マルチテナントハイブリッドデータセキュリティ (HDS) の導入ガイド (ベータ版)

新規および変更された情報

この表では、新機能または機能、既存のコンテンツへの変更、および『マルチテナントハイブリッドデータセキュリティの展開ガイド』で修正された主なエラーについて説明します。

日付	変更を行いました
2024 年 12 月 13 日	最初のリリース。

マルチテナントのハイブリッドデータセキュリティの無効化

マルチテナント HDS の無効化タスクフロー

マルチテナント HDS を完全に無効にするには、次の手順に従います。

開始する前に

このタスクは、パートナーのフル管理者によってのみ実行されます。

1	「テナント組織の削除」で記載されているように、すべてのクラスタからすべての顧客を削除します。
2	「HDS から削除されたテナントの CMK を取り消す」に記載されている通り、すべての顧客の CMK を取り消します。
3	「ノードの削除」で記載されているように、すべてのクラスタからすべてのノードを削除します。
4	次の 2 つの方法のいずれかを使用して、Partner Hub からすべてのクラスタを削除します。削除するクラスタをクリックし、概要ページの右上隅にある [このクラスタの削除] を選択します。 [リソース] ページで、クラスタの右側の […] をクリックし、[クラスタの削除] を選択します。
5	ハイブリッドデータセキュリティの概要ページの [設定] タブをクリックし、HDS ステータスカードの [HDS の非アクティブ化] をクリックします。

マルチテナントのハイブリッドデータセキュリティを使い始める

マルチテナントのハイブリッドデータセキュリティの概要

Webex アプリの設計では、1 日目以降、データセキュリティが主要なフォーカスとなっています。このセキュリティのコーナーストンは、エンドツーエンドのコンテンツ暗号化であり、Webex アプリクライアントがキー管理サービス (KMS) と対話することで有効になります。KMS はメッセージとファイルを動的に暗号化し、解読するためにクライアントが使用する暗号キーの作成と管理の責任を負っています。

デフォルトでは、すべての Webex アプリの顧客は、Cisco のセキュリティ領域であるクラウド KMS に保存されているダイナミックキーを使用してエンドツーエンドの暗号化を取得します。ハイブリッドデータセキュリティは、KMS とその他のセキュリティ関連の機能をあなたのエンタープライズデータセンターに移動するため、誰でもなくあなたが暗号化コンテンツの鍵を持っています。

マルチテナントのハイブリッドデータセキュリティ により、組織はサービスプロバイダーとして機能し、オンプレミスの暗号化やその他のセキュリティサービスを管理できる信頼できるローカルパートナーを通じて HDS を活用できます。このセットアップにより、パートナー組織は暗号キーの展開と管理を完全に制御し、顧客組織のユーザーデータを外部アクセスから安全に保護できます。パートナー組織は HDS インスタンスをセットアップし、必要に応じて HDS クラスタを作成します。各インスタンスは、1 つの組織に制限される通常の HDS 展開とは異なり、複数の顧客組織をサポートできます。

パートナー組織は展開と管理をコントロールできますが、顧客が生成したデータやコンテンツにアクセスすることはできません。このアクセスは、顧客の組織とそのユーザーに限定されます。

また、データセンターなどのキー管理サービスとセキュリティインフラストラクチャは信頼できるローカルパートナーによって所有されているため、小規模組織は HDS を活用できます。

マルチテナントハイブリッドデータセキュリティがデータの主権とデータ制御を提供する方法

ユーザーが生成したコンテンツは、クラウドサービスプロバイダーなどの外部アクセスから保護されます。
ローカルの信頼できるパートナーは、すでに確立している顧客の暗号化キーを管理します。
パートナーが提供する場合、ローカルテクニカルサポートのオプション。
ミーティング、メッセージング、通話コンテンツをサポートします。

このドキュメントは、パートナー組織がマルチテナントハイブリッドデータセキュリティシステムの下で顧客をセットアップおよび管理することを支援することを目的としています。

マルチテナントハイブリッドデータセキュリティのロール

パートナーのフル管理者 - パートナーが管理するすべての顧客の設定を管理できます。また、組織内の既存のユーザーに管理者のロールを指定したり、パートナー管理者が管理する特定の顧客を指定したりすることもできます。
パートナー管理者 - 管理者がプロビジョニングした顧客またはユーザーに割り当てられた顧客の設定を管理できます。
フル管理者 - 組織設定の変更、ライセンスの管理、ロールの割り当てなどのタスクを実行する権限のあるパートナー組織の管理者です。

すべての顧客組織のエンドツーエンドのマルチテナント HDS のセットアップと管理 - パートナーのフル管理者およびフル管理者権限が必要です。
割り当てられたテナント組織の管理 - パートナー管理者およびフル管理者権限が必要です。

セキュリティ領域のアーキテクチャ

Webex クラウドアーキテクチャは、以下に示すように、異なるタイプのサービスを別の領域、または信頼ドメインに分離します。

ハイブリッドデータセキュリティをさらに理解するために、シスコがクラウド領域ですべての機能を提供している純粋なクラウドケースを見てみましょう。メールアドレスなど個人情報を直接ユーザーが関連付けることが可能な唯一の場所である ID サービスは、データセンター B のセキュリティ領域から論理的および物理的に分かれています。データセンター C では、暗号化されたコンテンツが最終的に保存される領域と、両方とも別になります。

この図では、クライアントがユーザーのラップトップで実行されている Webex アプリであり、ID サービスで認証されています。ユーザーがメッセージを編集し、スペースに送るとき、以下のステップを踏みます:

クライアントは重要な管理サービス (KMS) と安全な接続を確立し、メッセージを暗号化するためのキーをリクエストします。安全な接続では ECDH を使用し、KMS は AES-256 マスターキーを使用してキーを暗号化します。
メッセージはクライアントを離れる前に暗号化されます。クライアントは、暗号化された検索インデックスを作成し、コンテンツで将来検索を助けるインデックス化サービスに送信します。
暗号化されたメッセージは、コンプライアンスチェックのためコンプライアンスサービスに送信されます。
暗号化されたメッセージは、保管領域に保管されます。

ハイブリッドデータセキュリティを展開する際、セキュリティ領域機能 (KMS、インデックス作成、コンプライアンス) をオンプレミスデータセンターに移動します。Webex を構成するその他のクラウドサービス (ID とコンテンツストレージを含む) は、Cisco の領域に残ります。

他の組織と協力する

組織内のユーザーは定期的に Webex アプリを使用して、他の組織の外部参加者と共同作業を行うことができます。ユーザーの 1 人があなたの組織が所有しているスペースのキーをリクエストしたとき (あなたの組織のユーザーの 1 人が作成したため)、KMS は ECDH の安全なチャンネルでキーをクライアントに送信します。ただし、別の組織がスペースのキーを所有している場合、KMS は別の ECDH チャネルを通じて、リクエストを WEBEX クラウドにルーティングして、適切な KMS からキーを取得し、そのキーを元のチャネルのユーザーに返します。

組織 A で実行されている KMS サービスは、X.509 PKI 証明書を使用して他の組織の KMS への接続を検証します。マルチテナントハイブリッドデータセキュリティ展開で使用する x.509 証明書を生成する方法の詳細については、「環境を準備する 」を参照してください。

ハイブリッドデータセキュリティの展開の例外

ハイブリッドデータセキュリティの展開には、暗号化キーを所有することに伴うリスクについて、重要なコミットメントと認識が必要です。

ハイブリッドデータセキュリティを展開するには、以下を提供する必要があります。

Cisco Webex Teams プランでサポートされている場所である国の安全なデータセンター。
「環境を準備する」に記載されている機器、ソフトウェア、およびネットワークアクセス。

ハイブリッドデータセキュリティ用に構築する構成 ISO または提供するデータベースのいずれかが完全に失われると、キーが失われます。キー損失により、ユーザーが Webex アプリのスペースコンテンツやその他の暗号化されたデータを復号できなくなります。このことが発生する場合、新しい展開を構築できますが、新しいコンテンツのみが表示されます。データのアクセス権の喪失を防ぐには、以下を行う必要があります:

データベースのバックアップと復元および構成 ISO を管理します。
データベースディスクの障害やデータセンターの災害などの災害が発生した場合は、迅速な災害復旧を行う準備をしてください。

HDS 展開後にキーをクラウドに戻すメカニズムはありません。

高レベルのセットアッププロセス

このドキュメントでは、マルチテナントのハイブリッドデータセキュリティ展開のセットアップと管理について説明します。

ハイブリッドデータセキュリティのセットアップ—これには、必要なインフラストラクチャの準備、ハイブリッドデータセキュリティソフトウェアのインストール、HDS クラスタの構築、クラスタへのテナント組織の追加、顧客メインキー (CMK) の管理が含まれます。これにより、顧客組織のすべてのユーザーがセキュリティ機能にハイブリッドデータセキュリティクラスタを使用できるようになります。

セットアップ、アクティベーション、および管理フェーズについては、次の 3 つの章で詳しく説明します。
ハイブリッドデータセキュリティ展開の維持—Webex クラウドは自動的に進行中のアップグレードを提供します。IT 部門は階層 1 のサポートをこの展開に提供し、必要に応じて Cisco サポートを提供します。Partner Hub では、画面上の通知を使用して、メールベースのアラートを設定できます。
一般的なアラート、トラブルシューティング手順、および既知の問題について理解する - ハイブリッドデータセキュリティの展開または使用に問題が発生した場合、このガイドの最後の章と「既知の問題の付録」が問題の判別と修正に役立ちます。

ハイブリッドデータセキュリティ展開モデル

エンタープライズデータセンター内で、ハイブリッドデータセキュリティを別々の仮想ホスト上のノードの単一のクラスタとして展開します。ノードは、セキュアなウェブソケットとセキュア HTTP を通じて Webex クラウドと通信します。

インストールプロセス中、提供する VM 上で仮想マシンセットアップするために、OVA ファイルを提供します。HDS セットアップツールを使用し、各ノードにマウントするカスタムクラスター構成 ISO ファイルを作成します。ハイブリッドデータセキュリティクラスタは、提供された Syslogd サーバと PostgreSQL または Microsoft SQL Server データベースを使用します。（HDS セットアップツールで Syslogd とデータベース接続の詳細を設定します）。

ハイブリッドデータセキュリティ展開モデル

クラスターで保持できるノードの最小数は 2 つです。クラスターごとに少なくとも 3 つをお勧めします。複数のノードを持つと、ノード上のソフトウェアアップグレードやその他のメンテナンスアクティビティ中にサービスが中断されないようにします。(Webex クラウドは一度に 1 つのノードのみアップグレードします。)

クラスターのすべてのノードは、同じキーデータストアにアクセスし、同じ syslog サーバーに対するアクティビティをログ記録します。クラウドで指示された通り、ノード自体では処理状態が把握されておらず、ラウンドロビン方式でキーリクエストを処理します。

ノードは、パートナーハブに登録するとアクティブになります。個別ノードをサービス外にするには、必要に応じて登録解除し、再登録できます。

災害復旧のためのスタンバイデータセンター

展開中、セキュアなスタンバイデータセンターをセットアップします。データセンターの災害が発生した場合、スタンバイデータセンターへの展開を手動で失敗させることができます。

フェールオーバー前、データセンター A にはアクティブな HDS ノードとプライマリ PostgreSQL または Microsoft SQL Server データベースがあり、B には追加の設定を含む ISO ファイルのコピーがあり、組織に登録されている VM、スタンバイデータベースがあります。フェールオーバー後、データセンター B にはアクティブな HDS ノードとプライマリデータベースがあり、A には未登録の VM と ISO ファイルのコピーがあり、データベースはスタンバイモードになっています。 — ***スタンバイデータセンターへの手動フェールオーバー***

アクティブおよびスタンバイデータセンターのデータベースは相互に同期されているため、フェールオーバーを実行するのにかかる時間を最小限に抑えます。

アクティブなハイブリッドデータセキュリティノードは、常にアクティブなデータベースサーバと同じデータセンターにある必要があります。

プロキシサポート

ハイブリッドデータセキュリティは、明示的な透過的な検査および非検査プロキシをサポートします。これらのプロキシを展開に関連付けることができます。これにより、エンタープライズからクラウドに送信されるトラフィックをセキュリティ保護し、監視することができます。証明書の管理のノードでプラットフォーム管理インターフェイスを使用して、ノードでプロキシを設定した後で、全体的な接続ステータスを確認することができます。

ハイブリッドデータセキュリティノードは、以下のプロキシオプションをサポートしています。

プロキシなし: プロキシを統合するために HDS ノードのセットアップ信頼ストアとプロキシ構成を使用しない場合のデフォルト。証明書の更新は必要ありません。
透過的な検査なしのプロキシ: ノードは特定のプロキシサーバーアドレスを使用するように設定されていないため、検査なしのプロキシで動作するように変更を加える必要はありません。証明書の更新は必要ありません。
透過的なトンネリングまたは検査プロキシ: ノードは特定のプロキシサーバーアドレスを使用するように設定されていません。ノードでは、HTTP または HTTPS の設定変更は必要ありません。ただし、ノードはプロキシを信頼するためにルート証明書を必要とします。プロキシを検査することで、Web サイトにアクセスするか、どのタイプのコンテンツを使用するかを強制するポリシーを施行することができます。このタイプのプロキシは、すべてのトラフィック (HTTPS さえも含む) を復号化します。
明示的プロキシ: 明示的プロキシを使用して、使用するプロキシサーバーと認証スキームを HDS ノードに指示します。明示的なプロキシを設定するには、各ノードに次の情報を入力する必要があります。
1. プロキシ IP/FQDN—プロキシマシンに到達するために使用できるアドレス。
2. プロキシポート: プロキシがプロキシトラフィックをリッスンするために使用するポート番号。
3. プロキシプロトコル: プロキシサーバーがサポートしているものに応じて、次のプロトコルから選択します。
  - HTTP—クライアントが送信するすべての要求を表示し、コントロールします。
  - HTTPS—サーバーにチャネルを提供します。クライアントがサーバーの証明書を受け取り、検証します。
4. 認証タイプ: 次の認証タイプから選択します。
  - なし: 追加の認証は必要ありません。
    
    プロキシプロトコルとして HTTP または HTTPS のいずれかを選択した場合に利用できます。
  - ベーシック—HTTP ユーザーエージェントがリクエストを行う際にユーザー名とパスワードを指定するために使用されます。Base64 エンコードを使用します。
    
    プロキシプロトコルとして HTTP または HTTPS のいずれかを選択した場合に利用できます。
    
    各ノードにユーザー名とパスワードを入力する必要があります。
  - ダイジェスト: 機密情報を送信する前にアカウントを確認するために使用されます。ネットワークを経由して送信する前に、ユーザー名およびパスワードにハッシュ機能を適用します。
    
    プロキシプロトコルとして HTTPS を選択した場合にのみ利用できます。
    
    各ノードにユーザー名とパスワードを入力する必要があります。

ハイブリッドデータセキュリティノードとプロキシの例

この図は、ハイブリッドデータセキュリティ、ネットワーク、およびプロキシ間の接続例を示しています。透過的な検査および HTTPS 明示的な検査プロキシオプションの場合、同じルート証明書がプロキシとハイブリッドデータセキュリティノードにインストールされている必要があります。

外部 DNS 解決ブロックモード (明示的プロキシ構成)

ノードを登録するか、またはノードのプロキシ構成を確認するとき、プロセスは DNS 検索と Cisco Webex クラウドへの接続をテストします。内部クライアントのための外部 DNS 解決が許可されていない、明示的なプロキシ構成の展開では、ノードが DNS サーバーに問い合わせができない場合、自動的に外部 DNS 解決ブロックモードに切り替わります。このモードでは、ノード登録および他のプロキシ接続テストを続行することができます。

環境を準備する

マルチテナントハイブリッドデータセキュリティの要件

Cisco Webex ライセンス要件

マルチテナントのハイブリッドデータセキュリティを展開するには:

パートナー組織: Cisco パートナーまたはアカウントマネージャーに連絡し、マルチテナント機能が有効になっていることを確認してください。
テナント組織: Pro Pack for Cisco Webex Control Hub が必要です。(https://www.cisco.com/go/pro-packを参照。)

Docker デスクトップの要件

HDS ノードをインストールする前に、セットアッププログラムを実行するには Docker デスクトップが必要です。Docker は最近、ライセンスモデルを更新しました。組織は Docker デスクトップの有料サブスクリプションを必要とする場合があります。詳細については、Docker ブログ投稿「 Docker は更新および製品サブスクリプションを拡張しています」を参照してください。

X.509 証明書要件

証明書チェーンは、次の条件を満たす必要があります。

表 1YAZ設定オプションハイブリッドデータセキュリティ展開のための X.509 証明書要件
要件	詳細
信頼できる証明書権限 (CA) で署名済み	デフォルトでは、https://wiki.mozilla.org/CA:IncludedCAs で Mozilla リスト (WoSign と StartCom を除く) の CA を信頼します。
ハイブリッドデータセキュリティ展開を識別する共通名 (CN) ドメイン名を保持しますワイルドカード証明書ではありません	CN は到達可能またはアクティブな主催者である必要はありません。たとえばなど、組織を反映する名前を使用することを推奨します。 CN に *（ワイルドカード）を含めることはできません。 CN は、Webex アプリクライアントに対してハイブリッドデータセキュリティノードを検証するために使用されます。クラスタ内のすべてのハイブリッドデータセキュリティノードが同じ証明書を使用します。KMS は x.509v3 SAN フィールドで定義されるドメインではなく、CN ドメインを使用してそれ自体を識別します。この証明書でノードを登録した場合、CN ドメイン名の変更をサポートしません。
非 SHA1 署名	KMS ソフトウェアは、他の組織の KMS に対する接続を検証するために、SHA1 署名をサポートしません。
パスワード保護された PKCS #12 ファイルとして形式化 `Kms-private-key` の有効な名前を使用して、証明書、秘密鍵、中間証明書をタグ付けしてアップロードします。	OpenSSL などのコンバーターを使用して、証明書の形式を変更できます。 HDS セットアップツールを実行する時、パスワードを入力する必要があります。

KMS ソフトウェアはキー使用量を強制したり、キー使用量の誓約を拡張したりしません。いくつかの証明書権限は、サーバー認証など、拡張キー使用量が各証明書に適用されることを必要とします。サーバー認証や他の設定を使用しても大丈夫です。

仮想ホストの要件

クラスタでハイブリッドデータセキュリティノードとして設定する仮想ホストには、次の要件があります。

同じセキュアなデータセンターに少なくとも 2 つの個別のホスト (推奨 3 つ) が共存
VMware ESXi 6.5 (またはそれ以降) がインストールされ、実行されています。

ESXi の以前のバージョンがある場合は、アップグレードする必要があります。
最低 4 つの vCPU、8 GB メインメモリ、サーバーあたり 30 GB のローカルハードディスク容量

データベースサーバーの要件

キーストレージ用の新しいデータベースを作成します。デフォルトのデータベースを使用しないでください。インストールしたとき、HDS アプリケーションはデータベーススキーマを作成します。

データベースサーバには 2 つのオプションがあります。各要件は次のとおりです。

表 2. データベースのタイプ別のデータベースサーバー要件
ポストSQL	Microsoft SQL サーバー
PostgreSQL 14、15、または 16 がインストールされ、実行されています。	SQL Server 2016、2017、または 2019 (エンタープライズまたは標準) がインストールされています。 SQL Server 2016 には、Service Pack 2 および累積アップデート 2 以降が必要です。
最低 8 vCPUs、16-GB メインメモリ、十分なハードディスクスペース、超過がないように監視 (ストレージを増やす必要なく、長期間データべースを実行する場合、2-TB が推奨されます。)	最低 8 vCPUs、16-GB メインメモリ、十分なハードディスクスペース、超過がないように監視 (ストレージを増やす必要なく、長期間データべースを実行する場合、2-TB が推奨されます。)

現在、HDS ソフトウェアは、データベースサーバと通信するための次のドライババージョンをインストールしています。

ポストSQL	Microsoft SQL サーバー
Postgres JDBCドライバー 42.2.5	SQL Server JDBC ドライバー 4.6 このドライババージョンは、SQL Server Always On（Always On Failover Cluster Instances および Always On アベイラビリティグループ）をサポートしています。

ポストSQL

Microsoft SQL サーバー

Postgres JDBCドライバー 42.2.5

SQL Server JDBC ドライバー 4.6

このドライババージョンは、SQL Server Always On（Always On Failover Cluster Instances および Always On アベイラビリティグループ）をサポートしています。

Microsoft SQL Server に対する Windows 認証の追加要件

HDS ノードが Windows 認証を使用して Microsoft SQL Server 上のキーストアデータベースにアクセスできるようにする場合は、環境内で次の設定が必要です。

HDS ノード、Active Directory インフラストラクチャ、MS SQL Server はすべて NTP と同期する必要があります。
HDS ノードに提供する Windows アカウントは、データベースへの読み取り/書き込みアクセス権を持っている必要があります。
HDS ノードに提供する DNS サーバーは、キー配布センター (KDC) を解決できる必要があります。
Microsoft SQL Server で HDS データベースインスタンスをサービスプリンシパルネーム (SPN) として登録できます。「Kerberos 接続のサービスプリンシパル名を登録する」を参照してください。

HDS セットアップツール、HDS ランチャー、およびローカル KMS はすべて、キーストアデータベースにアクセスするために Windows 認証を使用する必要があります。Kerberos 認証によるアクセスを要求するときに、ISO 設定の詳細を使用して SPN を構築します。

外部接続要件

ファイアウォールを構成して、HDS アプリケーションに対して次の接続を許可します。

アプリケーション	プロトコル	ポート	アプリからの方向	移動先
ハイブリッドデータセキュリティノード	TCP	443	アウトバウンド HTTPS および WSS	Webex サーバー: .wbx2.com .ciscospark.com すべての Common Identity ホスト [Webex サービスのネットワーク要件] の [Webex ハイブリッドサービスの追加 URL] テーブルにハイブリッドデータセキュリティのためにリストされているその他の URL
HDS セットアップツール	TCP	443	アウトバウンド HTTPS	*.wbx2.com すべての Common Identity ホスト hub.docker.com

ハイブリッドデータセキュリティノードは、NAT またはファイアウォールが前の表のドメイン宛先への必要な発信接続を許可している限り、ネットワークアクセストランスレーション（NAT）またはファイアウォールの背後で機能します。ハイブリッドデータセキュリティノードにインバウンドする接続の場合、インターネットからポートを表示することはできません。データセンター内で、クライアントは管理目的のため、TCP ポート 443 および 22 のハイブリッドデータセキュリティノードにアクセスする必要があります。

Common Identity (CI) ホストの URL は地域固有です。これらは、現在の CI ホストです。

地域	共通 ID ホスト URL
Americas（北米、南米エリア）	https://idbroker.webex.com https://identity.webex.com https://idbroker-b-us.webex.com https://identity-b-us.webex.com
欧州連合	https://idbroker-eu.webex.com https://identity-eu.webex.com
カナダ	https://idbroker-ca.webex.com https://identity-ca.webex.com
シンガポール	https://idbroker-sg.webex.com https://identity-sg.webex.com
アラブ首長国連邦	https://idbroker-ae.webex.com https://identity-ae.webex.com

プロキシサーバーの要件

お使いのハイブリッドデータセキュリティノードと統合できる次のプロキシソリューションを正式にサポートしています。
- 透過的プロキシ—Cisco Web Security Appliance (WSA)。
- 明示的プロキシ—Squid。
  
  HTTPS トラフィックを検査する Squid プロキシは、websocket (wss:) 接続の確立に干渉する可能性があります。この問題を回避するには、「ハイブリッドデータセキュリティのために Squid プロキシを構成する」を参照してください。
明示的プロキシに対して次の認証タイプの組み合わせがサポートされています。
- HTTP または HTTPS による認証がありません
- HTTP または HTTPS による基本認証
- HTTPS のみによるダイジェスト認証
透過的検査プロキシまたは HTTPS 明示的プロキシについては、プロキシのルート証明書のコピーが必要です。このガイドに記載されている展開手順は、ハイブリッドデータセキュリティノードの信頼ストアにコピーをアップロードする方法を説明しています。
HDS ノードをホストするネットワークは、ポート 443 のアウトバウンド TCP トラフィックを強制的にプロキシ経由でルーティングするように設定されている必要があります。
Web トラフィックを検査するプロキシは、Web ソケット接続に干渉する場合があります。この問題が発生した場合、wbx2.com および ciscospark.com へのトラフィックをバイパスする (検査しない) ことで問題を解決します。

ハイブリッドデータセキュリティの前提条件を満たします

このチェックリストを使用して、ハイブリッドデータセキュリティクラスタをインストールして構成する準備ができていることを確認してください。

1	パートナー組織でマルチテナント HDS 機能が有効になっていることを確認し、パートナーのフル管理者およびフル管理者権限を持つアカウントの資格情報を取得してください。Webex 顧客組織が Pro Pack for Cisco Webex Control Hub が有効になっていることを確認します。Cisco パートナーもしくはアカウントマネージャーにこのプロセスについてサポートを受けるために連絡してください。顧客組織は既存の HDS 展開を持つべきではありません。
2	HDS 展開のドメイン名 (例: `hds.company.com`) を選択し、X.509 証明書、秘密キー、および中間証明書を含む証明書チェーンを取得します。証明書チェーンは、X.509 証明書要件の要件を満たす必要があります。
3	クラスタでハイブリッドデータセキュリティノードとしてセットアップする同じ仮想ホストを準備します。仮想ホスト要件の要件を満たす同じセキュアなデータセンターに少なくとも 2 つの個別のホスト (推奨 3 つ) が共同で必要です。
4	データベースサーバーの要件に従って、クラスタのキーデータストアとして機能するデータベースサーバーを準備します。データベースサーバーは、セキュアなデータセンターに仮想ホストと共存する必要があります。キーストレージ用のデータベースを作成します。（このデータベースを作成する必要があります。デフォルトのデータベースを使用しないでください。インストールしたとき、HDS アプリケーションはデータベーススキーマを作成します。) ノードがデータベースサーバーと通信するために使用する詳細をまとめます: 主催者名または IP アドレス (主催者) およびポート重要なストレージ向けのデータベース名 (dbname) 重要なストレージデータベースですべての権限を持つユーザーのユーザー名とよびパスワード
5	災害復旧をすばやくするには、別のデータセンターでバックアップ環境を設定します。バックアップ環境は、VM とバックアップデータベースサーバの本番環境を反映します。たとえば、生産に HDS ノードを実行している 3 VMs がある場合、バックアップ環境には 3 Vms が必要です。
6	Syslog 主催者をセットアップして、クラスターのノードからログを収集します。ネットワークアドレスと syslog ポート (デフォルトは UDP 514) をまとめます。
7	ハイブリッドデータセキュリティノード、データベースサーバ、および syslog ホストの安全なバックアップポリシーを作成します。少なくとも、回復不能なデータの損失を防ぐには、ハイブリッドデータセキュリティノード用に生成されたデータベースと構成 ISO ファイルをバックアップする必要があります。ハイブリッドデータセキュリティノードは、コンテンツの暗号化と復号に使用されるキーを保存するため、運用展開の維持に失敗すると、コンテンツの回復不能な損失が発生します。 Webex アプリクライアントはキーをキャッシュするため、サービス停止はすぐに目立たなくなりますが、時間の経過とともに明らかになります。一時的な停電が防げない場合、復元可能です。しかし、データベースまたは構成 ISO ファイルのどちらかを完全に失う (バックアップが利用できない) ことは、顧客データは復元できません。ハイブリッドデータセキュリティノードのオペレータは、データベースと構成 ISO ファイルの頻繁なバックアップを維持し、壊滅的な障害が発生した場合に、ハイブリッドデータセキュリティデータセンターを再構築する準備をする必要があります。
8	外部接続の要件で説明されているように、ファイアウォール構成でハイブリッドデータセキュリティノードの接続を許可していることを確認してください。
9	Web ブラウザを使用して、サポートされている OS (Microsoft Windows 10 Professional または Enterprise 64 ビット、または Mac OSX Yosemite 10.10.3 以上) を実行している任意のローカルマシンに Docker (https://www.docker.com) をインストールします。http://127.0.0.1:8080. Docker インスタンスを使用して、すべてのハイブリッドデータセキュリティノードのローカル設定情報を構築する HDS セットアップツールをダウンロードして実行します。Docker デスクトップライセンスが必要な場合があります。詳細については、「Docker デスクトップの要件」を参照してください。 HDS セットアップツールをインストールして実行するには、ローカルマシンに外部接続要件で説明されている接続性が必要です。
10	プロキシをハイブリッドデータセキュリティと統合する場合は、プロキシサーバー要件を満たしていることを確認してください。

ハイブリッドデータセキュリティクラスタをセットアップ

ハイブリッドデータセキュリティ展開のタスクフロー

始める前に

1	初期セットアップを実行し、インストールファイルをダウンロードする後で使用するために、OVA ファイルをローカルマシンにダウンロードします。
2	HDS 主催者に構成 ISO を作成する HDS セットアップツールを使用して、ハイブリッドデータセキュリティノードの ISO 構成ファイルを作成します。
3	HDS 主催者 OVA をインストールする OVA ファイルから仮想マシンを作成し、ネットワーク設定などの初期設定を実行します。 OVA 展開中にネットワーク設定を構成するオプションは、ESXi 6.5 でテストされています。このオプションは以前のバージョンでは利用できない場合があります。
4	ハイブリッドデータセキュリティ VM のセットアップ VM コンソールにサインインし、サインイン資格情報を設定します。OVA 展開時に設定しなかった場合は、ノードのネットワーク設定を構成します。
5	HDS 構成 ISO をアップロードしマウントする HDS セットアップツールで作成した ISO 構成ファイルから VM を設定します。
6	プロキシ統合のために HDS ノードを設定するネットワーク環境でプロキシ設定が必要な場合は、ノードに使用するプロキシのタイプを指定し、必要に応じてプロキシ証明書を信頼ストアに追加します。
7	クラスタ内の最初のノードを登録 VM を Cisco Webex クラウドにハイブリッドデータセキュリティノードとして登録します。
8	他のノードを作成して登録クラスタのセットアップを完了します。
9	Partner Hub でマルチテナント HDS を有効にします。 HDS をアクティベートし、Partner Hub でテナント組織を管理します。

初期セットアップを実行し、インストールファイルをダウンロードする

このタスクでは、OVA ファイルをマシンにダウンロードします（ハイブリッドデータセキュリティノードとして設定したサーバにはありません）。このファイルはのちにインストールプロセスで使用します。

1	Partner Hub にサインインし、[サービス] をクリックします。
2	[クラウドサービス] セクションで、ハイブリッドデータセキュリティカードを見つけて、[セットアップ] をクリックします。
3	[リソースの追加] をクリックし、[ソフトウェアのインストールと設定] カードの [OVA ファイルのダウンロード] をクリックします。古いバージョンのソフトウェアパッケージ (OVA) は最新のハイブリッドデータセキュリティアップグレードと互換性がありません。これにより、アプリケーションのアップグレード中に問題が発生する可能性があります。OVA ファイルの最新バージョンをダウンロードしていることを確認してください。 OVA は [ヘルプ] セクションからいつでもダウンロードできます。[設定] > [ヘルプ] > [ハイブリッドデータセキュリティソフトウェアのダウンロード] をクリックします。 OVA ファイルは自動的にダウンロードが開始されます。ファイルをマシン内に保存します。
4	オプションで、[ハイブリッドデータセキュリティ展開ガイドを参照 ] をクリックして、このガイドの最新バージョンが利用可能かどうかを確認します。

HDS 主催者に構成 ISO を作成する

ハイブリッドデータセキュリティセットアッププロセスは、ISO ファイルを作成します。その後、ISO を使用してハイブリッドデータセキュリティホストを構成します。

始める前に

HDS セットアップツールをローカルマシンの Docker コンテナとして実行します。アクセスするには、そのマシンで Docker を実行します。セットアッププロセスには、完全な管理者権限を持つパートナーハブアカウントの資格情報が必要です。

HDS セットアップツールが環境内のプロキシの背後で実行されている場合、以下のステップ 5 で Docker コンテナを起動する際に、Docker 環境変数を通してプロキシ設定 (サーバー、ポート、資格情報) を提供します。この表ではいくつかの可能な環境変数を示します。

説明	変数
認証なしの HTTP プロキシ	`グローバル_エージェント_HTTP_PROXY=http://SERVER_IP:PORT`
認証なしの HTTPS プロキシ	`グローバル_エージェント_HTTPS_PROXY=http://SERVER_IP:ポート`
認証ありの HTTP プロキシ	`グローバル_エージェント_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
認証ありの HTTPS プロキシ	`グローバル_エージェント_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

生成する構成 ISO ファイルには、PostgreSQL または Microsoft SQL Server データベースを暗号化するマスターキーが含まれています。次のような設定変更を行うときは、このファイルの最新コピーが必要です。
- データベースクレデンシャル
- 証明書の更新
- 認証ポリシーの変更
データベース接続を暗号化する場合は、TLS 用に PostgreSQL または SQL Server の展開を設定します。

1

マシンのコマンドラインで、お使い環境に適切なコマンドを入力します。

一般環境:

docker rmi ciscocitg/hds-setup:stable

FedRAMP 環境の場合:

docker rmi ciscocitg/hds-setup-fedramp:stable

このステップを実行すると、前の HDS セットアップツールの画像がクリーンアップされます。これ以前の画像がない場合は、無視できるエラーを返します。

2

Docker 画像レジストリにサインインするには、以下を入力します。

ドッカーログイン -u hdscustomersro

3

パスワードのプロンプトに対して、このハッシュを入力します。

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

4

お使い環境に合った最新の安定した画像をダウンロードします。

一般環境:

ドッカー プル ciscocitg/hds-setup:stable

FedRAMP 環境の場合:

ドッカー プル ciscocitg/hds-setup-fedramp:stable

5

プルが完了したら、お使いの環境に適切なコマンドを入力します。

プロキシなしの通常の環境の場合:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

HTTP プロキシがある通常の環境の場合、

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:ポート ciscocitg/hds-setup:stable

HTTPS プロキシがある通常の環境の場合:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:ポート ciscocitg/hds-setup:stable

プロキシなしの FedRAMP 環境の場合:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

HTTP プロキシがある FedRAMP 環境の場合:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:ポート ciscocitg/hds-setup-fedramp:stable

HTTPS プロキシがある FedRAMP 環境の場合:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:ポート ciscocitg/hds-setup-fedramp:stable

コンテナが実行中の時。「ポート 8080 で Express サーバーリスニング中」と表示されます。

6

セットアップツールは、http://localhost:8080 を介した localhost への接続をサポートしていません。http://127.0.0.1:8080 を使用して、localhost に接続します。

Web ブラウザを使用して、localhost http://127.0.0.1:8080 に移動し、プロンプトで Partner Hub の管理者ユーザー名を入力します。

ツールは、このユーザー名の最初のエントリを使用して、そのアカウントに適した環境を設定します。その後、ツールには標準のサインインプロンプトが表示されます。

7

プロンプトが表示されたら、Partner Hub 管理者のサインイン資格情報を入力し、[ログイン] をクリックして、ハイブリッドデータセキュリティに必要なサービスへのアクセスを許可します。

8

セットアップツール概要ページで、[開始] をクリックします。

9

[ISO インポート] ページで次のオプションがあります。

いいえ: 最初の HDS ノードを作成する場合、アップロードする ISO ファイルがありません。
はい: HDS ノードをすでに作成している場合は、参照で ISO ファイルを選択し、アップロードします。

10

X.509 証明書が X.509 証明書要件の要件を満たしていることを確認してください。

証明書をアップロードしたことがない場合は、X.509 証明書をアップロードし、パスワードを入力し、[続行] をクリックします。
証明書が OK の場合は、[続行] をクリックします。
証明書の有効期限が切れているか、置き換える場合は、[いいえ] を選択して、[以前の ISO の HDS 証明書チェーンと秘密キーの使用を続行しますか] を選択します。新しい X.509 証明書をアップロードし、パスワードを入力し、[続行] をクリックします。

11

HDS がキーデータストアにアクセスするためのデータベースアドレスとアカウントを入力します。

[データベースタイプ] (PostgreSQL または Microsoft SQL Server) を選択します。

[Microsoft SQL Server] を選択すると、[認証タイプ] フィールドが表示されます。
(Microsoft SQL Server のみ) 認証タイプを選択します。
- 基本認証:[ユーザー名] フィールドにローカル SQL Server アカウント名が必要です。
- Windows 認証:[ユーザー名] フィールドの username@DOMAIN の形式の Windows アカウントが必要です。
: または : の形式でデータベースサーバーアドレスを入力します。

例：
dbhost.example.org:1433 または 198.51.100.17:1433

ノードがホスト名を解決するために DNS を使用できない場合は、基本認証に IP アドレスを使用できます。

Windows 認証を使用している場合は、dbhost.example.org:1433 の形式で完全修飾ドメイン名を入力する必要があります。
データベース名を入力します。
キーストレージデータベース上のすべての権限を持つユーザーの [ユーザー名] と [パスワード] を入力します。

12

TLS データベース接続モードを選択します。

モード	説明
TLS を優先 (デフォルトオプション)	HDS ノードは、データベースサーバに接続するために TLS を必要としませんデータベースサーバで TLS を有効にすると、ノードは暗号化された接続を試行します。
TLS を要求する	データベースサーバが TLS をネゴシエートできる場合に限り、HDS ノードは接続されます。
TLS を要求し、証明書の署名者を確認する	このモードは SQL Server データベースには適用されません。データベースサーバが TLS をネゴシエートできる場合に限り、HDS ノードは接続されます。 TLS 接続を確立した後、ノードはデータベースサーバーからの証明書の署名者を、データベースルート証明書の認証局と比較します。一致しない場合、ノードにより接続が切断されます。ドロップダウンの下にあるデータベースルート証明書コントロールを使用して、このオプションのルート証明書をアップロードしてください。
TLS を要求し、証明書の署名者およびホスト名を確認する	データベースサーバが TLS をネゴシエートできる場合に限り、HDS ノードは接続されます。 TLS 接続を確立した後、ノードはデータベースサーバーからの証明書の署名者を、データベースルート証明書の認証局と比較します。一致しない場合、ノードにより接続が切断されます。また、サーバー証明書のホスト名が [データベースホストとポート ] フィールドのホスト名と一致していることを確認します。名前は正確に一致する必要があります。または、ノードが接続を切断します。ドロップダウンの下にあるデータベースルート証明書コントロールを使用して、このオプションのルート証明書をアップロードしてください。

ルート証明書 (必要な場合) をアップロードし、[続行] をクリックすると、HDS セットアップツールはデータベースサーバへの TLS 接続をテストします。また、必要に応じて、証明書の署名者とホスト名も検証されます。テストが失敗した場合、問題を説明するエラーメッセージがツールによって表示されます。エラーを無視してセットアップを続行するかどうかを選択できます。(接続の違いにより、HDS セットアップツールマシンが正常にテストできない場合でも、HDS ノードが TLS 接続を確立できる場合があります)。

13

[システムログ（System Logs）] ページで、Syslogd サーバを設定します。

syslog サーバの URL を入力します。

サーバーが HDS クラスタのノードから DNS 解決できない場合は、URL の IP アドレスを使用してください。

例：
udp://10.92.43.23:514 は、UDP ポート 514 の Syslogd ホスト 10.92.43.23 へのロギングを示します。
TLS 暗号化を使用するようにサーバーを設定する場合、[syslog サーバーは SSL 暗号化用に設定されていますか?] にチェックを入れます。

このチェックボックスをオンにした場合、tcp://10.92.43.23:514 などの TCP URL を入力していることを確認してください。
[syslog record termination の選択] ドロップダウンから、ISO ファイルに適切な設定を選択します。選択または改行は、Graylog および Rsyslog TCP に使用されます
- ヌルバイト -- \x00
- 改行 -- \n—Graylog および Rsyslog TCP に対してこの選択を選択します。
[続行] をクリックします。

14

(オプション) [詳細設定] で一部のデータベース接続パラメータのデフォルト値を変更できます。通常、このパラメータは変更したい唯一のパラメータです。

app_datasource_connection_pool_maxサイズ: 10

15

[サービスアカウントパスワードのリセット] 画面で [続行] をクリックします。

サービスアカウントパスワードの寿命は 9 か月です。パスワードの有効期限が近づいている場合、またはパスワードをリセットして以前の ISO ファイルを無効にする場合は、この画面を使用してください。

16

[ISO ファイルのダウンロード] をクリックします。見つけやすい場所にファイルを保存します。

17

ローカルシステムの ISO ファイルのバックアップコピーを作成します。

バックアップコピーを安全に保ちます。このファイルには、データベースコンテンツのマスター暗号化キーを含みます。設定変更を行う必要があるハイブリッドデータセキュリティ管理者のみにアクセスを制限します。

18

セットアップツールをシャットダウンするには、[CTRL+C] と入力します。

次に行うこと

構成 ISO ファイルをバックアップします。復元のためにもっとノードを作成するか、設定変更を行う必要があります。ISO ファイルのすべてのコピーを失ったら、マスターキーも失います。PostgreSQL または Microsoft SQL Server データベースからキーを復元することはできません。

このキーのコピーは見つかりませんでした。紛失した場合には役に立ちません。

HDS 主催者 OVA をインストールする

この手順を使用して、OVA ファイルから仮想マシンをサック制します。

1	コンピュータの VMware vSphere クライアントを使用して、ESXi 仮想主催者にログインします。
2	ファイル > OVF テンプレートを展開を選択します。
3	ウィザードで、以前ダウンロードした OVA ファイルの場所を指定し、[次へ] をクリックします。
4	[名前とフォルダの選択] ページで、ノードの [仮想マシン名] (たとえば、「HDS_Node_1」) を入力し、仮想マシンノード展開が存在できる場所を選択し、[次へ] をクリックします。
5	[計算リソースの選択] ページで、接続先の計算リソースを選択し、[次へ] をクリックします。検証チェックが実行されます。完了すると、テンプレートの詳細が表示されます。
6	テンプレートの詳細を確認し、[次へ] をクリックします。
7	[構成] ページでリソース構成を選択するように求められた場合は、[4 CPU] をクリックし、[次へ] をクリックします。
8	[ストレージの選択] ページで、[次へ] をクリックして、デフォルトのディスク形式と VM ストレージポリシーを受け入れます。
9	[ネットワークの選択] ページで、エントリのリストからネットワークオプションを選択して、VM に希望する接続を提供します。
10	[テンプレートのカスタマイズ] ページで、次のネットワーク設定を構成します。ホスト名—ノードの FQDN (ホスト名とドメイン) または単一の単語のホスト名を入力します。ドメインを設定し、X.509 証明書を取得するために使用されるドメインにマッチしません。クラウドへの登録を成功させるには、ノードに設定した FQDN またはホスト名に小文字のみを使用してください。現時点では大文字化のサポートはありません。 FQDNのトータルの長さは64文字を超えてはいけません。 IP アドレス: ノードの内部インターフェイスの IP アドレスを入力します。ノードには内部 IP アドレスと DNS 名があるはずです。DHCP はサポートされていません。マスク—サブネットマスクアドレスを小数点以下の表記で入力します。たとえば、255.255.255.0 です。ゲートウェイ—ゲートウェイの IP アドレスを入力します。ゲートウェイは、別のネットワークへのアクセスポイントとして機能するネットワークノードです。 DNS サーバー: ドメイン名から数字の IP アドレスへの変換を処理する DNS サーバーのカンマ区切りリストを入力します。（最大 4 つの DNS エントリが許可されます）。 NTP サーバー: 組織の NTP サーバーまたは組織で使用できる別の外部 NTP サーバーを入力します。デフォルトの NTP サーバは、すべての企業で機能しない場合があります。カンマ区切りリストを使用して、複数の NTP サーバを入力することもできます。同じサブネットまたは VLAN 上のすべてのノードを展開して、クラスタ内のすべてのノードが管理目的でネットワークのクライアントから到達できるようにします。必要に応じて、ネットワーク設定の構成をスキップし、「ハイブリッドデータセキュリティ VM をセットアップする」の手順に従って、ノードコンソールから設定を構成できます。 OVA 展開中にネットワーク設定を構成するオプションは、ESXi 6.5 でテストされています。このオプションは以前のバージョンでは利用できない場合があります。
11	ノード VM を右クリックし、[電源] > [電源オン] を選択します。ハイブリッドデータセキュリティソフトウェアは、VM ホストにゲストとしてインストールされます。これで、コンソールにサインインしてノードを設定する準備ができました。トラブルシューティングのヒントノードコンテナーが出てくるまでに、数分間の遅延がある場合があります。初回起動の間、ブリッジファイアウォールメッセージが、コンソールに表示され、この間はサインインできません。

ハイブリッドデータセキュリティ VM のセットアップ

ハイブリッドデータセキュリティノード VM コンソールに初めてサインインし、サインインクレデンシャルを設定するには、この手順を使用します。OVA 展開時に設定しなかった場合は、コンソールを使用してノードのネットワーク設定を構成することもできます。

1	VMware vSphere クライアントでハイブリッドデータセキュリティノード VM を選択し、[コンソール] タブを選択してください。 VM が起動し、ログインプロンプトが表示されます。ログインプロンプトが表示されない場合は、入力を押してください。
2	以下のデフォルトログインとパスワードを使用して、証明書にサインインし変更します: ログイン:`管理者` パスワード:`cisco` 初めて VM にサインインしているため、管理者パスワードを変更する必要があります。
3	[HDS ホスト OVA をインストールする] でネットワーク設定をすでに構成している場合は、この手順の残りの部分をスキップします。それ以外の場合は、メインメニューで [設定の編集] オプションを選択します。
4	性的構成を IP アドレス、Mask、Gateway、DNS 情報をセットアップします。ノードには内部 IP アドレスと DNS 名があるはずです。DHCP はサポートされていません。
5	(オプション) ネットワーク方針にマッチするための必要性に応じて、ホスト名、ドメイン、もしくはNTP サーバーを変更して下さい。ドメインを設定し、X.509 証明書を取得するために使用されるドメインにマッチしません。
6	変更が有効になるように、ネットワーク構成を保存し、VM を再起動します。

HDS 構成 ISO をアップロードしマウントする

この手順を使用して、HDS セットアップツールで作成した ISO ファイルから仮想マシンを構成します。

開始する前に

ISO ファイルはマスターキーを保持しているため、ハイブリッドデータセキュリティ VM および変更が必要な管理者がアクセスするために、「知る必要がある」ベースでのみ公開する必要があります。これらの管理者のみがデータストアにアクセスできるようにします。

1

コンピュータから ISO ファイルをダウンロードします:

VMware vSphere クライアントの左ナビゲーションペインで、ESXi サーバーをクリックします。
[構成] タブのハードウェアリストで、[保管] をクリックします。
データストアリストで、VMs のデータストアを右クリックし、[データストアの参照] をクリックします。
[ファイルのアップロード] アイコンをクリックし、[ファイルのアップロード] をクリックします。
コンピュータの ISO ファイルをダンロードする場所を参照し、[開く] をクリックします。
[はい] をクリックし、オペレーション警告のアップロード/ダウンロードに同意し、データストアダイアログを閉じます。

2

ISO ファイルのマウント:

VMware vSphere クライアントの左ナビゲーションペインで、ESXi サーバーを右クリックし、[設定の編集] をクリックします。
[OK] をクリックし、制限された編集オプションの警告に同意します。
[CD/DVD Drive 1] をクリックし、データストア ISO ファイルからマウントするオプションを選択して、構成 ISO ファイルをアップロードした場所を参照します。
[接続済み] と [電源に接続する] をチェックします。
変更を保存し、仮想マシンを再起動します。

次に行うこと

IT ポリシーが必要な場合は、すべてのノードが設定変更をピックアップした後、オプションで ISO ファイルをアンマウントできます。詳細については、「(オプション) HDS 設定後に ISO をマウント解除」を参照してください。

プロキシ統合のために HDS ノードを設定する

ネットワーク環境でプロキシが必要な場合は、この手順を使用して、ハイブリッドデータセキュリティと統合するプロキシのタイプを指定します。透過型のプロキシまたは HTTPS を明示的なプロキシを選択した場合、ノードのインターフェイスを使用してルート証明書をアップロードしてインストールすることができます。インターフェイスからプロキシ接続を確認し、潜在的な問題をトラブルシューティングすることもできます。

開始する前に

サポートされているプロキシオプションの概要については、「プロキシサポート」を参照してください。
プロキシサーバーの要件

1	HDS ノードセットアップ URL `https://[HDS Node IP or FQDN]/setup` を入力して、ノードに対して設定した管理者資格情報を入力し、[サインイン] をクリックします。
2	[信頼ストアとロキシ] に移動して、次のオプションを選択します。プロキシなし—プロキシを統合する前のデフォルトオプションです。証明書の更新は必要ありません。透明検査なしのプロキシ—ノードは特定のプロキシサーバーアドレスを使用するように設定されていないため、検査なしのプロキシで動作するように変更は必要ありません。証明書の更新は必要ありません。透過型検査プロキシ—ノードは特定のプロキシサーバーアドレスを使用するように設定されていません。ハイブリッドデータセキュリティの展開では HTTPS 構成の変更は必要ありませんが、HDS ノードはプロキシを信頼できるようにするためにルート証明書を必要とします。プロキシを検査することで、Web サイトにアクセスするか、どのタイプのコンテンツを使用するかを強制するポリシーを施行することができます。このタイプのプロキシは、すべてのトラフィック (HTTPS さえも含む) を復号化します。明示的プロキシ—明示的プロキシを使用して、使用するプロキシサーバーをクライアント (HDS ノード) に指示します。このオプションは複数の認証タイプをサポートします。このオプションを選択した後、次の情報を入力する必要があります。プロキシ IP/FQDN—プロキシマシンに到達するために使用できるアドレス。プロキシポート: プロキシがプロキシトラフィックをリッスンするために使用するポート番号。プロキシプロトコル—http (クライアントから受信したすべての要求を表示およびコントロール) または https (サーバーにチャネルを提供し、クライアントがサーバーの証明書を受信して検証します) を選択します。プロキシサーバーがサポートするオプションを選択します。認証タイプ: 次の認証タイプから選択します。なし: 追加の認証は必要ありません。 HTTP または HTTPS プロキシで利用できます。ベーシック—HTTP ユーザーエージェントがリクエストを行う際にユーザー名とパスワードを指定するために使用されます。Base64 エンコードを使用します。 HTTP または HTTPS プロキシで利用できます。このオプションを選択した場合は、ユーザー名とパスワードも入力する必要があります。ダイジェスト: 機密情報を送信する前にアカウントを確認するために使用されます。ネットワークを経由して送信する前に、ユーザー名およびパスワードにハッシュ機能を適用します。 HTTPS プロキシに対してのみ利用できます。このオプションを選択した場合は、ユーザー名とパスワードも入力する必要があります。透過型検査プロキシ、基本認証を持つ HTTP 明示プロキシ、または HTTPS 明示プロキシについては、次のステップに従ってください。
3	[ルート証明書またはエンティティ終了証明書のアップロード] をクリックし、プロキシのルート証明書を選択するために移動します。証明書はアップロードされていますが、まだインストールされていません。証明書をインストールするにはノードを再起動する必要があります。証明書発行者名の山形矢印をクリックして詳細を確認するか、間違っている場合は [削除] をクリックして、ファイルを再度アップロードしてください。
4	[プロキシ接続を確認する] をクリックして、ノードとプロキシ間のネットワーク接続性をテストします。接続テストが失敗した場合は、エラーメッセージが表示され、問題を解決するための理由と方法が示されます。外部 DNS の解決が正常に行われなかったという内容のメッセージが表示された場合、ノードが DNS サーバーに到達できなかったことを示しています。この状況は、多くの明示的なプロキシ構成で想定されています。セットアップを続行すると、ノードは外部 DNS 解決ブロックモードで機能します。これがエラーだと思われる場合は、これらの手順を完了し、「ブロックされた外部 DNS 解決モードをオフにする」を参照してください。
5	接続テストが成功した後、明示的なプロキシについては https のみに設定し、このノードからのすべてのポートの 443/444 https 要求を明示的プロキシを通してルーティングするように切り替えます。この設定を有効にするには 15 秒かかります。
6	[すべての証明書を信頼ストアにインストールする(HTTPS 明示プロキシまたは透過型のプロキシで表示される)] または [再起動] をクリックして、プロンプトを読み、準備が完了したら [インストール] をクリックします。ノードが数分以内に再起動されます。
7	ノードが再起動したら、必要に応じて再度サインインして、[概要] ページを開き、接続チェックを確認してすべて緑色のステータスになっていることを確認します。プロキシ接続の確認は webex.com のサブドメインのみをテストします。接続の問題がある場合、インストール手順に記載されているクラウドドメインの一部がプロキシでブロックされているという問題がよく見られます。

クラスタ内の最初のノードを登録

このタスクは、「ハイブリッドデータセキュリティ VM のセットアップ」で作成した汎用ノードを取り、ノードを Webex クラウドに登録し、ハイブリッドデータセキュリティノードに変換します。

最初のノードを登録するとき、クラスターをノードが指定されている場所に作成します。クラスターには展開された 1 つ上のノードを含み、冗長性を提供します。

開始する前に

一旦ノードの登録を開始すると、60 分以内に完了する必要があり、そうでなければ、再び最初からやり直しになります。
ブラウザのポップアップブロッカーが無効になっているか、admin.webex.com の例外を許可していることを確認してください。

1	https://admin.webex.comにサインインします。
2	スクリーンの左側にあるメニューからサービスを選択します。
3	[クラウドサービス] セクションで、ハイブリッドデータセキュリティカードを見つけ、[セットアップ] をクリックします。
4	開いたページで、[リソースの追加] をクリックします。
5	[ノードを追加] カードの最初のフィールドで、ハイブリッドデータセキュリティノードを割り当てるクラスタの名前を入力します。クラスターのノードが地理的にどこに配置されているかに基づきクラスターに名前を付けることをお薦めします。例:「サンフランシスコ」または「ニューヨーク」または「ダラス」
6	2 番目のフィールドに、ノードの内部 IP アドレスまたは完全修飾ドメイン名 (FQDN) を入力し、画面下部にある [追加] をクリックします。この IP アドレスまたは FQDN は、「ハイブリッドデータセキュリティ VM をセットアップする」で使用した IP アドレスまたはホスト名とドメインと一致する必要があります。ノードを Webex に登録できることを示すメッセージが表示されます。
7	[ノードに進む] をクリックします。しばらくすると、Webex サービスのノード接続テストにリダイレクトされます。すべてのテストが成功した場合、[ハイブリッドデータセキュリティノードへのアクセスを許可する] ページが表示されます。そこでは、ノードにアクセスする権限を Webex 組織に付与することを確認します。
8	[ハイブリッドデータセキュリティノードへのアクセスを許可する] チェックボックスをチェックし、[続行] をクリックします。アカウントが検証され、「登録完了」メッセージは、ノードが Webex クラウドに登録されていることを示します。
9	リンクをクリックするか、タブを閉じて、Partner Hub ハイブリッドデータセキュリティページに戻ります。 [ハイブリッドデータセキュリティ] ページで、登録したノードを含む新しいクラスタが [リソース] タブの下に表示されます。ノードは自動的にクラウドから最新ソフトウェアをダウンロードします。

他のノードを作成して登録

追加ノードをクラスターに追加するには、追加 VMs を作成し、同じ構成 ISO ファイルをマウントし、ノードを登録します。最低 3 個のノードを持つことを推奨します。

開始する前に

一旦ノードの登録を開始すると、60 分以内に完了する必要があり、そうでなければ、再び最初からやり直しになります。
ブラウザのポップアップブロッカーが無効になっているか、admin.webex.com の例外を許可していることを確認してください。

1	OVA から新しい仮想マシンを作成し、「HDS ホスト OVA をインストールする」の手順を繰り返します。
2	新しい VM で初期設定をセットアップし、「ハイブリッドデータセキュリティ VM のセットアップ」の手順を繰り返します。
3	新しい VM で、「HDS 構成 ISO をアップロードおよびマウントする」の手順を繰り返します。
4	展開用にプロキシを設定している場合は、新しいノードで「プロキシ統合のために HDS ノードを構成する」の手順を繰り返します。
5	ノードを登録します。 https://admin.webex.com で、[サービス] をスクリーンの左側にあるメニューから選択します。 [クラウドサービス] セクションで、ハイブリッドデータセキュリティカードを見つけ、[すべて表示] をクリックします。 [ハイブリッドデータセキュリティリソース] ページが表示されます。新しく作成されたクラスターが [リソース ] ページに表示されます。クラスタをクリックすると、クラスタに割り当てられたノードが表示されます。画面の右側にある [ノードの追加] をクリックします。ノードの内部 IP アドレスまたは完全修飾ドメイン名 (FQDN) を入力し、[追加] をクリックします。ページが開き、ノードを Webex クラウドに登録できることを示すメッセージが表示されます。しばらくすると、Webex サービスのノード接続テストにリダイレクトされます。すべてのテストが成功した場合、[ハイブリッドデータセキュリティノードへのアクセスを許可する] ページが表示されます。そこで、組織にノードにアクセスする権限を付与することを確認します。 [ハイブリッドデータセキュリティノードへのアクセスを許可する] チェックボックスをチェックし、[続行] をクリックします。アカウントが検証され、「登録完了」メッセージは、ノードが Webex クラウドに登録されていることを示します。リンクをクリックするか、タブを閉じて、Partner Hub ハイブリッドデータセキュリティページに戻ります。ノードが追加されましたポップアップメッセージは、Partner Hub の画面下部にも表示されます。ノードが登録されています。

マルチテナントのハイブリッドデータセキュリティでテナント組織を管理する

Partner Hub でマルチテナント HDS をアクティブにする

このタスクにより、顧客組織のすべてのユーザーがオンプレミスの暗号化キーやその他のセキュリティサービスに HDS を活用できるようになります。

開始する前に

必要なノード数を持つマルチテナント HDS クラスタのセットアップが完了していることを確認します。

1	https://admin.webex.comにサインインします。
2	スクリーンの左側にあるメニューからサービスを選択します。
3	[クラウドサービス] セクションで、ハイブリッドデータセキュリティを見つけ、[設定の編集] をクリックします。
4	[HDS ステータス] カードで [HDS を有効にする] をクリックします。

Partner Hub でテナント組織を追加

このタスクでは、顧客組織をハイブリッドデータセキュリティクラスタに割り当てます。

1	https://admin.webex.comにサインインします。
2	スクリーンの左側にあるメニューからサービスを選択します。
3	[クラウドサービス] セクションで、ハイブリッドデータセキュリティを見つけ、[すべて表示] をクリックします。
4	顧客を割り当てるクラスタをクリックします。
5	[割り当てられた顧客] タブに移動します。
6	[顧客の追加] をクリックします。
7	ドロップダウンメニューから追加する顧客を選択します。
8	[追加] をクリックすると、顧客がクラスタに追加されます。
9	複数の顧客をクラスタに追加するには、手順 6 ～ 8 を繰り返します。
10	顧客を追加したら、画面下部にある [完了] をクリックします。

次に行うこと

「HDS セットアップツールを使用してカスタマーメインキー (CMK) を作成する」で詳しく説明されている HDS セットアップツールを実行し、セットアッププロセスを完了します。

HDS セットアップツールを使用してカスタマーメインキー (CMK) を作成する

開始する前に

「Partner Hub でテナント組織を追加する」の詳細に従って、適切なクラスターに顧客を割り当てます。HDS セットアップツールを実行して、新しく追加された顧客組織のセットアッププロセスを完了します。

HDS セットアップツールをローカルマシンの Docker コンテナとして実行します。アクセスするには、そのマシンで Docker を実行します。セットアッププロセスには、組織のフル管理者権限を持つパートナーハブアカウントの資格情報が必要です。

HDS セットアップツールが環境内のプロキシの背後で実行されている場合、ステップ 5 で Docker コンテナを起動する際に、Docker 環境変数を通してプロキシ設定 (サーバー、ポート、資格情報) を提供します。この表ではいくつかの可能な環境変数を示します。

説明	変数
認証なしの HTTP プロキシ	`グローバル_エージェント_HTTP_PROXY=http://SERVER_IP:PORT`
認証なしの HTTPS プロキシ	`グローバル_エージェント_HTTPS_PROXY=http://SERVER_IP:ポート`
認証ありの HTTP プロキシ	`グローバル_エージェント_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
認証ありの HTTPS プロキシ	`グローバル_エージェント_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

生成する構成 ISO ファイルには、PostgreSQL または Microsoft SQL Server データベースを暗号化するマスターキーが含まれています。次のような設定変更を行うときは、このファイルの最新コピーが必要です。
- データベースクレデンシャル
- 証明書の更新
- 認証ポリシーの変更
データベース接続を暗号化する場合は、TLS 用に PostgreSQL または SQL Server の展開を設定します。

ハイブリッドデータセキュリティセットアッププロセスは、ISO ファイルを作成します。その後、ISO を使用してハイブリッドデータセキュリティホストを構成します。

1	マシンのコマンドラインで、お使い環境に適切なコマンドを入力します。一般環境: `docker rmi ciscocitg/hds-setup:stable` FedRAMP 環境の場合: `docker rmi ciscocitg/hds-setup-fedramp:stable` このステップを実行すると、前の HDS セットアップツールの画像がクリーンアップされます。これ以前の画像がない場合は、無視できるエラーを返します。
2	Docker 画像レジストリにサインインするには、以下を入力します。 `ドッカーログイン -u hdscustomersro`
3	パスワードのプロンプトに対して、このハッシュを入力します。 `dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo`
4	お使い環境に合った最新の安定した画像をダウンロードします。一般環境: `ドッカープル ciscocitg/hds-setup:stable` FedRAMP 環境の場合: `ドッカープル ciscocitg/hds-setup-fedramp:stable`
5	プルが完了したら、お使いの環境に適切なコマンドを入力します。プロキシなしの通常の環境の場合: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable` HTTP プロキシがある通常の環境の場合、 `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:ポート ciscocitg/hds-setup:stable` HTTPS プロキシがある通常の環境の場合: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:ポート ciscocitg/hds-setup:stable` プロキシなしの FedRAMP 環境の場合: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable` HTTP プロキシがある FedRAMP 環境の場合: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:ポート ciscocitg/hds-setup-fedramp:stable` HTTPS プロキシがある FedRAMP 環境の場合: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:ポート ciscocitg/hds-setup-fedramp:stable` コンテナが実行中の時。「ポート 8080 で Express サーバーリスニング中」と表示されます。
6	セットアップツールは、http://localhost:8080 を介した localhost への接続をサポートしていません。http://127.0.0.1:8080 を使用して、localhost に接続します。 Web ブラウザを使用して、localhost `http://127.0.0.1:8080` に移動し、プロンプトで Partner Hub の管理者ユーザー名を入力します。ツールは、このユーザー名の最初のエントリを使用して、そのアカウントに適した環境を設定します。その後、ツールには標準のサインインプロンプトが表示されます。
7	プロンプトが表示されたら、Partner Hub 管理者のサインイン資格情報を入力し、[ログイン] をクリックして、ハイブリッドデータセキュリティに必要なサービスへのアクセスを許可します。
8	セットアップツール概要ページで、[開始] をクリックします。
9	[ISO インポート] ページで、[はい] をクリックします。
10	ブラウザで ISO ファイルを選択してアップロードします。 CMK 管理を実行するには、データベースへの接続を確認します。
11	[テナント CMK 管理] タブに進み、テナント CMK を管理する次の 3 つの方法を確認します。すべての組織に対して CMK を作成または CMK を作成 - 画面上部のバナーでこのボタンをクリックすると、新しく追加されたすべての組織に対して CMK が作成されます。画面の右側にある [CMK の管理] ボタンをクリックし、[CMK の作成] をクリックして、新しく追加されたすべての組織に対して CMK を作成します。テーブル内の特定の組織の CMK 管理保留ステータスの近くにある […] をクリックし、[CMK の作成] をクリックして、その組織の CMK を作成します。
12	CMK の作成が成功すると、テーブルのステータスは CMK 管理保留中から CMK 管理に変更されます。
13	CMK の作成に失敗した場合は、エラーが表示されます。

テナント組織を削除

開始する前に

削除すると、顧客組織のユーザーは暗号化ニーズに HDS を利用できなくなり、既存のスペースはすべて失われます。顧客の組織を削除する前に、Cisco パートナーまたはアカウントマネージャーに連絡してください。

1	https://admin.webex.comにサインインします。
2	スクリーンの左側にあるメニューからサービスを選択します。
3	[クラウドサービス] セクションで、ハイブリッドデータセキュリティを見つけ、[すべて表示] をクリックします。
4	[リソース] タブで、顧客組織を削除するクラスタをクリックします。
5	開いたページで、[割り当てられた顧客] をクリックします。
6	表示される顧客組織のリストから、削除する顧客組織の右側にある ... をクリックし、[クラスターから削除] をクリックします。

次に行うこと

「HDS から削除されたテナントの CMK を取り消す」に記載されているように、顧客組織の CMK を取り消して、削除プロセスを完了します。

HDS から削除されたテナントの CMK を取り消します。

開始する前に

「テナント組織の削除」の詳細に従って、適切なクラスタから顧客を削除します。HDS セットアップツールを実行して、削除された顧客組織の削除プロセスを完了します。

HDS セットアップツールをローカルマシンの Docker コンテナとして実行します。アクセスするには、そのマシンで Docker を実行します。セットアッププロセスには、組織のフル管理者権限を持つパートナーハブアカウントの資格情報が必要です。

HDS セットアップツールが環境内のプロキシの背後で実行されている場合、ステップ 5 で Docker コンテナを起動する際に、Docker 環境変数を通してプロキシ設定 (サーバー、ポート、資格情報) を提供します。この表ではいくつかの可能な環境変数を示します。

説明	変数
認証なしの HTTP プロキシ	`グローバル_エージェント_HTTP_PROXY=http://SERVER_IP:PORT`
認証なしの HTTPS プロキシ	`グローバル_エージェント_HTTPS_PROXY=http://SERVER_IP:ポート`
認証ありの HTTP プロキシ	`グローバル_エージェント_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
認証ありの HTTPS プロキシ	`グローバル_エージェント_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

生成する構成 ISO ファイルには、PostgreSQL または Microsoft SQL Server データベースを暗号化するマスターキーが含まれています。次のような設定変更を行うときは、このファイルの最新コピーが必要です。
- データベースクレデンシャル
- 証明書の更新
- 認証ポリシーの変更
データベース接続を暗号化する場合は、TLS 用に PostgreSQL または SQL Server の展開を設定します。

ハイブリッドデータセキュリティセットアッププロセスは、ISO ファイルを作成します。その後、ISO を使用してハイブリッドデータセキュリティホストを構成します。

1	マシンのコマンドラインで、お使い環境に適切なコマンドを入力します。一般環境: `docker rmi ciscocitg/hds-setup:stable` FedRAMP 環境の場合: `docker rmi ciscocitg/hds-setup-fedramp:stable` このステップを実行すると、前の HDS セットアップツールの画像がクリーンアップされます。これ以前の画像がない場合は、無視できるエラーを返します。
2	Docker 画像レジストリにサインインするには、以下を入力します。 `ドッカーログイン -u hdscustomersro`
3	パスワードのプロンプトに対して、このハッシュを入力します。 `dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo`
4	お使い環境に合った最新の安定した画像をダウンロードします。一般環境: `ドッカープル ciscocitg/hds-setup:stable` FedRAMP 環境の場合: `ドッカープル ciscocitg/hds-setup-fedramp:stable`
5	プルが完了したら、お使いの環境に適切なコマンドを入力します。プロキシなしの通常の環境の場合: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable` HTTP プロキシがある通常の環境の場合、 `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:ポート ciscocitg/hds-setup:stable` HTTPS プロキシがある通常の環境の場合: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:ポート ciscocitg/hds-setup:stable` プロキシなしの FedRAMP 環境の場合: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable` HTTP プロキシがある FedRAMP 環境の場合: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:ポート ciscocitg/hds-setup-fedramp:stable` HTTPS プロキシがある FedRAMP 環境の場合: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:ポート ciscocitg/hds-setup-fedramp:stable` コンテナが実行中の時。「ポート 8080 で Express サーバーリスニング中」と表示されます。
6	セットアップツールは、http://localhost:8080 を介した localhost への接続をサポートしていません。http://127.0.0.1:8080 を使用して、localhost に接続します。 Web ブラウザを使用して、localhost `http://127.0.0.1:8080` に移動し、プロンプトで Partner Hub の管理者ユーザー名を入力します。ツールは、このユーザー名の最初のエントリを使用して、そのアカウントに適した環境を設定します。その後、ツールには標準のサインインプロンプトが表示されます。
7	プロンプトが表示されたら、Partner Hub 管理者のサインイン資格情報を入力し、[ログイン] をクリックして、ハイブリッドデータセキュリティに必要なサービスへのアクセスを許可します。
8	セットアップツール概要ページで、[開始] をクリックします。
9	[ISO インポート] ページで、[はい] をクリックします。
10	ブラウザで ISO ファイルを選択してアップロードします。
11	[テナント CMK 管理] タブに進み、テナント CMK を管理する次の 3 つの方法を確認します。すべての組織に対して CMK を取り消すまたは CMK を取り消す - 画面上部のバナーでこのボタンをクリックすると、削除されたすべての組織の CMK が取り消されます。画面の右側にある [CMK の管理] ボタンをクリックし、[CMK の取り消し] をクリックして、削除されたすべての組織の CMK を取り消します。テーブル内の特定の組織の [CMK を取り消す] ステータス近くの [CMK を取り消す] をクリックし、[CMK を取り消す] をクリックして、その特定の組織の CMK を取り消します。
12	CMK の取り消しが成功すると、顧客組織はテーブルに表示されなくなります。
13	CMK 失効が失敗した場合、エラーが表示されます。

ハイブリッドデータセキュリティの展開をテスト

ハイブリッドデータセキュリティ展開

この手順を使用して、マルチテナントのハイブリッドデータセキュリティ暗号化のシナリオをテストします。

開始する前に

マルチテナントのハイブリッドデータセキュリティの展開をセットアップします。
syslog にアクセスして、重要な要求がマルチテナントハイブリッドデータセキュリティ展開に渡されていることを確認します。

1

与えられたスペースのキーは、スペースの作成者により設定されます。顧客組織のユーザーの 1 人として Webex アプリにサインインし、スペースを作成します。

ハイブリッドデータセキュリティ展開を非アクティブにすると、クライアントのキャッシュされた暗号化キーのコピーが置き換えられると、ユーザーが作成したスペースのコンテンツにアクセスできなくなります。

2

メッセージを新しいスペースに送信します。

3

syslog 出力をチェックして、重要な要求がハイブリッドデータセキュリティ展開に渡されていることを確認します。

ユーザーが最初に KMS に対してセキュアなチャネルを確立していることを確認するには、kms.data.method=create および kms.data.type=EPHEMERAL_KEY_コレクション でフィルタリングします。

次のようなエントリ (読みやすくするために識別子が省略されます) を見つける必要があります。:

2020-07-21 17:35:34.562 (+0000) 情報 KMS [pool-14-thread-1] - [KMS:REQUEST] を受信、deviceId:https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

KMS から既存のキーをリクエストしているユーザーを確認するには、kms.data.method=retrieve および kms.data.type=KEY でフィルタリングします。

以下のエントリーを見つける必要があります。

2020-07-21 17:44:19.889 (+0000) 情報 KMS [pool-14-thread-31] - [KMS:REQUEST] 受信、deviceId:https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

新しい KMS キーの作成を要求しているユーザーを確認するには、kms.data.method=create および kms.data.type=KEY_COLLECTION でフィルタリングします。

以下のエントリーを見つける必要があります。

2020-07-21 17:44:21.975 (+0000) 情報 KMS [pool-14-thread-33] - [KMS:REQUEST] を受信、deviceId:https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

スペースまたはその他の保護されたリソースが作成されたときに、新しい KMS リソースオブジェクト (KRO) の作成を要求するユーザーを確認するには、kms.data.method=create および kms.data.type=RESOURCE_COLLECTION でフィルタリングします。

以下のエントリーを見つける必要があります。

2020-07-21 17:44:22.808 (+0000) 情報 KMS [pool-15-thread-1] - [KMS:REQUEST] を受信、deviceId:https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

ハイブリッドデータセキュリティの正常性のモニター

Partner Hub 内のステータスインジケータは、マルチテナントハイブリッドデータセキュリティの展開にすべて適合しているかどうかを示します。事前のアラートについては、メール通知にサインアップします。サービスに影響するアラームやソフトウェアアップグレードがある場合は通知されます。

1	[パートナーハブ] で、画面の左側にあるメニューから [サービス] を選択します。
2	[クラウドサービス] セクションで、ハイブリッドデータセキュリティを見つけ、 [設定の編集] をクリックします。ハイブリッドデータセキュリティ設定のページが表示されます。
3	[メール通知] セクションで、カンマ区切りで 1 つ以上のメールアドレスを入力し、[Enter] を推します。

HDS 展開を管理します

HDS 展開の管理

ここで説明されているタスクを使用して、ハイブリッドデータセキュリティの展開を管理します。

クラスターのアップグレードスケジュール

ハイブリッドデータセキュリティのソフトウェアアップグレードはクラスタレベルで自動的に実行されるため、すべてのノードが常に同じソフトウェアバージョンを実行していることを保証します。アップグレードは、クラスターのアップグレードのスケジュールに従って行われます。ソフトウェアのアップグレードが可能になると、スケジュールされているアップグレードの時間の前に手動でクラスターのアップグレードを行うことも可能になります。特定のアップグレードのスケジュールを設定するか、毎日午前 3 時 (アメリカ合衆国) に行うというデフォルトのスケジュールも利用可能です。アメリカ/ロサンゼルス必要であれば、次に予定されているアップグレードを延期することも可能です。

アップグレードのスケジュールを設定するには、次の操作を行います。

1	Partner Hub にサインインします。
2	スクリーンの左側にあるメニューからサービスを選択します。
3	[クラウドサービス] セクションで、ハイブリッドデータセキュリティを見つけ、[セットアップ] をクリックします。
4	[ハイブリッドデータセキュリティリソース] ページで、クラスタを選択します。
5	[クラスター設定] タブをクリックします。
6	[クラスタ設定（Cluster Settings）] ページの [アップグレードスケジュール（Upgrade Schedule）] で、アップグレードスケジュールの時間とタイムゾーンを選択します。注意: タイムゾーンの下に、次に可能なアップグレードの日時が表示されます。必要に応じて、[24 時間延期する] をクリックして、アップグレードを翌日に延期することができます。

ノードの構成を変更する

場合により、以下のような理由でハイブリッドデータセキュリティノードの構成の変更が必要な場合があります。

有効期限が切れる、または他の理由による、x.509 証明書の変更。

証明書の CN ドメイン名の変更はサポートされていません。ドメインは、クラスターを登録するために使用される元のドメインと一致する必要があります。
データベース設定を更新して、PostgreSQL または Microsoft SQL Server データベースのレプリカを変更します。

PostgreSQL から Microsoft SQL Server への、またはその逆へのデータ移行はサポートしていません。データベース環境を切り替えるには、ハイブリッドデータセキュリティの新しい展開を開始します。
新しい構成を作成して新しいデータセンターの準備をする。

また、セキュリティ上の理由により、ハイブリッドデータセキュリティは 9 か月間使用可能なサービスアカウントパスワードを使用します。HDS セットアップツールがこれらのパスワードを生成した後で、ISO 構成ファイルの各 HDS ノードに展開します。組織のパスワードの有効期限切れが近い場合、Webex チームから「パスワード期限切れ通知」を受け取り、マシンアカウントのパスワードのリセットを求められます。(メールにはテキスト「マシンアカウント API を使用してパスワードを更新します」を含みます。) パスワードの有効期限が切れるまで時間が十分にある場合、ツールには次の 2 つのオプションがあります:

ソフトリセット: 古いパスワードと新しいパスワードの両方が最大 10 日間有効です。この期間を使用して、ノードの ISO ファイルを段階的に置き換えることができます。
ハードリセット: 古いパスワードがすぐに機能しなくなります。

パスワードをリセットせずに期限切れになる場合、HDS サービスに影響を与える可能性があります。すぐにハードリセットし、すべてのノードの ISO ファイルを置換する必要があります。

この手順を使用して、新しい構成 ISO ファイルを生成し、クラスターに適用します。

始める前に

HDS セットアップツールをローカルマシンの Docker コンテナとして実行します。アクセスするには、そのマシンで Docker を実行します。セットアッププロセスには、パートナーのフル管理者権限を持つ Partner Hub アカウントの資格情報が必要です。

HDS セットアップツールが環境内のプロキシの背後で実行されている場合、1.e で Docker コンテナを起動する際に、Docker 環境変数を通してプロキシ設定 (サーバー、ポート、資格情報) を提供します。この表ではいくつかの可能な環境変数を示します。

説明	変数
認証なしの HTTP プロキシ	`グローバル_エージェント_HTTP_PROXY=http://SERVER_IP:PORT`
認証なしの HTTPS プロキシ	`グローバル_エージェント_HTTPS_PROXY=http://SERVER_IP:ポート`
認証ありの HTTP プロキシ	`グローバル_エージェント_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
認証ありの HTTPS プロキシ	`グローバル_エージェント_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

新しい構成を生成するには、現在の構成 ISO ファイルのコピーが必要です。ISO には PostgreSQL または Microsoft SQL Server データベースを暗号化するマスターキーを含むです。データベースの証明書、証明書の更新、認証方針への変更を含む、構成の変更を行った場合は ISO が必要です。

1	ローカルマシンで Docker を使用し、HDS セットアップツールを実行します。マシンのコマンドラインで、お使い環境に適切なコマンドを入力します。一般環境: `docker rmi ciscocitg/hds-setup:stable` FedRAMP 環境の場合: `docker rmi ciscocitg/hds-setup-fedramp:stable` このステップを実行すると、前の HDS セットアップツールの画像がクリーンアップされます。これ以前の画像がない場合は、無視できるエラーを返します。 Docker 画像レジストリにサインインするには、以下を入力します。 `ドッカーログイン -u hdscustomersro` パスワードのプロンプトに対して、このハッシュを入力します。 `dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo` お使い環境に合った最新の安定した画像をダウンロードします。一般環境: `ドッカープル ciscocitg/hds-setup:stable` FedRAMP 環境の場合: `ドッカープル ciscocitg/hds-setup-fedramp:stable` この手順に最新のセットアップツールをプルしていることを確認します。2018 年 2 月 22 日より前に作成されたツールのバージョンには、パスワードリセット画面が表示されません。プルが完了したら、お使いの環境に適切なコマンドを入力します。プロキシなしの通常の環境の場合: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable` HTTP プロキシがある通常の環境の場合、 `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:ポート ciscocitg/hds-setup:stable` HTTPS プロキシがある通常の環境の場合: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:ポート ciscocitg/hds-setup:stable` プロキシなしの FedRAMP 環境の場合: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable` HTTP プロキシがある FedRAMP 環境の場合: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:ポート ciscocitg/hds-setup-fedramp:stable` HTTPS プロキシがある FedRAMP 環境の場合: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:ポート ciscocitg/hds-setup-fedramp:stable` コンテナが実行中の時。「ポート 8080 で Express サーバーリスニング中」と表示されます。ブラウザを使用して、ローカルホスト `http://127.0.0.1:8080` に接続します。セットアップツールは、http://localhost:8080 を介した localhost への接続をサポートしていません。http://127.0.0.1:8080 を使用して、localhost に接続します。プロンプトが表示されたら、Partner Hub の顧客サインイン情報を入力し、[承認] をクリックして続行します。現在の構成 ISO ファイルをインポートします。指示に従い、ツールを完了し、更新されたファイルをダウンロードします。セットアップツールをシャットダウンするには、[`CTRL+C`] と入力します。別のデータセンターで、更新されたファイルのバックアップコピーを作成します。
2	実行中の HDS ノードが 1 つしかない場合、新しいハイブリッドデータセキュリティノード VM を作成し、新しい構成 ISO ファイルを使用して登録します。詳細については、「さらにノードを作成して登録する」を参照してください。 HDS 主催者 OVA をインストールします。 HDS VM をセットアップします。更新された構成ファイルをマウントします。 Partner Hub で新しいノードを登録します。
3	古い構成ファイルを実行している既存の HDS ノードの場合、ISO ファイルをマウントします。各ノードで以下の手順を実行し、次のノードをオフにする前に、各ノードを更新します。仮想マシンをオフにします。 VMware vSphere クライアントの左ナビゲーションペインで、ESXi サーバーを右クリックし、[設定の編集] をクリックします。 [`CD/DVD Drive 1`] をクリックし、ISO ファイルからマウントするオプションを選択して、新規構成 ISO ファイルをダウンロードした場所を参照します。 [電源に接続する] をチェックします。変更を保存し、仮想マシンを起動します。
4	ステップ 3 を繰り返し、古い構成ファイルを実行している残りの各ノードで構成を置き換えます。

外部 DNS 解決ブロックモードをオフにする

ノードを登録するか、またはノードのプロキシ構成を確認するとき、プロセスは DNS 検索と Cisco Webex クラウドへの接続をテストします。ノードの DNS サーバーがパブリック DNS 名を解決できない場合、ノードは自動的に外部 DNS 解決ブロックモードに進みます。

ノードが内部 DNS サーバーを通してパブリック DNS 名を解決できる場合、各ノードでプロキシ接続テストを再実行することで、このモードをオフにすることができます。

開始する前に

内部 DNS サーバーがパブリック DNS 名を解決でき、ノードがそれらと通信できることを確認します。

1	Web ブラウザで、ハイブリッドデータセキュリティノードインターフェイス (IP アドレス/セットアップ、例: https://192.0.2.0/setup), ノードに設定した管理者資格情報を入力し、サインイン。
2	[概要] (デフォルトページ) に移動します。有効になっている場合、 [外部 DNS 解決ブロック] は [はい] に設定されています。
3	[信頼ストアとプロキシ] ページに移動します。
4	[プロキシ接続を確認する] をクリックします。外部 DNS の解決が正常に行われなかったという内容のメッセージが表示された場合、ノードが DNS サーバーに到達できなかったことを示しており、このモードに留まっています。そうでない場合には、ノードを再起動して[概要] ページに戻ると、[外部 DNS 解決ブロック] は [いいえ] に設定されるはずです。

次に行うこと

ハイブリッドデータセキュリティクラスターの各ノードで、プロキシ接続テストを繰り返します。

ノードの削除

この手順を使用して、Webex クラウドからハイブリッドデータセキュリティノードを削除します。クラスタからノードを削除した後、仮想マシンを削除して、セキュリティデータへのさらなるアクセスを防止します。

1

コンピュータの VMware vSphere クライアントを使用して、ESXi 仮想主催者にログインし、仮想マシンをオフにします。

2

ノードの削除:

Partner Hub にサインインし、[サービス] を選択します。
ハイブリッドデータセキュリティカードで、[すべて表示] をクリックして、ハイブリッドデータセキュリティリソースページを表示します。
クラスタを選択して [概要] パネルを表示します。
削除するノードをクリックします。
右に表示されるパネルで、[このノードの登録解除] をクリックします。
ノードの右側にある […] をクリックして、[このノードを削除] を選択することで、ノードの登録を解除することもできます。

3

vSphere クライアントで、VM を削除します。(左側のナビゲーションペインで、VM を右クリックし、[削除] をクリックします。)

VM を削除しない場合は、構成 ISO ファイルをアンマウントすることを忘れないでください。ISO ファイルがないと、VM を使用してセキュリティデータにアクセスすることはできません。

スタンバイデータセンターを使用した災害復旧

ハイブリッドデータセキュリティクラスターが提供する最も重要なサービスは、Webex クラウドに保存されたメッセージやその他のコンテンツを暗号化するために使用されるキーの作成と保存です。ハイブリッドデータセキュリティに割り当てられている組織内の各ユーザーについて、新しいキー作成リクエストはクラスタにルーティングされます。カンバセーションスペースのメンバーなど、受け取りの認可を得ているユーザーに、作成されるキーを戻す責任がクラスターにはあります。

クラスタープラットフォームはこれらのキーを提供するにあたり重要な機能となるため、クラスターが実行中のままで、適切なバックアップが維持されている必要があります。ハイブリッドデータセキュリティデータベースまたはスキーマに使用される構成 ISO の損失により、顧客コンテンツは回復不能になります。損失などを防ぐためには、以下のプラクティスが必須です:

災害により、プライマリデータセンターの HDS 展開が利用できなくなる場合は、次の手順に従って、スタンバイデータセンターに手動でフェールオーバーします。

開始する前に

「ノードを削除」に記載されているように、Partner Hub からすべてのノードを登録解除します。以前にアクティブであったクラスタのノードに対して設定された最新の ISO ファイルを使用して、以下に示すフェールオーバー手順を実行します。

1	HDS セットアップツールを開始し、「HDS ホストの構成 ISO を作成する」に記載されている手順に従います。
2	設定プロセスを完了し、見つけやすい場所に ISO ファイルを保存します。
3	ローカルシステムの ISO ファイルのバックアップコピーを作成します。バックアップコピーを安全に保ちます。このファイルには、データベースコンテンツのマスター暗号化キーを含みます。設定変更を行う必要があるハイブリッドデータセキュリティ管理者のみにアクセスを制限します。
4	VMware vSphere クライアントの左ナビゲーションペインで、ESXi サーバーを右クリックし、[設定の編集] をクリックします。
5	[設定の編集] > [CD/DVD ドライブ 1] をクリックし、データストア ISO ファイルを選択します。ノードの開始後に更新された構成変更が有効になるように、[接続済み] と [電源で接続] がオンになっていることを確認します。
6	HDS ノードの電源をオンにし、少なくとも 15 分間アラームがないことを確認します。
7	Partner Hub でノードを登録します。「クラスタの最初のノードを登録する」を参照してください。
8	スタンバイデータセンター内のすべてのノードに対してこのプロセスを繰り返します。

次に行うこと

フェールオーバー後、プライマリデータセンターが再びアクティブになった場合は、スタンバイデータセンターのノードを登録解除し、前述のように ISO の設定とプライマリデータセンターのノードを登録するプロセスを繰り返します。

(オプション) HDS 設定後に ISO を取り外す

標準 HDS 設定は、ISO がマウントされた状態で実行されます。ただし、ISO ファイルを継続的にマウントすることを希望する顧客もあります。すべての HDS ノードが新しい設定を取得すると、ISO ファイルをマウント解除できます。

設定変更を行うには、引き続き ISO ファイルを使用します。新しい ISO を作成するか、セットアップツールから ISO を更新する場合は、更新された ISO をすべての HDS ノードにマウントする必要があります。すべてのノードが設定変更をピックアップしたら、この手順で ISO をアンマウントできます。

開始する前に

すべての HDS ノードをバージョン 2021.01.22.4720 以降にアップグレードします。

1	HDS ノードの 1 つをシャットダウンします。
2	vCenter Server アプライアンスで、HDS ノードを選択します。
3	[設定の編集] > [CD/DVD ドライブ] の順に選択し、[データストア ISO ファイル] のチェックを外します。
4	HDS ノードの電源をオンにし、少なくとも 20 分間アラームがないことを確認します。
5	各 HDS ノードに対して順番に繰り返します。

ハイブリッドデータセキュリティのトラブルシューティング

アラートを表示してトラブルシューティングする

ハイブリッドデータセキュリティの展開は、クラスタ内のすべてのノードに到達できない場合、またはクラスタが動作が遅いため、要求がタイムアウトになった場合、利用できないと見なされます。ユーザーがハイブリッドデータセキュリティクラスタに到達できない場合、次の症状を経験します。

新しいスペースが作成できない (新しいキーを作成できない)
メッセージとスペースのタイトルを暗号解除できない:
- 新しいユーザーをスペースに追加する (キーを取得できない)
- 新しいクライアントを使用したスペースの既存ユーザー (キーを取得できない)
クライアントが暗号キーのキャッシュを持っている限り、スペースの既存ユーザーは引き続き正常に実行します

サービスの中断を避けるために、ハイブリッドデータセキュリティクラスタを適切に監視し、アラートを速やかに解決することが重要です。

警告

ハイブリッドデータセキュリティのセットアップに問題がある場合、Partner Hub は組織管理者にアラートを表示し、構成されたメールアドレスにメールを送信します。アラートでは多くに共通するシナリオを説明しています。

表 1YAZ設定オプション共通の問題と解決ステップ
警告	アクション
ローカルデータべースへのアクセスに失敗しました。	データベースのエラーかローカルネットワークの問題をチェックしてください。
ローカルデータベースの接続に失敗しました。	データベースサーバーが利用可能であり、正しいサービスアカウント証明書がノード構成に使用されていたことをチェックします。
クラウドサービスへのアクセスに失敗しました。	外部接続要件で指定されている通り、ノードが Webex サーバーにアクセスできることを確認します。
クラウドサービスの登録を更新します。	クラウドサービスへの登録に失敗しました。登録の更新は現在進行中です。
クラウドサービスの登録に失敗しました。	クラウドサービスへの登録が終了しましたサービスがシャットダウンしました。
サービスがアクティベートされていません。	Partner Hub で HDS を有効にします。
構成されたドメインはサーバー証明書に一致しません。	サーバー証明書が構成されたサービスアクティベーションドメインに一致することを確認します。もっとも多い原因は、証明書 CN が最近変更され、最初のセットアップ中に使用された CN とは異なっているためです。
クラウドサービスへの認証に失敗しました。	正確性とサービスアカウント証明書の期限切れの可能性をチェックします。
ローカルキーストアファイルを開くことに失敗しました。	ローカルキーストアファイルの整合性とパスワードの正確性をチェックします。
ローカルサーバー証明書が無効です。	サーバー証明書の期限切れ日をチェックし、信頼できる証明書権限から発行されたものであることを確認します。
メトリクスを投稿できません。	外部クラウドサービスへのローカルネットワークアクセスをチェックします。
/media/configdrive/hds ディレクトリは存在しません。	仮想ホストで ISO マウント構成をチェックします。ISO ファイルが存在し、再起動時にマウントされるように構成されており、正常にマウントされていることを確認します。
追加された組織では、テナント組織のセットアップが完了していません	HDS セットアップツールを使用して、新しく追加されたテナント組織の CMK を作成してセットアップを完了します。
削除された組織のテナント組織のセットアップが完了していません	HDS セットアップツールを使用して削除されたテナント組織の CMK を取り消すことでセットアップを完了します。

ハイブリッドデータセキュリティのトラブルシューティング

ハイブリッドデータセキュリティの問題をトラブルシューティングする際には、次の一般的なガイドラインを使用してください。

1	アラートについては Partner Hub を確認し、そこで見つかった項目を修正します。参照については、以下の画像を参照してください。
2	ハイブリッドデータセキュリティ展開からのアクティビティの syslog サーバー出力を確認します。「警告」や「エラー」などの単語をフィルタリングして、トラブルシューティングに役立ちます。
3	Cisco サポートに連絡します。

その他のメモ

ハイブリッドデータセキュリティに関する既知の問題

ハイブリッドデータセキュリティクラスタをシャットダウンする場合 (Partner Hub で削除するか、すべてのノードをシャットダウンする)、構成 ISO ファイルを失うか、キーストアデータベースへのアクセスを失った場合、顧客組織の Webex アプリユーザーは、KMS のキーで作成されたユーザーリストの下のスペースを使用できなくなります。一度アクティブユーザーを扱った場合、現在この問題の会費苞や修正方法はなく、HDS サービスを終了しないようにしてください。
KMS への既存の ECDH 接続を持つクライアントは、一定の期間接続を維持します (およそ 1 時間)。

OpenSSL を使用して PKCS12 ファイルを生成する

開始する前に

OpenSSL は、HDS セットアップツールでローディングするために、適切なフォーマットで PKCS12 ファイルを作成するために使用可能なツールです。これを実行する他の方法もあり、別の方法がある中で1つの方法をサポートまたは促進しません。
OpenSSL を使用することを選択した場合、X.509 証明書要件の X.509 証明書要件を満たすファイルを作成するためのガイドラインとしてこの手順を提供します。続行する前にそれらの要件を理解します。
サポートされている環境で OpenSSL をインストールします。ソフトウェアと文書については https://www.openssl.org をご覧ください。
秘密鍵を作成します。
証明書権限 (CA) からサーバー証明書を受け取るとき、この手順を開始します。

