、Kerberos Connections のサービス プリンシパル名を登録するを参照してください。

                                                                                                                                                    HDS セットアップツール、HDS ランチャー、およびローカル KMS はすべて、キーストアデータベースにアクセスするために Windows 認証を使用する必要があります。 Kerberos 認証でアクセスを要求するときに、ISO 設定の詳細を使用して SPN を構築します。

                                                                                                                                                  外部接続の要件

                                                                                                                                                  HDS アプリケーションに次の接続を許可するようにファイアウォールを設定します。

                                                                                                                                                  アプリケーション

                                                                                                                                                  プロトコル

                                                                                                                                                  ポート

                                                                                                                                                  アプリからの方向

                                                                                                                                                  移動先

                                                                                                                                                  ハイブリッド データ セキュリティ ノード

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  アウトバウンド HTTPS および WSS

                                                                                                                                                  HDS 設定ツール

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  アウトバウンド HTTPS

                                                                                                                                                  • *.wbx2.com

                                                                                                                                                  • すべての Common Identity ホスト

                                                                                                                                                  • ハブ.docker.com


                                                                                                                                                   

                                                                                                                                                  ハイブリッド データ セキュリティ ノードは、ネットワークアクセス変換(NAT)またはファイアウォールの後ろで動作します。ただし、NAT またはファイアウォールが前の表のドメイン宛先への必要な発信接続を許可している場合に限ります。 ハイブリッド データ セキュリティ ノードにインバウンドする接続の場合、インターネットからポートを表示することはできません。 データセンター内では、管理目的で、クライアントは TCP ポート 443 および 22 のハイブリッド データ セキュリティ ノードにアクセスする必要があります。

                                                                                                                                                  Common Identity (CI) ホストの URL は地域固有です。 これらは現在の CI ホストです。

                                                                                                                                                  地域

                                                                                                                                                  共通 ID ホスト URL

                                                                                                                                                  Americas (北米、中南米エリア)

                                                                                                                                                  • https://idbroker.webex.com

                                                                                                                                                  • https://identity.webex.com

                                                                                                                                                  • https://idbroker-b-us.webex.com

                                                                                                                                                  • https://identity-b-us.webex.com

                                                                                                                                                  欧州連合

                                                                                                                                                  • https://idbroker-eu.webex.com

                                                                                                                                                  • https://identity-eu.webex.com

                                                                                                                                                  カナダ

                                                                                                                                                  • https://idbroker-ca.webex.com

                                                                                                                                                  • https://identity-ca.webex.com

                                                                                                                                                  プロキシ サーバーの要件

                                                                                                                                                  • お使いのハイブリッド データ セキュリティ ノードと統合できる次のプロキシ ソリューションを正式にサポートしています。

                                                                                                                                                    • 透過的プロキシ—Cisco Web Security Appliance (WSA)。

                                                                                                                                                    • 明示的プロキシ—Squid。


                                                                                                                                                       

                                                                                                                                                      HTTPS トラフィックを検査する Squid プロキシは、websocket (wss:) 接続の確立に干渉することができます。 接続の確立に干渉することができます。 この問題を回避するには、「ハイブリッド データ セキュリティ用の Squid プロキシの設定」を参照してください。

                                                                                                                                                  • 明示的プロキシに対して次の認証タイプの組み合わせがサポートされています。

                                                                                                                                                    • HTTP または HTTPS による認証がありません

                                                                                                                                                    • HTTP または HTTPS による基本認証

                                                                                                                                                    • HTTPS のみによるダイジェスト認証

                                                                                                                                                  • 透過的検査プロキシまたは HTTPS 明示的プロキシについては、プロキシのルート証明書のコピーが必要です。 このガイドに記載されている展開手順は、ハイブリッド データ セキュリティ ノードの信頼ストアにコピーをアップロードする方法を説明しています。

                                                                                                                                                  • HDS ノードをホストするネットワークは、ポート 443 のアウトバウンド TCP トラフィックを強制的にプロキシ経由でルーティングするように設定されている必要があります。

                                                                                                                                                  • Web トラフィックを検査するプロキシは、Web ソケット接続に干渉する場合があります。 この問題が発生した場合、トラフィックをバイパス(検査しない)して wbx2.com および ciscospark.com 問題を解決します。

                                                                                                                                                  ハイブリッド データ セキュリティの前提条件を完了する

                                                                                                                                                  このチェックリストを使用して、ハイブリッド データ セキュリティ クラスタをインストールして設定する準備ができていることを確認します。
                                                                                                                                                  1

                                                                                                                                                  Webex 組織が Pro Pack for Cisco Webex Control Hub に対して有効になっていることを確認し、完全な組織管理者権限を持つアカウントの資格情報を取得します。 このプロセスについては、Cisco パートナーまたはアカウント マネージャーにお問い合わせください。

                                                                                                                                                  2

                                                                                                                                                  HDS 展開のドメイン名を選択します (たとえば、 hds.company.com) および X.509 証明書、秘密キー、および中間証明書を含む証明書チェーンを取得します。 証明書チェーンは、 X.509 証明書の要件の要件を満たす必要があります。

                                                                                                                                                  3

                                                                                                                                                  クラスタ内のハイブリッド データ セキュリティ ノードとして設定する同一の仮想ホストを準備します。 仮想ホスト要件の要件を満たす同じセキュアデータセンターにコロケーションされた少なくとも2つの個別のホスト(3つの推奨)が必要です。

                                                                                                                                                  4

                                                                                                                                                  データベースサーバーの要件に従って、クラスタのキーデータストアとして機能するデータベースサーバーを準備します。 データベースサーバーは、仮想ホストと安全なデータセンターでコロケーションする必要があります。