1	CA からサーバー証明書を受け取るとき、`hdsnode.pem` として保存します。
2	テキストとして証明書を表示し、詳細を検証します: `openssl x509 -text -noout -in hdsnode.pem`
3	テキストエディタを使用して、`hdsnode-bundle.pem` という名前の証明書バンドルファイルを作成します。バンドルファイルには、下のフォーマットでサーバー証明書、中間 CA 証明書、ルート証明書を含みます。 `-----開始証明書----- ### サーバ証明書。 ### -----end certificate------------------------------------------------------------- ### 中間 CA 証明書。 #### -----end certificate------------------------------------------------------------- ### ルート CA 証明書。 ### -----end 証明書-----`
4	`kms-private-key` という友好的な名前で .p12 ファイルを作成します。 `openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12`
5	サーバー証明書の詳細をチェックします。 `openssl pkcs12 -in hdsnode.p12` アウトプットに一覧化されるように、指示に従いパスワードを入力し、秘密鍵を暗号化します。したがって、秘密鍵と最初の証明書に行`friendlyName: Kms-private-key` を含むことに検証します。例: bash$ openssl pkcs12 -in hdsnode.p12 Enter Import Password: MAC verified OK Bag Attributes friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 主な属性: PEM パスフレーズを入力: 検証中 - PEM パスフレーズを入力します: -----BEGIN 暗号化秘密キー----- -----END 暗号化秘密キー------- バッグ属性 friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 ------BEGIN CERTIFICATE-----END CERTIFICATE------- Bag 属性 friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US subject=/C=US/O=Let's Encrypt/CN=Digital Signature Trust Co./CN=DST Root CA X3 ------- -----END CERTIFICATE------

次に行うこと

[ハイブリッドデータセキュリティの前提条件を完了] に戻ります。hdsnode.p12 ファイルと設定したパスワードを [HDS ホストの構成 ISO を作成する] で使用します。

元の証明書の有効期限が切れると、これらのファイルを再使用して新しい証明書を要求できます。

HDS ノードおよびクラウド間のトラフィック

アウトバウンドメトリクスコレクショントラフィック

ハイブリッドデータセキュリティノードは、特定のメトリクスをWebex クラウドに送信します。これらには以下が含まれます。heap max、使用される heap、CPU ロード、しきい値カウント。同期および非同期しきい値のメトリクス。暗号化接続、遅延、リクエストキューの長さのしきい値を含むアラートのメトリクス。データストアのメトリクス。暗号化接続メトリクス。Out-of-Band (リクエストとは別) チャンネルの暗号化されたキーマテリアルを送信します。

インバウンドトラフィック

ハイブリッドデータセキュリティノードは、Webex クラウドから次のタイプの着信トラフィックを受信します。

暗号サービスからルートされたクライアントからの暗号化リクエスト
ノードソフトウェアへのアップグレード

ハイブリッドデータセキュリティの Squid プロキシを設定する

Websocket は Squid プロキシを通じて接続できません

HTTPS トラフィックを検査する Squid プロキシは、ハイブリッドデータセキュリティが必要とする websocket (wss:) 接続の確立に干渉する可能性があります。これらのセクションでは、wss: トラフィックを無視するためのさまざまなバージョンの Squid の設定方法について説明しています。 これは、サービスの適切な運用のためのトラフィックです。

Squid 4 および5

on_unsupported_protocol ディレクティブを squid.conf に追加します。

on_unsupported_protocol すべてトンネル

Squid 3.5.27

以下の規則が squid.conf に追加されて、ハイブリッドデータセキュリティのテストに成功しました。これらのルールは、機能を開発し、Webex クラウドを更新する際に変更されることがあります。

acl wssMercuryConnection ssl::server_name_regex mercury-connection ssl_bump splice wssMercuryConnection acl step1 at_step SslBump1 acl step2 at_step SslBump2 acl step3 at_step SslBump3 ssl_bump peek step1 all ssl_bump stare step2 all ssl_bump bump step3 all

新規および変更された情報

この表では、新機能または機能、既存のコンテンツへの変更、および『マルチテナントハイブリッドデータセキュリティの展開ガイド』で修正された主なエラーについて説明します。

日付	変更を行いました
2025 年 1 月 8 日	「初期セットアップを実行し、インストールファイルをダウンロードする」に、Partner Hub の HDS カードの [セットアップ] をクリックすると、インストールプロセスの重要なステップであることを示すメモを追加しました。
2025 年 1 月 7 日	「仮想ホスト要件」、「ハイブリッドデータセキュリティ展開タスクフロー」、「HDS ホスト OVA のインストール」を更新し、ESXi 7.0 の新しい要件を表示します。
2024 年 12 月 13 日	初公開。

マルチテナントのハイブリッドデータセキュリティの無効化

マルチテナント HDS の無効化タスクフロー

マルチテナント HDS を完全に無効にするには、次の手順に従います。

開始する前に

このタスクは、パートナーのフル管理者によってのみ実行されます。

1	「テナント組織の削除」で記載されているように、すべてのクラスタからすべての顧客を削除します。
2	「HDS から削除されたテナントの CMK を取り消す」に記載されている通り、すべての顧客の CMK を取り消します。
3	「ノードの削除」で記載されているように、すべてのクラスタからすべてのノードを削除します。
4	次の 2 つの方法のいずれかを使用して、Partner Hub からすべてのクラスタを削除します。削除するクラスタをクリックし、概要ページの右上隅にある [このクラスタの削除] を選択します。 [リソース] ページで、クラスタの右側の […] をクリックし、[クラスタの削除] を選択します。
5	ハイブリッドデータセキュリティの概要ページの [設定] タブをクリックし、HDS ステータスカードの [HDS の非アクティブ化] をクリックします。

マルチテナントのハイブリッドデータセキュリティを使い始める

マルチテナントのハイブリッドデータセキュリティの概要

Webex アプリの設計では、1 日目以降、データセキュリティが主要なフォーカスとなっています。このセキュリティのコーナーストンは、エンドツーエンドのコンテンツ暗号化であり、Webex アプリクライアントがキー管理サービス (KMS) と対話することで有効になります。KMS はメッセージとファイルを動的に暗号化し、解読するためにクライアントが使用する暗号キーの作成と管理の責任を負っています。

デフォルトでは、すべての Webex アプリの顧客は、Cisco のセキュリティ領域であるクラウド KMS に保存されているダイナミックキーを使用してエンドツーエンドの暗号化を取得します。ハイブリッドデータセキュリティは、KMS とその他のセキュリティ関連の機能をあなたのエンタープライズデータセンターに移動するため、誰でもなくあなたが暗号化コンテンツの鍵を持っています。

マルチテナントのハイブリッドデータセキュリティ により、組織はサービスプロバイダーとして機能し、オンプレミスの暗号化やその他のセキュリティサービスを管理できる信頼できるローカルパートナーを通じて HDS を活用できます。このセットアップにより、パートナー組織は暗号キーの展開と管理を完全に制御し、顧客組織のユーザーデータを外部アクセスから安全に保護できます。パートナー組織は HDS インスタンスをセットアップし、必要に応じて HDS クラスタを作成します。各インスタンスは、1 つの組織に制限される通常の HDS 展開とは異なり、複数の顧客組織をサポートできます。

パートナー組織は展開と管理をコントロールできますが、顧客が生成したデータやコンテンツにアクセスすることはできません。このアクセスは、顧客の組織とそのユーザーに限定されます。

また、データセンターなどのキー管理サービスとセキュリティインフラストラクチャは信頼できるローカルパートナーによって所有されているため、小規模組織は HDS を活用できます。

マルチテナントハイブリッドデータセキュリティがデータの主権とデータ制御を提供する方法

ユーザーが生成したコンテンツは、クラウドサービスプロバイダーなどの外部アクセスから保護されます。
ローカルの信頼できるパートナーは、すでに確立している顧客の暗号化キーを管理します。
パートナーが提供する場合、ローカルテクニカルサポートのオプション。
ミーティング、メッセージング、通話コンテンツをサポートします。

このドキュメントは、パートナー組織がマルチテナントハイブリッドデータセキュリティシステムの下で顧客をセットアップおよび管理することを支援することを目的としています。

マルチテナントハイブリッドデータセキュリティのロール

パートナーのフル管理者 - パートナーが管理するすべての顧客の設定を管理できます。また、組織内の既存のユーザーに管理者のロールを指定したり、パートナー管理者が管理する特定の顧客を指定したりすることもできます。
パートナー管理者 - 管理者がプロビジョニングした顧客またはユーザーに割り当てられた顧客の設定を管理できます。
フル管理者 - 組織設定の変更、ライセンスの管理、ロールの割り当てなどのタスクを実行する権限のあるパートナー組織の管理者です。

すべての顧客組織のエンドツーエンドのマルチテナント HDS のセットアップと管理 - パートナーのフル管理者およびフル管理者権限が必要です。
割り当てられたテナント組織の管理 - パートナー管理者およびフル管理者権限が必要です。

セキュリティ領域のアーキテクチャ

Webex クラウドアーキテクチャは、以下に示すように、異なるタイプのサービスを別の領域、または信頼ドメインに分離します。

ハイブリッドデータセキュリティをさらに理解するために、シスコがクラウド領域ですべての機能を提供している純粋なクラウドケースを見てみましょう。メールアドレスなど個人情報を直接ユーザーが関連付けることが可能な唯一の場所である ID サービスは、データセンター B のセキュリティ領域から論理的および物理的に分かれています。データセンター C では、暗号化されたコンテンツが最終的に保存される領域と、両方とも別になります。

この図では、クライアントがユーザーのラップトップで実行されている Webex アプリであり、ID サービスで認証されています。ユーザーがメッセージを編集し、スペースに送るとき、以下のステップを踏みます:

クライアントは重要な管理サービス (KMS) と安全な接続を確立し、メッセージを暗号化するためのキーをリクエストします。安全な接続では ECDH を使用し、KMS は AES-256 マスターキーを使用してキーを暗号化します。
メッセージはクライアントを離れる前に暗号化されます。クライアントは、暗号化された検索インデックスを作成し、コンテンツで将来検索を助けるインデックス化サービスに送信します。
暗号化されたメッセージは、コンプライアンスチェックのためコンプライアンスサービスに送信されます。
暗号化されたメッセージは、保管領域に保管されます。

ハイブリッドデータセキュリティを展開する際、セキュリティ領域機能 (KMS、インデックス作成、コンプライアンス) をオンプレミスデータセンターに移動します。Webex を構成するその他のクラウドサービス (ID とコンテンツストレージを含む) は、Cisco の領域に残ります。

他の組織と協力する

組織内のユーザーは定期的に Webex アプリを使用して、他の組織の外部参加者と共同作業を行うことができます。ユーザーの 1 人があなたの組織が所有しているスペースのキーをリクエストしたとき (あなたの組織のユーザーの 1 人が作成したため)、KMS は ECDH の安全なチャンネルでキーをクライアントに送信します。ただし、別の組織がスペースのキーを所有している場合、KMS は別の ECDH チャネルを通じて、リクエストを WEBEX クラウドにルーティングして、適切な KMS からキーを取得し、そのキーを元のチャネルのユーザーに返します。

組織 A で実行されている KMS サービスは、X.509 PKI 証明書を使用して他の組織の KMS への接続を検証します。マルチテナントハイブリッドデータセキュリティ展開で使用する x.509 証明書を生成する方法の詳細については、「環境を準備する 」を参照してください。

ハイブリッドデータセキュリティの展開の例外

ハイブリッドデータセキュリティの展開には、暗号化キーを所有することに伴うリスクについて、重要なコミットメントと認識が必要です。

ハイブリッドデータセキュリティを展開するには、以下を提供する必要があります。

Cisco Webex Teams プランでサポートされている場所である国の安全なデータセンター。
「環境を準備する」に記載されている機器、ソフトウェア、およびネットワークアクセス。

ハイブリッドデータセキュリティ用に構築する構成 ISO または提供するデータベースのいずれかが完全に失われると、キーが失われます。キー損失により、ユーザーが Webex アプリのスペースコンテンツやその他の暗号化されたデータを復号できなくなります。このことが発生する場合、新しい展開を構築できますが、新しいコンテンツのみが表示されます。データのアクセス権の喪失を防ぐには、以下を行う必要があります:

データベースのバックアップと復元および構成 ISO を管理します。
データベースディスクの障害やデータセンターの災害などの災害が発生した場合は、迅速な災害復旧を行う準備をしてください。

HDS 展開後にキーをクラウドに戻すメカニズムはありません。

高レベルのセットアッププロセス

このドキュメントでは、マルチテナントのハイブリッドデータセキュリティ展開のセットアップと管理について説明します。

ハイブリッドデータセキュリティのセットアップ—これには、必要なインフラストラクチャの準備、ハイブリッドデータセキュリティソフトウェアのインストール、HDS クラスタの構築、クラスタへのテナント組織の追加、顧客メインキー (CMK) の管理が含まれます。これにより、顧客組織のすべてのユーザーがセキュリティ機能にハイブリッドデータセキュリティクラスタを使用できるようになります。

セットアップ、アクティベーション、および管理フェーズについては、次の 3 つの章で詳しく説明します。
ハイブリッドデータセキュリティ展開の維持—Webex クラウドは自動的に進行中のアップグレードを提供します。IT 部門は階層 1 のサポートをこの展開に提供し、必要に応じて Cisco サポートを提供します。Partner Hub では、画面上の通知を使用して、メールベースのアラートを設定できます。
一般的なアラート、トラブルシューティング手順、および既知の問題について理解する - ハイブリッドデータセキュリティの展開または使用に問題が発生した場合、このガイドの最後の章と「既知の問題の付録」が問題の判別と修正に役立ちます。

ハイブリッドデータセキュリティ展開モデル

エンタープライズデータセンター内で、ハイブリッドデータセキュリティを別々の仮想ホスト上のノードの単一のクラスタとして展開します。ノードは、セキュアなウェブソケットとセキュア HTTP を通じて Webex クラウドと通信します。

インストールプロセス中、提供する VM 上で仮想マシンセットアップするために、OVA ファイルを提供します。HDS セットアップツールを使用し、各ノードにマウントするカスタムクラスター構成 ISO ファイルを作成します。ハイブリッドデータセキュリティクラスタは、提供された Syslogd サーバと PostgreSQL または Microsoft SQL Server データベースを使用します。（HDS セットアップツールで Syslogd とデータベース接続の詳細を設定します）。

ハイブリッドデータセキュリティ展開モデル

クラスターで保持できるノードの最小数は 2 つです。クラスターごとに少なくとも 3 つをお勧めします。複数のノードを持つと、ノード上のソフトウェアアップグレードやその他のメンテナンスアクティビティ中にサービスが中断されないようにします。(Webex クラウドは一度に 1 つのノードのみアップグレードします。)

クラスターのすべてのノードは、同じキーデータストアにアクセスし、同じ syslog サーバーに対するアクティビティをログ記録します。クラウドで指示された通り、ノード自体では処理状態が把握されておらず、ラウンドロビン方式でキーリクエストを処理します。

ノードは、パートナーハブに登録するとアクティブになります。個別ノードをサービス外にするには、必要に応じて登録解除し、再登録できます。

災害復旧のためのスタンバイデータセンター

展開中、セキュアなスタンバイデータセンターをセットアップします。データセンターの災害が発生した場合、スタンバイデータセンターへの展開を手動で失敗させることができます。

アクティブおよびスタンバイデータセンターのデータベースは相互に同期されているため、フェールオーバーを実行するのにかかる時間を最小限に抑えます。

アクティブなハイブリッドデータセキュリティノードは、常にアクティブなデータベースサーバと同じデータセンターにある必要があります。

プロキシサポート

ハイブリッドデータセキュリティは、明示的な透過的な検査および非検査プロキシをサポートします。これらのプロキシを展開に関連付けることができます。これにより、エンタープライズからクラウドに送信されるトラフィックをセキュリティ保護し、監視することができます。証明書の管理のノードでプラットフォーム管理インターフェイスを使用して、ノードでプロキシを設定した後で、全体的な接続ステータスを確認することができます。

ハイブリッドデータセキュリティノードは、以下のプロキシオプションをサポートしています。

プロキシなし: プロキシを統合するために HDS ノードのセットアップ信頼ストアとプロキシ構成を使用しない場合のデフォルト。証明書の更新は必要ありません。
透過的な検査なしのプロキシ: ノードは特定のプロキシサーバーアドレスを使用するように設定されていないため、検査なしのプロキシで動作するように変更を加える必要はありません。証明書の更新は必要ありません。
透過的なトンネリングまたは検査プロキシ: ノードは特定のプロキシサーバーアドレスを使用するように設定されていません。ノードでは、HTTP または HTTPS の設定変更は必要ありません。ただし、ノードはプロキシを信頼するためにルート証明書を必要とします。プロキシを検査することで、Web サイトにアクセスするか、どのタイプのコンテンツを使用するかを強制するポリシーを施行することができます。このタイプのプロキシは、すべてのトラフィック (HTTPS さえも含む) を復号化します。
明示的プロキシ: 明示的プロキシを使用して、使用するプロキシサーバーと認証スキームを HDS ノードに指示します。明示的なプロキシを設定するには、各ノードに次の情報を入力する必要があります。
1. プロキシ IP/FQDN—プロキシマシンに到達するために使用できるアドレス。
2. プロキシポート: プロキシがプロキシトラフィックをリッスンするために使用するポート番号。
3. プロキシプロトコル: プロキシサーバーがサポートしているものに応じて、次のプロトコルから選択します。
  - HTTP—クライアントが送信するすべての要求を表示し、コントロールします。
  - HTTPS—サーバーにチャネルを提供します。クライアントがサーバーの証明書を受け取り、検証します。
4. 認証タイプ: 次の認証タイプから選択します。
  - なし: 追加の認証は必要ありません。
    
    プロキシプロトコルとして HTTP または HTTPS のいずれかを選択した場合に利用できます。
  - ベーシック—HTTP ユーザーエージェントがリクエストを行う際にユーザー名とパスワードを指定するために使用されます。Base64 エンコードを使用します。
    
    プロキシプロトコルとして HTTP または HTTPS のいずれかを選択した場合に利用できます。
    
    各ノードにユーザー名とパスワードを入力する必要があります。
  - ダイジェスト: 機密情報を送信する前にアカウントを確認するために使用されます。ネットワークを経由して送信する前に、ユーザー名およびパスワードにハッシュ機能を適用します。
    
    プロキシプロトコルとして HTTPS を選択した場合にのみ利用できます。
    
    各ノードにユーザー名とパスワードを入力する必要があります。

ハイブリッドデータセキュリティノードとプロキシの例

この図は、ハイブリッドデータセキュリティ、ネットワーク、およびプロキシ間の接続例を示しています。透過的な検査および HTTPS 明示的な検査プロキシオプションの場合、同じルート証明書がプロキシとハイブリッドデータセキュリティノードにインストールされている必要があります。

外部 DNS 解決ブロックモード (明示的プロキシ構成)

ノードを登録するか、またはノードのプロキシ構成を確認するとき、プロセスは DNS 検索と Cisco Webex クラウドへの接続をテストします。内部クライアントのための外部 DNS 解決が許可されていない、明示的なプロキシ構成の展開では、ノードが DNS サーバーに問い合わせができない場合、自動的に外部 DNS 解決ブロックモードに切り替わります。このモードでは、ノード登録および他のプロキシ接続テストを続行することができます。

環境を準備する

マルチテナントハイブリッドデータセキュリティの要件

Cisco Webex ライセンス要件

マルチテナントのハイブリッドデータセキュリティを展開するには:

パートナー組織: Cisco パートナーまたはアカウントマネージャーに連絡し、マルチテナント機能が有効になっていることを確認してください。
テナント組織: Pro Pack for Cisco Webex Control Hub が必要です。(https://www.cisco.com/go/pro-packを参照。)

Docker デスクトップの要件

HDS ノードをインストールする前に、セットアッププログラムを実行するには Docker デスクトップが必要です。Docker は最近、ライセンスモデルを更新しました。組織は Docker デスクトップの有料サブスクリプションを必要とする場合があります。詳細については、Docker ブログ投稿「 Docker は更新および製品サブスクリプションを拡張しています」を参照してください。

X.509 証明書要件

証明書チェーンは、次の条件を満たす必要があります。

表 1YAZ設定オプションハイブリッドデータセキュリティ展開のための X.509 証明書要件
要件	詳細
信頼できる証明書権限 (CA) で署名済み	デフォルトでは、https://wiki.mozilla.org/CA:IncludedCAs で Mozilla リスト (WoSign と StartCom を除く) の CA を信頼します。
ハイブリッドデータセキュリティ展開を識別する共通名 (CN) ドメイン名を保持しますワイルドカード証明書ではありません	CN は到達可能またはアクティブな主催者である必要はありません。たとえばなど、組織を反映する名前を使用することを推奨します。 CN に *（ワイルドカード）を含めることはできません。 CN は、Webex アプリクライアントに対してハイブリッドデータセキュリティノードを検証するために使用されます。クラスタ内のすべてのハイブリッドデータセキュリティノードが同じ証明書を使用します。KMS は x.509v3 SAN フィールドで定義されるドメインではなく、CN ドメインを使用してそれ自体を識別します。この証明書でノードを登録した場合、CN ドメイン名の変更をサポートしません。
非 SHA1 署名	KMS ソフトウェアは、他の組織の KMS に対する接続を検証するために、SHA1 署名をサポートしません。
パスワード保護された PKCS #12 ファイルとして形式化 `Kms-private-key` の有効な名前を使用して、証明書、秘密鍵、中間証明書をタグ付けしてアップロードします。	OpenSSL などのコンバーターを使用して、証明書の形式を変更できます。 HDS セットアップツールを実行する時、パスワードを入力する必要があります。

KMS ソフトウェアはキー使用量を強制したり、キー使用量の誓約を拡張したりしません。いくつかの証明書権限は、サーバー認証など、拡張キー使用量が各証明書に適用されることを必要とします。サーバー認証や他の設定を使用しても大丈夫です。

仮想ホストの要件

クラスタでハイブリッドデータセキュリティノードとして設定する仮想ホストには、次の要件があります。

同じセキュアなデータセンターに少なくとも 2 つの個別のホスト (推奨 3 つ) が共存
VMware ESXi 7.0 (またはそれ以降) がインストールされ、実行されています。

ESXi の以前のバージョンがある場合は、アップグレードする必要があります。
最低 4 つの vCPU、8 GB メインメモリ、サーバーあたり 30 GB のローカルハードディスク容量

データベースサーバーの要件

キーストレージ用の新しいデータベースを作成します。デフォルトのデータベースを使用しないでください。インストールしたとき、HDS アプリケーションはデータベーススキーマを作成します。

データベースサーバには 2 つのオプションがあります。各要件は次のとおりです。

表 2. データベースのタイプ別のデータベースサーバー要件
ポストSQL	Microsoft SQL サーバー
PostgreSQL 14、15、または 16 がインストールされ、実行されています。	SQL Server 2016、2017、または 2019 (エンタープライズまたは標準) がインストールされています。 SQL Server 2016 には、Service Pack 2 および累積アップデート 2 以降が必要です。
最低 8 vCPUs、16-GB メインメモリ、十分なハードディスクスペース、超過がないように監視 (ストレージを増やす必要なく、長期間データべースを実行する場合、2-TB が推奨されます。)	最低 8 vCPUs、16-GB メインメモリ、十分なハードディスクスペース、超過がないように監視 (ストレージを増やす必要なく、長期間データべースを実行する場合、2-TB が推奨されます。)

現在、HDS ソフトウェアは、データベースサーバと通信するための次のドライババージョンをインストールしています。

ポストSQL	Microsoft SQL サーバー
Postgres JDBCドライバー 42.2.5	SQL Server JDBC ドライバー 4.6 このドライババージョンは、SQL Server Always On（Always On Failover Cluster Instances および Always On アベイラビリティグループ）をサポートしています。

ポストSQL

Microsoft SQL サーバー

Postgres JDBCドライバー 42.2.5

SQL Server JDBC ドライバー 4.6

このドライババージョンは、SQL Server Always On（Always On Failover Cluster Instances および Always On アベイラビリティグループ）をサポートしています。

Microsoft SQL Server に対する Windows 認証の追加要件

HDS ノードが Windows 認証を使用して Microsoft SQL Server 上のキーストアデータベースにアクセスできるようにする場合は、環境内で次の設定が必要です。

HDS ノード、Active Directory インフラストラクチャ、MS SQL Server はすべて NTP と同期する必要があります。
HDS ノードに提供する Windows アカウントは、データベースへの読み取り/書き込みアクセス権を持っている必要があります。
HDS ノードに提供する DNS サーバーは、キー配布センター (KDC) を解決できる必要があります。
Microsoft SQL Server で HDS データベースインスタンスをサービスプリンシパルネーム (SPN) として登録できます。「Kerberos 接続のサービスプリンシパル名を登録する」を参照してください。

HDS セットアップツール、HDS ランチャー、およびローカル KMS はすべて、キーストアデータベースにアクセスするために Windows 認証を使用する必要があります。Kerberos 認証によるアクセスを要求するときに、ISO 設定の詳細を使用して SPN を構築します。

外部接続要件

ファイアウォールを構成して、HDS アプリケーションに対して次の接続を許可します。

アプリケーション	プロトコル	ポート	アプリからの方向	移動先
ハイブリッドデータセキュリティノード	TCP	443	アウトバウンド HTTPS および WSS	Webex サーバー: .wbx2.com .ciscospark.com すべての Common Identity ホスト [Webex サービスのネットワーク要件] の [Webex ハイブリッドサービスの追加 URL] テーブルにハイブリッドデータセキュリティのためにリストされているその他の URL
HDS セットアップツール	TCP	443	アウトバウンド HTTPS	*.wbx2.com すべての Common Identity ホスト hub.docker.com

ハイブリッドデータセキュリティノードは、NAT またはファイアウォールが前の表のドメイン宛先への必要な発信接続を許可している限り、ネットワークアクセストランスレーション（NAT）またはファイアウォールの背後で機能します。ハイブリッドデータセキュリティノードにインバウンドする接続の場合、インターネットからポートを表示することはできません。データセンター内で、クライアントは管理目的のため、TCP ポート 443 および 22 のハイブリッドデータセキュリティノードにアクセスする必要があります。

Common Identity (CI) ホストの URL は地域固有です。これらは、現在の CI ホストです。

地域	共通 ID ホスト URL
Americas（北米、南米エリア）	https://idbroker.webex.com https://identity.webex.com https://idbroker-b-us.webex.com https://identity-b-us.webex.com
欧州連合	https://idbroker-eu.webex.com https://identity-eu.webex.com
カナダ	https://idbroker-ca.webex.com https://identity-ca.webex.com
シンガポール	https://idbroker-sg.webex.com https://identity-sg.webex.com
アラブ首長国連邦	https://idbroker-ae.webex.com https://identity-ae.webex.com

プロキシサーバーの要件

お使いのハイブリッドデータセキュリティノードと統合できる次のプロキシソリューションを正式にサポートしています。
- 透過的プロキシ—Cisco Web Security Appliance (WSA)。
- 明示的プロキシ—Squid。
  
  HTTPS トラフィックを検査する Squid プロキシは、websocket (wss:) 接続の確立に干渉する可能性があります。この問題を回避するには、「ハイブリッドデータセキュリティのために Squid プロキシを構成する」を参照してください。
明示的プロキシに対して次の認証タイプの組み合わせがサポートされています。
- HTTP または HTTPS による認証がありません
- HTTP または HTTPS による基本認証
- HTTPS のみによるダイジェスト認証
透過的検査プロキシまたは HTTPS 明示的プロキシについては、プロキシのルート証明書のコピーが必要です。このガイドに記載されている展開手順は、ハイブリッドデータセキュリティノードの信頼ストアにコピーをアップロードする方法を説明しています。
HDS ノードをホストするネットワークは、ポート 443 のアウトバウンド TCP トラフィックを強制的にプロキシ経由でルーティングするように設定されている必要があります。
Web トラフィックを検査するプロキシは、Web ソケット接続に干渉する場合があります。この問題が発生した場合、wbx2.com および ciscospark.com へのトラフィックをバイパスする (検査しない) ことで問題を解決します。

ハイブリッドデータセキュリティの前提条件を満たします

このチェックリストを使用して、ハイブリッドデータセキュリティクラスタをインストールして構成する準備ができていることを確認してください。

1	パートナー組織でマルチテナント HDS 機能が有効になっていることを確認し、パートナーのフル管理者およびフル管理者権限を持つアカウントの資格情報を取得してください。Webex 顧客組織が Pro Pack for Cisco Webex Control Hub が有効になっていることを確認します。Cisco パートナーもしくはアカウントマネージャーにこのプロセスについてサポートを受けるために連絡してください。顧客組織は既存の HDS 展開を持つべきではありません。
2	HDS 展開のドメイン名 (例: `hds.company.com`) を選択し、X.509 証明書、秘密キー、および中間証明書を含む証明書チェーンを取得します。証明書チェーンは、X.509 証明書要件の要件を満たす必要があります。
3	クラスタでハイブリッドデータセキュリティノードとしてセットアップする同じ仮想ホストを準備します。仮想ホスト要件の要件を満たす同じセキュアなデータセンターに少なくとも 2 つの個別のホスト (推奨 3 つ) が共同で必要です。
4	データベースサーバーの要件に従って、クラスタのキーデータストアとして機能するデータベースサーバーを準備します。データベースサーバーは、セキュアなデータセンターに仮想ホストと共存する必要があります。キーストレージ用のデータベースを作成します。（このデータベースを作成する必要があります。デフォルトのデータベースを使用しないでください。インストールしたとき、HDS アプリケーションはデータベーススキーマを作成します。) ノードがデータベースサーバーと通信するために使用する詳細をまとめます: 主催者名または IP アドレス (主催者) およびポート重要なストレージ向けのデータベース名 (dbname) 重要なストレージデータベースですべての権限を持つユーザーのユーザー名とよびパスワード
5	災害復旧をすばやくするには、別のデータセンターでバックアップ環境を設定します。バックアップ環境は、VM とバックアップデータベースサーバの本番環境を反映します。たとえば、生産に HDS ノードを実行している 3 VMs がある場合、バックアップ環境には 3 Vms が必要です。
6	Syslog 主催者をセットアップして、クラスターのノードからログを収集します。ネットワークアドレスと syslog ポート (デフォルトは UDP 514) をまとめます。
7	ハイブリッドデータセキュリティノード、データベースサーバ、および syslog ホストの安全なバックアップポリシーを作成します。少なくとも、回復不能なデータの損失を防ぐには、ハイブリッドデータセキュリティノード用に生成されたデータベースと構成 ISO ファイルをバックアップする必要があります。ハイブリッドデータセキュリティノードは、コンテンツの暗号化と復号に使用されるキーを保存するため、運用展開の維持に失敗すると、コンテンツの回復不能な損失が発生します。 Webex アプリクライアントはキーをキャッシュするため、サービス停止はすぐに目立たなくなりますが、時間の経過とともに明らかになります。一時的な停電が防げない場合、復元可能です。しかし、データベースまたは構成 ISO ファイルのどちらかを完全に失う (バックアップが利用できない) ことは、顧客データは復元できません。ハイブリッドデータセキュリティノードのオペレータは、データベースと構成 ISO ファイルの頻繁なバックアップを維持し、壊滅的な障害が発生した場合に、ハイブリッドデータセキュリティデータセンターを再構築する準備をする必要があります。
8	外部接続の要件で説明されているように、ファイアウォール構成でハイブリッドデータセキュリティノードの接続を許可していることを確認してください。
9	Web ブラウザを使用して、サポートされている OS (Microsoft Windows 10 Professional または Enterprise 64 ビット、または Mac OSX Yosemite 10.10.3 以上) を実行している任意のローカルマシンに Docker (https://www.docker.com) をインストールします。http://127.0.0.1:8080. Docker インスタンスを使用して、すべてのハイブリッドデータセキュリティノードのローカル設定情報を構築する HDS セットアップツールをダウンロードして実行します。Docker デスクトップライセンスが必要な場合があります。詳細については、「Docker デスクトップの要件」を参照してください。 HDS セットアップツールをインストールして実行するには、ローカルマシンに外部接続要件で説明されている接続性が必要です。
10	プロキシをハイブリッドデータセキュリティと統合する場合は、プロキシサーバー要件を満たしていることを確認してください。

ハイブリッドデータセキュリティクラスタをセットアップ

ハイブリッドデータセキュリティ展開のタスクフロー

始める前に

1	初期セットアップを実行し、インストールファイルをダウンロードする後で使用するために、OVA ファイルをローカルマシンにダウンロードします。
2	HDS 主催者に構成 ISO を作成する HDS セットアップツールを使用して、ハイブリッドデータセキュリティノードの ISO 構成ファイルを作成します。
3	HDS 主催者 OVA をインストールする OVA ファイルから仮想マシンを作成し、ネットワーク設定などの初期設定を実行します。 OVA 展開中にネットワーク設定を構成するオプションは、ESXi 7.0 でテストされています。このオプションは以前のバージョンでは利用できない場合があります。
4	ハイブリッドデータセキュリティ VM のセットアップ VM コンソールにサインインし、サインイン資格情報を設定します。OVA 展開時に設定しなかった場合は、ノードのネットワーク設定を構成します。
5	HDS 構成 ISO をアップロードしマウントする HDS セットアップツールで作成した ISO 構成ファイルから VM を設定します。
6	プロキシ統合のために HDS ノードを設定するネットワーク環境でプロキシ設定が必要な場合は、ノードに使用するプロキシのタイプを指定し、必要に応じてプロキシ証明書を信頼ストアに追加します。
7	クラスタ内の最初のノードを登録 VM を Cisco Webex クラウドにハイブリッドデータセキュリティノードとして登録します。
8	他のノードを作成して登録クラスタのセットアップを完了します。
9	Partner Hub でマルチテナント HDS を有効にします。 HDS をアクティベートし、Partner Hub でテナント組織を管理します。

初期セットアップを実行し、インストールファイルをダウンロードする

このタスクでは、OVA ファイルをマシンにダウンロードします（ハイブリッドデータセキュリティノードとして設定したサーバにはありません）。このファイルはのちにインストールプロセスで使用します。

1	Partner Hub にサインインし、[サービス] をクリックします。
2	[クラウドサービス] セクションで、ハイブリッドデータセキュリティカードを見つけて、[セットアップ] をクリックします。 Partner Hub で [セットアップ] をクリックすることは、展開プロセスにとって重要です。この手順を完了しないでインストールに進まないでください。
3	[リソースの追加] をクリックし、[ソフトウェアのインストールと設定] カードの [OVA ファイルのダウンロード] をクリックします。古いバージョンのソフトウェアパッケージ (OVA) は最新のハイブリッドデータセキュリティアップグレードと互換性がありません。これにより、アプリケーションのアップグレード中に問題が発生する可能性があります。OVA ファイルの最新バージョンをダウンロードしていることを確認してください。 OVA は [ヘルプ] セクションからいつでもダウンロードできます。[設定] > [ヘルプ] > [ハイブリッドデータセキュリティソフトウェアのダウンロード] をクリックします。 OVA ファイルは自動的にダウンロードが開始されます。ファイルをマシン内に保存します。
4	オプションで、[ハイブリッドデータセキュリティ展開ガイドを参照 ] をクリックして、このガイドの最新バージョンが利用可能かどうかを確認します。

HDS 主催者に構成 ISO を作成する

ハイブリッドデータセキュリティセットアッププロセスは、ISO ファイルを作成します。その後、ISO を使用してハイブリッドデータセキュリティホストを構成します。

始める前に

HDS セットアップツールをローカルマシンの Docker コンテナとして実行します。アクセスするには、そのマシンで Docker を実行します。セットアッププロセスには、完全な管理者権限を持つパートナーハブアカウントの資格情報が必要です。

HDS セットアップツールが環境内のプロキシの背後で実行されている場合、以下のステップ 5 で Docker コンテナを起動する際に、Docker 環境変数を通してプロキシ設定 (サーバー、ポート、資格情報) を提供します。この表ではいくつかの可能な環境変数を示します。

説明	変数
認証なしの HTTP プロキシ	`グローバル_エージェント_HTTP_PROXY=http://SERVER_IP:PORT`
認証なしの HTTPS プロキシ	`グローバル_エージェント_HTTPS_PROXY=http://SERVER_IP:ポート`
認証ありの HTTP プロキシ	`グローバル_エージェント_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
認証ありの HTTPS プロキシ	`グローバル_エージェント_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

生成する構成 ISO ファイルには、PostgreSQL または Microsoft SQL Server データベースを暗号化するマスターキーが含まれています。次のような設定変更を行うときは、このファイルの最新コピーが必要です。
- データベースクレデンシャル
- 証明書の更新
- 認証ポリシーの変更
データベース接続を暗号化する場合は、TLS 用に PostgreSQL または SQL Server の展開を設定します。

1

マシンのコマンドラインで、お使い環境に適切なコマンドを入力します。

一般環境:

docker rmi ciscocitg/hds-setup:stable

FedRAMP 環境の場合:

docker rmi ciscocitg/hds-setup-fedramp:stable

このステップを実行すると、前の HDS セットアップツールの画像がクリーンアップされます。これ以前の画像がない場合は、無視できるエラーを返します。

2

Docker 画像レジストリにサインインするには、以下を入力します。

ドッカーログイン -u hdscustomersro

3

パスワードのプロンプトに対して、このハッシュを入力します。

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

4

お使い環境に合った最新の安定した画像をダウンロードします。

一般環境:

ドッカー プル ciscocitg/hds-setup:stable

FedRAMP 環境の場合:

ドッカー プル ciscocitg/hds-setup-fedramp:stable

5

プルが完了したら、お使いの環境に適切なコマンドを入力します。

プロキシなしの通常の環境の場合:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

HTTP プロキシがある通常の環境の場合、

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:ポート ciscocitg/hds-setup:stable

HTTPS プロキシがある通常の環境の場合:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:ポート ciscocitg/hds-setup:stable

プロキシなしの FedRAMP 環境の場合:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

HTTP プロキシがある FedRAMP 環境の場合:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:ポート ciscocitg/hds-setup-fedramp:stable

HTTPS プロキシがある FedRAMP 環境の場合:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:ポート ciscocitg/hds-setup-fedramp:stable

コンテナが実行中の時。「ポート 8080 で Express サーバーリスニング中」と表示されます。

6

セットアップツールは、http://localhost:8080 を介した localhost への接続をサポートしていません。http://127.0.0.1:8080 を使用して、localhost に接続します。

Web ブラウザを使用して、localhost http://127.0.0.1:8080 に移動し、プロンプトで Partner Hub の管理者ユーザー名を入力します。

ツールは、このユーザー名の最初のエントリを使用して、そのアカウントに適した環境を設定します。その後、ツールには標準のサインインプロンプトが表示されます。

7

プロンプトが表示されたら、Partner Hub 管理者のサインイン資格情報を入力し、[ログイン] をクリックして、ハイブリッドデータセキュリティに必要なサービスへのアクセスを許可します。

8

セットアップツール概要ページで、[開始] をクリックします。

9

[ISO インポート] ページで次のオプションがあります。

いいえ: 最初の HDS ノードを作成する場合、アップロードする ISO ファイルがありません。
はい: HDS ノードをすでに作成している場合は、参照で ISO ファイルを選択し、アップロードします。

10

X.509 証明書が X.509 証明書要件の要件を満たしていることを確認してください。

証明書をアップロードしたことがない場合は、X.509 証明書をアップロードし、パスワードを入力し、[続行] をクリックします。
証明書が OK の場合は、[続行] をクリックします。
証明書の有効期限が切れているか、置き換える場合は、[いいえ] を選択して、[以前の ISO の HDS 証明書チェーンと秘密キーの使用を続行しますか] を選択します。新しい X.509 証明書をアップロードし、パスワードを入力し、[続行] をクリックします。

11

HDS がキーデータストアにアクセスするためのデータベースアドレスとアカウントを入力します。

[データベースタイプ] (PostgreSQL または Microsoft SQL Server) を選択します。

[Microsoft SQL Server] を選択すると、[認証タイプ] フィールドが表示されます。
(Microsoft SQL Server のみ) 認証タイプを選択します。
- 基本認証:[ユーザー名] フィールドにローカル SQL Server アカウント名が必要です。
- Windows 認証:[ユーザー名] フィールドの username@DOMAIN の形式の Windows アカウントが必要です。
: または : の形式でデータベースサーバーアドレスを入力します。

例:
dbhost.example.org:1433 または 198.51.100.17:1433

ノードがホスト名を解決するために DNS を使用できない場合は、基本認証に IP アドレスを使用できます。

Windows 認証を使用している場合は、dbhost.example.org:1433 の形式で完全修飾ドメイン名を入力する必要があります。
データベース名を入力します。
キーストレージデータベース上のすべての権限を持つユーザーの [ユーザー名] と [パスワード] を入力します。

12

TLS データベース接続モードを選択します。

モード	説明
TLS を優先 (デフォルトオプション)	HDS ノードは、データベースサーバに接続するために TLS を必要としませんデータベースサーバで TLS を有効にすると、ノードは暗号化された接続を試行します。
TLS を要求する	データベースサーバが TLS をネゴシエートできる場合に限り、HDS ノードは接続されます。
TLS を要求し、証明書の署名者を確認する	このモードは SQL Server データベースには適用されません。データベースサーバが TLS をネゴシエートできる場合に限り、HDS ノードは接続されます。 TLS 接続を確立した後、ノードはデータベースサーバーからの証明書の署名者を、データベースルート証明書の認証局と比較します。一致しない場合、ノードにより接続が切断されます。ドロップダウンの下にあるデータベースルート証明書コントロールを使用して、このオプションのルート証明書をアップロードしてください。
TLS を要求し、証明書の署名者およびホスト名を確認する	データベースサーバが TLS をネゴシエートできる場合に限り、HDS ノードは接続されます。 TLS 接続を確立した後、ノードはデータベースサーバーからの証明書の署名者を、データベースルート証明書の認証局と比較します。一致しない場合、ノードにより接続が切断されます。また、サーバー証明書のホスト名が [データベースホストとポート ] フィールドのホスト名と一致していることを確認します。名前は正確に一致する必要があります。または、ノードが接続を切断します。ドロップダウンの下にあるデータベースルート証明書コントロールを使用して、このオプションのルート証明書をアップロードしてください。

ルート証明書 (必要な場合) をアップロードし、[続行] をクリックすると、HDS セットアップツールはデータベースサーバへの TLS 接続をテストします。また、必要に応じて、証明書の署名者とホスト名も検証されます。テストが失敗した場合、問題を説明するエラーメッセージがツールによって表示されます。エラーを無視してセットアップを続行するかどうかを選択できます。(接続の違いにより、HDS セットアップツールマシンが正常にテストできない場合でも、HDS ノードが TLS 接続を確立できる場合があります)。

13

[システムログ（System Logs）] ページで、Syslogd サーバを設定します。

syslog サーバの URL を入力します。

サーバーが HDS クラスタのノードから DNS 解決できない場合は、URL の IP アドレスを使用してください。

例:
udp://10.92.43.23:514 は、UDP ポート 514 の Syslogd ホスト 10.92.43.23 へのロギングを示します。
TLS 暗号化を使用するようにサーバーを設定する場合、[syslog サーバーは SSL 暗号化用に設定されていますか?] にチェックを入れます。

このチェックボックスをオンにした場合、tcp://10.92.43.23:514 などの TCP URL を入力していることを確認してください。
[syslog record termination の選択] ドロップダウンから、ISO ファイルに適切な設定を選択します。選択または改行は、Graylog および Rsyslog TCP に使用されます
- ヌルバイト -- \x00
- 改行 -- \n—Graylog および Rsyslog TCP に対してこの選択を選択します。
[続行] をクリックします。

14

(オプション) [詳細設定] で一部のデータベース接続パラメータのデフォルト値を変更できます。通常、このパラメータは変更したい唯一のパラメータです。

app_datasource_connection_pool_maxサイズ: 10

15

[サービスアカウントパスワードのリセット] 画面で [続行] をクリックします。

サービスアカウントパスワードの寿命は 9 か月です。パスワードの有効期限が近づいている場合、またはパスワードをリセットして以前の ISO ファイルを無効にする場合は、この画面を使用してください。

16

[ISO ファイルのダウンロード] をクリックします。見つけやすい場所にファイルを保存します。

17

ローカルシステムの ISO ファイルのバックアップコピーを作成します。

バックアップコピーを安全に保ちます。このファイルには、データベースコンテンツのマスター暗号化キーを含みます。設定変更を行う必要があるハイブリッドデータセキュリティ管理者のみにアクセスを制限します。

18

セットアップツールをシャットダウンするには、[CTRL+C] と入力します。

次に行うこと

構成 ISO ファイルをバックアップします。復元のためにもっとノードを作成するか、設定変更を行う必要があります。ISO ファイルのすべてのコピーを失ったら、マスターキーも失います。PostgreSQL または Microsoft SQL Server データベースからキーを復元することはできません。

このキーのコピーは見つかりませんでした。紛失した場合には役に立ちません。

HDS 主催者 OVA をインストールする

この手順を使用して、OVA ファイルから仮想マシンをサック制します。

1	コンピュータの VMware vSphere クライアントを使用して、ESXi 仮想主催者にログインします。
2	ファイル > OVF テンプレートを展開を選択します。
3	ウィザードで、以前ダウンロードした OVA ファイルの場所を指定し、[次へ] をクリックします。
4	[名前とフォルダの選択] ページで、ノードの [仮想マシン名] (たとえば、「HDS_Node_1」) を入力し、仮想マシンノード展開が存在できる場所を選択し、[次へ] をクリックします。
5	[計算リソースの選択] ページで、接続先の計算リソースを選択し、[次へ] をクリックします。検証チェックが実行されます。完了すると、テンプレートの詳細が表示されます。
6	テンプレートの詳細を確認し、[次へ] をクリックします。
7	[構成] ページでリソース構成を選択するように求められた場合は、[4 CPU] をクリックし、[次へ] をクリックします。
8	[ストレージの選択] ページで、[次へ] をクリックして、デフォルトのディスク形式と VM ストレージポリシーを受け入れます。
9	[ネットワークの選択] ページで、エントリのリストからネットワークオプションを選択して、VM に希望する接続を提供します。
10	[テンプレートのカスタマイズ] ページで、次のネットワーク設定を構成します。ホスト名—ノードの FQDN (ホスト名とドメイン) または単一の単語のホスト名を入力します。ドメインを設定し、X.509 証明書を取得するために使用されるドメインにマッチしません。クラウドへの登録を成功させるには、ノードに設定した FQDN またはホスト名に小文字のみを使用してください。現時点では大文字化のサポートはありません。 FQDNのトータルの長さは64文字を超えてはいけません。 IP アドレス: ノードの内部インターフェイスの IP アドレスを入力します。ノードには内部 IP アドレスと DNS 名があるはずです。DHCP はサポートされていません。マスク—サブネットマスクアドレスを小数点以下の表記で入力します。たとえば、255.255.255.0 です。ゲートウェイ—ゲートウェイの IP アドレスを入力します。ゲートウェイは、別のネットワークへのアクセスポイントとして機能するネットワークノードです。 DNS サーバー: ドメイン名から数字の IP アドレスへの変換を処理する DNS サーバーのカンマ区切りリストを入力します。（最大 4 つの DNS エントリが許可されます）。 NTP サーバー: 組織の NTP サーバーまたは組織で使用できる別の外部 NTP サーバーを入力します。デフォルトの NTP サーバは、すべての企業で機能しない場合があります。カンマ区切りリストを使用して、複数の NTP サーバを入力することもできます。同じサブネットまたは VLAN 上のすべてのノードを展開して、クラスタ内のすべてのノードが管理目的でネットワークのクライアントから到達できるようにします。必要に応じて、ネットワーク設定の構成をスキップし、「ハイブリッドデータセキュリティ VM をセットアップする」の手順に従って、ノードコンソールから設定を構成できます。 OVA 展開中にネットワーク設定を構成するオプションは、ESXi 7.0 でテストされています。このオプションは以前のバージョンでは利用できない場合があります。
11	ノード VM を右クリックし、[電源] > [電源オン] を選択します。ハイブリッドデータセキュリティソフトウェアは、VM ホストにゲストとしてインストールされます。これで、コンソールにサインインしてノードを設定する準備ができました。トラブルシューティングのヒントノードコンテナーが出てくるまでに、数分間の遅延がある場合があります。初回起動の間、ブリッジファイアウォールメッセージが、コンソールに表示され、この間はサインインできません。

ハイブリッドデータセキュリティ VM のセットアップ

ハイブリッドデータセキュリティノード VM コンソールに初めてサインインし、サインインクレデンシャルを設定するには、この手順を使用します。OVA 展開時に設定しなかった場合は、コンソールを使用してノードのネットワーク設定を構成することもできます。

1	VMware vSphere クライアントでハイブリッドデータセキュリティノード VM を選択し、[コンソール] タブを選択してください。 VM が起動し、ログインプロンプトが表示されます。ログインプロンプトが表示されない場合は、入力を押してください。
2	以下のデフォルトログインとパスワードを使用して、証明書にサインインし変更します: ログイン:`管理者` パスワード:`cisco` 初めて VM にサインインしているため、管理者パスワードを変更する必要があります。
3	[HDS ホスト OVA をインストールする] でネットワーク設定をすでに構成している場合は、この手順の残りの部分をスキップします。それ以外の場合は、メインメニューで [設定の編集] オプションを選択します。
4	性的構成を IP アドレス、Mask、Gateway、DNS 情報をセットアップします。ノードには内部 IP アドレスと DNS 名があるはずです。DHCP はサポートされていません。
5	(オプション) ネットワーク方針にマッチするための必要性に応じて、ホスト名、ドメイン、もしくはNTP サーバーを変更して下さい。ドメインを設定し、X.509 証明書を取得するために使用されるドメインにマッチしません。
6	変更が有効になるように、ネットワーク構成を保存し、VM を再起動します。

HDS 構成 ISO をアップロードしマウントする

この手順を使用して、HDS セットアップツールで作成した ISO ファイルから仮想マシンを構成します。

開始する前に

ISO ファイルはマスターキーを保持しているため、ハイブリッドデータセキュリティ VM および変更が必要な管理者がアクセスするために、「知る必要がある」ベースでのみ公開する必要があります。これらの管理者のみがデータストアにアクセスできるようにします。

1

コンピュータから ISO ファイルをダウンロードします:

VMware vSphere クライアントの左ナビゲーションペインで、ESXi サーバーをクリックします。
[構成] タブのハードウェアリストで、[保管] をクリックします。
データストアリストで、VMs のデータストアを右クリックし、[データストアの参照] をクリックします。
[ファイルのアップロード] アイコンをクリックし、[ファイルのアップロード] をクリックします。
コンピュータの ISO ファイルをダンロードする場所を参照し、[開く] をクリックします。
[はい] をクリックし、オペレーション警告のアップロード/ダウンロードに同意し、データストアダイアログを閉じます。

2

ISO ファイルのマウント:

VMware vSphere クライアントの左ナビゲーションペインで、ESXi サーバーを右クリックし、[設定の編集] をクリックします。
[OK] をクリックし、制限された編集オプションの警告に同意します。
[CD/DVD Drive 1] をクリックし、データストア ISO ファイルからマウントするオプションを選択して、構成 ISO ファイルをアップロードした場所を参照します。
[接続済み] と [電源に接続する] をチェックします。
変更を保存し、仮想マシンを再起動します。

次に行うこと

IT ポリシーが必要な場合は、すべてのノードが設定変更をピックアップした後、オプションで ISO ファイルをアンマウントできます。詳細については、「(オプション) HDS 設定後に ISO をマウント解除」を参照してください。

プロキシ統合のために HDS ノードを設定する

ネットワーク環境でプロキシが必要な場合は、この手順を使用して、ハイブリッドデータセキュリティと統合するプロキシのタイプを指定します。透過型のプロキシまたは HTTPS を明示的なプロキシを選択した場合、ノードのインターフェイスを使用してルート証明書をアップロードしてインストールすることができます。インターフェイスからプロキシ接続を確認し、潜在的な問題をトラブルシューティングすることもできます。

開始する前に

サポートされているプロキシオプションの概要については、「プロキシサポート」を参照してください。
プロキシサーバーの要件

1	HDS ノードセットアップ URL `https://[HDS Node IP or FQDN]/setup` を入力して、ノードに対して設定した管理者資格情報を入力し、[サインイン] をクリックします。
2	[信頼ストアとロキシ] に移動して、次のオプションを選択します。プロキシなし—プロキシを統合する前のデフォルトオプションです。証明書の更新は必要ありません。透明検査なしのプロキシ—ノードは特定のプロキシサーバーアドレスを使用するように設定されていないため、検査なしのプロキシで動作するように変更は必要ありません。証明書の更新は必要ありません。透過型検査プロキシ—ノードは特定のプロキシサーバーアドレスを使用するように設定されていません。ハイブリッドデータセキュリティの展開では HTTPS 構成の変更は必要ありませんが、HDS ノードはプロキシを信頼できるようにするためにルート証明書を必要とします。プロキシを検査することで、Web サイトにアクセスするか、どのタイプのコンテンツを使用するかを強制するポリシーを施行することができます。このタイプのプロキシは、すべてのトラフィック (HTTPS さえも含む) を復号化します。明示的プロキシ—明示的プロキシを使用して、使用するプロキシサーバーをクライアント (HDS ノード) に指示します。このオプションは複数の認証タイプをサポートします。このオプションを選択した後、次の情報を入力する必要があります。プロキシ IP/FQDN—プロキシマシンに到達するために使用できるアドレス。プロキシポート: プロキシがプロキシトラフィックをリッスンするために使用するポート番号。プロキシプロトコル—http (クライアントから受信したすべての要求を表示およびコントロール) または https (サーバーにチャネルを提供し、クライアントがサーバーの証明書を受信して検証します) を選択します。プロキシサーバーがサポートするオプションを選択します。認証タイプ: 次の認証タイプから選択します。なし: 追加の認証は必要ありません。 HTTP または HTTPS プロキシで利用できます。ベーシック—HTTP ユーザーエージェントがリクエストを行う際にユーザー名とパスワードを指定するために使用されます。Base64 エンコードを使用します。 HTTP または HTTPS プロキシで利用できます。このオプションを選択した場合は、ユーザー名とパスワードも入力する必要があります。ダイジェスト: 機密情報を送信する前にアカウントを確認するために使用されます。ネットワークを経由して送信する前に、ユーザー名およびパスワードにハッシュ機能を適用します。 HTTPS プロキシに対してのみ利用できます。このオプションを選択した場合は、ユーザー名とパスワードも入力する必要があります。透過型検査プロキシ、基本認証を持つ HTTP 明示プロキシ、または HTTPS 明示プロキシについては、次のステップに従ってください。
3	[ルート証明書またはエンティティ終了証明書のアップロード] をクリックし、プロキシのルート証明書を選択するために移動します。証明書はアップロードされていますが、まだインストールされていません。証明書をインストールするにはノードを再起動する必要があります。証明書発行者名の山形矢印をクリックして詳細を確認するか、間違っている場合は [削除] をクリックして、ファイルを再度アップロードしてください。
4	[プロキシ接続を確認する] をクリックして、ノードとプロキシ間のネットワーク接続性をテストします。接続テストが失敗した場合は、エラーメッセージが表示され、問題を解決するための理由と方法が示されます。外部 DNS の解決が正常に行われなかったという内容のメッセージが表示された場合、ノードが DNS サーバーに到達できなかったことを示しています。この状況は、多くの明示的なプロキシ構成で想定されています。セットアップを続行すると、ノードは外部 DNS 解決ブロックモードで機能します。これがエラーだと思われる場合は、これらの手順を完了し、「ブロックされた外部 DNS 解決モードをオフにする」を参照してください。
5	接続テストが成功した後、明示的なプロキシについては https のみに設定し、このノードからのすべてのポートの 443/444 https 要求を明示的プロキシを通してルーティングするように切り替えます。この設定を有効にするには 15 秒かかります。
6	[すべての証明書を信頼ストアにインストールする(HTTPS 明示プロキシまたは透過型のプロキシで表示される)] または [再起動] をクリックして、プロンプトを読み、準備が完了したら [インストール] をクリックします。ノードが数分以内に再起動されます。
7	ノードが再起動したら、必要に応じて再度サインインして、[概要] ページを開き、接続チェックを確認してすべて緑色のステータスになっていることを確認します。プロキシ接続の確認は webex.com のサブドメインのみをテストします。接続の問題がある場合、インストール手順に記載されているクラウドドメインの一部がプロキシでブロックされているという問題がよく見られます。

クラスタ内の最初のノードを登録

このタスクは、「ハイブリッドデータセキュリティ VM のセットアップ」で作成した汎用ノードを取り、ノードを Webex クラウドに登録し、ハイブリッドデータセキュリティノードに変換します。

最初のノードを登録するとき、クラスターをノードが指定されている場所に作成します。クラスターには展開された 1 つ上のノードを含み、冗長性を提供します。

開始する前に

一旦ノードの登録を開始すると、60 分以内に完了する必要があり、そうでなければ、再び最初からやり直しになります。
ブラウザのポップアップブロッカーが無効になっているか、admin.webex.com の例外を許可していることを確認してください。

1	https://admin.webex.comにサインインします。
2	スクリーンの左側にあるメニューからサービスを選択します。
3	[クラウドサービス] セクションで、ハイブリッドデータセキュリティカードを見つけ、[セットアップ] をクリックします。
4	開いたページで、[リソースの追加] をクリックします。
5	[ノードを追加] カードの最初のフィールドで、ハイブリッドデータセキュリティノードを割り当てるクラスタの名前を入力します。クラスターのノードが地理的にどこに配置されているかに基づきクラスターに名前を付けることをお薦めします。例:「サンフランシスコ」または「ニューヨーク」または「ダラス」
6	2 番目のフィールドに、ノードの内部 IP アドレスまたは完全修飾ドメイン名 (FQDN) を入力し、画面下部にある [追加] をクリックします。この IP アドレスまたは FQDN は、「ハイブリッドデータセキュリティ VM をセットアップする」で使用した IP アドレスまたはホスト名とドメインと一致する必要があります。ノードを Webex に登録できることを示すメッセージが表示されます。
7	[ノードに進む] をクリックします。しばらくすると、Webex サービスのノード接続テストにリダイレクトされます。すべてのテストが成功した場合、[ハイブリッドデータセキュリティノードへのアクセスを許可する] ページが表示されます。そこでは、ノードにアクセスする権限を Webex 組織に付与することを確認します。
8	[ハイブリッドデータセキュリティノードへのアクセスを許可する] チェックボックスをチェックし、[続行] をクリックします。アカウントが検証され、「登録完了」メッセージは、ノードが Webex クラウドに登録されていることを示します。
9	リンクをクリックするか、タブを閉じて、Partner Hub ハイブリッドデータセキュリティページに戻ります。 [ハイブリッドデータセキュリティ] ページで、登録したノードを含む新しいクラスタが [リソース] タブの下に表示されます。ノードは自動的にクラウドから最新ソフトウェアをダウンロードします。

他のノードを作成して登録

追加ノードをクラスターに追加するには、追加 VMs を作成し、同じ構成 ISO ファイルをマウントし、ノードを登録します。最低 3 個のノードを持つことを推奨します。

開始する前に

一旦ノードの登録を開始すると、60 分以内に完了する必要があり、そうでなければ、再び最初からやり直しになります。
ブラウザのポップアップブロッカーが無効になっているか、admin.webex.com の例外を許可していることを確認してください。

1	OVA から新しい仮想マシンを作成し、「HDS ホスト OVA をインストールする」の手順を繰り返します。
2	新しい VM で初期設定をセットアップし、「ハイブリッドデータセキュリティ VM のセットアップ」の手順を繰り返します。
3	新しい VM で、「HDS 構成 ISO をアップロードおよびマウントする」の手順を繰り返します。
4	展開用にプロキシを設定している場合は、新しいノードで「プロキシ統合のために HDS ノードを構成する」の手順を繰り返します。
5	ノードを登録します。 https://admin.webex.com で、[サービス] をスクリーンの左側にあるメニューから選択します。 [クラウドサービス] セクションで、ハイブリッドデータセキュリティカードを見つけ、[すべて表示] をクリックします。 [ハイブリッドデータセキュリティリソース] ページが表示されます。新しく作成されたクラスターが [リソース ] ページに表示されます。クラスタをクリックすると、クラスタに割り当てられたノードが表示されます。画面の右側にある [ノードの追加] をクリックします。ノードの内部 IP アドレスまたは完全修飾ドメイン名 (FQDN) を入力し、[追加] をクリックします。ページが開き、ノードを Webex クラウドに登録できることを示すメッセージが表示されます。しばらくすると、Webex サービスのノード接続テストにリダイレクトされます。すべてのテストが成功した場合、[ハイブリッドデータセキュリティノードへのアクセスを許可する] ページが表示されます。そこで、組織にノードにアクセスする権限を付与することを確認します。 [ハイブリッドデータセキュリティノードへのアクセスを許可する] チェックボックスをチェックし、[続行] をクリックします。アカウントが検証され、「登録完了」メッセージは、ノードが Webex クラウドに登録されていることを示します。リンクをクリックするか、タブを閉じて、Partner Hub ハイブリッドデータセキュリティページに戻ります。ノードが追加されましたポップアップメッセージは、Partner Hub の画面下部にも表示されます。ノードが登録されています。

マルチテナントのハイブリッドデータセキュリティでテナント組織を管理する

Partner Hub でマルチテナント HDS をアクティブにする

このタスクにより、顧客組織のすべてのユーザーがオンプレミスの暗号化キーやその他のセキュリティサービスに HDS を活用できるようになります。

開始する前に

必要なノード数を持つマルチテナント HDS クラスタのセットアップが完了していることを確認します。

1	https://admin.webex.comにサインインします。
2	スクリーンの左側にあるメニューからサービスを選択します。
3	[クラウドサービス] セクションで、ハイブリッドデータセキュリティを見つけ、[設定の編集] をクリックします。
4	[HDS ステータス] カードで [HDS を有効にする] をクリックします。

Partner Hub でテナント組織を追加

このタスクでは、顧客組織をハイブリッドデータセキュリティクラスタに割り当てます。

1	https://admin.webex.comにサインインします。
2	スクリーンの左側にあるメニューからサービスを選択します。
3	[クラウドサービス] セクションで、ハイブリッドデータセキュリティを見つけ、[すべて表示] をクリックします。
4	顧客を割り当てるクラスタをクリックします。
5	[割り当てられた顧客] タブに移動します。
6	[顧客の追加] をクリックします。
7	ドロップダウンメニューから追加する顧客を選択します。
8	[追加] をクリックすると、顧客がクラスタに追加されます。
9	複数の顧客をクラスタに追加するには、手順 6 ～ 8 を繰り返します。
10	顧客を追加したら、画面下部にある [完了] をクリックします。

次に行うこと

「HDS セットアップツールを使用してカスタマーメインキー (CMK) を作成する」で詳しく説明されている HDS セットアップツールを実行し、セットアッププロセスを完了します。

HDS セットアップツールを使用してカスタマーメインキー (CMK) を作成する

開始する前に

「Partner Hub でテナント組織を追加する」の詳細に従って、適切なクラスターに顧客を割り当てます。HDS セットアップツールを実行して、新しく追加された顧客組織のセットアッププロセスを完了します。

HDS セットアップツールをローカルマシンの Docker コンテナとして実行します。アクセスするには、そのマシンで Docker を実行します。セットアッププロセスには、組織のフル管理者権限を持つパートナーハブアカウントの資格情報が必要です。

HDS セットアップツールが環境内のプロキシの背後で実行されている場合、ステップ 5 で Docker コンテナを起動する際に、Docker 環境変数を通してプロキシ設定 (サーバー、ポート、資格情報) を提供します。この表ではいくつかの可能な環境変数を示します。

説明	変数
認証なしの HTTP プロキシ	`グローバル_エージェント_HTTP_PROXY=http://SERVER_IP:PORT`
認証なしの HTTPS プロキシ	`グローバル_エージェント_HTTPS_PROXY=http://SERVER_IP:ポート`
認証ありの HTTP プロキシ	`グローバル_エージェント_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
認証ありの HTTPS プロキシ	`グローバル_エージェント_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

生成する構成 ISO ファイルには、PostgreSQL または Microsoft SQL Server データベースを暗号化するマスターキーが含まれています。次のような設定変更を行うときは、このファイルの最新コピーが必要です。
- データベースクレデンシャル
- 証明書の更新
- 認証ポリシーの変更
データベース接続を暗号化する場合は、TLS 用に PostgreSQL または SQL Server の展開を設定します。

ハイブリッドデータセキュリティセットアッププロセスは、ISO ファイルを作成します。その後、ISO を使用してハイブリッドデータセキュリティホストを構成します。

1	マシンのコマンドラインで、お使い環境に適切なコマンドを入力します。一般環境: `docker rmi ciscocitg/hds-setup:stable` FedRAMP 環境の場合: `docker rmi ciscocitg/hds-setup-fedramp:stable` このステップを実行すると、前の HDS セットアップツールの画像がクリーンアップされます。これ以前の画像がない場合は、無視できるエラーを返します。
2	Docker 画像レジストリにサインインするには、以下を入力します。 `ドッカーログイン -u hdscustomersro`
3	パスワードのプロンプトに対して、このハッシュを入力します。 `dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo`
4	お使い環境に合った最新の安定した画像をダウンロードします。一般環境: `ドッカープル ciscocitg/hds-setup:stable` FedRAMP 環境の場合: `ドッカープル ciscocitg/hds-setup-fedramp:stable`
5	プルが完了したら、お使いの環境に適切なコマンドを入力します。プロキシなしの通常の環境の場合: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable` HTTP プロキシがある通常の環境の場合、 `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:ポート ciscocitg/hds-setup:stable` HTTPS プロキシがある通常の環境の場合: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:ポート ciscocitg/hds-setup:stable` プロキシなしの FedRAMP 環境の場合: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable` HTTP プロキシがある FedRAMP 環境の場合: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:ポート ciscocitg/hds-setup-fedramp:stable` HTTPS プロキシがある FedRAMP 環境の場合: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:ポート ciscocitg/hds-setup-fedramp:stable` コンテナが実行中の時。「ポート 8080 で Express サーバーリスニング中」と表示されます。
6	セットアップツールは、http://localhost:8080 を介した localhost への接続をサポートしていません。http://127.0.0.1:8080 を使用して、localhost に接続します。 Web ブラウザを使用して、localhost `http://127.0.0.1:8080` に移動し、プロンプトで Partner Hub の管理者ユーザー名を入力します。ツールは、このユーザー名の最初のエントリを使用して、そのアカウントに適した環境を設定します。その後、ツールには標準のサインインプロンプトが表示されます。
7	プロンプトが表示されたら、Partner Hub 管理者のサインイン資格情報を入力し、[ログイン] をクリックして、ハイブリッドデータセキュリティに必要なサービスへのアクセスを許可します。
8	セットアップツール概要ページで、[開始] をクリックします。
9	[ISO インポート] ページで、[はい] をクリックします。
10	ブラウザで ISO ファイルを選択してアップロードします。 CMK 管理を実行するには、データベースへの接続を確認します。
11	[テナント CMK 管理] タブに進み、テナント CMK を管理する次の 3 つの方法を確認します。すべての組織に対して CMK を作成または CMK を作成 - 画面上部のバナーでこのボタンをクリックすると、新しく追加されたすべての組織に対して CMK が作成されます。画面の右側にある [CMK の管理] ボタンをクリックし、[CMK の作成] をクリックして、新しく追加されたすべての組織に対して CMK を作成します。テーブル内の特定の組織の CMK 管理保留ステータスの近くにある […] をクリックし、[CMK の作成] をクリックして、その組織の CMK を作成します。
12	CMK の作成が成功すると、テーブルのステータスは CMK 管理保留中から CMK 管理に変更されます。
13	CMK の作成に失敗した場合は、エラーが表示されます。

テナント組織を削除

開始する前に

削除すると、顧客組織のユーザーは暗号化ニーズに HDS を利用できなくなり、既存のスペースはすべて失われます。顧客の組織を削除する前に、Cisco パートナーまたはアカウントマネージャーに連絡してください。

1	https://admin.webex.comにサインインします。
2	スクリーンの左側にあるメニューからサービスを選択します。
3	[クラウドサービス] セクションで、ハイブリッドデータセキュリティを見つけ、[すべて表示] をクリックします。
4	[リソース] タブで、顧客組織を削除するクラスタをクリックします。
5	開いたページで、[割り当てられた顧客] をクリックします。
6	表示される顧客組織のリストから、削除する顧客組織の右側にある ... をクリックし、[クラスターから削除] をクリックします。

次に行うこと

「HDS から削除されたテナントの CMK を取り消す」に記載されているように、顧客組織の CMK を取り消して、削除プロセスを完了します。

HDS から削除されたテナントの CMK を取り消します。

開始する前に

「テナント組織の削除」の詳細に従って、適切なクラスタから顧客を削除します。HDS セットアップツールを実行して、削除された顧客組織の削除プロセスを完了します。

HDS セットアップツールをローカルマシンの Docker コンテナとして実行します。アクセスするには、そのマシンで Docker を実行します。セットアッププロセスには、組織のフル管理者権限を持つパートナーハブアカウントの資格情報が必要です。

HDS セットアップツールが環境内のプロキシの背後で実行されている場合、ステップ 5 で Docker コンテナを起動する際に、Docker 環境変数を通してプロキシ設定 (サーバー、ポート、資格情報) を提供します。この表ではいくつかの可能な環境変数を示します。

説明	変数
認証なしの HTTP プロキシ	`グローバル_エージェント_HTTP_PROXY=http://SERVER_IP:PORT`
認証なしの HTTPS プロキシ	`グローバル_エージェント_HTTPS_PROXY=http://SERVER_IP:ポート`
認証ありの HTTP プロキシ	`グローバル_エージェント_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
認証ありの HTTPS プロキシ	`グローバル_エージェント_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

生成する構成 ISO ファイルには、PostgreSQL または Microsoft SQL Server データベースを暗号化するマスターキーが含まれています。次のような設定変更を行うときは、このファイルの最新コピーが必要です。
- データベースクレデンシャル
- 証明書の更新
- 認証ポリシーの変更
データベース接続を暗号化する場合は、TLS 用に PostgreSQL または SQL Server の展開を設定します。

ハイブリッドデータセキュリティセットアッププロセスは、ISO ファイルを作成します。その後、ISO を使用してハイブリッドデータセキュリティホストを構成します。

1	マシンのコマンドラインで、お使い環境に適切なコマンドを入力します。一般環境: `docker rmi ciscocitg/hds-setup:stable` FedRAMP 環境の場合: `docker rmi ciscocitg/hds-setup-fedramp:stable` このステップを実行すると、前の HDS セットアップツールの画像がクリーンアップされます。これ以前の画像がない場合は、無視できるエラーを返します。
2	Docker 画像レジストリにサインインするには、以下を入力します。 `ドッカーログイン -u hdscustomersro`
3	パスワードのプロンプトに対して、このハッシュを入力します。 `dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo`
4	お使い環境に合った最新の安定した画像をダウンロードします。一般環境: `ドッカープル ciscocitg/hds-setup:stable` FedRAMP 環境の場合: `ドッカープル ciscocitg/hds-setup-fedramp:stable`
5	プルが完了したら、お使いの環境に適切なコマンドを入力します。プロキシなしの通常の環境の場合: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable` HTTP プロキシがある通常の環境の場合、 `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:ポート ciscocitg/hds-setup:stable` HTTPS プロキシがある通常の環境の場合: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:ポート ciscocitg/hds-setup:stable` プロキシなしの FedRAMP 環境の場合: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable` HTTP プロキシがある FedRAMP 環境の場合: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:ポート ciscocitg/hds-setup-fedramp:stable` HTTPS プロキシがある FedRAMP 環境の場合: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:ポート ciscocitg/hds-setup-fedramp:stable` コンテナが実行中の時。「ポート 8080 で Express サーバーリスニング中」と表示されます。
6	セットアップツールは、http://localhost:8080 を介した localhost への接続をサポートしていません。http://127.0.0.1:8080 を使用して、localhost に接続します。 Web ブラウザを使用して、localhost `http://127.0.0.1:8080` に移動し、プロンプトで Partner Hub の管理者ユーザー名を入力します。ツールは、このユーザー名の最初のエントリを使用して、そのアカウントに適した環境を設定します。その後、ツールには標準のサインインプロンプトが表示されます。
7	プロンプトが表示されたら、Partner Hub 管理者のサインイン資格情報を入力し、[ログイン] をクリックして、ハイブリッドデータセキュリティに必要なサービスへのアクセスを許可します。
8	セットアップツール概要ページで、[開始] をクリックします。
9	[ISO インポート] ページで、[はい] をクリックします。
10	ブラウザで ISO ファイルを選択してアップロードします。
11	[テナント CMK 管理] タブに進み、テナント CMK を管理する次の 3 つの方法を確認します。すべての組織に対して CMK を取り消すまたは CMK を取り消す - 画面上部のバナーでこのボタンをクリックすると、削除されたすべての組織の CMK が取り消されます。画面の右側にある [CMK の管理] ボタンをクリックし、[CMK の取り消し] をクリックして、削除されたすべての組織の CMK を取り消します。テーブル内の特定の組織の [CMK を取り消す] ステータス近くの [CMK を取り消す] をクリックし、[CMK を取り消す] をクリックして、その特定の組織の CMK を取り消します。
12	CMK の取り消しが成功すると、顧客組織はテーブルに表示されなくなります。
13	CMK 失効が失敗した場合、エラーが表示されます。

ハイブリッドデータセキュリティの展開をテスト

ハイブリッドデータセキュリティ展開

この手順を使用して、マルチテナントのハイブリッドデータセキュリティ暗号化のシナリオをテストします。

開始する前に

マルチテナントのハイブリッドデータセキュリティの展開をセットアップします。
syslog にアクセスして、重要な要求がマルチテナントハイブリッドデータセキュリティ展開に渡されていることを確認します。

1

与えられたスペースのキーは、スペースの作成者により設定されます。顧客組織のユーザーの 1 人として Webex アプリにサインインし、スペースを作成します。

ハイブリッドデータセキュリティ展開を非アクティブにすると、クライアントのキャッシュされた暗号化キーのコピーが置き換えられると、ユーザーが作成したスペースのコンテンツにアクセスできなくなります。

2

メッセージを新しいスペースに送信します。

3

syslog 出力をチェックして、重要な要求がハイブリッドデータセキュリティ展開に渡されていることを確認します。

ユーザーが最初に KMS に対してセキュアなチャネルを確立していることを確認するには、kms.data.method=create および kms.data.type=EPHEMERAL_KEY_コレクション でフィルタリングします。

次のようなエントリ (読みやすくするために識別子が省略されます) を見つける必要があります。:

2020-07-21 17:35:34.562 (+0000) 情報 KMS [pool-14-thread-1] - [KMS:REQUEST] を受信、deviceId:https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

KMS から既存のキーをリクエストしているユーザーを確認するには、kms.data.method=retrieve および kms.data.type=KEY でフィルタリングします。

以下のエントリーを見つける必要があります。

2020-07-21 17:44:19.889 (+0000) 情報 KMS [pool-14-thread-31] - [KMS:REQUEST] 受信、deviceId:https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

新しい KMS キーの作成を要求しているユーザーを確認するには、kms.data.method=create および kms.data.type=KEY_COLLECTION でフィルタリングします。

以下のエントリーを見つける必要があります。

2020-07-21 17:44:21.975 (+0000) 情報 KMS [pool-14-thread-33] - [KMS:REQUEST] を受信、deviceId:https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

スペースまたはその他の保護されたリソースが作成されたときに、新しい KMS リソースオブジェクト (KRO) の作成を要求するユーザーを確認するには、kms.data.method=create および kms.data.type=RESOURCE_COLLECTION でフィルタリングします。

以下のエントリーを見つける必要があります。

2020-07-21 17:44:22.808 (+0000) 情報 KMS [pool-15-thread-1] - [KMS:REQUEST] を受信、deviceId:https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

ハイブリッドデータセキュリティの正常性のモニター

Partner Hub 内のステータスインジケータは、マルチテナントハイブリッドデータセキュリティの展開にすべて適合しているかどうかを示します。事前のアラートについては、メール通知にサインアップします。サービスに影響するアラームやソフトウェアアップグレードがある場合は通知されます。

1	[パートナーハブ] で、画面の左側にあるメニューから [サービス] を選択します。
2	[クラウドサービス] セクションで、ハイブリッドデータセキュリティを見つけ、 [設定の編集] をクリックします。ハイブリッドデータセキュリティ設定のページが表示されます。
3	[メール通知] セクションで、カンマ区切りで 1 つ以上のメールアドレスを入力し、[Enter] を推します。

HDS 展開を管理します

HDS 展開の管理

ここで説明されているタスクを使用して、ハイブリッドデータセキュリティの展開を管理します。

クラスターのアップグレードスケジュール

ハイブリッドデータセキュリティのソフトウェアアップグレードはクラスタレベルで自動的に実行されるため、すべてのノードが常に同じソフトウェアバージョンを実行していることを保証します。アップグレードは、クラスターのアップグレードのスケジュールに従って行われます。ソフトウェアのアップグレードが可能になると、スケジュールされているアップグレードの時間の前に手動でクラスターのアップグレードを行うことも可能になります。特定のアップグレードのスケジュールを設定するか、毎日午前 3 時 (アメリカ合衆国) に行うというデフォルトのスケジュールも利用可能です。アメリカ/ロサンゼルス必要であれば、次に予定されているアップグレードを延期することも可能です。

アップグレードのスケジュールを設定するには、次の操作を行います。

1	Partner Hub にサインインします。
2	スクリーンの左側にあるメニューからサービスを選択します。
3	[クラウドサービス] セクションで、ハイブリッドデータセキュリティを見つけ、[セットアップ] をクリックします。
4	[ハイブリッドデータセキュリティリソース] ページで、クラスタを選択します。
5	[クラスター設定] タブをクリックします。
6	[クラスタ設定（Cluster Settings）] ページの [アップグレードスケジュール（Upgrade Schedule）] で、アップグレードスケジュールの時間とタイムゾーンを選択します。注意: タイムゾーンの下に、次に可能なアップグレードの日時が表示されます。必要に応じて、[24 時間延期する] をクリックして、アップグレードを翌日に延期することができます。

ノードの構成を変更する

場合により、以下のような理由でハイブリッドデータセキュリティノードの構成の変更が必要な場合があります。

有効期限が切れる、または他の理由による、x.509 証明書の変更。

証明書の CN ドメイン名の変更はサポートされていません。ドメインは、クラスターを登録するために使用される元のドメインと一致する必要があります。
データベース設定を更新して、PostgreSQL または Microsoft SQL Server データベースのレプリカを変更します。

PostgreSQL から Microsoft SQL Server への、またはその逆へのデータ移行はサポートしていません。データベース環境を切り替えるには、ハイブリッドデータセキュリティの新しい展開を開始します。
新しい構成を作成して新しいデータセンターの準備をする。

また、セキュリティ上の理由により、ハイブリッドデータセキュリティは 9 か月間使用可能なサービスアカウントパスワードを使用します。HDS セットアップツールがこれらのパスワードを生成した後で、ISO 構成ファイルの各 HDS ノードに展開します。組織のパスワードの有効期限切れが近い場合、Webex チームから「パスワード期限切れ通知」を受け取り、マシンアカウントのパスワードのリセットを求められます。(メールにはテキスト「マシンアカウント API を使用してパスワードを更新します」を含みます。) パスワードの有効期限が切れるまで時間が十分にある場合、ツールには次の 2 つのオプションがあります:

ソフトリセット: 古いパスワードと新しいパスワードの両方が最大 10 日間有効です。この期間を使用して、ノードの ISO ファイルを段階的に置き換えることができます。
ハードリセット: 古いパスワードがすぐに機能しなくなります。

パスワードをリセットせずに期限切れになる場合、HDS サービスに影響を与える可能性があります。すぐにハードリセットし、すべてのノードの ISO ファイルを置換する必要があります。

この手順を使用して、新しい構成 ISO ファイルを生成し、クラスターに適用します。

始める前に

HDS セットアップツールをローカルマシンの Docker コンテナとして実行します。アクセスするには、そのマシンで Docker を実行します。セットアッププロセスには、パートナーのフル管理者権限を持つ Partner Hub アカウントの資格情報が必要です。

HDS セットアップツールが環境内のプロキシの背後で実行されている場合、1.e で Docker コンテナを起動する際に、Docker 環境変数を通してプロキシ設定 (サーバー、ポート、資格情報) を提供します。この表ではいくつかの可能な環境変数を示します。

説明	変数
認証なしの HTTP プロキシ	`グローバル_エージェント_HTTP_PROXY=http://SERVER_IP:PORT`
認証なしの HTTPS プロキシ	`グローバル_エージェント_HTTPS_PROXY=http://SERVER_IP:ポート`
認証ありの HTTP プロキシ	`グローバル_エージェント_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
認証ありの HTTPS プロキシ	`グローバル_エージェント_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

新しい構成を生成するには、現在の構成 ISO ファイルのコピーが必要です。ISO には PostgreSQL または Microsoft SQL Server データベースを暗号化するマスターキーを含むです。データベースの証明書、証明書の更新、認証方針への変更を含む、構成の変更を行った場合は ISO が必要です。

1	ローカルマシンで Docker を使用し、HDS セットアップツールを実行します。マシンのコマンドラインで、お使い環境に適切なコマンドを入力します。一般環境: `docker rmi ciscocitg/hds-setup:stable` FedRAMP 環境の場合: `docker rmi ciscocitg/hds-setup-fedramp:stable` このステップを実行すると、前の HDS セットアップツールの画像がクリーンアップされます。これ以前の画像がない場合は、無視できるエラーを返します。 Docker 画像レジストリにサインインするには、以下を入力します。 `ドッカーログイン -u hdscustomersro` パスワードのプロンプトに対して、このハッシュを入力します。 `dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo` お使い環境に合った最新の安定した画像をダウンロードします。一般環境: `ドッカープル ciscocitg/hds-setup:stable` FedRAMP 環境の場合: `ドッカープル ciscocitg/hds-setup-fedramp:stable` この手順に最新のセットアップツールをプルしていることを確認します。2018 年 2 月 22 日より前に作成されたツールのバージョンには、パスワードリセット画面が表示されません。プルが完了したら、お使いの環境に適切なコマンドを入力します。プロキシなしの通常の環境の場合: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable` HTTP プロキシがある通常の環境の場合、 `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:ポート ciscocitg/hds-setup:stable` HTTPS プロキシがある通常の環境の場合: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:ポート ciscocitg/hds-setup:stable` プロキシなしの FedRAMP 環境の場合: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable` HTTP プロキシがある FedRAMP 環境の場合: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:ポート ciscocitg/hds-setup-fedramp:stable` HTTPS プロキシがある FedRAMP 環境の場合: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:ポート ciscocitg/hds-setup-fedramp:stable` コンテナが実行中の時。「ポート 8080 で Express サーバーリスニング中」と表示されます。ブラウザを使用して、ローカルホスト `http://127.0.0.1:8080` に接続します。セットアップツールは、http://localhost:8080 を介した localhost への接続をサポートしていません。http://127.0.0.1:8080 を使用して、localhost に接続します。プロンプトが表示されたら、Partner Hub の顧客サインイン情報を入力し、[承認] をクリックして続行します。現在の構成 ISO ファイルをインポートします。指示に従い、ツールを完了し、更新されたファイルをダウンロードします。セットアップツールをシャットダウンするには、[`CTRL+C`] と入力します。別のデータセンターで、更新されたファイルのバックアップコピーを作成します。
2	実行中の HDS ノードが 1 つしかない場合、新しいハイブリッドデータセキュリティノード VM を作成し、新しい構成 ISO ファイルを使用して登録します。詳細については、「さらにノードを作成して登録する」を参照してください。 HDS 主催者 OVA をインストールします。 HDS VM をセットアップします。更新された構成ファイルをマウントします。 Partner Hub で新しいノードを登録します。
3	古い構成ファイルを実行している既存の HDS ノードの場合、ISO ファイルをマウントします。各ノードで以下の手順を実行し、次のノードをオフにする前に、各ノードを更新します。仮想マシンをオフにします。 VMware vSphere クライアントの左ナビゲーションペインで、ESXi サーバーを右クリックし、[設定の編集] をクリックします。 [`CD/DVD Drive 1`] をクリックし、ISO ファイルからマウントするオプションを選択して、新規構成 ISO ファイルをダウンロードした場所を参照します。 [電源に接続する] をチェックします。変更を保存し、仮想マシンを起動します。
4	ステップ 3 を繰り返し、古い構成ファイルを実行している残りの各ノードで構成を置き換えます。

外部 DNS 解決ブロックモードをオフにする

ノードを登録するか、またはノードのプロキシ構成を確認するとき、プロセスは DNS 検索と Cisco Webex クラウドへの接続をテストします。ノードの DNS サーバーがパブリック DNS 名を解決できない場合、ノードは自動的に外部 DNS 解決ブロックモードに進みます。

ノードが内部 DNS サーバーを通してパブリック DNS 名を解決できる場合、各ノードでプロキシ接続テストを再実行することで、このモードをオフにすることができます。

開始する前に

内部 DNS サーバーがパブリック DNS 名を解決でき、ノードがそれらと通信できることを確認します。

1	Web ブラウザで、ハイブリッドデータセキュリティノードインターフェイス (IP アドレス/セットアップ、例: https://192.0.2.0/setup), ノードに設定した管理者資格情報を入力し、サインイン。
2	[概要] (デフォルトページ) に移動します。有効になっている場合、 [外部 DNS 解決ブロック] は [はい] に設定されています。
3	[信頼ストアとプロキシ] ページに移動します。
4	[プロキシ接続を確認する] をクリックします。外部 DNS の解決が正常に行われなかったという内容のメッセージが表示された場合、ノードが DNS サーバーに到達できなかったことを示しており、このモードに留まっています。そうでない場合には、ノードを再起動して[概要] ページに戻ると、[外部 DNS 解決ブロック] は [いいえ] に設定されるはずです。

次に行うこと

ハイブリッドデータセキュリティクラスターの各ノードで、プロキシ接続テストを繰り返します。

ノードの削除

この手順を使用して、Webex クラウドからハイブリッドデータセキュリティノードを削除します。クラスタからノードを削除した後、仮想マシンを削除して、セキュリティデータへのさらなるアクセスを防止します。

1

コンピュータの VMware vSphere クライアントを使用して、ESXi 仮想主催者にログインし、仮想マシンをオフにします。

2

ノードの削除:

Partner Hub にサインインし、[サービス] を選択します。
ハイブリッドデータセキュリティカードで、[すべて表示] をクリックして、ハイブリッドデータセキュリティリソースページを表示します。
クラスタを選択して [概要] パネルを表示します。
削除するノードをクリックします。
右に表示されるパネルで、[このノードの登録解除] をクリックします。
ノードの右側にある […] をクリックして、[このノードを削除] を選択することで、ノードの登録を解除することもできます。

3

vSphere クライアントで、VM を削除します。(左側のナビゲーションペインで、VM を右クリックし、[削除] をクリックします。)

VM を削除しない場合は、構成 ISO ファイルをアンマウントすることを忘れないでください。ISO ファイルがないと、VM を使用してセキュリティデータにアクセスすることはできません。

スタンバイデータセンターを使用した災害復旧

ハイブリッドデータセキュリティクラスターが提供する最も重要なサービスは、Webex クラウドに保存されたメッセージやその他のコンテンツを暗号化するために使用されるキーの作成と保存です。ハイブリッドデータセキュリティに割り当てられている組織内の各ユーザーについて、新しいキー作成リクエストはクラスタにルーティングされます。カンバセーションスペースのメンバーなど、受け取りの認可を得ているユーザーに、作成されるキーを戻す責任がクラスターにはあります。

クラスタープラットフォームはこれらのキーを提供するにあたり重要な機能となるため、クラスターが実行中のままで、適切なバックアップが維持されている必要があります。ハイブリッドデータセキュリティデータベースまたはスキーマに使用される構成 ISO の損失により、顧客コンテンツは回復不能になります。損失などを防ぐためには、以下のプラクティスが必須です:

災害により、プライマリデータセンターの HDS 展開が利用できなくなる場合は、次の手順に従って、スタンバイデータセンターに手動でフェールオーバーします。

開始する前に

「ノードを削除」に記載されているように、Partner Hub からすべてのノードを登録解除します。以前にアクティブであったクラスタのノードに対して設定された最新の ISO ファイルを使用して、以下に示すフェールオーバー手順を実行します。

1	HDS セットアップツールを開始し、「HDS ホストの構成 ISO を作成する」に記載されている手順に従います。
2	設定プロセスを完了し、見つけやすい場所に ISO ファイルを保存します。
3	ローカルシステムの ISO ファイルのバックアップコピーを作成します。バックアップコピーを安全に保ちます。このファイルには、データベースコンテンツのマスター暗号化キーを含みます。設定変更を行う必要があるハイブリッドデータセキュリティ管理者のみにアクセスを制限します。
4	VMware vSphere クライアントの左ナビゲーションペインで、ESXi サーバーを右クリックし、[設定の編集] をクリックします。
5	[設定の編集] > [CD/DVD ドライブ 1] をクリックし、データストア ISO ファイルを選択します。ノードの開始後に更新された構成変更が有効になるように、[接続済み] と [電源で接続] がオンになっていることを確認します。
6	HDS ノードの電源をオンにし、少なくとも 15 分間アラームがないことを確認します。
7	Partner Hub でノードを登録します。「クラスタの最初のノードを登録する」を参照してください。
8	スタンバイデータセンター内のすべてのノードに対してこのプロセスを繰り返します。

次に行うこと

フェールオーバー後、プライマリデータセンターが再びアクティブになった場合は、スタンバイデータセンターのノードを登録解除し、前述のように ISO の設定とプライマリデータセンターのノードを登録するプロセスを繰り返します。

(オプション) HDS 設定後に ISO を取り外す

標準 HDS 設定は、ISO がマウントされた状態で実行されます。ただし、ISO ファイルを継続的にマウントすることを希望する顧客もあります。すべての HDS ノードが新しい設定を取得すると、ISO ファイルをマウント解除できます。

設定変更を行うには、引き続き ISO ファイルを使用します。新しい ISO を作成するか、セットアップツールから ISO を更新する場合は、更新された ISO をすべての HDS ノードにマウントする必要があります。すべてのノードが設定変更をピックアップしたら、この手順で ISO をアンマウントできます。

開始する前に

すべての HDS ノードをバージョン 2021.01.22.4720 以降にアップグレードします。

1	HDS ノードの 1 つをシャットダウンします。
2	vCenter Server アプライアンスで、HDS ノードを選択します。
3	[設定の編集] > [CD/DVD ドライブ] の順に選択し、[データストア ISO ファイル] のチェックを外します。
4	HDS ノードの電源をオンにし、少なくとも 20 分間アラームがないことを確認します。
5	各 HDS ノードに対して順番に繰り返します。

ハイブリッドデータセキュリティのトラブルシューティング

アラートを表示してトラブルシューティングする

ハイブリッドデータセキュリティの展開は、クラスタ内のすべてのノードに到達できない場合、またはクラスタが動作が遅いため、要求がタイムアウトになった場合、利用できないと見なされます。ユーザーがハイブリッドデータセキュリティクラスタに到達できない場合、次の症状を経験します。

新しいスペースが作成できない (新しいキーを作成できない)
メッセージとスペースのタイトルを暗号解除できない:
- 新しいユーザーをスペースに追加する (キーを取得できない)
- 新しいクライアントを使用したスペースの既存ユーザー (キーを取得できない)
クライアントが暗号キーのキャッシュを持っている限り、スペースの既存ユーザーは引き続き正常に実行します

サービスの中断を避けるために、ハイブリッドデータセキュリティクラスタを適切に監視し、アラートを速やかに解決することが重要です。

警告

ハイブリッドデータセキュリティのセットアップに問題がある場合、Partner Hub は組織管理者にアラートを表示し、構成されたメールアドレスにメールを送信します。アラートでは多くに共通するシナリオを説明しています。

表 1YAZ設定オプション共通の問題と解決ステップ
警告	アクション
ローカルデータべースへのアクセスに失敗しました。	データベースのエラーかローカルネットワークの問題をチェックしてください。
ローカルデータベースの接続に失敗しました。	データベースサーバーが利用可能であり、正しいサービスアカウント証明書がノード構成に使用されていたことをチェックします。
クラウドサービスへのアクセスに失敗しました。	外部接続要件で指定されている通り、ノードが Webex サーバーにアクセスできることを確認します。
クラウドサービスの登録を更新します。	クラウドサービスへの登録に失敗しました。登録の更新は現在進行中です。
クラウドサービスの登録に失敗しました。	クラウドサービスへの登録が終了しましたサービスがシャットダウンしました。
サービスがアクティベートされていません。	Partner Hub で HDS を有効にします。
構成されたドメインはサーバー証明書に一致しません。	サーバー証明書が構成されたサービスアクティベーションドメインに一致することを確認します。もっとも多い原因は、証明書 CN が最近変更され、最初のセットアップ中に使用された CN とは異なっているためです。
クラウドサービスへの認証に失敗しました。	正確性とサービスアカウント証明書の期限切れの可能性をチェックします。
ローカルキーストアファイルを開くことに失敗しました。	ローカルキーストアファイルの整合性とパスワードの正確性をチェックします。
ローカルサーバー証明書が無効です。	サーバー証明書の期限切れ日をチェックし、信頼できる証明書権限から発行されたものであることを確認します。
メトリクスを投稿できません。	外部クラウドサービスへのローカルネットワークアクセスをチェックします。
/media/configdrive/hds ディレクトリは存在しません。	仮想ホストで ISO マウント構成をチェックします。ISO ファイルが存在し、再起動時にマウントされるように構成されており、正常にマウントされていることを確認します。
追加された組織では、テナント組織のセットアップが完了していません	HDS セットアップツールを使用して、新しく追加されたテナント組織の CMK を作成してセットアップを完了します。
削除された組織のテナント組織のセットアップが完了していません	HDS セットアップツールを使用して削除されたテナント組織の CMK を取り消すことでセットアップを完了します。

ハイブリッドデータセキュリティのトラブルシューティング

ハイブリッドデータセキュリティの問題をトラブルシューティングする際には、次の一般的なガイドラインを使用してください。

1	アラートについては Partner Hub を確認し、そこで見つかった項目を修正します。参照については、以下の画像を参照してください。
2	ハイブリッドデータセキュリティ展開からのアクティビティの syslog サーバー出力を確認します。「警告」や「エラー」などの単語をフィルタリングして、トラブルシューティングに役立ちます。
3	Cisco サポートに連絡します。

その他のメモ

ハイブリッドデータセキュリティに関する既知の問題

ハイブリッドデータセキュリティクラスタをシャットダウンする場合 (Partner Hub で削除するか、すべてのノードをシャットダウンする)、構成 ISO ファイルを失うか、キーストアデータベースへのアクセスを失った場合、顧客組織の Webex アプリユーザーは、KMS のキーで作成されたユーザーリストの下のスペースを使用できなくなります。一度アクティブユーザーを扱った場合、現在この問題の会費苞や修正方法はなく、HDS サービスを終了しないようにしてください。
KMS への既存の ECDH 接続を持つクライアントは、一定の期間接続を維持します (およそ 1 時間)。

OpenSSL を使用して PKCS12 ファイルを生成する

開始する前に

OpenSSL は、HDS セットアップツールでローディングするために、適切なフォーマットで PKCS12 ファイルを作成するために使用可能なツールです。これを実行する他の方法もあり、別の方法がある中で1つの方法をサポートまたは促進しません。
OpenSSL を使用することを選択した場合、X.509 証明書要件の X.509 証明書要件を満たすファイルを作成するためのガイドラインとしてこの手順を提供します。続行する前にそれらの要件を理解します。
サポートされている環境で OpenSSL をインストールします。ソフトウェアと文書については https://www.openssl.org をご覧ください。
秘密鍵を作成します。
証明書権限 (CA) からサーバー証明書を受け取るとき、この手順を開始します。

1	CA からサーバー証明書を受け取るとき、`hdsnode.pem` として保存します。
2	テキストとして証明書を表示し、詳細を検証します: `openssl x509 -text -noout -in hdsnode.pem`
3	テキストエディタを使用して、`hdsnode-bundle.pem` という名前の証明書バンドルファイルを作成します。バンドルファイルには、下のフォーマットでサーバー証明書、中間 CA 証明書、ルート証明書を含みます。 `-----開始証明書----- ### サーバ証明書。 ### -----end certificate------------------------------------------------------------- ### 中間 CA 証明書。 #### -----end certificate------------------------------------------------------------- ### ルート CA 証明書。 ### -----end 証明書-----`
4	`kms-private-key` という友好的な名前で .p12 ファイルを作成します。 `openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12`
5	サーバー証明書の詳細をチェックします。 `openssl pkcs12 -in hdsnode.p12` アウトプットに一覧化されるように、指示に従いパスワードを入力し、秘密鍵を暗号化します。したがって、秘密鍵と最初の証明書に行`friendlyName: Kms-private-key` を含むことに検証します。例: bash$ openssl pkcs12 -in hdsnode.p12 Enter Import Password: MAC verified OK Bag Attributes friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 主な属性: PEM パスフレーズを入力: 検証中 - PEM パスフレーズを入力します: -----BEGIN 暗号化秘密キー----- -----END 暗号化秘密キー------- バッグ属性 friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 ------BEGIN CERTIFICATE-----END CERTIFICATE------- Bag 属性 friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US subject=/C=US/O=Let's Encrypt/CN=Digital Signature Trust Co./CN=DST Root CA X3 ------- -----END CERTIFICATE------

次に行うこと

[ハイブリッドデータセキュリティの前提条件を完了] に戻ります。hdsnode.p12 ファイルと設定したパスワードを [HDS ホストの構成 ISO を作成する] で使用します。

元の証明書の有効期限が切れると、これらのファイルを再使用して新しい証明書を要求できます。

HDS ノードおよびクラウド間のトラフィック

アウトバウンドメトリクスコレクショントラフィック

ハイブリッドデータセキュリティノードは、特定のメトリクスをWebex クラウドに送信します。これらには以下が含まれます。heap max、使用される heap、CPU ロード、しきい値カウント。同期および非同期しきい値のメトリクス。暗号化接続、遅延、リクエストキューの長さのしきい値を含むアラートのメトリクス。データストアのメトリクス。暗号化接続メトリクス。Out-of-Band (リクエストとは別) チャンネルの暗号化されたキーマテリアルを送信します。

インバウンドトラフィック

ハイブリッドデータセキュリティノードは、Webex クラウドから次のタイプの着信トラフィックを受信します。

暗号サービスからルートされたクライアントからの暗号化リクエスト
ノードソフトウェアへのアップグレード

ハイブリッドデータセキュリティの Squid プロキシを設定する

Websocket は Squid プロキシを通じて接続できません

HTTPS トラフィックを検査する Squid プロキシは、ハイブリッドデータセキュリティが必要とする websocket (wss:) 接続の確立に干渉する可能性があります。これらのセクションでは、wss: トラフィックを無視するためのさまざまなバージョンの Squid の設定方法について説明しています。 これは、サービスの適切な運用のためのトラフィックです。

Squid 4 および5

on_unsupported_protocol ディレクティブを squid.conf に追加します。

on_unsupported_protocol すべてトンネル

Squid 3.5.27

以下の規則が squid.conf に追加されて、ハイブリッドデータセキュリティのテストに成功しました。これらのルールは、機能を開発し、Webex クラウドを更新する際に変更されることがあります。

acl wssMercuryConnection ssl::server_name_regex mercury-connection ssl_bump splice wssMercuryConnection acl step1 at_step SslBump1 acl step2 at_step SslBump2 acl step3 at_step SslBump3 ssl_bump peek step1 all ssl_bump stare step2 all ssl_bump bump step3 all

新規および変更された情報

この表では、新機能または機能、既存のコンテンツへの変更、および『マルチテナントハイブリッドデータセキュリティの展開ガイド』で修正された主なエラーについて説明します。

日付	変更を行いました
2025 年 1 月 8 日	「初期セットアップを実行し、インストールファイルをダウンロードする」に、Partner Hub の HDS カードの [セットアップ] をクリックすると、インストールプロセスの重要なステップであることを示すメモを追加しました。
2025 年 1 月 7 日	「仮想ホスト要件」、「ハイブリッドデータセキュリティ展開タスクフロー」、「HDS ホスト OVA のインストール」を更新し、ESXi 7.0 の新しい要件を表示します。
2024 年 12 月 13 日	初公開。

マルチテナントのハイブリッドデータセキュリティの無効化

マルチテナント HDS の無効化タスクフロー

マルチテナント HDS を完全に無効にするには、次の手順に従います。

開始する前に

このタスクは、パートナーのフル管理者によってのみ実行されます。

1	「テナント組織の削除」で記載されているように、すべてのクラスタからすべての顧客を削除します。
2	「HDS から削除されたテナントの CMK を取り消す」に記載されている通り、すべての顧客の CMK を取り消します。
3	「ノードの削除」で記載されているように、すべてのクラスタからすべてのノードを削除します。
4	次の 2 つの方法のいずれかを使用して、Partner Hub からすべてのクラスタを削除します。削除するクラスタをクリックし、概要ページの右上隅にある [このクラスタの削除] を選択します。 [リソース] ページで、クラスタの右側の […] をクリックし、[クラスタの削除] を選択します。
5	ハイブリッドデータセキュリティの概要ページの [設定] タブをクリックし、HDS ステータスカードの [HDS の非アクティブ化] をクリックします。

マルチテナントのハイブリッドデータセキュリティを使い始める

マルチテナントのハイブリッドデータセキュリティの概要

Webex アプリの設計では、1 日目以降、データセキュリティが主要なフォーカスとなっています。このセキュリティのコーナーストンは、エンドツーエンドのコンテンツ暗号化であり、Webex アプリクライアントがキー管理サービス (KMS) と対話することで有効になります。KMS はメッセージとファイルを動的に暗号化し、解読するためにクライアントが使用する暗号キーの作成と管理の責任を負っています。

デフォルトでは、すべての Webex アプリの顧客は、Cisco のセキュリティ領域であるクラウド KMS に保存されているダイナミックキーを使用してエンドツーエンドの暗号化を取得します。ハイブリッドデータセキュリティは、KMS とその他のセキュリティ関連の機能をあなたのエンタープライズデータセンターに移動するため、誰でもなくあなたが暗号化コンテンツの鍵を持っています。

マルチテナントのハイブリッドデータセキュリティ により、組織はサービスプロバイダーとして機能し、オンプレミスの暗号化やその他のセキュリティサービスを管理できる信頼できるローカルパートナーを通じて HDS を活用できます。このセットアップにより、パートナー組織は暗号キーの展開と管理を完全に制御し、顧客組織のユーザーデータを外部アクセスから安全に保護できます。パートナー組織は HDS インスタンスをセットアップし、必要に応じて HDS クラスタを作成します。各インスタンスは、1 つの組織に制限される通常の HDS 展開とは異なり、複数の顧客組織をサポートできます。

パートナー組織は展開と管理をコントロールできますが、顧客が生成したデータやコンテンツにアクセスすることはできません。このアクセスは、顧客の組織とそのユーザーに限定されます。

また、データセンターなどのキー管理サービスとセキュリティインフラストラクチャは信頼できるローカルパートナーによって所有されているため、小規模組織は HDS を活用できます。

マルチテナントハイブリッドデータセキュリティがデータの主権とデータ制御を提供する方法

ユーザーが生成したコンテンツは、クラウドサービスプロバイダーなどの外部アクセスから保護されます。
ローカルの信頼できるパートナーは、すでに確立している顧客の暗号化キーを管理します。
パートナーが提供する場合、ローカルテクニカルサポートのオプション。
ミーティング、メッセージング、通話コンテンツをサポートします。

このドキュメントは、パートナー組織がマルチテナントハイブリッドデータセキュリティシステムの下で顧客をセットアップおよび管理することを支援することを目的としています。

マルチテナントハイブリッドデータセキュリティのロール

パートナーのフル管理者 - パートナーが管理するすべての顧客の設定を管理できます。また、組織内の既存のユーザーに管理者のロールを指定したり、パートナー管理者が管理する特定の顧客を指定したりすることもできます。
パートナー管理者 - 管理者がプロビジョニングした顧客またはユーザーに割り当てられた顧客の設定を管理できます。
フル管理者 - 組織設定の変更、ライセンスの管理、ロールの割り当てなどのタスクを実行する権限のあるパートナー組織の管理者です。

すべての顧客組織のエンドツーエンドのマルチテナント HDS のセットアップと管理 - パートナーのフル管理者およびフル管理者権限が必要です。
割り当てられたテナント組織の管理 - パートナー管理者およびフル管理者権限が必要です。

セキュリティ領域のアーキテクチャ

Webex クラウドアーキテクチャは、以下に示すように、異なるタイプのサービスを別の領域、または信頼ドメインに分離します。

ハイブリッドデータセキュリティをさらに理解するために、シスコがクラウド領域ですべての機能を提供している純粋なクラウドケースを見てみましょう。メールアドレスなど個人情報を直接ユーザーが関連付けることが可能な唯一の場所である ID サービスは、データセンター B のセキュリティ領域から論理的および物理的に分かれています。データセンター C では、暗号化されたコンテンツが最終的に保存される領域と、両方とも別になります。

この図では、クライアントがユーザーのラップトップで実行されている Webex アプリであり、ID サービスで認証されています。ユーザーがメッセージを編集し、スペースに送るとき、以下のステップを踏みます:

クライアントは重要な管理サービス (KMS) と安全な接続を確立し、メッセージを暗号化するためのキーをリクエストします。安全な接続では ECDH を使用し、KMS は AES-256 マスターキーを使用してキーを暗号化します。
メッセージはクライアントを離れる前に暗号化されます。クライアントは、暗号化された検索インデックスを作成し、コンテンツで将来検索を助けるインデックス化サービスに送信します。
暗号化されたメッセージは、コンプライアンスチェックのためコンプライアンスサービスに送信されます。
暗号化されたメッセージは、保管領域に保管されます。

ハイブリッドデータセキュリティを展開する際、セキュリティ領域機能 (KMS、インデックス作成、コンプライアンス) をオンプレミスデータセンターに移動します。Webex を構成するその他のクラウドサービス (ID とコンテンツストレージを含む) は、Cisco の領域に残ります。

他の組織と協力する

組織内のユーザーは定期的に Webex アプリを使用して、他の組織の外部参加者と共同作業を行うことができます。ユーザーの 1 人があなたの組織が所有しているスペースのキーをリクエストしたとき (あなたの組織のユーザーの 1 人が作成したため)、KMS は ECDH の安全なチャンネルでキーをクライアントに送信します。ただし、別の組織がスペースのキーを所有している場合、KMS は別の ECDH チャネルを通じて、リクエストを WEBEX クラウドにルーティングして、適切な KMS からキーを取得し、そのキーを元のチャネルのユーザーに返します。

組織 A で実行されている KMS サービスは、X.509 PKI 証明書を使用して他の組織の KMS への接続を検証します。マルチテナントハイブリッドデータセキュリティ展開で使用する x.509 証明書を生成する方法の詳細については、「環境を準備する 」を参照してください。

ハイブリッドデータセキュリティの展開の例外

ハイブリッドデータセキュリティの展開には、暗号化キーを所有することに伴うリスクについて、重要なコミットメントと認識が必要です。

ハイブリッドデータセキュリティを展開するには、以下を提供する必要があります。

Cisco Webex Teams プランでサポートされている場所である国の安全なデータセンター。
「環境を準備する」に記載されている機器、ソフトウェア、およびネットワークアクセス。

ハイブリッドデータセキュリティ用に構築する構成 ISO または提供するデータベースのいずれかが完全に失われると、キーが失われます。キー損失により、ユーザーが Webex アプリのスペースコンテンツやその他の暗号化されたデータを復号できなくなります。このことが発生する場合、新しい展開を構築できますが、新しいコンテンツのみが表示されます。データのアクセス権の喪失を防ぐには、以下を行う必要があります:

データベースのバックアップと復元および構成 ISO を管理します。
データベースディスクの障害やデータセンターの災害などの災害が発生した場合は、迅速な災害復旧を行う準備をしてください。

HDS 展開後にキーをクラウドに戻すメカニズムはありません。

高レベルのセットアッププロセス

このドキュメントでは、マルチテナントのハイブリッドデータセキュリティ展開のセットアップと管理について説明します。

ハイブリッドデータセキュリティのセットアップ—これには、必要なインフラストラクチャの準備、ハイブリッドデータセキュリティソフトウェアのインストール、HDS クラスタの構築、クラスタへのテナント組織の追加、顧客メインキー (CMK) の管理が含まれます。これにより、顧客組織のすべてのユーザーがセキュリティ機能にハイブリッドデータセキュリティクラスタを使用できるようになります。

セットアップ、アクティベーション、および管理フェーズについては、次の 3 つの章で詳しく説明します。
ハイブリッドデータセキュリティ展開の維持—Webex クラウドは自動的に進行中のアップグレードを提供します。IT 部門は階層 1 のサポートをこの展開に提供し、必要に応じて Cisco サポートを提供します。Partner Hub では、画面上の通知を使用して、メールベースのアラートを設定できます。
一般的なアラート、トラブルシューティング手順、および既知の問題について理解する - ハイブリッドデータセキュリティの展開または使用に問題が発生した場合、このガイドの最後の章と「既知の問題の付録」が問題の判別と修正に役立ちます。

ハイブリッドデータセキュリティ展開モデル

エンタープライズデータセンター内で、ハイブリッドデータセキュリティを別々の仮想ホスト上のノードの単一のクラスタとして展開します。ノードは、セキュアなウェブソケットとセキュア HTTP を通じて Webex クラウドと通信します。

インストールプロセス中、提供する VM 上で仮想マシンセットアップするために、OVA ファイルを提供します。HDS セットアップツールを使用し、各ノードにマウントするカスタムクラスター構成 ISO ファイルを作成します。ハイブリッドデータセキュリティクラスタは、提供された Syslogd サーバと PostgreSQL または Microsoft SQL Server データベースを使用します。（HDS セットアップツールで Syslogd とデータベース接続の詳細を設定します）。

ハイブリッドデータセキュリティ展開モデル

クラスターで保持できるノードの最小数は 2 つです。クラスターごとに少なくとも 3 つをお勧めします。複数のノードを持つと、ノード上のソフトウェアアップグレードやその他のメンテナンスアクティビティ中にサービスが中断されないようにします。(Webex クラウドは一度に 1 つのノードのみアップグレードします。)

クラスターのすべてのノードは、同じキーデータストアにアクセスし、同じ syslog サーバーに対するアクティビティをログ記録します。クラウドで指示された通り、ノード自体では処理状態が把握されておらず、ラウンドロビン方式でキーリクエストを処理します。

ノードは、パートナーハブに登録するとアクティブになります。個別ノードをサービス外にするには、必要に応じて登録解除し、再登録できます。

災害復旧のためのスタンバイデータセンター

展開中、セキュアなスタンバイデータセンターをセットアップします。データセンターの災害が発生した場合、スタンバイデータセンターへの展開を手動で失敗させることができます。

アクティブおよびスタンバイデータセンターのデータベースは相互に同期されているため、フェールオーバーを実行するのにかかる時間を最小限に抑えます。

アクティブなハイブリッドデータセキュリティノードは、常にアクティブなデータベースサーバと同じデータセンターにある必要があります。

プロキシサポート

ハイブリッドデータセキュリティは、明示的な透過的な検査および非検査プロキシをサポートします。これらのプロキシを展開に関連付けることができます。これにより、エンタープライズからクラウドに送信されるトラフィックをセキュリティ保護し、監視することができます。証明書の管理のノードでプラットフォーム管理インターフェイスを使用して、ノードでプロキシを設定した後で、全体的な接続ステータスを確認することができます。

ハイブリッドデータセキュリティノードは、以下のプロキシオプションをサポートしています。

プロキシなし: プロキシを統合するために HDS ノードのセットアップ信頼ストアとプロキシ構成を使用しない場合のデフォルト。証明書の更新は必要ありません。
透過的な検査なしのプロキシ: ノードは特定のプロキシサーバーアドレスを使用するように設定されていないため、検査なしのプロキシで動作するように変更を加える必要はありません。証明書の更新は必要ありません。
透過的なトンネリングまたは検査プロキシ: ノードは特定のプロキシサーバーアドレスを使用するように設定されていません。ノードでは、HTTP または HTTPS の設定変更は必要ありません。ただし、ノードはプロキシを信頼するためにルート証明書を必要とします。プロキシを検査することで、Web サイトにアクセスするか、どのタイプのコンテンツを使用するかを強制するポリシーを施行することができます。このタイプのプロキシは、すべてのトラフィック (HTTPS さえも含む) を復号化します。
明示的プロキシ: 明示的プロキシを使用して、使用するプロキシサーバーと認証スキームを HDS ノードに指示します。明示的なプロキシを設定するには、各ノードに次の情報を入力する必要があります。
1. プロキシ IP/FQDN—プロキシマシンに到達するために使用できるアドレス。
2. プロキシポート: プロキシがプロキシトラフィックをリッスンするために使用するポート番号。
3. プロキシプロトコル: プロキシサーバーがサポートしているものに応じて、次のプロトコルから選択します。
  - HTTP—クライアントが送信するすべての要求を表示し、コントロールします。
  - HTTPS—サーバーにチャネルを提供します。クライアントがサーバーの証明書を受け取り、検証します。
4. 認証タイプ: 次の認証タイプから選択します。
  - なし: 追加の認証は必要ありません。
    
    プロキシプロトコルとして HTTP または HTTPS のいずれかを選択した場合に利用できます。
  - ベーシック—HTTP ユーザーエージェントがリクエストを行う際にユーザー名とパスワードを指定するために使用されます。Base64 エンコードを使用します。
    
    プロキシプロトコルとして HTTP または HTTPS のいずれかを選択した場合に利用できます。
    
    各ノードにユーザー名とパスワードを入力する必要があります。
  - ダイジェスト: 機密情報を送信する前にアカウントを確認するために使用されます。ネットワークを経由して送信する前に、ユーザー名およびパスワードにハッシュ機能を適用します。
    
    プロキシプロトコルとして HTTPS を選択した場合にのみ利用できます。
    
    各ノードにユーザー名とパスワードを入力する必要があります。

ハイブリッドデータセキュリティノードとプロキシの例

この図は、ハイブリッドデータセキュリティ、ネットワーク、およびプロキシ間の接続例を示しています。透過的な検査および HTTPS 明示的な検査プロキシオプションの場合、同じルート証明書がプロキシとハイブリッドデータセキュリティノードにインストールされている必要があります。

外部 DNS 解決ブロックモード (明示的プロキシ構成)

ノードを登録するか、またはノードのプロキシ構成を確認するとき、プロセスは DNS 検索と Cisco Webex クラウドへの接続をテストします。内部クライアントのための外部 DNS 解決が許可されていない、明示的なプロキシ構成の展開では、ノードが DNS サーバーに問い合わせができない場合、自動的に外部 DNS 解決ブロックモードに切り替わります。このモードでは、ノード登録および他のプロキシ接続テストを続行することができます。

環境を準備する

マルチテナントハイブリッドデータセキュリティの要件

Cisco Webex ライセンス要件

マルチテナントのハイブリッドデータセキュリティを展開するには:

パートナー組織: Cisco パートナーまたはアカウントマネージャーに連絡し、マルチテナント機能が有効になっていることを確認してください。
テナント組織: Pro Pack for Cisco Webex Control Hub が必要です。(https://www.cisco.com/go/pro-packを参照。)

Docker デスクトップの要件

HDS ノードをインストールする前に、セットアッププログラムを実行するには Docker デスクトップが必要です。Docker は最近、ライセンスモデルを更新しました。組織は Docker デスクトップの有料サブスクリプションを必要とする場合があります。詳細については、Docker ブログ投稿「 Docker は更新および製品サブスクリプションを拡張しています」を参照してください。

X.509 証明書要件

証明書チェーンは、次の条件を満たす必要があります。

表 1YAZ設定オプションハイブリッドデータセキュリティ展開のための X.509 証明書要件
要件	詳細
信頼できる証明書権限 (CA) で署名済み	デフォルトでは、https://wiki.mozilla.org/CA:IncludedCAs で Mozilla リスト (WoSign と StartCom を除く) の CA を信頼します。
ハイブリッドデータセキュリティ展開を識別する共通名 (CN) ドメイン名を保持しますワイルドカード証明書ではありません	CN は到達可能またはアクティブな主催者である必要はありません。たとえばなど、組織を反映する名前を使用することを推奨します。 CN に *（ワイルドカード）を含めることはできません。 CN は、Webex アプリクライアントに対してハイブリッドデータセキュリティノードを検証するために使用されます。クラスタ内のすべてのハイブリッドデータセキュリティノードが同じ証明書を使用します。KMS は x.509v3 SAN フィールドで定義されるドメインではなく、CN ドメインを使用してそれ自体を識別します。この証明書でノードを登録した場合、CN ドメイン名の変更をサポートしません。
非 SHA1 署名	KMS ソフトウェアは、他の組織の KMS に対する接続を検証するために、SHA1 署名をサポートしません。
パスワード保護された PKCS #12 ファイルとして形式化 `Kms-private-key` の有効な名前を使用して、証明書、秘密鍵、中間証明書をタグ付けしてアップロードします。	OpenSSL などのコンバーターを使用して、証明書の形式を変更できます。 HDS セットアップツールを実行する時、パスワードを入力する必要があります。

KMS ソフトウェアはキー使用量を強制したり、キー使用量の誓約を拡張したりしません。いくつかの証明書権限は、サーバー認証など、拡張キー使用量が各証明書に適用されることを必要とします。サーバー認証や他の設定を使用しても大丈夫です。

仮想ホストの要件

クラスタでハイブリッドデータセキュリティノードとして設定する仮想ホストには、次の要件があります。

同じセキュアなデータセンターに少なくとも 2 つの個別のホスト (推奨 3 つ) が共存
VMware ESXi 7.0 (またはそれ以降) がインストールされ、実行されています。

ESXi の以前のバージョンがある場合は、アップグレードする必要があります。
最低 4 つの vCPU、8 GB メインメモリ、サーバーあたり 30 GB のローカルハードディスク容量

データベースサーバーの要件

キーストレージ用の新しいデータベースを作成します。デフォルトのデータベースを使用しないでください。インストールしたとき、HDS アプリケーションはデータベーススキーマを作成します。

データベースサーバには 2 つのオプションがあります。各要件は次のとおりです。

表 2. データベースのタイプ別のデータベースサーバー要件
ポストSQL	Microsoft SQL サーバー
PostgreSQL 14、15、または 16 がインストールされ、実行されています。	SQL Server 2016、2017、または 2019 (エンタープライズまたは標準) がインストールされています。 SQL Server 2016 には、Service Pack 2 および累積アップデート 2 以降が必要です。
最低 8 vCPUs、16-GB メインメモリ、十分なハードディスクスペース、超過がないように監視 (ストレージを増やす必要なく、長期間データべースを実行する場合、2-TB が推奨されます。)	最低 8 vCPUs、16-GB メインメモリ、十分なハードディスクスペース、超過がないように監視 (ストレージを増やす必要なく、長期間データべースを実行する場合、2-TB が推奨されます。)

現在、HDS ソフトウェアは、データベースサーバと通信するための次のドライババージョンをインストールしています。

ポストSQL

Microsoft SQL サーバー

Postgres JDBCドライバー 42.2.5

SQL Server JDBC ドライバー 4.6

このドライババージョンは、SQL Server Always On（Always On Failover Cluster Instances および Always On アベイラビリティグループ）をサポートしています。

Microsoft SQL Server に対する Windows 認証の追加要件

HDS ノードが Windows 認証を使用して Microsoft SQL Server 上のキーストアデータベースにアクセスできるようにする場合は、環境内で次の設定が必要です。

HDS ノード、Active Directory インフラストラクチャ、MS SQL Server はすべて NTP と同期する必要があります。
HDS ノードに提供する Windows アカウントは、データベースへの読み取り/書き込みアクセス権を持っている必要があります。
HDS ノードに提供する DNS サーバーは、キー配布センター (KDC) を解決できる必要があります。
Microsoft SQL Server で HDS データベースインスタンスをサービスプリンシパルネーム (SPN) として登録できます。「Kerberos 接続のサービスプリンシパル名を登録する」を参照してください。

HDS セットアップツール、HDS ランチャー、およびローカル KMS はすべて、キーストアデータベースにアクセスするために Windows 認証を使用する必要があります。Kerberos 認証によるアクセスを要求するときに、ISO 設定の詳細を使用して SPN を構築します。

外部接続要件

ファイアウォールを構成して、HDS アプリケーションに対して次の接続を許可します。

アプリケーション	プロトコル	ポート	アプリからの方向	移動先
ハイブリッドデータセキュリティノード	TCP	443	アウトバウンド HTTPS および WSS	Webex サーバー: .wbx2.com .ciscospark.com すべての Common Identity ホスト [Webex サービスのネットワーク要件] の [Webex ハイブリッドサービスの追加 URL] テーブルにハイブリッドデータセキュリティのためにリストされているその他の URL
HDS セットアップツール	TCP	443	アウトバウンド HTTPS	*.wbx2.com すべての Common Identity ホスト hub.docker.com

ハイブリッドデータセキュリティノードは、NAT またはファイアウォールが前の表のドメイン宛先への必要な発信接続を許可している限り、ネットワークアクセストランスレーション（NAT）またはファイアウォールの背後で機能します。ハイブリッドデータセキュリティノードにインバウンドする接続の場合、インターネットからポートを表示することはできません。データセンター内で、クライアントは管理目的のため、TCP ポート 443 および 22 のハイブリッドデータセキュリティノードにアクセスする必要があります。

Common Identity (CI) ホストの URL は地域固有です。これらは、現在の CI ホストです。

地域	共通 ID ホスト URL
Americas（北米、南米エリア）	https://idbroker.webex.com https://identity.webex.com https://idbroker-b-us.webex.com https://identity-b-us.webex.com
欧州連合	https://idbroker-eu.webex.com https://identity-eu.webex.com
カナダ	https://idbroker-ca.webex.com https://identity-ca.webex.com
シンガポール	https://idbroker-sg.webex.com https://identity-sg.webex.com
アラブ首長国連邦	https://idbroker-ae.webex.com https://identity-ae.webex.com

プロキシサーバーの要件

お使いのハイブリッドデータセキュリティノードと統合できる次のプロキシソリューションを正式にサポートしています。
- 透過的プロキシ—Cisco Web Security Appliance (WSA)。
- 明示的プロキシ—Squid。
  
  HTTPS トラフィックを検査する Squid プロキシは、websocket (wss:) 接続の確立に干渉する可能性があります。この問題を回避するには、「ハイブリッドデータセキュリティのために Squid プロキシを構成する」を参照してください。
明示的プロキシに対して次の認証タイプの組み合わせがサポートされています。
- HTTP または HTTPS による認証がありません
- HTTP または HTTPS による基本認証
- HTTPS のみによるダイジェスト認証
透過的検査プロキシまたは HTTPS 明示的プロキシについては、プロキシのルート証明書のコピーが必要です。このガイドに記載されている展開手順は、ハイブリッドデータセキュリティノードの信頼ストアにコピーをアップロードする方法を説明しています。
HDS ノードをホストするネットワークは、ポート 443 のアウトバウンド TCP トラフィックを強制的にプロキシ経由でルーティングするように設定されている必要があります。
Web トラフィックを検査するプロキシは、Web ソケット接続に干渉する場合があります。この問題が発生した場合、wbx2.com および ciscospark.com へのトラフィックをバイパスする (検査しない) ことで問題を解決します。

ハイブリッドデータセキュリティの前提条件を満たします

このチェックリストを使用して、ハイブリッドデータセキュリティクラスタをインストールして構成する準備ができていることを確認してください。

1	パートナー組織でマルチテナント HDS 機能が有効になっていることを確認し、パートナーのフル管理者およびフル管理者権限を持つアカウントの資格情報を取得してください。Webex 顧客組織が Pro Pack for Cisco Webex Control Hub が有効になっていることを確認します。Cisco パートナーもしくはアカウントマネージャーにこのプロセスについてサポートを受けるために連絡してください。顧客組織は既存の HDS 展開を持つべきではありません。
2	HDS 展開のドメイン名 (例: `hds.company.com`) を選択し、X.509 証明書、秘密キー、および中間証明書を含む証明書チェーンを取得します。証明書チェーンは、X.509 証明書要件の要件を満たす必要があります。
3	クラスタでハイブリッドデータセキュリティノードとしてセットアップする同じ仮想ホストを準備します。仮想ホスト要件の要件を満たす同じセキュアなデータセンターに少なくとも 2 つの個別のホスト (推奨 3 つ) が共同で必要です。
4	データベースサーバーの要件に従って、クラスタのキーデータストアとして機能するデータベースサーバーを準備します。データベースサーバーは、セキュアなデータセンターに仮想ホストと共存する必要があります。キーストレージ用のデータベースを作成します。（このデータベースを作成する必要があります。デフォルトのデータベースを使用しないでください。インストールしたとき、HDS アプリケーションはデータベーススキーマを作成します。) ノードがデータベースサーバーと通信するために使用する詳細をまとめます: 主催者名または IP アドレス (主催者) およびポート重要なストレージ向けのデータベース名 (dbname) 重要なストレージデータベースですべての権限を持つユーザーのユーザー名とよびパスワード
5	災害復旧をすばやくするには、別のデータセンターでバックアップ環境を設定します。バックアップ環境は、VM とバックアップデータベースサーバの本番環境を反映します。たとえば、生産に HDS ノードを実行している 3 VMs がある場合、バックアップ環境には 3 Vms が必要です。
6	Syslog 主催者をセットアップして、クラスターのノードからログを収集します。ネットワークアドレスと syslog ポート (デフォルトは UDP 514) をまとめます。
7	ハイブリッドデータセキュリティノード、データベースサーバ、および syslog ホストの安全なバックアップポリシーを作成します。少なくとも、回復不能なデータの損失を防ぐには、ハイブリッドデータセキュリティノード用に生成されたデータベースと構成 ISO ファイルをバックアップする必要があります。ハイブリッドデータセキュリティノードは、コンテンツの暗号化と復号に使用されるキーを保存するため、運用展開の維持に失敗すると、コンテンツの回復不能な損失が発生します。 Webex アプリクライアントはキーをキャッシュするため、サービス停止はすぐに目立たなくなりますが、時間の経過とともに明らかになります。一時的な停電が防げない場合、復元可能です。しかし、データベースまたは構成 ISO ファイルのどちらかを完全に失う (バックアップが利用できない) ことは、顧客データは復元できません。ハイブリッドデータセキュリティノードのオペレータは、データベースと構成 ISO ファイルの頻繁なバックアップを維持し、壊滅的な障害が発生した場合に、ハイブリッドデータセキュリティデータセンターを再構築する準備をする必要があります。
8	外部接続の要件で説明されているように、ファイアウォール構成でハイブリッドデータセキュリティノードの接続を許可していることを確認してください。
9	Web ブラウザを使用して、サポートされている OS (Microsoft Windows 10 Professional または Enterprise 64 ビット、または Mac OSX Yosemite 10.10.3 以上) を実行している任意のローカルマシンに Docker (https://www.docker.com) をインストールします。http://127.0.0.1:8080. Docker インスタンスを使用して、すべてのハイブリッドデータセキュリティノードのローカル設定情報を構築する HDS セットアップツールをダウンロードして実行します。Docker デスクトップライセンスが必要な場合があります。詳細については、「Docker デスクトップの要件」を参照してください。 HDS セットアップツールをインストールして実行するには、ローカルマシンに外部接続要件で説明されている接続性が必要です。
10	プロキシをハイブリッドデータセキュリティと統合する場合は、プロキシサーバー要件を満たしていることを確認してください。

ハイブリッドデータセキュリティクラスタをセットアップ

ハイブリッドデータセキュリティ展開のタスクフロー

始める前に

1	初期セットアップを実行し、インストールファイルをダウンロードする後で使用するために、OVA ファイルをローカルマシンにダウンロードします。
2	HDS 主催者に構成 ISO を作成する HDS セットアップツールを使用して、ハイブリッドデータセキュリティノードの ISO 構成ファイルを作成します。
3	HDS 主催者 OVA をインストールする OVA ファイルから仮想マシンを作成し、ネットワーク設定などの初期設定を実行します。 OVA 展開中にネットワーク設定を構成するオプションは、ESXi 7.0 でテストされています。このオプションは以前のバージョンでは利用できない場合があります。
4	ハイブリッドデータセキュリティ VM のセットアップ VM コンソールにサインインし、サインイン資格情報を設定します。OVA 展開時に設定しなかった場合は、ノードのネットワーク設定を構成します。
5	HDS 構成 ISO をアップロードしマウントする HDS セットアップツールで作成した ISO 構成ファイルから VM を設定します。
6	プロキシ統合のために HDS ノードを設定するネットワーク環境でプロキシ設定が必要な場合は、ノードに使用するプロキシのタイプを指定し、必要に応じてプロキシ証明書を信頼ストアに追加します。
7	クラスタ内の最初のノードを登録 VM を Cisco Webex クラウドにハイブリッドデータセキュリティノードとして登録します。
8	他のノードを作成して登録クラスタのセットアップを完了します。
9	Partner Hub でマルチテナント HDS を有効にします。 HDS をアクティベートし、Partner Hub でテナント組織を管理します。

初期セットアップを実行し、インストールファイルをダウンロードする

このタスクでは、OVA ファイルをマシンにダウンロードします（ハイブリッドデータセキュリティノードとして設定したサーバにはありません）。このファイルはのちにインストールプロセスで使用します。

1	Partner Hub にサインインし、[サービス] をクリックします。
2	[クラウドサービス] セクションで、ハイブリッドデータセキュリティカードを見つけて、[セットアップ] をクリックします。 Partner Hub で [セットアップ] をクリックすることは、展開プロセスにとって重要です。この手順を完了しないでインストールに進まないでください。
3	[リソースの追加] をクリックし、[ソフトウェアのインストールと設定] カードの [OVA ファイルのダウンロード] をクリックします。古いバージョンのソフトウェアパッケージ (OVA) は最新のハイブリッドデータセキュリティアップグレードと互換性がありません。これにより、アプリケーションのアップグレード中に問題が発生する可能性があります。OVA ファイルの最新バージョンをダウンロードしていることを確認してください。 OVA は [ヘルプ] セクションからいつでもダウンロードできます。[設定] > [ヘルプ] > [ハイブリッドデータセキュリティソフトウェアのダウンロード] をクリックします。 OVA ファイルは自動的にダウンロードが開始されます。ファイルをマシン内に保存します。
4	オプションで、[ハイブリッドデータセキュリティ展開ガイドを参照 ] をクリックして、このガイドの最新バージョンが利用可能かどうかを確認します。

HDS 主催者に構成 ISO を作成する

ハイブリッドデータセキュリティセットアッププロセスは、ISO ファイルを作成します。その後、ISO を使用してハイブリッドデータセキュリティホストを構成します。

始める前に

HDS セットアップツールをローカルマシンの Docker コンテナとして実行します。アクセスするには、そのマシンで Docker を実行します。セットアッププロセスには、完全な管理者権限を持つパートナーハブアカウントの資格情報が必要です。

HDS セットアップツールが環境内のプロキシの背後で実行されている場合、以下のステップ 5 で Docker コンテナを起動する際に、Docker 環境変数を通してプロキシ設定 (サーバー、ポート、資格情報) を提供します。この表ではいくつかの可能な環境変数を示します。

説明	変数
認証なしの HTTP プロキシ	`グローバル_エージェント_HTTP_PROXY=http://SERVER_IP:PORT`
認証なしの HTTPS プロキシ	`グローバル_エージェント_HTTPS_PROXY=http://SERVER_IP:ポート`
認証ありの HTTP プロキシ	`グローバル_エージェント_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
認証ありの HTTPS プロキシ	`グローバル_エージェント_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

生成する構成 ISO ファイルには、PostgreSQL または Microsoft SQL Server データベースを暗号化するマスターキーが含まれています。次のような設定変更を行うときは、このファイルの最新コピーが必要です。
- データベースクレデンシャル
- 証明書の更新
- 認証ポリシーの変更
データベース接続を暗号化する場合は、TLS 用に PostgreSQL または SQL Server の展開を設定します。

1

マシンのコマンドラインで、お使い環境に適切なコマンドを入力します。

一般環境:

docker rmi ciscocitg/hds-setup:stable

FedRAMP 環境の場合:

docker rmi ciscocitg/hds-setup-fedramp:stable

このステップを実行すると、前の HDS セットアップツールの画像がクリーンアップされます。これ以前の画像がない場合は、無視できるエラーを返します。

2

Docker 画像レジストリにサインインするには、以下を入力します。

ドッカーログイン -u hdscustomersro

3

パスワードのプロンプトに対して、このハッシュを入力します。

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

4

お使い環境に合った最新の安定した画像をダウンロードします。

一般環境:

ドッカー プル ciscocitg/hds-setup:stable

FedRAMP 環境の場合:

ドッカー プル ciscocitg/hds-setup-fedramp:stable

5

プルが完了したら、お使いの環境に適切なコマンドを入力します。

プロキシなしの通常の環境の場合:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

HTTP プロキシがある通常の環境の場合、

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:ポート ciscocitg/hds-setup:stable

HTTPS プロキシがある通常の環境の場合:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:ポート ciscocitg/hds-setup:stable

プロキシなしの FedRAMP 環境の場合:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

HTTP プロキシがある FedRAMP 環境の場合:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:ポート ciscocitg/hds-setup-fedramp:stable

HTTPS プロキシがある FedRAMP 環境の場合:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:ポート ciscocitg/hds-setup-fedramp:stable

コンテナが実行中の時。「ポート 8080 で Express サーバーリスニング中」と表示されます。

6

セットアップツールは、http://localhost:8080 を介した localhost への接続をサポートしていません。http://127.0.0.1:8080 を使用して、localhost に接続します。

Web ブラウザを使用して、localhost http://127.0.0.1:8080 に移動し、プロンプトで Partner Hub の管理者ユーザー名を入力します。

ツールは、このユーザー名の最初のエントリを使用して、そのアカウントに適した環境を設定します。その後、ツールには標準のサインインプロンプトが表示されます。

7

プロンプトが表示されたら、Partner Hub 管理者のサインイン資格情報を入力し、[ログイン] をクリックして、ハイブリッドデータセキュリティに必要なサービスへのアクセスを許可します。

8

セットアップツール概要ページで、[開始] をクリックします。

9

[ISO インポート] ページで次のオプションがあります。

いいえ: 最初の HDS ノードを作成する場合、アップロードする ISO ファイルがありません。
はい: HDS ノードをすでに作成している場合は、参照で ISO ファイルを選択し、アップロードします。

10

X.509 証明書が X.509 証明書要件の要件を満たしていることを確認してください。

証明書をアップロードしたことがない場合は、X.509 証明書をアップロードし、パスワードを入力し、[続行] をクリックします。
証明書が OK の場合は、[続行] をクリックします。
証明書の有効期限が切れているか、置き換える場合は、[いいえ] を選択して、[以前の ISO の HDS 証明書チェーンと秘密キーの使用を続行しますか] を選択します。新しい X.509 証明書をアップロードし、パスワードを入力し、[続行] をクリックします。

11

HDS がキーデータストアにアクセスするためのデータベースアドレスとアカウントを入力します。

[データベースタイプ] (PostgreSQL または Microsoft SQL Server) を選択します。

[Microsoft SQL Server] を選択すると、[認証タイプ] フィールドが表示されます。
(Microsoft SQL Server のみ) 認証タイプを選択します。
- 基本認証:[ユーザー名] フィールドにローカル SQL Server アカウント名が必要です。
- Windows 認証:[ユーザー名] フィールドの username@DOMAIN の形式の Windows アカウントが必要です。
: または : の形式でデータベースサーバーアドレスを入力します。

例:
dbhost.example.org:1433 または 198.51.100.17:1433

ノードがホスト名を解決するために DNS を使用できない場合は、基本認証に IP アドレスを使用できます。

Windows 認証を使用している場合は、dbhost.example.org:1433 の形式で完全修飾ドメイン名を入力する必要があります。
データベース名を入力します。
キーストレージデータベース上のすべての権限を持つユーザーの [ユーザー名] と [パスワード] を入力します。

12

TLS データベース接続モードを選択します。

モード	説明
TLS を優先 (デフォルトオプション)	HDS ノードは、データベースサーバに接続するために TLS を必要としませんデータベースサーバで TLS を有効にすると、ノードは暗号化された接続を試行します。
TLS を要求する	データベースサーバが TLS をネゴシエートできる場合に限り、HDS ノードは接続されます。
TLS を要求し、証明書の署名者を確認する	このモードは SQL Server データベースには適用されません。データベースサーバが TLS をネゴシエートできる場合に限り、HDS ノードは接続されます。 TLS 接続を確立した後、ノードはデータベースサーバーからの証明書の署名者を、データベースルート証明書の認証局と比較します。一致しない場合、ノードにより接続が切断されます。ドロップダウンの下にあるデータベースルート証明書コントロールを使用して、このオプションのルート証明書をアップロードしてください。
TLS を要求し、証明書の署名者およびホスト名を確認する	データベースサーバが TLS をネゴシエートできる場合に限り、HDS ノードは接続されます。 TLS 接続を確立した後、ノードはデータベースサーバーからの証明書の署名者を、データベースルート証明書の認証局と比較します。一致しない場合、ノードにより接続が切断されます。また、サーバー証明書のホスト名が [データベースホストとポート ] フィールドのホスト名と一致していることを確認します。名前は正確に一致する必要があります。または、ノードが接続を切断します。ドロップダウンの下にあるデータベースルート証明書コントロールを使用して、このオプションのルート証明書をアップロードしてください。

ルート証明書 (必要な場合) をアップロードし、[続行] をクリックすると、HDS セットアップツールはデータベースサーバへの TLS 接続をテストします。また、必要に応じて、証明書の署名者とホスト名も検証されます。テストが失敗した場合、問題を説明するエラーメッセージがツールによって表示されます。エラーを無視してセットアップを続行するかどうかを選択できます。(接続の違いにより、HDS セットアップツールマシンが正常にテストできない場合でも、HDS ノードが TLS 接続を確立できる場合があります)。

13

[システムログ（System Logs）] ページで、Syslogd サーバを設定します。

syslog サーバの URL を入力します。

サーバーが HDS クラスタのノードから DNS 解決できない場合は、URL の IP アドレスを使用してください。

例:
udp://10.92.43.23:514 は、UDP ポート 514 の Syslogd ホスト 10.92.43.23 へのロギングを示します。
TLS 暗号化を使用するようにサーバーを設定する場合、[syslog サーバーは SSL 暗号化用に設定されていますか?] にチェックを入れます。

このチェックボックスをオンにした場合、tcp://10.92.43.23:514 などの TCP URL を入力していることを確認してください。
[syslog record termination の選択] ドロップダウンから、ISO ファイルに適切な設定を選択します。選択または改行は、Graylog および Rsyslog TCP に使用されます
- ヌルバイト -- \x00
- 改行 -- \n—Graylog および Rsyslog TCP に対してこの選択を選択します。
[続行] をクリックします。

14

(オプション) [詳細設定] で一部のデータベース接続パラメータのデフォルト値を変更できます。通常、このパラメータは変更したい唯一のパラメータです。

app_datasource_connection_pool_maxサイズ: 10

15

[サービスアカウントパスワードのリセット] 画面で [続行] をクリックします。

サービスアカウントパスワードの寿命は 9 か月です。パスワードの有効期限が近づいている場合、またはパスワードをリセットして以前の ISO ファイルを無効にする場合は、この画面を使用してください。

16

[ISO ファイルのダウンロード] をクリックします。見つけやすい場所にファイルを保存します。

17

ローカルシステムの ISO ファイルのバックアップコピーを作成します。

バックアップコピーを安全に保ちます。このファイルには、データベースコンテンツのマスター暗号化キーを含みます。設定変更を行う必要があるハイブリッドデータセキュリティ管理者のみにアクセスを制限します。

18

セットアップツールをシャットダウンするには、[CTRL+C] と入力します。

次に行うこと

構成 ISO ファイルをバックアップします。復元のためにもっとノードを作成するか、設定変更を行う必要があります。ISO ファイルのすべてのコピーを失ったら、マスターキーも失います。PostgreSQL または Microsoft SQL Server データベースからキーを復元することはできません。

このキーのコピーは見つかりませんでした。紛失した場合には役に立ちません。

HDS 主催者 OVA をインストールする

この手順を使用して、OVA ファイルから仮想マシンをサック制します。

1	コンピュータの VMware vSphere クライアントを使用して、ESXi 仮想主催者にログインします。
2	ファイル > OVF テンプレートを展開を選択します。
3	ウィザードで、以前ダウンロードした OVA ファイルの場所を指定し、[次へ] をクリックします。
4	[名前とフォルダの選択] ページで、ノードの [仮想マシン名] (たとえば、「HDS_Node_1」) を入力し、仮想マシンノード展開が存在できる場所を選択し、[次へ] をクリックします。
5	[計算リソースの選択] ページで、接続先の計算リソースを選択し、[次へ] をクリックします。検証チェックが実行されます。完了すると、テンプレートの詳細が表示されます。
6	テンプレートの詳細を確認し、[次へ] をクリックします。
7	[構成] ページでリソース構成を選択するように求められた場合は、[4 CPU] をクリックし、[次へ] をクリックします。
8	[ストレージの選択] ページで、[次へ] をクリックして、デフォルトのディスク形式と VM ストレージポリシーを受け入れます。
9	[ネットワークの選択] ページで、エントリのリストからネットワークオプションを選択して、VM に希望する接続を提供します。
10	[テンプレートのカスタマイズ] ページで、次のネットワーク設定を構成します。ホスト名—ノードの FQDN (ホスト名とドメイン) または単一の単語のホスト名を入力します。ドメインを設定し、X.509 証明書を取得するために使用されるドメインにマッチしません。クラウドへの登録を成功させるには、ノードに設定した FQDN またはホスト名に小文字のみを使用してください。現時点では大文字化のサポートはありません。 FQDNのトータルの長さは64文字を超えてはいけません。 IP アドレス: ノードの内部インターフェイスの IP アドレスを入力します。ノードには内部 IP アドレスと DNS 名があるはずです。DHCP はサポートされていません。マスク—サブネットマスクアドレスを小数点以下の表記で入力します。たとえば、255.255.255.0 です。ゲートウェイ—ゲートウェイの IP アドレスを入力します。ゲートウェイは、別のネットワークへのアクセスポイントとして機能するネットワークノードです。 DNS サーバー: ドメイン名から数字の IP アドレスへの変換を処理する DNS サーバーのカンマ区切りリストを入力します。（最大 4 つの DNS エントリが許可されます）。 NTP サーバー: 組織の NTP サーバーまたは組織で使用できる別の外部 NTP サーバーを入力します。デフォルトの NTP サーバは、すべての企業で機能しない場合があります。カンマ区切りリストを使用して、複数の NTP サーバを入力することもできます。同じサブネットまたは VLAN 上のすべてのノードを展開して、クラスタ内のすべてのノードが管理目的でネットワークのクライアントから到達できるようにします。必要に応じて、ネットワーク設定の構成をスキップし、「ハイブリッドデータセキュリティ VM をセットアップする」の手順に従って、ノードコンソールから設定を構成できます。 OVA 展開中にネットワーク設定を構成するオプションは、ESXi 7.0 でテストされています。このオプションは以前のバージョンでは利用できない場合があります。
11	ノード VM を右クリックし、[電源] > [電源オン] を選択します。ハイブリッドデータセキュリティソフトウェアは、VM ホストにゲストとしてインストールされます。これで、コンソールにサインインしてノードを設定する準備ができました。トラブルシューティングのヒントノードコンテナーが出てくるまでに、数分間の遅延がある場合があります。初回起動の間、ブリッジファイアウォールメッセージが、コンソールに表示され、この間はサインインできません。

ハイブリッドデータセキュリティ VM のセットアップ

ハイブリッドデータセキュリティノード VM コンソールに初めてサインインし、サインインクレデンシャルを設定するには、この手順を使用します。OVA 展開時に設定しなかった場合は、コンソールを使用してノードのネットワーク設定を構成することもできます。

1	VMware vSphere クライアントでハイブリッドデータセキュリティノード VM を選択し、[コンソール] タブを選択してください。 VM が起動し、ログインプロンプトが表示されます。ログインプロンプトが表示されない場合は、入力を押してください。
2	以下のデフォルトログインとパスワードを使用して、証明書にサインインし変更します: ログイン:`管理者` パスワード:`cisco` 初めて VM にサインインしているため、管理者パスワードを変更する必要があります。
3	[HDS ホスト OVA をインストールする] でネットワーク設定をすでに構成している場合は、この手順の残りの部分をスキップします。それ以外の場合は、メインメニューで [設定の編集] オプションを選択します。
4	性的構成を IP アドレス、Mask、Gateway、DNS 情報をセットアップします。ノードには内部 IP アドレスと DNS 名があるはずです。DHCP はサポートされていません。
5	(オプション) ネットワーク方針にマッチするための必要性に応じて、ホスト名、ドメイン、もしくはNTP サーバーを変更して下さい。ドメインを設定し、X.509 証明書を取得するために使用されるドメインにマッチしません。
6	変更が有効になるように、ネットワーク構成を保存し、VM を再起動します。

HDS 構成 ISO をアップロードしマウントする

この手順を使用して、HDS セットアップツールで作成した ISO ファイルから仮想マシンを構成します。

開始する前に

ISO ファイルはマスターキーを保持しているため、ハイブリッドデータセキュリティ VM および変更が必要な管理者がアクセスするために、「知る必要がある」ベースでのみ公開する必要があります。これらの管理者のみがデータストアにアクセスできるようにします。

1

コンピュータから ISO ファイルをダウンロードします:

VMware vSphere クライアントの左ナビゲーションペインで、ESXi サーバーをクリックします。
[構成] タブのハードウェアリストで、[保管] をクリックします。
データストアリストで、VMs のデータストアを右クリックし、[データストアの参照] をクリックします。
[ファイルのアップロード] アイコンをクリックし、[ファイルのアップロード] をクリックします。
コンピュータの ISO ファイルをダンロードする場所を参照し、[開く] をクリックします。
[はい] をクリックし、オペレーション警告のアップロード/ダウンロードに同意し、データストアダイアログを閉じます。

2

ISO ファイルのマウント:

VMware vSphere クライアントの左ナビゲーションペインで、ESXi サーバーを右クリックし、[設定の編集] をクリックします。
[OK] をクリックし、制限された編集オプションの警告に同意します。
[CD/DVD Drive 1] をクリックし、データストア ISO ファイルからマウントするオプションを選択して、構成 ISO ファイルをアップロードした場所を参照します。
[接続済み] と [電源に接続する] をチェックします。
変更を保存し、仮想マシンを再起動します。

次に行うこと

IT ポリシーが必要な場合は、すべてのノードが設定変更をピックアップした後、オプションで ISO ファイルをアンマウントできます。詳細については、「(オプション) HDS 設定後に ISO をマウント解除」を参照してください。

プロキシ統合のために HDS ノードを設定する

ネットワーク環境でプロキシが必要な場合は、この手順を使用して、ハイブリッドデータセキュリティと統合するプロキシのタイプを指定します。透過型のプロキシまたは HTTPS を明示的なプロキシを選択した場合、ノードのインターフェイスを使用してルート証明書をアップロードしてインストールすることができます。インターフェイスからプロキシ接続を確認し、潜在的な問題をトラブルシューティングすることもできます。

開始する前に

サポートされているプロキシオプションの概要については、「プロキシサポート」を参照してください。
プロキシサーバーの要件

1	HDS ノードセットアップ URL `https://[HDS Node IP or FQDN]/setup` を入力して、ノードに対して設定した管理者資格情報を入力し、[サインイン] をクリックします。
2	[信頼ストアとロキシ] に移動して、次のオプションを選択します。プロキシなし—プロキシを統合する前のデフォルトオプションです。証明書の更新は必要ありません。透明検査なしのプロキシ—ノードは特定のプロキシサーバーアドレスを使用するように設定されていないため、検査なしのプロキシで動作するように変更は必要ありません。証明書の更新は必要ありません。透過型検査プロキシ—ノードは特定のプロキシサーバーアドレスを使用するように設定されていません。ハイブリッドデータセキュリティの展開では HTTPS 構成の変更は必要ありませんが、HDS ノードはプロキシを信頼できるようにするためにルート証明書を必要とします。プロキシを検査することで、Web サイトにアクセスするか、どのタイプのコンテンツを使用するかを強制するポリシーを施行することができます。このタイプのプロキシは、すべてのトラフィック (HTTPS さえも含む) を復号化します。明示的プロキシ—明示的プロキシを使用して、使用するプロキシサーバーをクライアント (HDS ノード) に指示します。このオプションは複数の認証タイプをサポートします。このオプションを選択した後、次の情報を入力する必要があります。プロキシ IP/FQDN—プロキシマシンに到達するために使用できるアドレス。プロキシポート: プロキシがプロキシトラフィックをリッスンするために使用するポート番号。プロキシプロトコル—http (クライアントから受信したすべての要求を表示およびコントロール) または https (サーバーにチャネルを提供し、クライアントがサーバーの証明書を受信して検証します) を選択します。プロキシサーバーがサポートするオプションを選択します。認証タイプ: 次の認証タイプから選択します。なし: 追加の認証は必要ありません。 HTTP または HTTPS プロキシで利用できます。ベーシック—HTTP ユーザーエージェントがリクエストを行う際にユーザー名とパスワードを指定するために使用されます。Base64 エンコードを使用します。 HTTP または HTTPS プロキシで利用できます。このオプションを選択した場合は、ユーザー名とパスワードも入力する必要があります。ダイジェスト: 機密情報を送信する前にアカウントを確認するために使用されます。ネットワークを経由して送信する前に、ユーザー名およびパスワードにハッシュ機能を適用します。 HTTPS プロキシに対してのみ利用できます。このオプションを選択した場合は、ユーザー名とパスワードも入力する必要があります。透過型検査プロキシ、基本認証を持つ HTTP 明示プロキシ、または HTTPS 明示プロキシについては、次のステップに従ってください。
3	[ルート証明書またはエンティティ終了証明書のアップロード] をクリックし、プロキシのルート証明書を選択するために移動します。証明書はアップロードされていますが、まだインストールされていません。証明書をインストールするにはノードを再起動する必要があります。証明書発行者名の山形矢印をクリックして詳細を確認するか、間違っている場合は [削除] をクリックして、ファイルを再度アップロードしてください。
4	[プロキシ接続を確認する] をクリックして、ノードとプロキシ間のネットワーク接続性をテストします。接続テストが失敗した場合は、エラーメッセージが表示され、問題を解決するための理由と方法が示されます。外部 DNS の解決が正常に行われなかったという内容のメッセージが表示された場合、ノードが DNS サーバーに到達できなかったことを示しています。この状況は、多くの明示的なプロキシ構成で想定されています。セットアップを続行すると、ノードは外部 DNS 解決ブロックモードで機能します。これがエラーだと思われる場合は、これらの手順を完了し、「ブロックされた外部 DNS 解決モードをオフにする」を参照してください。
5	接続テストが成功した後、明示的なプロキシについては https のみに設定し、このノードからのすべてのポートの 443/444 https 要求を明示的プロキシを通してルーティングするように切り替えます。この設定を有効にするには 15 秒かかります。
6	[すべての証明書を信頼ストアにインストールする(HTTPS 明示プロキシまたは透過型のプロキシで表示される)] または [再起動] をクリックして、プロンプトを読み、準備が完了したら [インストール] をクリックします。ノードが数分以内に再起動されます。
7	ノードが再起動したら、必要に応じて再度サインインして、[概要] ページを開き、接続チェックを確認してすべて緑色のステータスになっていることを確認します。プロキシ接続の確認は webex.com のサブドメインのみをテストします。接続の問題がある場合、インストール手順に記載されているクラウドドメインの一部がプロキシでブロックされているという問題がよく見られます。

クラスタ内の最初のノードを登録

このタスクは、「ハイブリッドデータセキュリティ VM のセットアップ」で作成した汎用ノードを取り、ノードを Webex クラウドに登録し、ハイブリッドデータセキュリティノードに変換します。

最初のノードを登録するとき、クラスターをノードが指定されている場所に作成します。クラスターには展開された 1 つ上のノードを含み、冗長性を提供します。

開始する前に

一旦ノードの登録を開始すると、60 分以内に完了する必要があり、そうでなければ、再び最初からやり直しになります。
ブラウザのポップアップブロッカーが無効になっているか、admin.webex.com の例外を許可していることを確認してください。

1	https://admin.webex.comにサインインします。
2	スクリーンの左側にあるメニューからサービスを選択します。
3	[クラウドサービス] セクションで、ハイブリッドデータセキュリティカードを見つけ、[セットアップ] をクリックします。
4	開いたページで、[リソースの追加] をクリックします。
5	[ノードを追加] カードの最初のフィールドで、ハイブリッドデータセキュリティノードを割り当てるクラスタの名前を入力します。クラスターのノードが地理的にどこに配置されているかに基づきクラスターに名前を付けることをお薦めします。例:「サンフランシスコ」または「ニューヨーク」または「ダラス」
6	2 番目のフィールドに、ノードの内部 IP アドレスまたは完全修飾ドメイン名 (FQDN) を入力し、画面下部にある [追加] をクリックします。この IP アドレスまたは FQDN は、「ハイブリッドデータセキュリティ VM をセットアップする」で使用した IP アドレスまたはホスト名とドメインと一致する必要があります。ノードを Webex に登録できることを示すメッセージが表示されます。
7	[ノードに進む] をクリックします。しばらくすると、Webex サービスのノード接続テストにリダイレクトされます。すべてのテストが成功した場合、[ハイブリッドデータセキュリティノードへのアクセスを許可する] ページが表示されます。そこでは、ノードにアクセスする権限を Webex 組織に付与することを確認します。
8	[ハイブリッドデータセキュリティノードへのアクセスを許可する] チェックボックスをチェックし、[続行] をクリックします。アカウントが検証され、「登録完了」メッセージは、ノードが Webex クラウドに登録されていることを示します。
9	リンクをクリックするか、タブを閉じて、Partner Hub ハイブリッドデータセキュリティページに戻ります。 [ハイブリッドデータセキュリティ] ページで、登録したノードを含む新しいクラスタが [リソース] タブの下に表示されます。ノードは自動的にクラウドから最新ソフトウェアをダウンロードします。

他のノードを作成して登録

追加ノードをクラスターに追加するには、追加 VMs を作成し、同じ構成 ISO ファイルをマウントし、ノードを登録します。最低 3 個のノードを持つことを推奨します。

開始する前に

一旦ノードの登録を開始すると、60 分以内に完了する必要があり、そうでなければ、再び最初からやり直しになります。
ブラウザのポップアップブロッカーが無効になっているか、admin.webex.com の例外を許可していることを確認してください。

1	OVA から新しい仮想マシンを作成し、「HDS ホスト OVA をインストールする」の手順を繰り返します。
2	新しい VM で初期設定をセットアップし、「ハイブリッドデータセキュリティ VM のセットアップ」の手順を繰り返します。
3	新しい VM で、「HDS 構成 ISO をアップロードおよびマウントする」の手順を繰り返します。
4	展開用にプロキシを設定している場合は、新しいノードで「プロキシ統合のために HDS ノードを構成する」の手順を繰り返します。
5	ノードを登録します。 https://admin.webex.com で、[サービス] をスクリーンの左側にあるメニューから選択します。 [クラウドサービス] セクションで、ハイブリッドデータセキュリティカードを見つけ、[すべて表示] をクリックします。 [ハイブリッドデータセキュリティリソース] ページが表示されます。新しく作成されたクラスターが [リソース ] ページに表示されます。クラスタをクリックすると、クラスタに割り当てられたノードが表示されます。画面の右側にある [ノードの追加] をクリックします。ノードの内部 IP アドレスまたは完全修飾ドメイン名 (FQDN) を入力し、[追加] をクリックします。ページが開き、ノードを Webex クラウドに登録できることを示すメッセージが表示されます。しばらくすると、Webex サービスのノード接続テストにリダイレクトされます。すべてのテストが成功した場合、[ハイブリッドデータセキュリティノードへのアクセスを許可する] ページが表示されます。そこで、組織にノードにアクセスする権限を付与することを確認します。 [ハイブリッドデータセキュリティノードへのアクセスを許可する] チェックボックスをチェックし、[続行] をクリックします。アカウントが検証され、「登録完了」メッセージは、ノードが Webex クラウドに登録されていることを示します。リンクをクリックするか、タブを閉じて、Partner Hub ハイブリッドデータセキュリティページに戻ります。ノードが追加されましたポップアップメッセージは、Partner Hub の画面下部にも表示されます。ノードが登録されています。

マルチテナントのハイブリッドデータセキュリティでテナント組織を管理する

Partner Hub でマルチテナント HDS をアクティブにする

このタスクにより、顧客組織のすべてのユーザーがオンプレミスの暗号化キーやその他のセキュリティサービスに HDS を活用できるようになります。

開始する前に

必要なノード数を持つマルチテナント HDS クラスタのセットアップが完了していることを確認します。

1	https://admin.webex.comにサインインします。
2	スクリーンの左側にあるメニューからサービスを選択します。
3	[クラウドサービス] セクションで、ハイブリッドデータセキュリティを見つけ、[設定の編集] をクリックします。
4	[HDS ステータス] カードで [HDS を有効にする] をクリックします。

Partner Hub でテナント組織を追加

このタスクでは、顧客組織をハイブリッドデータセキュリティクラスタに割り当てます。

1	https://admin.webex.comにサインインします。
2	スクリーンの左側にあるメニューからサービスを選択します。
3	[クラウドサービス] セクションで、ハイブリッドデータセキュリティを見つけ、[すべて表示] をクリックします。
4	顧客を割り当てるクラスタをクリックします。
5	[割り当てられた顧客] タブに移動します。
6	[顧客の追加] をクリックします。
7	ドロップダウンメニューから追加する顧客を選択します。
8	[追加] をクリックすると、顧客がクラスタに追加されます。
9	複数の顧客をクラスタに追加するには、手順 6 ～ 8 を繰り返します。
10	顧客を追加したら、画面下部にある [完了] をクリックします。

次に行うこと

「HDS セットアップツールを使用してカスタマーメインキー (CMK) を作成する」で詳しく説明されている HDS セットアップツールを実行し、セットアッププロセスを完了します。

HDS セットアップツールを使用してカスタマーメインキー (CMK) を作成する

開始する前に

「Partner Hub でテナント組織を追加する」の詳細に従って、適切なクラスターに顧客を割り当てます。HDS セットアップツールを実行して、新しく追加された顧客組織のセットアッププロセスを完了します。

HDS セットアップツールをローカルマシンの Docker コンテナとして実行します。アクセスするには、そのマシンで Docker を実行します。セットアッププロセスには、組織のフル管理者権限を持つパートナーハブアカウントの資格情報が必要です。

HDS セットアップツールが環境内のプロキシの背後で実行されている場合、ステップ 5 で Docker コンテナを起動する際に、Docker 環境変数を通してプロキシ設定 (サーバー、ポート、資格情報) を提供します。この表ではいくつかの可能な環境変数を示します。

説明	変数
認証なしの HTTP プロキシ	`グローバル_エージェント_HTTP_PROXY=http://SERVER_IP:PORT`
認証なしの HTTPS プロキシ	`グローバル_エージェント_HTTPS_PROXY=http://SERVER_IP:ポート`
認証ありの HTTP プロキシ	`グローバル_エージェント_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
認証ありの HTTPS プロキシ	`グローバル_エージェント_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

生成する構成 ISO ファイルには、PostgreSQL または Microsoft SQL Server データベースを暗号化するマスターキーが含まれています。次のような設定変更を行うときは、このファイルの最新コピーが必要です。
- データベースクレデンシャル
- 証明書の更新
- 認証ポリシーの変更
データベース接続を暗号化する場合は、TLS 用に PostgreSQL または SQL Server の展開を設定します。

ハイブリッドデータセキュリティセットアッププロセスは、ISO ファイルを作成します。その後、ISO を使用してハイブリッドデータセキュリティホストを構成します。

1	マシンのコマンドラインで、お使い環境に適切なコマンドを入力します。一般環境: `docker rmi ciscocitg/hds-setup:stable` FedRAMP 環境の場合: `docker rmi ciscocitg/hds-setup-fedramp:stable` このステップを実行すると、前の HDS セットアップツールの画像がクリーンアップされます。これ以前の画像がない場合は、無視できるエラーを返します。
2	Docker 画像レジストリにサインインするには、以下を入力します。 `ドッカーログイン -u hdscustomersro`
3	パスワードのプロンプトに対して、このハッシュを入力します。 `dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo`
4	お使い環境に合った最新の安定した画像をダウンロードします。一般環境: `ドッカープル ciscocitg/hds-setup:stable` FedRAMP 環境の場合: `ドッカープル ciscocitg/hds-setup-fedramp:stable`
5	プルが完了したら、お使いの環境に適切なコマンドを入力します。プロキシなしの通常の環境の場合: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable` HTTP プロキシがある通常の環境の場合、 `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:ポート ciscocitg/hds-setup:stable` HTTPS プロキシがある通常の環境の場合: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:ポート ciscocitg/hds-setup:stable` プロキシなしの FedRAMP 環境の場合: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable` HTTP プロキシがある FedRAMP 環境の場合: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:ポート ciscocitg/hds-setup-fedramp:stable` HTTPS プロキシがある FedRAMP 環境の場合: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:ポート ciscocitg/hds-setup-fedramp:stable` コンテナが実行中の時。「ポート 8080 で Express サーバーリスニング中」と表示されます。
6	セットアップツールは、http://localhost:8080 を介した localhost への接続をサポートしていません。http://127.0.0.1:8080 を使用して、localhost に接続します。 Web ブラウザを使用して、localhost `http://127.0.0.1:8080` に移動し、プロンプトで Partner Hub の管理者ユーザー名を入力します。ツールは、このユーザー名の最初のエントリを使用して、そのアカウントに適した環境を設定します。その後、ツールには標準のサインインプロンプトが表示されます。
7	プロンプトが表示されたら、Partner Hub 管理者のサインイン資格情報を入力し、[ログイン] をクリックして、ハイブリッドデータセキュリティに必要なサービスへのアクセスを許可します。
8	セットアップツール概要ページで、[開始] をクリックします。
9	[ISO インポート] ページで、[はい] をクリックします。
10	ブラウザで ISO ファイルを選択してアップロードします。 CMK 管理を実行するには、データベースへの接続を確認します。
11	[テナント CMK 管理] タブに進み、テナント CMK を管理する次の 3 つの方法を確認します。すべての組織に対して CMK を作成または CMK を作成 - 画面上部のバナーでこのボタンをクリックすると、新しく追加されたすべての組織に対して CMK が作成されます。画面の右側にある [CMK の管理] ボタンをクリックし、[CMK の作成] をクリックして、新しく追加されたすべての組織に対して CMK を作成します。テーブル内の特定の組織の CMK 管理保留ステータスの近くにある […] をクリックし、[CMK の作成] をクリックして、その組織の CMK を作成します。
12	CMK の作成が成功すると、テーブルのステータスは CMK 管理保留中から CMK 管理に変更されます。
13	CMK の作成に失敗した場合は、エラーが表示されます。

テナント組織を削除

開始する前に

削除すると、顧客組織のユーザーは暗号化ニーズに HDS を利用できなくなり、既存のスペースはすべて失われます。顧客の組織を削除する前に、Cisco パートナーまたはアカウントマネージャーに連絡してください。

1	https://admin.webex.comにサインインします。
2	スクリーンの左側にあるメニューからサービスを選択します。
3	[クラウドサービス] セクションで、ハイブリッドデータセキュリティを見つけ、[すべて表示] をクリックします。
4	[リソース] タブで、顧客組織を削除するクラスタをクリックします。
5	開いたページで、[割り当てられた顧客] をクリックします。
6	表示される顧客組織のリストから、削除する顧客組織の右側にある ... をクリックし、[クラスターから削除] をクリックします。

次に行うこと

「HDS から削除されたテナントの CMK を取り消す」に記載されているように、顧客組織の CMK を取り消して、削除プロセスを完了します。

HDS から削除されたテナントの CMK を取り消します。

開始する前に

「テナント組織の削除」の詳細に従って、適切なクラスタから顧客を削除します。HDS セットアップツールを実行して、削除された顧客組織の削除プロセスを完了します。

HDS セットアップツールをローカルマシンの Docker コンテナとして実行します。アクセスするには、そのマシンで Docker を実行します。セットアッププロセスには、組織のフル管理者権限を持つパートナーハブアカウントの資格情報が必要です。

HDS セットアップツールが環境内のプロキシの背後で実行されている場合、ステップ 5 で Docker コンテナを起動する際に、Docker 環境変数を通してプロキシ設定 (サーバー、ポート、資格情報) を提供します。この表ではいくつかの可能な環境変数を示します。

説明	変数
認証なしの HTTP プロキシ	`グローバル_エージェント_HTTP_PROXY=http://SERVER_IP:PORT`
認証なしの HTTPS プロキシ	`グローバル_エージェント_HTTPS_PROXY=http://SERVER_IP:ポート`
認証ありの HTTP プロキシ	`グローバル_エージェント_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
認証ありの HTTPS プロキシ	`グローバル_エージェント_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

生成する構成 ISO ファイルには、PostgreSQL または Microsoft SQL Server データベースを暗号化するマスターキーが含まれています。次のような設定変更を行うときは、このファイルの最新コピーが必要です。
- データベースクレデンシャル
- 証明書の更新
- 認証ポリシーの変更
データベース接続を暗号化する場合は、TLS 用に PostgreSQL または SQL Server の展開を設定します。

ハイブリッドデータセキュリティセットアッププロセスは、ISO ファイルを作成します。その後、ISO を使用してハイブリッドデータセキュリティホストを構成します。

1	マシンのコマンドラインで、お使い環境に適切なコマンドを入力します。一般環境: `docker rmi ciscocitg/hds-setup:stable` FedRAMP 環境の場合: `docker rmi ciscocitg/hds-setup-fedramp:stable` このステップを実行すると、前の HDS セットアップツールの画像がクリーンアップされます。これ以前の画像がない場合は、無視できるエラーを返します。
2	Docker 画像レジストリにサインインするには、以下を入力します。 `ドッカーログイン -u hdscustomersro`
3	パスワードのプロンプトに対して、このハッシュを入力します。 `dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo`
4	お使い環境に合った最新の安定した画像をダウンロードします。一般環境: `ドッカープル ciscocitg/hds-setup:stable` FedRAMP 環境の場合: `ドッカープル ciscocitg/hds-setup-fedramp:stable`
5	プルが完了したら、お使いの環境に適切なコマンドを入力します。プロキシなしの通常の環境の場合: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable` HTTP プロキシがある通常の環境の場合、 `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:ポート ciscocitg/hds-setup:stable` HTTPS プロキシがある通常の環境の場合: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:ポート ciscocitg/hds-setup:stable` プロキシなしの FedRAMP 環境の場合: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable` HTTP プロキシがある FedRAMP 環境の場合: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:ポート ciscocitg/hds-setup-fedramp:stable` HTTPS プロキシがある FedRAMP 環境の場合: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:ポート ciscocitg/hds-setup-fedramp:stable` コンテナが実行中の時。「ポート 8080 で Express サーバーリスニング中」と表示されます。
6	セットアップツールは、http://localhost:8080 を介した localhost への接続をサポートしていません。http://127.0.0.1:8080 を使用して、localhost に接続します。 Web ブラウザを使用して、localhost `http://127.0.0.1:8080` に移動し、プロンプトで Partner Hub の管理者ユーザー名を入力します。ツールは、このユーザー名の最初のエントリを使用して、そのアカウントに適した環境を設定します。その後、ツールには標準のサインインプロンプトが表示されます。
7	プロンプトが表示されたら、Partner Hub 管理者のサインイン資格情報を入力し、[ログイン] をクリックして、ハイブリッドデータセキュリティに必要なサービスへのアクセスを許可します。
8	セットアップツール概要ページで、[開始] をクリックします。
9	[ISO インポート] ページで、[はい] をクリックします。
10	ブラウザで ISO ファイルを選択してアップロードします。
11	[テナント CMK 管理] タブに進み、テナント CMK を管理する次の 3 つの方法を確認します。すべての組織に対して CMK を取り消すまたは CMK を取り消す - 画面上部のバナーでこのボタンをクリックすると、削除されたすべての組織の CMK が取り消されます。画面の右側にある [CMK の管理] ボタンをクリックし、[CMK の取り消し] をクリックして、削除されたすべての組織の CMK を取り消します。テーブル内の特定の組織の [CMK を取り消す] ステータス近くの [CMK を取り消す] をクリックし、[CMK を取り消す] をクリックして、その特定の組織の CMK を取り消します。
12	CMK の取り消しが成功すると、顧客組織はテーブルに表示されなくなります。
13	CMK 失効が失敗した場合、エラーが表示されます。

ハイブリッドデータセキュリティの展開をテスト

ハイブリッドデータセキュリティ展開

この手順を使用して、マルチテナントのハイブリッドデータセキュリティ暗号化のシナリオをテストします。

開始する前に

マルチテナントのハイブリッドデータセキュリティの展開をセットアップします。
syslog にアクセスして、重要な要求がマルチテナントハイブリッドデータセキュリティ展開に渡されていることを確認します。

1

与えられたスペースのキーは、スペースの作成者により設定されます。顧客組織のユーザーの 1 人として Webex アプリにサインインし、スペースを作成します。

ハイブリッドデータセキュリティ展開を非アクティブにすると、クライアントのキャッシュされた暗号化キーのコピーが置き換えられると、ユーザーが作成したスペースのコンテンツにアクセスできなくなります。

2

メッセージを新しいスペースに送信します。

3

syslog 出力をチェックして、重要な要求がハイブリッドデータセキュリティ展開に渡されていることを確認します。

ユーザーが最初に KMS に対してセキュアなチャネルを確立していることを確認するには、kms.data.method=create および kms.data.type=EPHEMERAL_KEY_コレクション でフィルタリングします。

次のようなエントリ (読みやすくするために識別子が省略されます) を見つける必要があります。:

2020-07-21 17:35:34.562 (+0000) 情報 KMS [pool-14-thread-1] - [KMS:REQUEST] を受信、deviceId:https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

KMS から既存のキーをリクエストしているユーザーを確認するには、kms.data.method=retrieve および kms.data.type=KEY でフィルタリングします。

以下のエントリーを見つける必要があります。

2020-07-21 17:44:19.889 (+0000) 情報 KMS [pool-14-thread-31] - [KMS:REQUEST] 受信、deviceId:https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

新しい KMS キーの作成を要求しているユーザーを確認するには、kms.data.method=create および kms.data.type=KEY_COLLECTION でフィルタリングします。

以下のエントリーを見つける必要があります。

2020-07-21 17:44:21.975 (+0000) 情報 KMS [pool-14-thread-33] - [KMS:REQUEST] を受信、deviceId:https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

スペースまたはその他の保護されたリソースが作成されたときに、新しい KMS リソースオブジェクト (KRO) の作成を要求するユーザーを確認するには、kms.data.method=create および kms.data.type=RESOURCE_COLLECTION でフィルタリングします。

以下のエントリーを見つける必要があります。

2020-07-21 17:44:22.808 (+0000) 情報 KMS [pool-15-thread-1] - [KMS:REQUEST] を受信、deviceId:https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

ハイブリッドデータセキュリティの正常性のモニター

Partner Hub 内のステータスインジケータは、マルチテナントハイブリッドデータセキュリティの展開にすべて適合しているかどうかを示します。事前のアラートについては、メール通知にサインアップします。サービスに影響するアラームやソフトウェアアップグレードがある場合は通知されます。

1	[パートナーハブ] で、画面の左側にあるメニューから [サービス] を選択します。
2	[クラウドサービス] セクションで、ハイブリッドデータセキュリティを見つけ、 [設定の編集] をクリックします。ハイブリッドデータセキュリティ設定のページが表示されます。
3	[メール通知] セクションで、カンマ区切りで 1 つ以上のメールアドレスを入力し、[Enter] を推します。

HDS 展開を管理します

HDS 展開の管理

ここで説明されているタスクを使用して、ハイブリッドデータセキュリティの展開を管理します。

クラスターのアップグレードスケジュール

ハイブリッドデータセキュリティのソフトウェアアップグレードはクラスタレベルで自動的に実行されるため、すべてのノードが常に同じソフトウェアバージョンを実行していることを保証します。アップグレードは、クラスターのアップグレードのスケジュールに従って行われます。ソフトウェアのアップグレードが可能になると、スケジュールされているアップグレードの時間の前に手動でクラスターのアップグレードを行うことも可能になります。特定のアップグレードのスケジュールを設定するか、毎日午前 3 時 (アメリカ合衆国) に行うというデフォルトのスケジュールも利用可能です。アメリカ/ロサンゼルス必要であれば、次に予定されているアップグレードを延期することも可能です。

アップグレードのスケジュールを設定するには、次の操作を行います。

1	Partner Hub にサインインします。
2	スクリーンの左側にあるメニューからサービスを選択します。
3	[クラウドサービス] セクションで、ハイブリッドデータセキュリティを見つけ、[セットアップ] をクリックします。
4	[ハイブリッドデータセキュリティリソース] ページで、クラスタを選択します。
5	[クラスター設定] タブをクリックします。
6	[クラスタ設定（Cluster Settings）] ページの [アップグレードスケジュール（Upgrade Schedule）] で、アップグレードスケジュールの時間とタイムゾーンを選択します。注意: タイムゾーンの下に、次に可能なアップグレードの日時が表示されます。必要に応じて、[24 時間延期する] をクリックして、アップグレードを翌日に延期することができます。

ノードの構成を変更する

場合により、以下のような理由でハイブリッドデータセキュリティノードの構成の変更が必要な場合があります。

有効期限が切れる、または他の理由による、x.509 証明書の変更。

証明書の CN ドメイン名の変更はサポートされていません。ドメインは、クラスターを登録するために使用される元のドメインと一致する必要があります。
データベース設定を更新して、PostgreSQL または Microsoft SQL Server データベースのレプリカを変更します。

PostgreSQL から Microsoft SQL Server への、またはその逆へのデータ移行はサポートしていません。データベース環境を切り替えるには、ハイブリッドデータセキュリティの新しい展開を開始します。
新しい構成を作成して新しいデータセンターの準備をする。

また、セキュリティ上の理由により、ハイブリッドデータセキュリティは 9 か月間使用可能なサービスアカウントパスワードを使用します。HDS セットアップツールがこれらのパスワードを生成した後で、ISO 構成ファイルの各 HDS ノードに展開します。組織のパスワードの有効期限切れが近い場合、Webex チームから「パスワード期限切れ通知」を受け取り、マシンアカウントのパスワードのリセットを求められます。(メールにはテキスト「マシンアカウント API を使用してパスワードを更新します」を含みます。) パスワードの有効期限が切れるまで時間が十分にある場合、ツールには次の 2 つのオプションがあります:

ソフトリセット: 古いパスワードと新しいパスワードの両方が最大 10 日間有効です。この期間を使用して、ノードの ISO ファイルを段階的に置き換えることができます。
ハードリセット: 古いパスワードがすぐに機能しなくなります。

パスワードをリセットせずに期限切れになる場合、HDS サービスに影響を与える可能性があります。すぐにハードリセットし、すべてのノードの ISO ファイルを置換する必要があります。

この手順を使用して、新しい構成 ISO ファイルを生成し、クラスターに適用します。

始める前に

HDS セットアップツールをローカルマシンの Docker コンテナとして実行します。アクセスするには、そのマシンで Docker を実行します。セットアッププロセスには、パートナーのフル管理者権限を持つ Partner Hub アカウントの資格情報が必要です。

HDS セットアップツールが環境内のプロキシの背後で実行されている場合、1.e で Docker コンテナを起動する際に、Docker 環境変数を通してプロキシ設定 (サーバー、ポート、資格情報) を提供します。この表ではいくつかの可能な環境変数を示します。

説明	変数
認証なしの HTTP プロキシ	`グローバル_エージェント_HTTP_PROXY=http://SERVER_IP:PORT`
認証なしの HTTPS プロキシ	`グローバル_エージェント_HTTPS_PROXY=http://SERVER_IP:ポート`
認証ありの HTTP プロキシ	`グローバル_エージェント_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
認証ありの HTTPS プロキシ	`グローバル_エージェント_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

新しい構成を生成するには、現在の構成 ISO ファイルのコピーが必要です。ISO には PostgreSQL または Microsoft SQL Server データベースを暗号化するマスターキーを含むです。データベースの証明書、証明書の更新、認証方針への変更を含む、構成の変更を行った場合は ISO が必要です。

1	ローカルマシンで Docker を使用し、HDS セットアップツールを実行します。マシンのコマンドラインで、お使い環境に適切なコマンドを入力します。一般環境: `docker rmi ciscocitg/hds-setup:stable` FedRAMP 環境の場合: `docker rmi ciscocitg/hds-setup-fedramp:stable` このステップを実行すると、前の HDS セットアップツールの画像がクリーンアップされます。これ以前の画像がない場合は、無視できるエラーを返します。 Docker 画像レジストリにサインインするには、以下を入力します。 `ドッカーログイン -u hdscustomersro` パスワードのプロンプトに対して、このハッシュを入力します。 `dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo` お使い環境に合った最新の安定した画像をダウンロードします。一般環境: `ドッカープル ciscocitg/hds-setup:stable` FedRAMP 環境の場合: `ドッカープル ciscocitg/hds-setup-fedramp:stable` この手順に最新のセットアップツールをプルしていることを確認します。2018 年 2 月 22 日より前に作成されたツールのバージョンには、パスワードリセット画面が表示されません。プルが完了したら、お使いの環境に適切なコマンドを入力します。プロキシなしの通常の環境の場合: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable` HTTP プロキシがある通常の環境の場合、 `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:ポート ciscocitg/hds-setup:stable` HTTPS プロキシがある通常の環境の場合: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:ポート ciscocitg/hds-setup:stable` プロキシなしの FedRAMP 環境の場合: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable` HTTP プロキシがある FedRAMP 環境の場合: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:ポート ciscocitg/hds-setup-fedramp:stable` HTTPS プロキシがある FedRAMP 環境の場合: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:ポート ciscocitg/hds-setup-fedramp:stable` コンテナが実行中の時。「ポート 8080 で Express サーバーリスニング中」と表示されます。ブラウザを使用して、ローカルホスト `http://127.0.0.1:8080` に接続します。セットアップツールは、http://localhost:8080 を介した localhost への接続をサポートしていません。http://127.0.0.1:8080 を使用して、localhost に接続します。プロンプトが表示されたら、Partner Hub の顧客サインイン情報を入力し、[承認] をクリックして続行します。現在の構成 ISO ファイルをインポートします。指示に従い、ツールを完了し、更新されたファイルをダウンロードします。セットアップツールをシャットダウンするには、[`CTRL+C`] と入力します。別のデータセンターで、更新されたファイルのバックアップコピーを作成します。
2	実行中の HDS ノードが 1 つしかない場合、新しいハイブリッドデータセキュリティノード VM を作成し、新しい構成 ISO ファイルを使用して登録します。詳細については、「さらにノードを作成して登録する」を参照してください。 HDS 主催者 OVA をインストールします。 HDS VM をセットアップします。更新された構成ファイルをマウントします。 Partner Hub で新しいノードを登録します。
3	古い構成ファイルを実行している既存の HDS ノードの場合、ISO ファイルをマウントします。各ノードで以下の手順を実行し、次のノードをオフにする前に、各ノードを更新します。仮想マシンをオフにします。 VMware vSphere クライアントの左ナビゲーションペインで、ESXi サーバーを右クリックし、[設定の編集] をクリックします。 [`CD/DVD Drive 1`] をクリックし、ISO ファイルからマウントするオプションを選択して、新規構成 ISO ファイルをダウンロードした場所を参照します。 [電源に接続する] をチェックします。変更を保存し、仮想マシンを起動します。
4	ステップ 3 を繰り返し、古い構成ファイルを実行している残りの各ノードで構成を置き換えます。

外部 DNS 解決ブロックモードをオフにする

ノードを登録するか、またはノードのプロキシ構成を確認するとき、プロセスは DNS 検索と Cisco Webex クラウドへの接続をテストします。ノードの DNS サーバーがパブリック DNS 名を解決できない場合、ノードは自動的に外部 DNS 解決ブロックモードに進みます。

ノードが内部 DNS サーバーを通してパブリック DNS 名を解決できる場合、各ノードでプロキシ接続テストを再実行することで、このモードをオフにすることができます。

開始する前に

内部 DNS サーバーがパブリック DNS 名を解決でき、ノードがそれらと通信できることを確認します。

1	Web ブラウザで、ハイブリッドデータセキュリティノードインターフェイス (IP アドレス/セットアップ、例: https://192.0.2.0/setup), ノードに設定した管理者資格情報を入力し、サインイン。
2	[概要] (デフォルトページ) に移動します。有効になっている場合、 [外部 DNS 解決ブロック] は [はい] に設定されています。
3	[信頼ストアとプロキシ] ページに移動します。
4	[プロキシ接続を確認する] をクリックします。外部 DNS の解決が正常に行われなかったという内容のメッセージが表示された場合、ノードが DNS サーバーに到達できなかったことを示しており、このモードに留まっています。そうでない場合には、ノードを再起動して[概要] ページに戻ると、[外部 DNS 解決ブロック] は [いいえ] に設定されるはずです。

次に行うこと

ハイブリッドデータセキュリティクラスターの各ノードで、プロキシ接続テストを繰り返します。

ノードの削除

この手順を使用して、Webex クラウドからハイブリッドデータセキュリティノードを削除します。クラスタからノードを削除した後、仮想マシンを削除して、セキュリティデータへのさらなるアクセスを防止します。

1

コンピュータの VMware vSphere クライアントを使用して、ESXi 仮想主催者にログインし、仮想マシンをオフにします。

2

ノードの削除:

Partner Hub にサインインし、[サービス] を選択します。
ハイブリッドデータセキュリティカードで、[すべて表示] をクリックして、ハイブリッドデータセキュリティリソースページを表示します。
クラスタを選択して [概要] パネルを表示します。
削除するノードをクリックします。
右に表示されるパネルで、[このノードの登録解除] をクリックします。
ノードの右側にある […] をクリックして、[このノードを削除] を選択することで、ノードの登録を解除することもできます。

3

vSphere クライアントで、VM を削除します。(左側のナビゲーションペインで、VM を右クリックし、[削除] をクリックします。)

VM を削除しない場合は、構成 ISO ファイルをアンマウントすることを忘れないでください。ISO ファイルがないと、VM を使用してセキュリティデータにアクセスすることはできません。

スタンバイデータセンターを使用した災害復旧

ハイブリッドデータセキュリティクラスターが提供する最も重要なサービスは、Webex クラウドに保存されたメッセージやその他のコンテンツを暗号化するために使用されるキーの作成と保存です。ハイブリッドデータセキュリティに割り当てられている組織内の各ユーザーについて、新しいキー作成リクエストはクラスタにルーティングされます。カンバセーションスペースのメンバーなど、受け取りの認可を得ているユーザーに、作成されるキーを戻す責任がクラスターにはあります。

クラスタープラットフォームはこれらのキーを提供するにあたり重要な機能となるため、クラスターが実行中のままで、適切なバックアップが維持されている必要があります。ハイブリッドデータセキュリティデータベースまたはスキーマに使用される構成 ISO の損失により、顧客コンテンツは回復不能になります。損失などを防ぐためには、以下のプラクティスが必須です:

災害により、プライマリデータセンターの HDS 展開が利用できなくなる場合は、次の手順に従って、スタンバイデータセンターに手動でフェールオーバーします。

開始する前に

「ノードを削除」に記載されているように、Partner Hub からすべてのノードを登録解除します。以前にアクティブであったクラスタのノードに対して設定された最新の ISO ファイルを使用して、以下に示すフェールオーバー手順を実行します。