                                                                                                                                                  1. キーストレージ用のデータベースを作成します。 (このデータベースを作成する必要があります。デフォルトのデータベースを使用しないでください。 HDS アプリケーションをインストールすると、データベース スキーマが作成されます。

                                                                                                                                                  2. ノードがデータベース サーバと通信するために使用する詳細を収集します。

                                                                                                                                                    • ホスト名または IP アドレス (ホスト) とポート

                                                                                                                                                    • キーストレージのデータベース名(dbname)

                                                                                                                                                    • キーストレージデータベース上のすべての権限を持つユーザーのユーザー名とパスワード

                                                                                                                                                  5

                                                                                                                                                  迅速な災害復旧のために、別のデータセンターにバックアップ環境を設定します。 バックアップ環境は、VMとバックアップデータベースサーバの生成環境をミラーリングします。 たとえば、本番環境に HDS ノードを実行する 3 つの仮想マシンがある場合、バックアップ環境には 3 つの VM が必要です。

                                                                                                                                                  6

                                                                                                                                                  syslog ホストをセットアップして、クラスタ内のノードからログを収集します。 ネットワーク アドレスと syslog ポートを収集します(デフォルトは UDP 514)。

                                                                                                                                                  7

                                                                                                                                                  ハイブリッド データ セキュリティ ノード、データベース サーバ、および syslog ホスト用のセキュア バックアップ ポリシーを作成します。 少なくとも、回復不能なデータの損失を防ぐには、ハイブリッド データ セキュリティ ノード用に生成されたデータベースと構成 ISO ファイルをバックアップする必要があります。


                                                                                                                                                   

                                                                                                                                                  ハイブリッド データ セキュリティ ノードは、コンテンツの暗号化と復号化に使用されるキーを保存するため、運用展開を維持しないと、そのコンテンツが回復不能な損失を被ることになります。

                                                                                                                                                  Webex アプリ クライアントはキーをキャッシュするため、停止がすぐに目立つことはありませんが、時間の経過とともに明らかになります。 一時的な停止を防ぐことは不可能ですが、それらは回復可能です。 ただし、データベースまたは構成のISOファイルの完全な損失(利用可能なバックアップはありません)は、回復不能な顧客データになります。 ハイブリッド データ セキュリティ ノードのオペレータは、データベースと構成 ISO ファイルの頻繁なバックアップを維持し、壊滅的な障害が発生した場合にハイブリッド データ セキュリティ データ センターを再構築する準備をする必要があります。

                                                                                                                                                  8

                                                                                                                                                  ファイアウォール構成により、外部接続要件で説明されているように、ハイブリッド データ セキュリティ ノードの接続が許可されていることを確認してください。

                                                                                                                                                  9

                                                                                                                                                  サポートされているOS(Microsoft Windows 10 ProfessionalまたはEnterprise 64ビット、またはMac OSX Yosemite 10.10.3以降)を実行しているローカルマシンにDocker(https://www.docker.com)をインストールし、次の場所からアクセスできます。 http://127.0.0.1:8080.

                                                                                                                                                  Docker インスタンスを使用して、すべてのハイブリッド データ セキュリティ ノードのローカル設定情報を構築する HDS セットアップ ツールをダウンロードして実行します。 組織には Docker Desktop ライセンスが必要になる場合があります。 詳細については、「Docker デスクトップの要件」を参照してください。

                                                                                                                                                  HDSセットアップツールをインストールして実行するには、ローカルマシンに外部接続要件に記載されている接続性が必要です。

                                                                                                                                                  10

                                                                                                                                                  プロキシとハイブリッド データ セキュリティを統合する場合は、プロキシ サーバーの要件を満たしていることを確認してください。

                                                                                                                                                  11

                                                                                                                                                  組織でディレクトリ同期を使用している場合は、Active Directory でグループを作成します。 HdsTrialGroup 、およびパイロットユーザーを追加します。 トライアル グループには最大 250 人のユーザーが参加できます。 この HdsTrialGroup 組織のトライアルを開始する前に、オブジェクトをクラウドに同期する必要があります。 グループオブジェクトを同期するには、Directory Connectorの [構成] > [オブジェクトの選択] メニュー。(詳細については、『Cisco Directory Connector展開ガイド』を参照してください。)


                                                                                                                                                   

                                                                                                                                                  特定のスペースのキーは、スペースの作成者によって設定されます。 パイロット ユーザーを選択する場合、ハイブリッド データ セキュリティの展開を永久に無効にすると、すべてのユーザーがパイロット ユーザーによって作成されたスペースのコンテンツにアクセスできなくなることに注意してください。 ユーザーのアプリがキャッシュされたコンテンツのコピーを更新するとすぐに、損失が明らかになります。

                                                                                                                                                  ハイブリッド データ セキュリティ クラスタのセットアップ

                                                                                                                                                  ハイブリッド データ セキュリティ展開タスク フロー

                                                                                                                                                  始める前に

                                                                                                                                                  環境の準備

                                                                                                                                                  1

                                                                                                                                                  インストールファイルのダウンロード

                                                                                                                                                  後で使用するために、OVA ファイルをローカル マシンにダウンロードします。

                                                                                                                                                  2

                                                                                                                                                  HDS ホストの設定 ISO を作成する

                                                                                                                                                  HDS セットアップ ツールを使用して、ハイブリッド データ セキュリティ ノードの ISO 設定ファイルを作成します。

                                                                                                                                                  3

                                                                                                                                                  HDS ホスト OVA のインストール

                                                                                                                                                  OVA ファイルから仮想マシンを作成し、ネットワーク設定などの初期設定を実行します。


                                                                                                                                                   

                                                                                                                                                  OVA 展開中にネットワーク設定を設定するオプションは、ESXi 6.5 でテストされています。 このオプションは、以前のバージョンでは使用できない場合があります。

                                                                                                                                                  4