1	HDS セットアップツールを開始し、「HDS ホストの構成 ISO を作成する」に記載されている手順に従います。
2	設定プロセスを完了し、見つけやすい場所に ISO ファイルを保存します。
3	ローカルシステムの ISO ファイルのバックアップコピーを作成します。バックアップコピーを安全に保ちます。このファイルには、データベースコンテンツのマスター暗号化キーを含みます。設定変更を行う必要があるハイブリッドデータセキュリティ管理者のみにアクセスを制限します。
4	VMware vSphere クライアントの左ナビゲーションペインで、ESXi サーバーを右クリックし、[設定の編集] をクリックします。
5	[設定の編集] > [CD/DVD ドライブ 1] をクリックし、データストア ISO ファイルを選択します。ノードの開始後に更新された構成変更が有効になるように、[接続済み] と [電源で接続] がオンになっていることを確認します。
6	HDS ノードの電源をオンにし、少なくとも 15 分間アラームがないことを確認します。
7	Partner Hub でノードを登録します。「クラスタの最初のノードを登録する」を参照してください。
8	スタンバイデータセンター内のすべてのノードに対してこのプロセスを繰り返します。

次に行うこと

フェールオーバー後、プライマリデータセンターが再びアクティブになった場合は、スタンバイデータセンターのノードを登録解除し、前述のように ISO の設定とプライマリデータセンターのノードを登録するプロセスを繰り返します。

(オプション) HDS 設定後に ISO を取り外す

標準 HDS 設定は、ISO がマウントされた状態で実行されます。ただし、ISO ファイルを継続的にマウントすることを希望する顧客もあります。すべての HDS ノードが新しい設定を取得すると、ISO ファイルをマウント解除できます。

設定変更を行うには、引き続き ISO ファイルを使用します。新しい ISO を作成するか、セットアップツールから ISO を更新する場合は、更新された ISO をすべての HDS ノードにマウントする必要があります。すべてのノードが設定変更をピックアップしたら、この手順で ISO をアンマウントできます。

開始する前に

すべての HDS ノードをバージョン 2021.01.22.4720 以降にアップグレードします。

1	HDS ノードの 1 つをシャットダウンします。
2	vCenter Server アプライアンスで、HDS ノードを選択します。
3	[設定の編集] > [CD/DVD ドライブ] の順に選択し、[データストア ISO ファイル] のチェックを外します。
4	HDS ノードの電源をオンにし、少なくとも 20 分間アラームがないことを確認します。
5	各 HDS ノードに対して順番に繰り返します。

ハイブリッドデータセキュリティのトラブルシューティング

アラートを表示してトラブルシューティングする

ハイブリッドデータセキュリティの展開は、クラスタ内のすべてのノードに到達できない場合、またはクラスタが動作が遅いため、要求がタイムアウトになった場合、利用できないと見なされます。ユーザーがハイブリッドデータセキュリティクラスタに到達できない場合、次の症状を経験します。

新しいスペースが作成できない (新しいキーを作成できない)
メッセージとスペースのタイトルを暗号解除できない:
- 新しいユーザーをスペースに追加する (キーを取得できない)
- 新しいクライアントを使用したスペースの既存ユーザー (キーを取得できない)
クライアントが暗号キーのキャッシュを持っている限り、スペースの既存ユーザーは引き続き正常に実行します

サービスの中断を避けるために、ハイブリッドデータセキュリティクラスタを適切に監視し、アラートを速やかに解決することが重要です。

警告

ハイブリッドデータセキュリティのセットアップに問題がある場合、Partner Hub は組織管理者にアラートを表示し、構成されたメールアドレスにメールを送信します。アラートでは多くに共通するシナリオを説明しています。

表 1YAZ設定オプション共通の問題と解決ステップ
警告	アクション
ローカルデータべースへのアクセスに失敗しました。	データベースのエラーかローカルネットワークの問題をチェックしてください。
ローカルデータベースの接続に失敗しました。	データベースサーバーが利用可能であり、正しいサービスアカウント証明書がノード構成に使用されていたことをチェックします。
クラウドサービスへのアクセスに失敗しました。	外部接続要件で指定されている通り、ノードが Webex サーバーにアクセスできることを確認します。
クラウドサービスの登録を更新します。	クラウドサービスへの登録に失敗しました。登録の更新は現在進行中です。
クラウドサービスの登録に失敗しました。	クラウドサービスへの登録が終了しましたサービスがシャットダウンしました。
サービスがアクティベートされていません。	Partner Hub で HDS を有効にします。
構成されたドメインはサーバー証明書に一致しません。	サーバー証明書が構成されたサービスアクティベーションドメインに一致することを確認します。もっとも多い原因は、証明書 CN が最近変更され、最初のセットアップ中に使用された CN とは異なっているためです。
クラウドサービスへの認証に失敗しました。	正確性とサービスアカウント証明書の期限切れの可能性をチェックします。
ローカルキーストアファイルを開くことに失敗しました。	ローカルキーストアファイルの整合性とパスワードの正確性をチェックします。
ローカルサーバー証明書が無効です。	サーバー証明書の期限切れ日をチェックし、信頼できる証明書権限から発行されたものであることを確認します。
メトリクスを投稿できません。	外部クラウドサービスへのローカルネットワークアクセスをチェックします。
/media/configdrive/hds ディレクトリは存在しません。	仮想ホストで ISO マウント構成をチェックします。ISO ファイルが存在し、再起動時にマウントされるように構成されており、正常にマウントされていることを確認します。
追加された組織では、テナント組織のセットアップが完了していません	HDS セットアップツールを使用して、新しく追加されたテナント組織の CMK を作成してセットアップを完了します。
削除された組織のテナント組織のセットアップが完了していません	HDS セットアップツールを使用して削除されたテナント組織の CMK を取り消すことでセットアップを完了します。

ハイブリッドデータセキュリティのトラブルシューティング

ハイブリッドデータセキュリティの問題をトラブルシューティングする際には、次の一般的なガイドラインを使用してください。

1	アラートについては Partner Hub を確認し、そこで見つかった項目を修正します。参照については、以下の画像を参照してください。
2	ハイブリッドデータセキュリティ展開からのアクティビティの syslog サーバー出力を確認します。「警告」や「エラー」などの単語をフィルタリングして、トラブルシューティングに役立ちます。
3	Cisco サポートに連絡します。

その他のメモ

ハイブリッドデータセキュリティに関する既知の問題

ハイブリッドデータセキュリティクラスタをシャットダウンする場合 (Partner Hub で削除するか、すべてのノードをシャットダウンする)、構成 ISO ファイルを失うか、キーストアデータベースへのアクセスを失った場合、顧客組織の Webex アプリユーザーは、KMS のキーで作成されたユーザーリストの下のスペースを使用できなくなります。一度アクティブユーザーを扱った場合、現在この問題の会費苞や修正方法はなく、HDS サービスを終了しないようにしてください。
KMS への既存の ECDH 接続を持つクライアントは、一定の期間接続を維持します (およそ 1 時間)。

OpenSSL を使用して PKCS12 ファイルを生成する

開始する前に

OpenSSL は、HDS セットアップツールでローディングするために、適切なフォーマットで PKCS12 ファイルを作成するために使用可能なツールです。これを実行する他の方法もあり、別の方法がある中で1つの方法をサポートまたは促進しません。
OpenSSL を使用することを選択した場合、X.509 証明書要件の X.509 証明書要件を満たすファイルを作成するためのガイドラインとしてこの手順を提供します。続行する前にそれらの要件を理解します。
サポートされている環境で OpenSSL をインストールします。ソフトウェアと文書については https://www.openssl.org をご覧ください。
秘密鍵を作成します。
証明書権限 (CA) からサーバー証明書を受け取るとき、この手順を開始します。

1	CA からサーバー証明書を受け取るとき、`hdsnode.pem` として保存します。
2	テキストとして証明書を表示し、詳細を検証します: `openssl x509 -text -noout -in hdsnode.pem`
3	テキストエディタを使用して、`hdsnode-bundle.pem` という名前の証明書バンドルファイルを作成します。バンドルファイルには、下のフォーマットでサーバー証明書、中間 CA 証明書、ルート証明書を含みます。 `-----開始証明書----- ### サーバ証明書。 ### -----end certificate------------------------------------------------------------- ### 中間 CA 証明書。 #### -----end certificate------------------------------------------------------------- ### ルート CA 証明書。 ### -----end 証明書-----`
4	`kms-private-key` という友好的な名前で .p12 ファイルを作成します。 `openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12`
5	サーバー証明書の詳細をチェックします。 `openssl pkcs12 -in hdsnode.p12` アウトプットに一覧化されるように、指示に従いパスワードを入力し、秘密鍵を暗号化します。したがって、秘密鍵と最初の証明書に行`friendlyName: Kms-private-key` を含むことに検証します。例: bash$ openssl pkcs12 -in hdsnode.p12 Enter Import Password: MAC verified OK Bag Attributes friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 主な属性: PEM パスフレーズを入力: 検証中 - PEM パスフレーズを入力します: -----BEGIN 暗号化秘密キー----- -----END 暗号化秘密キー------- バッグ属性 friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 ------BEGIN CERTIFICATE-----END CERTIFICATE------- Bag 属性 friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US subject=/C=US/O=Let's Encrypt/CN=Digital Signature Trust Co./CN=DST Root CA X3 ------- -----END CERTIFICATE------

次に行うこと

[ハイブリッドデータセキュリティの前提条件を完了] に戻ります。hdsnode.p12 ファイルと設定したパスワードを [HDS ホストの構成 ISO を作成する] で使用します。

元の証明書の有効期限が切れると、これらのファイルを再使用して新しい証明書を要求できます。

HDS ノードおよびクラウド間のトラフィック

アウトバウンドメトリクスコレクショントラフィック

ハイブリッドデータセキュリティノードは、特定のメトリクスをWebex クラウドに送信します。これらには以下が含まれます。heap max、使用される heap、CPU ロード、しきい値カウント。同期および非同期しきい値のメトリクス。暗号化接続、遅延、リクエストキューの長さのしきい値を含むアラートのメトリクス。データストアのメトリクス。暗号化接続メトリクス。Out-of-Band (リクエストとは別) チャンネルの暗号化されたキーマテリアルを送信します。

インバウンドトラフィック

ハイブリッドデータセキュリティノードは、Webex クラウドから次のタイプの着信トラフィックを受信します。

暗号サービスからルートされたクライアントからの暗号化リクエスト
ノードソフトウェアへのアップグレード

ハイブリッドデータセキュリティの Squid プロキシを設定する

Websocket は Squid プロキシを通じて接続できません

HTTPS トラフィックを検査する Squid プロキシは、ハイブリッドデータセキュリティが必要とする websocket (wss:) 接続の確立に干渉する可能性があります。これらのセクションでは、wss: トラフィックを無視するためのさまざまなバージョンの Squid の設定方法について説明しています。 これは、サービスの適切な運用のためのトラフィックです。

Squid 4 および5

on_unsupported_protocol ディレクティブを squid.conf に追加します。

on_unsupported_protocol すべてトンネル

Squid 3.5.27

以下の規則が squid.conf に追加されて、ハイブリッドデータセキュリティのテストに成功しました。これらのルールは、機能を開発し、Webex クラウドを更新する際に変更されることがあります。

acl wssMercuryConnection ssl::server_name_regex mercury-connection ssl_bump splice wssMercuryConnection acl step1 at_step SslBump1 acl step2 at_step SslBump2 acl step3 at_step SslBump3 ssl_bump peek step1 all ssl_bump stare step2 all ssl_bump bump step3 all

新規および変更された情報

この表では、新機能または機能、既存のコンテンツへの変更、および『マルチテナントハイブリッドデータセキュリティの展開ガイド』で修正された主なエラーについて説明します。

日付	変更を行いました
2025 年 1 月 8 日	「初期セットアップを実行し、インストールファイルをダウンロードする」に、Partner Hub の HDS カードの [セットアップ] をクリックすると、インストールプロセスの重要なステップであることを示すメモを追加しました。
2025 年 1 月 7 日	「仮想ホスト要件」、「ハイブリッドデータセキュリティ展開タスクフロー」、「HDS ホスト OVA のインストール」を更新し、ESXi 7.0 の新しい要件を表示します。
2024 年 12 月 13 日	初公開。

マルチテナントのハイブリッドデータセキュリティの無効化

マルチテナント HDS の無効化タスクフロー

マルチテナント HDS を完全に無効にするには、次の手順に従います。

開始する前に

このタスクは、パートナーのフル管理者によってのみ実行されます。

1	「テナント組織の削除」で記載されているように、すべてのクラスタからすべての顧客を削除します。
2	「HDS から削除されたテナントの CMK を取り消す」に記載されている通り、すべての顧客の CMK を取り消します。
3	「ノードの削除」で記載されているように、すべてのクラスタからすべてのノードを削除します。
4	次の 2 つの方法のいずれかを使用して、Partner Hub からすべてのクラスタを削除します。削除するクラスタをクリックし、概要ページの右上隅にある [このクラスタの削除] を選択します。 [リソース] ページで、クラスタの右側の […] をクリックし、[クラスタの削除] を選択します。
5	ハイブリッドデータセキュリティの概要ページの [設定] タブをクリックし、HDS ステータスカードの [HDS の非アクティブ化] をクリックします。

マルチテナントのハイブリッドデータセキュリティを使い始める

マルチテナントのハイブリッドデータセキュリティの概要

Webex アプリの設計では、1 日目以降、データセキュリティが主要なフォーカスとなっています。このセキュリティのコーナーストンは、エンドツーエンドのコンテンツ暗号化であり、Webex アプリクライアントがキー管理サービス (KMS) と対話することで有効になります。KMS はメッセージとファイルを動的に暗号化し、解読するためにクライアントが使用する暗号キーの作成と管理の責任を負っています。

デフォルトでは、すべての Webex アプリの顧客は、Cisco のセキュリティ領域であるクラウド KMS に保存されているダイナミックキーを使用してエンドツーエンドの暗号化を取得します。ハイブリッドデータセキュリティは、KMS とその他のセキュリティ関連の機能をあなたのエンタープライズデータセンターに移動するため、誰でもなくあなたが暗号化コンテンツの鍵を持っています。

マルチテナントのハイブリッドデータセキュリティ により、組織はサービスプロバイダーとして機能し、オンプレミスの暗号化やその他のセキュリティサービスを管理できる信頼できるローカルパートナーを通じて HDS を活用できます。このセットアップにより、パートナー組織は暗号キーの展開と管理を完全に制御し、顧客組織のユーザーデータを外部アクセスから安全に保護できます。パートナー組織は HDS インスタンスをセットアップし、必要に応じて HDS クラスタを作成します。各インスタンスは、1 つの組織に制限される通常の HDS 展開とは異なり、複数の顧客組織をサポートできます。

パートナー組織は展開と管理をコントロールできますが、顧客が生成したデータやコンテンツにアクセスすることはできません。このアクセスは、顧客の組織とそのユーザーに限定されます。

また、データセンターなどのキー管理サービスとセキュリティインフラストラクチャは信頼できるローカルパートナーによって所有されているため、小規模組織は HDS を活用できます。

マルチテナントハイブリッドデータセキュリティがデータの主権とデータ制御を提供する方法

ユーザーが生成したコンテンツは、クラウドサービスプロバイダーなどの外部アクセスから保護されます。
ローカルの信頼できるパートナーは、すでに確立している顧客の暗号化キーを管理します。
パートナーが提供する場合、ローカルテクニカルサポートのオプション。
ミーティング、メッセージング、通話コンテンツをサポートします。

このドキュメントは、パートナー組織がマルチテナントハイブリッドデータセキュリティシステムの下で顧客をセットアップおよび管理することを支援することを目的としています。

マルチテナントハイブリッドデータセキュリティのロール

パートナーのフル管理者 - パートナーが管理するすべての顧客の設定を管理できます。また、組織内の既存のユーザーに管理者のロールを指定したり、パートナー管理者が管理する特定の顧客を指定したりすることもできます。
パートナー管理者 - 管理者がプロビジョニングした顧客またはユーザーに割り当てられた顧客の設定を管理できます。
フル管理者 - 組織設定の変更、ライセンスの管理、ロールの割り当てなどのタスクを実行する権限のあるパートナー組織の管理者です。

すべての顧客組織のエンドツーエンドのマルチテナント HDS のセットアップと管理 - パートナーのフル管理者およびフル管理者権限が必要です。
割り当てられたテナント組織の管理 - パートナー管理者およびフル管理者権限が必要です。

セキュリティ領域のアーキテクチャ

Webex クラウドアーキテクチャは、以下に示すように、異なるタイプのサービスを別の領域、または信頼ドメインに分離します。

ハイブリッドデータセキュリティをさらに理解するために、シスコがクラウド領域ですべての機能を提供している純粋なクラウドケースを見てみましょう。メールアドレスなど個人情報を直接ユーザーが関連付けることが可能な唯一の場所である ID サービスは、データセンター B のセキュリティ領域から論理的および物理的に分かれています。データセンター C では、暗号化されたコンテンツが最終的に保存される領域と、両方とも別になります。

この図では、クライアントがユーザーのラップトップで実行されている Webex アプリであり、ID サービスで認証されています。ユーザーがメッセージを編集し、スペースに送るとき、以下のステップを踏みます:

クライアントは重要な管理サービス (KMS) と安全な接続を確立し、メッセージを暗号化するためのキーをリクエストします。安全な接続では ECDH を使用し、KMS は AES-256 マスターキーを使用してキーを暗号化します。
メッセージはクライアントを離れる前に暗号化されます。クライアントは、暗号化された検索インデックスを作成し、コンテンツで将来検索を助けるインデックス化サービスに送信します。
暗号化されたメッセージは、コンプライアンスチェックのためコンプライアンスサービスに送信されます。
暗号化されたメッセージは、保管領域に保管されます。

ハイブリッドデータセキュリティを展開する際、セキュリティ領域機能 (KMS、インデックス作成、コンプライアンス) をオンプレミスデータセンターに移動します。Webex を構成するその他のクラウドサービス (ID とコンテンツストレージを含む) は、Cisco の領域に残ります。

他の組織と協力する

組織内のユーザーは定期的に Webex アプリを使用して、他の組織の外部参加者と共同作業を行うことができます。ユーザーの 1 人があなたの組織が所有しているスペースのキーをリクエストしたとき (あなたの組織のユーザーの 1 人が作成したため)、KMS は ECDH の安全なチャンネルでキーをクライアントに送信します。ただし、別の組織がスペースのキーを所有している場合、KMS は別の ECDH チャネルを通じて、リクエストを WEBEX クラウドにルーティングして、適切な KMS からキーを取得し、そのキーを元のチャネルのユーザーに返します。

組織 A で実行されている KMS サービスは、X.509 PKI 証明書を使用して他の組織の KMS への接続を検証します。マルチテナントハイブリッドデータセキュリティ展開で使用する x.509 証明書を生成する方法の詳細については、「環境を準備する 」を参照してください。

ハイブリッドデータセキュリティの展開の例外

ハイブリッドデータセキュリティの展開には、暗号化キーを所有することに伴うリスクについて、重要なコミットメントと認識が必要です。

ハイブリッドデータセキュリティを展開するには、以下を提供する必要があります。

Cisco Webex Teams プランでサポートされている場所である国の安全なデータセンター。
「環境を準備する」に記載されている機器、ソフトウェア、およびネットワークアクセス。

ハイブリッドデータセキュリティ用に構築する構成 ISO または提供するデータベースのいずれかが完全に失われると、キーが失われます。キー損失により、ユーザーが Webex アプリのスペースコンテンツやその他の暗号化されたデータを復号できなくなります。このことが発生する場合、新しい展開を構築できますが、新しいコンテンツのみが表示されます。データのアクセス権の喪失を防ぐには、以下を行う必要があります:

データベースのバックアップと復元および構成 ISO を管理します。
データベースディスクの障害やデータセンターの災害などの災害が発生した場合は、迅速な災害復旧を行う準備をしてください。

HDS 展開後にキーをクラウドに戻すメカニズムはありません。

高レベルのセットアッププロセス

このドキュメントでは、マルチテナントのハイブリッドデータセキュリティ展開のセットアップと管理について説明します。

ハイブリッドデータセキュリティのセットアップ—これには、必要なインフラストラクチャの準備、ハイブリッドデータセキュリティソフトウェアのインストール、HDS クラスタの構築、クラスタへのテナント組織の追加、顧客メインキー (CMK) の管理が含まれます。これにより、顧客組織のすべてのユーザーがセキュリティ機能にハイブリッドデータセキュリティクラスタを使用できるようになります。

セットアップ、アクティベーション、および管理フェーズについては、次の 3 つの章で詳しく説明します。
ハイブリッドデータセキュリティ展開の維持—Webex クラウドは自動的に進行中のアップグレードを提供します。IT 部門は階層 1 のサポートをこの展開に提供し、必要に応じて Cisco サポートを提供します。Partner Hub では、画面上の通知を使用して、メールベースのアラートを設定できます。
一般的なアラート、トラブルシューティング手順、および既知の問題について理解する - ハイブリッドデータセキュリティの展開または使用に問題が発生した場合、このガイドの最後の章と「既知の問題の付録」が問題の判別と修正に役立ちます。

ハイブリッドデータセキュリティ展開モデル

エンタープライズデータセンター内で、ハイブリッドデータセキュリティを別々の仮想ホスト上のノードの単一のクラスタとして展開します。ノードは、セキュアなウェブソケットとセキュア HTTP を通じて Webex クラウドと通信します。

インストールプロセス中、提供する VM 上で仮想マシンセットアップするために、OVA ファイルを提供します。HDS セットアップツールを使用し、各ノードにマウントするカスタムクラスター構成 ISO ファイルを作成します。ハイブリッドデータセキュリティクラスタは、提供された Syslogd サーバと PostgreSQL または Microsoft SQL Server データベースを使用します。（HDS セットアップツールで Syslogd とデータベース接続の詳細を設定します）。

ハイブリッドデータセキュリティ展開モデル

クラスターで保持できるノードの最小数は 2 つです。クラスターごとに少なくとも 3 つをお勧めします。複数のノードを持つと、ノード上のソフトウェアアップグレードやその他のメンテナンスアクティビティ中にサービスが中断されないようにします。(Webex クラウドは一度に 1 つのノードのみアップグレードします。)

クラスターのすべてのノードは、同じキーデータストアにアクセスし、同じ syslog サーバーに対するアクティビティをログ記録します。クラウドで指示された通り、ノード自体では処理状態が把握されておらず、ラウンドロビン方式でキーリクエストを処理します。

ノードは、パートナーハブに登録するとアクティブになります。個別ノードをサービス外にするには、必要に応じて登録解除し、再登録できます。

災害復旧のためのスタンバイデータセンター

展開中、セキュアなスタンバイデータセンターをセットアップします。データセンターの災害が発生した場合、スタンバイデータセンターへの展開を手動で失敗させることができます。

アクティブおよびスタンバイデータセンターのデータベースは相互に同期されているため、フェールオーバーを実行するのにかかる時間を最小限に抑えます。

アクティブなハイブリッドデータセキュリティノードは、常にアクティブなデータベースサーバと同じデータセンターにある必要があります。

プロキシサポート

ハイブリッドデータセキュリティは、明示的な透過的な検査および非検査プロキシをサポートします。これらのプロキシを展開に関連付けることができます。これにより、エンタープライズからクラウドに送信されるトラフィックをセキュリティ保護し、監視することができます。証明書の管理のノードでプラットフォーム管理インターフェイスを使用して、ノードでプロキシを設定した後で、全体的な接続ステータスを確認することができます。

ハイブリッドデータセキュリティノードは、以下のプロキシオプションをサポートしています。

プロキシなし: プロキシを統合するために HDS ノードのセットアップ信頼ストアとプロキシ構成を使用しない場合のデフォルト。証明書の更新は必要ありません。
透過的な検査なしのプロキシ: ノードは特定のプロキシサーバーアドレスを使用するように設定されていないため、検査なしのプロキシで動作するように変更を加える必要はありません。証明書の更新は必要ありません。
透過的なトンネリングまたは検査プロキシ: ノードは特定のプロキシサーバーアドレスを使用するように設定されていません。ノードでは、HTTP または HTTPS の設定変更は必要ありません。ただし、ノードはプロキシを信頼するためにルート証明書を必要とします。プロキシを検査することで、Web サイトにアクセスするか、どのタイプのコンテンツを使用するかを強制するポリシーを施行することができます。このタイプのプロキシは、すべてのトラフィック (HTTPS さえも含む) を復号化します。
明示的プロキシ: 明示的プロキシを使用して、使用するプロキシサーバーと認証スキームを HDS ノードに指示します。明示的なプロキシを設定するには、各ノードに次の情報を入力する必要があります。
1. プロキシ IP/FQDN—プロキシマシンに到達するために使用できるアドレス。
2. プロキシポート: プロキシがプロキシトラフィックをリッスンするために使用するポート番号。
3. プロキシプロトコル: プロキシサーバーがサポートしているものに応じて、次のプロトコルから選択します。
  - HTTP—クライアントが送信するすべての要求を表示し、コントロールします。
  - HTTPS—サーバーにチャネルを提供します。クライアントがサーバーの証明書を受け取り、検証します。
4. 認証タイプ: 次の認証タイプから選択します。
  - なし: 追加の認証は必要ありません。
    
    プロキシプロトコルとして HTTP または HTTPS のいずれかを選択した場合に利用できます。
  - ベーシック—HTTP ユーザーエージェントがリクエストを行う際にユーザー名とパスワードを指定するために使用されます。Base64 エンコードを使用します。
    
    プロキシプロトコルとして HTTP または HTTPS のいずれかを選択した場合に利用できます。
    
    各ノードにユーザー名とパスワードを入力する必要があります。
  - ダイジェスト: 機密情報を送信する前にアカウントを確認するために使用されます。ネットワークを経由して送信する前に、ユーザー名およびパスワードにハッシュ機能を適用します。
    
    プロキシプロトコルとして HTTPS を選択した場合にのみ利用できます。
    
    各ノードにユーザー名とパスワードを入力する必要があります。

ハイブリッドデータセキュリティノードとプロキシの例

この図は、ハイブリッドデータセキュリティ、ネットワーク、およびプロキシ間の接続例を示しています。透過的な検査および HTTPS 明示的な検査プロキシオプションの場合、同じルート証明書がプロキシとハイブリッドデータセキュリティノードにインストールされている必要があります。

外部 DNS 解決ブロックモード (明示的プロキシ構成)

ノードを登録するか、またはノードのプロキシ構成を確認するとき、プロセスは DNS 検索と Cisco Webex クラウドへの接続をテストします。内部クライアントのための外部 DNS 解決が許可されていない、明示的なプロキシ構成の展開では、ノードが DNS サーバーに問い合わせができない場合、自動的に外部 DNS 解決ブロックモードに切り替わります。このモードでは、ノード登録および他のプロキシ接続テストを続行することができます。

環境を準備する

マルチテナントハイブリッドデータセキュリティの要件

Cisco Webex ライセンス要件

マルチテナントのハイブリッドデータセキュリティを展開するには:

パートナー組織: Cisco パートナーまたはアカウントマネージャーに連絡し、マルチテナント機能が有効になっていることを確認してください。
テナント組織: Pro Pack for Cisco Webex Control Hub が必要です。(https://www.cisco.com/go/pro-packを参照。)

Docker デスクトップの要件

HDS ノードをインストールする前に、セットアッププログラムを実行するには Docker デスクトップが必要です。Docker は最近、ライセンスモデルを更新しました。組織は Docker デスクトップの有料サブスクリプションを必要とする場合があります。詳細については、Docker ブログ投稿「 Docker は更新および製品サブスクリプションを拡張しています」を参照してください。

X.509 証明書要件

証明書チェーンは、次の条件を満たす必要があります。

表 1YAZ設定オプションハイブリッドデータセキュリティ展開のための X.509 証明書要件
要件	詳細
信頼できる証明書権限 (CA) で署名済み	デフォルトでは、https://wiki.mozilla.org/CA:IncludedCAs で Mozilla リスト (WoSign と StartCom を除く) の CA を信頼します。
ハイブリッドデータセキュリティ展開を識別する共通名 (CN) ドメイン名を保持しますワイルドカード証明書ではありません	CN は到達可能またはアクティブな主催者である必要はありません。たとえばなど、組織を反映する名前を使用することを推奨します。 CN に *（ワイルドカード）を含めることはできません。 CN は、Webex アプリクライアントに対してハイブリッドデータセキュリティノードを検証するために使用されます。クラスタ内のすべてのハイブリッドデータセキュリティノードが同じ証明書を使用します。KMS は x.509v3 SAN フィールドで定義されるドメインではなく、CN ドメインを使用してそれ自体を識別します。この証明書でノードを登録した場合、CN ドメイン名の変更をサポートしません。
非 SHA1 署名	KMS ソフトウェアは、他の組織の KMS に対する接続を検証するために、SHA1 署名をサポートしません。
パスワード保護された PKCS #12 ファイルとして形式化 `Kms-private-key` の有効な名前を使用して、証明書、秘密鍵、中間証明書をタグ付けしてアップロードします。	OpenSSL などのコンバーターを使用して、証明書の形式を変更できます。 HDS セットアップツールを実行する時、パスワードを入力する必要があります。

KMS ソフトウェアはキー使用量を強制したり、キー使用量の誓約を拡張したりしません。いくつかの証明書権限は、サーバー認証など、拡張キー使用量が各証明書に適用されることを必要とします。サーバー認証や他の設定を使用しても大丈夫です。

仮想ホストの要件

クラスタでハイブリッドデータセキュリティノードとして設定する仮想ホストには、次の要件があります。

同じセキュアなデータセンターに少なくとも 2 つの個別のホスト (推奨 3 つ) が共存
VMware ESXi 7.0 (またはそれ以降) がインストールされ、実行されています。

ESXi の以前のバージョンがある場合は、アップグレードする必要があります。
最低 4 つの vCPU、8 GB メインメモリ、サーバーあたり 30 GB のローカルハードディスク容量

データベースサーバーの要件

キーストレージ用の新しいデータベースを作成します。デフォルトのデータベースを使用しないでください。インストールしたとき、HDS アプリケーションはデータベーススキーマを作成します。

データベースサーバには 2 つのオプションがあります。各要件は次のとおりです。

表 2. データベースのタイプ別のデータベースサーバー要件
ポストSQL	Microsoft SQL サーバー
PostgreSQL 14、15、または 16 がインストールされ、実行されています。	SQL Server 2016、2017、または 2019 (エンタープライズまたは標準) がインストールされています。 SQL Server 2016 には、Service Pack 2 および累積アップデート 2 以降が必要です。
最低 8 vCPUs、16-GB メインメモリ、十分なハードディスクスペース、超過がないように監視 (ストレージを増やす必要なく、長期間データべースを実行する場合、2-TB が推奨されます。)	最低 8 vCPUs、16-GB メインメモリ、十分なハードディスクスペース、超過がないように監視 (ストレージを増やす必要なく、長期間データべースを実行する場合、2-TB が推奨されます。)

現在、HDS ソフトウェアは、データベースサーバと通信するための次のドライババージョンをインストールしています。

ポストSQL

Microsoft SQL サーバー

Postgres JDBCドライバー 42.2.5

SQL Server JDBC ドライバー 4.6

このドライババージョンは、SQL Server Always On（Always On Failover Cluster Instances および Always On アベイラビリティグループ）をサポートしています。

Microsoft SQL Server に対する Windows 認証の追加要件

HDS ノードが Windows 認証を使用して Microsoft SQL Server 上のキーストアデータベースにアクセスできるようにする場合は、環境内で次の設定が必要です。

HDS ノード、Active Directory インフラストラクチャ、MS SQL Server はすべて NTP と同期する必要があります。
HDS ノードに提供する Windows アカウントは、データベースへの読み取り/書き込みアクセス権を持っている必要があります。
HDS ノードに提供する DNS サーバーは、キー配布センター (KDC) を解決できる必要があります。
Microsoft SQL Server で HDS データベースインスタンスをサービスプリンシパルネーム (SPN) として登録できます。「Kerberos 接続のサービスプリンシパル名を登録する」を参照してください。

HDS セットアップツール、HDS ランチャー、およびローカル KMS はすべて、キーストアデータベースにアクセスするために Windows 認証を使用する必要があります。Kerberos 認証によるアクセスを要求するときに、ISO 設定の詳細を使用して SPN を構築します。

外部接続要件

ファイアウォールを構成して、HDS アプリケーションに対して次の接続を許可します。

アプリケーション	プロトコル	ポート	アプリからの方向	移動先
ハイブリッドデータセキュリティノード	TCP	443	アウトバウンド HTTPS および WSS	Webex サーバー: .wbx2.com .ciscospark.com すべての Common Identity ホスト [Webex サービスのネットワーク要件] の [Webex ハイブリッドサービスの追加 URL] テーブルにハイブリッドデータセキュリティのためにリストされているその他の URL
HDS セットアップツール	TCP	443	アウトバウンド HTTPS	*.wbx2.com すべての Common Identity ホスト hub.docker.com

ハイブリッドデータセキュリティノードは、NAT またはファイアウォールが前の表のドメイン宛先への必要な発信接続を許可している限り、ネットワークアクセストランスレーション（NAT）またはファイアウォールの背後で機能します。ハイブリッドデータセキュリティノードにインバウンドする接続の場合、インターネットからポートを表示することはできません。データセンター内で、クライアントは管理目的のため、TCP ポート 443 および 22 のハイブリッドデータセキュリティノードにアクセスする必要があります。

Common Identity (CI) ホストの URL は地域固有です。これらは、現在の CI ホストです。

地域	共通 ID ホスト URL
Americas（北米、南米エリア）	https://idbroker.webex.com https://identity.webex.com https://idbroker-b-us.webex.com https://identity-b-us.webex.com
欧州連合	https://idbroker-eu.webex.com https://identity-eu.webex.com
カナダ	https://idbroker-ca.webex.com https://identity-ca.webex.com
シンガポール	https://idbroker-sg.webex.com https://identity-sg.webex.com
アラブ首長国連邦	https://idbroker-ae.webex.com https://identity-ae.webex.com

プロキシサーバーの要件

お使いのハイブリッドデータセキュリティノードと統合できる次のプロキシソリューションを正式にサポートしています。
- 透過的プロキシ—Cisco Web Security Appliance (WSA)。
- 明示的プロキシ—Squid。
  
  HTTPS トラフィックを検査する Squid プロキシは、websocket (wss:) 接続の確立に干渉する可能性があります。この問題を回避するには、「ハイブリッドデータセキュリティのために Squid プロキシを構成する」を参照してください。
明示的プロキシに対して次の認証タイプの組み合わせがサポートされています。
- HTTP または HTTPS による認証がありません
- HTTP または HTTPS による基本認証
- HTTPS のみによるダイジェスト認証
透過的検査プロキシまたは HTTPS 明示的プロキシについては、プロキシのルート証明書のコピーが必要です。このガイドに記載されている展開手順は、ハイブリッドデータセキュリティノードの信頼ストアにコピーをアップロードする方法を説明しています。
HDS ノードをホストするネットワークは、ポート 443 のアウトバウンド TCP トラフィックを強制的にプロキシ経由でルーティングするように設定されている必要があります。
Web トラフィックを検査するプロキシは、Web ソケット接続に干渉する場合があります。この問題が発生した場合、wbx2.com および ciscospark.com へのトラフィックをバイパスする (検査しない) ことで問題を解決します。

ハイブリッドデータセキュリティの前提条件を満たします

このチェックリストを使用して、ハイブリッドデータセキュリティクラスタをインストールして構成する準備ができていることを確認してください。

1	パートナー組織でマルチテナント HDS 機能が有効になっていることを確認し、パートナーのフル管理者およびフル管理者権限を持つアカウントの資格情報を取得してください。Webex 顧客組織が Pro Pack for Cisco Webex Control Hub が有効になっていることを確認します。Cisco パートナーもしくはアカウントマネージャーにこのプロセスについてサポートを受けるために連絡してください。顧客組織は既存の HDS 展開を持つべきではありません。
2	HDS 展開のドメイン名 (例: `hds.company.com`) を選択し、X.509 証明書、秘密キー、および中間証明書を含む証明書チェーンを取得します。証明書チェーンは、X.509 証明書要件の要件を満たす必要があります。
3	クラスタでハイブリッドデータセキュリティノードとしてセットアップする同じ仮想ホストを準備します。仮想ホスト要件の要件を満たす同じセキュアなデータセンターに少なくとも 2 つの個別のホスト (推奨 3 つ) が共同で必要です。
4	データベースサーバーの要件に従って、クラスタのキーデータストアとして機能するデータベースサーバーを準備します。データベースサーバーは、セキュアなデータセンターに仮想ホストと共存する必要があります。キーストレージ用のデータベースを作成します。（このデータベースを作成する必要があります。デフォルトのデータベースを使用しないでください。インストールしたとき、HDS アプリケーションはデータベーススキーマを作成します。) ノードがデータベースサーバーと通信するために使用する詳細をまとめます: 主催者名または IP アドレス (主催者) およびポート重要なストレージ向けのデータベース名 (dbname) 重要なストレージデータベースですべての権限を持つユーザーのユーザー名とよびパスワード
5	災害復旧をすばやくするには、別のデータセンターでバックアップ環境を設定します。バックアップ環境は、VM とバックアップデータベースサーバの本番環境を反映します。たとえば、生産に HDS ノードを実行している 3 VMs がある場合、バックアップ環境には 3 Vms が必要です。
6	Syslog 主催者をセットアップして、クラスターのノードからログを収集します。ネットワークアドレスと syslog ポート (デフォルトは UDP 514) をまとめます。
7	ハイブリッドデータセキュリティノード、データベースサーバ、および syslog ホストの安全なバックアップポリシーを作成します。少なくとも、回復不能なデータの損失を防ぐには、ハイブリッドデータセキュリティノード用に生成されたデータベースと構成 ISO ファイルをバックアップする必要があります。ハイブリッドデータセキュリティノードは、コンテンツの暗号化と復号に使用されるキーを保存するため、運用展開の維持に失敗すると、コンテンツの回復不能な損失が発生します。 Webex アプリクライアントはキーをキャッシュするため、サービス停止はすぐに目立たなくなりますが、時間の経過とともに明らかになります。一時的な停電が防げない場合、復元可能です。しかし、データベースまたは構成 ISO ファイルのどちらかを完全に失う (バックアップが利用できない) ことは、顧客データは復元できません。ハイブリッドデータセキュリティノードのオペレータは、データベースと構成 ISO ファイルの頻繁なバックアップを維持し、壊滅的な障害が発生した場合に、ハイブリッドデータセキュリティデータセンターを再構築する準備をする必要があります。
8	外部接続の要件で説明されているように、ファイアウォール構成でハイブリッドデータセキュリティノードの接続を許可していることを確認してください。
9	Web ブラウザを使用して、サポートされている OS (Microsoft Windows 10 Professional または Enterprise 64 ビット、または Mac OSX Yosemite 10.10.3 以上) を実行している任意のローカルマシンに Docker (https://www.docker.com) をインストールします。http://127.0.0.1:8080. Docker インスタンスを使用して、すべてのハイブリッドデータセキュリティノードのローカル設定情報を構築する HDS セットアップツールをダウンロードして実行します。Docker デスクトップライセンスが必要な場合があります。詳細については、「Docker デスクトップの要件」を参照してください。 HDS セットアップツールをインストールして実行するには、ローカルマシンに外部接続要件で説明されている接続性が必要です。
10	プロキシをハイブリッドデータセキュリティと統合する場合は、プロキシサーバー要件を満たしていることを確認してください。

ハイブリッドデータセキュリティクラスタをセットアップ

ハイブリッドデータセキュリティ展開のタスクフロー

始める前に

1	初期セットアップを実行し、インストールファイルをダウンロードする後で使用するために、OVA ファイルをローカルマシンにダウンロードします。
2	HDS 主催者に構成 ISO を作成する HDS セットアップツールを使用して、ハイブリッドデータセキュリティノードの ISO 構成ファイルを作成します。
3	HDS 主催者 OVA をインストールする OVA ファイルから仮想マシンを作成し、ネットワーク設定などの初期設定を実行します。 OVA 展開中にネットワーク設定を構成するオプションは、ESXi 7.0 でテストされています。このオプションは以前のバージョンでは利用できない場合があります。
4	ハイブリッドデータセキュリティ VM のセットアップ VM コンソールにサインインし、サインイン資格情報を設定します。OVA 展開時に設定しなかった場合は、ノードのネットワーク設定を構成します。
5	HDS 構成 ISO をアップロードしマウントする HDS セットアップツールで作成した ISO 構成ファイルから VM を設定します。
6	プロキシ統合のために HDS ノードを設定するネットワーク環境でプロキシ設定が必要な場合は、ノードに使用するプロキシのタイプを指定し、必要に応じてプロキシ証明書を信頼ストアに追加します。
7	クラスタ内の最初のノードを登録 VM を Cisco Webex クラウドにハイブリッドデータセキュリティノードとして登録します。
8	他のノードを作成して登録クラスタのセットアップを完了します。
9	Partner Hub でマルチテナント HDS を有効にします。 HDS をアクティベートし、Partner Hub でテナント組織を管理します。

初期セットアップを実行し、インストールファイルをダウンロードする

このタスクでは、OVA ファイルをマシンにダウンロードします（ハイブリッドデータセキュリティノードとして設定したサーバにはありません）。このファイルはのちにインストールプロセスで使用します。

1	Partner Hub にサインインし、[サービス] をクリックします。
2	[クラウドサービス] セクションで、ハイブリッドデータセキュリティカードを見つけて、[セットアップ] をクリックします。 Partner Hub で [セットアップ] をクリックすることは、展開プロセスにとって重要です。この手順を完了しないでインストールに進まないでください。
3	[リソースの追加] をクリックし、[ソフトウェアのインストールと設定] カードの [OVA ファイルのダウンロード] をクリックします。古いバージョンのソフトウェアパッケージ (OVA) は最新のハイブリッドデータセキュリティアップグレードと互換性がありません。これにより、アプリケーションのアップグレード中に問題が発生する可能性があります。OVA ファイルの最新バージョンをダウンロードしていることを確認してください。 OVA は [ヘルプ] セクションからいつでもダウンロードできます。[設定] > [ヘルプ] > [ハイブリッドデータセキュリティソフトウェアのダウンロード] をクリックします。 OVA ファイルは自動的にダウンロードが開始されます。ファイルをマシン内に保存します。
4	オプションで、[ハイブリッドデータセキュリティ展開ガイドを参照 ] をクリックして、このガイドの最新バージョンが利用可能かどうかを確認します。

HDS 主催者に構成 ISO を作成する

ハイブリッドデータセキュリティセットアッププロセスは、ISO ファイルを作成します。その後、ISO を使用してハイブリッドデータセキュリティホストを構成します。

始める前に

HDS セットアップツールをローカルマシンの Docker コンテナとして実行します。アクセスするには、そのマシンで Docker を実行します。セットアッププロセスには、完全な管理者権限を持つパートナーハブアカウントの資格情報が必要です。

HDS セットアップツールが環境内のプロキシの背後で実行されている場合、以下のステップ 5 で Docker コンテナを起動する際に、Docker 環境変数を通してプロキシ設定 (サーバー、ポート、資格情報) を提供します。この表ではいくつかの可能な環境変数を示します。

説明	変数
認証なしの HTTP プロキシ	`グローバル_エージェント_HTTP_PROXY=http://SERVER_IP:PORT`
認証なしの HTTPS プロキシ	`グローバル_エージェント_HTTPS_PROXY=http://SERVER_IP:ポート`
認証ありの HTTP プロキシ	`グローバル_エージェント_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
認証ありの HTTPS プロキシ	`グローバル_エージェント_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

生成する構成 ISO ファイルには、PostgreSQL または Microsoft SQL Server データベースを暗号化するマスターキーが含まれています。次のような設定変更を行うときは、このファイルの最新コピーが必要です。
- データベースクレデンシャル
- 証明書の更新
- 認証ポリシーの変更
データベース接続を暗号化する場合は、TLS 用に PostgreSQL または SQL Server の展開を設定します。

1

マシンのコマンドラインで、お使い環境に適切なコマンドを入力します。

一般環境:

docker rmi ciscocitg/hds-setup:stable

FedRAMP 環境の場合:

docker rmi ciscocitg/hds-setup-fedramp:stable

このステップを実行すると、前の HDS セットアップツールの画像がクリーンアップされます。これ以前の画像がない場合は、無視できるエラーを返します。

2

Docker 画像レジストリにサインインするには、以下を入力します。

ドッカーログイン -u hdscustomersro

3

パスワードのプロンプトに対して、このハッシュを入力します。

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

4

お使い環境に合った最新の安定した画像をダウンロードします。

一般環境:

ドッカー プル ciscocitg/hds-setup:stable

FedRAMP 環境の場合:

ドッカー プル ciscocitg/hds-setup-fedramp:stable

5

プルが完了したら、お使いの環境に適切なコマンドを入力します。

プロキシなしの通常の環境の場合:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

HTTP プロキシがある通常の環境の場合、

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:ポート ciscocitg/hds-setup:stable

HTTPS プロキシがある通常の環境の場合:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:ポート ciscocitg/hds-setup:stable

プロキシなしの FedRAMP 環境の場合:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

HTTP プロキシがある FedRAMP 環境の場合:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:ポート ciscocitg/hds-setup-fedramp:stable

HTTPS プロキシがある FedRAMP 環境の場合:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:ポート ciscocitg/hds-setup-fedramp:stable

コンテナが実行中の時。「ポート 8080 で Express サーバーリスニング中」と表示されます。

6

セットアップツールは、http://localhost:8080 を介した localhost への接続をサポートしていません。http://127.0.0.1:8080 を使用して、localhost に接続します。

Web ブラウザを使用して、localhost http://127.0.0.1:8080 に移動し、プロンプトで Partner Hub の管理者ユーザー名を入力します。

ツールは、このユーザー名の最初のエントリを使用して、そのアカウントに適した環境を設定します。その後、ツールには標準のサインインプロンプトが表示されます。

7

プロンプトが表示されたら、Partner Hub 管理者のサインイン資格情報を入力し、[ログイン] をクリックして、ハイブリッドデータセキュリティに必要なサービスへのアクセスを許可します。

8

セットアップツール概要ページで、[開始] をクリックします。

9

[ISO インポート] ページで次のオプションがあります。

いいえ: 最初の HDS ノードを作成する場合、アップロードする ISO ファイルがありません。
はい: HDS ノードをすでに作成している場合は、参照で ISO ファイルを選択し、アップロードします。

10

X.509 証明書が X.509 証明書要件の要件を満たしていることを確認してください。

証明書をアップロードしたことがない場合は、X.509 証明書をアップロードし、パスワードを入力し、[続行] をクリックします。
証明書が OK の場合は、[続行] をクリックします。
証明書の有効期限が切れているか、置き換える場合は、[いいえ] を選択して、[以前の ISO の HDS 証明書チェーンと秘密キーの使用を続行しますか] を選択します。新しい X.509 証明書をアップロードし、パスワードを入力し、[続行] をクリックします。

11

HDS がキーデータストアにアクセスするためのデータベースアドレスとアカウントを入力します。

[データベースタイプ] (PostgreSQL または Microsoft SQL Server) を選択します。

[Microsoft SQL Server] を選択すると、[認証タイプ] フィールドが表示されます。
(Microsoft SQL Server のみ) 認証タイプを選択します。
- 基本認証:[ユーザー名] フィールドにローカル SQL Server アカウント名が必要です。
- Windows 認証:[ユーザー名] フィールドの username@DOMAIN の形式の Windows アカウントが必要です。
: または : の形式でデータベースサーバーアドレスを入力します。

例:
dbhost.example.org:1433 または 198.51.100.17:1433

ノードがホスト名を解決するために DNS を使用できない場合は、基本認証に IP アドレスを使用できます。

Windows 認証を使用している場合は、dbhost.example.org:1433 の形式で完全修飾ドメイン名を入力する必要があります。
データベース名を入力します。
キーストレージデータベース上のすべての権限を持つユーザーの [ユーザー名] と [パスワード] を入力します。

12

TLS データベース接続モードを選択します。

モード	説明
TLS を優先 (デフォルトオプション)	HDS ノードは、データベースサーバに接続するために TLS を必要としませんデータベースサーバで TLS を有効にすると、ノードは暗号化された接続を試行します。
TLS を要求する	データベースサーバが TLS をネゴシエートできる場合に限り、HDS ノードは接続されます。
TLS を要求し、証明書の署名者を確認する	このモードは SQL Server データベースには適用されません。データベースサーバが TLS をネゴシエートできる場合に限り、HDS ノードは接続されます。 TLS 接続を確立した後、ノードはデータベースサーバーからの証明書の署名者を、データベースルート証明書の認証局と比較します。一致しない場合、ノードにより接続が切断されます。ドロップダウンの下にあるデータベースルート証明書コントロールを使用して、このオプションのルート証明書をアップロードしてください。
TLS を要求し、証明書の署名者およびホスト名を確認する	データベースサーバが TLS をネゴシエートできる場合に限り、HDS ノードは接続されます。 TLS 接続を確立した後、ノードはデータベースサーバーからの証明書の署名者を、データベースルート証明書の認証局と比較します。一致しない場合、ノードにより接続が切断されます。また、サーバー証明書のホスト名が [データベースホストとポート ] フィールドのホスト名と一致していることを確認します。名前は正確に一致する必要があります。または、ノードが接続を切断します。ドロップダウンの下にあるデータベースルート証明書コントロールを使用して、このオプションのルート証明書をアップロードしてください。

ルート証明書 (必要な場合) をアップロードし、[続行] をクリックすると、HDS セットアップツールはデータベースサーバへの TLS 接続をテストします。また、必要に応じて、証明書の署名者とホスト名も検証されます。テストが失敗した場合、問題を説明するエラーメッセージがツールによって表示されます。エラーを無視してセットアップを続行するかどうかを選択できます。(接続の違いにより、HDS セットアップツールマシンが正常にテストできない場合でも、HDS ノードが TLS 接続を確立できる場合があります)。

13

[システムログ（System Logs）] ページで、Syslogd サーバを設定します。

syslog サーバの URL を入力します。

サーバーが HDS クラスタのノードから DNS 解決できない場合は、URL の IP アドレスを使用してください。

例:
udp://10.92.43.23:514 は、UDP ポート 514 の Syslogd ホスト 10.92.43.23 へのロギングを示します。
TLS 暗号化を使用するようにサーバーを設定する場合、[syslog サーバーは SSL 暗号化用に設定されていますか?] にチェックを入れます。

このチェックボックスをオンにした場合、tcp://10.92.43.23:514 などの TCP URL を入力していることを確認してください。
[syslog record termination の選択] ドロップダウンから、ISO ファイルに適切な設定を選択します。選択または改行は、Graylog および Rsyslog TCP に使用されます
- ヌルバイト -- \x00
- 改行 -- \n—Graylog および Rsyslog TCP に対してこの選択を選択します。
[続行] をクリックします。

14

(オプション) [詳細設定] で一部のデータベース接続パラメータのデフォルト値を変更できます。通常、このパラメータは変更したい唯一のパラメータです。

app_datasource_connection_pool_maxサイズ: 10

15

[サービスアカウントパスワードのリセット] 画面で [続行] をクリックします。

サービスアカウントパスワードの寿命は 9 か月です。パスワードの有効期限が近づいている場合、またはパスワードをリセットして以前の ISO ファイルを無効にする場合は、この画面を使用してください。

16

[ISO ファイルのダウンロード] をクリックします。見つけやすい場所にファイルを保存します。

17

ローカルシステムの ISO ファイルのバックアップコピーを作成します。

バックアップコピーを安全に保ちます。このファイルには、データベースコンテンツのマスター暗号化キーを含みます。設定変更を行う必要があるハイブリッドデータセキュリティ管理者のみにアクセスを制限します。

18

セットアップツールをシャットダウンするには、[CTRL+C] と入力します。

次に行うこと

構成 ISO ファイルをバックアップします。復元のためにもっとノードを作成するか、設定変更を行う必要があります。ISO ファイルのすべてのコピーを失ったら、マスターキーも失います。PostgreSQL または Microsoft SQL Server データベースからキーを復元することはできません。

このキーのコピーは見つかりませんでした。紛失した場合には役に立ちません。

HDS 主催者 OVA をインストールする

この手順を使用して、OVA ファイルから仮想マシンをサック制します。

1	コンピュータの VMware vSphere クライアントを使用して、ESXi 仮想主催者にログインします。
2	ファイル > OVF テンプレートを展開を選択します。
3	ウィザードで、以前ダウンロードした OVA ファイルの場所を指定し、[次へ] をクリックします。
4	[名前とフォルダの選択] ページで、ノードの [仮想マシン名] (たとえば、「HDS_Node_1」) を入力し、仮想マシンノード展開が存在できる場所を選択し、[次へ] をクリックします。
5	[計算リソースの選択] ページで、接続先の計算リソースを選択し、[次へ] をクリックします。検証チェックが実行されます。完了すると、テンプレートの詳細が表示されます。
6	テンプレートの詳細を確認し、[次へ] をクリックします。
7	[構成] ページでリソース構成を選択するように求められた場合は、[4 CPU] をクリックし、[次へ] をクリックします。
8	[ストレージの選択] ページで、[次へ] をクリックして、デフォルトのディスク形式と VM ストレージポリシーを受け入れます。
9	[ネットワークの選択] ページで、エントリのリストからネットワークオプションを選択して、VM に希望する接続を提供します。
10	[テンプレートのカスタマイズ] ページで、次のネットワーク設定を構成します。ホスト名—ノードの FQDN (ホスト名とドメイン) または単一の単語のホスト名を入力します。ドメインを設定し、X.509 証明書を取得するために使用されるドメインにマッチしません。クラウドへの登録を成功させるには、ノードに設定した FQDN またはホスト名に小文字のみを使用してください。現時点では大文字化のサポートはありません。 FQDNのトータルの長さは64文字を超えてはいけません。 IP アドレス: ノードの内部インターフェイスの IP アドレスを入力します。ノードには内部 IP アドレスと DNS 名があるはずです。DHCP はサポートされていません。マスク—サブネットマスクアドレスを小数点以下の表記で入力します。たとえば、255.255.255.0 です。ゲートウェイ—ゲートウェイの IP アドレスを入力します。ゲートウェイは、別のネットワークへのアクセスポイントとして機能するネットワークノードです。 DNS サーバー: ドメイン名から数字の IP アドレスへの変換を処理する DNS サーバーのカンマ区切りリストを入力します。（最大 4 つの DNS エントリが許可されます）。 NTP サーバー: 組織の NTP サーバーまたは組織で使用できる別の外部 NTP サーバーを入力します。デフォルトの NTP サーバは、すべての企業で機能しない場合があります。カンマ区切りリストを使用して、複数の NTP サーバを入力することもできます。同じサブネットまたは VLAN 上のすべてのノードを展開して、クラスタ内のすべてのノードが管理目的でネットワークのクライアントから到達できるようにします。必要に応じて、ネットワーク設定の構成をスキップし、「ハイブリッドデータセキュリティ VM をセットアップする」の手順に従って、ノードコンソールから設定を構成できます。 OVA 展開中にネットワーク設定を構成するオプションは、ESXi 7.0 でテストされています。このオプションは以前のバージョンでは利用できない場合があります。
11	ノード VM を右クリックし、[電源] > [電源オン] を選択します。ハイブリッドデータセキュリティソフトウェアは、VM ホストにゲストとしてインストールされます。これで、コンソールにサインインしてノードを設定する準備ができました。トラブルシューティングのヒントノードコンテナーが出てくるまでに、数分間の遅延がある場合があります。初回起動の間、ブリッジファイアウォールメッセージが、コンソールに表示され、この間はサインインできません。

ハイブリッドデータセキュリティ VM のセットアップ

ハイブリッドデータセキュリティノード VM コンソールに初めてサインインし、サインインクレデンシャルを設定するには、この手順を使用します。OVA 展開時に設定しなかった場合は、コンソールを使用してノードのネットワーク設定を構成することもできます。

1	VMware vSphere クライアントでハイブリッドデータセキュリティノード VM を選択し、[コンソール] タブを選択してください。 VM が起動し、ログインプロンプトが表示されます。ログインプロンプトが表示されない場合は、入力を押してください。
2	以下のデフォルトログインとパスワードを使用して、証明書にサインインし変更します: ログイン:`管理者` パスワード:`cisco` 初めて VM にサインインしているため、管理者パスワードを変更する必要があります。
3	[HDS ホスト OVA をインストールする] でネットワーク設定をすでに構成している場合は、この手順の残りの部分をスキップします。それ以外の場合は、メインメニューで [設定の編集] オプションを選択します。
4	性的構成を IP アドレス、Mask、Gateway、DNS 情報をセットアップします。ノードには内部 IP アドレスと DNS 名があるはずです。DHCP はサポートされていません。
5	(オプション) ネットワーク方針にマッチするための必要性に応じて、ホスト名、ドメイン、もしくはNTP サーバーを変更して下さい。ドメインを設定し、X.509 証明書を取得するために使用されるドメインにマッチしません。
6	変更が有効になるように、ネットワーク構成を保存し、VM を再起動します。

HDS 構成 ISO をアップロードしマウントする

この手順を使用して、HDS セットアップツールで作成した ISO ファイルから仮想マシンを構成します。

開始する前に

ISO ファイルはマスターキーを保持しているため、ハイブリッドデータセキュリティ VM および変更が必要な管理者がアクセスするために、「知る必要がある」ベースでのみ公開する必要があります。これらの管理者のみがデータストアにアクセスできるようにします。

1

コンピュータから ISO ファイルをダウンロードします:

VMware vSphere クライアントの左ナビゲーションペインで、ESXi サーバーをクリックします。
[構成] タブのハードウェアリストで、[保管] をクリックします。
データストアリストで、VMs のデータストアを右クリックし、[データストアの参照] をクリックします。
[ファイルのアップロード] アイコンをクリックし、[ファイルのアップロード] をクリックします。
コンピュータの ISO ファイルをダンロードする場所を参照し、[開く] をクリックします。
[はい] をクリックし、オペレーション警告のアップロード/ダウンロードに同意し、データストアダイアログを閉じます。

2

ISO ファイルのマウント:

VMware vSphere クライアントの左ナビゲーションペインで、ESXi サーバーを右クリックし、[設定の編集] をクリックします。
[OK] をクリックし、制限された編集オプションの警告に同意します。
[CD/DVD Drive 1] をクリックし、データストア ISO ファイルからマウントするオプションを選択して、構成 ISO ファイルをアップロードした場所を参照します。
[接続済み] と [電源に接続する] をチェックします。
変更を保存し、仮想マシンを再起動します。

次に行うこと

IT ポリシーが必要な場合は、すべてのノードが設定変更をピックアップした後、オプションで ISO ファイルをアンマウントできます。詳細については、「(オプション) HDS 設定後に ISO をマウント解除」を参照してください。

プロキシ統合のために HDS ノードを設定する

ネットワーク環境でプロキシが必要な場合は、この手順を使用して、ハイブリッドデータセキュリティと統合するプロキシのタイプを指定します。透過型のプロキシまたは HTTPS を明示的なプロキシを選択した場合、ノードのインターフェイスを使用してルート証明書をアップロードしてインストールすることができます。インターフェイスからプロキシ接続を確認し、潜在的な問題をトラブルシューティングすることもできます。

開始する前に

サポートされているプロキシオプションの概要については、「プロキシサポート」を参照してください。
プロキシサーバーの要件

1	HDS ノードセットアップ URL `https://[HDS Node IP or FQDN]/setup` を入力して、ノードに対して設定した管理者資格情報を入力し、[サインイン] をクリックします。
2	[信頼ストアとロキシ] に移動して、次のオプションを選択します。プロキシなし—プロキシを統合する前のデフォルトオプションです。証明書の更新は必要ありません。透明検査なしのプロキシ—ノードは特定のプロキシサーバーアドレスを使用するように設定されていないため、検査なしのプロキシで動作するように変更は必要ありません。証明書の更新は必要ありません。透過型検査プロキシ—ノードは特定のプロキシサーバーアドレスを使用するように設定されていません。ハイブリッドデータセキュリティの展開では HTTPS 構成の変更は必要ありませんが、HDS ノードはプロキシを信頼できるようにするためにルート証明書を必要とします。プロキシを検査することで、Web サイトにアクセスするか、どのタイプのコンテンツを使用するかを強制するポリシーを施行することができます。このタイプのプロキシは、すべてのトラフィック (HTTPS さえも含む) を復号化します。明示的プロキシ—明示的プロキシを使用して、使用するプロキシサーバーをクライアント (HDS ノード) に指示します。このオプションは複数の認証タイプをサポートします。このオプションを選択した後、次の情報を入力する必要があります。プロキシ IP/FQDN—プロキシマシンに到達するために使用できるアドレス。プロキシポート: プロキシがプロキシトラフィックをリッスンするために使用するポート番号。プロキシプロトコル—http (クライアントから受信したすべての要求を表示およびコントロール) または https (サーバーにチャネルを提供し、クライアントがサーバーの証明書を受信して検証します) を選択します。プロキシサーバーがサポートするオプションを選択します。認証タイプ: 次の認証タイプから選択します。なし: 追加の認証は必要ありません。 HTTP または HTTPS プロキシで利用できます。ベーシック—HTTP ユーザーエージェントがリクエストを行う際にユーザー名とパスワードを指定するために使用されます。Base64 エンコードを使用します。 HTTP または HTTPS プロキシで利用できます。このオプションを選択した場合は、ユーザー名とパスワードも入力する必要があります。ダイジェスト: 機密情報を送信する前にアカウントを確認するために使用されます。ネットワークを経由して送信する前に、ユーザー名およびパスワードにハッシュ機能を適用します。 HTTPS プロキシに対してのみ利用できます。このオプションを選択した場合は、ユーザー名とパスワードも入力する必要があります。透過型検査プロキシ、基本認証を持つ HTTP 明示プロキシ、または HTTPS 明示プロキシについては、次のステップに従ってください。
3	[ルート証明書またはエンティティ終了証明書のアップロード] をクリックし、プロキシのルート証明書を選択するために移動します。証明書はアップロードされていますが、まだインストールされていません。証明書をインストールするにはノードを再起動する必要があります。証明書発行者名の山形矢印をクリックして詳細を確認するか、間違っている場合は [削除] をクリックして、ファイルを再度アップロードしてください。
4	[プロキシ接続を確認する] をクリックして、ノードとプロキシ間のネットワーク接続性をテストします。接続テストが失敗した場合は、エラーメッセージが表示され、問題を解決するための理由と方法が示されます。外部 DNS の解決が正常に行われなかったという内容のメッセージが表示された場合、ノードが DNS サーバーに到達できなかったことを示しています。この状況は、多くの明示的なプロキシ構成で想定されています。セットアップを続行すると、ノードは外部 DNS 解決ブロックモードで機能します。これがエラーだと思われる場合は、これらの手順を完了し、「ブロックされた外部 DNS 解決モードをオフにする」を参照してください。
5	接続テストが成功した後、明示的なプロキシについては https のみに設定し、このノードからのすべてのポートの 443/444 https 要求を明示的プロキシを通してルーティングするように切り替えます。この設定を有効にするには 15 秒かかります。
6	[すべての証明書を信頼ストアにインストールする(HTTPS 明示プロキシまたは透過型のプロキシで表示される)] または [再起動] をクリックして、プロンプトを読み、準備が完了したら [インストール] をクリックします。ノードが数分以内に再起動されます。
7	ノードが再起動したら、必要に応じて再度サインインして、[概要] ページを開き、接続チェックを確認してすべて緑色のステータスになっていることを確認します。プロキシ接続の確認は webex.com のサブドメインのみをテストします。接続の問題がある場合、インストール手順に記載されているクラウドドメインの一部がプロキシでブロックされているという問題がよく見られます。

クラスタ内の最初のノードを登録

このタスクは、「ハイブリッドデータセキュリティ VM のセットアップ」で作成した汎用ノードを取り、ノードを Webex クラウドに登録し、ハイブリッドデータセキュリティノードに変換します。

最初のノードを登録するとき、クラスターをノードが指定されている場所に作成します。クラスターには展開された 1 つ上のノードを含み、冗長性を提供します。

開始する前に

一旦ノードの登録を開始すると、60 分以内に完了する必要があり、そうでなければ、再び最初からやり直しになります。
ブラウザのポップアップブロッカーが無効になっているか、admin.webex.com の例外を許可していることを確認してください。

1	https://admin.webex.comにサインインします。
2	スクリーンの左側にあるメニューからサービスを選択します。
3	[クラウドサービス] セクションで、ハイブリッドデータセキュリティカードを見つけ、[セットアップ] をクリックします。
4	開いたページで、[リソースの追加] をクリックします。
5	[ノードを追加] カードの最初のフィールドで、ハイブリッドデータセキュリティノードを割り当てるクラスタの名前を入力します。クラスターのノードが地理的にどこに配置されているかに基づきクラスターに名前を付けることをお薦めします。例:「サンフランシスコ」または「ニューヨーク」または「ダラス」
6	2 番目のフィールドに、ノードの内部 IP アドレスまたは完全修飾ドメイン名 (FQDN) を入力し、画面下部にある [追加] をクリックします。この IP アドレスまたは FQDN は、「ハイブリッドデータセキュリティ VM をセットアップする」で使用した IP アドレスまたはホスト名とドメインと一致する必要があります。ノードを Webex に登録できることを示すメッセージが表示されます。
7	[ノードに進む] をクリックします。しばらくすると、Webex サービスのノード接続テストにリダイレクトされます。すべてのテストが成功した場合、[ハイブリッドデータセキュリティノードへのアクセスを許可する] ページが表示されます。そこでは、ノードにアクセスする権限を Webex 組織に付与することを確認します。
8	[ハイブリッドデータセキュリティノードへのアクセスを許可する] チェックボックスをチェックし、[続行] をクリックします。アカウントが検証され、「登録完了」メッセージは、ノードが Webex クラウドに登録されていることを示します。
9	リンクをクリックするか、タブを閉じて、Partner Hub ハイブリッドデータセキュリティページに戻ります。 [ハイブリッドデータセキュリティ] ページで、登録したノードを含む新しいクラスタが [リソース] タブの下に表示されます。ノードは自動的にクラウドから最新ソフトウェアをダウンロードします。

他のノードを作成して登録

追加ノードをクラスターに追加するには、追加 VMs を作成し、同じ構成 ISO ファイルをマウントし、ノードを登録します。最低 3 個のノードを持つことを推奨します。

開始する前に

一旦ノードの登録を開始すると、60 分以内に完了する必要があり、そうでなければ、再び最初からやり直しになります。
ブラウザのポップアップブロッカーが無効になっているか、admin.webex.com の例外を許可していることを確認してください。

1	OVA から新しい仮想マシンを作成し、「HDS ホスト OVA をインストールする」の手順を繰り返します。
2	新しい VM で初期設定をセットアップし、「ハイブリッドデータセキュリティ VM のセットアップ」の手順を繰り返します。
3	新しい VM で、「HDS 構成 ISO をアップロードおよびマウントする」の手順を繰り返します。
4	展開用にプロキシを設定している場合は、新しいノードで「プロキシ統合のために HDS ノードを構成する」の手順を繰り返します。
5	ノードを登録します。 https://admin.webex.com で、[サービス] をスクリーンの左側にあるメニューから選択します。 [クラウドサービス] セクションで、ハイブリッドデータセキュリティカードを見つけ、[すべて表示] をクリックします。 [ハイブリッドデータセキュリティリソース] ページが表示されます。新しく作成されたクラスターが [リソース ] ページに表示されます。クラスタをクリックすると、クラスタに割り当てられたノードが表示されます。画面の右側にある [ノードの追加] をクリックします。ノードの内部 IP アドレスまたは完全修飾ドメイン名 (FQDN) を入力し、[追加] をクリックします。ページが開き、ノードを Webex クラウドに登録できることを示すメッセージが表示されます。しばらくすると、Webex サービスのノード接続テストにリダイレクトされます。すべてのテストが成功した場合、[ハイブリッドデータセキュリティノードへのアクセスを許可する] ページが表示されます。そこで、組織にノードにアクセスする権限を付与することを確認します。 [ハイブリッドデータセキュリティノードへのアクセスを許可する] チェックボックスをチェックし、[続行] をクリックします。アカウントが検証され、「登録完了」メッセージは、ノードが Webex クラウドに登録されていることを示します。リンクをクリックするか、タブを閉じて、Partner Hub ハイブリッドデータセキュリティページに戻ります。ノードが追加されましたポップアップメッセージは、Partner Hub の画面下部にも表示されます。ノードが登録されています。

マルチテナントのハイブリッドデータセキュリティでテナント組織を管理する

Partner Hub でマルチテナント HDS をアクティブにする

このタスクにより、顧客組織のすべてのユーザーがオンプレミスの暗号化キーやその他のセキュリティサービスに HDS を活用できるようになります。

開始する前に

必要なノード数を持つマルチテナント HDS クラスタのセットアップが完了していることを確認します。

1	https://admin.webex.comにサインインします。
2	スクリーンの左側にあるメニューからサービスを選択します。
3	[クラウドサービス] セクションで、ハイブリッドデータセキュリティを見つけ、[設定の編集] をクリックします。
4	[HDS ステータス] カードで [HDS を有効にする] をクリックします。

Partner Hub でテナント組織を追加

このタスクでは、顧客組織をハイブリッドデータセキュリティクラスタに割り当てます。

1	https://admin.webex.comにサインインします。
2	スクリーンの左側にあるメニューからサービスを選択します。
3	[クラウドサービス] セクションで、ハイブリッドデータセキュリティを見つけ、[すべて表示] をクリックします。
4	顧客を割り当てるクラスタをクリックします。
5	[割り当てられた顧客] タブに移動します。
6	[顧客の追加] をクリックします。
7	ドロップダウンメニューから追加する顧客を選択します。
8	[追加] をクリックすると、顧客がクラスタに追加されます。
9	複数の顧客をクラスタに追加するには、手順 6 ～ 8 を繰り返します。
10	顧客を追加したら、画面下部にある [完了] をクリックします。

次に行うこと

「HDS セットアップツールを使用してカスタマーメインキー (CMK) を作成する」で詳しく説明されている HDS セットアップツールを実行し、セットアッププロセスを完了します。

HDS セットアップツールを使用してカスタマーメインキー (CMK) を作成する

開始する前に

「Partner Hub でテナント組織を追加する」の詳細に従って、適切なクラスターに顧客を割り当てます。HDS セットアップツールを実行して、新しく追加された顧客組織のセットアッププロセスを完了します。

HDS セットアップツールをローカルマシンの Docker コンテナとして実行します。アクセスするには、そのマシンで Docker を実行します。セットアッププロセスには、組織のフル管理者権限を持つパートナーハブアカウントの資格情報が必要です。

HDS セットアップツールが環境内のプロキシの背後で実行されている場合、ステップ 5 で Docker コンテナを起動する際に、Docker 環境変数を通してプロキシ設定 (サーバー、ポート、資格情報) を提供します。この表ではいくつかの可能な環境変数を示します。

説明	変数
認証なしの HTTP プロキシ	`グローバル_エージェント_HTTP_PROXY=http://SERVER_IP:PORT`
認証なしの HTTPS プロキシ	`グローバル_エージェント_HTTPS_PROXY=http://SERVER_IP:ポート`
認証ありの HTTP プロキシ	`グローバル_エージェント_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
認証ありの HTTPS プロキシ	`グローバル_エージェント_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

生成する構成 ISO ファイルには、PostgreSQL または Microsoft SQL Server データベースを暗号化するマスターキーが含まれています。次のような設定変更を行うときは、このファイルの最新コピーが必要です。
- データベースクレデンシャル
- 証明書の更新
- 認証ポリシーの変更
データベース接続を暗号化する場合は、TLS 用に PostgreSQL または SQL Server の展開を設定します。

ハイブリッドデータセキュリティセットアッププロセスは、ISO ファイルを作成します。その後、ISO を使用してハイブリッドデータセキュリティホストを構成します。

1	マシンのコマンドラインで、お使い環境に適切なコマンドを入力します。一般環境: `docker rmi ciscocitg/hds-setup:stable` FedRAMP 環境の場合: `docker rmi ciscocitg/hds-setup-fedramp:stable` このステップを実行すると、前の HDS セットアップツールの画像がクリーンアップされます。これ以前の画像がない場合は、無視できるエラーを返します。
2	Docker 画像レジストリにサインインするには、以下を入力します。 `ドッカーログイン -u hdscustomersro`
3	パスワードのプロンプトに対して、このハッシュを入力します。 `dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo`
4	お使い環境に合った最新の安定した画像をダウンロードします。一般環境: `ドッカープル ciscocitg/hds-setup:stable` FedRAMP 環境の場合: `ドッカープル ciscocitg/hds-setup-fedramp:stable`
5	プルが完了したら、お使いの環境に適切なコマンドを入力します。プロキシなしの通常の環境の場合: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable` HTTP プロキシがある通常の環境の場合、 `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:ポート ciscocitg/hds-setup:stable` HTTPS プロキシがある通常の環境の場合: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:ポート ciscocitg/hds-setup:stable` プロキシなしの FedRAMP 環境の場合: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable` HTTP プロキシがある FedRAMP 環境の場合: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:ポート ciscocitg/hds-setup-fedramp:stable` HTTPS プロキシがある FedRAMP 環境の場合: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:ポート ciscocitg/hds-setup-fedramp:stable` コンテナが実行中の時。「ポート 8080 で Express サーバーリスニング中」と表示されます。
6	セットアップツールは、http://localhost:8080 を介した localhost への接続をサポートしていません。http://127.0.0.1:8080 を使用して、localhost に接続します。 Web ブラウザを使用して、localhost `http://127.0.0.1:8080` に移動し、プロンプトで Partner Hub の管理者ユーザー名を入力します。ツールは、このユーザー名の最初のエントリを使用して、そのアカウントに適した環境を設定します。その後、ツールには標準のサインインプロンプトが表示されます。
7	プロンプトが表示されたら、Partner Hub 管理者のサインイン資格情報を入力し、[ログイン] をクリックして、ハイブリッドデータセキュリティに必要なサービスへのアクセスを許可します。
8	セットアップツール概要ページで、[開始] をクリックします。
9	[ISO インポート] ページで、[はい] をクリックします。
10	ブラウザで ISO ファイルを選択してアップロードします。 CMK 管理を実行するには、データベースへの接続を確認します。
11	[テナント CMK 管理] タブに進み、テナント CMK を管理する次の 3 つの方法を確認します。すべての組織に対して CMK を作成または CMK を作成 - 画面上部のバナーでこのボタンをクリックすると、新しく追加されたすべての組織に対して CMK が作成されます。画面の右側にある [CMK の管理] ボタンをクリックし、[CMK の作成] をクリックして、新しく追加されたすべての組織に対して CMK を作成します。テーブル内の特定の組織の CMK 管理保留ステータスの近くにある […] をクリックし、[CMK の作成] をクリックして、その組織の CMK を作成します。
12	CMK の作成が成功すると、テーブルのステータスは CMK 管理保留中から CMK 管理に変更されます。
13	CMK の作成に失敗した場合は、エラーが表示されます。

テナント組織を削除

開始する前に

削除すると、顧客組織のユーザーは暗号化ニーズに HDS を利用できなくなり、既存のスペースはすべて失われます。顧客の組織を削除する前に、Cisco パートナーまたはアカウントマネージャーに連絡してください。

1	https://admin.webex.comにサインインします。
2	スクリーンの左側にあるメニューからサービスを選択します。
3	[クラウドサービス] セクションで、ハイブリッドデータセキュリティを見つけ、[すべて表示] をクリックします。
4	[リソース] タブで、顧客組織を削除するクラスタをクリックします。
5	開いたページで、[割り当てられた顧客] をクリックします。
6	表示される顧客組織のリストから、削除する顧客組織の右側にある ... をクリックし、[クラスターから削除] をクリックします。

次に行うこと

「HDS から削除されたテナントの CMK を取り消す」に記載されているように、顧客組織の CMK を取り消して、削除プロセスを完了します。

HDS から削除されたテナントの CMK を取り消します。

開始する前に

「テナント組織の削除」の詳細に従って、適切なクラスタから顧客を削除します。HDS セットアップツールを実行して、削除された顧客組織の削除プロセスを完了します。

HDS セットアップツールをローカルマシンの Docker コンテナとして実行します。アクセスするには、そのマシンで Docker を実行します。セットアッププロセスには、組織のフル管理者権限を持つパートナーハブアカウントの資格情報が必要です。

HDS セットアップツールが環境内のプロキシの背後で実行されている場合、ステップ 5 で Docker コンテナを起動する際に、Docker 環境変数を通してプロキシ設定 (サーバー、ポート、資格情報) を提供します。この表ではいくつかの可能な環境変数を示します。

説明	変数
認証なしの HTTP プロキシ	`グローバル_エージェント_HTTP_PROXY=http://SERVER_IP:PORT`
認証なしの HTTPS プロキシ	`グローバル_エージェント_HTTPS_PROXY=http://SERVER_IP:ポート`
認証ありの HTTP プロキシ	`グローバル_エージェント_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
認証ありの HTTPS プロキシ	`グローバル_エージェント_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

生成する構成 ISO ファイルには、PostgreSQL または Microsoft SQL Server データベースを暗号化するマスターキーが含まれています。次のような設定変更を行うときは、このファイルの最新コピーが必要です。
- データベースクレデンシャル
- 証明書の更新
- 認証ポリシーの変更
データベース接続を暗号化する場合は、TLS 用に PostgreSQL または SQL Server の展開を設定します。

ハイブリッドデータセキュリティセットアッププロセスは、ISO ファイルを作成します。その後、ISO を使用してハイブリッドデータセキュリティホストを構成します。

1	マシンのコマンドラインで、お使い環境に適切なコマンドを入力します。一般環境: `docker rmi ciscocitg/hds-setup:stable` FedRAMP 環境の場合: `docker rmi ciscocitg/hds-setup-fedramp:stable` このステップを実行すると、前の HDS セットアップツールの画像がクリーンアップされます。これ以前の画像がない場合は、無視できるエラーを返します。
2	Docker 画像レジストリにサインインするには、以下を入力します。 `ドッカーログイン -u hdscustomersro`
3	パスワードのプロンプトに対して、このハッシュを入力します。 `dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo`
4	お使い環境に合った最新の安定した画像をダウンロードします。一般環境: `ドッカープル ciscocitg/hds-setup:stable` FedRAMP 環境の場合: `ドッカープル ciscocitg/hds-setup-fedramp:stable`
5	プルが完了したら、お使いの環境に適切なコマンドを入力します。プロキシなしの通常の環境の場合: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable` HTTP プロキシがある通常の環境の場合、 `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:ポート ciscocitg/hds-setup:stable` HTTPS プロキシがある通常の環境の場合: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:ポート ciscocitg/hds-setup:stable` プロキシなしの FedRAMP 環境の場合: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable` HTTP プロキシがある FedRAMP 環境の場合: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:ポート ciscocitg/hds-setup-fedramp:stable` HTTPS プロキシがある FedRAMP 環境の場合: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:ポート ciscocitg/hds-setup-fedramp:stable` コンテナが実行中の時。「ポート 8080 で Express サーバーリスニング中」と表示されます。
6	セットアップツールは、http://localhost:8080 を介した localhost への接続をサポートしていません。http://127.0.0.1:8080 を使用して、localhost に接続します。 Web ブラウザを使用して、localhost `http://127.0.0.1:8080` に移動し、プロンプトで Partner Hub の管理者ユーザー名を入力します。ツールは、このユーザー名の最初のエントリを使用して、そのアカウントに適した環境を設定します。その後、ツールには標準のサインインプロンプトが表示されます。
7	プロンプトが表示されたら、Partner Hub 管理者のサインイン資格情報を入力し、[ログイン] をクリックして、ハイブリッドデータセキュリティに必要なサービスへのアクセスを許可します。
8	セットアップツール概要ページで、[開始] をクリックします。
9	[ISO インポート] ページで、[はい] をクリックします。
10	ブラウザで ISO ファイルを選択してアップロードします。
11	[テナント CMK 管理] タブに進み、テナント CMK を管理する次の 3 つの方法を確認します。すべての組織に対して CMK を取り消すまたは CMK を取り消す - 画面上部のバナーでこのボタンをクリックすると、削除されたすべての組織の CMK が取り消されます。画面の右側にある [CMK の管理] ボタンをクリックし、[CMK の取り消し] をクリックして、削除されたすべての組織の CMK を取り消します。テーブル内の特定の組織の [CMK を取り消す] ステータス近くの [CMK を取り消す] をクリックし、[CMK を取り消す] をクリックして、その特定の組織の CMK を取り消します。
12	CMK の取り消しが成功すると、顧客組織はテーブルに表示されなくなります。
13	CMK 失効が失敗した場合、エラーが表示されます。

ハイブリッドデータセキュリティの展開をテスト

ハイブリッドデータセキュリティ展開

この手順を使用して、マルチテナントのハイブリッドデータセキュリティ暗号化のシナリオをテストします。

開始する前に

マルチテナントのハイブリッドデータセキュリティの展開をセットアップします。
syslog にアクセスして、重要な要求がマルチテナントハイブリッドデータセキュリティ展開に渡されていることを確認します。

1

与えられたスペースのキーは、スペースの作成者により設定されます。顧客組織のユーザーの 1 人として Webex アプリにサインインし、スペースを作成します。

ハイブリッドデータセキュリティ展開を非アクティブにすると、クライアントのキャッシュされた暗号化キーのコピーが置き換えられると、ユーザーが作成したスペースのコンテンツにアクセスできなくなります。

2

メッセージを新しいスペースに送信します。

3

syslog 出力をチェックして、重要な要求がハイブリッドデータセキュリティ展開に渡されていることを確認します。

ユーザーが最初に KMS に対してセキュアなチャネルを確立していることを確認するには、kms.data.method=create および kms.data.type=EPHEMERAL_KEY_コレクション でフィルタリングします。

次のようなエントリ (読みやすくするために識別子が省略されます) を見つける必要があります。:

2020-07-21 17:35:34.562 (+0000) 情報 KMS [pool-14-thread-1] - [KMS:REQUEST] を受信、deviceId:https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

KMS から既存のキーをリクエストしているユーザーを確認するには、kms.data.method=retrieve および kms.data.type=KEY でフィルタリングします。

以下のエントリーを見つける必要があります。

2020-07-21 17:44:19.889 (+0000) 情報 KMS [pool-14-thread-31] - [KMS:REQUEST] 受信、deviceId:https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

新しい KMS キーの作成を要求しているユーザーを確認するには、kms.data.method=create および kms.data.type=KEY_COLLECTION でフィルタリングします。

以下のエントリーを見つける必要があります。

2020-07-21 17:44:21.975 (+0000) 情報 KMS [pool-14-thread-33] - [KMS:REQUEST] を受信、deviceId:https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

スペースまたはその他の保護されたリソースが作成されたときに、新しい KMS リソースオブジェクト (KRO) の作成を要求するユーザーを確認するには、kms.data.method=create および kms.data.type=RESOURCE_COLLECTION でフィルタリングします。

以下のエントリーを見つける必要があります。

2020-07-21 17:44:22.808 (+0000) 情報 KMS [pool-15-thread-1] - [KMS:REQUEST] を受信、deviceId:https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

ハイブリッドデータセキュリティの正常性のモニター

Partner Hub 内のステータスインジケータは、マルチテナントハイブリッドデータセキュリティの展開にすべて適合しているかどうかを示します。事前のアラートについては、メール通知にサインアップします。サービスに影響するアラームやソフトウェアアップグレードがある場合は通知されます。

1	[パートナーハブ] で、画面の左側にあるメニューから [サービス] を選択します。
2	[クラウドサービス] セクションで、ハイブリッドデータセキュリティを見つけ、 [設定の編集] をクリックします。ハイブリッドデータセキュリティ設定のページが表示されます。
3	[メール通知] セクションで、カンマ区切りで 1 つ以上のメールアドレスを入力し、[Enter] を推します。

HDS 展開を管理します

HDS 展開の管理

ここで説明されているタスクを使用して、ハイブリッドデータセキュリティの展開を管理します。

クラスターのアップグレードスケジュール

ハイブリッドデータセキュリティのソフトウェアアップグレードはクラスタレベルで自動的に実行されるため、すべてのノードが常に同じソフトウェアバージョンを実行していることを保証します。アップグレードは、クラスターのアップグレードのスケジュールに従って行われます。ソフトウェアのアップグレードが可能になると、スケジュールされているアップグレードの時間の前に手動でクラスターのアップグレードを行うことも可能になります。特定のアップグレードのスケジュールを設定するか、毎日午前 3 時 (アメリカ合衆国) に行うというデフォルトのスケジュールも利用可能です。アメリカ/ロサンゼルス必要であれば、次に予定されているアップグレードを延期することも可能です。

アップグレードのスケジュールを設定するには、次の操作を行います。

1	Partner Hub にサインインします。
2	スクリーンの左側にあるメニューからサービスを選択します。
3	[クラウドサービス] セクションで、ハイブリッドデータセキュリティを見つけ、[セットアップ] をクリックします。
4	[ハイブリッドデータセキュリティリソース] ページで、クラスタを選択します。
5	[クラスター設定] タブをクリックします。
6	[クラスタ設定（Cluster Settings）] ページの [アップグレードスケジュール（Upgrade Schedule）] で、アップグレードスケジュールの時間とタイムゾーンを選択します。注意: タイムゾーンの下に、次に可能なアップグレードの日時が表示されます。必要に応じて、[24 時間延期する] をクリックして、アップグレードを翌日に延期することができます。

ノードの構成を変更する

場合により、以下のような理由でハイブリッドデータセキュリティノードの構成の変更が必要な場合があります。

有効期限が切れる、または他の理由による、x.509 証明書の変更。

証明書の CN ドメイン名の変更はサポートされていません。ドメインは、クラスターを登録するために使用される元のドメインと一致する必要があります。
データベース設定を更新して、PostgreSQL または Microsoft SQL Server データベースのレプリカを変更します。

PostgreSQL から Microsoft SQL Server への、またはその逆へのデータ移行はサポートしていません。データベース環境を切り替えるには、ハイブリッドデータセキュリティの新しい展開を開始します。
新しい構成を作成して新しいデータセンターの準備をする。

また、セキュリティ上の理由により、ハイブリッドデータセキュリティは 9 か月間使用可能なサービスアカウントパスワードを使用します。HDS セットアップツールがこれらのパスワードを生成した後で、ISO 構成ファイルの各 HDS ノードに展開します。組織のパスワードの有効期限切れが近い場合、Webex チームから「パスワード期限切れ通知」を受け取り、マシンアカウントのパスワードのリセットを求められます。(メールにはテキスト「マシンアカウント API を使用してパスワードを更新します」を含みます。) パスワードの有効期限が切れるまで時間が十分にある場合、ツールには次の 2 つのオプションがあります:

ソフトリセット: 古いパスワードと新しいパスワードの両方が最大 10 日間有効です。この期間を使用して、ノードの ISO ファイルを段階的に置き換えることができます。
ハードリセット: 古いパスワードがすぐに機能しなくなります。

パスワードをリセットせずに期限切れになる場合、HDS サービスに影響を与える可能性があります。すぐにハードリセットし、すべてのノードの ISO ファイルを置換する必要があります。

この手順を使用して、新しい構成 ISO ファイルを生成し、クラスターに適用します。

始める前に

HDS セットアップツールをローカルマシンの Docker コンテナとして実行します。アクセスするには、そのマシンで Docker を実行します。セットアッププロセスには、パートナーのフル管理者権限を持つ Partner Hub アカウントの資格情報が必要です。

HDS セットアップツールが環境内のプロキシの背後で実行されている場合、1.e で Docker コンテナを起動する際に、Docker 環境変数を通してプロキシ設定 (サーバー、ポート、資格情報) を提供します。この表ではいくつかの可能な環境変数を示します。

説明	変数
認証なしの HTTP プロキシ	`グローバル_エージェント_HTTP_PROXY=http://SERVER_IP:PORT`
認証なしの HTTPS プロキシ	`グローバル_エージェント_HTTPS_PROXY=http://SERVER_IP:ポート`
認証ありの HTTP プロキシ	`グローバル_エージェント_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
認証ありの HTTPS プロキシ	`グローバル_エージェント_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

新しい構成を生成するには、現在の構成 ISO ファイルのコピーが必要です。ISO には PostgreSQL または Microsoft SQL Server データベースを暗号化するマスターキーを含むです。データベースの証明書、証明書の更新、認証方針への変更を含む、構成の変更を行った場合は ISO が必要です。

1	ローカルマシンで Docker を使用し、HDS セットアップツールを実行します。マシンのコマンドラインで、お使い環境に適切なコマンドを入力します。一般環境: `docker rmi ciscocitg/hds-setup:stable` FedRAMP 環境の場合: `docker rmi ciscocitg/hds-setup-fedramp:stable` このステップを実行すると、前の HDS セットアップツールの画像がクリーンアップされます。これ以前の画像がない場合は、無視できるエラーを返します。 Docker 画像レジストリにサインインするには、以下を入力します。 `ドッカーログイン -u hdscustomersro` パスワードのプロンプトに対して、このハッシュを入力します。 `dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo` お使い環境に合った最新の安定した画像をダウンロードします。一般環境: `ドッカープル ciscocitg/hds-setup:stable` FedRAMP 環境の場合: `ドッカープル ciscocitg/hds-setup-fedramp:stable` この手順に最新のセットアップツールをプルしていることを確認します。2018 年 2 月 22 日より前に作成されたツールのバージョンには、パスワードリセット画面が表示されません。プルが完了したら、お使いの環境に適切なコマンドを入力します。プロキシなしの通常の環境の場合: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable` HTTP プロキシがある通常の環境の場合、 `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:ポート ciscocitg/hds-setup:stable` HTTPS プロキシがある通常の環境の場合: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:ポート ciscocitg/hds-setup:stable` プロキシなしの FedRAMP 環境の場合: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable` HTTP プロキシがある FedRAMP 環境の場合: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:ポート ciscocitg/hds-setup-fedramp:stable` HTTPS プロキシがある FedRAMP 環境の場合: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:ポート ciscocitg/hds-setup-fedramp:stable` コンテナが実行中の時。「ポート 8080 で Express サーバーリスニング中」と表示されます。ブラウザを使用して、ローカルホスト `http://127.0.0.1:8080` に接続します。セットアップツールは、http://localhost:8080 を介した localhost への接続をサポートしていません。http://127.0.0.1:8080 を使用して、localhost に接続します。プロンプトが表示されたら、Partner Hub の顧客サインイン情報を入力し、[承認] をクリックして続行します。現在の構成 ISO ファイルをインポートします。指示に従い、ツールを完了し、更新されたファイルをダウンロードします。セットアップツールをシャットダウンするには、[`CTRL+C`] と入力します。別のデータセンターで、更新されたファイルのバックアップコピーを作成します。
2	実行中の HDS ノードが 1 つしかない場合、新しいハイブリッドデータセキュリティノード VM を作成し、新しい構成 ISO ファイルを使用して登録します。詳細については、「さらにノードを作成して登録する」を参照してください。 HDS 主催者 OVA をインストールします。 HDS VM をセットアップします。更新された構成ファイルをマウントします。 Partner Hub で新しいノードを登録します。
3	古い構成ファイルを実行している既存の HDS ノードの場合、ISO ファイルをマウントします。各ノードで以下の手順を実行し、次のノードをオフにする前に、各ノードを更新します。仮想マシンをオフにします。 VMware vSphere クライアントの左ナビゲーションペインで、ESXi サーバーを右クリックし、[設定の編集] をクリックします。 [`CD/DVD Drive 1`] をクリックし、ISO ファイルからマウントするオプションを選択して、新規構成 ISO ファイルをダウンロードした場所を参照します。 [電源に接続する] をチェックします。変更を保存し、仮想マシンを起動します。
4	ステップ 3 を繰り返し、古い構成ファイルを実行している残りの各ノードで構成を置き換えます。

外部 DNS 解決ブロックモードをオフにする

ノードを登録するか、またはノードのプロキシ構成を確認するとき、プロセスは DNS 検索と Cisco Webex クラウドへの接続をテストします。ノードの DNS サーバーがパブリック DNS 名を解決できない場合、ノードは自動的に外部 DNS 解決ブロックモードに進みます。

ノードが内部 DNS サーバーを通してパブリック DNS 名を解決できる場合、各ノードでプロキシ接続テストを再実行することで、このモードをオフにすることができます。

開始する前に

内部 DNS サーバーがパブリック DNS 名を解決でき、ノードがそれらと通信できることを確認します。

1	Web ブラウザで、ハイブリッドデータセキュリティノードインターフェイス (IP アドレス/セットアップ、例: https://192.0.2.0/setup), ノードに設定した管理者資格情報を入力し、サインイン。
2	[概要] (デフォルトページ) に移動します。有効になっている場合、 [外部 DNS 解決ブロック] は [はい] に設定されています。
3	[信頼ストアとプロキシ] ページに移動します。
4	[プロキシ接続を確認する] をクリックします。外部 DNS の解決が正常に行われなかったという内容のメッセージが表示された場合、ノードが DNS サーバーに到達できなかったことを示しており、このモードに留まっています。そうでない場合には、ノードを再起動して[概要] ページに戻ると、[外部 DNS 解決ブロック] は [いいえ] に設定されるはずです。

次に行うこと

ハイブリッドデータセキュリティクラスターの各ノードで、プロキシ接続テストを繰り返します。

ノードの削除

この手順を使用して、Webex クラウドからハイブリッドデータセキュリティノードを削除します。クラスタからノードを削除した後、仮想マシンを削除して、セキュリティデータへのさらなるアクセスを防止します。

1

コンピュータの VMware vSphere クライアントを使用して、ESXi 仮想主催者にログインし、仮想マシンをオフにします。

2

ノードの削除:

Partner Hub にサインインし、[サービス] を選択します。
ハイブリッドデータセキュリティカードで、[すべて表示] をクリックして、ハイブリッドデータセキュリティリソースページを表示します。
クラスタを選択して [概要] パネルを表示します。
削除するノードをクリックします。
右に表示されるパネルで、[このノードの登録解除] をクリックします。
ノードの右側にある […] をクリックして、[このノードを削除] を選択することで、ノードの登録を解除することもできます。

3

vSphere クライアントで、VM を削除します。(左側のナビゲーションペインで、VM を右クリックし、[削除] をクリックします。)

VM を削除しない場合は、構成 ISO ファイルをアンマウントすることを忘れないでください。ISO ファイルがないと、VM を使用してセキュリティデータにアクセスすることはできません。

スタンバイデータセンターを使用した災害復旧

ハイブリッドデータセキュリティクラスターが提供する最も重要なサービスは、Webex クラウドに保存されたメッセージやその他のコンテンツを暗号化するために使用されるキーの作成と保存です。ハイブリッドデータセキュリティに割り当てられている組織内の各ユーザーについて、新しいキー作成リクエストはクラスタにルーティングされます。カンバセーションスペースのメンバーなど、受け取りの認可を得ているユーザーに、作成されるキーを戻す責任がクラスターにはあります。

クラスタープラットフォームはこれらのキーを提供するにあたり重要な機能となるため、クラスターが実行中のままで、適切なバックアップが維持されている必要があります。ハイブリッドデータセキュリティデータベースまたはスキーマに使用される構成 ISO の損失により、顧客コンテンツは回復不能になります。損失などを防ぐためには、以下のプラクティスが必須です:

災害により、プライマリデータセンターの HDS 展開が利用できなくなる場合は、次の手順に従って、スタンバイデータセンターに手動でフェールオーバーします。

開始する前に

「ノードを削除」に記載されているように、Partner Hub からすべてのノードを登録解除します。以前にアクティブであったクラスタのノードに対して設定された最新の ISO ファイルを使用して、以下に示すフェールオーバー手順を実行します。

1	HDS セットアップツールを開始し、「HDS ホストの構成 ISO を作成する」に記載されている手順に従います。
2	設定プロセスを完了し、見つけやすい場所に ISO ファイルを保存します。
3	ローカルシステムの ISO ファイルのバックアップコピーを作成します。バックアップコピーを安全に保ちます。このファイルには、データベースコンテンツのマスター暗号化キーを含みます。設定変更を行う必要があるハイブリッドデータセキュリティ管理者のみにアクセスを制限します。
4	VMware vSphere クライアントの左ナビゲーションペインで、ESXi サーバーを右クリックし、[設定の編集] をクリックします。
5	[設定の編集] > [CD/DVD ドライブ 1] をクリックし、データストア ISO ファイルを選択します。ノードの開始後に更新された構成変更が有効になるように、[接続済み] と [電源で接続] がオンになっていることを確認します。
6	HDS ノードの電源をオンにし、少なくとも 15 分間アラームがないことを確認します。
7	Partner Hub でノードを登録します。「クラスタの最初のノードを登録する」を参照してください。
8	スタンバイデータセンター内のすべてのノードに対してこのプロセスを繰り返します。

次に行うこと

フェールオーバー後、プライマリデータセンターが再びアクティブになった場合は、スタンバイデータセンターのノードを登録解除し、前述のように ISO の設定とプライマリデータセンターのノードを登録するプロセスを繰り返します。

(オプション) HDS 設定後に ISO を取り外す

標準 HDS 設定は、ISO がマウントされた状態で実行されます。ただし、ISO ファイルを継続的にマウントすることを希望する顧客もあります。すべての HDS ノードが新しい設定を取得すると、ISO ファイルをマウント解除できます。

設定変更を行うには、引き続き ISO ファイルを使用します。新しい ISO を作成するか、セットアップツールから ISO を更新する場合は、更新された ISO をすべての HDS ノードにマウントする必要があります。すべてのノードが設定変更をピックアップしたら、この手順で ISO をアンマウントできます。

開始する前に

すべての HDS ノードをバージョン 2021.01.22.4720 以降にアップグレードします。

1	HDS ノードの 1 つをシャットダウンします。
2	vCenter Server アプライアンスで、HDS ノードを選択します。
3	[設定の編集] > [CD/DVD ドライブ] の順に選択し、[データストア ISO ファイル] のチェックを外します。
4	HDS ノードの電源をオンにし、少なくとも 20 分間アラームがないことを確認します。
5	各 HDS ノードに対して順番に繰り返します。

ハイブリッドデータセキュリティのトラブルシューティング

アラートを表示してトラブルシューティングする

ハイブリッドデータセキュリティの展開は、クラスタ内のすべてのノードに到達できない場合、またはクラスタが動作が遅いため、要求がタイムアウトになった場合、利用できないと見なされます。ユーザーがハイブリッドデータセキュリティクラスタに到達できない場合、次の症状を経験します。

新しいスペースが作成できない (新しいキーを作成できない)
メッセージとスペースのタイトルを暗号解除できない:
- 新しいユーザーをスペースに追加する (キーを取得できない)
- 新しいクライアントを使用したスペースの既存ユーザー (キーを取得できない)
クライアントが暗号キーのキャッシュを持っている限り、スペースの既存ユーザーは引き続き正常に実行します

サービスの中断を避けるために、ハイブリッドデータセキュリティクラスタを適切に監視し、アラートを速やかに解決することが重要です。

警告

ハイブリッドデータセキュリティのセットアップに問題がある場合、Partner Hub は組織管理者にアラートを表示し、構成されたメールアドレスにメールを送信します。アラートでは多くに共通するシナリオを説明しています。

表 1YAZ設定オプション共通の問題と解決ステップ
警告	アクション
ローカルデータべースへのアクセスに失敗しました。	データベースのエラーかローカルネットワークの問題をチェックしてください。
ローカルデータベースの接続に失敗しました。	データベースサーバーが利用可能であり、正しいサービスアカウント証明書がノード構成に使用されていたことをチェックします。
クラウドサービスへのアクセスに失敗しました。	外部接続要件で指定されている通り、ノードが Webex サーバーにアクセスできることを確認します。
クラウドサービスの登録を更新します。	クラウドサービスへの登録に失敗しました。登録の更新は現在進行中です。
クラウドサービスの登録に失敗しました。	クラウドサービスへの登録が終了しましたサービスがシャットダウンしました。
サービスがアクティベートされていません。	Partner Hub で HDS を有効にします。
構成されたドメインはサーバー証明書に一致しません。	サーバー証明書が構成されたサービスアクティベーションドメインに一致することを確認します。もっとも多い原因は、証明書 CN が最近変更され、最初のセットアップ中に使用された CN とは異なっているためです。
クラウドサービスへの認証に失敗しました。	正確性とサービスアカウント証明書の期限切れの可能性をチェックします。
ローカルキーストアファイルを開くことに失敗しました。	ローカルキーストアファイルの整合性とパスワードの正確性をチェックします。
ローカルサーバー証明書が無効です。	サーバー証明書の期限切れ日をチェックし、信頼できる証明書権限から発行されたものであることを確認します。
メトリクスを投稿できません。	外部クラウドサービスへのローカルネットワークアクセスをチェックします。
/media/configdrive/hds ディレクトリは存在しません。	仮想ホストで ISO マウント構成をチェックします。ISO ファイルが存在し、再起動時にマウントされるように構成されており、正常にマウントされていることを確認します。
追加された組織では、テナント組織のセットアップが完了していません	HDS セットアップツールを使用して、新しく追加されたテナント組織の CMK を作成してセットアップを完了します。
削除された組織のテナント組織のセットアップが完了していません	HDS セットアップツールを使用して削除されたテナント組織の CMK を取り消すことでセットアップを完了します。

ハイブリッドデータセキュリティのトラブルシューティング

ハイブリッドデータセキュリティの問題をトラブルシューティングする際には、次の一般的なガイドラインを使用してください。

1	アラートについては Partner Hub を確認し、そこで見つかった項目を修正します。参照については、以下の画像を参照してください。
2	ハイブリッドデータセキュリティ展開からのアクティビティの syslog サーバー出力を確認します。「警告」や「エラー」などの単語をフィルタリングして、トラブルシューティングに役立ちます。
3	Cisco サポートに連絡します。

その他のメモ

ハイブリッドデータセキュリティに関する既知の問題

ハイブリッドデータセキュリティクラスタをシャットダウンする場合 (Partner Hub で削除するか、すべてのノードをシャットダウンする)、構成 ISO ファイルを失うか、キーストアデータベースへのアクセスを失った場合、顧客組織の Webex アプリユーザーは、KMS のキーで作成されたユーザーリストの下のスペースを使用できなくなります。一度アクティブユーザーを扱った場合、現在この問題の会費苞や修正方法はなく、HDS サービスを終了しないようにしてください。
KMS への既存の ECDH 接続を持つクライアントは、一定の期間接続を維持します (およそ 1 時間)。

OpenSSL を使用して PKCS12 ファイルを生成する

開始する前に

OpenSSL は、HDS セットアップツールでローディングするために、適切なフォーマットで PKCS12 ファイルを作成するために使用可能なツールです。これを実行する他の方法もあり、別の方法がある中で1つの方法をサポートまたは促進しません。
OpenSSL を使用することを選択した場合、X.509 証明書要件の X.509 証明書要件を満たすファイルを作成するためのガイドラインとしてこの手順を提供します。続行する前にそれらの要件を理解します。
サポートされている環境で OpenSSL をインストールします。ソフトウェアと文書については https://www.openssl.org をご覧ください。
秘密鍵を作成します。
証明書権限 (CA) からサーバー証明書を受け取るとき、この手順を開始します。

1	CA からサーバー証明書を受け取るとき、`hdsnode.pem` として保存します。
2	テキストとして証明書を表示し、詳細を検証します: `openssl x509 -text -noout -in hdsnode.pem`
3	テキストエディタを使用して、`hdsnode-bundle.pem` という名前の証明書バンドルファイルを作成します。バンドルファイルには、下のフォーマットでサーバー証明書、中間 CA 証明書、ルート証明書を含みます。 `-----開始証明書----- ### サーバ証明書。 ### -----end certificate------------------------------------------------------------- ### 中間 CA 証明書。 #### -----end certificate------------------------------------------------------------- ### ルート CA 証明書。 ### -----end 証明書-----`
4	`kms-private-key` という友好的な名前で .p12 ファイルを作成します。 `openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12`
5	サーバー証明書の詳細をチェックします。 `openssl pkcs12 -in hdsnode.p12` アウトプットに一覧化されるように、指示に従いパスワードを入力し、秘密鍵を暗号化します。したがって、秘密鍵と最初の証明書に行`friendlyName: Kms-private-key` を含むことに検証します。例: bash$ openssl pkcs12 -in hdsnode.p12 Enter Import Password: MAC verified OK Bag Attributes friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 主な属性: PEM パスフレーズを入力: 検証中 - PEM パスフレーズを入力します: -----BEGIN 暗号化秘密キー----- -----END 暗号化秘密キー------- バッグ属性 friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 ------BEGIN CERTIFICATE-----END CERTIFICATE------- Bag 属性 friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US subject=/C=US/O=Let's Encrypt/CN=Digital Signature Trust Co./CN=DST Root CA X3 ------- -----END CERTIFICATE------

次に行うこと

[ハイブリッドデータセキュリティの前提条件を完了] に戻ります。hdsnode.p12 ファイルと設定したパスワードを [HDS ホストの構成 ISO を作成する] で使用します。

元の証明書の有効期限が切れると、これらのファイルを再使用して新しい証明書を要求できます。

HDS ノードおよびクラウド間のトラフィック

アウトバウンドメトリクスコレクショントラフィック

ハイブリッドデータセキュリティノードは、特定のメトリクスをWebex クラウドに送信します。これらには以下が含まれます。heap max、使用される heap、CPU ロード、しきい値カウント。同期および非同期しきい値のメトリクス。暗号化接続、遅延、リクエストキューの長さのしきい値を含むアラートのメトリクス。データストアのメトリクス。暗号化接続メトリクス。Out-of-Band (リクエストとは別) チャンネルの暗号化されたキーマテリアルを送信します。

インバウンドトラフィック

ハイブリッドデータセキュリティノードは、Webex クラウドから次のタイプの着信トラフィックを受信します。

暗号サービスからルートされたクライアントからの暗号化リクエスト
ノードソフトウェアへのアップグレード

ハイブリッドデータセキュリティの Squid プロキシを設定する

Websocket は Squid プロキシを通じて接続できません

HTTPS トラフィックを検査する Squid プロキシは、ハイブリッドデータセキュリティが必要とする websocket (wss:) 接続の確立に干渉する可能性があります。これらのセクションでは、wss: トラフィックを無視するためのさまざまなバージョンの Squid の設定方法について説明しています。 これは、サービスの適切な運用のためのトラフィックです。

Squid 4 および5

on_unsupported_protocol ディレクティブを squid.conf に追加します。

on_unsupported_protocol すべてトンネル

Squid 3.5.27

以下の規則が squid.conf に追加されて、ハイブリッドデータセキュリティのテストに成功しました。これらのルールは、機能を開発し、Webex クラウドを更新する際に変更されることがあります。

acl wssMercuryConnection ssl::server_name_regex mercury-connection ssl_bump splice wssMercuryConnection acl step1 at_step SslBump1 acl step2 at_step SslBump2 acl step3 at_step SslBump3 ssl_bump peek step1 all ssl_bump stare step2 all ssl_bump bump step3 all

新規および変更された情報

この表では、新機能または機能、既存のコンテンツへの変更、および『マルチテナントハイブリッドデータセキュリティの展開ガイド』で修正された主なエラーについて説明します。

日付	変更を行いました
2025 年 1 月 15 日	マルチテナントハイブリッドデータセキュリティの制限を追加しました。
2025 年 1 月 8 日	「初期セットアップを実行し、インストールファイルをダウンロードする」に、Partner Hub の HDS カードの [セットアップ] をクリックすると、インストールプロセスの重要なステップであることを示すメモを追加しました。
2025 年 1 月 7 日	「仮想ホスト要件」、「ハイブリッドデータセキュリティ展開タスクフロー」、「HDS ホスト OVA のインストール」を更新し、ESXi 7.0 の新しい要件を表示します。
2024 年 12 月 13 日	初公開。

マルチテナントのハイブリッドデータセキュリティの無効化

マルチテナント HDS の無効化タスクフロー

マルチテナント HDS を完全に無効にするには、次の手順に従います。

開始する前に

このタスクは、パートナーのフル管理者によってのみ実行されます。

1	「テナント組織の削除」で記載されているように、すべてのクラスタからすべての顧客を削除します。
2	「HDS から削除されたテナントの CMK を取り消す」に記載されている通り、すべての顧客の CMK を取り消します。
3	「ノードの削除」で記載されているように、すべてのクラスタからすべてのノードを削除します。
4	次の 2 つの方法のいずれかを使用して、Partner Hub からすべてのクラスタを削除します。削除するクラスタをクリックし、概要ページの右上隅にある [このクラスタの削除] を選択します。 [リソース] ページで、クラスタの右側の […] をクリックし、[クラスタの削除] を選択します。
5	ハイブリッドデータセキュリティの概要ページの [設定] タブをクリックし、HDS ステータスカードの [HDS の非アクティブ化] をクリックします。

マルチテナントのハイブリッドデータセキュリティを使い始める

マルチテナントのハイブリッドデータセキュリティの概要

Webex アプリの設計では、1 日目以降、データセキュリティが主要なフォーカスとなっています。このセキュリティのコーナーストンは、エンドツーエンドのコンテンツ暗号化であり、Webex アプリクライアントがキー管理サービス (KMS) と対話することで有効になります。KMS はメッセージとファイルを動的に暗号化し、解読するためにクライアントが使用する暗号キーの作成と管理の責任を負っています。

デフォルトでは、すべての Webex アプリの顧客は、Cisco のセキュリティ領域であるクラウド KMS に保存されているダイナミックキーを使用してエンドツーエンドの暗号化を取得します。ハイブリッドデータセキュリティは、KMS とその他のセキュリティ関連の機能をあなたのエンタープライズデータセンターに移動するため、誰でもなくあなたが暗号化コンテンツの鍵を持っています。

マルチテナントのハイブリッドデータセキュリティ により、組織はサービスプロバイダーとして機能し、オンプレミスの暗号化やその他のセキュリティサービスを管理できる信頼できるローカルパートナーを通じて HDS を活用できます。このセットアップにより、パートナー組織は暗号キーの展開と管理を完全に制御し、顧客組織のユーザーデータを外部アクセスから安全に保護できます。パートナー組織は HDS インスタンスをセットアップし、必要に応じて HDS クラスタを作成します。各インスタンスは、1 つの組織に制限される通常の HDS 展開とは異なり、複数の顧客組織をサポートできます。

パートナー組織は展開と管理をコントロールできますが、顧客が生成したデータやコンテンツにアクセスすることはできません。このアクセスは、顧客の組織とそのユーザーに限定されます。

また、データセンターなどのキー管理サービスとセキュリティインフラストラクチャは信頼できるローカルパートナーによって所有されているため、小規模組織は HDS を活用できます。

マルチテナントハイブリッドデータセキュリティがデータの主権とデータ制御を提供する方法

ユーザーが生成したコンテンツは、クラウドサービスプロバイダーなどの外部アクセスから保護されます。
ローカルの信頼できるパートナーは、すでに確立している顧客の暗号化キーを管理します。
パートナーが提供する場合、ローカルテクニカルサポートのオプション。
ミーティング、メッセージング、通話コンテンツをサポートします。

このドキュメントは、パートナー組織がマルチテナントハイブリッドデータセキュリティシステムの下で顧客をセットアップおよび管理することを支援することを目的としています。

マルチテナントハイブリッドデータセキュリティの制限

パートナー組織は、Control Hub で既存の HDS 展開をアクティブにすることはできません。
パートナーによって管理されることを望むテナントまたは顧客組織は、Control Hub に既存の HDS 展開を持つことはできません。
パートナーによってマルチテナント HDS が展開されると、顧客組織のすべてのユーザーおよびパートナー組織のユーザーは、暗号化サービスにマルチテナント HDS を活用し始めます。

管理するパートナー組織と顧客組織は、同じマルチテナント HDS 展開になります。

マルチテナント HDS を展開すると、パートナー組織はクラウド KMS を使用しなくなります。
HDS 展開後にキーを Cloud KMS に戻すメカニズムはありません。
現在、各マルチテナント HDS 展開では、1 つのクラスタのみを持ち、その下に複数のノードを持つことができます。
管理者ロールには特定の制限があります。詳細については、以下のセクションを参照してください。

マルチテナントハイブリッドデータセキュリティのロール

パートナーのフル管理者 - パートナーが管理するすべての顧客の設定を管理できます。また、組織内の既存のユーザーに管理者のロールを指定したり、パートナー管理者が管理する特定の顧客を指定したりすることもできます。
パートナー管理者 - 管理者がプロビジョニングした顧客またはユーザーに割り当てられた顧客の設定を管理できます。
フル管理者 - 組織設定の変更、ライセンスの管理、ロールの割り当てなどのタスクを実行する権限のあるパートナー組織の管理者です。

すべての顧客組織のエンドツーエンドのマルチテナント HDS のセットアップと管理 - パートナーのフル管理者およびフル管理者権限が必要です。
割り当てられたテナント組織の管理 - パートナー管理者およびフル管理者権限が必要です。

セキュリティ領域のアーキテクチャ

Webex クラウドアーキテクチャは、以下に示すように、異なるタイプのサービスを別の領域、または信頼ドメインに分離します。

ハイブリッドデータセキュリティをさらに理解するために、シスコがクラウド領域ですべての機能を提供している純粋なクラウドケースを見てみましょう。メールアドレスなど個人情報を直接ユーザーが関連付けることが可能な唯一の場所である ID サービスは、データセンター B のセキュリティ領域から論理的および物理的に分かれています。データセンター C では、暗号化されたコンテンツが最終的に保存される領域と、両方とも別になります。

この図では、クライアントがユーザーのラップトップで実行されている Webex アプリであり、ID サービスで認証されています。ユーザーがメッセージを編集し、スペースに送るとき、以下のステップを踏みます:

クライアントは重要な管理サービス (KMS) と安全な接続を確立し、メッセージを暗号化するためのキーをリクエストします。安全な接続では ECDH を使用し、KMS は AES-256 マスターキーを使用してキーを暗号化します。
メッセージはクライアントを離れる前に暗号化されます。クライアントは、暗号化された検索インデックスを作成し、コンテンツで将来検索を助けるインデックス化サービスに送信します。
暗号化されたメッセージは、コンプライアンスチェックのためコンプライアンスサービスに送信されます。
暗号化されたメッセージは、保管領域に保管されます。

ハイブリッドデータセキュリティを展開する際、セキュリティ領域機能 (KMS、インデックス作成、コンプライアンス) をオンプレミスデータセンターに移動します。Webex を構成するその他のクラウドサービス (ID とコンテンツストレージを含む) は、Cisco の領域に残ります。

他の組織と協力する

組織内のユーザーは定期的に Webex アプリを使用して、他の組織の外部参加者と共同作業を行うことができます。ユーザーの 1 人があなたの組織が所有しているスペースのキーをリクエストしたとき (あなたの組織のユーザーの 1 人が作成したため)、KMS は ECDH の安全なチャンネルでキーをクライアントに送信します。ただし、別の組織がスペースのキーを所有している場合、KMS は別の ECDH チャネルを通じて、リクエストを WEBEX クラウドにルーティングして、適切な KMS からキーを取得し、そのキーを元のチャネルのユーザーに返します。

組織 A で実行されている KMS サービスは、X.509 PKI 証明書を使用して他の組織の KMS への接続を検証します。マルチテナントハイブリッドデータセキュリティ展開で使用する x.509 証明書を生成する方法の詳細については、「環境を準備する 」を参照してください。

ハイブリッドデータセキュリティの展開の例外

ハイブリッドデータセキュリティの展開には、暗号化キーを所有することに伴うリスクについて、重要なコミットメントと認識が必要です。

ハイブリッドデータセキュリティを展開するには、以下を提供する必要があります。

Cisco Webex Teams プランでサポートされている場所である国の安全なデータセンター。
「環境を準備する」に記載されている機器、ソフトウェア、およびネットワークアクセス。

ハイブリッドデータセキュリティ用に構築する構成 ISO または提供するデータベースのいずれかが完全に失われると、キーが失われます。キー損失により、ユーザーが Webex アプリのスペースコンテンツやその他の暗号化されたデータを復号できなくなります。このことが発生する場合、新しい展開を構築できますが、新しいコンテンツのみが表示されます。データのアクセス権の喪失を防ぐには、以下を行う必要があります:

データベースのバックアップと復元および構成 ISO を管理します。
データベースディスクの障害やデータセンターの災害などの災害が発生した場合は、迅速な災害復旧を行う準備をしてください。

HDS 展開後にキーをクラウドに戻すメカニズムはありません。

高レベルのセットアッププロセス

このドキュメントでは、マルチテナントのハイブリッドデータセキュリティ展開のセットアップと管理について説明します。

ハイブリッドデータセキュリティのセットアップ—これには、必要なインフラストラクチャの準備、ハイブリッドデータセキュリティソフトウェアのインストール、HDS クラスタの構築、クラスタへのテナント組織の追加、顧客メインキー (CMK) の管理が含まれます。これにより、顧客組織のすべてのユーザーがセキュリティ機能にハイブリッドデータセキュリティクラスタを使用できるようになります。

セットアップ、アクティベーション、および管理フェーズについては、次の 3 つの章で詳しく説明します。
ハイブリッドデータセキュリティ展開の維持—Webex クラウドは自動的に進行中のアップグレードを提供します。IT 部門は階層 1 のサポートをこの展開に提供し、必要に応じて Cisco サポートを提供します。Partner Hub では、画面上の通知を使用して、メールベースのアラートを設定できます。
一般的なアラート、トラブルシューティング手順、および既知の問題について理解する - ハイブリッドデータセキュリティの展開または使用に問題が発生した場合、このガイドの最後の章と「既知の問題の付録」が問題の判別と修正に役立ちます。

ハイブリッドデータセキュリティ展開モデル

エンタープライズデータセンター内で、ハイブリッドデータセキュリティを別々の仮想ホスト上のノードの単一のクラスタとして展開します。ノードは、セキュアなウェブソケットとセキュア HTTP を通じて Webex クラウドと通信します。

インストールプロセス中、提供する VM 上で仮想マシンセットアップするために、OVA ファイルを提供します。HDS セットアップツールを使用し、各ノードにマウントするカスタムクラスター構成 ISO ファイルを作成します。ハイブリッドデータセキュリティクラスタは、提供された Syslogd サーバと PostgreSQL または Microsoft SQL Server データベースを使用します。（HDS セットアップツールで Syslogd とデータベース接続の詳細を設定します）。

ハイブリッドデータセキュリティ展開モデル

クラスターで保持できるノードの最小数は 2 つです。クラスターごとに少なくとも 3 つをお勧めします。複数のノードを持つと、ノード上のソフトウェアアップグレードやその他のメンテナンスアクティビティ中にサービスが中断されないようにします。(Webex クラウドは一度に 1 つのノードのみアップグレードします。)

クラスターのすべてのノードは、同じキーデータストアにアクセスし、同じ syslog サーバーに対するアクティビティをログ記録します。クラウドで指示された通り、ノード自体では処理状態が把握されておらず、ラウンドロビン方式でキーリクエストを処理します。

ノードは、パートナーハブに登録するとアクティブになります。個別ノードをサービス外にするには、必要に応じて登録解除し、再登録できます。

災害復旧のためのスタンバイデータセンター

展開中、セキュアなスタンバイデータセンターをセットアップします。データセンターの災害が発生した場合、スタンバイデータセンターへの展開を手動で失敗させることができます。

アクティブおよびスタンバイデータセンターのデータベースは相互に同期されているため、フェールオーバーを実行するのにかかる時間を最小限に抑えます。

アクティブなハイブリッドデータセキュリティノードは、常にアクティブなデータベースサーバと同じデータセンターにある必要があります。

プロキシサポート

ハイブリッドデータセキュリティは、明示的な透過的な検査および非検査プロキシをサポートします。これらのプロキシを展開に関連付けることができます。これにより、エンタープライズからクラウドに送信されるトラフィックをセキュリティ保護し、監視することができます。証明書の管理のノードでプラットフォーム管理インターフェイスを使用して、ノードでプロキシを設定した後で、全体的な接続ステータスを確認することができます。

ハイブリッドデータセキュリティノードは、以下のプロキシオプションをサポートしています。

プロキシなし: プロキシを統合するために HDS ノードのセットアップ信頼ストアとプロキシ構成を使用しない場合のデフォルト。証明書の更新は必要ありません。
透過的な検査なしのプロキシ: ノードは特定のプロキシサーバーアドレスを使用するように設定されていないため、検査なしのプロキシで動作するように変更を加える必要はありません。証明書の更新は必要ありません。
透過的なトンネリングまたは検査プロキシ: ノードは特定のプロキシサーバーアドレスを使用するように設定されていません。ノードでは、HTTP または HTTPS の設定変更は必要ありません。ただし、ノードはプロキシを信頼するためにルート証明書を必要とします。プロキシを検査することで、Web サイトにアクセスするか、どのタイプのコンテンツを使用するかを強制するポリシーを施行することができます。このタイプのプロキシは、すべてのトラフィック (HTTPS さえも含む) を復号化します。
明示的プロキシ: 明示的プロキシを使用して、使用するプロキシサーバーと認証スキームを HDS ノードに指示します。明示的なプロキシを設定するには、各ノードに次の情報を入力する必要があります。
1. プロキシ IP/FQDN—プロキシマシンに到達するために使用できるアドレス。
2. プロキシポート: プロキシがプロキシトラフィックをリッスンするために使用するポート番号。
3. プロキシプロトコル: プロキシサーバーがサポートしているものに応じて、次のプロトコルから選択します。
  - HTTP—クライアントが送信するすべての要求を表示し、コントロールします。
  - HTTPS—サーバーにチャネルを提供します。クライアントがサーバーの証明書を受け取り、検証します。
4. 認証タイプ: 次の認証タイプから選択します。
  - なし: 追加の認証は必要ありません。
    
    プロキシプロトコルとして HTTP または HTTPS のいずれかを選択した場合に利用できます。
  - ベーシック—HTTP ユーザーエージェントがリクエストを行う際にユーザー名とパスワードを指定するために使用されます。Base64 エンコードを使用します。
    
    プロキシプロトコルとして HTTP または HTTPS のいずれかを選択した場合に利用できます。
    
    各ノードにユーザー名とパスワードを入力する必要があります。
  - ダイジェスト: 機密情報を送信する前にアカウントを確認するために使用されます。ネットワークを経由して送信する前に、ユーザー名およびパスワードにハッシュ機能を適用します。
    
    プロキシプロトコルとして HTTPS を選択した場合にのみ利用できます。
    
    各ノードにユーザー名とパスワードを入力する必要があります。

ハイブリッドデータセキュリティノードとプロキシの例

この図は、ハイブリッドデータセキュリティ、ネットワーク、およびプロキシ間の接続例を示しています。透過的な検査および HTTPS 明示的な検査プロキシオプションの場合、同じルート証明書がプロキシとハイブリッドデータセキュリティノードにインストールされている必要があります。

外部 DNS 解決ブロックモード (明示的プロキシ構成)

ノードを登録するか、またはノードのプロキシ構成を確認するとき、プロセスは DNS 検索と Cisco Webex クラウドへの接続をテストします。内部クライアントのための外部 DNS 解決が許可されていない、明示的なプロキシ構成の展開では、ノードが DNS サーバーに問い合わせができない場合、自動的に外部 DNS 解決ブロックモードに切り替わります。このモードでは、ノード登録および他のプロキシ接続テストを続行することができます。

環境を準備する

マルチテナントハイブリッドデータセキュリティの要件

Cisco Webex ライセンス要件

マルチテナントのハイブリッドデータセキュリティを展開するには:

パートナー組織: Cisco パートナーまたはアカウントマネージャーに連絡し、マルチテナント機能が有効になっていることを確認してください。
テナント組織: Pro Pack for Cisco Webex Control Hub が必要です。(https://www.cisco.com/go/pro-packを参照。)

Docker デスクトップの要件

HDS ノードをインストールする前に、セットアッププログラムを実行するには Docker デスクトップが必要です。Docker は最近、ライセンスモデルを更新しました。組織は Docker デスクトップの有料サブスクリプションを必要とする場合があります。詳細については、Docker ブログ投稿「 Docker は更新および製品サブスクリプションを拡張しています」を参照してください。

X.509 証明書要件

証明書チェーンは、次の条件を満たす必要があります。

表 1YAZ設定オプションハイブリッドデータセキュリティ展開のための X.509 証明書要件
要件	詳細
信頼できる証明書権限 (CA) で署名済み	デフォルトでは、https://wiki.mozilla.org/CA:IncludedCAs で Mozilla リスト (WoSign と StartCom を除く) の CA を信頼します。
ハイブリッドデータセキュリティ展開を識別する共通名 (CN) ドメイン名を保持しますワイルドカード証明書ではありません	CN は到達可能またはアクティブな主催者である必要はありません。たとえばなど、組織を反映する名前を使用することを推奨します。 CN に *（ワイルドカード）を含めることはできません。 CN は、Webex アプリクライアントに対してハイブリッドデータセキュリティノードを検証するために使用されます。クラスタ内のすべてのハイブリッドデータセキュリティノードが同じ証明書を使用します。KMS は x.509v3 SAN フィールドで定義されるドメインではなく、CN ドメインを使用してそれ自体を識別します。この証明書でノードを登録した場合、CN ドメイン名の変更をサポートしません。
非 SHA1 署名	KMS ソフトウェアは、他の組織の KMS に対する接続を検証するために、SHA1 署名をサポートしません。
パスワード保護された PKCS #12 ファイルとして形式化 `Kms-private-key` の有効な名前を使用して、証明書、秘密鍵、中間証明書をタグ付けしてアップロードします。	OpenSSL などのコンバーターを使用して、証明書の形式を変更できます。 HDS セットアップツールを実行する時、パスワードを入力する必要があります。

KMS ソフトウェアはキー使用量を強制したり、キー使用量の誓約を拡張したりしません。いくつかの証明書権限は、サーバー認証など、拡張キー使用量が各証明書に適用されることを必要とします。サーバー認証や他の設定を使用しても大丈夫です。

仮想ホストの要件

クラスタでハイブリッドデータセキュリティノードとして設定する仮想ホストには、次の要件があります。

同じセキュアなデータセンターに少なくとも 2 つの個別のホスト (推奨 3 つ) が共存
VMware ESXi 7.0 (またはそれ以降) がインストールされ、実行されています。

ESXi の以前のバージョンがある場合は、アップグレードする必要があります。
最低 4 つの vCPU、8 GB メインメモリ、サーバーあたり 30 GB のローカルハードディスク容量

データベースサーバーの要件

キーストレージ用の新しいデータベースを作成します。デフォルトのデータベースを使用しないでください。インストールしたとき、HDS アプリケーションはデータベーススキーマを作成します。

データベースサーバには 2 つのオプションがあります。各要件は次のとおりです。

表 2. データベースのタイプ別のデータベースサーバー要件
ポストSQL	Microsoft SQL サーバー
PostgreSQL 14、15、または 16 がインストールされ、実行されています。	SQL Server 2016、2017、または 2019 (エンタープライズまたは標準) がインストールされています。 SQL Server 2016 には、Service Pack 2 および累積アップデート 2 以降が必要です。
最低 8 vCPUs、16-GB メインメモリ、十分なハードディスクスペース、超過がないように監視 (ストレージを増やす必要なく、長期間データべースを実行する場合、2-TB が推奨されます。)	最低 8 vCPUs、16-GB メインメモリ、十分なハードディスクスペース、超過がないように監視 (ストレージを増やす必要なく、長期間データべースを実行する場合、2-TB が推奨されます。)

現在、HDS ソフトウェアは、データベースサーバと通信するための次のドライババージョンをインストールしています。

ポストSQL

Microsoft SQL サーバー

Postgres JDBCドライバー 42.2.5

SQL Server JDBC ドライバー 4.6

このドライババージョンは、SQL Server Always On（Always On Failover Cluster Instances および Always On アベイラビリティグループ）をサポートしています。

Microsoft SQL Server に対する Windows 認証の追加要件

HDS ノードが Windows 認証を使用して Microsoft SQL Server 上のキーストアデータベースにアクセスできるようにする場合は、環境内で次の設定が必要です。

HDS ノード、Active Directory インフラストラクチャ、MS SQL Server はすべて NTP と同期する必要があります。
HDS ノードに提供する Windows アカウントは、データベースへの読み取り/書き込みアクセス権を持っている必要があります。
HDS ノードに提供する DNS サーバーは、キー配布センター (KDC) を解決できる必要があります。
Microsoft SQL Server で HDS データベースインスタンスをサービスプリンシパルネーム (SPN) として登録できます。「Kerberos 接続のサービスプリンシパル名を登録する」を参照してください。

HDS セットアップツール、HDS ランチャー、およびローカル KMS はすべて、キーストアデータベースにアクセスするために Windows 認証を使用する必要があります。Kerberos 認証によるアクセスを要求するときに、ISO 設定の詳細を使用して SPN を構築します。

外部接続要件

ファイアウォールを構成して、HDS アプリケーションに対して次の接続を許可します。

アプリケーション	プロトコル	ポート	アプリからの方向	移動先
ハイブリッドデータセキュリティノード	TCP	443	アウトバウンド HTTPS および WSS	Webex サーバー: .wbx2.com .ciscospark.com すべての Common Identity ホスト [Webex サービスのネットワーク要件] の [Webex ハイブリッドサービスの追加 URL] テーブルにハイブリッドデータセキュリティのためにリストされているその他の URL
HDS セットアップツール	TCP	443	アウトバウンド HTTPS	*.wbx2.com すべての Common Identity ホスト hub.docker.com

ハイブリッドデータセキュリティノードは、NAT またはファイアウォールが前の表のドメイン宛先への必要な発信接続を許可している限り、ネットワークアクセストランスレーション（NAT）またはファイアウォールの背後で機能します。ハイブリッドデータセキュリティノードにインバウンドする接続の場合、インターネットからポートを表示することはできません。データセンター内で、クライアントは管理目的のため、TCP ポート 443 および 22 のハイブリッドデータセキュリティノードにアクセスする必要があります。

Common Identity (CI) ホストの URL は地域固有です。これらは、現在の CI ホストです。

地域	共通 ID ホスト URL
Americas（北米、南米エリア）	https://idbroker.webex.com https://identity.webex.com https://idbroker-b-us.webex.com https://identity-b-us.webex.com
欧州連合	https://idbroker-eu.webex.com https://identity-eu.webex.com
カナダ	https://idbroker-ca.webex.com https://identity-ca.webex.com
シンガポール	https://idbroker-sg.webex.com https://identity-sg.webex.com
アラブ首長国連邦	https://idbroker-ae.webex.com https://identity-ae.webex.com

プロキシサーバーの要件

お使いのハイブリッドデータセキュリティノードと統合できる次のプロキシソリューションを正式にサポートしています。
- 透過的プロキシ—Cisco Web Security Appliance (WSA)。
- 明示的プロキシ—Squid。
  
  HTTPS トラフィックを検査する Squid プロキシは、websocket (wss:) 接続の確立に干渉する可能性があります。この問題を回避するには、「ハイブリッドデータセキュリティのために Squid プロキシを構成する」を参照してください。
明示的プロキシに対して次の認証タイプの組み合わせがサポートされています。
- HTTP または HTTPS による認証がありません
- HTTP または HTTPS による基本認証
- HTTPS のみによるダイジェスト認証
透過的検査プロキシまたは HTTPS 明示的プロキシについては、プロキシのルート証明書のコピーが必要です。このガイドに記載されている展開手順は、ハイブリッドデータセキュリティノードの信頼ストアにコピーをアップロードする方法を説明しています。
HDS ノードをホストするネットワークは、ポート 443 のアウトバウンド TCP トラフィックを強制的にプロキシ経由でルーティングするように設定されている必要があります。
Web トラフィックを検査するプロキシは、Web ソケット接続に干渉する場合があります。この問題が発生した場合、wbx2.com および ciscospark.com へのトラフィックをバイパスする (検査しない) ことで問題を解決します。

ハイブリッドデータセキュリティの前提条件を満たします

このチェックリストを使用して、ハイブリッドデータセキュリティクラスタをインストールして構成する準備ができていることを確認してください。

1	パートナー組織でマルチテナント HDS 機能が有効になっていることを確認し、パートナーのフル管理者およびフル管理者権限を持つアカウントの資格情報を取得してください。Webex 顧客組織が Pro Pack for Cisco Webex Control Hub が有効になっていることを確認します。Cisco パートナーもしくはアカウントマネージャーにこのプロセスについてサポートを受けるために連絡してください。顧客組織は既存の HDS 展開を持つべきではありません。
2	HDS 展開のドメイン名 (例: `hds.company.com`) を選択し、X.509 証明書、秘密キー、および中間証明書を含む証明書チェーンを取得します。証明書チェーンは、X.509 証明書要件の要件を満たす必要があります。
3	クラスタでハイブリッドデータセキュリティノードとしてセットアップする同じ仮想ホストを準備します。仮想ホスト要件の要件を満たす同じセキュアなデータセンターに少なくとも 2 つの個別のホスト (推奨 3 つ) が共同で必要です。
4	データベースサーバーの要件に従って、クラスタのキーデータストアとして機能するデータベースサーバーを準備します。データベースサーバーは、セキュアなデータセンターに仮想ホストと共存する必要があります。キーストレージ用のデータベースを作成します。（このデータベースを作成する必要があります。デフォルトのデータベースを使用しないでください。インストールしたとき、HDS アプリケーションはデータベーススキーマを作成します。) ノードがデータベースサーバーと通信するために使用する詳細をまとめます: 主催者名または IP アドレス (主催者) およびポート重要なストレージ向けのデータベース名 (dbname) 重要なストレージデータベースですべての権限を持つユーザーのユーザー名とよびパスワード
5	災害復旧をすばやくするには、別のデータセンターでバックアップ環境を設定します。バックアップ環境は、VM とバックアップデータベースサーバの本番環境を反映します。たとえば、生産に HDS ノードを実行している 3 VMs がある場合、バックアップ環境には 3 Vms が必要です。
6	Syslog 主催者をセットアップして、クラスターのノードからログを収集します。ネットワークアドレスと syslog ポート (デフォルトは UDP 514) をまとめます。
7	ハイブリッドデータセキュリティノード、データベースサーバ、および syslog ホストの安全なバックアップポリシーを作成します。少なくとも、回復不能なデータの損失を防ぐには、ハイブリッドデータセキュリティノード用に生成されたデータベースと構成 ISO ファイルをバックアップする必要があります。ハイブリッドデータセキュリティノードは、コンテンツの暗号化と復号に使用されるキーを保存するため、運用展開の維持に失敗すると、コンテンツの回復不能な損失が発生します。 Webex アプリクライアントはキーをキャッシュするため、サービス停止はすぐに目立たなくなりますが、時間の経過とともに明らかになります。一時的な停電が防げない場合、復元可能です。しかし、データベースまたは構成 ISO ファイルのどちらかを完全に失う (バックアップが利用できない) ことは、顧客データは復元できません。ハイブリッドデータセキュリティノードのオペレータは、データベースと構成 ISO ファイルの頻繁なバックアップを維持し、壊滅的な障害が発生した場合に、ハイブリッドデータセキュリティデータセンターを再構築する準備をする必要があります。
8	外部接続の要件で説明されているように、ファイアウォール構成でハイブリッドデータセキュリティノードの接続を許可していることを確認してください。
9	Web ブラウザを使用して、サポートされている OS (Microsoft Windows 10 Professional または Enterprise 64 ビット、または Mac OSX Yosemite 10.10.3 以上) を実行している任意のローカルマシンに Docker (https://www.docker.com) をインストールします。http://127.0.0.1:8080. Docker インスタンスを使用して、すべてのハイブリッドデータセキュリティノードのローカル設定情報を構築する HDS セットアップツールをダウンロードして実行します。Docker デスクトップライセンスが必要な場合があります。詳細については、「Docker デスクトップの要件」を参照してください。 HDS セットアップツールをインストールして実行するには、ローカルマシンに外部接続要件で説明されている接続性が必要です。
10	プロキシをハイブリッドデータセキュリティと統合する場合は、プロキシサーバー要件を満たしていることを確認してください。

ハイブリッドデータセキュリティクラスタをセットアップ

ハイブリッドデータセキュリティ展開のタスクフロー

始める前に

1	初期セットアップを実行し、インストールファイルをダウンロードする後で使用するために、OVA ファイルをローカルマシンにダウンロードします。
2	HDS 主催者に構成 ISO を作成する HDS セットアップツールを使用して、ハイブリッドデータセキュリティノードの ISO 構成ファイルを作成します。
3	HDS 主催者 OVA をインストールする OVA ファイルから仮想マシンを作成し、ネットワーク設定などの初期設定を実行します。 OVA 展開中にネットワーク設定を構成するオプションは、ESXi 7.0 でテストされています。このオプションは以前のバージョンでは利用できない場合があります。
4	ハイブリッドデータセキュリティ VM のセットアップ VM コンソールにサインインし、サインイン資格情報を設定します。OVA 展開時に設定しなかった場合は、ノードのネットワーク設定を構成します。
5	HDS 構成 ISO をアップロードしマウントする HDS セットアップツールで作成した ISO 構成ファイルから VM を設定します。
6	プロキシ統合のために HDS ノードを設定するネットワーク環境でプロキシ設定が必要な場合は、ノードに使用するプロキシのタイプを指定し、必要に応じてプロキシ証明書を信頼ストアに追加します。
7	クラスタ内の最初のノードを登録 VM を Cisco Webex クラウドにハイブリッドデータセキュリティノードとして登録します。
8	他のノードを作成して登録クラスタのセットアップを完了します。
9	Partner Hub でマルチテナント HDS を有効にします。 HDS をアクティベートし、Partner Hub でテナント組織を管理します。

初期セットアップを実行し、インストールファイルをダウンロードする

このタスクでは、OVA ファイルをマシンにダウンロードします（ハイブリッドデータセキュリティノードとして設定したサーバにはありません）。このファイルはのちにインストールプロセスで使用します。

1	Partner Hub にサインインし、[サービス] をクリックします。
2	[クラウドサービス] セクションで、ハイブリッドデータセキュリティカードを見つけて、[セットアップ] をクリックします。 Partner Hub で [セットアップ] をクリックすることは、展開プロセスにとって重要です。この手順を完了しないでインストールに進まないでください。
3	[リソースの追加] をクリックし、[ソフトウェアのインストールと設定] カードの [OVA ファイルのダウンロード] をクリックします。古いバージョンのソフトウェアパッケージ (OVA) は最新のハイブリッドデータセキュリティアップグレードと互換性がありません。これにより、アプリケーションのアップグレード中に問題が発生する可能性があります。OVA ファイルの最新バージョンをダウンロードしていることを確認してください。 OVA は [ヘルプ] セクションからいつでもダウンロードできます。[設定] > [ヘルプ] > [ハイブリッドデータセキュリティソフトウェアのダウンロード] をクリックします。 OVA ファイルは自動的にダウンロードが開始されます。ファイルをマシン内に保存します。
4	オプションで、[ハイブリッドデータセキュリティ展開ガイドを参照 ] をクリックして、このガイドの最新バージョンが利用可能かどうかを確認します。

HDS 主催者に構成 ISO を作成する

ハイブリッドデータセキュリティセットアッププロセスは、ISO ファイルを作成します。その後、ISO を使用してハイブリッドデータセキュリティホストを構成します。

始める前に

HDS セットアップツールをローカルマシンの Docker コンテナとして実行します。アクセスするには、そのマシンで Docker を実行します。セットアッププロセスには、完全な管理者権限を持つパートナーハブアカウントの資格情報が必要です。

HDS セットアップツールが環境内のプロキシの背後で実行されている場合、以下のステップ 5 で Docker コンテナを起動する際に、Docker 環境変数を通してプロキシ設定 (サーバー、ポート、資格情報) を提供します。この表ではいくつかの可能な環境変数を示します。

説明	変数
認証なしの HTTP プロキシ	`グローバル_エージェント_HTTP_PROXY=http://SERVER_IP:PORT`
認証なしの HTTPS プロキシ	`グローバル_エージェント_HTTPS_PROXY=http://SERVER_IP:ポート`
認証ありの HTTP プロキシ	`グローバル_エージェント_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
認証ありの HTTPS プロキシ	`グローバル_エージェント_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

生成する構成 ISO ファイルには、PostgreSQL または Microsoft SQL Server データベースを暗号化するマスターキーが含まれています。次のような設定変更を行うときは、このファイルの最新コピーが必要です。
- データベースクレデンシャル
- 証明書の更新
- 認証ポリシーの変更
データベース接続を暗号化する場合は、TLS 用に PostgreSQL または SQL Server の展開を設定します。

1

マシンのコマンドラインで、お使い環境に適切なコマンドを入力します。

一般環境:

docker rmi ciscocitg/hds-setup:stable

FedRAMP 環境の場合:

docker rmi ciscocitg/hds-setup-fedramp:stable

このステップを実行すると、前の HDS セットアップツールの画像がクリーンアップされます。これ以前の画像がない場合は、無視できるエラーを返します。

2

Docker 画像レジストリにサインインするには、以下を入力します。

ドッカーログイン -u hdscustomersro

3

パスワードのプロンプトに対して、このハッシュを入力します。

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

4

お使い環境に合った最新の安定した画像をダウンロードします。

一般環境:

ドッカー プル ciscocitg/hds-setup:stable

FedRAMP 環境の場合:

ドッカー プル ciscocitg/hds-setup-fedramp:stable

5

プルが完了したら、お使いの環境に適切なコマンドを入力します。

プロキシなしの通常の環境の場合:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

HTTP プロキシがある通常の環境の場合、

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:ポート ciscocitg/hds-setup:stable

HTTPS プロキシがある通常の環境の場合:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:ポート ciscocitg/hds-setup:stable

プロキシなしの FedRAMP 環境の場合:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

HTTP プロキシがある FedRAMP 環境の場合:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:ポート ciscocitg/hds-setup-fedramp:stable

HTTPS プロキシがある FedRAMP 環境の場合:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:ポート ciscocitg/hds-setup-fedramp:stable

コンテナが実行中の時。「ポート 8080 で Express サーバーリスニング中」と表示されます。

6

セットアップツールは、http://localhost:8080 を介した localhost への接続をサポートしていません。http://127.0.0.1:8080 を使用して、localhost に接続します。

Web ブラウザを使用して、localhost http://127.0.0.1:8080 に移動し、プロンプトで Partner Hub の管理者ユーザー名を入力します。

ツールは、このユーザー名の最初のエントリを使用して、そのアカウントに適した環境を設定します。その後、ツールには標準のサインインプロンプトが表示されます。

7

プロンプトが表示されたら、Partner Hub 管理者のサインイン資格情報を入力し、[ログイン] をクリックして、ハイブリッドデータセキュリティに必要なサービスへのアクセスを許可します。

8

セットアップツール概要ページで、[開始] をクリックします。

9

[ISO インポート] ページで次のオプションがあります。

いいえ: 最初の HDS ノードを作成する場合、アップロードする ISO ファイルがありません。
はい: HDS ノードをすでに作成している場合は、参照で ISO ファイルを選択し、アップロードします。

10

X.509 証明書が X.509 証明書要件の要件を満たしていることを確認してください。

証明書をアップロードしたことがない場合は、X.509 証明書をアップロードし、パスワードを入力し、[続行] をクリックします。
証明書が OK の場合は、[続行] をクリックします。
証明書の有効期限が切れているか、置き換える場合は、[いいえ] を選択して、[以前の ISO の HDS 証明書チェーンと秘密キーの使用を続行しますか] を選択します。新しい X.509 証明書をアップロードし、パスワードを入力し、[続行] をクリックします。

11

HDS がキーデータストアにアクセスするためのデータベースアドレスとアカウントを入力します。

[データベースタイプ] (PostgreSQL または Microsoft SQL Server) を選択します。

[Microsoft SQL Server] を選択すると、[認証タイプ] フィールドが表示されます。
(Microsoft SQL Server のみ) 認証タイプを選択します。
- 基本認証:[ユーザー名] フィールドにローカル SQL Server アカウント名が必要です。
- Windows 認証:[ユーザー名] フィールドの username@DOMAIN の形式の Windows アカウントが必要です。
: または : の形式でデータベースサーバーアドレスを入力します。

例:
dbhost.example.org:1433 または 198.51.100.17:1433

ノードがホスト名を解決するために DNS を使用できない場合は、基本認証に IP アドレスを使用できます。

Windows 認証を使用している場合は、dbhost.example.org:1433 の形式で完全修飾ドメイン名を入力する必要があります。
データベース名を入力します。
キーストレージデータベース上のすべての権限を持つユーザーの [ユーザー名] と [パスワード] を入力します。

12

TLS データベース接続モードを選択します。

モード	説明
TLS を優先 (デフォルトオプション)	HDS ノードは、データベースサーバに接続するために TLS を必要としませんデータベースサーバで TLS を有効にすると、ノードは暗号化された接続を試行します。
TLS を要求する	データベースサーバが TLS をネゴシエートできる場合に限り、HDS ノードは接続されます。
TLS を要求し、証明書の署名者を確認する	このモードは SQL Server データベースには適用されません。データベースサーバが TLS をネゴシエートできる場合に限り、HDS ノードは接続されます。 TLS 接続を確立した後、ノードはデータベースサーバーからの証明書の署名者を、データベースルート証明書の認証局と比較します。一致しない場合、ノードにより接続が切断されます。ドロップダウンの下にあるデータベースルート証明書コントロールを使用して、このオプションのルート証明書をアップロードしてください。
TLS を要求し、証明書の署名者およびホスト名を確認する	データベースサーバが TLS をネゴシエートできる場合に限り、HDS ノードは接続されます。 TLS 接続を確立した後、ノードはデータベースサーバーからの証明書の署名者を、データベースルート証明書の認証局と比較します。一致しない場合、ノードにより接続が切断されます。また、サーバー証明書のホスト名が [データベースホストとポート ] フィールドのホスト名と一致していることを確認します。名前は正確に一致する必要があります。または、ノードが接続を切断します。ドロップダウンの下にあるデータベースルート証明書コントロールを使用して、このオプションのルート証明書をアップロードしてください。

ルート証明書 (必要な場合) をアップロードし、[続行] をクリックすると、HDS セットアップツールはデータベースサーバへの TLS 接続をテストします。また、必要に応じて、証明書の署名者とホスト名も検証されます。テストが失敗した場合、問題を説明するエラーメッセージがツールによって表示されます。エラーを無視してセットアップを続行するかどうかを選択できます。(接続の違いにより、HDS セットアップツールマシンが正常にテストできない場合でも、HDS ノードが TLS 接続を確立できる場合があります)。

13

[システムログ（System Logs）] ページで、Syslogd サーバを設定します。

syslog サーバの URL を入力します。

サーバーが HDS クラスタのノードから DNS 解決できない場合は、URL の IP アドレスを使用してください。

例:
udp://10.92.43.23:514 は、UDP ポート 514 の Syslogd ホスト 10.92.43.23 へのロギングを示します。
TLS 暗号化を使用するようにサーバーを設定する場合、[syslog サーバーは SSL 暗号化用に設定されていますか?] にチェックを入れます。

このチェックボックスをオンにした場合、tcp://10.92.43.23:514 などの TCP URL を入力していることを確認してください。
[syslog record termination の選択] ドロップダウンから、ISO ファイルに適切な設定を選択します。選択または改行は、Graylog および Rsyslog TCP に使用されます
- ヌルバイト -- \x00
- 改行 -- \n—Graylog および Rsyslog TCP に対してこの選択を選択します。
[続行] をクリックします。

14

(オプション) [詳細設定] で一部のデータベース接続パラメータのデフォルト値を変更できます。通常、このパラメータは変更したい唯一のパラメータです。

app_datasource_connection_pool_maxサイズ: 10

15

[サービスアカウントパスワードのリセット] 画面で [続行] をクリックします。

サービスアカウントパスワードの寿命は 9 か月です。パスワードの有効期限が近づいている場合、またはパスワードをリセットして以前の ISO ファイルを無効にする場合は、この画面を使用してください。

16

[ISO ファイルのダウンロード] をクリックします。見つけやすい場所にファイルを保存します。

17

ローカルシステムの ISO ファイルのバックアップコピーを作成します。

バックアップコピーを安全に保ちます。このファイルには、データベースコンテンツのマスター暗号化キーを含みます。設定変更を行う必要があるハイブリッドデータセキュリティ管理者のみにアクセスを制限します。

18

セットアップツールをシャットダウンするには、[CTRL+C] と入力します。

次に行うこと

構成 ISO ファイルをバックアップします。復元のためにもっとノードを作成するか、設定変更を行う必要があります。ISO ファイルのすべてのコピーを失ったら、マスターキーも失います。PostgreSQL または Microsoft SQL Server データベースからキーを復元することはできません。

このキーのコピーは見つかりませんでした。紛失した場合には役に立ちません。

HDS 主催者 OVA をインストールする

この手順を使用して、OVA ファイルから仮想マシンをサック制します。

1	コンピュータの VMware vSphere クライアントを使用して、ESXi 仮想主催者にログインします。
2	ファイル > OVF テンプレートを展開を選択します。
3	ウィザードで、以前ダウンロードした OVA ファイルの場所を指定し、[次へ] をクリックします。
4	[名前とフォルダの選択] ページで、ノードの [仮想マシン名] (たとえば、「HDS_Node_1」) を入力し、仮想マシンノード展開が存在できる場所を選択し、[次へ] をクリックします。
5	[計算リソースの選択] ページで、接続先の計算リソースを選択し、[次へ] をクリックします。検証チェックが実行されます。完了すると、テンプレートの詳細が表示されます。
6	テンプレートの詳細を確認し、[次へ] をクリックします。
7	[構成] ページでリソース構成を選択するように求められた場合は、[4 CPU] をクリックし、[次へ] をクリックします。
8	[ストレージの選択] ページで、[次へ] をクリックして、デフォルトのディスク形式と VM ストレージポリシーを受け入れます。
9	[ネットワークの選択] ページで、エントリのリストからネットワークオプションを選択して、VM に希望する接続を提供します。
10	[テンプレートのカスタマイズ] ページで、次のネットワーク設定を構成します。ホスト名—ノードの FQDN (ホスト名とドメイン) または単一の単語のホスト名を入力します。ドメインを設定し、X.509 証明書を取得するために使用されるドメインにマッチしません。クラウドへの登録を成功させるには、ノードに設定した FQDN またはホスト名に小文字のみを使用してください。現時点では大文字化のサポートはありません。 FQDNのトータルの長さは64文字を超えてはいけません。 IP アドレス: ノードの内部インターフェイスの IP アドレスを入力します。ノードには内部 IP アドレスと DNS 名があるはずです。DHCP はサポートされていません。マスク—サブネットマスクアドレスを小数点以下の表記で入力します。たとえば、255.255.255.0 です。ゲートウェイ—ゲートウェイの IP アドレスを入力します。ゲートウェイは、別のネットワークへのアクセスポイントとして機能するネットワークノードです。 DNS サーバー: ドメイン名から数字の IP アドレスへの変換を処理する DNS サーバーのカンマ区切りリストを入力します。（最大 4 つの DNS エントリが許可されます）。 NTP サーバー: 組織の NTP サーバーまたは組織で使用できる別の外部 NTP サーバーを入力します。デフォルトの NTP サーバは、すべての企業で機能しない場合があります。カンマ区切りリストを使用して、複数の NTP サーバを入力することもできます。同じサブネットまたは VLAN 上のすべてのノードを展開して、クラスタ内のすべてのノードが管理目的でネットワークのクライアントから到達できるようにします。必要に応じて、ネットワーク設定の構成をスキップし、「ハイブリッドデータセキュリティ VM をセットアップする」の手順に従って、ノードコンソールから設定を構成できます。 OVA 展開中にネットワーク設定を構成するオプションは、ESXi 7.0 でテストされています。このオプションは以前のバージョンでは利用できない場合があります。
11	ノード VM を右クリックし、[電源] > [電源オン] を選択します。ハイブリッドデータセキュリティソフトウェアは、VM ホストにゲストとしてインストールされます。これで、コンソールにサインインしてノードを設定する準備ができました。トラブルシューティングのヒントノードコンテナーが出てくるまでに、数分間の遅延がある場合があります。初回起動の間、ブリッジファイアウォールメッセージが、コンソールに表示され、この間はサインインできません。

ハイブリッドデータセキュリティ VM のセットアップ

ハイブリッドデータセキュリティノード VM コンソールに初めてサインインし、サインインクレデンシャルを設定するには、この手順を使用します。OVA 展開時に設定しなかった場合は、コンソールを使用してノードのネットワーク設定を構成することもできます。

1	VMware vSphere クライアントでハイブリッドデータセキュリティノード VM を選択し、[コンソール] タブを選択してください。 VM が起動し、ログインプロンプトが表示されます。ログインプロンプトが表示されない場合は、入力を押してください。
2	以下のデフォルトログインとパスワードを使用して、証明書にサインインし変更します: ログイン:`管理者` パスワード:`cisco` 初めて VM にサインインしているため、管理者パスワードを変更する必要があります。
3	[HDS ホスト OVA をインストールする] でネットワーク設定をすでに構成している場合は、この手順の残りの部分をスキップします。それ以外の場合は、メインメニューで [設定の編集] オプションを選択します。
4	性的構成を IP アドレス、Mask、Gateway、DNS 情報をセットアップします。ノードには内部 IP アドレスと DNS 名があるはずです。DHCP はサポートされていません。
5	(オプション) ネットワーク方針にマッチするための必要性に応じて、ホスト名、ドメイン、もしくはNTP サーバーを変更して下さい。ドメインを設定し、X.509 証明書を取得するために使用されるドメインにマッチしません。
6	変更が有効になるように、ネットワーク構成を保存し、VM を再起動します。

HDS 構成 ISO をアップロードしマウントする

この手順を使用して、HDS セットアップツールで作成した ISO ファイルから仮想マシンを構成します。

開始する前に

ISO ファイルはマスターキーを保持しているため、ハイブリッドデータセキュリティ VM および変更が必要な管理者がアクセスするために、「知る必要がある」ベースでのみ公開する必要があります。これらの管理者のみがデータストアにアクセスできるようにします。

1

コンピュータから ISO ファイルをダウンロードします:

VMware vSphere クライアントの左ナビゲーションペインで、ESXi サーバーをクリックします。
[構成] タブのハードウェアリストで、[保管] をクリックします。
データストアリストで、VMs のデータストアを右クリックし、[データストアの参照] をクリックします。
[ファイルのアップロード] アイコンをクリックし、[ファイルのアップロード] をクリックします。
コンピュータの ISO ファイルをダンロードする場所を参照し、[開く] をクリックします。
[はい] をクリックし、オペレーション警告のアップロード/ダウンロードに同意し、データストアダイアログを閉じます。

2

ISO ファイルのマウント:

VMware vSphere クライアントの左ナビゲーションペインで、ESXi サーバーを右クリックし、[設定の編集] をクリックします。
[OK] をクリックし、制限された編集オプションの警告に同意します。
[CD/DVD Drive 1] をクリックし、データストア ISO ファイルからマウントするオプションを選択して、構成 ISO ファイルをアップロードした場所を参照します。
[接続済み] と [電源に接続する] をチェックします。
変更を保存し、仮想マシンを再起動します。

次に行うこと

IT ポリシーが必要な場合は、すべてのノードが設定変更をピックアップした後、オプションで ISO ファイルをアンマウントできます。詳細については、「(オプション) HDS 設定後に ISO をマウント解除」を参照してください。

プロキシ統合のために HDS ノードを設定する

ネットワーク環境でプロキシが必要な場合は、この手順を使用して、ハイブリッドデータセキュリティと統合するプロキシのタイプを指定します。透過型のプロキシまたは HTTPS を明示的なプロキシを選択した場合、ノードのインターフェイスを使用してルート証明書をアップロードしてインストールすることができます。インターフェイスからプロキシ接続を確認し、潜在的な問題をトラブルシューティングすることもできます。

開始する前に

サポートされているプロキシオプションの概要については、「プロキシサポート」を参照してください。
プロキシサーバーの要件

1	HDS ノードセットアップ URL `https://[HDS Node IP or FQDN]/setup` を入力して、ノードに対して設定した管理者資格情報を入力し、[サインイン] をクリックします。
2	[信頼ストアとロキシ] に移動して、次のオプションを選択します。プロキシなし—プロキシを統合する前のデフォルトオプションです。証明書の更新は必要ありません。透明検査なしのプロキシ—ノードは特定のプロキシサーバーアドレスを使用するように設定されていないため、検査なしのプロキシで動作するように変更は必要ありません。証明書の更新は必要ありません。透過型検査プロキシ—ノードは特定のプロキシサーバーアドレスを使用するように設定されていません。ハイブリッドデータセキュリティの展開では HTTPS 構成の変更は必要ありませんが、HDS ノードはプロキシを信頼できるようにするためにルート証明書を必要とします。プロキシを検査することで、Web サイトにアクセスするか、どのタイプのコンテンツを使用するかを強制するポリシーを施行することができます。このタイプのプロキシは、すべてのトラフィック (HTTPS さえも含む) を復号化します。明示的プロキシ—明示的プロキシを使用して、使用するプロキシサーバーをクライアント (HDS ノード) に指示します。このオプションは複数の認証タイプをサポートします。このオプションを選択した後、次の情報を入力する必要があります。プロキシ IP/FQDN—プロキシマシンに到達するために使用できるアドレス。プロキシポート: プロキシがプロキシトラフィックをリッスンするために使用するポート番号。プロキシプロトコル—http (クライアントから受信したすべての要求を表示およびコントロール) または https (サーバーにチャネルを提供し、クライアントがサーバーの証明書を受信して検証します) を選択します。プロキシサーバーがサポートするオプションを選択します。認証タイプ: 次の認証タイプから選択します。なし: 追加の認証は必要ありません。 HTTP または HTTPS プロキシで利用できます。ベーシック—HTTP ユーザーエージェントがリクエストを行う際にユーザー名とパスワードを指定するために使用されます。Base64 エンコードを使用します。 HTTP または HTTPS プロキシで利用できます。このオプションを選択した場合は、ユーザー名とパスワードも入力する必要があります。ダイジェスト: 機密情報を送信する前にアカウントを確認するために使用されます。ネットワークを経由して送信する前に、ユーザー名およびパスワードにハッシュ機能を適用します。 HTTPS プロキシに対してのみ利用できます。このオプションを選択した場合は、ユーザー名とパスワードも入力する必要があります。透過型検査プロキシ、基本認証を持つ HTTP 明示プロキシ、または HTTPS 明示プロキシについては、次のステップに従ってください。
3	[ルート証明書またはエンティティ終了証明書のアップロード] をクリックし、プロキシのルート証明書を選択するために移動します。証明書はアップロードされていますが、まだインストールされていません。証明書をインストールするにはノードを再起動する必要があります。証明書発行者名の山形矢印をクリックして詳細を確認するか、間違っている場合は [削除] をクリックして、ファイルを再度アップロードしてください。
4	[プロキシ接続を確認する] をクリックして、ノードとプロキシ間のネットワーク接続性をテストします。接続テストが失敗した場合は、エラーメッセージが表示され、問題を解決するための理由と方法が示されます。外部 DNS の解決が正常に行われなかったという内容のメッセージが表示された場合、ノードが DNS サーバーに到達できなかったことを示しています。この状況は、多くの明示的なプロキシ構成で想定されています。セットアップを続行すると、ノードは外部 DNS 解決ブロックモードで機能します。これがエラーだと思われる場合は、これらの手順を完了し、「ブロックされた外部 DNS 解決モードをオフにする」を参照してください。
5	接続テストが成功した後、明示的なプロキシについては https のみに設定し、このノードからのすべてのポートの 443/444 https 要求を明示的プロキシを通してルーティングするように切り替えます。この設定を有効にするには 15 秒かかります。
6	[すべての証明書を信頼ストアにインストールする(HTTPS 明示プロキシまたは透過型のプロキシで表示される)] または [再起動] をクリックして、プロンプトを読み、準備が完了したら [インストール] をクリックします。ノードが数分以内に再起動されます。
7	ノードが再起動したら、必要に応じて再度サインインして、[概要] ページを開き、接続チェックを確認してすべて緑色のステータスになっていることを確認します。プロキシ接続の確認は webex.com のサブドメインのみをテストします。接続の問題がある場合、インストール手順に記載されているクラウドドメインの一部がプロキシでブロックされているという問題がよく見られます。

クラスタ内の最初のノードを登録

このタスクは、「ハイブリッドデータセキュリティ VM のセットアップ」で作成した汎用ノードを取り、ノードを Webex クラウドに登録し、ハイブリッドデータセキュリティノードに変換します。

最初のノードを登録するとき、クラスターをノードが指定されている場所に作成します。クラスターには展開された 1 つ上のノードを含み、冗長性を提供します。

開始する前に

一旦ノードの登録を開始すると、60 分以内に完了する必要があり、そうでなければ、再び最初からやり直しになります。
ブラウザのポップアップブロッカーが無効になっているか、admin.webex.com の例外を許可していることを確認してください。

1	https://admin.webex.comにサインインします。
2	スクリーンの左側にあるメニューからサービスを選択します。
3	[クラウドサービス] セクションで、ハイブリッドデータセキュリティカードを見つけ、[セットアップ] をクリックします。
4	開いたページで、[リソースの追加] をクリックします。
5	[ノードを追加] カードの最初のフィールドで、ハイブリッドデータセキュリティノードを割り当てるクラスタの名前を入力します。クラスターのノードが地理的にどこに配置されているかに基づきクラスターに名前を付けることをお薦めします。例:「サンフランシスコ」または「ニューヨーク」または「ダラス」
6	2 番目のフィールドに、ノードの内部 IP アドレスまたは完全修飾ドメイン名 (FQDN) を入力し、画面下部にある [追加] をクリックします。この IP アドレスまたは FQDN は、「ハイブリッドデータセキュリティ VM をセットアップする」で使用した IP アドレスまたはホスト名とドメインと一致する必要があります。ノードを Webex に登録できることを示すメッセージが表示されます。
7	[ノードに進む] をクリックします。しばらくすると、Webex サービスのノード接続テストにリダイレクトされます。すべてのテストが成功した場合、[ハイブリッドデータセキュリティノードへのアクセスを許可する] ページが表示されます。そこでは、ノードにアクセスする権限を Webex 組織に付与することを確認します。
8	[ハイブリッドデータセキュリティノードへのアクセスを許可する] チェックボックスをチェックし、[続行] をクリックします。アカウントが検証され、「登録完了」メッセージは、ノードが Webex クラウドに登録されていることを示します。
9	リンクをクリックするか、タブを閉じて、Partner Hub ハイブリッドデータセキュリティページに戻ります。 [ハイブリッドデータセキュリティ] ページで、登録したノードを含む新しいクラスタが [リソース] タブの下に表示されます。ノードは自動的にクラウドから最新ソフトウェアをダウンロードします。

他のノードを作成して登録

追加ノードをクラスターに追加するには、追加 VMs を作成し、同じ構成 ISO ファイルをマウントし、ノードを登録します。最低 3 個のノードを持つことを推奨します。

開始する前に

一旦ノードの登録を開始すると、60 分以内に完了する必要があり、そうでなければ、再び最初からやり直しになります。
ブラウザのポップアップブロッカーが無効になっているか、admin.webex.com の例外を許可していることを確認してください。

1	OVA から新しい仮想マシンを作成し、「HDS ホスト OVA をインストールする」の手順を繰り返します。
2	新しい VM で初期設定をセットアップし、「ハイブリッドデータセキュリティ VM のセットアップ」の手順を繰り返します。
3	新しい VM で、「HDS 構成 ISO をアップロードおよびマウントする」の手順を繰り返します。
4	展開用にプロキシを設定している場合は、新しいノードで「プロキシ統合のために HDS ノードを構成する」の手順を繰り返します。
5	ノードを登録します。 https://admin.webex.com で、[サービス] をスクリーンの左側にあるメニューから選択します。 [クラウドサービス] セクションで、ハイブリッドデータセキュリティカードを見つけ、[すべて表示] をクリックします。 [ハイブリッドデータセキュリティリソース] ページが表示されます。新しく作成されたクラスターが [リソース ] ページに表示されます。クラスタをクリックすると、クラスタに割り当てられたノードが表示されます。画面の右側にある [ノードの追加] をクリックします。ノードの内部 IP アドレスまたは完全修飾ドメイン名 (FQDN) を入力し、[追加] をクリックします。ページが開き、ノードを Webex クラウドに登録できることを示すメッセージが表示されます。しばらくすると、Webex サービスのノード接続テストにリダイレクトされます。すべてのテストが成功した場合、[ハイブリッドデータセキュリティノードへのアクセスを許可する] ページが表示されます。そこで、組織にノードにアクセスする権限を付与することを確認します。 [ハイブリッドデータセキュリティノードへのアクセスを許可する] チェックボックスをチェックし、[続行] をクリックします。アカウントが検証され、「登録完了」メッセージは、ノードが Webex クラウドに登録されていることを示します。リンクをクリックするか、タブを閉じて、Partner Hub ハイブリッドデータセキュリティページに戻ります。ノードが追加されましたポップアップメッセージは、Partner Hub の画面下部にも表示されます。ノードが登録されています。

マルチテナントのハイブリッドデータセキュリティでテナント組織を管理する

Partner Hub でマルチテナント HDS をアクティブにする

このタスクにより、顧客組織のすべてのユーザーがオンプレミスの暗号化キーやその他のセキュリティサービスに HDS を活用できるようになります。

開始する前に

必要なノード数を持つマルチテナント HDS クラスタのセットアップが完了していることを確認します。

1	https://admin.webex.comにサインインします。
2	スクリーンの左側にあるメニューからサービスを選択します。
3	[クラウドサービス] セクションで、ハイブリッドデータセキュリティを見つけ、[設定の編集] をクリックします。
4	[HDS ステータス] カードで [HDS を有効にする] をクリックします。

Partner Hub でテナント組織を追加

このタスクでは、顧客組織をハイブリッドデータセキュリティクラスタに割り当てます。

1	https://admin.webex.comにサインインします。
2	スクリーンの左側にあるメニューからサービスを選択します。
3	[クラウドサービス] セクションで、ハイブリッドデータセキュリティを見つけ、[すべて表示] をクリックします。
4	顧客を割り当てるクラスタをクリックします。
5	[割り当てられた顧客] タブに移動します。
6	[顧客の追加] をクリックします。
7	ドロップダウンメニューから追加する顧客を選択します。
8	[追加] をクリックすると、顧客がクラスタに追加されます。
9	複数の顧客をクラスタに追加するには、手順 6 ～ 8 を繰り返します。
10	顧客を追加したら、画面下部にある [完了] をクリックします。

次に行うこと

「HDS セットアップツールを使用してカスタマーメインキー (CMK) を作成する」で詳しく説明されている HDS セットアップツールを実行し、セットアッププロセスを完了します。

HDS セットアップツールを使用してカスタマーメインキー (CMK) を作成する

開始する前に

「Partner Hub でテナント組織を追加する」の詳細に従って、適切なクラスターに顧客を割り当てます。HDS セットアップツールを実行して、新しく追加された顧客組織のセットアッププロセスを完了します。

HDS セットアップツールをローカルマシンの Docker コンテナとして実行します。アクセスするには、そのマシンで Docker を実行します。セットアッププロセスには、組織のフル管理者権限を持つパートナーハブアカウントの資格情報が必要です。

HDS セットアップツールが環境内のプロキシの背後で実行されている場合、ステップ 5 で Docker コンテナを起動する際に、Docker 環境変数を通してプロキシ設定 (サーバー、ポート、資格情報) を提供します。この表ではいくつかの可能な環境変数を示します。

説明	変数
認証なしの HTTP プロキシ	`グローバル_エージェント_HTTP_PROXY=http://SERVER_IP:PORT`
認証なしの HTTPS プロキシ	`グローバル_エージェント_HTTPS_PROXY=http://SERVER_IP:ポート`
認証ありの HTTP プロキシ	`グローバル_エージェント_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
認証ありの HTTPS プロキシ	`グローバル_エージェント_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

生成する構成 ISO ファイルには、PostgreSQL または Microsoft SQL Server データベースを暗号化するマスターキーが含まれています。次のような設定変更を行うときは、このファイルの最新コピーが必要です。
- データベースクレデンシャル
- 証明書の更新
- 認証ポリシーの変更
データベース接続を暗号化する場合は、TLS 用に PostgreSQL または SQL Server の展開を設定します。

ハイブリッドデータセキュリティセットアッププロセスは、ISO ファイルを作成します。その後、ISO を使用してハイブリッドデータセキュリティホストを構成します。

1	マシンのコマンドラインで、お使い環境に適切なコマンドを入力します。一般環境: `docker rmi ciscocitg/hds-setup:stable` FedRAMP 環境の場合: `docker rmi ciscocitg/hds-setup-fedramp:stable` このステップを実行すると、前の HDS セットアップツールの画像がクリーンアップされます。これ以前の画像がない場合は、無視できるエラーを返します。
2	Docker 画像レジストリにサインインするには、以下を入力します。 `ドッカーログイン -u hdscustomersro`
3	パスワードのプロンプトに対して、このハッシュを入力します。 `dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo`
4	お使い環境に合った最新の安定した画像をダウンロードします。一般環境: `ドッカープル ciscocitg/hds-setup:stable` FedRAMP 環境の場合: `ドッカープル ciscocitg/hds-setup-fedramp:stable`
5	プルが完了したら、お使いの環境に適切なコマンドを入力します。プロキシなしの通常の環境の場合: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable` HTTP プロキシがある通常の環境の場合、 `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:ポート ciscocitg/hds-setup:stable` HTTPS プロキシがある通常の環境の場合: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:ポート ciscocitg/hds-setup:stable` プロキシなしの FedRAMP 環境の場合: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable` HTTP プロキシがある FedRAMP 環境の場合: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:ポート ciscocitg/hds-setup-fedramp:stable` HTTPS プロキシがある FedRAMP 環境の場合: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:ポート ciscocitg/hds-setup-fedramp:stable` コンテナが実行中の時。「ポート 8080 で Express サーバーリスニング中」と表示されます。
6	セットアップツールは、http://localhost:8080 を介した localhost への接続をサポートしていません。http://127.0.0.1:8080 を使用して、localhost に接続します。 Web ブラウザを使用して、localhost `http://127.0.0.1:8080` に移動し、プロンプトで Partner Hub の管理者ユーザー名を入力します。ツールは、このユーザー名の最初のエントリを使用して、そのアカウントに適した環境を設定します。その後、ツールには標準のサインインプロンプトが表示されます。
7	プロンプトが表示されたら、Partner Hub 管理者のサインイン資格情報を入力し、[ログイン] をクリックして、ハイブリッドデータセキュリティに必要なサービスへのアクセスを許可します。
8	セットアップツール概要ページで、[開始] をクリックします。
9	[ISO インポート] ページで、[はい] をクリックします。
10	ブラウザで ISO ファイルを選択してアップロードします。 CMK 管理を実行するには、データベースへの接続を確認します。
11	[テナント CMK 管理] タブに進み、テナント CMK を管理する次の 3 つの方法を確認します。すべての組織に対して CMK を作成または CMK を作成 - 画面上部のバナーでこのボタンをクリックすると、新しく追加されたすべての組織に対して CMK が作成されます。画面の右側にある [CMK の管理] ボタンをクリックし、[CMK の作成] をクリックして、新しく追加されたすべての組織に対して CMK を作成します。テーブル内の特定の組織の CMK 管理保留ステータスの近くにある […] をクリックし、[CMK の作成] をクリックして、その組織の CMK を作成します。
12	CMK の作成が成功すると、テーブルのステータスは CMK 管理保留中から CMK 管理に変更されます。
13	CMK の作成に失敗した場合は、エラーが表示されます。

テナント組織を削除

開始する前に

削除すると、顧客組織のユーザーは暗号化ニーズに HDS を利用できなくなり、既存のスペースはすべて失われます。顧客の組織を削除する前に、Cisco パートナーまたはアカウントマネージャーに連絡してください。

1	https://admin.webex.comにサインインします。
2	スクリーンの左側にあるメニューからサービスを選択します。
3	[クラウドサービス] セクションで、ハイブリッドデータセキュリティを見つけ、[すべて表示] をクリックします。
4	[リソース] タブで、顧客組織を削除するクラスタをクリックします。
5	開いたページで、[割り当てられた顧客] をクリックします。
6	表示される顧客組織のリストから、削除する顧客組織の右側にある ... をクリックし、[クラスターから削除] をクリックします。

次に行うこと

「HDS から削除されたテナントの CMK を取り消す」に記載されているように、顧客組織の CMK を取り消して、削除プロセスを完了します。

HDS から削除されたテナントの CMK を取り消します。

開始する前に

「テナント組織の削除」の詳細に従って、適切なクラスタから顧客を削除します。HDS セットアップツールを実行して、削除された顧客組織の削除プロセスを完了します。

HDS セットアップツールをローカルマシンの Docker コンテナとして実行します。アクセスするには、そのマシンで Docker を実行します。セットアッププロセスには、組織のフル管理者権限を持つパートナーハブアカウントの資格情報が必要です。

HDS セットアップツールが環境内のプロキシの背後で実行されている場合、ステップ 5 で Docker コンテナを起動する際に、Docker 環境変数を通してプロキシ設定 (サーバー、ポート、資格情報) を提供します。この表ではいくつかの可能な環境変数を示します。

説明	変数
認証なしの HTTP プロキシ	`グローバル_エージェント_HTTP_PROXY=http://SERVER_IP:PORT`
認証なしの HTTPS プロキシ	`グローバル_エージェント_HTTPS_PROXY=http://SERVER_IP:ポート`
認証ありの HTTP プロキシ	`グローバル_エージェント_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
認証ありの HTTPS プロキシ	`グローバル_エージェント_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

生成する構成 ISO ファイルには、PostgreSQL または Microsoft SQL Server データベースを暗号化するマスターキーが含まれています。次のような設定変更を行うときは、このファイルの最新コピーが必要です。
- データベースクレデンシャル
- 証明書の更新
- 認証ポリシーの変更
データベース接続を暗号化する場合は、TLS 用に PostgreSQL または SQL Server の展開を設定します。

ハイブリッドデータセキュリティセットアッププロセスは、ISO ファイルを作成します。その後、ISO を使用してハイブリッドデータセキュリティホストを構成します。

1	マシンのコマンドラインで、お使い環境に適切なコマンドを入力します。一般環境: `docker rmi ciscocitg/hds-setup:stable` FedRAMP 環境の場合: `docker rmi ciscocitg/hds-setup-fedramp:stable` このステップを実行すると、前の HDS セットアップツールの画像がクリーンアップされます。これ以前の画像がない場合は、無視できるエラーを返します。
2	Docker 画像レジストリにサインインするには、以下を入力します。 `ドッカーログイン -u hdscustomersro`
3	パスワードのプロンプトに対して、このハッシュを入力します。 `dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo`
4	お使い環境に合った最新の安定した画像をダウンロードします。一般環境: `ドッカープル ciscocitg/hds-setup:stable` FedRAMP 環境の場合: `ドッカープル ciscocitg/hds-setup-fedramp:stable`
5	プルが完了したら、お使いの環境に適切なコマンドを入力します。プロキシなしの通常の環境の場合: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable` HTTP プロキシがある通常の環境の場合、 `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:ポート ciscocitg/hds-setup:stable` HTTPS プロキシがある通常の環境の場合: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:ポート ciscocitg/hds-setup:stable` プロキシなしの FedRAMP 環境の場合: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable` HTTP プロキシがある FedRAMP 環境の場合: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:ポート ciscocitg/hds-setup-fedramp:stable` HTTPS プロキシがある FedRAMP 環境の場合: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:ポート ciscocitg/hds-setup-fedramp:stable` コンテナが実行中の時。「ポート 8080 で Express サーバーリスニング中」と表示されます。
6	セットアップツールは、http://localhost:8080 を介した localhost への接続をサポートしていません。http://127.0.0.1:8080 を使用して、localhost に接続します。 Web ブラウザを使用して、localhost `http://127.0.0.1:8080` に移動し、プロンプトで Partner Hub の管理者ユーザー名を入力します。ツールは、このユーザー名の最初のエントリを使用して、そのアカウントに適した環境を設定します。その後、ツールには標準のサインインプロンプトが表示されます。
7	プロンプトが表示されたら、Partner Hub 管理者のサインイン資格情報を入力し、[ログイン] をクリックして、ハイブリッドデータセキュリティに必要なサービスへのアクセスを許可します。
8	セットアップツール概要ページで、[開始] をクリックします。
9	[ISO インポート] ページで、[はい] をクリックします。
10	ブラウザで ISO ファイルを選択してアップロードします。
11	[テナント CMK 管理] タブに進み、テナント CMK を管理する次の 3 つの方法を確認します。すべての組織に対して CMK を取り消すまたは CMK を取り消す - 画面上部のバナーでこのボタンをクリックすると、削除されたすべての組織の CMK が取り消されます。画面の右側にある [CMK の管理] ボタンをクリックし、[CMK の取り消し] をクリックして、削除されたすべての組織の CMK を取り消します。テーブル内の特定の組織の [CMK を取り消す] ステータス近くの [CMK を取り消す] をクリックし、[CMK を取り消す] をクリックして、その特定の組織の CMK を取り消します。
12	CMK の取り消しが成功すると、顧客組織はテーブルに表示されなくなります。
13	CMK 失効が失敗した場合、エラーが表示されます。

ハイブリッドデータセキュリティの展開をテスト

ハイブリッドデータセキュリティ展開

この手順を使用して、マルチテナントのハイブリッドデータセキュリティ暗号化のシナリオをテストします。

開始する前に

マルチテナントのハイブリッドデータセキュリティの展開をセットアップします。
syslog にアクセスして、重要な要求がマルチテナントハイブリッドデータセキュリティ展開に渡されていることを確認します。

1

与えられたスペースのキーは、スペースの作成者により設定されます。顧客組織のユーザーの 1 人として Webex アプリにサインインし、スペースを作成します。

ハイブリッドデータセキュリティ展開を非アクティブにすると、クライアントのキャッシュされた暗号化キーのコピーが置き換えられると、ユーザーが作成したスペースのコンテンツにアクセスできなくなります。

2

メッセージを新しいスペースに送信します。

3

syslog 出力をチェックして、重要な要求がハイブリッドデータセキュリティ展開に渡されていることを確認します。

ユーザーが最初に KMS に対してセキュアなチャネルを確立していることを確認するには、kms.data.method=create および kms.data.type=EPHEMERAL_KEY_コレクション でフィルタリングします。

次のようなエントリ (読みやすくするために識別子が省略されます) を見つける必要があります。:

2020-07-21 17:35:34.562 (+0000) 情報 KMS [pool-14-thread-1] - [KMS:REQUEST] を受信、deviceId:https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

KMS から既存のキーをリクエストしているユーザーを確認するには、kms.data.method=retrieve および kms.data.type=KEY でフィルタリングします。

以下のエントリーを見つける必要があります。

2020-07-21 17:44:19.889 (+0000) 情報 KMS [pool-14-thread-31] - [KMS:REQUEST] 受信、deviceId:https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

新しい KMS キーの作成を要求しているユーザーを確認するには、kms.data.method=create および kms.data.type=KEY_COLLECTION でフィルタリングします。

以下のエントリーを見つける必要があります。

2020-07-21 17:44:21.975 (+0000) 情報 KMS [pool-14-thread-33] - [KMS:REQUEST] を受信、deviceId:https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

スペースまたはその他の保護されたリソースが作成されたときに、新しい KMS リソースオブジェクト (KRO) の作成を要求するユーザーを確認するには、kms.data.method=create および kms.data.type=RESOURCE_COLLECTION でフィルタリングします。

以下のエントリーを見つける必要があります。

2020-07-21 17:44:22.808 (+0000) 情報 KMS [pool-15-thread-1] - [KMS:REQUEST] を受信、deviceId:https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

ハイブリッドデータセキュリティの正常性のモニター

Partner Hub 内のステータスインジケータは、マルチテナントハイブリッドデータセキュリティの展開にすべて適合しているかどうかを示します。事前のアラートについては、メール通知にサインアップします。サービスに影響するアラームやソフトウェアアップグレードがある場合は通知されます。

1	[パートナーハブ] で、画面の左側にあるメニューから [サービス] を選択します。
2	[クラウドサービス] セクションで、ハイブリッドデータセキュリティを見つけ、 [設定の編集] をクリックします。ハイブリッドデータセキュリティ設定のページが表示されます。
3	[メール通知] セクションで、カンマ区切りで 1 つ以上のメールアドレスを入力し、[Enter] を推します。

HDS 展開を管理します

HDS 展開の管理

ここで説明されているタスクを使用して、ハイブリッドデータセキュリティの展開を管理します。

クラスターのアップグレードスケジュール

ハイブリッドデータセキュリティのソフトウェアアップグレードはクラスタレベルで自動的に実行されるため、すべてのノードが常に同じソフトウェアバージョンを実行していることを保証します。アップグレードは、クラスターのアップグレードのスケジュールに従って行われます。ソフトウェアのアップグレードが可能になると、スケジュールされているアップグレードの時間の前に手動でクラスターのアップグレードを行うことも可能になります。特定のアップグレードのスケジュールを設定するか、毎日午前 3 時 (アメリカ合衆国) に行うというデフォルトのスケジュールも利用可能です。アメリカ/ロサンゼルス必要であれば、次に予定されているアップグレードを延期することも可能です。

アップグレードのスケジュールを設定するには、次の操作を行います。

1	Partner Hub にサインインします。
2	スクリーンの左側にあるメニューからサービスを選択します。
3	[クラウドサービス] セクションで、ハイブリッドデータセキュリティを見つけ、[セットアップ] をクリックします。
4	[ハイブリッドデータセキュリティリソース] ページで、クラスタを選択します。
5	[クラスター設定] タブをクリックします。
6	[クラスタ設定（Cluster Settings）] ページの [アップグレードスケジュール（Upgrade Schedule）] で、アップグレードスケジュールの時間とタイムゾーンを選択します。注意: タイムゾーンの下に、次に可能なアップグレードの日時が表示されます。必要に応じて、[24 時間延期する] をクリックして、アップグレードを翌日に延期することができます。

ノードの構成を変更する

場合により、以下のような理由でハイブリッドデータセキュリティノードの構成の変更が必要な場合があります。

有効期限が切れる、または他の理由による、x.509 証明書の変更。

証明書の CN ドメイン名の変更はサポートされていません。ドメインは、クラスターを登録するために使用される元のドメインと一致する必要があります。
データベース設定を更新して、PostgreSQL または Microsoft SQL Server データベースのレプリカを変更します。

PostgreSQL から Microsoft SQL Server への、またはその逆へのデータ移行はサポートしていません。データベース環境を切り替えるには、ハイブリッドデータセキュリティの新しい展開を開始します。
新しい構成を作成して新しいデータセンターの準備をする。

また、セキュリティ上の理由により、ハイブリッドデータセキュリティは 9 か月間使用可能なサービスアカウントパスワードを使用します。HDS セットアップツールがこれらのパスワードを生成した後で、ISO 構成ファイルの各 HDS ノードに展開します。組織のパスワードの有効期限切れが近い場合、Webex チームから「パスワード期限切れ通知」を受け取り、マシンアカウントのパスワードのリセットを求められます。(メールにはテキスト「マシンアカウント API を使用してパスワードを更新します」を含みます。) パスワードの有効期限が切れるまで時間が十分にある場合、ツールには次の 2 つのオプションがあります:

ソフトリセット: 古いパスワードと新しいパスワードの両方が最大 10 日間有効です。この期間を使用して、ノードの ISO ファイルを段階的に置き換えることができます。
ハードリセット: 古いパスワードがすぐに機能しなくなります。

パスワードをリセットせずに期限切れになる場合、HDS サービスに影響を与える可能性があります。すぐにハードリセットし、すべてのノードの ISO ファイルを置換する必要があります。

この手順を使用して、新しい構成 ISO ファイルを生成し、クラスターに適用します。

始める前に

HDS セットアップツールをローカルマシンの Docker コンテナとして実行します。アクセスするには、そのマシンで Docker を実行します。セットアッププロセスには、パートナーのフル管理者権限を持つ Partner Hub アカウントの資格情報が必要です。

HDS セットアップツールが環境内のプロキシの背後で実行されている場合、1.e で Docker コンテナを起動する際に、Docker 環境変数を通してプロキシ設定 (サーバー、ポート、資格情報) を提供します。この表ではいくつかの可能な環境変数を示します。

説明	変数
認証なしの HTTP プロキシ	`グローバル_エージェント_HTTP_PROXY=http://SERVER_IP:PORT`
認証なしの HTTPS プロキシ	`グローバル_エージェント_HTTPS_PROXY=http://SERVER_IP:ポート`
認証ありの HTTP プロキシ	`グローバル_エージェント_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
認証ありの HTTPS プロキシ	`グローバル_エージェント_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

新しい構成を生成するには、現在の構成 ISO ファイルのコピーが必要です。ISO には PostgreSQL または Microsoft SQL Server データベースを暗号化するマスターキーを含むです。データベースの証明書、証明書の更新、認証方針への変更を含む、構成の変更を行った場合は ISO が必要です。

1	ローカルマシンで Docker を使用し、HDS セットアップツールを実行します。マシンのコマンドラインで、お使い環境に適切なコマンドを入力します。一般環境: `docker rmi ciscocitg/hds-setup:stable` FedRAMP 環境の場合: `docker rmi ciscocitg/hds-setup-fedramp:stable` このステップを実行すると、前の HDS セットアップツールの画像がクリーンアップされます。これ以前の画像がない場合は、無視できるエラーを返します。 Docker 画像レジストリにサインインするには、以下を入力します。 `ドッカーログイン -u hdscustomersro` パスワードのプロンプトに対して、このハッシュを入力します。 `dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo` お使い環境に合った最新の安定した画像をダウンロードします。一般環境: `ドッカープル ciscocitg/hds-setup:stable` FedRAMP 環境の場合: `ドッカープル ciscocitg/hds-setup-fedramp:stable` この手順に最新のセットアップツールをプルしていることを確認します。2018 年 2 月 22 日より前に作成されたツールのバージョンには、パスワードリセット画面が表示されません。プルが完了したら、お使いの環境に適切なコマンドを入力します。プロキシなしの通常の環境の場合: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable` HTTP プロキシがある通常の環境の場合、 `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:ポート ciscocitg/hds-setup:stable` HTTPS プロキシがある通常の環境の場合: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:ポート ciscocitg/hds-setup:stable` プロキシなしの FedRAMP 環境の場合: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable` HTTP プロキシがある FedRAMP 環境の場合: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:ポート ciscocitg/hds-setup-fedramp:stable` HTTPS プロキシがある FedRAMP 環境の場合: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:ポート ciscocitg/hds-setup-fedramp:stable` コンテナが実行中の時。「ポート 8080 で Express サーバーリスニング中」と表示されます。ブラウザを使用して、ローカルホスト `http://127.0.0.1:8080` に接続します。セットアップツールは、http://localhost:8080 を介した localhost への接続をサポートしていません。http://127.0.0.1:8080 を使用して、localhost に接続します。プロンプトが表示されたら、Partner Hub の顧客サインイン情報を入力し、[承認] をクリックして続行します。現在の構成 ISO ファイルをインポートします。指示に従い、ツールを完了し、更新されたファイルをダウンロードします。セットアップツールをシャットダウンするには、[`CTRL+C`] と入力します。別のデータセンターで、更新されたファイルのバックアップコピーを作成します。
2	実行中の HDS ノードが 1 つしかない場合、新しいハイブリッドデータセキュリティノード VM を作成し、新しい構成 ISO ファイルを使用して登録します。詳細については、「さらにノードを作成して登録する」を参照してください。 HDS 主催者 OVA をインストールします。 HDS VM をセットアップします。更新された構成ファイルをマウントします。 Partner Hub で新しいノードを登録します。
3	古い構成ファイルを実行している既存の HDS ノードの場合、ISO ファイルをマウントします。各ノードで以下の手順を実行し、次のノードをオフにする前に、各ノードを更新します。仮想マシンをオフにします。 VMware vSphere クライアントの左ナビゲーションペインで、ESXi サーバーを右クリックし、[設定の編集] をクリックします。 [`CD/DVD Drive 1`] をクリックし、ISO ファイルからマウントするオプションを選択して、新規構成 ISO ファイルをダウンロードした場所を参照します。 [電源に接続する] をチェックします。変更を保存し、仮想マシンを起動します。
4	ステップ 3 を繰り返し、古い構成ファイルを実行している残りの各ノードで構成を置き換えます。

外部 DNS 解決ブロックモードをオフにする

ノードを登録するか、またはノードのプロキシ構成を確認するとき、プロセスは DNS 検索と Cisco Webex クラウドへの接続をテストします。ノードの DNS サーバーがパブリック DNS 名を解決できない場合、ノードは自動的に外部 DNS 解決ブロックモードに進みます。

ノードが内部 DNS サーバーを通してパブリック DNS 名を解決できる場合、各ノードでプロキシ接続テストを再実行することで、このモードをオフにすることができます。

開始する前に

内部 DNS サーバーがパブリック DNS 名を解決でき、ノードがそれらと通信できることを確認します。

1	Web ブラウザで、ハイブリッドデータセキュリティノードインターフェイス (IP アドレス/セットアップ、例: https://192.0.2.0/setup), ノードに設定した管理者資格情報を入力し、サインイン。
2	[概要] (デフォルトページ) に移動します。有効になっている場合、 [外部 DNS 解決ブロック] は [はい] に設定されています。
3	[信頼ストアとプロキシ] ページに移動します。
4	[プロキシ接続を確認する] をクリックします。外部 DNS の解決が正常に行われなかったという内容のメッセージが表示された場合、ノードが DNS サーバーに到達できなかったことを示しており、このモードに留まっています。そうでない場合には、ノードを再起動して[概要] ページに戻ると、[外部 DNS 解決ブロック] は [いいえ] に設定されるはずです。

次に行うこと

ハイブリッドデータセキュリティクラスターの各ノードで、プロキシ接続テストを繰り返します。

ノードの削除

この手順を使用して、Webex クラウドからハイブリッドデータセキュリティノードを削除します。クラスタからノードを削除した後、仮想マシンを削除して、セキュリティデータへのさらなるアクセスを防止します。

1

コンピュータの VMware vSphere クライアントを使用して、ESXi 仮想主催者にログインし、仮想マシンをオフにします。

2

ノードの削除:

Partner Hub にサインインし、[サービス] を選択します。
ハイブリッドデータセキュリティカードで、[すべて表示] をクリックして、ハイブリッドデータセキュリティリソースページを表示します。
クラスタを選択して [概要] パネルを表示します。
削除するノードをクリックします。
右に表示されるパネルで、[このノードの登録解除] をクリックします。
ノードの右側にある […] をクリックして、[このノードを削除] を選択することで、ノードの登録を解除することもできます。

3

vSphere クライアントで、VM を削除します。(左側のナビゲーションペインで、VM を右クリックし、[削除] をクリックします。)

VM を削除しない場合は、構成 ISO ファイルをアンマウントすることを忘れないでください。ISO ファイルがないと、VM を使用してセキュリティデータにアクセスすることはできません。

スタンバイデータセンターを使用した災害復旧

ハイブリッドデータセキュリティクラスターが提供する最も重要なサービスは、Webex クラウドに保存されたメッセージやその他のコンテンツを暗号化するために使用されるキーの作成と保存です。ハイブリッドデータセキュリティに割り当てられている組織内の各ユーザーについて、新しいキー作成リクエストはクラスタにルーティングされます。カンバセーションスペースのメンバーなど、受け取りの認可を得ているユーザーに、作成されるキーを戻す責任がクラスターにはあります。

クラスタープラットフォームはこれらのキーを提供するにあたり重要な機能となるため、クラスターが実行中のままで、適切なバックアップが維持されている必要があります。ハイブリッドデータセキュリティデータベースまたはスキーマに使用される構成 ISO の損失により、顧客コンテンツは回復不能になります。損失などを防ぐためには、以下のプラクティスが必須です:

災害により、プライマリデータセンターの HDS 展開が利用できなくなる場合は、次の手順に従って、スタンバイデータセンターに手動でフェールオーバーします。

開始する前に

「ノードを削除」に記載されているように、Partner Hub からすべてのノードを登録解除します。以前にアクティブであったクラスタのノードに対して設定された最新の ISO ファイルを使用して、以下に示すフェールオーバー手順を実行します。

1	HDS セットアップツールを開始し、「HDS ホストの構成 ISO を作成する」に記載されている手順に従います。
2	設定プロセスを完了し、見つけやすい場所に ISO ファイルを保存します。
3	ローカルシステムの ISO ファイルのバックアップコピーを作成します。バックアップコピーを安全に保ちます。このファイルには、データベースコンテンツのマスター暗号化キーを含みます。設定変更を行う必要があるハイブリッドデータセキュリティ管理者のみにアクセスを制限します。
4	VMware vSphere クライアントの左ナビゲーションペインで、ESXi サーバーを右クリックし、[設定の編集] をクリックします。
5	[設定の編集] > [CD/DVD ドライブ 1] をクリックし、データストア ISO ファイルを選択します。ノードの開始後に更新された構成変更が有効になるように、[接続済み] と [電源で接続] がオンになっていることを確認します。
6	HDS ノードの電源をオンにし、少なくとも 15 分間アラームがないことを確認します。
7	Partner Hub でノードを登録します。「クラスタの最初のノードを登録する」を参照してください。
8	スタンバイデータセンター内のすべてのノードに対してこのプロセスを繰り返します。

次に行うこと

フェールオーバー後、プライマリデータセンターが再びアクティブになった場合は、スタンバイデータセンターのノードを登録解除し、前述のように ISO の設定とプライマリデータセンターのノードを登録するプロセスを繰り返します。

(オプション) HDS 設定後に ISO を取り外す

標準 HDS 設定は、ISO がマウントされた状態で実行されます。ただし、ISO ファイルを継続的にマウントすることを希望する顧客もあります。すべての HDS ノードが新しい設定を取得すると、ISO ファイルをマウント解除できます。

設定変更を行うには、引き続き ISO ファイルを使用します。新しい ISO を作成するか、セットアップツールから ISO を更新する場合は、更新された ISO をすべての HDS ノードにマウントする必要があります。すべてのノードが設定変更をピックアップしたら、この手順で ISO をアンマウントできます。

開始する前に

すべての HDS ノードをバージョン 2021.01.22.4720 以降にアップグレードします。

1	HDS ノードの 1 つをシャットダウンします。
2	vCenter Server アプライアンスで、HDS ノードを選択します。
3	[設定の編集] > [CD/DVD ドライブ] の順に選択し、[データストア ISO ファイル] のチェックを外します。
4	HDS ノードの電源をオンにし、少なくとも 20 分間アラームがないことを確認します。
5	各 HDS ノードに対して順番に繰り返します。

ハイブリッドデータセキュリティのトラブルシューティング

アラートを表示してトラブルシューティングする

ハイブリッドデータセキュリティの展開は、クラスタ内のすべてのノードに到達できない場合、またはクラスタが動作が遅いため、要求がタイムアウトになった場合、利用できないと見なされます。ユーザーがハイブリッドデータセキュリティクラスタに到達できない場合、次の症状を経験します。

新しいスペースが作成できない (新しいキーを作成できない)
メッセージとスペースのタイトルを暗号解除できない:
- 新しいユーザーをスペースに追加する (キーを取得できない)
- 新しいクライアントを使用したスペースの既存ユーザー (キーを取得できない)
クライアントが暗号キーのキャッシュを持っている限り、スペースの既存ユーザーは引き続き正常に実行します

サービスの中断を避けるために、ハイブリッドデータセキュリティクラスタを適切に監視し、アラートを速やかに解決することが重要です。

警告

ハイブリッドデータセキュリティのセットアップに問題がある場合、Partner Hub は組織管理者にアラートを表示し、構成されたメールアドレスにメールを送信します。アラートでは多くに共通するシナリオを説明しています。

表 1YAZ設定オプション共通の問題と解決ステップ
警告	アクション
ローカルデータべースへのアクセスに失敗しました。	データベースのエラーかローカルネットワークの問題をチェックしてください。
ローカルデータベースの接続に失敗しました。	データベースサーバーが利用可能であり、正しいサービスアカウント証明書がノード構成に使用されていたことをチェックします。
クラウドサービスへのアクセスに失敗しました。	外部接続要件で指定されている通り、ノードが Webex サーバーにアクセスできることを確認します。
クラウドサービスの登録を更新します。	クラウドサービスへの登録に失敗しました。登録の更新は現在進行中です。
クラウドサービスの登録に失敗しました。	クラウドサービスへの登録が終了しましたサービスがシャットダウンしました。
サービスがアクティベートされていません。	Partner Hub で HDS を有効にします。
構成されたドメインはサーバー証明書に一致しません。	サーバー証明書が構成されたサービスアクティベーションドメインに一致することを確認します。もっとも多い原因は、証明書 CN が最近変更され、最初のセットアップ中に使用された CN とは異なっているためです。
クラウドサービスへの認証に失敗しました。	正確性とサービスアカウント証明書の期限切れの可能性をチェックします。
ローカルキーストアファイルを開くことに失敗しました。	ローカルキーストアファイルの整合性とパスワードの正確性をチェックします。
ローカルサーバー証明書が無効です。	サーバー証明書の期限切れ日をチェックし、信頼できる証明書権限から発行されたものであることを確認します。
メトリクスを投稿できません。	外部クラウドサービスへのローカルネットワークアクセスをチェックします。
/media/configdrive/hds ディレクトリは存在しません。	仮想ホストで ISO マウント構成をチェックします。ISO ファイルが存在し、再起動時にマウントされるように構成されており、正常にマウントされていることを確認します。
追加された組織では、テナント組織のセットアップが完了していません	HDS セットアップツールを使用して、新しく追加されたテナント組織の CMK を作成してセットアップを完了します。
削除された組織のテナント組織のセットアップが完了していません	HDS セットアップツールを使用して削除されたテナント組織の CMK を取り消すことでセットアップを完了します。

ハイブリッドデータセキュリティのトラブルシューティング

ハイブリッドデータセキュリティの問題をトラブルシューティングする際には、次の一般的なガイドラインを使用してください。

1	アラートについては Partner Hub を確認し、そこで見つかった項目を修正します。参照については、以下の画像を参照してください。
2	ハイブリッドデータセキュリティ展開からのアクティビティの syslog サーバー出力を確認します。「警告」や「エラー」などの単語をフィルタリングして、トラブルシューティングに役立ちます。
3	Cisco サポートに連絡します。

その他のメモ

ハイブリッドデータセキュリティに関する既知の問題

ハイブリッドデータセキュリティクラスタをシャットダウンする場合 (Partner Hub で削除するか、すべてのノードをシャットダウンする)、構成 ISO ファイルを失うか、キーストアデータベースへのアクセスを失った場合、顧客組織の Webex アプリユーザーは、KMS のキーで作成されたユーザーリストの下のスペースを使用できなくなります。一度アクティブユーザーを扱った場合、現在この問題の会費苞や修正方法はなく、HDS サービスを終了しないようにしてください。
KMS への既存の ECDH 接続を持つクライアントは、一定の期間接続を維持します (およそ 1 時間)。

OpenSSL を使用して PKCS12 ファイルを生成する

開始する前に

OpenSSL は、HDS セットアップツールでローディングするために、適切なフォーマットで PKCS12 ファイルを作成するために使用可能なツールです。これを実行する他の方法もあり、別の方法がある中で1つの方法をサポートまたは促進しません。
OpenSSL を使用することを選択した場合、X.509 証明書要件の X.509 証明書要件を満たすファイルを作成するためのガイドラインとしてこの手順を提供します。続行する前にそれらの要件を理解します。
サポートされている環境で OpenSSL をインストールします。ソフトウェアと文書については https://www.openssl.org をご覧ください。
秘密鍵を作成します。
証明書権限 (CA) からサーバー証明書を受け取るとき、この手順を開始します。

1	CA からサーバー証明書を受け取るとき、`hdsnode.pem` として保存します。
2	テキストとして証明書を表示し、詳細を検証します: `openssl x509 -text -noout -in hdsnode.pem`
3	テキストエディタを使用して、`hdsnode-bundle.pem` という名前の証明書バンドルファイルを作成します。バンドルファイルには、下のフォーマットでサーバー証明書、中間 CA 証明書、ルート証明書を含みます。 `-----開始証明書----- ### サーバ証明書。 ### -----end certificate------------------------------------------------------------- ### 中間 CA 証明書。 #### -----end certificate------------------------------------------------------------- ### ルート CA 証明書。 ### -----end 証明書-----`
4	`kms-private-key` という友好的な名前で .p12 ファイルを作成します。 `openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12`
5	サーバー証明書の詳細をチェックします。 `openssl pkcs12 -in hdsnode.p12` アウトプットに一覧化されるように、指示に従いパスワードを入力し、秘密鍵を暗号化します。したがって、秘密鍵と最初の証明書に行`friendlyName: Kms-private-key` を含むことに検証します。例: bash$ openssl pkcs12 -in hdsnode.p12 Enter Import Password: MAC verified OK Bag Attributes friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 主な属性: PEM パスフレーズを入力: 検証中 - PEM パスフレーズを入力します: -----BEGIN 暗号化秘密キー----- -----END 暗号化秘密キー------- バッグ属性 friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 ------BEGIN CERTIFICATE-----END CERTIFICATE------- Bag 属性 friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US subject=/C=US/O=Let's Encrypt/CN=Digital Signature Trust Co./CN=DST Root CA X3 ------- -----END CERTIFICATE------

次に行うこと

[ハイブリッドデータセキュリティの前提条件を完了] に戻ります。hdsnode.p12 ファイルと設定したパスワードを [HDS ホストの構成 ISO を作成する] で使用します。

元の証明書の有効期限が切れると、これらのファイルを再使用して新しい証明書を要求できます。

HDS ノードおよびクラウド間のトラフィック

アウトバウンドメトリクスコレクショントラフィック

ハイブリッドデータセキュリティノードは、特定のメトリクスをWebex クラウドに送信します。これらには以下が含まれます。heap max、使用される heap、CPU ロード、しきい値カウント。同期および非同期しきい値のメトリクス。暗号化接続、遅延、リクエストキューの長さのしきい値を含むアラートのメトリクス。データストアのメトリクス。暗号化接続メトリクス。Out-of-Band (リクエストとは別) チャンネルの暗号化されたキーマテリアルを送信します。

インバウンドトラフィック

ハイブリッドデータセキュリティノードは、Webex クラウドから次のタイプの着信トラフィックを受信します。

暗号サービスからルートされたクライアントからの暗号化リクエスト
ノードソフトウェアへのアップグレード

ハイブリッドデータセキュリティの Squid プロキシを設定する

Websocket は Squid プロキシを通じて接続できません

HTTPS トラフィックを検査する Squid プロキシは、ハイブリッドデータセキュリティが必要とする websocket (wss:) 接続の確立に干渉する可能性があります。これらのセクションでは、wss: トラフィックを無視するためのさまざまなバージョンの Squid の設定方法について説明しています。 これは、サービスの適切な運用のためのトラフィックです。

Squid 4 および5

on_unsupported_protocol ディレクティブを squid.conf に追加します。

on_unsupported_protocol すべてトンネル

Squid 3.5.27

以下の規則が squid.conf に追加されて、ハイブリッドデータセキュリティのテストに成功しました。これらのルールは、機能を開発し、Webex クラウドを更新する際に変更されることがあります。

acl wssMercuryConnection ssl::server_name_regex mercury-connection ssl_bump splice wssMercuryConnection acl step1 at_step SslBump1 acl step2 at_step SslBump2 acl step3 at_step SslBump3 ssl_bump peek step1 all ssl_bump stare step2 all ssl_bump bump step3 all

新規および変更された情報

この表では、新機能または機能、既存のコンテンツへの変更、および『マルチテナントハイブリッドデータセキュリティの展開ガイド』で修正された主なエラーについて説明します。

日付	変更を行いました
2025 年 1 月 30 日	データベースサーバー要件でサポートされている SQL サーバーのリストに SQL サーバーバージョン 2022 を追加しました。
2025 年 1 月 15 日	マルチテナントハイブリッドデータセキュリティの制限を追加しました。
2025 年 1 月 8 日	「初期セットアップを実行し、インストールファイルをダウンロードする」に、Partner Hub の HDS カードの [セットアップ] をクリックすると、インストールプロセスの重要なステップであることを示すメモを追加しました。
2025 年 1 月 7 日	「仮想ホスト要件」、「ハイブリッドデータセキュリティ展開タスクフロー」、「HDS ホスト OVA のインストール」を更新し、ESXi 7.0 の新しい要件を表示します。
2024 年 12 月 13 日	初公開。

マルチテナントのハイブリッドデータセキュリティの無効化

マルチテナント HDS の無効化タスクフロー

マルチテナント HDS を完全に無効にするには、次の手順に従います。

開始する前に

このタスクは、パートナーのフル管理者によってのみ実行されます。

1	「テナント組織の削除」で記載されているように、すべてのクラスタからすべての顧客を削除します。
2	「HDS から削除されたテナントの CMK を取り消す」に記載されている通り、すべての顧客の CMK を取り消します。
3	「ノードの削除」で記載されているように、すべてのクラスタからすべてのノードを削除します。
4	次の 2 つの方法のいずれかを使用して、Partner Hub からすべてのクラスタを削除します。削除するクラスタをクリックし、概要ページの右上隅にある [このクラスタの削除] を選択します。 [リソース] ページで、クラスタの右側の […] をクリックし、[クラスタの削除] を選択します。
5	ハイブリッドデータセキュリティの概要ページの [設定] タブをクリックし、HDS ステータスカードの [HDS の非アクティブ化] をクリックします。

マルチテナントのハイブリッドデータセキュリティを使い始める

マルチテナントのハイブリッドデータセキュリティの概要

Webex アプリの設計では、1 日目以降、データセキュリティが主要なフォーカスとなっています。このセキュリティのコーナーストンは、エンドツーエンドのコンテンツ暗号化であり、Webex アプリクライアントがキー管理サービス (KMS) と対話することで有効になります。KMS はメッセージとファイルを動的に暗号化し、解読するためにクライアントが使用する暗号キーの作成と管理の責任を負っています。

デフォルトでは、すべての Webex アプリの顧客は、Cisco のセキュリティ領域であるクラウド KMS に保存されているダイナミックキーを使用してエンドツーエンドの暗号化を取得します。ハイブリッドデータセキュリティは、KMS とその他のセキュリティ関連の機能をあなたのエンタープライズデータセンターに移動するため、誰でもなくあなたが暗号化コンテンツの鍵を持っています。

マルチテナントのハイブリッドデータセキュリティ により、組織はサービスプロバイダーとして機能し、オンプレミスの暗号化やその他のセキュリティサービスを管理できる信頼できるローカルパートナーを通じて HDS を活用できます。このセットアップにより、パートナー組織は暗号キーの展開と管理を完全に制御し、顧客組織のユーザーデータを外部アクセスから安全に保護できます。パートナー組織は HDS インスタンスをセットアップし、必要に応じて HDS クラスタを作成します。各インスタンスは、1 つの組織に制限される通常の HDS 展開とは異なり、複数の顧客組織をサポートできます。

パートナー組織は展開と管理をコントロールできますが、顧客が生成したデータやコンテンツにアクセスすることはできません。このアクセスは、顧客の組織とそのユーザーに限定されます。

また、データセンターなどのキー管理サービスとセキュリティインフラストラクチャは信頼できるローカルパートナーによって所有されているため、小規模組織は HDS を活用できます。

マルチテナントハイブリッドデータセキュリティがデータの主権とデータ制御を提供する方法

ユーザーが生成したコンテンツは、クラウドサービスプロバイダーなどの外部アクセスから保護されます。
ローカルの信頼できるパートナーは、すでに確立している顧客の暗号化キーを管理します。
パートナーが提供する場合、ローカルテクニカルサポートのオプション。
ミーティング、メッセージング、通話コンテンツをサポートします。

このドキュメントは、パートナー組織がマルチテナントハイブリッドデータセキュリティシステムの下で顧客をセットアップおよび管理することを支援することを目的としています。

マルチテナントハイブリッドデータセキュリティの制限

パートナー組織は、Control Hub で既存の HDS 展開をアクティブにすることはできません。
パートナーによって管理されることを望むテナントまたは顧客組織は、Control Hub に既存の HDS 展開を持つことはできません。
パートナーによってマルチテナント HDS が展開されると、顧客組織のすべてのユーザーおよびパートナー組織のユーザーは、暗号化サービスにマルチテナント HDS を活用し始めます。

管理するパートナー組織と顧客組織は、同じマルチテナント HDS 展開になります。

マルチテナント HDS を展開すると、パートナー組織はクラウド KMS を使用しなくなります。
HDS 展開後にキーを Cloud KMS に戻すメカニズムはありません。
現在、各マルチテナント HDS 展開では、1 つのクラスタのみを持ち、その下に複数のノードを持つことができます。
管理者ロールには特定の制限があります。詳細については、以下のセクションを参照してください。

マルチテナントハイブリッドデータセキュリティのロール

パートナーのフル管理者 - パートナーが管理するすべての顧客の設定を管理できます。また、組織内の既存のユーザーに管理者のロールを指定したり、パートナー管理者が管理する特定の顧客を指定したりすることもできます。
パートナー管理者 - 管理者がプロビジョニングした顧客またはユーザーに割り当てられた顧客の設定を管理できます。
フル管理者 - 組織設定の変更、ライセンスの管理、ロールの割り当てなどのタスクを実行する権限のあるパートナー組織の管理者です。

すべての顧客組織のエンドツーエンドのマルチテナント HDS のセットアップと管理 - パートナーのフル管理者およびフル管理者権限が必要です。
割り当てられたテナント組織の管理 - パートナー管理者およびフル管理者権限が必要です。

セキュリティ領域のアーキテクチャ

Webex クラウドアーキテクチャは、以下に示すように、異なるタイプのサービスを別の領域、または信頼ドメインに分離します。

ハイブリッドデータセキュリティをさらに理解するために、シスコがクラウド領域ですべての機能を提供している純粋なクラウドケースを見てみましょう。メールアドレスなど個人情報を直接ユーザーが関連付けることが可能な唯一の場所である ID サービスは、データセンター B のセキュリティ領域から論理的および物理的に分かれています。データセンター C では、暗号化されたコンテンツが最終的に保存される領域と、両方とも別になります。

この図では、クライアントがユーザーのラップトップで実行されている Webex アプリであり、ID サービスで認証されています。ユーザーがメッセージを編集し、スペースに送るとき、以下のステップを踏みます:

クライアントは重要な管理サービス (KMS) と安全な接続を確立し、メッセージを暗号化するためのキーをリクエストします。安全な接続では ECDH を使用し、KMS は AES-256 マスターキーを使用してキーを暗号化します。
メッセージはクライアントを離れる前に暗号化されます。クライアントは、暗号化された検索インデックスを作成し、コンテンツで将来検索を助けるインデックス化サービスに送信します。
暗号化されたメッセージは、コンプライアンスチェックのためコンプライアンスサービスに送信されます。
暗号化されたメッセージは、保管領域に保管されます。

ハイブリッドデータセキュリティを展開する際、セキュリティ領域機能 (KMS、インデックス作成、コンプライアンス) をオンプレミスデータセンターに移動します。Webex を構成するその他のクラウドサービス (ID とコンテンツストレージを含む) は、Cisco の領域に残ります。

他の組織と協力する

組織内のユーザーは定期的に Webex アプリを使用して、他の組織の外部参加者と共同作業を行うことができます。ユーザーの 1 人があなたの組織が所有しているスペースのキーをリクエストしたとき (あなたの組織のユーザーの 1 人が作成したため)、KMS は ECDH の安全なチャンネルでキーをクライアントに送信します。ただし、別の組織がスペースのキーを所有している場合、KMS は別の ECDH チャネルを通じて、リクエストを WEBEX クラウドにルーティングして、適切な KMS からキーを取得し、そのキーを元のチャネルのユーザーに返します。

組織 A で実行されている KMS サービスは、X.509 PKI 証明書を使用して他の組織の KMS への接続を検証します。マルチテナントハイブリッドデータセキュリティ展開で使用する x.509 証明書を生成する方法の詳細については、「環境を準備する 」を参照してください。

ハイブリッドデータセキュリティの展開の例外

ハイブリッドデータセキュリティの展開には、暗号化キーを所有することに伴うリスクについて、重要なコミットメントと認識が必要です。

ハイブリッドデータセキュリティを展開するには、以下を提供する必要があります。

Cisco Webex Teams プランでサポートされている場所である国の安全なデータセンター。
「環境を準備する」に記載されている機器、ソフトウェア、およびネットワークアクセス。

ハイブリッドデータセキュリティ用に構築する構成 ISO または提供するデータベースのいずれかが完全に失われると、キーが失われます。キー損失により、ユーザーが Webex アプリのスペースコンテンツやその他の暗号化されたデータを復号できなくなります。このことが発生する場合、新しい展開を構築できますが、新しいコンテンツのみが表示されます。データのアクセス権の喪失を防ぐには、以下を行う必要があります:

データベースのバックアップと復元および構成 ISO を管理します。
データベースディスクの障害やデータセンターの災害などの災害が発生した場合は、迅速な災害復旧を行う準備をしてください。

HDS 展開後にキーをクラウドに戻すメカニズムはありません。

高レベルのセットアッププロセス

このドキュメントでは、マルチテナントのハイブリッドデータセキュリティ展開のセットアップと管理について説明します。

ハイブリッドデータセキュリティのセットアップ—これには、必要なインフラストラクチャの準備、ハイブリッドデータセキュリティソフトウェアのインストール、HDS クラスタの構築、クラスタへのテナント組織の追加、顧客メインキー (CMK) の管理が含まれます。これにより、顧客組織のすべてのユーザーがセキュリティ機能にハイブリッドデータセキュリティクラスタを使用できるようになります。

セットアップ、アクティベーション、および管理フェーズについては、次の 3 つの章で詳しく説明します。
ハイブリッドデータセキュリティ展開の維持—Webex クラウドは自動的に進行中のアップグレードを提供します。IT 部門は階層 1 のサポートをこの展開に提供し、必要に応じて Cisco サポートを提供します。Partner Hub では、画面上の通知を使用して、メールベースのアラートを設定できます。
一般的なアラート、トラブルシューティング手順、および既知の問題について理解する - ハイブリッドデータセキュリティの展開または使用に問題が発生した場合、このガイドの最後の章と「既知の問題の付録」が問題の判別と修正に役立ちます。

ハイブリッドデータセキュリティ展開モデル

エンタープライズデータセンター内で、ハイブリッドデータセキュリティを別々の仮想ホスト上のノードの単一のクラスタとして展開します。ノードは、セキュアなウェブソケットとセキュア HTTP を通じて Webex クラウドと通信します。

インストールプロセス中、提供する VM 上で仮想マシンセットアップするために、OVA ファイルを提供します。HDS セットアップツールを使用し、各ノードにマウントするカスタムクラスター構成 ISO ファイルを作成します。ハイブリッドデータセキュリティクラスタは、提供された Syslogd サーバと PostgreSQL または Microsoft SQL Server データベースを使用します。（HDS セットアップツールで Syslogd とデータベース接続の詳細を設定します）。

ハイブリッドデータセキュリティ展開モデル

クラスターで保持できるノードの最小数は 2 つです。クラスターごとに少なくとも 3 つをお勧めします。複数のノードを持つと、ノード上のソフトウェアアップグレードやその他のメンテナンスアクティビティ中にサービスが中断されないようにします。(Webex クラウドは一度に 1 つのノードのみアップグレードします。)

クラスターのすべてのノードは、同じキーデータストアにアクセスし、同じ syslog サーバーに対するアクティビティをログ記録します。クラウドで指示された通り、ノード自体では処理状態が把握されておらず、ラウンドロビン方式でキーリクエストを処理します。

ノードは、パートナーハブに登録するとアクティブになります。個別ノードをサービス外にするには、必要に応じて登録解除し、再登録できます。

災害復旧のためのスタンバイデータセンター

展開中、セキュアなスタンバイデータセンターをセットアップします。データセンターの災害が発生した場合、スタンバイデータセンターへの展開を手動で失敗させることができます。

アクティブおよびスタンバイデータセンターのデータベースは相互に同期されているため、フェールオーバーを実行するのにかかる時間を最小限に抑えます。

アクティブなハイブリッドデータセキュリティノードは、常にアクティブなデータベースサーバと同じデータセンターにある必要があります。

プロキシサポート

ハイブリッドデータセキュリティは、明示的な透過的な検査および非検査プロキシをサポートします。これらのプロキシを展開に関連付けることができます。これにより、エンタープライズからクラウドに送信されるトラフィックをセキュリティ保護し、監視することができます。証明書の管理のノードでプラットフォーム管理インターフェイスを使用して、ノードでプロキシを設定した後で、全体的な接続ステータスを確認することができます。

ハイブリッドデータセキュリティノードは、以下のプロキシオプションをサポートしています。

プロキシなし: プロキシを統合するために HDS ノードのセットアップ信頼ストアとプロキシ構成を使用しない場合のデフォルト。証明書の更新は必要ありません。
透過的な検査なしのプロキシ: ノードは特定のプロキシサーバーアドレスを使用するように設定されていないため、検査なしのプロキシで動作するように変更を加える必要はありません。証明書の更新は必要ありません。
透過的なトンネリングまたは検査プロキシ: ノードは特定のプロキシサーバーアドレスを使用するように設定されていません。ノードでは、HTTP または HTTPS の設定変更は必要ありません。ただし、ノードはプロキシを信頼するためにルート証明書を必要とします。プロキシを検査することで、Web サイトにアクセスするか、どのタイプのコンテンツを使用するかを強制するポリシーを施行することができます。このタイプのプロキシは、すべてのトラフィック (HTTPS さえも含む) を復号化します。
明示的プロキシ: 明示的プロキシを使用して、使用するプロキシサーバーと認証スキームを HDS ノードに指示します。明示的なプロキシを設定するには、各ノードに次の情報を入力する必要があります。
1. プロキシ IP/FQDN—プロキシマシンに到達するために使用できるアドレス。
2. プロキシポート: プロキシがプロキシトラフィックをリッスンするために使用するポート番号。
3. プロキシプロトコル: プロキシサーバーがサポートしているものに応じて、次のプロトコルから選択します。
  - HTTP—クライアントが送信するすべての要求を表示し、コントロールします。
  - HTTPS—サーバーにチャネルを提供します。クライアントがサーバーの証明書を受け取り、検証します。
4. 認証タイプ: 次の認証タイプから選択します。
  - なし: 追加の認証は必要ありません。
    
    プロキシプロトコルとして HTTP または HTTPS のいずれかを選択した場合に利用できます。
  - ベーシック—HTTP ユーザーエージェントがリクエストを行う際にユーザー名とパスワードを指定するために使用されます。Base64 エンコードを使用します。
    
    プロキシプロトコルとして HTTP または HTTPS のいずれかを選択した場合に利用できます。
    
    各ノードにユーザー名とパスワードを入力する必要があります。
  - ダイジェスト: 機密情報を送信する前にアカウントを確認するために使用されます。ネットワークを経由して送信する前に、ユーザー名およびパスワードにハッシュ機能を適用します。
    
    プロキシプロトコルとして HTTPS を選択した場合にのみ利用できます。
    
    各ノードにユーザー名とパスワードを入力する必要があります。

ハイブリッドデータセキュリティノードとプロキシの例

この図は、ハイブリッドデータセキュリティ、ネットワーク、およびプロキシ間の接続例を示しています。透過的な検査および HTTPS 明示的な検査プロキシオプションの場合、同じルート証明書がプロキシとハイブリッドデータセキュリティノードにインストールされている必要があります。

外部 DNS 解決ブロックモード (明示的プロキシ構成)

ノードを登録するか、またはノードのプロキシ構成を確認するとき、プロセスは DNS 検索と Cisco Webex クラウドへの接続をテストします。内部クライアントのための外部 DNS 解決が許可されていない、明示的なプロキシ構成の展開では、ノードが DNS サーバーに問い合わせができない場合、自動的に外部 DNS 解決ブロックモードに切り替わります。このモードでは、ノード登録および他のプロキシ接続テストを続行することができます。

環境を準備する

マルチテナントハイブリッドデータセキュリティの要件

Cisco Webex ライセンス要件

マルチテナントのハイブリッドデータセキュリティを展開するには:

パートナー組織: Cisco パートナーまたはアカウントマネージャーに連絡し、マルチテナント機能が有効になっていることを確認してください。
テナント組織: Pro Pack for Cisco Webex Control Hub が必要です。(https://www.cisco.com/go/pro-packを参照。)

Docker デスクトップの要件

HDS ノードをインストールする前に、セットアッププログラムを実行するには Docker デスクトップが必要です。Docker は最近、ライセンスモデルを更新しました。組織は Docker デスクトップの有料サブスクリプションを必要とする場合があります。詳細については、Docker ブログ投稿「 Docker は更新および製品サブスクリプションを拡張しています」を参照してください。

X.509 証明書要件

証明書チェーンは、次の条件を満たす必要があります。

表 1YAZ設定オプションハイブリッドデータセキュリティ展開のための X.509 証明書要件
要件	詳細
信頼できる証明書権限 (CA) で署名済み	デフォルトでは、https://wiki.mozilla.org/CA:IncludedCAs で Mozilla リスト (WoSign と StartCom を除く) の CA を信頼します。
ハイブリッドデータセキュリティ展開を識別する共通名 (CN) ドメイン名を保持しますワイルドカード証明書ではありません	CN は到達可能またはアクティブな主催者である必要はありません。たとえばなど、組織を反映する名前を使用することを推奨します。 CN に *（ワイルドカード）を含めることはできません。 CN は、Webex アプリクライアントに対してハイブリッドデータセキュリティノードを検証するために使用されます。クラスタ内のすべてのハイブリッドデータセキュリティノードが同じ証明書を使用します。KMS は x.509v3 SAN フィールドで定義されるドメインではなく、CN ドメインを使用してそれ自体を識別します。この証明書でノードを登録した場合、CN ドメイン名の変更をサポートしません。
非 SHA1 署名	KMS ソフトウェアは、他の組織の KMS に対する接続を検証するために、SHA1 署名をサポートしません。
パスワード保護された PKCS #12 ファイルとして形式化 `Kms-private-key` の有効な名前を使用して、証明書、秘密鍵、中間証明書をタグ付けしてアップロードします。	OpenSSL などのコンバーターを使用して、証明書の形式を変更できます。 HDS セットアップツールを実行する時、パスワードを入力する必要があります。

KMS ソフトウェアはキー使用量を強制したり、キー使用量の誓約を拡張したりしません。いくつかの証明書権限は、サーバー認証など、拡張キー使用量が各証明書に適用されることを必要とします。サーバー認証や他の設定を使用しても大丈夫です。

仮想ホストの要件

クラスタでハイブリッドデータセキュリティノードとして設定する仮想ホストには、次の要件があります。

同じセキュアなデータセンターに少なくとも 2 つの個別のホスト (推奨 3 つ) が共存
VMware ESXi 7.0 (またはそれ以降) がインストールされ、実行されています。

ESXi の以前のバージョンがある場合は、アップグレードする必要があります。
最低 4 つの vCPU、8 GB メインメモリ、サーバーあたり 30 GB のローカルハードディスク容量

データベースサーバーの要件

キーストレージ用の新しいデータベースを作成します。デフォルトのデータベースを使用しないでください。インストールしたとき、HDS アプリケーションはデータベーススキーマを作成します。

データベースサーバには 2 つのオプションがあります。各要件は次のとおりです。

表 2. データベースのタイプ別のデータベースサーバー要件
ポストSQL	Microsoft SQL サーバー
PostgreSQL 14、15、または 16 がインストールされ、実行されています。	SQL Server 2016、2017、2019、または 2022 (エンタープライズまたは標準) がインストールされています。 SQL Server 2016 には、Service Pack 2 および累積アップデート 2 以降が必要です。
最低 8 vCPUs、16-GB メインメモリ、十分なハードディスクスペース、超過がないように監視 (ストレージを増やす必要なく、長期間データべースを実行する場合、2-TB が推奨されます。)	最低 8 vCPUs、16-GB メインメモリ、十分なハードディスクスペース、超過がないように監視 (ストレージを増やす必要なく、長期間データべースを実行する場合、2-TB が推奨されます。)

現在、HDS ソフトウェアは、データベースサーバと通信するための次のドライババージョンをインストールしています。

ポストSQL

Microsoft SQL サーバー

Postgres JDBCドライバー 42.2.5

SQL Server JDBC ドライバー 4.6

このドライババージョンは、SQL Server Always On（Always On Failover Cluster Instances および Always On アベイラビリティグループ）をサポートしています。

Microsoft SQL Server に対する Windows 認証の追加要件

HDS ノードが Windows 認証を使用して Microsoft SQL Server 上のキーストアデータベースにアクセスできるようにする場合は、環境内で次の設定が必要です。

HDS ノード、Active Directory インフラストラクチャ、MS SQL Server はすべて NTP と同期する必要があります。
HDS ノードに提供する Windows アカウントは、データベースへの読み取り/書き込みアクセス権を持っている必要があります。
HDS ノードに提供する DNS サーバーは、キー配布センター (KDC) を解決できる必要があります。
Microsoft SQL Server で HDS データベースインスタンスをサービスプリンシパルネーム (SPN) として登録できます。「Kerberos 接続のサービスプリンシパル名を登録する」を参照してください。

HDS セットアップツール、HDS ランチャー、およびローカル KMS はすべて、キーストアデータベースにアクセスするために Windows 認証を使用する必要があります。Kerberos 認証によるアクセスを要求するときに、ISO 設定の詳細を使用して SPN を構築します。

外部接続要件

ファイアウォールを構成して、HDS アプリケーションに対して次の接続を許可します。

アプリケーション	プロトコル	ポート	アプリからの方向	移動先
ハイブリッドデータセキュリティノード	TCP	443	アウトバウンド HTTPS および WSS	Webex サーバー: .wbx2.com .ciscospark.com すべての Common Identity ホスト [Webex サービスのネットワーク要件] の [Webex ハイブリッドサービスの追加 URL] テーブルにハイブリッドデータセキュリティのためにリストされているその他の URL
HDS セットアップツール	TCP	443	アウトバウンド HTTPS	*.wbx2.com すべての Common Identity ホスト hub.docker.com

ハイブリッドデータセキュリティノードは、NAT またはファイアウォールが前の表のドメイン宛先への必要な発信接続を許可している限り、ネットワークアクセストランスレーション（NAT）またはファイアウォールの背後で機能します。ハイブリッドデータセキュリティノードにインバウンドする接続の場合、インターネットからポートを表示することはできません。データセンター内で、クライアントは管理目的のため、TCP ポート 443 および 22 のハイブリッドデータセキュリティノードにアクセスする必要があります。

Common Identity (CI) ホストの URL は地域固有です。これらは、現在の CI ホストです。

地域	共通 ID ホスト URL
Americas（北米、南米エリア）	https://idbroker.webex.com https://identity.webex.com https://idbroker-b-us.webex.com https://identity-b-us.webex.com
欧州連合	https://idbroker-eu.webex.com https://identity-eu.webex.com
カナダ	https://idbroker-ca.webex.com https://identity-ca.webex.com
シンガポール	https://idbroker-sg.webex.com https://identity-sg.webex.com
アラブ首長国連邦	https://idbroker-ae.webex.com https://identity-ae.webex.com

プロキシサーバーの要件

お使いのハイブリッドデータセキュリティノードと統合できる次のプロキシソリューションを正式にサポートしています。
- 透過的プロキシ—Cisco Web Security Appliance (WSA)。
- 明示的プロキシ—Squid。
  
  HTTPS トラフィックを検査する Squid プロキシは、websocket (wss:) 接続の確立に干渉する可能性があります。この問題を回避するには、「ハイブリッドデータセキュリティのために Squid プロキシを構成する」を参照してください。
明示的プロキシに対して次の認証タイプの組み合わせがサポートされています。
- HTTP または HTTPS による認証がありません
- HTTP または HTTPS による基本認証
- HTTPS のみによるダイジェスト認証
透過的検査プロキシまたは HTTPS 明示的プロキシについては、プロキシのルート証明書のコピーが必要です。このガイドに記載されている展開手順は、ハイブリッドデータセキュリティノードの信頼ストアにコピーをアップロードする方法を説明しています。
HDS ノードをホストするネットワークは、ポート 443 のアウトバウンド TCP トラフィックを強制的にプロキシ経由でルーティングするように設定されている必要があります。
Web トラフィックを検査するプロキシは、Web ソケット接続に干渉する場合があります。この問題が発生した場合、wbx2.com および ciscospark.com へのトラフィックをバイパスする (検査しない) ことで問題を解決します。

ハイブリッドデータセキュリティの前提条件を満たします

このチェックリストを使用して、ハイブリッドデータセキュリティクラスタをインストールして構成する準備ができていることを確認してください。

1	パートナー組織でマルチテナント HDS 機能が有効になっていることを確認し、パートナーのフル管理者およびフル管理者権限を持つアカウントの資格情報を取得してください。Webex 顧客組織が Pro Pack for Cisco Webex Control Hub が有効になっていることを確認します。Cisco パートナーもしくはアカウントマネージャーにこのプロセスについてサポートを受けるために連絡してください。顧客組織は既存の HDS 展開を持つべきではありません。
2	HDS 展開のドメイン名 (例: `hds.company.com`) を選択し、X.509 証明書、秘密キー、および中間証明書を含む証明書チェーンを取得します。証明書チェーンは、X.509 証明書要件の要件を満たす必要があります。
3	クラスタでハイブリッドデータセキュリティノードとしてセットアップする同じ仮想ホストを準備します。仮想ホスト要件の要件を満たす同じセキュアなデータセンターに少なくとも 2 つの個別のホスト (推奨 3 つ) が共同で必要です。
4	データベースサーバーの要件に従って、クラスタのキーデータストアとして機能するデータベースサーバーを準備します。データベースサーバーは、セキュアなデータセンターに仮想ホストと共存する必要があります。キーストレージ用のデータベースを作成します。（このデータベースを作成する必要があります。デフォルトのデータベースを使用しないでください。インストールしたとき、HDS アプリケーションはデータベーススキーマを作成します。) ノードがデータベースサーバーと通信するために使用する詳細をまとめます: 主催者名または IP アドレス (主催者) およびポート重要なストレージ向けのデータベース名 (dbname) 重要なストレージデータベースですべての権限を持つユーザーのユーザー名とよびパスワード
5	災害復旧をすばやくするには、別のデータセンターでバックアップ環境を設定します。バックアップ環境は、VM とバックアップデータベースサーバの本番環境を反映します。たとえば、生産に HDS ノードを実行している 3 VMs がある場合、バックアップ環境には 3 Vms が必要です。
6	Syslog 主催者をセットアップして、クラスターのノードからログを収集します。ネットワークアドレスと syslog ポート (デフォルトは UDP 514) をまとめます。
7	ハイブリッドデータセキュリティノード、データベースサーバ、および syslog ホストの安全なバックアップポリシーを作成します。少なくとも、回復不能なデータの損失を防ぐには、ハイブリッドデータセキュリティノード用に生成されたデータベースと構成 ISO ファイルをバックアップする必要があります。ハイブリッドデータセキュリティノードは、コンテンツの暗号化と復号に使用されるキーを保存するため、運用展開の維持に失敗すると、コンテンツの回復不能な損失が発生します。 Webex アプリクライアントはキーをキャッシュするため、サービス停止はすぐに目立たなくなりますが、時間の経過とともに明らかになります。一時的な停電が防げない場合、復元可能です。しかし、データベースまたは構成 ISO ファイルのどちらかを完全に失う (バックアップが利用できない) ことは、顧客データは復元できません。ハイブリッドデータセキュリティノードのオペレータは、データベースと構成 ISO ファイルの頻繁なバックアップを維持し、壊滅的な障害が発生した場合に、ハイブリッドデータセキュリティデータセンターを再構築する準備をする必要があります。
8	外部接続の要件で説明されているように、ファイアウォール構成でハイブリッドデータセキュリティノードの接続を許可していることを確認してください。
9	Web ブラウザを使用して、サポートされている OS (Microsoft Windows 10 Professional または Enterprise 64 ビット、または Mac OSX Yosemite 10.10.3 以上) を実行している任意のローカルマシンに Docker (https://www.docker.com) をインストールします。http://127.0.0.1:8080. Docker インスタンスを使用して、すべてのハイブリッドデータセキュリティノードのローカル設定情報を構築する HDS セットアップツールをダウンロードして実行します。Docker デスクトップライセンスが必要な場合があります。詳細については、「Docker デスクトップの要件」を参照してください。 HDS セットアップツールをインストールして実行するには、ローカルマシンに外部接続要件で説明されている接続性が必要です。
10	プロキシをハイブリッドデータセキュリティと統合する場合は、プロキシサーバー要件を満たしていることを確認してください。

ハイブリッドデータセキュリティクラスタをセットアップ

ハイブリッドデータセキュリティ展開のタスクフロー

始める前に

1	初期セットアップを実行し、インストールファイルをダウンロードする後で使用するために、OVA ファイルをローカルマシンにダウンロードします。
2	HDS 主催者に構成 ISO を作成する HDS セットアップツールを使用して、ハイブリッドデータセキュリティノードの ISO 構成ファイルを作成します。
3	HDS 主催者 OVA をインストールする OVA ファイルから仮想マシンを作成し、ネットワーク設定などの初期設定を実行します。 OVA 展開中にネットワーク設定を構成するオプションは、ESXi 7.0 でテストされています。このオプションは以前のバージョンでは利用できない場合があります。
4	ハイブリッドデータセキュリティ VM のセットアップ VM コンソールにサインインし、サインイン資格情報を設定します。OVA 展開時に設定しなかった場合は、ノードのネットワーク設定を構成します。
5	HDS 構成 ISO をアップロードしマウントする HDS セットアップツールで作成した ISO 構成ファイルから VM を設定します。
6	プロキシ統合のために HDS ノードを設定するネットワーク環境でプロキシ設定が必要な場合は、ノードに使用するプロキシのタイプを指定し、必要に応じてプロキシ証明書を信頼ストアに追加します。
7	クラスタ内の最初のノードを登録 VM を Cisco Webex クラウドにハイブリッドデータセキュリティノードとして登録します。
8	他のノードを作成して登録クラスタのセットアップを完了します。
9	Partner Hub でマルチテナント HDS を有効にします。 HDS をアクティベートし、Partner Hub でテナント組織を管理します。

初期セットアップを実行し、インストールファイルをダウンロードする

このタスクでは、OVA ファイルをマシンにダウンロードします（ハイブリッドデータセキュリティノードとして設定したサーバにはありません）。このファイルはのちにインストールプロセスで使用します。

1	Partner Hub にサインインし、[サービス] をクリックします。
2	[クラウドサービス] セクションで、ハイブリッドデータセキュリティカードを見つけて、[セットアップ] をクリックします。 Partner Hub で [セットアップ] をクリックすることは、展開プロセスにとって重要です。この手順を完了しないでインストールに進まないでください。
3	[リソースの追加] をクリックし、[ソフトウェアのインストールと設定] カードの [OVA ファイルのダウンロード] をクリックします。古いバージョンのソフトウェアパッケージ (OVA) は最新のハイブリッドデータセキュリティアップグレードと互換性がありません。これにより、アプリケーションのアップグレード中に問題が発生する可能性があります。OVA ファイルの最新バージョンをダウンロードしていることを確認してください。 OVA は [ヘルプ] セクションからいつでもダウンロードできます。[設定] > [ヘルプ] > [ハイブリッドデータセキュリティソフトウェアのダウンロード] をクリックします。 OVA ファイルは自動的にダウンロードが開始されます。ファイルをマシン内に保存します。
4	オプションで、[ハイブリッドデータセキュリティ展開ガイドを参照 ] をクリックして、このガイドの最新バージョンが利用可能かどうかを確認します。

HDS 主催者に構成 ISO を作成する

ハイブリッドデータセキュリティセットアッププロセスは、ISO ファイルを作成します。その後、ISO を使用してハイブリッドデータセキュリティホストを構成します。

始める前に

HDS セットアップツールをローカルマシンの Docker コンテナとして実行します。アクセスするには、そのマシンで Docker を実行します。セットアッププロセスには、完全な管理者権限を持つパートナーハブアカウントの資格情報が必要です。

HDS セットアップツールが環境内のプロキシの背後で実行されている場合、以下のステップ 5 で Docker コンテナを起動する際に、Docker 環境変数を通してプロキシ設定 (サーバー、ポート、資格情報) を提供します。この表ではいくつかの可能な環境変数を示します。

説明	変数
認証なしの HTTP プロキシ	`グローバル_エージェント_HTTP_PROXY=http://SERVER_IP:PORT`
認証なしの HTTPS プロキシ	`グローバル_エージェント_HTTPS_PROXY=http://SERVER_IP:ポート`
認証ありの HTTP プロキシ	`グローバル_エージェント_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
認証ありの HTTPS プロキシ	`グローバル_エージェント_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

生成する構成 ISO ファイルには、PostgreSQL または Microsoft SQL Server データベースを暗号化するマスターキーが含まれています。次のような設定変更を行うときは、このファイルの最新コピーが必要です。
- データベースクレデンシャル
- 証明書の更新
- 認証ポリシーの変更
データベース接続を暗号化する場合は、TLS 用に PostgreSQL または SQL Server の展開を設定します。

1

マシンのコマンドラインで、お使い環境に適切なコマンドを入力します。

一般環境:

docker rmi ciscocitg/hds-setup:stable

FedRAMP 環境の場合:

docker rmi ciscocitg/hds-setup-fedramp:stable

このステップを実行すると、前の HDS セットアップツールの画像がクリーンアップされます。これ以前の画像がない場合は、無視できるエラーを返します。

2

Docker 画像レジストリにサインインするには、以下を入力します。

ドッカーログイン -u hdscustomersro

3

パスワードのプロンプトに対して、このハッシュを入力します。

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

4

お使い環境に合った最新の安定した画像をダウンロードします。

一般環境:

ドッカー プル ciscocitg/hds-setup:stable

FedRAMP 環境の場合:

ドッカー プル ciscocitg/hds-setup-fedramp:stable

5

プルが完了したら、お使いの環境に適切なコマンドを入力します。

プロキシなしの通常の環境の場合:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

HTTP プロキシがある通常の環境の場合、

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:ポート ciscocitg/hds-setup:stable

HTTPS プロキシがある通常の環境の場合:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:ポート ciscocitg/hds-setup:stable

プロキシなしの FedRAMP 環境の場合:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

HTTP プロキシがある FedRAMP 環境の場合:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:ポート ciscocitg/hds-setup-fedramp:stable

HTTPS プロキシがある FedRAMP 環境の場合:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:ポート ciscocitg/hds-setup-fedramp:stable

コンテナが実行中の時。「ポート 8080 で Express サーバーリスニング中」と表示されます。

6

セットアップツールは、http://localhost:8080 を介した localhost への接続をサポートしていません。http://127.0.0.1:8080 を使用して、localhost に接続します。

Web ブラウザを使用して、localhost http://127.0.0.1:8080 に移動し、プロンプトで Partner Hub の管理者ユーザー名を入力します。

ツールは、このユーザー名の最初のエントリを使用して、そのアカウントに適した環境を設定します。その後、ツールには標準のサインインプロンプトが表示されます。

7

プロンプトが表示されたら、Partner Hub 管理者のサインイン資格情報を入力し、[ログイン] をクリックして、ハイブリッドデータセキュリティに必要なサービスへのアクセスを許可します。

8

セットアップツール概要ページで、[開始] をクリックします。

9

[ISO インポート] ページで次のオプションがあります。

いいえ: 最初の HDS ノードを作成する場合、アップロードする ISO ファイルがありません。
はい: HDS ノードをすでに作成している場合は、参照で ISO ファイルを選択し、アップロードします。

10

X.509 証明書が X.509 証明書要件の要件を満たしていることを確認してください。

証明書をアップロードしたことがない場合は、X.509 証明書をアップロードし、パスワードを入力し、[続行] をクリックします。
証明書が OK の場合は、[続行] をクリックします。
証明書の有効期限が切れているか、置き換える場合は、[いいえ] を選択して、[以前の ISO の HDS 証明書チェーンと秘密キーの使用を続行しますか] を選択します。新しい X.509 証明書をアップロードし、パスワードを入力し、[続行] をクリックします。

11

HDS がキーデータストアにアクセスするためのデータベースアドレスとアカウントを入力します。

[データベースタイプ] (PostgreSQL または Microsoft SQL Server) を選択します。

[Microsoft SQL Server] を選択すると、[認証タイプ] フィールドが表示されます。
(Microsoft SQL Server のみ) 認証タイプを選択します。
- 基本認証:[ユーザー名] フィールドにローカル SQL Server アカウント名が必要です。
- Windows 認証:[ユーザー名] フィールドの username@DOMAIN の形式の Windows アカウントが必要です。
: または : の形式でデータベースサーバーアドレスを入力します。

例:
dbhost.example.org:1433 または 198.51.100.17:1433

ノードがホスト名を解決するために DNS を使用できない場合は、基本認証に IP アドレスを使用できます。

Windows 認証を使用している場合は、dbhost.example.org:1433 の形式で完全修飾ドメイン名を入力する必要があります。
データベース名を入力します。
キーストレージデータベース上のすべての権限を持つユーザーの [ユーザー名] と [パスワード] を入力します。

12

TLS データベース接続モードを選択します。

モード	説明
TLS を優先 (デフォルトオプション)	HDS ノードは、データベースサーバに接続するために TLS を必要としませんデータベースサーバで TLS を有効にすると、ノードは暗号化された接続を試行します。
TLS を要求する	データベースサーバが TLS をネゴシエートできる場合に限り、HDS ノードは接続されます。
TLS を要求し、証明書の署名者を確認する	このモードは SQL Server データベースには適用されません。データベースサーバが TLS をネゴシエートできる場合に限り、HDS ノードは接続されます。 TLS 接続を確立した後、ノードはデータベースサーバーからの証明書の署名者を、データベースルート証明書の認証局と比較します。一致しない場合、ノードにより接続が切断されます。ドロップダウンの下にあるデータベースルート証明書コントロールを使用して、このオプションのルート証明書をアップロードしてください。
TLS を要求し、証明書の署名者およびホスト名を確認する	データベースサーバが TLS をネゴシエートできる場合に限り、HDS ノードは接続されます。 TLS 接続を確立した後、ノードはデータベースサーバーからの証明書の署名者を、データベースルート証明書の認証局と比較します。一致しない場合、ノードにより接続が切断されます。また、サーバー証明書のホスト名が [データベースホストとポート ] フィールドのホスト名と一致していることを確認します。名前は正確に一致する必要があります。または、ノードが接続を切断します。ドロップダウンの下にあるデータベースルート証明書コントロールを使用して、このオプションのルート証明書をアップロードしてください。

ルート証明書 (必要な場合) をアップロードし、[続行] をクリックすると、HDS セットアップツールはデータベースサーバへの TLS 接続をテストします。また、必要に応じて、証明書の署名者とホスト名も検証されます。テストが失敗した場合、問題を説明するエラーメッセージがツールによって表示されます。エラーを無視してセットアップを続行するかどうかを選択できます。(接続の違いにより、HDS セットアップツールマシンが正常にテストできない場合でも、HDS ノードが TLS 接続を確立できる場合があります)。

13

[システムログ（System Logs）] ページで、Syslogd サーバを設定します。

syslog サーバの URL を入力します。

サーバーが HDS クラスタのノードから DNS 解決できない場合は、URL の IP アドレスを使用してください。

例:
udp://10.92.43.23:514 は、UDP ポート 514 の Syslogd ホスト 10.92.43.23 へのロギングを示します。
TLS 暗号化を使用するようにサーバーを設定する場合、[syslog サーバーは SSL 暗号化用に設定されていますか?] にチェックを入れます。

このチェックボックスをオンにした場合、tcp://10.92.43.23:514 などの TCP URL を入力していることを確認してください。
[syslog record termination の選択] ドロップダウンから、ISO ファイルに適切な設定を選択します。選択または改行は、Graylog および Rsyslog TCP に使用されます
- ヌルバイト -- \x00
- 改行 -- \n—Graylog および Rsyslog TCP に対してこの選択を選択します。
[続行] をクリックします。

14

(オプション) [詳細設定] で一部のデータベース接続パラメータのデフォルト値を変更できます。通常、このパラメータは変更したい唯一のパラメータです。

app_datasource_connection_pool_maxサイズ: 10

15

[サービスアカウントパスワードのリセット] 画面で [続行] をクリックします。

サービスアカウントパスワードの寿命は 9 か月です。パスワードの有効期限が近づいている場合、またはパスワードをリセットして以前の ISO ファイルを無効にする場合は、この画面を使用してください。

16

[ISO ファイルのダウンロード] をクリックします。見つけやすい場所にファイルを保存します。

17

ローカルシステムの ISO ファイルのバックアップコピーを作成します。

バックアップコピーを安全に保ちます。このファイルには、データベースコンテンツのマスター暗号化キーを含みます。設定変更を行う必要があるハイブリッドデータセキュリティ管理者のみにアクセスを制限します。

18

セットアップツールをシャットダウンするには、[CTRL+C] と入力します。

次に行うこと

構成 ISO ファイルをバックアップします。復元のためにもっとノードを作成するか、設定変更を行う必要があります。ISO ファイルのすべてのコピーを失ったら、マスターキーも失います。PostgreSQL または Microsoft SQL Server データベースからキーを復元することはできません。

このキーのコピーは見つかりませんでした。紛失した場合には役に立ちません。

HDS 主催者 OVA をインストールする

この手順を使用して、OVA ファイルから仮想マシンをサック制します。

1	コンピュータの VMware vSphere クライアントを使用して、ESXi 仮想主催者にログインします。
2	ファイル > OVF テンプレートを展開を選択します。
3	ウィザードで、以前ダウンロードした OVA ファイルの場所を指定し、[次へ] をクリックします。
4	[名前とフォルダの選択] ページで、ノードの [仮想マシン名] (たとえば、「HDS_Node_1」) を入力し、仮想マシンノード展開が存在できる場所を選択し、[次へ] をクリックします。
5	[計算リソースの選択] ページで、接続先の計算リソースを選択し、[次へ] をクリックします。検証チェックが実行されます。完了すると、テンプレートの詳細が表示されます。
6	テンプレートの詳細を確認し、[次へ] をクリックします。
7	[構成] ページでリソース構成を選択するように求められた場合は、[4 CPU] をクリックし、[次へ] をクリックします。
8	[ストレージの選択] ページで、[次へ] をクリックして、デフォルトのディスク形式と VM ストレージポリシーを受け入れます。
9	[ネットワークの選択] ページで、エントリのリストからネットワークオプションを選択して、VM に希望する接続を提供します。
10	[テンプレートのカスタマイズ] ページで、次のネットワーク設定を構成します。ホスト名—ノードの FQDN (ホスト名とドメイン) または単一の単語のホスト名を入力します。ドメインを設定し、X.509 証明書を取得するために使用されるドメインにマッチしません。クラウドへの登録を成功させるには、ノードに設定した FQDN またはホスト名に小文字のみを使用してください。現時点では大文字化のサポートはありません。 FQDNのトータルの長さは64文字を超えてはいけません。 IP アドレス: ノードの内部インターフェイスの IP アドレスを入力します。ノードには内部 IP アドレスと DNS 名があるはずです。DHCP はサポートされていません。マスク—サブネットマスクアドレスを小数点以下の表記で入力します。たとえば、255.255.255.0 です。ゲートウェイ—ゲートウェイの IP アドレスを入力します。ゲートウェイは、別のネットワークへのアクセスポイントとして機能するネットワークノードです。 DNS サーバー: ドメイン名から数字の IP アドレスへの変換を処理する DNS サーバーのカンマ区切りリストを入力します。（最大 4 つの DNS エントリが許可されます）。 NTP サーバー: 組織の NTP サーバーまたは組織で使用できる別の外部 NTP サーバーを入力します。デフォルトの NTP サーバは、すべての企業で機能しない場合があります。カンマ区切りリストを使用して、複数の NTP サーバを入力することもできます。同じサブネットまたは VLAN 上のすべてのノードを展開して、クラスタ内のすべてのノードが管理目的でネットワークのクライアントから到達できるようにします。必要に応じて、ネットワーク設定の構成をスキップし、「ハイブリッドデータセキュリティ VM をセットアップする」の手順に従って、ノードコンソールから設定を構成できます。 OVA 展開中にネットワーク設定を構成するオプションは、ESXi 7.0 でテストされています。このオプションは以前のバージョンでは利用できない場合があります。
11	ノード VM を右クリックし、[電源] > [電源オン] を選択します。ハイブリッドデータセキュリティソフトウェアは、VM ホストにゲストとしてインストールされます。これで、コンソールにサインインしてノードを設定する準備ができました。トラブルシューティングのヒントノードコンテナーが出てくるまでに、数分間の遅延がある場合があります。初回起動の間、ブリッジファイアウォールメッセージが、コンソールに表示され、この間はサインインできません。

ハイブリッドデータセキュリティ VM のセットアップ

ハイブリッドデータセキュリティノード VM コンソールに初めてサインインし、サインインクレデンシャルを設定するには、この手順を使用します。OVA 展開時に設定しなかった場合は、コンソールを使用してノードのネットワーク設定を構成することもできます。

1	VMware vSphere クライアントでハイブリッドデータセキュリティノード VM を選択し、[コンソール] タブを選択してください。 VM が起動し、ログインプロンプトが表示されます。ログインプロンプトが表示されない場合は、入力を押してください。
2	以下のデフォルトログインとパスワードを使用して、証明書にサインインし変更します: ログイン:`管理者` パスワード:`cisco` 初めて VM にサインインしているため、管理者パスワードを変更する必要があります。
3	[HDS ホスト OVA をインストールする] でネットワーク設定をすでに構成している場合は、この手順の残りの部分をスキップします。それ以外の場合は、メインメニューで [設定の編集] オプションを選択します。
4	性的構成を IP アドレス、Mask、Gateway、DNS 情報をセットアップします。ノードには内部 IP アドレスと DNS 名があるはずです。DHCP はサポートされていません。
5	(オプション) ネットワーク方針にマッチするための必要性に応じて、ホスト名、ドメイン、もしくはNTP サーバーを変更して下さい。ドメインを設定し、X.509 証明書を取得するために使用されるドメインにマッチしません。
6	変更が有効になるように、ネットワーク構成を保存し、VM を再起動します。

HDS 構成 ISO をアップロードしマウントする

この手順を使用して、HDS セットアップツールで作成した ISO ファイルから仮想マシンを構成します。

開始する前に

ISO ファイルはマスターキーを保持しているため、ハイブリッドデータセキュリティ VM および変更が必要な管理者がアクセスするために、「知る必要がある」ベースでのみ公開する必要があります。これらの管理者のみがデータストアにアクセスできるようにします。

1

コンピュータから ISO ファイルをダウンロードします:

VMware vSphere クライアントの左ナビゲーションペインで、ESXi サーバーをクリックします。
[構成] タブのハードウェアリストで、[保管] をクリックします。
データストアリストで、VMs のデータストアを右クリックし、[データストアの参照] をクリックします。
[ファイルのアップロード] アイコンをクリックし、[ファイルのアップロード] をクリックします。
コンピュータの ISO ファイルをダンロードする場所を参照し、[開く] をクリックします。
[はい] をクリックし、オペレーション警告のアップロード/ダウンロードに同意し、データストアダイアログを閉じます。

2

ISO ファイルのマウント:

VMware vSphere クライアントの左ナビゲーションペインで、ESXi サーバーを右クリックし、[設定の編集] をクリックします。
[OK] をクリックし、制限された編集オプションの警告に同意します。
[CD/DVD Drive 1] をクリックし、データストア ISO ファイルからマウントするオプションを選択して、構成 ISO ファイルをアップロードした場所を参照します。
[接続済み] と [電源に接続する] をチェックします。
変更を保存し、仮想マシンを再起動します。

次に行うこと

IT ポリシーが必要な場合は、すべてのノードが設定変更をピックアップした後、オプションで ISO ファイルをアンマウントできます。詳細については、「(オプション) HDS 設定後に ISO をマウント解除」を参照してください。

プロキシ統合のために HDS ノードを設定する

ネットワーク環境でプロキシが必要な場合は、この手順を使用して、ハイブリッドデータセキュリティと統合するプロキシのタイプを指定します。透過型のプロキシまたは HTTPS を明示的なプロキシを選択した場合、ノードのインターフェイスを使用してルート証明書をアップロードしてインストールすることができます。インターフェイスからプロキシ接続を確認し、潜在的な問題をトラブルシューティングすることもできます。

開始する前に

サポートされているプロキシオプションの概要については、「プロキシサポート」を参照してください。
プロキシサーバーの要件

1	HDS ノードセットアップ URL `https://[HDS Node IP or FQDN]/setup` を入力して、ノードに対して設定した管理者資格情報を入力し、[サインイン] をクリックします。
2	[信頼ストアとロキシ] に移動して、次のオプションを選択します。プロキシなし—プロキシを統合する前のデフォルトオプションです。証明書の更新は必要ありません。透明検査なしのプロキシ—ノードは特定のプロキシサーバーアドレスを使用するように設定されていないため、検査なしのプロキシで動作するように変更は必要ありません。証明書の更新は必要ありません。透過型検査プロキシ—ノードは特定のプロキシサーバーアドレスを使用するように設定されていません。ハイブリッドデータセキュリティの展開では HTTPS 構成の変更は必要ありませんが、HDS ノードはプロキシを信頼できるようにするためにルート証明書を必要とします。プロキシを検査することで、Web サイトにアクセスするか、どのタイプのコンテンツを使用するかを強制するポリシーを施行することができます。このタイプのプロキシは、すべてのトラフィック (HTTPS さえも含む) を復号化します。明示的プロキシ—明示的プロキシを使用して、使用するプロキシサーバーをクライアント (HDS ノード) に指示します。このオプションは複数の認証タイプをサポートします。このオプションを選択した後、次の情報を入力する必要があります。プロキシ IP/FQDN—プロキシマシンに到達するために使用できるアドレス。プロキシポート: プロキシがプロキシトラフィックをリッスンするために使用するポート番号。プロキシプロトコル—http (クライアントから受信したすべての要求を表示およびコントロール) または https (サーバーにチャネルを提供し、クライアントがサーバーの証明書を受信して検証します) を選択します。プロキシサーバーがサポートするオプションを選択します。認証タイプ: 次の認証タイプから選択します。なし: 追加の認証は必要ありません。 HTTP または HTTPS プロキシで利用できます。ベーシック—HTTP ユーザーエージェントがリクエストを行う際にユーザー名とパスワードを指定するために使用されます。Base64 エンコードを使用します。 HTTP または HTTPS プロキシで利用できます。このオプションを選択した場合は、ユーザー名とパスワードも入力する必要があります。ダイジェスト: 機密情報を送信する前にアカウントを確認するために使用されます。ネットワークを経由して送信する前に、ユーザー名およびパスワードにハッシュ機能を適用します。 HTTPS プロキシに対してのみ利用できます。このオプションを選択した場合は、ユーザー名とパスワードも入力する必要があります。透過型検査プロキシ、基本認証を持つ HTTP 明示プロキシ、または HTTPS 明示プロキシについては、次のステップに従ってください。
3	[ルート証明書またはエンティティ終了証明書のアップロード] をクリックし、プロキシのルート証明書を選択するために移動します。証明書はアップロードされていますが、まだインストールされていません。証明書をインストールするにはノードを再起動する必要があります。証明書発行者名の山形矢印をクリックして詳細を確認するか、間違っている場合は [削除] をクリックして、ファイルを再度アップロードしてください。
4	[プロキシ接続を確認する] をクリックして、ノードとプロキシ間のネットワーク接続性をテストします。接続テストが失敗した場合は、エラーメッセージが表示され、問題を解決するための理由と方法が示されます。外部 DNS の解決が正常に行われなかったという内容のメッセージが表示された場合、ノードが DNS サーバーに到達できなかったことを示しています。この状況は、多くの明示的なプロキシ構成で想定されています。セットアップを続行すると、ノードは外部 DNS 解決ブロックモードで機能します。これがエラーだと思われる場合は、これらの手順を完了し、「ブロックされた外部 DNS 解決モードをオフにする」を参照してください。
5	接続テストが成功した後、明示的なプロキシについては https のみに設定し、このノードからのすべてのポートの 443/444 https 要求を明示的プロキシを通してルーティングするように切り替えます。この設定を有効にするには 15 秒かかります。
6	[すべての証明書を信頼ストアにインストールする(HTTPS 明示プロキシまたは透過型のプロキシで表示される)] または [再起動] をクリックして、プロンプトを読み、準備が完了したら [インストール] をクリックします。ノードが数分以内に再起動されます。
7	ノードが再起動したら、必要に応じて再度サインインして、[概要] ページを開き、接続チェックを確認してすべて緑色のステータスになっていることを確認します。プロキシ接続の確認は webex.com のサブドメインのみをテストします。接続の問題がある場合、インストール手順に記載されているクラウドドメインの一部がプロキシでブロックされているという問題がよく見られます。

クラスタ内の最初のノードを登録

このタスクは、「ハイブリッドデータセキュリティ VM のセットアップ」で作成した汎用ノードを取り、ノードを Webex クラウドに登録し、ハイブリッドデータセキュリティノードに変換します。

最初のノードを登録するとき、クラスターをノードが指定されている場所に作成します。クラスターには展開された 1 つ上のノードを含み、冗長性を提供します。

開始する前に

一旦ノードの登録を開始すると、60 分以内に完了する必要があり、そうでなければ、再び最初からやり直しになります。
ブラウザのポップアップブロッカーが無効になっているか、admin.webex.com の例外を許可していることを確認してください。

1	https://admin.webex.comにサインインします。
2	スクリーンの左側にあるメニューからサービスを選択します。
3	[クラウドサービス] セクションで、ハイブリッドデータセキュリティカードを見つけ、[セットアップ] をクリックします。
4	開いたページで、[リソースの追加] をクリックします。
5	[ノードを追加] カードの最初のフィールドで、ハイブリッドデータセキュリティノードを割り当てるクラスタの名前を入力します。クラスターのノードが地理的にどこに配置されているかに基づきクラスターに名前を付けることをお薦めします。例:「サンフランシスコ」または「ニューヨーク」または「ダラス」
6	2 番目のフィールドに、ノードの内部 IP アドレスまたは完全修飾ドメイン名 (FQDN) を入力し、画面下部にある [追加] をクリックします。この IP アドレスまたは FQDN は、「ハイブリッドデータセキュリティ VM をセットアップする」で使用した IP アドレスまたはホスト名とドメインと一致する必要があります。ノードを Webex に登録できることを示すメッセージが表示されます。
7	[ノードに進む] をクリックします。しばらくすると、Webex サービスのノード接続テストにリダイレクトされます。すべてのテストが成功した場合、[ハイブリッドデータセキュリティノードへのアクセスを許可する] ページが表示されます。そこでは、ノードにアクセスする権限を Webex 組織に付与することを確認します。
8	[ハイブリッドデータセキュリティノードへのアクセスを許可する] チェックボックスをチェックし、[続行] をクリックします。アカウントが検証され、「登録完了」メッセージは、ノードが Webex クラウドに登録されていることを示します。
9	リンクをクリックするか、タブを閉じて、Partner Hub ハイブリッドデータセキュリティページに戻ります。 [ハイブリッドデータセキュリティ] ページで、登録したノードを含む新しいクラスタが [リソース] タブの下に表示されます。ノードは自動的にクラウドから最新ソフトウェアをダウンロードします。

他のノードを作成して登録

追加ノードをクラスターに追加するには、追加 VMs を作成し、同じ構成 ISO ファイルをマウントし、ノードを登録します。最低 3 個のノードを持つことを推奨します。

開始する前に

一旦ノードの登録を開始すると、60 分以内に完了する必要があり、そうでなければ、再び最初からやり直しになります。
ブラウザのポップアップブロッカーが無効になっているか、admin.webex.com の例外を許可していることを確認してください。

1	OVA から新しい仮想マシンを作成し、「HDS ホスト OVA をインストールする」の手順を繰り返します。
2	新しい VM で初期設定をセットアップし、「ハイブリッドデータセキュリティ VM のセットアップ」の手順を繰り返します。
3	新しい VM で、「HDS 構成 ISO をアップロードおよびマウントする」の手順を繰り返します。
4	展開用にプロキシを設定している場合は、新しいノードで「プロキシ統合のために HDS ノードを構成する」の手順を繰り返します。
5	ノードを登録します。 https://admin.webex.com で、[サービス] をスクリーンの左側にあるメニューから選択します。 [クラウドサービス] セクションで、ハイブリッドデータセキュリティカードを見つけ、[すべて表示] をクリックします。 [ハイブリッドデータセキュリティリソース] ページが表示されます。新しく作成されたクラスターが [リソース ] ページに表示されます。クラスタをクリックすると、クラスタに割り当てられたノードが表示されます。画面の右側にある [ノードの追加] をクリックします。ノードの内部 IP アドレスまたは完全修飾ドメイン名 (FQDN) を入力し、[追加] をクリックします。ページが開き、ノードを Webex クラウドに登録できることを示すメッセージが表示されます。しばらくすると、Webex サービスのノード接続テストにリダイレクトされます。すべてのテストが成功した場合、[ハイブリッドデータセキュリティノードへのアクセスを許可する] ページが表示されます。そこで、組織にノードにアクセスする権限を付与することを確認します。 [ハイブリッドデータセキュリティノードへのアクセスを許可する] チェックボックスをチェックし、[続行] をクリックします。アカウントが検証され、「登録完了」メッセージは、ノードが Webex クラウドに登録されていることを示します。リンクをクリックするか、タブを閉じて、Partner Hub ハイブリッドデータセキュリティページに戻ります。ノードが追加されましたポップアップメッセージは、Partner Hub の画面下部にも表示されます。ノードが登録されています。

マルチテナントのハイブリッドデータセキュリティでテナント組織を管理する

Partner Hub でマルチテナント HDS をアクティブにする

このタスクにより、顧客組織のすべてのユーザーがオンプレミスの暗号化キーやその他のセキュリティサービスに HDS を活用できるようになります。

開始する前に

必要なノード数を持つマルチテナント HDS クラスタのセットアップが完了していることを確認します。

1	https://admin.webex.comにサインインします。
2	スクリーンの左側にあるメニューからサービスを選択します。
3	[クラウドサービス] セクションで、ハイブリッドデータセキュリティを見つけ、[設定の編集] をクリックします。
4	[HDS ステータス] カードで [HDS を有効にする] をクリックします。

Partner Hub でテナント組織を追加

このタスクでは、顧客組織をハイブリッドデータセキュリティクラスタに割り当てます。

1	https://admin.webex.comにサインインします。
2	スクリーンの左側にあるメニューからサービスを選択します。
3	[クラウドサービス] セクションで、ハイブリッドデータセキュリティを見つけ、[すべて表示] をクリックします。
4	顧客を割り当てるクラスタをクリックします。
5	[割り当てられた顧客] タブに移動します。
6	[顧客の追加] をクリックします。
7	ドロップダウンメニューから追加する顧客を選択します。
8	[追加] をクリックすると、顧客がクラスタに追加されます。
9	複数の顧客をクラスタに追加するには、手順 6 ～ 8 を繰り返します。
10	顧客を追加したら、画面下部にある [完了] をクリックします。

次に行うこと

「HDS セットアップツールを使用してカスタマーメインキー (CMK) を作成する」で詳しく説明されている HDS セットアップツールを実行し、セットアッププロセスを完了します。

HDS セットアップツールを使用してカスタマーメインキー (CMK) を作成する

開始する前に

「Partner Hub でテナント組織を追加する」の詳細に従って、適切なクラスターに顧客を割り当てます。HDS セットアップツールを実行して、新しく追加された顧客組織のセットアッププロセスを完了します。

HDS セットアップツールをローカルマシンの Docker コンテナとして実行します。アクセスするには、そのマシンで Docker を実行します。セットアッププロセスには、組織のフル管理者権限を持つパートナーハブアカウントの資格情報が必要です。

HDS セットアップツールが環境内のプロキシの背後で実行されている場合、ステップ 5 で Docker コンテナを起動する際に、Docker 環境変数を通してプロキシ設定 (サーバー、ポート、資格情報) を提供します。この表ではいくつかの可能な環境変数を示します。

説明	変数
認証なしの HTTP プロキシ	`グローバル_エージェント_HTTP_PROXY=http://SERVER_IP:PORT`
認証なしの HTTPS プロキシ	`グローバル_エージェント_HTTPS_PROXY=http://SERVER_IP:ポート`
認証ありの HTTP プロキシ	`グローバル_エージェント_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
認証ありの HTTPS プロキシ	`グローバル_エージェント_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

生成する構成 ISO ファイルには、PostgreSQL または Microsoft SQL Server データベースを暗号化するマスターキーが含まれています。次のような設定変更を行うときは、このファイルの最新コピーが必要です。
- データベースクレデンシャル
- 証明書の更新
- 認証ポリシーの変更
データベース接続を暗号化する場合は、TLS 用に PostgreSQL または SQL Server の展開を設定します。

ハイブリッドデータセキュリティセットアッププロセスは、ISO ファイルを作成します。その後、ISO を使用してハイブリッドデータセキュリティホストを構成します。

1	マシンのコマンドラインで、お使い環境に適切なコマンドを入力します。一般環境: `docker rmi ciscocitg/hds-setup:stable` FedRAMP 環境の場合: `docker rmi ciscocitg/hds-setup-fedramp:stable` このステップを実行すると、前の HDS セットアップツールの画像がクリーンアップされます。これ以前の画像がない場合は、無視できるエラーを返します。
2	Docker 画像レジストリにサインインするには、以下を入力します。 `ドッカーログイン -u hdscustomersro`
3	パスワードのプロンプトに対して、このハッシュを入力します。 `dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo`
4	お使い環境に合った最新の安定した画像をダウンロードします。一般環境: `ドッカープル ciscocitg/hds-setup:stable` FedRAMP 環境の場合: `ドッカープル ciscocitg/hds-setup-fedramp:stable`
5	プルが完了したら、お使いの環境に適切なコマンドを入力します。プロキシなしの通常の環境の場合: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable` HTTP プロキシがある通常の環境の場合、 `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:ポート ciscocitg/hds-setup:stable` HTTPS プロキシがある通常の環境の場合: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:ポート ciscocitg/hds-setup:stable` プロキシなしの FedRAMP 環境の場合: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable` HTTP プロキシがある FedRAMP 環境の場合: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:ポート ciscocitg/hds-setup-fedramp:stable` HTTPS プロキシがある FedRAMP 環境の場合: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:ポート ciscocitg/hds-setup-fedramp:stable` コンテナが実行中の時。「ポート 8080 で Express サーバーリスニング中」と表示されます。
6	セットアップツールは、http://localhost:8080 を介した localhost への接続をサポートしていません。http://127.0.0.1:8080 を使用して、localhost に接続します。 Web ブラウザを使用して、localhost `http://127.0.0.1:8080` に移動し、プロンプトで Partner Hub の管理者ユーザー名を入力します。ツールは、このユーザー名の最初のエントリを使用して、そのアカウントに適した環境を設定します。その後、ツールには標準のサインインプロンプトが表示されます。
7	プロンプトが表示されたら、Partner Hub 管理者のサインイン資格情報を入力し、[ログイン] をクリックして、ハイブリッドデータセキュリティに必要なサービスへのアクセスを許可します。
8	セットアップツール概要ページで、[開始] をクリックします。
9	[ISO インポート] ページで、[はい] をクリックします。
10	ブラウザで ISO ファイルを選択してアップロードします。 CMK 管理を実行するには、データベースへの接続を確認します。
11	[テナント CMK 管理] タブに進み、テナント CMK を管理する次の 3 つの方法を確認します。すべての組織に対して CMK を作成または CMK を作成 - 画面上部のバナーでこのボタンをクリックすると、新しく追加されたすべての組織に対して CMK が作成されます。画面の右側にある [CMK の管理] ボタンをクリックし、[CMK の作成] をクリックして、新しく追加されたすべての組織に対して CMK を作成します。テーブル内の特定の組織の CMK 管理保留ステータスの近くにある […] をクリックし、[CMK の作成] をクリックして、その組織の CMK を作成します。
12	CMK の作成が成功すると、テーブルのステータスは CMK 管理保留中から CMK 管理に変更されます。
13	CMK の作成に失敗した場合は、エラーが表示されます。

テナント組織を削除

開始する前に

削除すると、顧客組織のユーザーは暗号化ニーズに HDS を利用できなくなり、既存のスペースはすべて失われます。顧客の組織を削除する前に、Cisco パートナーまたはアカウントマネージャーに連絡してください。

1	https://admin.webex.comにサインインします。
2	スクリーンの左側にあるメニューからサービスを選択します。
3	[クラウドサービス] セクションで、ハイブリッドデータセキュリティを見つけ、[すべて表示] をクリックします。
4	[リソース] タブで、顧客組織を削除するクラスタをクリックします。
5	開いたページで、[割り当てられた顧客] をクリックします。
6	表示される顧客組織のリストから、削除する顧客組織の右側にある ... をクリックし、[クラスターから削除] をクリックします。

次に行うこと

「HDS から削除されたテナントの CMK を取り消す」に記載されているように、顧客組織の CMK を取り消して、削除プロセスを完了します。

HDS から削除されたテナントの CMK を取り消します。

開始する前に

「テナント組織の削除」の詳細に従って、適切なクラスタから顧客を削除します。HDS セットアップツールを実行して、削除された顧客組織の削除プロセスを完了します。

HDS セットアップツールをローカルマシンの Docker コンテナとして実行します。アクセスするには、そのマシンで Docker を実行します。セットアッププロセスには、組織のフル管理者権限を持つパートナーハブアカウントの資格情報が必要です。

HDS セットアップツールが環境内のプロキシの背後で実行されている場合、ステップ 5 で Docker コンテナを起動する際に、Docker 環境変数を通してプロキシ設定 (サーバー、ポート、資格情報) を提供します。この表ではいくつかの可能な環境変数を示します。

説明	変数
認証なしの HTTP プロキシ	`グローバル_エージェント_HTTP_PROXY=http://SERVER_IP:PORT`
認証なしの HTTPS プロキシ	`グローバル_エージェント_HTTPS_PROXY=http://SERVER_IP:ポート`
認証ありの HTTP プロキシ	`グローバル_エージェント_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
認証ありの HTTPS プロキシ	`グローバル_エージェント_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

生成する構成 ISO ファイルには、PostgreSQL または Microsoft SQL Server データベースを暗号化するマスターキーが含まれています。次のような設定変更を行うときは、このファイルの最新コピーが必要です。
- データベースクレデンシャル
- 証明書の更新
- 認証ポリシーの変更
データベース接続を暗号化する場合は、TLS 用に PostgreSQL または SQL Server の展開を設定します。

ハイブリッドデータセキュリティセットアッププロセスは、ISO ファイルを作成します。その後、ISO を使用してハイブリッドデータセキュリティホストを構成します。

1	マシンのコマンドラインで、お使い環境に適切なコマンドを入力します。一般環境: `docker rmi ciscocitg/hds-setup:stable` FedRAMP 環境の場合: `docker rmi ciscocitg/hds-setup-fedramp:stable` このステップを実行すると、前の HDS セットアップツールの画像がクリーンアップされます。これ以前の画像がない場合は、無視できるエラーを返します。
2	Docker 画像レジストリにサインインするには、以下を入力します。 `ドッカーログイン -u hdscustomersro`
3	パスワードのプロンプトに対して、このハッシュを入力します。 `dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo`
4	お使い環境に合った最新の安定した画像をダウンロードします。一般環境: `ドッカープル ciscocitg/hds-setup:stable` FedRAMP 環境の場合: `ドッカープル ciscocitg/hds-setup-fedramp:stable`
5	プルが完了したら、お使いの環境に適切なコマンドを入力します。プロキシなしの通常の環境の場合: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable` HTTP プロキシがある通常の環境の場合、 `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:ポート ciscocitg/hds-setup:stable` HTTPS プロキシがある通常の環境の場合: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:ポート ciscocitg/hds-setup:stable` プロキシなしの FedRAMP 環境の場合: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable` HTTP プロキシがある FedRAMP 環境の場合: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:ポート ciscocitg/hds-setup-fedramp:stable` HTTPS プロキシがある FedRAMP 環境の場合: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:ポート ciscocitg/hds-setup-fedramp:stable` コンテナが実行中の時。「ポート 8080 で Express サーバーリスニング中」と表示されます。
6	セットアップツールは、http://localhost:8080 を介した localhost への接続をサポートしていません。http://127.0.0.1:8080 を使用して、localhost に接続します。 Web ブラウザを使用して、localhost `http://127.0.0.1:8080` に移動し、プロンプトで Partner Hub の管理者ユーザー名を入力します。ツールは、このユーザー名の最初のエントリを使用して、そのアカウントに適した環境を設定します。その後、ツールには標準のサインインプロンプトが表示されます。
7	プロンプトが表示されたら、Partner Hub 管理者のサインイン資格情報を入力し、[ログイン] をクリックして、ハイブリッドデータセキュリティに必要なサービスへのアクセスを許可します。
8	セットアップツール概要ページで、[開始] をクリックします。
9	[ISO インポート] ページで、[はい] をクリックします。
10	ブラウザで ISO ファイルを選択してアップロードします。
11	[テナント CMK 管理] タブに進み、テナント CMK を管理する次の 3 つの方法を確認します。すべての組織に対して CMK を取り消すまたは CMK を取り消す - 画面上部のバナーでこのボタンをクリックすると、削除されたすべての組織の CMK が取り消されます。画面の右側にある [CMK の管理] ボタンをクリックし、[CMK の取り消し] をクリックして、削除されたすべての組織の CMK を取り消します。テーブル内の特定の組織の [CMK を取り消す] ステータス近くの [CMK を取り消す] をクリックし、[CMK を取り消す] をクリックして、その特定の組織の CMK を取り消します。
12	CMK の取り消しが成功すると、顧客組織はテーブルに表示されなくなります。
13	CMK 失効が失敗した場合、エラーが表示されます。

ハイブリッドデータセキュリティの展開をテスト

ハイブリッドデータセキュリティ展開

この手順を使用して、マルチテナントのハイブリッドデータセキュリティ暗号化のシナリオをテストします。

開始する前に

マルチテナントのハイブリッドデータセキュリティの展開をセットアップします。
syslog にアクセスして、重要な要求がマルチテナントハイブリッドデータセキュリティ展開に渡されていることを確認します。

1

与えられたスペースのキーは、スペースの作成者により設定されます。顧客組織のユーザーの 1 人として Webex アプリにサインインし、スペースを作成します。

ハイブリッドデータセキュリティ展開を非アクティブにすると、クライアントのキャッシュされた暗号化キーのコピーが置き換えられると、ユーザーが作成したスペースのコンテンツにアクセスできなくなります。

2

メッセージを新しいスペースに送信します。

3

syslog 出力をチェックして、重要な要求がハイブリッドデータセキュリティ展開に渡されていることを確認します。

ユーザーが最初に KMS に対してセキュアなチャネルを確立していることを確認するには、kms.data.method=create および kms.data.type=EPHEMERAL_KEY_コレクション でフィルタリングします。

次のようなエントリ (読みやすくするために識別子が省略されます) を見つける必要があります。:

2020-07-21 17:35:34.562 (+0000) 情報 KMS [pool-14-thread-1] - [KMS:REQUEST] を受信、deviceId:https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

KMS から既存のキーをリクエストしているユーザーを確認するには、kms.data.method=retrieve および kms.data.type=KEY でフィルタリングします。

以下のエントリーを見つける必要があります。

2020-07-21 17:44:19.889 (+0000) 情報 KMS [pool-14-thread-31] - [KMS:REQUEST] 受信、deviceId:https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

新しい KMS キーの作成を要求しているユーザーを確認するには、kms.data.method=create および kms.data.type=KEY_COLLECTION でフィルタリングします。

以下のエントリーを見つける必要があります。

2020-07-21 17:44:21.975 (+0000) 情報 KMS [pool-14-thread-33] - [KMS:REQUEST] を受信、deviceId:https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

スペースまたはその他の保護されたリソースが作成されたときに、新しい KMS リソースオブジェクト (KRO) の作成を要求するユーザーを確認するには、kms.data.method=create および kms.data.type=RESOURCE_COLLECTION でフィルタリングします。

以下のエントリーを見つける必要があります。

2020-07-21 17:44:22.808 (+0000) 情報 KMS [pool-15-thread-1] - [KMS:REQUEST] を受信、deviceId:https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

ハイブリッドデータセキュリティの正常性のモニター

Partner Hub 内のステータスインジケータは、マルチテナントハイブリッドデータセキュリティの展開にすべて適合しているかどうかを示します。事前のアラートについては、メール通知にサインアップします。サービスに影響するアラームやソフトウェアアップグレードがある場合は通知されます。

1	[パートナーハブ] で、画面の左側にあるメニューから [サービス] を選択します。
2	[クラウドサービス] セクションで、ハイブリッドデータセキュリティを見つけ、 [設定の編集] をクリックします。ハイブリッドデータセキュリティ設定のページが表示されます。
3	[メール通知] セクションで、カンマ区切りで 1 つ以上のメールアドレスを入力し、[Enter] を推します。

HDS 展開を管理します

HDS 展開の管理

ここで説明されているタスクを使用して、ハイブリッドデータセキュリティの展開を管理します。

クラスターのアップグレードスケジュール

ハイブリッドデータセキュリティのソフトウェアアップグレードはクラスタレベルで自動的に実行されるため、すべてのノードが常に同じソフトウェアバージョンを実行していることを保証します。アップグレードは、クラスターのアップグレードのスケジュールに従って行われます。ソフトウェアのアップグレードが可能になると、スケジュールされているアップグレードの時間の前に手動でクラスターのアップグレードを行うことも可能になります。特定のアップグレードのスケジュールを設定するか、毎日午前 3 時 (アメリカ合衆国) に行うというデフォルトのスケジュールも利用可能です。アメリカ/ロサンゼルス必要であれば、次に予定されているアップグレードを延期することも可能です。

アップグレードのスケジュールを設定するには、次の操作を行います。

1	Partner Hub にサインインします。
2	スクリーンの左側にあるメニューからサービスを選択します。
3	[クラウドサービス] セクションで、ハイブリッドデータセキュリティを見つけ、[セットアップ] をクリックします。
4	[ハイブリッドデータセキュリティリソース] ページで、クラスタを選択します。
5	[クラスター設定] タブをクリックします。
6	[クラスタ設定（Cluster Settings）] ページの [アップグレードスケジュール（Upgrade Schedule）] で、アップグレードスケジュールの時間とタイムゾーンを選択します。注意: タイムゾーンの下に、次に可能なアップグレードの日時が表示されます。必要に応じて、[24 時間延期する] をクリックして、アップグレードを翌日に延期することができます。

ノードの構成を変更する

場合により、以下のような理由でハイブリッドデータセキュリティノードの構成の変更が必要な場合があります。

有効期限が切れる、または他の理由による、x.509 証明書の変更。

証明書の CN ドメイン名の変更はサポートされていません。ドメインは、クラスターを登録するために使用される元のドメインと一致する必要があります。
データベース設定を更新して、PostgreSQL または Microsoft SQL Server データベースのレプリカを変更します。

PostgreSQL から Microsoft SQL Server への、またはその逆へのデータ移行はサポートしていません。データベース環境を切り替えるには、ハイブリッドデータセキュリティの新しい展開を開始します。
新しい構成を作成して新しいデータセンターの準備をする。

また、セキュリティ上の理由により、ハイブリッドデータセキュリティは 9 か月間使用可能なサービスアカウントパスワードを使用します。HDS セットアップツールがこれらのパスワードを生成した後で、ISO 構成ファイルの各 HDS ノードに展開します。組織のパスワードの有効期限切れが近い場合、Webex チームから「パスワード期限切れ通知」を受け取り、マシンアカウントのパスワードのリセットを求められます。(メールにはテキスト「マシンアカウント API を使用してパスワードを更新します」を含みます。) パスワードの有効期限が切れるまで時間が十分にある場合、ツールには次の 2 つのオプションがあります:

ソフトリセット: 古いパスワードと新しいパスワードの両方が最大 10 日間有効です。この期間を使用して、ノードの ISO ファイルを段階的に置き換えることができます。
ハードリセット: 古いパスワードがすぐに機能しなくなります。

パスワードをリセットせずに期限切れになる場合、HDS サービスに影響を与える可能性があります。すぐにハードリセットし、すべてのノードの ISO ファイルを置換する必要があります。

この手順を使用して、新しい構成 ISO ファイルを生成し、クラスターに適用します。

始める前に

HDS セットアップツールをローカルマシンの Docker コンテナとして実行します。アクセスするには、そのマシンで Docker を実行します。セットアッププロセスには、パートナーのフル管理者権限を持つ Partner Hub アカウントの資格情報が必要です。

HDS セットアップツールが環境内のプロキシの背後で実行されている場合、1.e で Docker コンテナを起動する際に、Docker 環境変数を通してプロキシ設定 (サーバー、ポート、資格情報) を提供します。この表ではいくつかの可能な環境変数を示します。

説明	変数
認証なしの HTTP プロキシ	`グローバル_エージェント_HTTP_PROXY=http://SERVER_IP:PORT`
認証なしの HTTPS プロキシ	`グローバル_エージェント_HTTPS_PROXY=http://SERVER_IP:ポート`
認証ありの HTTP プロキシ	`グローバル_エージェント_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
認証ありの HTTPS プロキシ	`グローバル_エージェント_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

新しい構成を生成するには、現在の構成 ISO ファイルのコピーが必要です。ISO には PostgreSQL または Microsoft SQL Server データベースを暗号化するマスターキーを含むです。データベースの証明書、証明書の更新、認証方針への変更を含む、構成の変更を行った場合は ISO が必要です。

1	ローカルマシンで Docker を使用し、HDS セットアップツールを実行します。マシンのコマンドラインで、お使い環境に適切なコマンドを入力します。一般環境: `docker rmi ciscocitg/hds-setup:stable` FedRAMP 環境の場合: `docker rmi ciscocitg/hds-setup-fedramp:stable` このステップを実行すると、前の HDS セットアップツールの画像がクリーンアップされます。これ以前の画像がない場合は、無視できるエラーを返します。 Docker 画像レジストリにサインインするには、以下を入力します。 `ドッカーログイン -u hdscustomersro` パスワードのプロンプトに対して、このハッシュを入力します。 `dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo` お使い環境に合った最新の安定した画像をダウンロードします。一般環境: `ドッカープル ciscocitg/hds-setup:stable` FedRAMP 環境の場合: `ドッカープル ciscocitg/hds-setup-fedramp:stable` この手順に最新のセットアップツールをプルしていることを確認します。2018 年 2 月 22 日より前に作成されたツールのバージョンには、パスワードリセット画面が表示されません。プルが完了したら、お使いの環境に適切なコマンドを入力します。プロキシなしの通常の環境の場合: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable` HTTP プロキシがある通常の環境の場合、 `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:ポート ciscocitg/hds-setup:stable` HTTPS プロキシがある通常の環境の場合: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:ポート ciscocitg/hds-setup:stable` プロキシなしの FedRAMP 環境の場合: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable` HTTP プロキシがある FedRAMP 環境の場合: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:ポート ciscocitg/hds-setup-fedramp:stable` HTTPS プロキシがある FedRAMP 環境の場合: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:ポート ciscocitg/hds-setup-fedramp:stable` コンテナが実行中の時。「ポート 8080 で Express サーバーリスニング中」と表示されます。ブラウザを使用して、ローカルホスト `http://127.0.0.1:8080` に接続します。セットアップツールは、http://localhost:8080 を介した localhost への接続をサポートしていません。http://127.0.0.1:8080 を使用して、localhost に接続します。プロンプトが表示されたら、Partner Hub の顧客サインイン情報を入力し、[承認] をクリックして続行します。現在の構成 ISO ファイルをインポートします。指示に従い、ツールを完了し、更新されたファイルをダウンロードします。セットアップツールをシャットダウンするには、[`CTRL+C`] と入力します。別のデータセンターで、更新されたファイルのバックアップコピーを作成します。
2	実行中の HDS ノードが 1 つしかない場合、新しいハイブリッドデータセキュリティノード VM を作成し、新しい構成 ISO ファイルを使用して登録します。詳細については、「さらにノードを作成して登録する」を参照してください。 HDS 主催者 OVA をインストールします。 HDS VM をセットアップします。更新された構成ファイルをマウントします。 Partner Hub で新しいノードを登録します。
3	古い構成ファイルを実行している既存の HDS ノードの場合、ISO ファイルをマウントします。各ノードで以下の手順を実行し、次のノードをオフにする前に、各ノードを更新します。仮想マシンをオフにします。 VMware vSphere クライアントの左ナビゲーションペインで、ESXi サーバーを右クリックし、[設定の編集] をクリックします。 [`CD/DVD Drive 1`] をクリックし、ISO ファイルからマウントするオプションを選択して、新規構成 ISO ファイルをダウンロードした場所を参照します。 [電源に接続する] をチェックします。変更を保存し、仮想マシンを起動します。
4	ステップ 3 を繰り返し、古い構成ファイルを実行している残りの各ノードで構成を置き換えます。

外部 DNS 解決ブロックモードをオフにする

ノードを登録するか、またはノードのプロキシ構成を確認するとき、プロセスは DNS 検索と Cisco Webex クラウドへの接続をテストします。ノードの DNS サーバーがパブリック DNS 名を解決できない場合、ノードは自動的に外部 DNS 解決ブロックモードに進みます。

ノードが内部 DNS サーバーを通してパブリック DNS 名を解決できる場合、各ノードでプロキシ接続テストを再実行することで、このモードをオフにすることができます。

開始する前に

内部 DNS サーバーがパブリック DNS 名を解決でき、ノードがそれらと通信できることを確認します。

1	Web ブラウザで、ハイブリッドデータセキュリティノードインターフェイス (IP アドレス/セットアップ、例: https://192.0.2.0/setup), ノードに設定した管理者資格情報を入力し、サインイン。
2	[概要] (デフォルトページ) に移動します。有効になっている場合、 [外部 DNS 解決ブロック] は [はい] に設定されています。
3	[信頼ストアとプロキシ] ページに移動します。
4	[プロキシ接続を確認する] をクリックします。外部 DNS の解決が正常に行われなかったという内容のメッセージが表示された場合、ノードが DNS サーバーに到達できなかったことを示しており、このモードに留まっています。そうでない場合には、ノードを再起動して[概要] ページに戻ると、[外部 DNS 解決ブロック] は [いいえ] に設定されるはずです。

次に行うこと

ハイブリッドデータセキュリティクラスターの各ノードで、プロキシ接続テストを繰り返します。

ノードの削除

この手順を使用して、Webex クラウドからハイブリッドデータセキュリティノードを削除します。クラスタからノードを削除した後、仮想マシンを削除して、セキュリティデータへのさらなるアクセスを防止します。

1

コンピュータの VMware vSphere クライアントを使用して、ESXi 仮想主催者にログインし、仮想マシンをオフにします。

2

ノードの削除:

Partner Hub にサインインし、[サービス] を選択します。
ハイブリッドデータセキュリティカードで、[すべて表示] をクリックして、ハイブリッドデータセキュリティリソースページを表示します。
クラスタを選択して [概要] パネルを表示します。
削除するノードをクリックします。
右に表示されるパネルで、[このノードの登録解除] をクリックします。
ノードの右側にある […] をクリックして、[このノードを削除] を選択することで、ノードの登録を解除することもできます。

3

vSphere クライアントで、VM を削除します。(左側のナビゲーションペインで、VM を右クリックし、[削除] をクリックします。)

VM を削除しない場合は、構成 ISO ファイルをアンマウントすることを忘れないでください。ISO ファイルがないと、VM を使用してセキュリティデータにアクセスすることはできません。

スタンバイデータセンターを使用した災害復旧

ハイブリッドデータセキュリティクラスターが提供する最も重要なサービスは、Webex クラウドに保存されたメッセージやその他のコンテンツを暗号化するために使用されるキーの作成と保存です。ハイブリッドデータセキュリティに割り当てられている組織内の各ユーザーについて、新しいキー作成リクエストはクラスタにルーティングされます。カンバセーションスペースのメンバーなど、受け取りの認可を得ているユーザーに、作成されるキーを戻す責任がクラスターにはあります。

クラスタープラットフォームはこれらのキーを提供するにあたり重要な機能となるため、クラスターが実行中のままで、適切なバックアップが維持されている必要があります。ハイブリッドデータセキュリティデータベースまたはスキーマに使用される構成 ISO の損失により、顧客コンテンツは回復不能になります。損失などを防ぐためには、以下のプラクティスが必須です:

災害により、プライマリデータセンターの HDS 展開が利用できなくなる場合は、次の手順に従って、スタンバイデータセンターに手動でフェールオーバーします。

開始する前に

「ノードを削除」に記載されているように、Partner Hub からすべてのノードを登録解除します。以前にアクティブであったクラスタのノードに対して設定された最新の ISO ファイルを使用して、以下に示すフェールオーバー手順を実行します。

1	HDS セットアップツールを開始し、「HDS ホストの構成 ISO を作成する」に記載されている手順に従います。
2	設定プロセスを完了し、見つけやすい場所に ISO ファイルを保存します。
3	ローカルシステムの ISO ファイルのバックアップコピーを作成します。バックアップコピーを安全に保ちます。このファイルには、データベースコンテンツのマスター暗号化キーを含みます。設定変更を行う必要があるハイブリッドデータセキュリティ管理者のみにアクセスを制限します。
4	VMware vSphere クライアントの左ナビゲーションペインで、ESXi サーバーを右クリックし、[設定の編集] をクリックします。
5	[設定の編集] > [CD/DVD ドライブ 1] をクリックし、データストア ISO ファイルを選択します。ノードの開始後に更新された構成変更が有効になるように、[接続済み] と [電源で接続] がオンになっていることを確認します。
6	HDS ノードの電源をオンにし、少なくとも 15 分間アラームがないことを確認します。
7	Partner Hub でノードを登録します。「クラスタの最初のノードを登録する」を参照してください。
8	スタンバイデータセンター内のすべてのノードに対してこのプロセスを繰り返します。

次に行うこと

フェールオーバー後、プライマリデータセンターが再びアクティブになった場合は、スタンバイデータセンターのノードを登録解除し、前述のように ISO の設定とプライマリデータセンターのノードを登録するプロセスを繰り返します。

(オプション) HDS 設定後に ISO を取り外す

標準 HDS 設定は、ISO がマウントされた状態で実行されます。ただし、ISO ファイルを継続的にマウントすることを希望する顧客もあります。すべての HDS ノードが新しい設定を取得すると、ISO ファイルをマウント解除できます。

設定変更を行うには、引き続き ISO ファイルを使用します。新しい ISO を作成するか、セットアップツールから ISO を更新する場合は、更新された ISO をすべての HDS ノードにマウントする必要があります。すべてのノードが設定変更をピックアップしたら、この手順で ISO をアンマウントできます。

開始する前に

すべての HDS ノードをバージョン 2021.01.22.4720 以降にアップグレードします。

1	HDS ノードの 1 つをシャットダウンします。
2	vCenter Server アプライアンスで、HDS ノードを選択します。
3	[設定の編集] > [CD/DVD ドライブ] の順に選択し、[データストア ISO ファイル] のチェックを外します。
4	HDS ノードの電源をオンにし、少なくとも 20 分間アラームがないことを確認します。
5	各 HDS ノードに対して順番に繰り返します。

ハイブリッドデータセキュリティのトラブルシューティング

アラートを表示してトラブルシューティングする

ハイブリッドデータセキュリティの展開は、クラスタ内のすべてのノードに到達できない場合、またはクラスタが動作が遅いため、要求がタイムアウトになった場合、利用できないと見なされます。ユーザーがハイブリッドデータセキュリティクラスタに到達できない場合、次の症状を経験します。

新しいスペースが作成できない (新しいキーを作成できない)
メッセージとスペースのタイトルを暗号解除できない:
- 新しいユーザーをスペースに追加する (キーを取得できない)
- 新しいクライアントを使用したスペースの既存ユーザー (キーを取得できない)
クライアントが暗号キーのキャッシュを持っている限り、スペースの既存ユーザーは引き続き正常に実行します

サービスの中断を避けるために、ハイブリッドデータセキュリティクラスタを適切に監視し、アラートを速やかに解決することが重要です。

警告

ハイブリッドデータセキュリティのセットアップに問題がある場合、Partner Hub は組織管理者にアラートを表示し、構成されたメールアドレスにメールを送信します。アラートでは多くに共通するシナリオを説明しています。

表 1YAZ設定オプション共通の問題と解決ステップ
警告	アクション
ローカルデータべースへのアクセスに失敗しました。	データベースのエラーかローカルネットワークの問題をチェックしてください。
ローカルデータベースの接続に失敗しました。	データベースサーバーが利用可能であり、正しいサービスアカウント証明書がノード構成に使用されていたことをチェックします。
クラウドサービスへのアクセスに失敗しました。	外部接続要件で指定されている通り、ノードが Webex サーバーにアクセスできることを確認します。
クラウドサービスの登録を更新します。	クラウドサービスへの登録に失敗しました。登録の更新は現在進行中です。
クラウドサービスの登録に失敗しました。	クラウドサービスへの登録が終了しましたサービスがシャットダウンしました。
サービスがアクティベートされていません。	Partner Hub で HDS を有効にします。
構成されたドメインはサーバー証明書に一致しません。	サーバー証明書が構成されたサービスアクティベーションドメインに一致することを確認します。もっとも多い原因は、証明書 CN が最近変更され、最初のセットアップ中に使用された CN とは異なっているためです。
クラウドサービスへの認証に失敗しました。	正確性とサービスアカウント証明書の期限切れの可能性をチェックします。
ローカルキーストアファイルを開くことに失敗しました。	ローカルキーストアファイルの整合性とパスワードの正確性をチェックします。
ローカルサーバー証明書が無効です。	サーバー証明書の期限切れ日をチェックし、信頼できる証明書権限から発行されたものであることを確認します。
メトリクスを投稿できません。	外部クラウドサービスへのローカルネットワークアクセスをチェックします。
/media/configdrive/hds ディレクトリは存在しません。	仮想ホストで ISO マウント構成をチェックします。ISO ファイルが存在し、再起動時にマウントされるように構成されており、正常にマウントされていることを確認します。
追加された組織では、テナント組織のセットアップが完了していません	HDS セットアップツールを使用して、新しく追加されたテナント組織の CMK を作成してセットアップを完了します。
削除された組織のテナント組織のセットアップが完了していません	HDS セットアップツールを使用して削除されたテナント組織の CMK を取り消すことでセットアップを完了します。

ハイブリッドデータセキュリティのトラブルシューティング

ハイブリッドデータセキュリティの問題をトラブルシューティングする際には、次の一般的なガイドラインを使用してください。

1	アラートについては Partner Hub を確認し、そこで見つかった項目を修正します。参照については、以下の画像を参照してください。
2	ハイブリッドデータセキュリティ展開からのアクティビティの syslog サーバー出力を確認します。「警告」や「エラー」などの単語をフィルタリングして、トラブルシューティングに役立ちます。
3	Cisco サポートに連絡します。

その他のメモ

ハイブリッドデータセキュリティに関する既知の問題

ハイブリッドデータセキュリティクラスタをシャットダウンする場合 (Partner Hub で削除するか、すべてのノードをシャットダウンする)、構成 ISO ファイルを失うか、キーストアデータベースへのアクセスを失った場合、顧客組織の Webex アプリユーザーは、KMS のキーで作成されたユーザーリストの下のスペースを使用できなくなります。一度アクティブユーザーを扱った場合、現在この問題の会費苞や修正方法はなく、HDS サービスを終了しないようにしてください。
KMS への既存の ECDH 接続を持つクライアントは、一定の期間接続を維持します (およそ 1 時間)。

OpenSSL を使用して PKCS12 ファイルを生成する

開始する前に

OpenSSL は、HDS セットアップツールでローディングするために、適切なフォーマットで PKCS12 ファイルを作成するために使用可能なツールです。これを実行する他の方法もあり、別の方法がある中で1つの方法をサポートまたは促進しません。
OpenSSL を使用することを選択した場合、X.509 証明書要件の X.509 証明書要件を満たすファイルを作成するためのガイドラインとしてこの手順を提供します。続行する前にそれらの要件を理解します。
サポートされている環境で OpenSSL をインストールします。ソフトウェアと文書については https://www.openssl.org をご覧ください。
秘密鍵を作成します。
証明書権限 (CA) からサーバー証明書を受け取るとき、この手順を開始します。

1	CA からサーバー証明書を受け取るとき、`hdsnode.pem` として保存します。
2	テキストとして証明書を表示し、詳細を検証します: `openssl x509 -text -noout -in hdsnode.pem`
3	テキストエディタを使用して、`hdsnode-bundle.pem` という名前の証明書バンドルファイルを作成します。バンドルファイルには、下のフォーマットでサーバー証明書、中間 CA 証明書、ルート証明書を含みます。 `-----開始証明書----- ### サーバ証明書。 ### -----end certificate------------------------------------------------------------- ### 中間 CA 証明書。 #### -----end certificate------------------------------------------------------------- ### ルート CA 証明書。 ### -----end 証明書-----`
4	`kms-private-key` という友好的な名前で .p12 ファイルを作成します。 `openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12`
5	サーバー証明書の詳細をチェックします。 `openssl pkcs12 -in hdsnode.p12` アウトプットに一覧化されるように、指示に従いパスワードを入力し、秘密鍵を暗号化します。したがって、秘密鍵と最初の証明書に行`friendlyName: Kms-private-key` を含むことに検証します。例: bash$ openssl pkcs12 -in hdsnode.p12 Enter Import Password: MAC verified OK Bag Attributes friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 主な属性: PEM パスフレーズを入力: 検証中 - PEM パスフレーズを入力します: -----BEGIN 暗号化秘密キー----- -----END 暗号化秘密キー------- バッグ属性 friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 ------BEGIN CERTIFICATE-----END CERTIFICATE------- Bag 属性 friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US subject=/C=US/O=Let's Encrypt/CN=Digital Signature Trust Co./CN=DST Root CA X3 ------- -----END CERTIFICATE------

次に行うこと

[ハイブリッドデータセキュリティの前提条件を完了] に戻ります。hdsnode.p12 ファイルと設定したパスワードを [HDS ホストの構成 ISO を作成する] で使用します。

元の証明書の有効期限が切れると、これらのファイルを再使用して新しい証明書を要求できます。

HDS ノードおよびクラウド間のトラフィック

アウトバウンドメトリクスコレクショントラフィック

ハイブリッドデータセキュリティノードは、特定のメトリクスをWebex クラウドに送信します。これらには以下が含まれます。heap max、使用される heap、CPU ロード、しきい値カウント。同期および非同期しきい値のメトリクス。暗号化接続、遅延、リクエストキューの長さのしきい値を含むアラートのメトリクス。データストアのメトリクス。暗号化接続メトリクス。Out-of-Band (リクエストとは別) チャンネルの暗号化されたキーマテリアルを送信します。

インバウンドトラフィック

ハイブリッドデータセキュリティノードは、Webex クラウドから次のタイプの着信トラフィックを受信します。

暗号サービスからルートされたクライアントからの暗号化リクエスト
ノードソフトウェアへのアップグレード

ハイブリッドデータセキュリティの Squid プロキシを設定する

Websocket は Squid プロキシを通じて接続できません

HTTPS トラフィックを検査する Squid プロキシは、ハイブリッドデータセキュリティが必要とする websocket (wss:) 接続の確立に干渉する可能性があります。これらのセクションでは、wss: トラフィックを無視するためのさまざまなバージョンの Squid の設定方法について説明しています。 これは、サービスの適切な運用のためのトラフィックです。

Squid 4 および5

on_unsupported_protocol ディレクティブを squid.conf に追加します。

on_unsupported_protocol すべてトンネル

Squid 3.5.27

以下の規則が squid.conf に追加されて、ハイブリッドデータセキュリティのテストに成功しました。これらのルールは、機能を開発し、Webex クラウドを更新する際に変更されることがあります。

acl wssMercuryConnection ssl::server_name_regex mercury-connection ssl_bump splice wssMercuryConnection acl step1 at_step SslBump1 acl step2 at_step SslBump2 acl step3 at_step SslBump3 ssl_bump peek step1 all ssl_bump stare step2 all ssl_bump bump step3 all

新規および変更された情報

この表では、新機能または機能、既存のコンテンツへの変更、および『マルチテナントハイブリッドデータセキュリティの展開ガイド』で修正された主なエラーについて説明します。

日付	変更を行いました
2025 年 1 月 30 日	データベースサーバー要件でサポートされている SQL サーバーのリストに SQL サーバーバージョン 2022 を追加しました。
2025 年 1 月 15 日	マルチテナントハイブリッドデータセキュリティの制限を追加しました。
2025 年 1 月 8 日	「初期セットアップを実行し、インストールファイルをダウンロードする」に、Partner Hub の HDS カードの [セットアップ] をクリックすると、インストールプロセスの重要なステップであることを示すメモを追加しました。
2025 年 1 月 7 日	「仮想ホスト要件」、「ハイブリッドデータセキュリティ展開タスクフロー」、「HDS ホスト OVA のインストール」を更新し、ESXi 7.0 の新しい要件を表示します。
2024 年 12 月 13 日	初公開。

マルチテナントのハイブリッドデータセキュリティの無効化

マルチテナント HDS の無効化タスクフロー

マルチテナント HDS を完全に無効にするには、次の手順に従います。

開始する前に

このタスクは、パートナーのフル管理者によってのみ実行されます。

1	「テナント組織の削除」で記載されているように、すべてのクラスタからすべての顧客を削除します。
2	「HDS から削除されたテナントの CMK を取り消す」に記載されている通り、すべての顧客の CMK を取り消します。
3	「ノードの削除」で記載されているように、すべてのクラスタからすべてのノードを削除します。
4	次の 2 つの方法のいずれかを使用して、Partner Hub からすべてのクラスタを削除します。削除するクラスタをクリックし、概要ページの右上隅にある [このクラスタの削除] を選択します。 [リソース] ページで、クラスタの右側の […] をクリックし、[クラスタの削除] を選択します。
5	ハイブリッドデータセキュリティの概要ページの [設定] タブをクリックし、HDS ステータスカードの [HDS の非アクティブ化] をクリックします。

マルチテナントのハイブリッドデータセキュリティを使い始める

マルチテナントのハイブリッドデータセキュリティの概要

Webex アプリの設計では、1 日目以降、データセキュリティが主要なフォーカスとなっています。このセキュリティのコーナーストンは、エンドツーエンドのコンテンツ暗号化であり、Webex アプリクライアントがキー管理サービス (KMS) と対話することで有効になります。KMS はメッセージとファイルを動的に暗号化し、解読するためにクライアントが使用する暗号キーの作成と管理の責任を負っています。

デフォルトでは、すべての Webex アプリの顧客は、Cisco のセキュリティ領域であるクラウド KMS に保存されているダイナミックキーを使用してエンドツーエンドの暗号化を取得します。ハイブリッドデータセキュリティは、KMS とその他のセキュリティ関連の機能をあなたのエンタープライズデータセンターに移動するため、誰でもなくあなたが暗号化コンテンツの鍵を持っています。

マルチテナントのハイブリッドデータセキュリティ により、組織はサービスプロバイダーとして機能し、オンプレミスの暗号化やその他のセキュリティサービスを管理できる信頼できるローカルパートナーを通じて HDS を活用できます。このセットアップにより、パートナー組織は暗号キーの展開と管理を完全に制御し、顧客組織のユーザーデータを外部アクセスから安全に保護できます。パートナー組織は HDS インスタンスをセットアップし、必要に応じて HDS クラスタを作成します。各インスタンスは、1 つの組織に制限される通常の HDS 展開とは異なり、複数の顧客組織をサポートできます。

パートナー組織は展開と管理をコントロールできますが、顧客が生成したデータやコンテンツにアクセスすることはできません。このアクセスは、顧客の組織とそのユーザーに限定されます。

また、データセンターなどのキー管理サービスとセキュリティインフラストラクチャは信頼できるローカルパートナーによって所有されているため、小規模組織は HDS を活用できます。

マルチテナントハイブリッドデータセキュリティがデータの主権とデータ制御を提供する方法

ユーザーが生成したコンテンツは、クラウドサービスプロバイダーなどの外部アクセスから保護されます。
ローカルの信頼できるパートナーは、すでに確立している顧客の暗号化キーを管理します。
パートナーが提供する場合、ローカルテクニカルサポートのオプション。
ミーティング、メッセージング、通話コンテンツをサポートします。

このドキュメントは、パートナー組織がマルチテナントハイブリッドデータセキュリティシステムの下で顧客をセットアップおよび管理することを支援することを目的としています。

マルチテナントハイブリッドデータセキュリティの制限

パートナー組織は、Control Hub で既存の HDS 展開をアクティブにすることはできません。
パートナーによって管理されることを望むテナントまたは顧客組織は、Control Hub に既存の HDS 展開を持つことはできません。
パートナーによってマルチテナント HDS が展開されると、顧客組織のすべてのユーザーおよびパートナー組織のユーザーは、暗号化サービスにマルチテナント HDS を活用し始めます。

管理するパートナー組織と顧客組織は、同じマルチテナント HDS 展開になります。

マルチテナント HDS を展開すると、パートナー組織はクラウド KMS を使用しなくなります。
HDS 展開後にキーを Cloud KMS に戻すメカニズムはありません。
現在、各マルチテナント HDS 展開では、1 つのクラスタのみを持ち、その下に複数のノードを持つことができます。
管理者ロールには特定の制限があります。詳細については、以下のセクションを参照してください。

マルチテナントハイブリッドデータセキュリティのロール

パートナーのフル管理者 - パートナーが管理するすべての顧客の設定を管理できます。また、組織内の既存のユーザーに管理者のロールを指定したり、パートナー管理者が管理する特定の顧客を指定したりすることもできます。
パートナー管理者 - 管理者がプロビジョニングした顧客またはユーザーに割り当てられた顧客の設定を管理できます。
フル管理者 - 組織設定の変更、ライセンスの管理、ロールの割り当てなどのタスクを実行する権限のあるパートナー組織の管理者です。

すべての顧客組織のエンドツーエンドのマルチテナント HDS のセットアップと管理 - パートナーのフル管理者およびフル管理者権限が必要です。
割り当てられたテナント組織の管理 - パートナー管理者およびフル管理者権限が必要です。

セキュリティ領域のアーキテクチャ

Webex クラウドアーキテクチャは、以下に示すように、異なるタイプのサービスを別の領域、または信頼ドメインに分離します。

ハイブリッドデータセキュリティをさらに理解するために、シスコがクラウド領域ですべての機能を提供している純粋なクラウドケースを見てみましょう。メールアドレスなど個人情報を直接ユーザーが関連付けることが可能な唯一の場所である ID サービスは、データセンター B のセキュリティ領域から論理的および物理的に分かれています。データセンター C では、暗号化されたコンテンツが最終的に保存される領域と、両方とも別になります。

この図では、クライアントがユーザーのラップトップで実行されている Webex アプリであり、ID サービスで認証されています。ユーザーがメッセージを編集し、スペースに送るとき、以下のステップを踏みます:

クライアントは重要な管理サービス (KMS) と安全な接続を確立し、メッセージを暗号化するためのキーをリクエストします。安全な接続では ECDH を使用し、KMS は AES-256 マスターキーを使用してキーを暗号化します。
メッセージはクライアントを離れる前に暗号化されます。クライアントは、暗号化された検索インデックスを作成し、コンテンツで将来検索を助けるインデックス化サービスに送信します。
暗号化されたメッセージは、コンプライアンスチェックのためコンプライアンスサービスに送信されます。
暗号化されたメッセージは、保管領域に保管されます。

ハイブリッドデータセキュリティを展開する際、セキュリティ領域機能 (KMS、インデックス作成、コンプライアンス) をオンプレミスデータセンターに移動します。Webex を構成するその他のクラウドサービス (ID とコンテンツストレージを含む) は、Cisco の領域に残ります。

他の組織と協力する

組織内のユーザーは定期的に Webex アプリを使用して、他の組織の外部参加者と共同作業を行うことができます。ユーザーの 1 人があなたの組織が所有しているスペースのキーをリクエストしたとき (あなたの組織のユーザーの 1 人が作成したため)、KMS は ECDH の安全なチャンネルでキーをクライアントに送信します。ただし、別の組織がスペースのキーを所有している場合、KMS は別の ECDH チャネルを通じて、リクエストを WEBEX クラウドにルーティングして、適切な KMS からキーを取得し、そのキーを元のチャネルのユーザーに返します。

組織 A で実行されている KMS サービスは、X.509 PKI 証明書を使用して他の組織の KMS への接続を検証します。マルチテナントハイブリッドデータセキュリティ展開で使用する x.509 証明書を生成する方法の詳細については、「環境を準備する 」を参照してください。

ハイブリッドデータセキュリティの展開の例外

ハイブリッドデータセキュリティの展開には、暗号化キーを所有することに伴うリスクについて、重要なコミットメントと認識が必要です。

ハイブリッドデータセキュリティを展開するには、以下を提供する必要があります。

Cisco Webex Teams プランでサポートされている場所である国の安全なデータセンター。
「環境を準備する」に記載されている機器、ソフトウェア、およびネットワークアクセス。

ハイブリッドデータセキュリティ用に構築する構成 ISO または提供するデータベースのいずれかが完全に失われると、キーが失われます。キー損失により、ユーザーが Webex アプリのスペースコンテンツやその他の暗号化されたデータを復号できなくなります。このことが発生する場合、新しい展開を構築できますが、新しいコンテンツのみが表示されます。データのアクセス権の喪失を防ぐには、以下を行う必要があります:

データベースのバックアップと復元および構成 ISO を管理します。
データベースディスクの障害やデータセンターの災害などの災害が発生した場合は、迅速な災害復旧を行う準備をしてください。

HDS 展開後にキーをクラウドに戻すメカニズムはありません。

高レベルのセットアッププロセス

このドキュメントでは、マルチテナントのハイブリッドデータセキュリティ展開のセットアップと管理について説明します。

ハイブリッドデータセキュリティのセットアップ—これには、必要なインフラストラクチャの準備、ハイブリッドデータセキュリティソフトウェアのインストール、HDS クラスタの構築、クラスタへのテナント組織の追加、顧客メインキー (CMK) の管理が含まれます。これにより、顧客組織のすべてのユーザーがセキュリティ機能にハイブリッドデータセキュリティクラスタを使用できるようになります。

セットアップ、アクティベーション、および管理フェーズについては、次の 3 つの章で詳しく説明します。
ハイブリッドデータセキュリティ展開の維持—Webex クラウドは自動的に進行中のアップグレードを提供します。IT 部門は階層 1 のサポートをこの展開に提供し、必要に応じて Cisco サポートを提供します。Partner Hub では、画面上の通知を使用して、メールベースのアラートを設定できます。
一般的なアラート、トラブルシューティング手順、および既知の問題について理解する - ハイブリッドデータセキュリティの展開または使用に問題が発生した場合、このガイドの最後の章と「既知の問題の付録」が問題の判別と修正に役立ちます。

ハイブリッドデータセキュリティ展開モデル

エンタープライズデータセンター内で、ハイブリッドデータセキュリティを別々の仮想ホスト上のノードの単一のクラスタとして展開します。ノードは、セキュアなウェブソケットとセキュア HTTP を通じて Webex クラウドと通信します。

インストールプロセス中、提供する VM 上で仮想マシンセットアップするために、OVA ファイルを提供します。HDS セットアップツールを使用し、各ノードにマウントするカスタムクラスター構成 ISO ファイルを作成します。ハイブリッドデータセキュリティクラスタは、提供された Syslogd サーバと PostgreSQL または Microsoft SQL Server データベースを使用します。（HDS セットアップツールで Syslogd とデータベース接続の詳細を設定します）。

ハイブリッドデータセキュリティ展開モデル

クラスターで保持できるノードの最小数は 2 つです。クラスターごとに少なくとも 3 つをお勧めします。複数のノードを持つと、ノード上のソフトウェアアップグレードやその他のメンテナンスアクティビティ中にサービスが中断されないようにします。(Webex クラウドは一度に 1 つのノードのみアップグレードします。)

クラスターのすべてのノードは、同じキーデータストアにアクセスし、同じ syslog サーバーに対するアクティビティをログ記録します。クラウドで指示された通り、ノード自体では処理状態が把握されておらず、ラウンドロビン方式でキーリクエストを処理します。

ノードは、パートナーハブに登録するとアクティブになります。個別ノードをサービス外にするには、必要に応じて登録解除し、再登録できます。

災害復旧のためのスタンバイデータセンター

展開中、セキュアなスタンバイデータセンターをセットアップします。データセンターの災害が発生した場合、スタンバイデータセンターへの展開を手動で失敗させることができます。

アクティブおよびスタンバイデータセンターのデータベースは相互に同期されているため、フェールオーバーを実行するのにかかる時間を最小限に抑えます。

アクティブなハイブリッドデータセキュリティノードは、常にアクティブなデータベースサーバと同じデータセンターにある必要があります。

プロキシサポート

ハイブリッドデータセキュリティは、明示的な透過的な検査および非検査プロキシをサポートします。これらのプロキシを展開に関連付けることができます。これにより、エンタープライズからクラウドに送信されるトラフィックをセキュリティ保護し、監視することができます。証明書の管理のノードでプラットフォーム管理インターフェイスを使用して、ノードでプロキシを設定した後で、全体的な接続ステータスを確認することができます。

ハイブリッドデータセキュリティノードは、以下のプロキシオプションをサポートしています。

プロキシなし: プロキシを統合するために HDS ノードのセットアップ信頼ストアとプロキシ構成を使用しない場合のデフォルト。証明書の更新は必要ありません。
透過的な検査なしのプロキシ: ノードは特定のプロキシサーバーアドレスを使用するように設定されていないため、検査なしのプロキシで動作するように変更を加える必要はありません。証明書の更新は必要ありません。
透過的なトンネリングまたは検査プロキシ: ノードは特定のプロキシサーバーアドレスを使用するように設定されていません。ノードでは、HTTP または HTTPS の設定変更は必要ありません。ただし、ノードはプロキシを信頼するためにルート証明書を必要とします。プロキシを検査することで、Web サイトにアクセスするか、どのタイプのコンテンツを使用するかを強制するポリシーを施行することができます。このタイプのプロキシは、すべてのトラフィック (HTTPS さえも含む) を復号化します。
明示的プロキシ: 明示的プロキシを使用して、使用するプロキシサーバーと認証スキームを HDS ノードに指示します。明示的なプロキシを設定するには、各ノードに次の情報を入力する必要があります。
1. プロキシ IP/FQDN—プロキシマシンに到達するために使用できるアドレス。
2. プロキシポート: プロキシがプロキシトラフィックをリッスンするために使用するポート番号。
3. プロキシプロトコル: プロキシサーバーがサポートしているものに応じて、次のプロトコルから選択します。
  - HTTP—クライアントが送信するすべての要求を表示し、コントロールします。
  - HTTPS—サーバーにチャネルを提供します。クライアントがサーバーの証明書を受け取り、検証します。
4. 認証タイプ: 次の認証タイプから選択します。
  - なし: 追加の認証は必要ありません。
    
    プロキシプロトコルとして HTTP または HTTPS のいずれかを選択した場合に利用できます。
  - ベーシック—HTTP ユーザーエージェントがリクエストを行う際にユーザー名とパスワードを指定するために使用されます。Base64 エンコードを使用します。
    
    プロキシプロトコルとして HTTP または HTTPS のいずれかを選択した場合に利用できます。
    
    各ノードにユーザー名とパスワードを入力する必要があります。
  - ダイジェスト: 機密情報を送信する前にアカウントを確認するために使用されます。ネットワークを経由して送信する前に、ユーザー名およびパスワードにハッシュ機能を適用します。
    
    プロキシプロトコルとして HTTPS を選択した場合にのみ利用できます。
    
    各ノードにユーザー名とパスワードを入力する必要があります。

ハイブリッドデータセキュリティノードとプロキシの例

この図は、ハイブリッドデータセキュリティ、ネットワーク、およびプロキシ間の接続例を示しています。透過的な検査および HTTPS 明示的な検査プロキシオプションの場合、同じルート証明書がプロキシとハイブリッドデータセキュリティノードにインストールされている必要があります。

外部 DNS 解決ブロックモード (明示的プロキシ構成)

ノードを登録するか、またはノードのプロキシ構成を確認するとき、プロセスは DNS 検索と Cisco Webex クラウドへの接続をテストします。内部クライアントのための外部 DNS 解決が許可されていない、明示的なプロキシ構成の展開では、ノードが DNS サーバーに問い合わせができない場合、自動的に外部 DNS 解決ブロックモードに切り替わります。このモードでは、ノード登録および他のプロキシ接続テストを続行することができます。

環境を準備する

マルチテナントハイブリッドデータセキュリティの要件

Cisco Webex ライセンス要件

マルチテナントのハイブリッドデータセキュリティを展開するには:

パートナー組織: Cisco パートナーまたはアカウントマネージャーに連絡し、マルチテナント機能が有効になっていることを確認してください。
テナント組織: Pro Pack for Cisco Webex Control Hub が必要です。(https://www.cisco.com/go/pro-packを参照。)

Docker デスクトップの要件

HDS ノードをインストールする前に、セットアッププログラムを実行するには Docker デスクトップが必要です。Docker は最近、ライセンスモデルを更新しました。組織は Docker デスクトップの有料サブスクリプションを必要とする場合があります。詳細については、Docker ブログ投稿「 Docker は更新および製品サブスクリプションを拡張しています」を参照してください。

X.509 証明書要件

証明書チェーンは、次の条件を満たす必要があります。

表 1YAZ設定オプションハイブリッドデータセキュリティ展開のための X.509 証明書要件
要件	詳細
信頼できる証明書権限 (CA) で署名済み	デフォルトでは、https://wiki.mozilla.org/CA:IncludedCAs で Mozilla リスト (WoSign と StartCom を除く) の CA を信頼します。
ハイブリッドデータセキュリティ展開を識別する共通名 (CN) ドメイン名を保持しますワイルドカード証明書ではありません	CN は到達可能またはアクティブな主催者である必要はありません。たとえばなど、組織を反映する名前を使用することを推奨します。 CN に *（ワイルドカード）を含めることはできません。 CN は、Webex アプリクライアントに対してハイブリッドデータセキュリティノードを検証するために使用されます。クラスタ内のすべてのハイブリッドデータセキュリティノードが同じ証明書を使用します。KMS は x.509v3 SAN フィールドで定義されるドメインではなく、CN ドメインを使用してそれ自体を識別します。この証明書でノードを登録した場合、CN ドメイン名の変更をサポートしません。
非 SHA1 署名	KMS ソフトウェアは、他の組織の KMS に対する接続を検証するために、SHA1 署名をサポートしません。
パスワード保護された PKCS #12 ファイルとして形式化 `Kms-private-key` の有効な名前を使用して、証明書、秘密鍵、中間証明書をタグ付けしてアップロードします。	OpenSSL などのコンバーターを使用して、証明書の形式を変更できます。 HDS セットアップツールを実行する時、パスワードを入力する必要があります。

KMS ソフトウェアはキー使用量を強制したり、キー使用量の誓約を拡張したりしません。いくつかの証明書権限は、サーバー認証など、拡張キー使用量が各証明書に適用されることを必要とします。サーバー認証や他の設定を使用しても大丈夫です。

仮想ホストの要件

クラスタでハイブリッドデータセキュリティノードとして設定する仮想ホストには、次の要件があります。

同じセキュアなデータセンターに少なくとも 2 つの個別のホスト (推奨 3 つ) が共存
VMware ESXi 7.0 (またはそれ以降) がインストールされ、実行されています。

ESXi の以前のバージョンがある場合は、アップグレードする必要があります。
最低 4 つの vCPU、8 GB メインメモリ、サーバーあたり 30 GB のローカルハードディスク容量

データベースサーバーの要件

キーストレージ用の新しいデータベースを作成します。デフォルトのデータベースを使用しないでください。インストールしたとき、HDS アプリケーションはデータベーススキーマを作成します。

データベースサーバには 2 つのオプションがあります。各要件は次のとおりです。

表 2. データベースのタイプ別のデータベースサーバー要件
ポストSQL	Microsoft SQL サーバー
PostgreSQL 14、15、または 16 がインストールされ、実行されています。	SQL Server 2016、2017、2019、または 2022 (エンタープライズまたは標準) がインストールされています。 SQL Server 2016 には、Service Pack 2 および累積アップデート 2 以降が必要です。
最低 8 vCPUs、16-GB メインメモリ、十分なハードディスクスペース、超過がないように監視 (ストレージを増やす必要なく、長期間データべースを実行する場合、2-TB が推奨されます。)	最低 8 vCPUs、16-GB メインメモリ、十分なハードディスクスペース、超過がないように監視 (ストレージを増やす必要なく、長期間データべースを実行する場合、2-TB が推奨されます。)

現在、HDS ソフトウェアは、データベースサーバと通信するための次のドライババージョンをインストールしています。

ポストSQL

Microsoft SQL サーバー

Postgres JDBCドライバー 42.2.5

SQL Server JDBC ドライバー 4.6

このドライババージョンは、SQL Server Always On（Always On Failover Cluster Instances および Always On アベイラビリティグループ）をサポートしています。

Microsoft SQL Server に対する Windows 認証の追加要件

HDS ノードが Windows 認証を使用して Microsoft SQL Server 上のキーストアデータベースにアクセスできるようにする場合は、環境内で次の設定が必要です。

HDS ノード、Active Directory インフラストラクチャ、MS SQL Server はすべて NTP と同期する必要があります。
HDS ノードに提供する Windows アカウントは、データベースへの読み取り/書き込みアクセス権を持っている必要があります。
HDS ノードに提供する DNS サーバーは、キー配布センター (KDC) を解決できる必要があります。
Microsoft SQL Server で HDS データベースインスタンスをサービスプリンシパルネーム (SPN) として登録できます。「Kerberos 接続のサービスプリンシパル名を登録する」を参照してください。

HDS セットアップツール、HDS ランチャー、およびローカル KMS はすべて、キーストアデータベースにアクセスするために Windows 認証を使用する必要があります。Kerberos 認証によるアクセスを要求するときに、ISO 設定の詳細を使用して SPN を構築します。

外部接続要件

ファイアウォールを構成して、HDS アプリケーションに対して次の接続を許可します。

アプリケーション	プロトコル	ポート	アプリからの方向	移動先
ハイブリッドデータセキュリティノード	TCP	443	アウトバウンド HTTPS および WSS	Webex サーバー: .wbx2.com .ciscospark.com すべての Common Identity ホスト [Webex サービスのネットワーク要件] の [Webex ハイブリッドサービスの追加 URL] テーブルにハイブリッドデータセキュリティのためにリストされているその他の URL
HDS セットアップツール	TCP	443	アウトバウンド HTTPS	*.wbx2.com すべての Common Identity ホスト hub.docker.com

ハイブリッドデータセキュリティノードは、NAT またはファイアウォールが前の表のドメイン宛先への必要な発信接続を許可している限り、ネットワークアクセストランスレーション（NAT）またはファイアウォールの背後で機能します。ハイブリッドデータセキュリティノードにインバウンドする接続の場合、インターネットからポートを表示することはできません。データセンター内で、クライアントは管理目的のため、TCP ポート 443 および 22 のハイブリッドデータセキュリティノードにアクセスする必要があります。

Common Identity (CI) ホストの URL は地域固有です。これらは、現在の CI ホストです。

地域	共通 ID ホスト URL
Americas（北米、南米エリア）	https://idbroker.webex.com https://identity.webex.com https://idbroker-b-us.webex.com https://identity-b-us.webex.com
欧州連合	https://idbroker-eu.webex.com https://identity-eu.webex.com
カナダ	https://idbroker-ca.webex.com https://identity-ca.webex.com
シンガポール	https://idbroker-sg.webex.com https://identity-sg.webex.com
アラブ首長国連邦	https://idbroker-ae.webex.com https://identity-ae.webex.com

プロキシサーバーの要件

お使いのハイブリッドデータセキュリティノードと統合できる次のプロキシソリューションを正式にサポートしています。
- 透過的プロキシ—Cisco Web Security Appliance (WSA)。
- 明示的プロキシ—Squid。
  
  HTTPS トラフィックを検査する Squid プロキシは、websocket (wss:) 接続の確立に干渉する可能性があります。この問題を回避するには、「ハイブリッドデータセキュリティのために Squid プロキシを構成する」を参照してください。
明示的プロキシに対して次の認証タイプの組み合わせがサポートされています。
- HTTP または HTTPS による認証がありません
- HTTP または HTTPS による基本認証
- HTTPS のみによるダイジェスト認証
透過的検査プロキシまたは HTTPS 明示的プロキシについては、プロキシのルート証明書のコピーが必要です。このガイドに記載されている展開手順は、ハイブリッドデータセキュリティノードの信頼ストアにコピーをアップロードする方法を説明しています。
HDS ノードをホストするネットワークは、ポート 443 のアウトバウンド TCP トラフィックを強制的にプロキシ経由でルーティングするように設定されている必要があります。
Web トラフィックを検査するプロキシは、Web ソケット接続に干渉する場合があります。この問題が発生した場合、wbx2.com および ciscospark.com へのトラフィックをバイパスする (検査しない) ことで問題を解決します。

ハイブリッドデータセキュリティの前提条件を満たします

このチェックリストを使用して、ハイブリッドデータセキュリティクラスタをインストールして構成する準備ができていることを確認してください。

1	パートナー組織でマルチテナント HDS 機能が有効になっていることを確認し、パートナーのフル管理者およびフル管理者権限を持つアカウントの資格情報を取得してください。Webex 顧客組織が Pro Pack for Cisco Webex Control Hub が有効になっていることを確認します。Cisco パートナーもしくはアカウントマネージャーにこのプロセスについてサポートを受けるために連絡してください。顧客組織は既存の HDS 展開を持つべきではありません。
2	HDS 展開のドメイン名 (例: `hds.company.com`) を選択し、X.509 証明書、秘密キー、および中間証明書を含む証明書チェーンを取得します。証明書チェーンは、X.509 証明書要件の要件を満たす必要があります。
3	クラスタでハイブリッドデータセキュリティノードとしてセットアップする同じ仮想ホストを準備します。仮想ホスト要件の要件を満たす同じセキュアなデータセンターに少なくとも 2 つの個別のホスト (推奨 3 つ) が共同で必要です。
4	データベースサーバーの要件に従って、クラスタのキーデータストアとして機能するデータベースサーバーを準備します。データベースサーバーは、セキュアなデータセンターに仮想ホストと共存する必要があります。キーストレージ用のデータベースを作成します。（このデータベースを作成する必要があります。デフォルトのデータベースを使用しないでください。インストールしたとき、HDS アプリケーションはデータベーススキーマを作成します。) ノードがデータベースサーバーと通信するために使用する詳細をまとめます: 主催者名または IP アドレス (主催者) およびポート重要なストレージ向けのデータベース名 (dbname) 重要なストレージデータベースですべての権限を持つユーザーのユーザー名とよびパスワード
5	災害復旧をすばやくするには、別のデータセンターでバックアップ環境を設定します。バックアップ環境は、VM とバックアップデータベースサーバの本番環境を反映します。たとえば、生産に HDS ノードを実行している 3 VMs がある場合、バックアップ環境には 3 Vms が必要です。
6	Syslog 主催者をセットアップして、クラスターのノードからログを収集します。ネットワークアドレスと syslog ポート (デフォルトは UDP 514) をまとめます。
7	ハイブリッドデータセキュリティノード、データベースサーバ、および syslog ホストの安全なバックアップポリシーを作成します。少なくとも、回復不能なデータの損失を防ぐには、ハイブリッドデータセキュリティノード用に生成されたデータベースと構成 ISO ファイルをバックアップする必要があります。ハイブリッドデータセキュリティノードは、コンテンツの暗号化と復号に使用されるキーを保存するため、運用展開の維持に失敗すると、コンテンツの回復不能な損失が発生します。 Webex アプリクライアントはキーをキャッシュするため、サービス停止はすぐに目立たなくなりますが、時間の経過とともに明らかになります。一時的な停電が防げない場合、復元可能です。しかし、データベースまたは構成 ISO ファイルのどちらかを完全に失う (バックアップが利用できない) ことは、顧客データは復元できません。ハイブリッドデータセキュリティノードのオペレータは、データベースと構成 ISO ファイルの頻繁なバックアップを維持し、壊滅的な障害が発生した場合に、ハイブリッドデータセキュリティデータセンターを再構築する準備をする必要があります。
8	外部接続の要件で説明されているように、ファイアウォール構成でハイブリッドデータセキュリティノードの接続を許可していることを確認してください。
9	Web ブラウザを使用して、サポートされている OS (Microsoft Windows 10 Professional または Enterprise 64 ビット、または Mac OSX Yosemite 10.10.3 以上) を実行している任意のローカルマシンに Docker (https://www.docker.com) をインストールします。http://127.0.0.1:8080. Docker インスタンスを使用して、すべてのハイブリッドデータセキュリティノードのローカル設定情報を構築する HDS セットアップツールをダウンロードして実行します。Docker デスクトップライセンスが必要な場合があります。詳細については、「Docker デスクトップの要件」を参照してください。 HDS セットアップツールをインストールして実行するには、ローカルマシンに外部接続要件で説明されている接続性が必要です。
10	プロキシをハイブリッドデータセキュリティと統合する場合は、プロキシサーバー要件を満たしていることを確認してください。

ハイブリッドデータセキュリティクラスタをセットアップ

ハイブリッドデータセキュリティ展開のタスクフロー

始める前に

1	初期セットアップを実行し、インストールファイルをダウンロードする後で使用するために、OVA ファイルをローカルマシンにダウンロードします。
2	HDS 主催者に構成 ISO を作成する HDS セットアップツールを使用して、ハイブリッドデータセキュリティノードの ISO 構成ファイルを作成します。
3	HDS 主催者 OVA をインストールする OVA ファイルから仮想マシンを作成し、ネットワーク設定などの初期設定を実行します。 OVA 展開中にネットワーク設定を構成するオプションは、ESXi 7.0 でテストされています。このオプションは以前のバージョンでは利用できない場合があります。
4	ハイブリッドデータセキュリティ VM のセットアップ VM コンソールにサインインし、サインイン資格情報を設定します。OVA 展開時に設定しなかった場合は、ノードのネットワーク設定を構成します。
5	HDS 構成 ISO をアップロードしマウントする HDS セットアップツールで作成した ISO 構成ファイルから VM を設定します。
6	プロキシ統合のために HDS ノードを設定するネットワーク環境でプロキシ設定が必要な場合は、ノードに使用するプロキシのタイプを指定し、必要に応じてプロキシ証明書を信頼ストアに追加します。
7	クラスタ内の最初のノードを登録 VM を Cisco Webex クラウドにハイブリッドデータセキュリティノードとして登録します。
8	他のノードを作成して登録クラスタのセットアップを完了します。
9	Partner Hub でマルチテナント HDS を有効にします。 HDS をアクティベートし、Partner Hub でテナント組織を管理します。

初期セットアップを実行し、インストールファイルをダウンロードする

このタスクでは、OVA ファイルをマシンにダウンロードします（ハイブリッドデータセキュリティノードとして設定したサーバにはありません）。このファイルはのちにインストールプロセスで使用します。

1	Partner Hub にサインインし、[サービス] をクリックします。
2	[クラウドサービス] セクションで、ハイブリッドデータセキュリティカードを見つけて、[セットアップ] をクリックします。 Partner Hub で [セットアップ] をクリックすることは、展開プロセスにとって重要です。この手順を完了しないでインストールに進まないでください。
3	[リソースの追加] をクリックし、[ソフトウェアのインストールと設定] カードの [OVA ファイルのダウンロード] をクリックします。古いバージョンのソフトウェアパッケージ (OVA) は最新のハイブリッドデータセキュリティアップグレードと互換性がありません。これにより、アプリケーションのアップグレード中に問題が発生する可能性があります。OVA ファイルの最新バージョンをダウンロードしていることを確認してください。 OVA は [ヘルプ] セクションからいつでもダウンロードできます。[設定] > [ヘルプ] > [ハイブリッドデータセキュリティソフトウェアのダウンロード] をクリックします。 OVA ファイルは自動的にダウンロードが開始されます。ファイルをマシン内に保存します。
4	オプションで、[ハイブリッドデータセキュリティ展開ガイドを参照 ] をクリックして、このガイドの最新バージョンが利用可能かどうかを確認します。

HDS 主催者に構成 ISO を作成する

ハイブリッドデータセキュリティセットアッププロセスは、ISO ファイルを作成します。その後、ISO を使用してハイブリッドデータセキュリティホストを構成します。

始める前に

HDS セットアップツールをローカルマシンの Docker コンテナとして実行します。アクセスするには、そのマシンで Docker を実行します。セットアッププロセスには、完全な管理者権限を持つパートナーハブアカウントの資格情報が必要です。

HDS セットアップツールが環境内のプロキシの背後で実行されている場合、以下のステップ 5 で Docker コンテナを起動する際に、Docker 環境変数を通してプロキシ設定 (サーバー、ポート、資格情報) を提供します。この表ではいくつかの可能な環境変数を示します。

説明	変数
認証なしの HTTP プロキシ	`グローバル_エージェント_HTTP_PROXY=http://SERVER_IP:PORT`
認証なしの HTTPS プロキシ	`グローバル_エージェント_HTTPS_PROXY=http://SERVER_IP:ポート`
認証ありの HTTP プロキシ	`グローバル_エージェント_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
認証ありの HTTPS プロキシ	`グローバル_エージェント_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

生成する構成 ISO ファイルには、PostgreSQL または Microsoft SQL Server データベースを暗号化するマスターキーが含まれています。次のような設定変更を行うときは、このファイルの最新コピーが必要です。
- データベースクレデンシャル
- 証明書の更新
- 認証ポリシーの変更
データベース接続を暗号化する場合は、TLS 用に PostgreSQL または SQL Server の展開を設定します。

1

マシンのコマンドラインで、お使い環境に適切なコマンドを入力します。

一般環境:

docker rmi ciscocitg/hds-setup:stable

FedRAMP 環境の場合:

docker rmi ciscocitg/hds-setup-fedramp:stable

このステップを実行すると、前の HDS セットアップツールの画像がクリーンアップされます。これ以前の画像がない場合は、無視できるエラーを返します。

2

Docker 画像レジストリにサインインするには、以下を入力します。

ドッカーログイン -u hdscustomersro

3

パスワードのプロンプトに対して、このハッシュを入力します。

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

4

お使い環境に合った最新の安定した画像をダウンロードします。

一般環境:

ドッカー プル ciscocitg/hds-setup:stable

FedRAMP 環境の場合:

ドッカー プル ciscocitg/hds-setup-fedramp:stable

5

プルが完了したら、お使いの環境に適切なコマンドを入力します。

プロキシなしの通常の環境の場合:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

HTTP プロキシがある通常の環境の場合、

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:ポート ciscocitg/hds-setup:stable

HTTPS プロキシがある通常の環境の場合:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:ポート ciscocitg/hds-setup:stable

プロキシなしの FedRAMP 環境の場合:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

HTTP プロキシがある FedRAMP 環境の場合:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:ポート ciscocitg/hds-setup-fedramp:stable

HTTPS プロキシがある FedRAMP 環境の場合:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:ポート ciscocitg/hds-setup-fedramp:stable

コンテナが実行中の時。「ポート 8080 で Express サーバーリスニング中」と表示されます。

6

セットアップツールは、http://localhost:8080 を介した localhost への接続をサポートしていません。http://127.0.0.1:8080 を使用して、localhost に接続します。

Web ブラウザを使用して、localhost http://127.0.0.1:8080 に移動し、プロンプトで Partner Hub の管理者ユーザー名を入力します。

ツールは、このユーザー名の最初のエントリを使用して、そのアカウントに適した環境を設定します。その後、ツールには標準のサインインプロンプトが表示されます。

7

プロンプトが表示されたら、Partner Hub 管理者のサインイン資格情報を入力し、[ログイン] をクリックして、ハイブリッドデータセキュリティに必要なサービスへのアクセスを許可します。

8

セットアップツール概要ページで、[開始] をクリックします。

9

[ISO インポート] ページで次のオプションがあります。

いいえ: 最初の HDS ノードを作成する場合、アップロードする ISO ファイルがありません。
はい: HDS ノードをすでに作成している場合は、参照で ISO ファイルを選択し、アップロードします。

10

X.509 証明書が X.509 証明書要件の要件を満たしていることを確認してください。

証明書をアップロードしたことがない場合は、X.509 証明書をアップロードし、パスワードを入力し、[続行] をクリックします。
証明書が OK の場合は、[続行] をクリックします。
証明書の有効期限が切れているか、置き換える場合は、[いいえ] を選択して、[以前の ISO の HDS 証明書チェーンと秘密キーの使用を続行しますか] を選択します。新しい X.509 証明書をアップロードし、パスワードを入力し、[続行] をクリックします。

11

HDS がキーデータストアにアクセスするためのデータベースアドレスとアカウントを入力します。

[データベースタイプ] (PostgreSQL または Microsoft SQL Server) を選択します。

[Microsoft SQL Server] を選択すると、[認証タイプ] フィールドが表示されます。
(Microsoft SQL Server のみ) 認証タイプを選択します。
- 基本認証:[ユーザー名] フィールドにローカル SQL Server アカウント名が必要です。
- Windows 認証:[ユーザー名] フィールドの username@DOMAIN の形式の Windows アカウントが必要です。
: または : の形式でデータベースサーバーアドレスを入力します。

例:
dbhost.example.org:1433 または 198.51.100.17:1433

ノードがホスト名を解決するために DNS を使用できない場合は、基本認証に IP アドレスを使用できます。

Windows 認証を使用している場合は、dbhost.example.org:1433 の形式で完全修飾ドメイン名を入力する必要があります。
データベース名を入力します。
キーストレージデータベース上のすべての権限を持つユーザーの [ユーザー名] と [パスワード] を入力します。

12

TLS データベース接続モードを選択します。

モード	説明
TLS を優先 (デフォルトオプション)	HDS ノードは、データベースサーバに接続するために TLS を必要としませんデータベースサーバで TLS を有効にすると、ノードは暗号化された接続を試行します。
TLS を要求する	データベースサーバが TLS をネゴシエートできる場合に限り、HDS ノードは接続されます。
TLS を要求し、証明書の署名者を確認する	このモードは SQL Server データベースには適用されません。データベースサーバが TLS をネゴシエートできる場合に限り、HDS ノードは接続されます。 TLS 接続を確立した後、ノードはデータベースサーバーからの証明書の署名者を、データベースルート証明書の認証局と比較します。一致しない場合、ノードにより接続が切断されます。ドロップダウンの下にあるデータベースルート証明書コントロールを使用して、このオプションのルート証明書をアップロードしてください。
TLS を要求し、証明書の署名者およびホスト名を確認する	データベースサーバが TLS をネゴシエートできる場合に限り、HDS ノードは接続されます。 TLS 接続を確立した後、ノードはデータベースサーバーからの証明書の署名者を、データベースルート証明書の認証局と比較します。一致しない場合、ノードにより接続が切断されます。また、サーバー証明書のホスト名が [データベースホストとポート ] フィールドのホスト名と一致していることを確認します。名前は正確に一致する必要があります。または、ノードが接続を切断します。ドロップダウンの下にあるデータベースルート証明書コントロールを使用して、このオプションのルート証明書をアップロードしてください。

ルート証明書 (必要な場合) をアップロードし、[続行] をクリックすると、HDS セットアップツールはデータベースサーバへの TLS 接続をテストします。また、必要に応じて、証明書の署名者とホスト名も検証されます。テストが失敗した場合、問題を説明するエラーメッセージがツールによって表示されます。エラーを無視してセットアップを続行するかどうかを選択できます。(接続の違いにより、HDS セットアップツールマシンが正常にテストできない場合でも、HDS ノードが TLS 接続を確立できる場合があります)。

13

[システムログ（System Logs）] ページで、Syslogd サーバを設定します。

syslog サーバの URL を入力します。

サーバーが HDS クラスタのノードから DNS 解決できない場合は、URL の IP アドレスを使用してください。

例:
udp://10.92.43.23:514 は、UDP ポート 514 の Syslogd ホスト 10.92.43.23 へのロギングを示します。
TLS 暗号化を使用するようにサーバーを設定する場合、[syslog サーバーは SSL 暗号化用に設定されていますか?] にチェックを入れます。

このチェックボックスをオンにした場合、tcp://10.92.43.23:514 などの TCP URL を入力していることを確認してください。
[syslog record termination の選択] ドロップダウンから、ISO ファイルに適切な設定を選択します。選択または改行は、Graylog および Rsyslog TCP に使用されます
- ヌルバイト -- \x00
- 改行 -- \n—Graylog および Rsyslog TCP に対してこの選択を選択します。
[続行] をクリックします。

14

(オプション) [詳細設定] で一部のデータベース接続パラメータのデフォルト値を変更できます。通常、このパラメータは変更したい唯一のパラメータです。

app_datasource_connection_pool_maxサイズ: 10

15

[サービスアカウントパスワードのリセット] 画面で [続行] をクリックします。

サービスアカウントパスワードの寿命は 9 か月です。パスワードの有効期限が近づいている場合、またはパスワードをリセットして以前の ISO ファイルを無効にする場合は、この画面を使用してください。

16

[ISO ファイルのダウンロード] をクリックします。見つけやすい場所にファイルを保存します。

17

ローカルシステムの ISO ファイルのバックアップコピーを作成します。

バックアップコピーを安全に保ちます。このファイルには、データベースコンテンツのマスター暗号化キーを含みます。設定変更を行う必要があるハイブリッドデータセキュリティ管理者のみにアクセスを制限します。

18

セットアップツールをシャットダウンするには、[CTRL+C] と入力します。

次に行うこと

構成 ISO ファイルをバックアップします。復元のためにもっとノードを作成するか、設定変更を行う必要があります。ISO ファイルのすべてのコピーを失ったら、マスターキーも失います。PostgreSQL または Microsoft SQL Server データベースからキーを復元することはできません。

このキーのコピーは見つかりませんでした。紛失した場合には役に立ちません。

HDS 主催者 OVA をインストールする

この手順を使用して、OVA ファイルから仮想マシンをサック制します。

1	コンピュータの VMware vSphere クライアントを使用して、ESXi 仮想主催者にログインします。
2	ファイル > OVF テンプレートを展開を選択します。
3	ウィザードで、以前ダウンロードした OVA ファイルの場所を指定し、[次へ] をクリックします。
4	[名前とフォルダの選択] ページで、ノードの [仮想マシン名] (たとえば、「HDS_Node_1」) を入力し、仮想マシンノード展開が存在できる場所を選択し、[次へ] をクリックします。
5	[計算リソースの選択] ページで、接続先の計算リソースを選択し、[次へ] をクリックします。検証チェックが実行されます。完了すると、テンプレートの詳細が表示されます。
6	テンプレートの詳細を確認し、[次へ] をクリックします。
7	[構成] ページでリソース構成を選択するように求められた場合は、[4 CPU] をクリックし、[次へ] をクリックします。
8	[ストレージの選択] ページで、[次へ] をクリックして、デフォルトのディスク形式と VM ストレージポリシーを受け入れます。
9	[ネットワークの選択] ページで、エントリのリストからネットワークオプションを選択して、VM に希望する接続を提供します。
10	[テンプレートのカスタマイズ] ページで、次のネットワーク設定を構成します。ホスト名—ノードの FQDN (ホスト名とドメイン) または単一の単語のホスト名を入力します。ドメインを設定し、X.509 証明書を取得するために使用されるドメインにマッチしません。クラウドへの登録を成功させるには、ノードに設定した FQDN またはホスト名に小文字のみを使用してください。現時点では大文字化のサポートはありません。 FQDNのトータルの長さは64文字を超えてはいけません。 IP アドレス: ノードの内部インターフェイスの IP アドレスを入力します。ノードには内部 IP アドレスと DNS 名があるはずです。DHCP はサポートされていません。マスク—サブネットマスクアドレスを小数点以下の表記で入力します。たとえば、255.255.255.0 です。ゲートウェイ—ゲートウェイの IP アドレスを入力します。ゲートウェイは、別のネットワークへのアクセスポイントとして機能するネットワークノードです。 DNS サーバー: ドメイン名から数字の IP アドレスへの変換を処理する DNS サーバーのカンマ区切りリストを入力します。（最大 4 つの DNS エントリが許可されます）。 NTP サーバー: 組織の NTP サーバーまたは組織で使用できる別の外部 NTP サーバーを入力します。デフォルトの NTP サーバは、すべての企業で機能しない場合があります。カンマ区切りリストを使用して、複数の NTP サーバを入力することもできます。同じサブネットまたは VLAN 上のすべてのノードを展開して、クラスタ内のすべてのノードが管理目的でネットワークのクライアントから到達できるようにします。必要に応じて、ネットワーク設定の構成をスキップし、「ハイブリッドデータセキュリティ VM をセットアップする」の手順に従って、ノードコンソールから設定を構成できます。 OVA 展開中にネットワーク設定を構成するオプションは、ESXi 7.0 でテストされています。このオプションは以前のバージョンでは利用できない場合があります。
11	ノード VM を右クリックし、[電源] > [電源オン] を選択します。ハイブリッドデータセキュリティソフトウェアは、VM ホストにゲストとしてインストールされます。これで、コンソールにサインインしてノードを設定する準備ができました。トラブルシューティングのヒントノードコンテナーが出てくるまでに、数分間の遅延がある場合があります。初回起動の間、ブリッジファイアウォールメッセージが、コンソールに表示され、この間はサインインできません。

ハイブリッドデータセキュリティ VM のセットアップ

ハイブリッドデータセキュリティノード VM コンソールに初めてサインインし、サインインクレデンシャルを設定するには、この手順を使用します。OVA 展開時に設定しなかった場合は、コンソールを使用してノードのネットワーク設定を構成することもできます。

1	VMware vSphere クライアントでハイブリッドデータセキュリティノード VM を選択し、[コンソール] タブを選択してください。 VM が起動し、ログインプロンプトが表示されます。ログインプロンプトが表示されない場合は、入力を押してください。
2	以下のデフォルトログインとパスワードを使用して、証明書にサインインし変更します: ログイン:`管理者` パスワード:`cisco` 初めて VM にサインインしているため、管理者パスワードを変更する必要があります。
3	[HDS ホスト OVA をインストールする] でネットワーク設定をすでに構成している場合は、この手順の残りの部分をスキップします。それ以外の場合は、メインメニューで [設定の編集] オプションを選択します。
4	性的構成を IP アドレス、Mask、Gateway、DNS 情報をセットアップします。ノードには内部 IP アドレスと DNS 名があるはずです。DHCP はサポートされていません。
5	(オプション) ネットワーク方針にマッチするための必要性に応じて、ホスト名、ドメイン、もしくはNTP サーバーを変更して下さい。ドメインを設定し、X.509 証明書を取得するために使用されるドメインにマッチしません。
6	変更が有効になるように、ネットワーク構成を保存し、VM を再起動します。

HDS 構成 ISO をアップロードしマウントする

この手順を使用して、HDS セットアップツールで作成した ISO ファイルから仮想マシンを構成します。

開始する前に

ISO ファイルはマスターキーを保持しているため、ハイブリッドデータセキュリティ VM および変更が必要な管理者がアクセスするために、「知る必要がある」ベースでのみ公開する必要があります。これらの管理者のみがデータストアにアクセスできるようにします。

1

コンピュータから ISO ファイルをダウンロードします:

VMware vSphere クライアントの左ナビゲーションペインで、ESXi サーバーをクリックします。
[構成] タブのハードウェアリストで、[保管] をクリックします。
データストアリストで、VMs のデータストアを右クリックし、[データストアの参照] をクリックします。
[ファイルのアップロード] アイコンをクリックし、[ファイルのアップロード] をクリックします。
コンピュータの ISO ファイルをダンロードする場所を参照し、[開く] をクリックします。
[はい] をクリックし、オペレーション警告のアップロード/ダウンロードに同意し、データストアダイアログを閉じます。

2

ISO ファイルのマウント:

VMware vSphere クライアントの左ナビゲーションペインで、ESXi サーバーを右クリックし、[設定の編集] をクリックします。
[OK] をクリックし、制限された編集オプションの警告に同意します。
[CD/DVD Drive 1] をクリックし、データストア ISO ファイルからマウントするオプションを選択して、構成 ISO ファイルをアップロードした場所を参照します。
[接続済み] と [電源に接続する] をチェックします。
変更を保存し、仮想マシンを再起動します。

次に行うこと

IT ポリシーが必要な場合は、すべてのノードが設定変更をピックアップした後、オプションで ISO ファイルをアンマウントできます。詳細については、「(オプション) HDS 設定後に ISO をマウント解除」を参照してください。

プロキシ統合のために HDS ノードを設定する

ネットワーク環境でプロキシが必要な場合は、この手順を使用して、ハイブリッドデータセキュリティと統合するプロキシのタイプを指定します。透過型のプロキシまたは HTTPS を明示的なプロキシを選択した場合、ノードのインターフェイスを使用してルート証明書をアップロードしてインストールすることができます。インターフェイスからプロキシ接続を確認し、潜在的な問題をトラブルシューティングすることもできます。

開始する前に

サポートされているプロキシオプションの概要については、「プロキシサポート」を参照してください。
プロキシサーバーの要件

1	HDS ノードセットアップ URL `https://[HDS Node IP or FQDN]/setup` を入力して、ノードに対して設定した管理者資格情報を入力し、[サインイン] をクリックします。
2	[信頼ストアとロキシ] に移動して、次のオプションを選択します。プロキシなし—プロキシを統合する前のデフォルトオプションです。証明書の更新は必要ありません。透明検査なしのプロキシ—ノードは特定のプロキシサーバーアドレスを使用するように設定されていないため、検査なしのプロキシで動作するように変更は必要ありません。証明書の更新は必要ありません。透過型検査プロキシ—ノードは特定のプロキシサーバーアドレスを使用するように設定されていません。ハイブリッドデータセキュリティの展開では HTTPS 構成の変更は必要ありませんが、HDS ノードはプロキシを信頼できるようにするためにルート証明書を必要とします。プロキシを検査することで、Web サイトにアクセスするか、どのタイプのコンテンツを使用するかを強制するポリシーを施行することができます。このタイプのプロキシは、すべてのトラフィック (HTTPS さえも含む) を復号化します。明示的プロキシ—明示的プロキシを使用して、使用するプロキシサーバーをクライアント (HDS ノード) に指示します。このオプションは複数の認証タイプをサポートします。このオプションを選択した後、次の情報を入力する必要があります。プロキシ IP/FQDN—プロキシマシンに到達するために使用できるアドレス。プロキシポート: プロキシがプロキシトラフィックをリッスンするために使用するポート番号。プロキシプロトコル—http (クライアントから受信したすべての要求を表示およびコントロール) または https (サーバーにチャネルを提供し、クライアントがサーバーの証明書を受信して検証します) を選択します。プロキシサーバーがサポートするオプションを選択します。認証タイプ: 次の認証タイプから選択します。なし: 追加の認証は必要ありません。 HTTP または HTTPS プロキシで利用できます。ベーシック—HTTP ユーザーエージェントがリクエストを行う際にユーザー名とパスワードを指定するために使用されます。Base64 エンコードを使用します。 HTTP または HTTPS プロキシで利用できます。このオプションを選択した場合は、ユーザー名とパスワードも入力する必要があります。ダイジェスト: 機密情報を送信する前にアカウントを確認するために使用されます。ネットワークを経由して送信する前に、ユーザー名およびパスワードにハッシュ機能を適用します。 HTTPS プロキシに対してのみ利用できます。このオプションを選択した場合は、ユーザー名とパスワードも入力する必要があります。透過型検査プロキシ、基本認証を持つ HTTP 明示プロキシ、または HTTPS 明示プロキシについては、次のステップに従ってください。
3	[ルート証明書またはエンティティ終了証明書のアップロード] をクリックし、プロキシのルート証明書を選択するために移動します。証明書はアップロードされていますが、まだインストールされていません。証明書をインストールするにはノードを再起動する必要があります。証明書発行者名の山形矢印をクリックして詳細を確認するか、間違っている場合は [削除] をクリックして、ファイルを再度アップロードしてください。
4	[プロキシ接続を確認する] をクリックして、ノードとプロキシ間のネットワーク接続性をテストします。接続テストが失敗した場合は、エラーメッセージが表示され、問題を解決するための理由と方法が示されます。外部 DNS の解決が正常に行われなかったという内容のメッセージが表示された場合、ノードが DNS サーバーに到達できなかったことを示しています。この状況は、多くの明示的なプロキシ構成で想定されています。セットアップを続行すると、ノードは外部 DNS 解決ブロックモードで機能します。これがエラーだと思われる場合は、これらの手順を完了し、「ブロックされた外部 DNS 解決モードをオフにする」を参照してください。
5	接続テストが成功した後、明示的なプロキシについては https のみに設定し、このノードからのすべてのポートの 443/444 https 要求を明示的プロキシを通してルーティングするように切り替えます。この設定を有効にするには 15 秒かかります。
6	[すべての証明書を信頼ストアにインストールする(HTTPS 明示プロキシまたは透過型のプロキシで表示される)] または [再起動] をクリックして、プロンプトを読み、準備が完了したら [インストール] をクリックします。ノードが数分以内に再起動されます。
7	ノードが再起動したら、必要に応じて再度サインインして、[概要] ページを開き、接続チェックを確認してすべて緑色のステータスになっていることを確認します。プロキシ接続の確認は webex.com のサブドメインのみをテストします。接続の問題がある場合、インストール手順に記載されているクラウドドメインの一部がプロキシでブロックされているという問題がよく見られます。

クラスタ内の最初のノードを登録

このタスクは、「ハイブリッドデータセキュリティ VM のセットアップ」で作成した汎用ノードを取り、ノードを Webex クラウドに登録し、ハイブリッドデータセキュリティノードに変換します。

最初のノードを登録するとき、クラスターをノードが指定されている場所に作成します。クラスターには展開された 1 つ上のノードを含み、冗長性を提供します。

開始する前に

一旦ノードの登録を開始すると、60 分以内に完了する必要があり、そうでなければ、再び最初からやり直しになります。
ブラウザのポップアップブロッカーが無効になっているか、admin.webex.com の例外を許可していることを確認してください。

1	https://admin.webex.comにサインインします。
2	スクリーンの左側にあるメニューからサービスを選択します。
3	[クラウドサービス] セクションで、ハイブリッドデータセキュリティカードを見つけ、[セットアップ] をクリックします。
4	開いたページで、[リソースの追加] をクリックします。
5	[ノードを追加] カードの最初のフィールドで、ハイブリッドデータセキュリティノードを割り当てるクラスタの名前を入力します。クラスターのノードが地理的にどこに配置されているかに基づきクラスターに名前を付けることをお薦めします。例:「サンフランシスコ」または「ニューヨーク」または「ダラス」
6	2 番目のフィールドに、ノードの内部 IP アドレスまたは完全修飾ドメイン名 (FQDN) を入力し、画面下部にある [追加] をクリックします。この IP アドレスまたは FQDN は、「ハイブリッドデータセキュリティ VM をセットアップする」で使用した IP アドレスまたはホスト名とドメインと一致する必要があります。ノードを Webex に登録できることを示すメッセージが表示されます。
7	[ノードに進む] をクリックします。しばらくすると、Webex サービスのノード接続テストにリダイレクトされます。すべてのテストが成功した場合、[ハイブリッドデータセキュリティノードへのアクセスを許可する] ページが表示されます。そこでは、ノードにアクセスする権限を Webex 組織に付与することを確認します。
8	[ハイブリッドデータセキュリティノードへのアクセスを許可する] チェックボックスをチェックし、[続行] をクリックします。アカウントが検証され、「登録完了」メッセージは、ノードが Webex クラウドに登録されていることを示します。
9	リンクをクリックするか、タブを閉じて、Partner Hub ハイブリッドデータセキュリティページに戻ります。 [ハイブリッドデータセキュリティ] ページで、登録したノードを含む新しいクラスタが [リソース] タブの下に表示されます。ノードは自動的にクラウドから最新ソフトウェアをダウンロードします。

他のノードを作成して登録

追加ノードをクラスターに追加するには、追加 VMs を作成し、同じ構成 ISO ファイルをマウントし、ノードを登録します。最低 3 個のノードを持つことを推奨します。

開始する前に

一旦ノードの登録を開始すると、60 分以内に完了する必要があり、そうでなければ、再び最初からやり直しになります。
ブラウザのポップアップブロッカーが無効になっているか、admin.webex.com の例外を許可していることを確認してください。

1	OVA から新しい仮想マシンを作成し、「HDS ホスト OVA をインストールする」の手順を繰り返します。
2	新しい VM で初期設定をセットアップし、「ハイブリッドデータセキュリティ VM のセットアップ」の手順を繰り返します。
3	新しい VM で、「HDS 構成 ISO をアップロードおよびマウントする」の手順を繰り返します。
4	展開用にプロキシを設定している場合は、新しいノードで「プロキシ統合のために HDS ノードを構成する」の手順を繰り返します。
5	ノードを登録します。 https://admin.webex.com で、[サービス] をスクリーンの左側にあるメニューから選択します。 [クラウドサービス] セクションで、ハイブリッドデータセキュリティカードを見つけ、[すべて表示] をクリックします。 [ハイブリッドデータセキュリティリソース] ページが表示されます。新しく作成されたクラスターが [リソース ] ページに表示されます。クラスタをクリックすると、クラスタに割り当てられたノードが表示されます。画面の右側にある [ノードの追加] をクリックします。ノードの内部 IP アドレスまたは完全修飾ドメイン名 (FQDN) を入力し、[追加] をクリックします。ページが開き、ノードを Webex クラウドに登録できることを示すメッセージが表示されます。しばらくすると、Webex サービスのノード接続テストにリダイレクトされます。すべてのテストが成功した場合、[ハイブリッドデータセキュリティノードへのアクセスを許可する] ページが表示されます。そこで、組織にノードにアクセスする権限を付与することを確認します。 [ハイブリッドデータセキュリティノードへのアクセスを許可する] チェックボックスをチェックし、[続行] をクリックします。アカウントが検証され、「登録完了」メッセージは、ノードが Webex クラウドに登録されていることを示します。リンクをクリックするか、タブを閉じて、Partner Hub ハイブリッドデータセキュリティページに戻ります。ノードが追加されましたポップアップメッセージは、Partner Hub の画面下部にも表示されます。ノードが登録されています。

マルチテナントのハイブリッドデータセキュリティでテナント組織を管理する

Partner Hub でマルチテナント HDS をアクティブにする

このタスクにより、顧客組織のすべてのユーザーがオンプレミスの暗号化キーやその他のセキュリティサービスに HDS を活用できるようになります。

開始する前に

必要なノード数を持つマルチテナント HDS クラスタのセットアップが完了していることを確認します。

1	https://admin.webex.comにサインインします。
2	スクリーンの左側にあるメニューからサービスを選択します。
3	[クラウドサービス] セクションで、ハイブリッドデータセキュリティを見つけ、[設定の編集] をクリックします。
4	[HDS ステータス] カードで [HDS を有効にする] をクリックします。

Partner Hub でテナント組織を追加

このタスクでは、顧客組織をハイブリッドデータセキュリティクラスタに割り当てます。

1	https://admin.webex.comにサインインします。
2	スクリーンの左側にあるメニューからサービスを選択します。
3	[クラウドサービス] セクションで、ハイブリッドデータセキュリティを見つけ、[すべて表示] をクリックします。
4	顧客を割り当てるクラスタをクリックします。
5	[割り当てられた顧客] タブに移動します。
6	[顧客の追加] をクリックします。
7	ドロップダウンメニューから追加する顧客を選択します。
8	[追加] をクリックすると、顧客がクラスタに追加されます。
9	複数の顧客をクラスタに追加するには、手順 6 ～ 8 を繰り返します。
10	顧客を追加したら、画面下部にある [完了] をクリックします。

次に行うこと

「HDS セットアップツールを使用してカスタマーメインキー (CMK) を作成する」で詳しく説明されている HDS セットアップツールを実行し、セットアッププロセスを完了します。

HDS セットアップツールを使用してカスタマーメインキー (CMK) を作成する

開始する前に

「Partner Hub でテナント組織を追加する」の詳細に従って、適切なクラスターに顧客を割り当てます。HDS セットアップツールを実行して、新しく追加された顧客組織のセットアッププロセスを完了します。

HDS セットアップツールをローカルマシンの Docker コンテナとして実行します。アクセスするには、そのマシンで Docker を実行します。セットアッププロセスには、組織のフル管理者権限を持つパートナーハブアカウントの資格情報が必要です。

HDS セットアップツールが環境内のプロキシの背後で実行されている場合、ステップ 5 で Docker コンテナを起動する際に、Docker 環境変数を通してプロキシ設定 (サーバー、ポート、資格情報) を提供します。この表ではいくつかの可能な環境変数を示します。

説明	変数
認証なしの HTTP プロキシ	`グローバル_エージェント_HTTP_PROXY=http://SERVER_IP:PORT`
認証なしの HTTPS プロキシ	`グローバル_エージェント_HTTPS_PROXY=http://SERVER_IP:ポート`
認証ありの HTTP プロキシ	`グローバル_エージェント_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
認証ありの HTTPS プロキシ	`グローバル_エージェント_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

生成する構成 ISO ファイルには、PostgreSQL または Microsoft SQL Server データベースを暗号化するマスターキーが含まれています。次のような設定変更を行うときは、このファイルの最新コピーが必要です。
- データベースクレデンシャル
- 証明書の更新
- 認証ポリシーの変更
データベース接続を暗号化する場合は、TLS 用に PostgreSQL または SQL Server の展開を設定します。

ハイブリッドデータセキュリティセットアッププロセスは、ISO ファイルを作成します。その後、ISO を使用してハイブリッドデータセキュリティホストを構成します。

1	マシンのコマンドラインで、お使い環境に適切なコマンドを入力します。一般環境: `docker rmi ciscocitg/hds-setup:stable` FedRAMP 環境の場合: `docker rmi ciscocitg/hds-setup-fedramp:stable` このステップを実行すると、前の HDS セットアップツールの画像がクリーンアップされます。これ以前の画像がない場合は、無視できるエラーを返します。
2	Docker 画像レジストリにサインインするには、以下を入力します。 `ドッカーログイン -u hdscustomersro`
3	パスワードのプロンプトに対して、このハッシュを入力します。 `dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo`
4	お使い環境に合った最新の安定した画像をダウンロードします。一般環境: `ドッカープル ciscocitg/hds-setup:stable` FedRAMP 環境の場合: `ドッカープル ciscocitg/hds-setup-fedramp:stable`
5	プルが完了したら、お使いの環境に適切なコマンドを入力します。プロキシなしの通常の環境の場合: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable` HTTP プロキシがある通常の環境の場合、 `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:ポート ciscocitg/hds-setup:stable` HTTPS プロキシがある通常の環境の場合: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:ポート ciscocitg/hds-setup:stable` プロキシなしの FedRAMP 環境の場合: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable` HTTP プロキシがある FedRAMP 環境の場合: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:ポート ciscocitg/hds-setup-fedramp:stable` HTTPS プロキシがある FedRAMP 環境の場合: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:ポート ciscocitg/hds-setup-fedramp:stable` コンテナが実行中の時。「ポート 8080 で Express サーバーリスニング中」と表示されます。
6	セットアップツールは、http://localhost:8080 を介した localhost への接続をサポートしていません。http://127.0.0.1:8080 を使用して、localhost に接続します。 Web ブラウザを使用して、localhost `http://127.0.0.1:8080` に移動し、プロンプトで Partner Hub の管理者ユーザー名を入力します。ツールは、このユーザー名の最初のエントリを使用して、そのアカウントに適した環境を設定します。その後、ツールには標準のサインインプロンプトが表示されます。
7	プロンプトが表示されたら、Partner Hub 管理者のサインイン資格情報を入力し、[ログイン] をクリックして、ハイブリッドデータセキュリティに必要なサービスへのアクセスを許可します。
8	セットアップツール概要ページで、[開始] をクリックします。
9	[ISO インポート] ページで、[はい] をクリックします。
10	ブラウザで ISO ファイルを選択してアップロードします。 CMK 管理を実行するには、データベースへの接続を確認します。
11	[テナント CMK 管理] タブに進み、テナント CMK を管理する次の 3 つの方法を確認します。すべての組織に対して CMK を作成または CMK を作成 - 画面上部のバナーでこのボタンをクリックすると、新しく追加されたすべての組織に対して CMK が作成されます。画面の右側にある [CMK の管理] ボタンをクリックし、[CMK の作成] をクリックして、新しく追加されたすべての組織に対して CMK を作成します。テーブル内の特定の組織の CMK 管理保留ステータスの近くにある […] をクリックし、[CMK の作成] をクリックして、その組織の CMK を作成します。
12	CMK の作成が成功すると、テーブルのステータスは CMK 管理保留中から CMK 管理に変更されます。
13	CMK の作成に失敗した場合は、エラーが表示されます。

テナント組織を削除

開始する前に

削除すると、顧客組織のユーザーは暗号化ニーズに HDS を利用できなくなり、既存のスペースはすべて失われます。顧客の組織を削除する前に、Cisco パートナーまたはアカウントマネージャーに連絡してください。

1	https://admin.webex.comにサインインします。
2	スクリーンの左側にあるメニューからサービスを選択します。
3	[クラウドサービス] セクションで、ハイブリッドデータセキュリティを見つけ、[すべて表示] をクリックします。
4	[リソース] タブで、顧客組織を削除するクラスタをクリックします。
5	開いたページで、[割り当てられた顧客] をクリックします。
6	表示される顧客組織のリストから、削除する顧客組織の右側にある ... をクリックし、[クラスターから削除] をクリックします。

次に行うこと

「HDS から削除されたテナントの CMK を取り消す」に記載されているように、顧客組織の CMK を取り消して、削除プロセスを完了します。

HDS から削除されたテナントの CMK を取り消します。

開始する前に

「テナント組織の削除」の詳細に従って、適切なクラスタから顧客を削除します。HDS セットアップツールを実行して、削除された顧客組織の削除プロセスを完了します。

HDS セットアップツールをローカルマシンの Docker コンテナとして実行します。アクセスするには、そのマシンで Docker を実行します。セットアッププロセスには、組織のフル管理者権限を持つパートナーハブアカウントの資格情報が必要です。

HDS セットアップツールが環境内のプロキシの背後で実行されている場合、ステップ 5 で Docker コンテナを起動する際に、Docker 環境変数を通してプロキシ設定 (サーバー、ポート、資格情報) を提供します。この表ではいくつかの可能な環境変数を示します。

説明	変数
認証なしの HTTP プロキシ	`グローバル_エージェント_HTTP_PROXY=http://SERVER_IP:PORT`
認証なしの HTTPS プロキシ	`グローバル_エージェント_HTTPS_PROXY=http://SERVER_IP:ポート`
認証ありの HTTP プロキシ	`グローバル_エージェント_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
認証ありの HTTPS プロキシ	`グローバル_エージェント_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

生成する構成 ISO ファイルには、PostgreSQL または Microsoft SQL Server データベースを暗号化するマスターキーが含まれています。次のような設定変更を行うときは、このファイルの最新コピーが必要です。
- データベースクレデンシャル
- 証明書の更新
- 認証ポリシーの変更
データベース接続を暗号化する場合は、TLS 用に PostgreSQL または SQL Server の展開を設定します。

ハイブリッドデータセキュリティセットアッププロセスは、ISO ファイルを作成します。その後、ISO を使用してハイブリッドデータセキュリティホストを構成します。

1	マシンのコマンドラインで、お使い環境に適切なコマンドを入力します。一般環境: `docker rmi ciscocitg/hds-setup:stable` FedRAMP 環境の場合: `docker rmi ciscocitg/hds-setup-fedramp:stable` このステップを実行すると、前の HDS セットアップツールの画像がクリーンアップされます。これ以前の画像がない場合は、無視できるエラーを返します。
2	Docker 画像レジストリにサインインするには、以下を入力します。 `ドッカーログイン -u hdscustomersro`
3	パスワードのプロンプトに対して、このハッシュを入力します。 `dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo`
4	お使い環境に合った最新の安定した画像をダウンロードします。一般環境: `ドッカープル ciscocitg/hds-setup:stable` FedRAMP 環境の場合: `ドッカープル ciscocitg/hds-setup-fedramp:stable`
5	プルが完了したら、お使いの環境に適切なコマンドを入力します。プロキシなしの通常の環境の場合: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable` HTTP プロキシがある通常の環境の場合、 `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:ポート ciscocitg/hds-setup:stable` HTTPS プロキシがある通常の環境の場合: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:ポート ciscocitg/hds-setup:stable` プロキシなしの FedRAMP 環境の場合: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable` HTTP プロキシがある FedRAMP 環境の場合: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:ポート ciscocitg/hds-setup-fedramp:stable` HTTPS プロキシがある FedRAMP 環境の場合: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:ポート ciscocitg/hds-setup-fedramp:stable` コンテナが実行中の時。「ポート 8080 で Express サーバーリスニング中」と表示されます。
6	セットアップツールは、http://localhost:8080 を介した localhost への接続をサポートしていません。http://127.0.0.1:8080 を使用して、localhost に接続します。 Web ブラウザを使用して、localhost `http://127.0.0.1:8080` に移動し、プロンプトで Partner Hub の管理者ユーザー名を入力します。ツールは、このユーザー名の最初のエントリを使用して、そのアカウントに適した環境を設定します。その後、ツールには標準のサインインプロンプトが表示されます。
7	プロンプトが表示されたら、Partner Hub 管理者のサインイン資格情報を入力し、[ログイン] をクリックして、ハイブリッドデータセキュリティに必要なサービスへのアクセスを許可します。
8	セットアップツール概要ページで、[開始] をクリックします。
9	[ISO インポート] ページで、[はい] をクリックします。
10	ブラウザで ISO ファイルを選択してアップロードします。
11	[テナント CMK 管理] タブに進み、テナント CMK を管理する次の 3 つの方法を確認します。すべての組織に対して CMK を取り消すまたは CMK を取り消す - 画面上部のバナーでこのボタンをクリックすると、削除されたすべての組織の CMK が取り消されます。画面の右側にある [CMK の管理] ボタンをクリックし、[CMK の取り消し] をクリックして、削除されたすべての組織の CMK を取り消します。テーブル内の特定の組織の [CMK を取り消す] ステータス近くの [CMK を取り消す] をクリックし、[CMK を取り消す] をクリックして、その特定の組織の CMK を取り消します。
12	CMK の取り消しが成功すると、顧客組織はテーブルに表示されなくなります。
13	CMK 失効が失敗した場合、エラーが表示されます。

ハイブリッドデータセキュリティの展開をテスト

ハイブリッドデータセキュリティ展開

この手順を使用して、マルチテナントのハイブリッドデータセキュリティ暗号化のシナリオをテストします。

開始する前に

マルチテナントのハイブリッドデータセキュリティの展開をセットアップします。
syslog にアクセスして、重要な要求がマルチテナントハイブリッドデータセキュリティ展開に渡されていることを確認します。

1

与えられたスペースのキーは、スペースの作成者により設定されます。顧客組織のユーザーの 1 人として Webex アプリにサインインし、スペースを作成します。

ハイブリッドデータセキュリティ展開を非アクティブにすると、クライアントのキャッシュされた暗号化キーのコピーが置き換えられると、ユーザーが作成したスペースのコンテンツにアクセスできなくなります。

2

メッセージを新しいスペースに送信します。

3

syslog 出力をチェックして、重要な要求がハイブリッドデータセキュリティ展開に渡されていることを確認します。

ユーザーが最初に KMS に対してセキュアなチャネルを確立していることを確認するには、kms.data.method=create および kms.data.type=EPHEMERAL_KEY_コレクション でフィルタリングします。

次のようなエントリ (読みやすくするために識別子が省略されます) を見つける必要があります。:

2020-07-21 17:35:34.562 (+0000) 情報 KMS [pool-14-thread-1] - [KMS:REQUEST] を受信、deviceId:https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

KMS から既存のキーをリクエストしているユーザーを確認するには、kms.data.method=retrieve および kms.data.type=KEY でフィルタリングします。

以下のエントリーを見つける必要があります。

2020-07-21 17:44:19.889 (+0000) 情報 KMS [pool-14-thread-31] - [KMS:REQUEST] 受信、deviceId:https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

新しい KMS キーの作成を要求しているユーザーを確認するには、kms.data.method=create および kms.data.type=KEY_COLLECTION でフィルタリングします。

以下のエントリーを見つける必要があります。

2020-07-21 17:44:21.975 (+0000) 情報 KMS [pool-14-thread-33] - [KMS:REQUEST] を受信、deviceId:https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

スペースまたはその他の保護されたリソースが作成されたときに、新しい KMS リソースオブジェクト (KRO) の作成を要求するユーザーを確認するには、kms.data.method=create および kms.data.type=RESOURCE_COLLECTION でフィルタリングします。

以下のエントリーを見つける必要があります。

2020-07-21 17:44:22.808 (+0000) 情報 KMS [pool-15-thread-1] - [KMS:REQUEST] を受信、deviceId:https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

ハイブリッドデータセキュリティの正常性のモニター

Partner Hub 内のステータスインジケータは、マルチテナントハイブリッドデータセキュリティの展開にすべて適合しているかどうかを示します。事前のアラートについては、メール通知にサインアップします。サービスに影響するアラームやソフトウェアアップグレードがある場合は通知されます。

1	[パートナーハブ] で、画面の左側にあるメニューから [サービス] を選択します。
2	[クラウドサービス] セクションで、ハイブリッドデータセキュリティを見つけ、 [設定の編集] をクリックします。ハイブリッドデータセキュリティ設定のページが表示されます。
3	[メール通知] セクションで、カンマ区切りで 1 つ以上のメールアドレスを入力し、[Enter] を推します。

HDS 展開を管理します

HDS 展開の管理

ここで説明されているタスクを使用して、ハイブリッドデータセキュリティの展開を管理します。

クラスターのアップグレードスケジュール

ハイブリッドデータセキュリティのソフトウェアアップグレードはクラスタレベルで自動的に実行されるため、すべてのノードが常に同じソフトウェアバージョンを実行していることを保証します。アップグレードは、クラスターのアップグレードのスケジュールに従って行われます。ソフトウェアのアップグレードが可能になると、スケジュールされているアップグレードの時間の前に手動でクラスターのアップグレードを行うことも可能になります。特定のアップグレードのスケジュールを設定するか、毎日午前 3 時 (アメリカ合衆国) に行うというデフォルトのスケジュールも利用可能です。アメリカ/ロサンゼルス必要であれば、次に予定されているアップグレードを延期することも可能です。

アップグレードのスケジュールを設定するには、次の操作を行います。

1	Partner Hub にサインインします。
2	スクリーンの左側にあるメニューからサービスを選択します。
3	[クラウドサービス] セクションで、ハイブリッドデータセキュリティを見つけ、[セットアップ] をクリックします。
4	[ハイブリッドデータセキュリティリソース] ページで、クラスタを選択します。
5	[クラスター設定] タブをクリックします。
6	[クラスタ設定（Cluster Settings）] ページの [アップグレードスケジュール（Upgrade Schedule）] で、アップグレードスケジュールの時間とタイムゾーンを選択します。注意: タイムゾーンの下に、次に可能なアップグレードの日時が表示されます。必要に応じて、[24 時間延期する] をクリックして、アップグレードを翌日に延期することができます。

ノードの構成を変更する

場合により、以下のような理由でハイブリッドデータセキュリティノードの構成の変更が必要な場合があります。

有効期限が切れる、または他の理由による、x.509 証明書の変更。

証明書の CN ドメイン名の変更はサポートされていません。ドメインは、クラスターを登録するために使用される元のドメインと一致する必要があります。
データベース設定を更新して、PostgreSQL または Microsoft SQL Server データベースのレプリカを変更します。

PostgreSQL から Microsoft SQL Server への、またはその逆へのデータ移行はサポートしていません。データベース環境を切り替えるには、ハイブリッドデータセキュリティの新しい展開を開始します。
新しい構成を作成して新しいデータセンターの準備をする。

また、セキュリティ上の理由により、ハイブリッドデータセキュリティは 9 か月間使用可能なサービスアカウントパスワードを使用します。HDS セットアップツールがこれらのパスワードを生成した後で、ISO 構成ファイルの各 HDS ノードに展開します。組織のパスワードの有効期限切れが近い場合、Webex チームから「パスワード期限切れ通知」を受け取り、マシンアカウントのパスワードのリセットを求められます。(メールにはテキスト「マシンアカウント API を使用してパスワードを更新します」を含みます。) パスワードの有効期限が切れるまで時間が十分にある場合、ツールには次の 2 つのオプションがあります:

ソフトリセット: 古いパスワードと新しいパスワードの両方が最大 10 日間有効です。この期間を使用して、ノードの ISO ファイルを段階的に置き換えることができます。
ハードリセット: 古いパスワードがすぐに機能しなくなります。

パスワードをリセットせずに期限切れになる場合、HDS サービスに影響を与える可能性があります。すぐにハードリセットし、すべてのノードの ISO ファイルを置換する必要があります。

この手順を使用して、新しい構成 ISO ファイルを生成し、クラスターに適用します。

始める前に

HDS セットアップツールをローカルマシンの Docker コンテナとして実行します。アクセスするには、そのマシンで Docker を実行します。セットアッププロセスには、パートナーのフル管理者権限を持つ Partner Hub アカウントの資格情報が必要です。

HDS セットアップツールが環境内のプロキシの背後で実行されている場合、1.e で Docker コンテナを起動する際に、Docker 環境変数を通してプロキシ設定 (サーバー、ポート、資格情報) を提供します。この表ではいくつかの可能な環境変数を示します。

説明	変数
認証なしの HTTP プロキシ	`グローバル_エージェント_HTTP_PROXY=http://SERVER_IP:PORT`
認証なしの HTTPS プロキシ	`グローバル_エージェント_HTTPS_PROXY=http://SERVER_IP:ポート`
認証ありの HTTP プロキシ	`グローバル_エージェント_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
認証ありの HTTPS プロキシ	`グローバル_エージェント_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

新しい構成を生成するには、現在の構成 ISO ファイルのコピーが必要です。ISO には PostgreSQL または Microsoft SQL Server データベースを暗号化するマスターキーを含むです。データベースの証明書、証明書の更新、認証方針への変更を含む、構成の変更を行った場合は ISO が必要です。

1	ローカルマシンで Docker を使用し、HDS セットアップツールを実行します。マシンのコマンドラインで、お使い環境に適切なコマンドを入力します。一般環境: `docker rmi ciscocitg/hds-setup:stable` FedRAMP 環境の場合: `docker rmi ciscocitg/hds-setup-fedramp:stable` このステップを実行すると、前の HDS セットアップツールの画像がクリーンアップされます。これ以前の画像がない場合は、無視できるエラーを返します。 Docker 画像レジストリにサインインするには、以下を入力します。 `ドッカーログイン -u hdscustomersro` パスワードのプロンプトに対して、このハッシュを入力します。 `dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo` お使い環境に合った最新の安定した画像をダウンロードします。一般環境: `ドッカープル ciscocitg/hds-setup:stable` FedRAMP 環境の場合: `ドッカープル ciscocitg/hds-setup-fedramp:stable` この手順に最新のセットアップツールをプルしていることを確認します。2018 年 2 月 22 日より前に作成されたツールのバージョンには、パスワードリセット画面が表示されません。プルが完了したら、お使いの環境に適切なコマンドを入力します。プロキシなしの通常の環境の場合: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable` HTTP プロキシがある通常の環境の場合、 `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:ポート ciscocitg/hds-setup:stable` HTTPS プロキシがある通常の環境の場合: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:ポート ciscocitg/hds-setup:stable` プロキシなしの FedRAMP 環境の場合: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable` HTTP プロキシがある FedRAMP 環境の場合: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:ポート ciscocitg/hds-setup-fedramp:stable` HTTPS プロキシがある FedRAMP 環境の場合: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:ポート ciscocitg/hds-setup-fedramp:stable` コンテナが実行中の時。「ポート 8080 で Express サーバーリスニング中」と表示されます。ブラウザを使用して、ローカルホスト `http://127.0.0.1:8080` に接続します。セットアップツールは、http://localhost:8080 を介した localhost への接続をサポートしていません。http://127.0.0.1:8080 を使用して、localhost に接続します。プロンプトが表示されたら、Partner Hub の顧客サインイン情報を入力し、[承認] をクリックして続行します。現在の構成 ISO ファイルをインポートします。指示に従い、ツールを完了し、更新されたファイルをダウンロードします。セットアップツールをシャットダウンするには、[`CTRL+C`] と入力します。別のデータセンターで、更新されたファイルのバックアップコピーを作成します。
2	実行中の HDS ノードが 1 つしかない場合、新しいハイブリッドデータセキュリティノード VM を作成し、新しい構成 ISO ファイルを使用して登録します。詳細については、「さらにノードを作成して登録する」を参照してください。 HDS 主催者 OVA をインストールします。 HDS VM をセットアップします。更新された構成ファイルをマウントします。 Partner Hub で新しいノードを登録します。
3	古い構成ファイルを実行している既存の HDS ノードの場合、ISO ファイルをマウントします。各ノードで以下の手順を実行し、次のノードをオフにする前に、各ノードを更新します。仮想マシンをオフにします。 VMware vSphere クライアントの左ナビゲーションペインで、ESXi サーバーを右クリックし、[設定の編集] をクリックします。 [`CD/DVD Drive 1`] をクリックし、ISO ファイルからマウントするオプションを選択して、新規構成 ISO ファイルをダウンロードした場所を参照します。 [電源に接続する] をチェックします。変更を保存し、仮想マシンを起動します。
4	ステップ 3 を繰り返し、古い構成ファイルを実行している残りの各ノードで構成を置き換えます。

外部 DNS 解決ブロックモードをオフにする

ノードを登録するか、またはノードのプロキシ構成を確認するとき、プロセスは DNS 検索と Cisco Webex クラウドへの接続をテストします。ノードの DNS サーバーがパブリック DNS 名を解決できない場合、ノードは自動的に外部 DNS 解決ブロックモードに進みます。

ノードが内部 DNS サーバーを通してパブリック DNS 名を解決できる場合、各ノードでプロキシ接続テストを再実行することで、このモードをオフにすることができます。

開始する前に

内部 DNS サーバーがパブリック DNS 名を解決でき、ノードがそれらと通信できることを確認します。

1	Web ブラウザで、ハイブリッドデータセキュリティノードインターフェイス (IP アドレス/セットアップ、例: https://192.0.2.0/setup), ノードに設定した管理者資格情報を入力し、サインイン。
2	[概要] (デフォルトページ) に移動します。有効になっている場合、 [外部 DNS 解決ブロック] は [はい] に設定されています。
3	[信頼ストアとプロキシ] ページに移動します。
4	[プロキシ接続を確認する] をクリックします。外部 DNS の解決が正常に行われなかったという内容のメッセージが表示された場合、ノードが DNS サーバーに到達できなかったことを示しており、このモードに留まっています。そうでない場合には、ノードを再起動して[概要] ページに戻ると、[外部 DNS 解決ブロック] は [いいえ] に設定されるはずです。

次に行うこと

ハイブリッドデータセキュリティクラスターの各ノードで、プロキシ接続テストを繰り返します。

ノードの削除

この手順を使用して、Webex クラウドからハイブリッドデータセキュリティノードを削除します。クラスタからノードを削除した後、仮想マシンを削除して、セキュリティデータへのさらなるアクセスを防止します。

1

コンピュータの VMware vSphere クライアントを使用して、ESXi 仮想主催者にログインし、仮想マシンをオフにします。

2

ノードの削除:

Partner Hub にサインインし、[サービス] を選択します。
ハイブリッドデータセキュリティカードで、[すべて表示] をクリックして、ハイブリッドデータセキュリティリソースページを表示します。
クラスタを選択して [概要] パネルを表示します。
削除するノードをクリックします。
右に表示されるパネルで、[このノードの登録解除] をクリックします。
ノードの右側にある […] をクリックして、[このノードを削除] を選択することで、ノードの登録を解除することもできます。

3

vSphere クライアントで、VM を削除します。(左側のナビゲーションペインで、VM を右クリックし、[削除] をクリックします。)

VM を削除しない場合は、構成 ISO ファイルをアンマウントすることを忘れないでください。ISO ファイルがないと、VM を使用してセキュリティデータにアクセスすることはできません。

スタンバイデータセンターを使用した災害復旧

ハイブリッドデータセキュリティクラスターが提供する最も重要なサービスは、Webex クラウドに保存されたメッセージやその他のコンテンツを暗号化するために使用されるキーの作成と保存です。ハイブリッドデータセキュリティに割り当てられている組織内の各ユーザーについて、新しいキー作成リクエストはクラスタにルーティングされます。カンバセーションスペースのメンバーなど、受け取りの認可を得ているユーザーに、作成されるキーを戻す責任がクラスターにはあります。

クラスタープラットフォームはこれらのキーを提供するにあたり重要な機能となるため、クラスターが実行中のままで、適切なバックアップが維持されている必要があります。ハイブリッドデータセキュリティデータベースまたはスキーマに使用される構成 ISO の損失により、顧客コンテンツは回復不能になります。損失などを防ぐためには、以下のプラクティスが必須です:

災害により、プライマリデータセンターの HDS 展開が利用できなくなる場合は、次の手順に従って、スタンバイデータセンターに手動でフェールオーバーします。

開始する前に

「ノードを削除」に記載されているように、Partner Hub からすべてのノードを登録解除します。以前にアクティブであったクラスタのノードに対して設定された最新の ISO ファイルを使用して、以下に示すフェールオーバー手順を実行します。

1	HDS セットアップツールを開始し、「HDS ホストの構成 ISO を作成する」に記載されている手順に従います。
2	設定プロセスを完了し、見つけやすい場所に ISO ファイルを保存します。
3	ローカルシステムの ISO ファイルのバックアップコピーを作成します。バックアップコピーを安全に保ちます。このファイルには、データベースコンテンツのマスター暗号化キーを含みます。設定変更を行う必要があるハイブリッドデータセキュリティ管理者のみにアクセスを制限します。
4	VMware vSphere クライアントの左ナビゲーションペインで、ESXi サーバーを右クリックし、[設定の編集] をクリックします。
5	[設定の編集] > [CD/DVD ドライブ 1] をクリックし、データストア ISO ファイルを選択します。ノードの開始後に更新された構成変更が有効になるように、[接続済み] と [電源で接続] がオンになっていることを確認します。
6	HDS ノードの電源をオンにし、少なくとも 15 分間アラームがないことを確認します。
7	Partner Hub でノードを登録します。「クラスタの最初のノードを登録する」を参照してください。
8	スタンバイデータセンター内のすべてのノードに対してこのプロセスを繰り返します。

次に行うこと

フェールオーバー後、プライマリデータセンターが再びアクティブになった場合は、スタンバイデータセンターのノードを登録解除し、前述のように ISO の設定とプライマリデータセンターのノードを登録するプロセスを繰り返します。

(オプション) HDS 設定後に ISO を取り外す

標準 HDS 設定は、ISO がマウントされた状態で実行されます。ただし、ISO ファイルを継続的にマウントすることを希望する顧客もあります。すべての HDS ノードが新しい設定を取得すると、ISO ファイルをマウント解除できます。

設定変更を行うには、引き続き ISO ファイルを使用します。新しい ISO を作成するか、セットアップツールから ISO を更新する場合は、更新された ISO をすべての HDS ノードにマウントする必要があります。すべてのノードが設定変更をピックアップしたら、この手順で ISO をアンマウントできます。

開始する前に

すべての HDS ノードをバージョン 2021.01.22.4720 以降にアップグレードします。

1	HDS ノードの 1 つをシャットダウンします。
2	vCenter Server アプライアンスで、HDS ノードを選択します。
3	[設定の編集] > [CD/DVD ドライブ] の順に選択し、[データストア ISO ファイル] のチェックを外します。
4	HDS ノードの電源をオンにし、少なくとも 20 分間アラームがないことを確認します。
5	各 HDS ノードに対して順番に繰り返します。

ハイブリッドデータセキュリティのトラブルシューティング

アラートを表示してトラブルシューティングする

ハイブリッドデータセキュリティの展開は、クラスタ内のすべてのノードに到達できない場合、またはクラスタが動作が遅いため、要求がタイムアウトになった場合、利用できないと見なされます。ユーザーがハイブリッドデータセキュリティクラスタに到達できない場合、次の症状を経験します。

新しいスペースが作成できない (新しいキーを作成できない)
メッセージとスペースのタイトルを暗号解除できない:
- 新しいユーザーをスペースに追加する (キーを取得できない)
- 新しいクライアントを使用したスペースの既存ユーザー (キーを取得できない)
クライアントが暗号キーのキャッシュを持っている限り、スペースの既存ユーザーは引き続き正常に実行します

サービスの中断を避けるために、ハイブリッドデータセキュリティクラスタを適切に監視し、アラートを速やかに解決することが重要です。

警告

ハイブリッドデータセキュリティのセットアップに問題がある場合、Partner Hub は組織管理者にアラートを表示し、構成されたメールアドレスにメールを送信します。アラートでは多くに共通するシナリオを説明しています。

表 1YAZ設定オプション共通の問題と解決ステップ
警告	アクション
ローカルデータべースへのアクセスに失敗しました。	データベースのエラーかローカルネットワークの問題をチェックしてください。
ローカルデータベースの接続に失敗しました。	データベースサーバーが利用可能であり、正しいサービスアカウント証明書がノード構成に使用されていたことをチェックします。
クラウドサービスへのアクセスに失敗しました。	外部接続要件で指定されている通り、ノードが Webex サーバーにアクセスできることを確認します。
クラウドサービスの登録を更新します。	クラウドサービスへの登録に失敗しました。登録の更新は現在進行中です。
クラウドサービスの登録に失敗しました。	クラウドサービスへの登録が終了しましたサービスがシャットダウンしました。
サービスがアクティベートされていません。	Partner Hub で HDS を有効にします。
構成されたドメインはサーバー証明書に一致しません。	サーバー証明書が構成されたサービスアクティベーションドメインに一致することを確認します。もっとも多い原因は、証明書 CN が最近変更され、最初のセットアップ中に使用された CN とは異なっているためです。
クラウドサービスへの認証に失敗しました。	正確性とサービスアカウント証明書の期限切れの可能性をチェックします。
ローカルキーストアファイルを開くことに失敗しました。	ローカルキーストアファイルの整合性とパスワードの正確性をチェックします。
ローカルサーバー証明書が無効です。	サーバー証明書の期限切れ日をチェックし、信頼できる証明書権限から発行されたものであることを確認します。
メトリクスを投稿できません。	外部クラウドサービスへのローカルネットワークアクセスをチェックします。
/media/configdrive/hds ディレクトリは存在しません。	仮想ホストで ISO マウント構成をチェックします。ISO ファイルが存在し、再起動時にマウントされるように構成されており、正常にマウントされていることを確認します。
追加された組織では、テナント組織のセットアップが完了していません	HDS セットアップツールを使用して、新しく追加されたテナント組織の CMK を作成してセットアップを完了します。
削除された組織のテナント組織のセットアップが完了していません	HDS セットアップツールを使用して削除されたテナント組織の CMK を取り消すことでセットアップを完了します。

ハイブリッドデータセキュリティのトラブルシューティング

ハイブリッドデータセキュリティの問題をトラブルシューティングする際には、次の一般的なガイドラインを使用してください。

1	アラートについては Partner Hub を確認し、そこで見つかった項目を修正します。参照については、以下の画像を参照してください。
2	ハイブリッドデータセキュリティ展開からのアクティビティの syslog サーバー出力を確認します。「警告」や「エラー」などの単語をフィルタリングして、トラブルシューティングに役立ちます。
3	Cisco サポートに連絡します。

その他のメモ

ハイブリッドデータセキュリティに関する既知の問題

ハイブリッドデータセキュリティクラスタをシャットダウンする場合 (Partner Hub で削除するか、すべてのノードをシャットダウンする)、構成 ISO ファイルを失うか、キーストアデータベースへのアクセスを失った場合、顧客組織の Webex アプリユーザーは、KMS のキーで作成されたユーザーリストの下のスペースを使用できなくなります。一度アクティブユーザーを扱った場合、現在この問題の会費苞や修正方法はなく、HDS サービスを終了しないようにしてください。
KMS への既存の ECDH 接続を持つクライアントは、一定の期間接続を維持します (およそ 1 時間)。

OpenSSL を使用して PKCS12 ファイルを生成する

開始する前に

OpenSSL は、HDS セットアップツールでローディングするために、適切なフォーマットで PKCS12 ファイルを作成するために使用可能なツールです。これを実行する他の方法もあり、別の方法がある中で1つの方法をサポートまたは促進しません。
OpenSSL を使用することを選択した場合、X.509 証明書要件の X.509 証明書要件を満たすファイルを作成するためのガイドラインとしてこの手順を提供します。続行する前にそれらの要件を理解します。
サポートされている環境で OpenSSL をインストールします。ソフトウェアと文書については https://www.openssl.org をご覧ください。
秘密鍵を作成します。
証明書権限 (CA) からサーバー証明書を受け取るとき、この手順を開始します。

1	CA からサーバー証明書を受け取るとき、`hdsnode.pem` として保存します。
2	テキストとして証明書を表示し、詳細を検証します: `openssl x509 -text -noout -in hdsnode.pem`
3	テキストエディタを使用して、`hdsnode-bundle.pem` という名前の証明書バンドルファイルを作成します。バンドルファイルには、下のフォーマットでサーバー証明書、中間 CA 証明書、ルート証明書を含みます。 `-----開始証明書----- ### サーバ証明書。 ### -----end certificate------------------------------------------------------------- ### 中間 CA 証明書。 #### -----end certificate------------------------------------------------------------- ### ルート CA 証明書。 ### -----end 証明書-----`
4	`kms-private-key` という友好的な名前で .p12 ファイルを作成します。 `openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12`
5	サーバー証明書の詳細をチェックします。 `openssl pkcs12 -in hdsnode.p12` アウトプットに一覧化されるように、指示に従いパスワードを入力し、秘密鍵を暗号化します。したがって、秘密鍵と最初の証明書に行`friendlyName: Kms-private-key` を含むことに検証します。例: bash$ openssl pkcs12 -in hdsnode.p12 Enter Import Password: MAC verified OK Bag Attributes friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 主な属性: PEM パスフレーズを入力: 検証中 - PEM パスフレーズを入力します: -----BEGIN 暗号化秘密キー----- -----END 暗号化秘密キー------- バッグ属性 friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 ------BEGIN CERTIFICATE-----END CERTIFICATE------- Bag 属性 friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US subject=/C=US/O=Let's Encrypt/CN=Digital Signature Trust Co./CN=DST Root CA X3 ------- -----END CERTIFICATE------

次に行うこと

[ハイブリッドデータセキュリティの前提条件を完了] に戻ります。hdsnode.p12 ファイルと設定したパスワードを [HDS ホストの構成 ISO を作成する] で使用します。

元の証明書の有効期限が切れると、これらのファイルを再使用して新しい証明書を要求できます。

HDS ノードおよびクラウド間のトラフィック

アウトバウンドメトリクスコレクショントラフィック

ハイブリッドデータセキュリティノードは、特定のメトリクスをWebex クラウドに送信します。これらには以下が含まれます。heap max、使用される heap、CPU ロード、しきい値カウント。同期および非同期しきい値のメトリクス。暗号化接続、遅延、リクエストキューの長さのしきい値を含むアラートのメトリクス。データストアのメトリクス。暗号化接続メトリクス。Out-of-Band (リクエストとは別) チャンネルの暗号化されたキーマテリアルを送信します。

インバウンドトラフィック

ハイブリッドデータセキュリティノードは、Webex クラウドから次のタイプの着信トラフィックを受信します。

暗号サービスからルートされたクライアントからの暗号化リクエスト
ノードソフトウェアへのアップグレード

ハイブリッドデータセキュリティの Squid プロキシを設定する

Websocket は Squid プロキシを通じて接続できません

HTTPS トラフィックを検査する Squid プロキシは、ハイブリッドデータセキュリティが必要とする websocket (wss:) 接続の確立に干渉する可能性があります。これらのセクションでは、wss: トラフィックを無視するためのさまざまなバージョンの Squid の設定方法について説明しています。 これは、サービスの適切な運用のためのトラフィックです。

Squid 4 および5

on_unsupported_protocol ディレクティブを squid.conf に追加します。

on_unsupported_protocol すべてトンネル

Squid 3.5.27

以下の規則が squid.conf に追加されて、ハイブリッドデータセキュリティのテストに成功しました。これらのルールは、機能を開発し、Webex クラウドを更新する際に変更されることがあります。

acl wssMercuryConnection ssl::server_name_regex mercury-connection ssl_bump splice wssMercuryConnection acl step1 at_step SslBump1 acl step2 at_step SslBump2 acl step3 at_step SslBump3 ssl_bump peek step1 all ssl_bump stare step2 all ssl_bump bump step3 all

新規および変更された情報

この表では、新機能または機能、既存のコンテンツへの変更、および『マルチテナントハイブリッドデータセキュリティの展開ガイド』で修正された主なエラーについて説明します。

日付	変更を行いました
2025 年 3 月 4 日	「Run HDS Setup Tool using Podman Desktop 」セクションを追加しました。顧客に別のオープンソースオプションを提供する Docker デスクトップ要件にメモを追加しました。「HDS 主催者の構成 ISO の作成」と「ノード構成の変更」を更新し、Docker デスクトップライセンスを使用しない顧客に Podman デスクトップを使用するための手順を記載しました。
2025 年 1 月 30 日	データベースサーバー要件でサポートされている SQL サーバーのリストに SQL サーバーバージョン 2022 を追加しました。
2025 年 1 月 15 日	マルチテナントハイブリッドデータセキュリティの制限を追加しました。
2025 年 1 月 8 日	「初期セットアップを実行し、インストールファイルをダウンロードする」に、Partner Hub の HDS カードの [セットアップ] をクリックすると、インストールプロセスの重要なステップであることを示すメモを追加しました。
2025 年 1 月 7 日	「仮想ホスト要件」、「ハイブリッドデータセキュリティ展開タスクフロー」、「HDS ホスト OVA のインストール」を更新し、ESXi 7.0 の新しい要件を表示します。
2024 年 12 月 13 日	初公開。

マルチテナントのハイブリッドデータセキュリティの無効化

マルチテナント HDS の無効化タスクフロー

マルチテナント HDS を完全に無効にするには、次の手順に従います。

開始する前に

このタスクは、パートナーのフル管理者によってのみ実行されます。

1	「テナント組織の削除」で記載されているように、すべてのクラスタからすべての顧客を削除します。
2	「HDS から削除されたテナントの CMK を取り消す」に記載されている通り、すべての顧客の CMK を取り消します。
3	「ノードの削除」で記載されているように、すべてのクラスタからすべてのノードを削除します。
4	次の 2 つの方法のいずれかを使用して、Partner Hub からすべてのクラスタを削除します。削除するクラスタをクリックし、概要ページの右上隅にある [このクラスタの削除] を選択します。 [リソース] ページで、クラスタの右側の […] をクリックし、[クラスタの削除] を選択します。
5	ハイブリッドデータセキュリティの概要ページの [設定] タブをクリックし、HDS ステータスカードの [HDS の非アクティブ化] をクリックします。

マルチテナントのハイブリッドデータセキュリティを使い始める

マルチテナントのハイブリッドデータセキュリティの概要

Webex アプリの設計では、1 日目以降、データセキュリティが主要なフォーカスとなっています。このセキュリティのコーナーストンは、エンドツーエンドのコンテンツ暗号化であり、Webex アプリクライアントがキー管理サービス (KMS) と対話することで有効になります。KMS はメッセージとファイルを動的に暗号化し、解読するためにクライアントが使用する暗号キーの作成と管理の責任を負っています。

デフォルトでは、すべての Webex アプリの顧客は、Cisco のセキュリティ領域であるクラウド KMS に保存されているダイナミックキーを使用してエンドツーエンドの暗号化を取得します。ハイブリッドデータセキュリティは、KMS とその他のセキュリティ関連の機能をあなたのエンタープライズデータセンターに移動するため、誰でもなくあなたが暗号化コンテンツの鍵を持っています。

マルチテナントのハイブリッドデータセキュリティ により、組織はサービスプロバイダーとして機能し、オンプレミスの暗号化やその他のセキュリティサービスを管理できる信頼できるローカルパートナーを通じて HDS を活用できます。このセットアップにより、パートナー組織は暗号キーの展開と管理を完全に制御し、顧客組織のユーザーデータを外部アクセスから安全に保護できます。パートナー組織は HDS インスタンスをセットアップし、必要に応じて HDS クラスタを作成します。各インスタンスは、1 つの組織に制限される通常の HDS 展開とは異なり、複数の顧客組織をサポートできます。

パートナー組織は展開と管理をコントロールできますが、顧客が生成したデータやコンテンツにアクセスすることはできません。このアクセスは、顧客の組織とそのユーザーに限定されます。

また、データセンターなどのキー管理サービスとセキュリティインフラストラクチャは信頼できるローカルパートナーによって所有されているため、小規模組織は HDS を活用できます。

マルチテナントハイブリッドデータセキュリティがデータの主権とデータ制御を提供する方法

ユーザーが生成したコンテンツは、クラウドサービスプロバイダーなどの外部アクセスから保護されます。
ローカルの信頼できるパートナーは、すでに確立している顧客の暗号化キーを管理します。
パートナーが提供する場合、ローカルテクニカルサポートのオプション。
ミーティング、メッセージング、通話コンテンツをサポートします。

このドキュメントは、パートナー組織がマルチテナントハイブリッドデータセキュリティシステムの下で顧客をセットアップおよび管理することを支援することを目的としています。

マルチテナントハイブリッドデータセキュリティの制限

パートナー組織は、Control Hub で既存の HDS 展開をアクティブにすることはできません。
パートナーによって管理されることを望むテナントまたは顧客組織は、Control Hub に既存の HDS 展開を持つことはできません。
パートナーによってマルチテナント HDS が展開されると、顧客組織のすべてのユーザーおよびパートナー組織のユーザーは、暗号化サービスにマルチテナント HDS を活用し始めます。

管理するパートナー組織と顧客組織は、同じマルチテナント HDS 展開になります。

マルチテナント HDS を展開すると、パートナー組織はクラウド KMS を使用しなくなります。
HDS 展開後にキーを Cloud KMS に戻すメカニズムはありません。
現在、各マルチテナント HDS 展開では、1 つのクラスタのみを持ち、その下に複数のノードを持つことができます。
管理者ロールには特定の制限があります。詳細については、以下のセクションを参照してください。

マルチテナントハイブリッドデータセキュリティのロール

パートナーのフル管理者 - パートナーが管理するすべての顧客の設定を管理できます。また、組織内の既存のユーザーに管理者のロールを指定したり、パートナー管理者が管理する特定の顧客を指定したりすることもできます。
パートナー管理者 - 管理者がプロビジョニングした顧客またはユーザーに割り当てられた顧客の設定を管理できます。
フル管理者 - 組織設定の変更、ライセンスの管理、ロールの割り当てなどのタスクを実行する権限のあるパートナー組織の管理者です。

すべての顧客組織のエンドツーエンドのマルチテナント HDS のセットアップと管理 - パートナーのフル管理者およびフル管理者権限が必要です。
割り当てられたテナント組織の管理 - パートナー管理者およびフル管理者権限が必要です。

セキュリティ領域のアーキテクチャ

Webex クラウドアーキテクチャは、以下に示すように、異なるタイプのサービスを別の領域、または信頼ドメインに分離します。

ハイブリッドデータセキュリティをさらに理解するために、シスコがクラウド領域ですべての機能を提供している純粋なクラウドケースを見てみましょう。メールアドレスなど個人情報を直接ユーザーが関連付けることが可能な唯一の場所である ID サービスは、データセンター B のセキュリティ領域から論理的および物理的に分かれています。データセンター C では、暗号化されたコンテンツが最終的に保存される領域と、両方とも別になります。

この図では、クライアントがユーザーのラップトップで実行されている Webex アプリであり、ID サービスで認証されています。ユーザーがメッセージを編集し、スペースに送るとき、以下のステップを踏みます:

クライアントは重要な管理サービス (KMS) と安全な接続を確立し、メッセージを暗号化するためのキーをリクエストします。安全な接続では ECDH を使用し、KMS は AES-256 マスターキーを使用してキーを暗号化します。
メッセージはクライアントを離れる前に暗号化されます。クライアントは、暗号化された検索インデックスを作成し、コンテンツで将来検索を助けるインデックス化サービスに送信します。
暗号化されたメッセージは、コンプライアンスチェックのためコンプライアンスサービスに送信されます。
暗号化されたメッセージは、保管領域に保管されます。

ハイブリッドデータセキュリティを展開する際、セキュリティ領域機能 (KMS、インデックス作成、コンプライアンス) をオンプレミスデータセンターに移動します。Webex を構成するその他のクラウドサービス (ID とコンテンツストレージを含む) は、Cisco の領域に残ります。

他の組織と協力する

組織内のユーザーは定期的に Webex アプリを使用して、他の組織の外部参加者と共同作業を行うことができます。ユーザーの 1 人があなたの組織が所有しているスペースのキーをリクエストしたとき (あなたの組織のユーザーの 1 人が作成したため)、KMS は ECDH の安全なチャンネルでキーをクライアントに送信します。ただし、別の組織がスペースのキーを所有している場合、KMS は別の ECDH チャネルを通じて、リクエストを WEBEX クラウドにルーティングして、適切な KMS からキーを取得し、そのキーを元のチャネルのユーザーに返します。

組織 A で実行されている KMS サービスは、X.509 PKI 証明書を使用して他の組織の KMS への接続を検証します。マルチテナントハイブリッドデータセキュリティ展開で使用する x.509 証明書を生成する方法の詳細については、「環境を準備する 」を参照してください。

ハイブリッドデータセキュリティの展開の例外

ハイブリッドデータセキュリティの展開には、暗号化キーを所有することに伴うリスクについて、重要なコミットメントと認識が必要です。

ハイブリッドデータセキュリティを展開するには、以下を提供する必要があります。

Cisco Webex Teams プランでサポートされている場所である国の安全なデータセンター。
「環境を準備する」に記載されている機器、ソフトウェア、およびネットワークアクセス。

ハイブリッドデータセキュリティ用に構築する構成 ISO または提供するデータベースのいずれかが完全に失われると、キーが失われます。キー損失により、ユーザーが Webex アプリのスペースコンテンツやその他の暗号化されたデータを復号できなくなります。このことが発生する場合、新しい展開を構築できますが、新しいコンテンツのみが表示されます。データのアクセス権の喪失を防ぐには、以下を行う必要があります:

データベースのバックアップと復元および構成 ISO を管理します。
データベースディスクの障害やデータセンターの災害などの災害が発生した場合は、迅速な災害復旧を行う準備をしてください。

HDS 展開後にキーをクラウドに戻すメカニズムはありません。

高レベルのセットアッププロセス

このドキュメントでは、マルチテナントのハイブリッドデータセキュリティ展開のセットアップと管理について説明します。

ハイブリッドデータセキュリティのセットアップ—これには、必要なインフラストラクチャの準備、ハイブリッドデータセキュリティソフトウェアのインストール、HDS クラスタの構築、クラスタへのテナント組織の追加、顧客メインキー (CMK) の管理が含まれます。これにより、顧客組織のすべてのユーザーがセキュリティ機能にハイブリッドデータセキュリティクラスタを使用できるようになります。

セットアップ、アクティベーション、および管理フェーズについては、次の 3 つの章で詳しく説明します。
ハイブリッドデータセキュリティ展開の維持—Webex クラウドは自動的に進行中のアップグレードを提供します。IT 部門は階層 1 のサポートをこの展開に提供し、必要に応じて Cisco サポートを提供します。Partner Hub では、画面上の通知を使用して、メールベースのアラートを設定できます。
一般的なアラート、トラブルシューティング手順、および既知の問題について理解する - ハイブリッドデータセキュリティの展開または使用に問題が発生した場合、このガイドの最後の章と「既知の問題の付録」が問題の判別と修正に役立ちます。

ハイブリッドデータセキュリティ展開モデル

エンタープライズデータセンター内で、ハイブリッドデータセキュリティを別々の仮想ホスト上のノードの単一のクラスタとして展開します。ノードは、セキュアなウェブソケットとセキュア HTTP を通じて Webex クラウドと通信します。

インストールプロセス中、提供する VM 上で仮想マシンセットアップするために、OVA ファイルを提供します。HDS セットアップツールを使用し、各ノードにマウントするカスタムクラスター構成 ISO ファイルを作成します。ハイブリッドデータセキュリティクラスタは、提供された Syslogd サーバと PostgreSQL または Microsoft SQL Server データベースを使用します。（HDS セットアップツールで Syslogd とデータベース接続の詳細を設定します）。

ハイブリッドデータセキュリティ展開モデル

クラスターで保持できるノードの最小数は 2 つです。クラスターごとに少なくとも 3 つをお勧めします。複数のノードを持つと、ノード上のソフトウェアアップグレードやその他のメンテナンスアクティビティ中にサービスが中断されないようにします。(Webex クラウドは一度に 1 つのノードのみアップグレードします。)

クラスターのすべてのノードは、同じキーデータストアにアクセスし、同じ syslog サーバーに対するアクティビティをログ記録します。クラウドで指示された通り、ノード自体では処理状態が把握されておらず、ラウンドロビン方式でキーリクエストを処理します。

ノードは、パートナーハブに登録するとアクティブになります。個別ノードをサービス外にするには、必要に応じて登録解除し、再登録できます。

災害復旧のためのスタンバイデータセンター

展開中、セキュアなスタンバイデータセンターをセットアップします。データセンターの災害が発生した場合、スタンバイデータセンターへの展開を手動で失敗させることができます。

アクティブおよびスタンバイデータセンターのデータベースは相互に同期されているため、フェールオーバーを実行するのにかかる時間を最小限に抑えます。

アクティブなハイブリッドデータセキュリティノードは、常にアクティブなデータベースサーバと同じデータセンターにある必要があります。

プロキシサポート

ハイブリッドデータセキュリティは、明示的な透過的な検査および非検査プロキシをサポートします。これらのプロキシを展開に関連付けることができます。これにより、エンタープライズからクラウドに送信されるトラフィックをセキュリティ保護し、監視することができます。証明書の管理のノードでプラットフォーム管理インターフェイスを使用して、ノードでプロキシを設定した後で、全体的な接続ステータスを確認することができます。

ハイブリッドデータセキュリティノードは、以下のプロキシオプションをサポートしています。

プロキシなし: プロキシを統合するために HDS ノードのセットアップ信頼ストアとプロキシ構成を使用しない場合のデフォルト。証明書の更新は必要ありません。
透過的な検査なしのプロキシ: ノードは特定のプロキシサーバーアドレスを使用するように設定されていないため、検査なしのプロキシで動作するように変更を加える必要はありません。証明書の更新は必要ありません。
透過的なトンネリングまたは検査プロキシ: ノードは特定のプロキシサーバーアドレスを使用するように設定されていません。ノードでは、HTTP または HTTPS の設定変更は必要ありません。ただし、ノードはプロキシを信頼するためにルート証明書を必要とします。プロキシを検査することで、Web サイトにアクセスするか、どのタイプのコンテンツを使用するかを強制するポリシーを施行することができます。このタイプのプロキシは、すべてのトラフィック (HTTPS さえも含む) を復号化します。
明示的プロキシ: 明示的プロキシを使用して、使用するプロキシサーバーと認証スキームを HDS ノードに指示します。明示的なプロキシを設定するには、各ノードに次の情報を入力する必要があります。
1. プロキシ IP/FQDN—プロキシマシンに到達するために使用できるアドレス。
2. プロキシポート: プロキシがプロキシトラフィックをリッスンするために使用するポート番号。
3. プロキシプロトコル: プロキシサーバーがサポートしているものに応じて、次のプロトコルから選択します。
  - HTTP—クライアントが送信するすべての要求を表示し、コントロールします。
  - HTTPS—サーバーにチャネルを提供します。クライアントがサーバーの証明書を受け取り、検証します。
4. 認証タイプ: 次の認証タイプから選択します。
  - なし: 追加の認証は必要ありません。
    
    プロキシプロトコルとして HTTP または HTTPS のいずれかを選択した場合に利用できます。
  - ベーシック—HTTP ユーザーエージェントがリクエストを行う際にユーザー名とパスワードを指定するために使用されます。Base64 エンコードを使用します。
    
    プロキシプロトコルとして HTTP または HTTPS のいずれかを選択した場合に利用できます。
    
    各ノードにユーザー名とパスワードを入力する必要があります。
  - ダイジェスト: 機密情報を送信する前にアカウントを確認するために使用されます。ネットワークを経由して送信する前に、ユーザー名およびパスワードにハッシュ機能を適用します。
    
    プロキシプロトコルとして HTTPS を選択した場合にのみ利用できます。
    
    各ノードにユーザー名とパスワードを入力する必要があります。

ハイブリッドデータセキュリティノードとプロキシの例

この図は、ハイブリッドデータセキュリティ、ネットワーク、およびプロキシ間の接続例を示しています。透過的な検査および HTTPS 明示的な検査プロキシオプションの場合、同じルート証明書がプロキシとハイブリッドデータセキュリティノードにインストールされている必要があります。

外部 DNS 解決ブロックモード (明示的プロキシ構成)

ノードを登録するか、またはノードのプロキシ構成を確認するとき、プロセスは DNS 検索と Cisco Webex クラウドへの接続をテストします。内部クライアントのための外部 DNS 解決が許可されていない、明示的なプロキシ構成の展開では、ノードが DNS サーバーに問い合わせができない場合、自動的に外部 DNS 解決ブロックモードに切り替わります。このモードでは、ノード登録および他のプロキシ接続テストを続行することができます。

環境を準備する

マルチテナントハイブリッドデータセキュリティの要件

Cisco Webex ライセンス要件

マルチテナントのハイブリッドデータセキュリティを展開するには:

パートナー組織: Cisco パートナーまたはアカウントマネージャーに連絡し、マルチテナント機能が有効になっていることを確認してください。
テナント組織: Pro Pack for Cisco Webex Control Hub が必要です。(https://www.cisco.com/go/pro-packを参照。)

Docker デスクトップの要件

HDS ノードをインストールする前に、セットアッププログラムを実行するには Docker デスクトップが必要です。Docker は最近、ライセンスモデルを更新しました。組織は Docker デスクトップの有料サブスクリプションを必要とする場合があります。詳細については、Docker ブログ投稿「 Docker は更新および製品サブスクリプションを拡張しています」を参照してください。

Docker デスクトップライセンスを使用していない顧客は、Podman Desktop などのオープンソースコンテナー管理ツールを使用して、コンテナの実行、管理、作成を行うことができます。詳細については、「Podman Desktop を使用して HDS セットアップツールを実行する」を参照してください。

X.509 証明書要件

証明書チェーンは、次の条件を満たす必要があります。

表 1YAZ設定オプションハイブリッドデータセキュリティ展開のための X.509 証明書要件
要件	詳細
信頼できる証明書権限 (CA) で署名済み	デフォルトでは、https://wiki.mozilla.org/CA:IncludedCAs で Mozilla リスト (WoSign と StartCom を除く) の CA を信頼します。
ハイブリッドデータセキュリティ展開を識別する共通名 (CN) ドメイン名を保持しますワイルドカード証明書ではありません	CN は到達可能またはアクティブな主催者である必要はありません。組織を反映した名前を使用することをお勧めします。たとえば、`hds.company.com`。 CN に *（ワイルドカード）を含めることはできません。 CN は、Webex アプリクライアントに対してハイブリッドデータセキュリティノードを検証するために使用されます。クラスタ内のすべてのハイブリッドデータセキュリティノードが同じ証明書を使用します。KMS は x.509v3 SAN フィールドで定義されるドメインではなく、CN ドメインを使用してそれ自体を識別します。この証明書でノードを登録した場合、CN ドメイン名の変更をサポートしません。
非 SHA1 署名	KMS ソフトウェアは、他の組織の KMS に対する接続を検証するために、SHA1 署名をサポートしません。
パスワード保護された PKCS #12 ファイルとして形式化 `kms-private-key` のフレンドリーな名前を使用して、証明書、秘密キー、およびアップロードする中間証明書にタグを付けます。	OpenSSL などのコンバーターを使用して、証明書の形式を変更できます。 HDS セットアップツールを実行する時、パスワードを入力する必要があります。

KMS ソフトウェアはキー使用量を強制したり、キー使用量の誓約を拡張したりしません。いくつかの証明書権限は、サーバー認証など、拡張キー使用量が各証明書に適用されることを必要とします。サーバー認証や他の設定を使用しても大丈夫です。

仮想ホストの要件

クラスタでハイブリッドデータセキュリティノードとして設定する仮想ホストには、次の要件があります。

同じセキュアなデータセンターに少なくとも 2 つの個別のホスト (推奨 3 つ) が共存
VMware ESXi 7.0 (またはそれ以降) がインストールされ、実行されています。

ESXi の以前のバージョンがある場合は、アップグレードする必要があります。
最低 4 つの vCPU、8 GB メインメモリ、サーバーあたり 30 GB のローカルハードディスク容量

データベースサーバーの要件

キーストレージ用の新しいデータベースを作成します。デフォルトのデータベースを使用しないでください。インストールしたとき、HDS アプリケーションはデータベーススキーマを作成します。

データベースサーバには 2 つのオプションがあります。各要件は次のとおりです。

表 2. データベースのタイプ別のデータベースサーバー要件
ポストSQL	Microsoft SQL サーバー
PostgreSQL 14、15、または 16 がインストールされ、実行されています。	SQL Server 2016、2017、2019、または 2022 (エンタープライズまたは標準) がインストールされています。 SQL Server 2016 には、Service Pack 2 および累積アップデート 2 以降が必要です。
最低 8 vCPUs、16-GB メインメモリ、十分なハードディスクスペース、超過がないように監視 (ストレージを増やす必要なく、長期間データべースを実行する場合、2-TB が推奨されます。)	最低 8 vCPUs、16-GB メインメモリ、十分なハードディスクスペース、超過がないように監視 (ストレージを増やす必要なく、長期間データべースを実行する場合、2-TB が推奨されます。)

現在、HDS ソフトウェアは、データベースサーバと通信するための次のドライババージョンをインストールしています。

ポストSQL

Microsoft SQL サーバー

Postgres JDBCドライバー 42.2.5

SQL Server JDBC ドライバー 4.6

このドライババージョンは、SQL Server Always On（Always On Failover Cluster Instances および Always On アベイラビリティグループ）をサポートしています。

Microsoft SQL Server に対する Windows 認証の追加要件

HDS ノードが Windows 認証を使用して Microsoft SQL Server 上のキーストアデータベースにアクセスできるようにする場合は、環境内で次の設定が必要です。

HDS ノード、Active Directory インフラストラクチャ、MS SQL Server はすべて NTP と同期する必要があります。
HDS ノードに提供する Windows アカウントは、データベースへの読み取り/書き込みアクセス権を持っている必要があります。
HDS ノードに提供する DNS サーバーは、キー配布センター (KDC) を解決できる必要があります。
Microsoft SQL Server で HDS データベースインスタンスをサービスプリンシパルネーム (SPN) として登録できます。「Kerberos 接続のサービスプリンシパル名を登録する」を参照してください。

HDS セットアップツール、HDS ランチャー、およびローカル KMS はすべて、キーストアデータベースにアクセスするために Windows 認証を使用する必要があります。Kerberos 認証によるアクセスを要求するときに、ISO 設定の詳細を使用して SPN を構築します。

外部接続要件

ファイアウォールを構成して、HDS アプリケーションに対して次の接続を許可します。

アプリケーション	プロトコル	ポート	アプリからの方向	移動先
ハイブリッドデータセキュリティノード	TCP	443	アウトバウンド HTTPS および WSS	Webex サーバー: .wbx2.com .ciscospark.com すべての Common Identity ホスト [Webex サービスのネットワーク要件] の [Webex ハイブリッドサービスの追加 URL] テーブルにハイブリッドデータセキュリティのためにリストされているその他の URL
HDS セットアップツール	TCP	443	アウトバウンド HTTPS	*.wbx2.com すべての Common Identity ホスト hub.docker.com

ハイブリッドデータセキュリティノードは、NAT またはファイアウォールが前の表のドメイン宛先への必要な発信接続を許可している限り、ネットワークアクセストランスレーション（NAT）またはファイアウォールの背後で機能します。ハイブリッドデータセキュリティノードにインバウンドする接続の場合、インターネットからポートを表示することはできません。データセンター内で、クライアントは管理目的のため、TCP ポート 443 および 22 のハイブリッドデータセキュリティノードにアクセスする必要があります。

Common Identity (CI) ホストの URL は地域固有です。これらは、現在の CI ホストです。

地域	共通 ID ホスト URL
Americas（北米、南米エリア）	https://idbroker.webex.com https://identity.webex.com https://idbroker-b-us.webex.com https://identity-b-us.webex.com
欧州連合	https://idbroker-eu.webex.com https://identity-eu.webex.com
カナダ	https://idbroker-ca.webex.com https://identity-ca.webex.com
シンガポール	https://idbroker-sg.webex.com https://identity-sg.webex.com
アラブ首長国連邦	https://idbroker-ae.webex.com https://identity-ae.webex.com

プロキシサーバーの要件

お使いのハイブリッドデータセキュリティノードと統合できる次のプロキシソリューションを正式にサポートしています。
- 透過的プロキシ—Cisco Web Security Appliance (WSA)。
- 明示的プロキシ—Squid。
  
  HTTPS トラフィックを検査する Squid プロキシは、websocket (wss:) 接続の確立に干渉する可能性があります。この問題を回避するには、「ハイブリッドデータセキュリティのために Squid プロキシを構成する」を参照してください。
明示的プロキシに対して次の認証タイプの組み合わせがサポートされています。
- HTTP または HTTPS による認証がありません
- HTTP または HTTPS による基本認証
- HTTPS のみによるダイジェスト認証
透過的検査プロキシまたは HTTPS 明示的プロキシについては、プロキシのルート証明書のコピーが必要です。このガイドに記載されている展開手順は、ハイブリッドデータセキュリティノードの信頼ストアにコピーをアップロードする方法を説明しています。
HDS ノードをホストするネットワークは、ポート 443 のアウトバウンド TCP トラフィックを強制的にプロキシ経由でルーティングするように設定されている必要があります。
Web トラフィックを検査するプロキシは、Web ソケット接続に干渉する場合があります。この問題が起これば、wbx2.com およびciscospark.com へのトラフィックをバイパスする（検査しない）ことが解決します。

ハイブリッドデータセキュリティの前提条件を満たします

このチェックリストを使用して、ハイブリッドデータセキュリティクラスタをインストールして構成する準備ができていることを確認してください。

1	パートナー組織でマルチテナント HDS 機能が有効になっていることを確認し、パートナーのフル管理者およびフル管理者権限を持つアカウントの資格情報を取得してください。Webex 顧客組織が Pro Pack for Cisco Webex Control Hub が有効になっていることを確認します。Cisco パートナーもしくはアカウントマネージャーにこのプロセスについてサポートを受けるために連絡してください。顧客組織は既存の HDS 展開を持つべきではありません。
2	HDS 展開のドメイン名 (例、`hds.company.com`) を選択し、X.509 証明書、秘密キー、および中間証明書を含む証明書チェーンを取得します。証明書チェーンは、X.509 証明書要件の要件を満たす必要があります。
3	クラスタでハイブリッドデータセキュリティノードとしてセットアップする同じ仮想ホストを準備します。仮想ホスト要件の要件を満たす同じセキュアなデータセンターに少なくとも 2 つの個別のホスト (推奨 3 つ) が共同で必要です。
4	データベースサーバーの要件に従って、クラスタのキーデータストアとして機能するデータベースサーバーを準備します。データベースサーバーは、セキュアなデータセンターに仮想ホストと共存する必要があります。キーストレージ用のデータベースを作成します。（このデータベースを作成する必要があります。デフォルトのデータベースを使用しないでください。インストールしたとき、HDS アプリケーションはデータベーススキーマを作成します。) ノードがデータベースサーバーと通信するために使用する詳細をまとめます: 主催者名または IP アドレス (主催者) およびポート重要なストレージ向けのデータベース名 (dbname) 重要なストレージデータベースですべての権限を持つユーザーのユーザー名とよびパスワード
5	災害復旧をすばやくするには、別のデータセンターでバックアップ環境を設定します。バックアップ環境は、VM とバックアップデータベースサーバの本番環境を反映します。たとえば、生産に HDS ノードを実行している 3 VMs がある場合、バックアップ環境には 3 Vms が必要です。
6	Syslog 主催者をセットアップして、クラスターのノードからログを収集します。ネットワークアドレスと syslog ポート (デフォルトは UDP 514) をまとめます。
7	ハイブリッドデータセキュリティノード、データベースサーバ、および syslog ホストの安全なバックアップポリシーを作成します。少なくとも、回復不能なデータの損失を防ぐには、ハイブリッドデータセキュリティノード用に生成されたデータベースと構成 ISO ファイルをバックアップする必要があります。ハイブリッドデータセキュリティノードは、コンテンツの暗号化と復号に使用されるキーを保存するため、運用展開の維持に失敗すると、コンテンツの回復不能な損失が発生します。 Webex アプリクライアントはキーをキャッシュするため、サービス停止はすぐに目立たなくなりますが、時間の経過とともに明らかになります。一時的な停電が防げない場合、復元可能です。しかし、データベースまたは構成 ISO ファイルのどちらかを完全に失う (バックアップが利用できない) ことは、顧客データは復元できません。ハイブリッドデータセキュリティノードのオペレータは、データベースと構成 ISO ファイルの頻繁なバックアップを維持し、壊滅的な障害が発生した場合に、ハイブリッドデータセキュリティデータセンターを再構築する準備をする必要があります。
8	外部接続の要件で説明されているように、ファイアウォール構成でハイブリッドデータセキュリティノードの接続を許可していることを確認してください。
9	Web ブラウザを使用して、サポートされている OS (Microsoft Windows 10 Professional または Enterprise 64 ビット、または Mac OSX Yosemite 10.10.3 以上) を実行している任意のローカルマシンに Docker (https://www.docker.com) をインストールします。http://127.0.0.1:8080. Docker インスタンスを使用して、すべてのハイブリッドデータセキュリティノードのローカル設定情報を構築する HDS セットアップツールをダウンロードして実行します。Docker デスクトップライセンスが必要な場合があります。詳細については、「Docker デスクトップの要件」を参照してください。 HDS セットアップツールをインストールして実行するには、ローカルマシンに外部接続要件で説明されている接続性が必要です。
10	プロキシをハイブリッドデータセキュリティと統合する場合は、プロキシサーバー要件を満たしていることを確認してください。

ハイブリッドデータセキュリティクラスタをセットアップ

ハイブリッドデータセキュリティ展開のタスクフロー

始める前に

1	初期セットアップを実行し、インストールファイルをダウンロードする後で使用するために、OVA ファイルをローカルマシンにダウンロードします。
2	HDS 主催者に構成 ISO を作成する HDS セットアップツールを使用して、ハイブリッドデータセキュリティノードの ISO 構成ファイルを作成します。
3	HDS 主催者 OVA をインストールする OVA ファイルから仮想マシンを作成し、ネットワーク設定などの初期設定を実行します。 OVA 展開中にネットワーク設定を構成するオプションは、ESXi 7.0 でテストされています。このオプションは以前のバージョンでは利用できない場合があります。
4	ハイブリッドデータセキュリティ VM のセットアップ VM コンソールにサインインし、サインイン資格情報を設定します。OVA 展開時に設定しなかった場合は、ノードのネットワーク設定を構成します。
5	HDS 構成 ISO をアップロードしマウントする HDS セットアップツールで作成した ISO 構成ファイルから VM を設定します。
6	プロキシ統合のために HDS ノードを設定するネットワーク環境でプロキシ設定が必要な場合は、ノードに使用するプロキシのタイプを指定し、必要に応じてプロキシ証明書を信頼ストアに追加します。
7	クラスタ内の最初のノードを登録 VM を Cisco Webex クラウドにハイブリッドデータセキュリティノードとして登録します。
8	他のノードを作成して登録クラスタのセットアップを完了します。
9	Partner Hub でマルチテナント HDS を有効にします。 HDS をアクティベートし、Partner Hub でテナント組織を管理します。

初期セットアップを実行し、インストールファイルをダウンロードする

このタスクでは、OVA ファイルをマシンにダウンロードします（ハイブリッドデータセキュリティノードとして設定したサーバにはありません）。このファイルはのちにインストールプロセスで使用します。

1	Partner Hub にサインインし、[サービス] をクリックします。
2	[クラウドサービス] セクションで、ハイブリッドデータセキュリティカードを見つけて、[セットアップ] をクリックします。 Partner Hub で [セットアップ] をクリックすることは、展開プロセスにとって重要です。この手順を完了しないでインストールに進まないでください。
3	[リソースの追加] をクリックし、[ソフトウェアのインストールと設定] カードの [OVA ファイルのダウンロード] をクリックします。古いバージョンのソフトウェアパッケージ (OVA) は最新のハイブリッドデータセキュリティアップグレードと互換性がありません。これにより、アプリケーションのアップグレード中に問題が発生する可能性があります。OVA ファイルの最新バージョンをダウンロードしていることを確認してください。 OVA は [ヘルプ] セクションからいつでもダウンロードできます。[設定] > [ヘルプ] > [ハイブリッドデータセキュリティソフトウェアのダウンロード] をクリックします。 OVA ファイルは自動的にダウンロードが開始されます。ファイルをマシン内に保存します。
4	オプションで、[ハイブリッドデータセキュリティ展開ガイドを参照 ] をクリックして、このガイドの最新バージョンが利用可能かどうかを確認します。

HDS 主催者に構成 ISO を作成する

ハイブリッドデータセキュリティセットアッププロセスは、ISO ファイルを作成します。その後、ISO を使用してハイブリッドデータセキュリティホストを構成します。

始める前に

HDS セットアップツールをローカルマシンの Docker コンテナとして実行します。アクセスするには、そのマシンで Docker を実行します。セットアッププロセスには、完全な管理者権限を持つパートナーハブアカウントの資格情報が必要です。

Docker Desktop ライセンスをお持ちでない場合は、Podman Desktop を使用して、以下の手順の手順 1 ～ 5 で HDS セットアップツールを実行できます。詳細については、「Podman Desktop を使用して HDS セットアップツールを実行する」を参照してください。

HDS セットアップツールが環境内のプロキシの背後で実行されている場合、以下のステップ 5 で Docker コンテナを起動する際に、Docker 環境変数を通してプロキシ設定 (サーバー、ポート、資格情報) を提供します。この表ではいくつかの可能な環境変数を示します。

説明	変数
認証なしの HTTP プロキシ	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
認証なしの HTTPS プロキシ	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
認証ありの HTTP プロキシ	`GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
認証ありの HTTPS プロキシ	`GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

生成する構成 ISO ファイルには、PostgreSQL または Microsoft SQL Server データベースを暗号化するマスターキーが含まれています。次のような設定変更を行うときは、このファイルの最新コピーが必要です。
- データベースクレデンシャル
- 証明書の更新
- 認証ポリシーの変更
データベース接続を暗号化する場合は、TLS 用に PostgreSQL または SQL Server の展開を設定します。

1

マシンのコマンドラインで、お使い環境に適切なコマンドを入力します。

一般環境:

docker rmi ciscocitg/hds-setup:stable

FedRAMP 環境の場合:

docker rmi ciscocitg/hds-setup-fedramp:stable

このステップを実行すると、前の HDS セットアップツールの画像がクリーンアップされます。これ以前の画像がない場合は、無視できるエラーを返します。

2

Docker 画像レジストリにサインインするには、以下を入力します。

docker login -u hdscustomersro

3

パスワードのプロンプトに対して、このハッシュを入力します。

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

4

お使い環境に合った最新の安定した画像をダウンロードします。

一般環境:

docker pull ciscocitg/hds-setup:stable

FedRAMP 環境の場合:

docker pull ciscocitg/hds-setup-fedramp:stable

5

プルが完了したら、お使いの環境に適切なコマンドを入力します。

プロキシなしの通常の環境の場合:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

HTTP プロキシがある通常の環境の場合、

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

HTTPS プロキシがある通常の環境の場合:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

プロキシなしの FedRAMP 環境の場合:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

HTTP プロキシがある FedRAMP 環境の場合:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

HTTPS プロキシがある FedRAMP 環境の場合:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

コンテナが実行中の時。「ポート 8080 で Express サーバーリスニング中」と表示されます。

6

セットアップツールは、http://localhost:8080 を介した localhost への接続をサポートしていません。http://127.0.0.1:8080 を使用して、localhost に接続します。

Web ブラウザを使用して、localhost http://127.0.0.1:8080 に移動し、プロンプトで Partner Hub の管理者ユーザー名を入力します。

ツールは、このユーザー名の最初のエントリを使用して、そのアカウントに適した環境を設定します。その後、ツールには標準のサインインプロンプトが表示されます。

7

プロンプトが表示されたら、Partner Hub 管理者のサインイン資格情報を入力し、[ログイン] をクリックして、ハイブリッドデータセキュリティに必要なサービスへのアクセスを許可します。

8

セットアップツール概要ページで、[開始] をクリックします。

9

[ISO インポート] ページで次のオプションがあります。

いいえ: 最初の HDS ノードを作成する場合、アップロードする ISO ファイルがありません。
はい: HDS ノードをすでに作成している場合は、参照で ISO ファイルを選択し、アップロードします。

10

X.509 証明書が X.509 証明書要件の要件を満たしていることを確認してください。

証明書をアップロードしたことがない場合は、X.509 証明書をアップロードし、パスワードを入力し、[続行] をクリックします。
証明書が OK の場合は、[続行] をクリックします。
証明書の有効期限が切れているか、置き換える場合は、[いいえ] を選択して、[以前の ISO の HDS 証明書チェーンと秘密キーの使用を続行しますか] を選択します。新しい X.509 証明書をアップロードし、パスワードを入力し、[続行] をクリックします。

11

HDS がキーデータストアにアクセスするためのデータベースアドレスとアカウントを入力します。

[データベースタイプ] (PostgreSQL または Microsoft SQL Server) を選択します。

[Microsoft SQL Server] を選択すると、[認証タイプ] フィールドが表示されます。
(Microsoft SQL Server のみ) 認証タイプを選択します。
- 基本認証:[ユーザー名] フィールドにローカル SQL Server アカウント名が必要です。
- Windows 認証:username@DOMAIN [ユーザー名] フィールドの形式の Windows アカウントが必要です。
: または : の形式でデータベースサーバーアドレスを入力します。

例:
dbhost.example.org:1433 または 198.51.100.17:1433

ノードがホスト名を解決するために DNS を使用できない場合は、基本認証に IP アドレスを使用できます。

Windows 認証を使用している場合は、次の形式で完全修飾ドメイン名を入力する必要があります。 dbhost.example.org:1433
データベース名を入力します。
キーストレージデータベース上のすべての権限を持つユーザーの [ユーザー名] と [パスワード] を入力します。

12

TLS データベース接続モードを選択します。

モード	説明
TLS を優先 (デフォルトオプション)	HDS ノードは、データベースサーバに接続するために TLS を必要としませんデータベースサーバで TLS を有効にすると、ノードは暗号化された接続を試行します。
TLS を要求する	データベースサーバが TLS をネゴシエートできる場合に限り、HDS ノードは接続されます。
TLS を要求し、証明書の署名者を確認する	このモードは SQL Server データベースには適用されません。データベースサーバが TLS をネゴシエートできる場合に限り、HDS ノードは接続されます。 TLS 接続を確立した後、ノードはデータベースサーバーからの証明書の署名者を、データベースルート証明書の認証局と比較します。一致しない場合、ノードにより接続が切断されます。ドロップダウンの下にあるデータベースルート証明書コントロールを使用して、このオプションのルート証明書をアップロードしてください。
TLS を要求し、証明書の署名者およびホスト名を確認する	データベースサーバが TLS をネゴシエートできる場合に限り、HDS ノードは接続されます。 TLS 接続を確立した後、ノードはデータベースサーバーからの証明書の署名者を、データベースルート証明書の認証局と比較します。一致しない場合、ノードにより接続が切断されます。また、サーバー証明書のホスト名が [データベースホストとポート ] フィールドのホスト名と一致していることを確認します。名前は正確に一致する必要があります。または、ノードが接続を切断します。ドロップダウンの下にあるデータベースルート証明書コントロールを使用して、このオプションのルート証明書をアップロードしてください。

ルート証明書 (必要な場合) をアップロードし、[続行] をクリックすると、HDS セットアップツールはデータベースサーバへの TLS 接続をテストします。また、必要に応じて、証明書の署名者とホスト名も検証されます。テストが失敗した場合、問題を説明するエラーメッセージがツールによって表示されます。エラーを無視してセットアップを続行するかどうかを選択できます。(接続の違いにより、HDS セットアップツールマシンが正常にテストできない場合でも、HDS ノードが TLS 接続を確立できる場合があります)。

13

[システムログ（System Logs）] ページで、Syslogd サーバを設定します。

syslog サーバの URL を入力します。

サーバーが HDS クラスタのノードから DNS 解決できない場合は、URL の IP アドレスを使用してください。

例:
udp://10.92.43.23:514 UDP ポート 514 の Syslogd ホスト 10.92.43.23 へのロギングを示します。
TLS 暗号化を使用するようにサーバーを設定する場合、[syslog サーバーは SSL 暗号化用に設定されていますか?] にチェックを入れます。

このチェックボックスをオンにした場合、tcp://10.92.43.23:514 などの TCP URL を入力していることを確認してください。
[syslog record termination の選択] ドロップダウンから、ISO ファイルに適切な設定を選択します。選択または改行は、Graylog および Rsyslog TCP に使用されます
- ヌルバイト -- \x00
- 改行 -- \n—Graylog および Rsyslog TCP に対してこの選択を選択します。
[続行] をクリックします。

14

(オプション) [詳細設定] で一部のデータベース接続パラメータのデフォルト値を変更できます。通常、このパラメータは変更したい唯一のパラメータです。

app_datasource_connection_pool_maxSize: 10

15

[サービスアカウントパスワードのリセット] 画面で [続行] をクリックします。

サービスアカウントパスワードの寿命は 9 か月です。パスワードの有効期限が近づいている場合、またはパスワードをリセットして以前の ISO ファイルを無効にする場合は、この画面を使用してください。

16

[ISO ファイルのダウンロード] をクリックします。見つけやすい場所にファイルを保存します。

17

ローカルシステムの ISO ファイルのバックアップコピーを作成します。

バックアップコピーを安全に保ちます。このファイルには、データベースコンテンツのマスター暗号化キーを含みます。設定変更を行う必要があるハイブリッドデータセキュリティ管理者のみにアクセスを制限します。

18

セットアップツールをシャットダウンするには、CTRL+C と入力します。

次に行うこと

構成 ISO ファイルをバックアップします。復元のためにもっとノードを作成するか、設定変更を行う必要があります。ISO ファイルのすべてのコピーを失ったら、マスターキーも失います。PostgreSQL または Microsoft SQL Server データベースからキーを復元することはできません。

このキーのコピーは見つかりませんでした。紛失した場合には役に立ちません。

HDS 主催者 OVA をインストールする

この手順を使用して、OVA ファイルから仮想マシンをサック制します。

1	コンピュータの VMware vSphere クライアントを使用して、ESXi 仮想主催者にログインします。
2	ファイル > OVF テンプレートを展開を選択します。
3	ウィザードで、以前ダウンロードした OVA ファイルの場所を指定し、[次へ] をクリックします。
4	[名前とフォルダの選択] ページで、ノードの [仮想マシン名] (たとえば、「HDS_Node_1」) を入力し、仮想マシンノード展開が存在できる場所を選択し、[次へ] をクリックします。
5	[計算リソースの選択] ページで、接続先の計算リソースを選択し、[次へ] をクリックします。検証チェックが実行されます。完了すると、テンプレートの詳細が表示されます。
6	テンプレートの詳細を確認し、[次へ] をクリックします。
7	[構成] ページでリソース構成を選択するように求められた場合は、[4 CPU] をクリックし、[次へ] をクリックします。
8	[ストレージの選択] ページで、[次へ] をクリックして、デフォルトのディスク形式と VM ストレージポリシーを受け入れます。
9	[ネットワークの選択] ページで、エントリのリストからネットワークオプションを選択して、VM に希望する接続を提供します。
10	[テンプレートのカスタマイズ] ページで、次のネットワーク設定を構成します。ホスト名—ノードの FQDN (ホスト名とドメイン) または単一の単語のホスト名を入力します。ドメインを設定し、X.509 証明書を取得するために使用されるドメインにマッチしません。クラウドへの登録を成功させるには、ノードに設定した FQDN またはホスト名に小文字のみを使用してください。現時点では大文字化のサポートはありません。 FQDNのトータルの長さは64文字を超えてはいけません。 IP アドレス: ノードの内部インターフェイスの IP アドレスを入力します。ノードには内部 IP アドレスと DNS 名があるはずです。DHCP はサポートされていません。マスク—サブネットマスクアドレスを小数点以下の表記で入力します。たとえば、255.255.255.0 です。ゲートウェイ—ゲートウェイの IP アドレスを入力します。ゲートウェイは、別のネットワークへのアクセスポイントとして機能するネットワークノードです。 DNS サーバー: ドメイン名から数字の IP アドレスへの変換を処理する DNS サーバーのカンマ区切りリストを入力します。（最大 4 つの DNS エントリが許可されます）。 NTP サーバー: 組織の NTP サーバーまたは組織で使用できる別の外部 NTP サーバーを入力します。デフォルトの NTP サーバは、すべての企業で機能しない場合があります。カンマ区切りリストを使用して、複数の NTP サーバを入力することもできます。同じサブネットまたは VLAN 上のすべてのノードを展開して、クラスタ内のすべてのノードが管理目的でネットワークのクライアントから到達できるようにします。必要に応じて、ネットワーク設定の構成をスキップし、「ハイブリッドデータセキュリティ VM をセットアップする」の手順に従って、ノードコンソールから設定を構成できます。 OVA 展開中にネットワーク設定を構成するオプションは、ESXi 7.0 でテストされています。このオプションは以前のバージョンでは利用できない場合があります。
11	ノード VM を右クリックし、[電源] > [電源オン] を選択します。ハイブリッドデータセキュリティソフトウェアは、VM ホストにゲストとしてインストールされます。これで、コンソールにサインインしてノードを設定する準備ができました。トラブルシューティングのヒントノードコンテナーが出てくるまでに、数分間の遅延がある場合があります。初回起動の間、ブリッジファイアウォールメッセージが、コンソールに表示され、この間はサインインできません。

ハイブリッドデータセキュリティ VM のセットアップ

ハイブリッドデータセキュリティノード VM コンソールに初めてサインインし、サインインクレデンシャルを設定するには、この手順を使用します。OVA 展開時に設定しなかった場合は、コンソールを使用してノードのネットワーク設定を構成することもできます。

1	VMware vSphere クライアントでハイブリッドデータセキュリティノード VM を選択し、[コンソール] タブを選択してください。 VM が起動し、ログインプロンプトが表示されます。ログインプロンプトが表示されない場合は、入力を押してください。
2	以下のデフォルトログインとパスワードを使用して、証明書にサインインし変更します: ログイン: `admin` パスワード: `cisco` 初めて VM にサインインしているため、管理者パスワードを変更する必要があります。
3	[HDS ホスト OVA をインストールする] でネットワーク設定をすでに構成している場合は、この手順の残りの部分をスキップします。それ以外の場合は、メインメニューで [設定の編集] オプションを選択します。
4	性的構成を IP アドレス、Mask、Gateway、DNS 情報をセットアップします。ノードには内部 IP アドレスと DNS 名があるはずです。DHCP はサポートされていません。
5	(オプション) ネットワーク方針にマッチするための必要性に応じて、ホスト名、ドメイン、もしくはNTP サーバーを変更して下さい。ドメインを設定し、X.509 証明書を取得するために使用されるドメインにマッチしません。
6	変更が有効になるように、ネットワーク構成を保存し、VM を再起動します。

HDS 構成 ISO をアップロードしマウントする

この手順を使用して、HDS セットアップツールで作成した ISO ファイルから仮想マシンを構成します。

開始する前に

ISO ファイルはマスターキーを保持しているため、ハイブリッドデータセキュリティ VM および変更が必要な管理者がアクセスするために、「知る必要がある」ベースでのみ公開する必要があります。これらの管理者のみがデータストアにアクセスできるようにします。

1

コンピュータから ISO ファイルをダウンロードします:

VMware vSphere クライアントの左ナビゲーションペインで、ESXi サーバーをクリックします。
[構成] タブのハードウェアリストで、[保管] をクリックします。
データストアリストで、VMs のデータストアを右クリックし、[データストアの参照] をクリックします。
[ファイルのアップロード] アイコンをクリックし、[ファイルのアップロード] をクリックします。
コンピュータの ISO ファイルをダンロードする場所を参照し、[開く] をクリックします。
[はい] をクリックし、オペレーション警告のアップロード/ダウンロードに同意し、データストアダイアログを閉じます。

2

ISO ファイルのマウント:

VMware vSphere クライアントの左ナビゲーションペインで、ESXi サーバーを右クリックし、[設定の編集] をクリックします。
[OK] をクリックし、制限された編集オプションの警告に同意します。
CD/DVD Drive 1 をクリックして、データストア ISO ファイルからマウントするオプションを選択し、構成 ISO ファイルをアップロードした場所を参照します。
[接続済み] と [電源に接続する] をチェックします。
変更を保存し、仮想マシンを再起動します。

次に行うこと

IT ポリシーが必要な場合は、すべてのノードが設定変更をピックアップした後、オプションで ISO ファイルをアンマウントできます。詳細については、「(オプション) HDS 設定後に ISO をマウント解除」を参照してください。

プロキシ統合のために HDS ノードを設定する

ネットワーク環境でプロキシが必要な場合は、この手順を使用して、ハイブリッドデータセキュリティと統合するプロキシのタイプを指定します。透過型のプロキシまたは HTTPS を明示的なプロキシを選択した場合、ノードのインターフェイスを使用してルート証明書をアップロードしてインストールすることができます。インターフェイスからプロキシ接続を確認し、潜在的な問題をトラブルシューティングすることもできます。

開始する前に

サポートされているプロキシオプションの概要については、「プロキシサポート」を参照してください。
プロキシサーバーの要件

1	Web ブラウザ`https://[HDS Node IP or FQDN]/setup` で HDS ノードのセットアップ URL を入力し、ノードに設定した管理者資格情報を入力し、[サインイン] をクリックします。
2	[信頼ストアとロキシ] に移動して、次のオプションを選択します。プロキシなし—プロキシを統合する前のデフォルトオプションです。証明書の更新は必要ありません。透明検査なしのプロキシ—ノードは特定のプロキシサーバーアドレスを使用するように設定されていないため、検査なしのプロキシで動作するように変更は必要ありません。証明書の更新は必要ありません。透過型検査プロキシ—ノードは特定のプロキシサーバーアドレスを使用するように設定されていません。ハイブリッドデータセキュリティの展開では HTTPS 構成の変更は必要ありませんが、HDS ノードはプロキシを信頼できるようにするためにルート証明書を必要とします。プロキシを検査することで、Web サイトにアクセスするか、どのタイプのコンテンツを使用するかを強制するポリシーを施行することができます。このタイプのプロキシは、すべてのトラフィック (HTTPS さえも含む) を復号化します。明示的プロキシ—明示的プロキシを使用して、使用するプロキシサーバーをクライアント (HDS ノード) に指示します。このオプションは複数の認証タイプをサポートします。このオプションを選択した後、次の情報を入力する必要があります。プロキシ IP/FQDN—プロキシマシンに到達するために使用できるアドレス。プロキシポート: プロキシがプロキシトラフィックをリッスンするために使用するポート番号。プロキシプロトコル—http (クライアントから受信したすべての要求を表示およびコントロール) または https (サーバーにチャネルを提供し、クライアントがサーバーの証明書を受信して検証します) を選択します。プロキシサーバーがサポートするオプションを選択します。認証タイプ: 次の認証タイプから選択します。なし: 追加の認証は必要ありません。 HTTP または HTTPS プロキシで利用できます。ベーシック—HTTP ユーザーエージェントがリクエストを行う際にユーザー名とパスワードを指定するために使用されます。Base64 エンコードを使用します。 HTTP または HTTPS プロキシで利用できます。このオプションを選択した場合は、ユーザー名とパスワードも入力する必要があります。ダイジェスト: 機密情報を送信する前にアカウントを確認するために使用されます。ネットワークを経由して送信する前に、ユーザー名およびパスワードにハッシュ機能を適用します。 HTTPS プロキシに対してのみ利用できます。このオプションを選択した場合は、ユーザー名とパスワードも入力する必要があります。透過型検査プロキシ、基本認証を持つ HTTP 明示プロキシ、または HTTPS 明示プロキシについては、次のステップに従ってください。
3	[ルート証明書またはエンティティ終了証明書のアップロード] をクリックし、プロキシのルート証明書を選択するために移動します。証明書はアップロードされていますが、まだインストールされていません。証明書をインストールするにはノードを再起動する必要があります。証明書発行者名の山形矢印をクリックして詳細を確認するか、間違っている場合は [削除] をクリックして、ファイルを再度アップロードしてください。
4	[プロキシ接続を確認する] をクリックして、ノードとプロキシ間のネットワーク接続性をテストします。接続テストが失敗した場合は、エラーメッセージが表示され、問題を解決するための理由と方法が示されます。外部 DNS の解決が正常に行われなかったという内容のメッセージが表示された場合、ノードが DNS サーバーに到達できなかったことを示しています。この状況は、多くの明示的なプロキシ構成で想定されています。セットアップを続行すると、ノードは外部 DNS 解決ブロックモードで機能します。これがエラーだと思われる場合は、これらの手順を完了し、「ブロックされた外部 DNS 解決モードをオフにする」を参照してください。
5	接続テストが成功した後、明示的なプロキシについては https のみに設定し、このノードからのすべてのポートの 443/444 https 要求を明示的プロキシを通してルーティングするように切り替えます。この設定を有効にするには 15 秒かかります。
6	[すべての証明書を信頼ストアにインストールする(HTTPS 明示プロキシまたは透過型のプロキシで表示される)] または [再起動] をクリックして、プロンプトを読み、準備が完了したら [インストール] をクリックします。ノードが数分以内に再起動されます。
7	ノードが再起動したら、必要に応じて再度サインインして、[概要] ページを開き、接続チェックを確認してすべて緑色のステータスになっていることを確認します。プロキシ接続の確認は webex.com のサブドメインのみをテストします。接続の問題がある場合、インストール手順に記載されているクラウドドメインの一部がプロキシでブロックされているという問題がよく見られます。

クラスタ内の最初のノードを登録

このタスクは、「ハイブリッドデータセキュリティ VM のセットアップ」で作成した汎用ノードを取り、ノードを Webex クラウドに登録し、ハイブリッドデータセキュリティノードに変換します。

最初のノードを登録するとき、クラスターをノードが指定されている場所に作成します。クラスターには展開された 1 つ上のノードを含み、冗長性を提供します。

開始する前に

一旦ノードの登録を開始すると、60 分以内に完了する必要があり、そうでなければ、再び最初からやり直しになります。
ブラウザのポップアップブロッカーが無効になっているか、admin.webex.com の例外を許可していることを確認してください。

1	https://admin.webex.comにサインインします。
2	スクリーンの左側にあるメニューからサービスを選択します。
3	[クラウドサービス] セクションで、ハイブリッドデータセキュリティカードを見つけ、[セットアップ] をクリックします。
4	開いたページで、[リソースの追加] をクリックします。
5	[ノードを追加] カードの最初のフィールドで、ハイブリッドデータセキュリティノードを割り当てるクラスタの名前を入力します。クラスターのノードが地理的にどこに配置されているかに基づきクラスターに名前を付けることをお薦めします。例:「サンフランシスコ」または「ニューヨーク」または「ダラス」
6	2 番目のフィールドに、ノードの内部 IP アドレスまたは完全修飾ドメイン名 (FQDN) を入力し、画面下部にある [追加] をクリックします。この IP アドレスまたは FQDN は、「ハイブリッドデータセキュリティ VM をセットアップする」で使用した IP アドレスまたはホスト名とドメインと一致する必要があります。ノードを Webex に登録できることを示すメッセージが表示されます。
7	[ノードに進む] をクリックします。しばらくすると、Webex サービスのノード接続テストにリダイレクトされます。すべてのテストが成功した場合、[ハイブリッドデータセキュリティノードへのアクセスを許可する] ページが表示されます。そこでは、ノードにアクセスする権限を Webex 組織に付与することを確認します。
8	[ハイブリッドデータセキュリティノードへのアクセスを許可する] チェックボックスをチェックし、[続行] をクリックします。アカウントが検証され、「登録完了」メッセージは、ノードが Webex クラウドに登録されていることを示します。
9	リンクをクリックするか、タブを閉じて、Partner Hub ハイブリッドデータセキュリティページに戻ります。 [ハイブリッドデータセキュリティ] ページで、登録したノードを含む新しいクラスタが [リソース] タブの下に表示されます。ノードは自動的にクラウドから最新ソフトウェアをダウンロードします。

他のノードを作成して登録

追加ノードをクラスターに追加するには、追加 VMs を作成し、同じ構成 ISO ファイルをマウントし、ノードを登録します。最低 3 個のノードを持つことを推奨します。

開始する前に

一旦ノードの登録を開始すると、60 分以内に完了する必要があり、そうでなければ、再び最初からやり直しになります。
ブラウザのポップアップブロッカーが無効になっているか、admin.webex.com の例外を許可していることを確認してください。

1	OVA から新しい仮想マシンを作成し、「HDS ホスト OVA をインストールする」の手順を繰り返します。
2	新しい VM で初期設定をセットアップし、「ハイブリッドデータセキュリティ VM のセットアップ」の手順を繰り返します。
3	新しい VM で、「HDS 構成 ISO をアップロードおよびマウントする」の手順を繰り返します。
4	展開用にプロキシを設定している場合は、新しいノードで「プロキシ統合のために HDS ノードを構成する」の手順を繰り返します。
5	ノードを登録します。 https://admin.webex.com で、[サービス] をスクリーンの左側にあるメニューから選択します。 [クラウドサービス] セクションで、ハイブリッドデータセキュリティカードを見つけ、[すべて表示] をクリックします。 [ハイブリッドデータセキュリティリソース] ページが表示されます。新しく作成されたクラスターが [リソース ] ページに表示されます。クラスタをクリックすると、クラスタに割り当てられたノードが表示されます。画面の右側にある [ノードの追加] をクリックします。ノードの内部 IP アドレスまたは完全修飾ドメイン名 (FQDN) を入力し、[追加] をクリックします。ページが開き、ノードを Webex クラウドに登録できることを示すメッセージが表示されます。しばらくすると、Webex サービスのノード接続テストにリダイレクトされます。すべてのテストが成功した場合、[ハイブリッドデータセキュリティノードへのアクセスを許可する] ページが表示されます。そこで、組織にノードにアクセスする権限を付与することを確認します。 [ハイブリッドデータセキュリティノードへのアクセスを許可する] チェックボックスをチェックし、[続行] をクリックします。アカウントが検証され、「登録完了」メッセージは、ノードが Webex クラウドに登録されていることを示します。リンクをクリックするか、タブを閉じて、Partner Hub ハイブリッドデータセキュリティページに戻ります。ノードが追加されましたポップアップメッセージは、Partner Hub の画面下部にも表示されます。ノードが登録されています。

マルチテナントのハイブリッドデータセキュリティでテナント組織を管理する

Partner Hub でマルチテナント HDS をアクティブにする

このタスクにより、顧客組織のすべてのユーザーがオンプレミスの暗号化キーやその他のセキュリティサービスに HDS を活用できるようになります。

開始する前に

必要なノード数を持つマルチテナント HDS クラスタのセットアップが完了していることを確認します。

1	https://admin.webex.comにサインインします。
2	スクリーンの左側にあるメニューからサービスを選択します。
3	[クラウドサービス] セクションで、ハイブリッドデータセキュリティを見つけ、[設定の編集] をクリックします。
4	[HDS ステータス] カードで [HDS を有効にする] をクリックします。

Partner Hub でテナント組織を追加

このタスクでは、顧客組織をハイブリッドデータセキュリティクラスタに割り当てます。

1	https://admin.webex.comにサインインします。
2	スクリーンの左側にあるメニューからサービスを選択します。
3	[クラウドサービス] セクションで、ハイブリッドデータセキュリティを見つけ、[すべて表示] をクリックします。
4	顧客を割り当てるクラスタをクリックします。
5	[割り当てられた顧客] タブに移動します。
6	[顧客の追加] をクリックします。
7	ドロップダウンメニューから追加する顧客を選択します。
8	[追加] をクリックすると、顧客がクラスタに追加されます。
9	複数の顧客をクラスタに追加するには、手順 6 ～ 8 を繰り返します。
10	顧客を追加したら、画面下部にある [完了] をクリックします。

次に行うこと

「HDS セットアップツールを使用してカスタマーメインキー (CMK) を作成する」で詳しく説明されている HDS セットアップツールを実行し、セットアッププロセスを完了します。

HDS セットアップツールを使用してカスタマーメインキー (CMK) を作成する

開始する前に

「Partner Hub でテナント組織を追加する」の詳細に従って、適切なクラスターに顧客を割り当てます。HDS セットアップツールを実行して、新しく追加された顧客組織のセットアッププロセスを完了します。

HDS セットアップツールをローカルマシンの Docker コンテナとして実行します。アクセスするには、そのマシンで Docker を実行します。セットアッププロセスには、組織のフル管理者権限を持つパートナーハブアカウントの資格情報が必要です。

HDS セットアップツールが環境内のプロキシの背後で実行されている場合、ステップ 5 で Docker コンテナを起動する際に、Docker 環境変数を通してプロキシ設定 (サーバー、ポート、資格情報) を提供します。この表ではいくつかの可能な環境変数を示します。

説明	変数
認証なしの HTTP プロキシ	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
認証なしの HTTPS プロキシ	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
認証ありの HTTP プロキシ	`GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
認証ありの HTTPS プロキシ	`GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

生成する構成 ISO ファイルには、PostgreSQL または Microsoft SQL Server データベースを暗号化するマスターキーが含まれています。次のような設定変更を行うときは、このファイルの最新コピーが必要です。
- データベースクレデンシャル
- 証明書の更新
- 認証ポリシーの変更
データベース接続を暗号化する場合は、TLS 用に PostgreSQL または SQL Server の展開を設定します。

ハイブリッドデータセキュリティセットアッププロセスは、ISO ファイルを作成します。その後、ISO を使用してハイブリッドデータセキュリティホストを構成します。

1	マシンのコマンドラインで、お使い環境に適切なコマンドを入力します。一般環境: `docker rmi ciscocitg/hds-setup:stable` FedRAMP 環境の場合: `docker rmi ciscocitg/hds-setup-fedramp:stable` このステップを実行すると、前の HDS セットアップツールの画像がクリーンアップされます。これ以前の画像がない場合は、無視できるエラーを返します。
2	Docker 画像レジストリにサインインするには、以下を入力します。 `docker login -u hdscustomersro`
3	パスワードのプロンプトに対して、このハッシュを入力します。 `dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo`
4	お使い環境に合った最新の安定した画像をダウンロードします。一般環境: `docker pull ciscocitg/hds-setup:stable` FedRAMP 環境の場合: `docker pull ciscocitg/hds-setup-fedramp:stable`
5	プルが完了したら、お使いの環境に適切なコマンドを入力します。プロキシなしの通常の環境の場合: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable` HTTP プロキシがある通常の環境の場合、 `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable` HTTPS プロキシがある通常の環境の場合: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable` プロキシなしの FedRAMP 環境の場合: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable` HTTP プロキシがある FedRAMP 環境の場合: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable` HTTPS プロキシがある FedRAMP 環境の場合: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable` コンテナが実行中の時。「ポート 8080 で Express サーバーリスニング中」と表示されます。
6	セットアップツールは、http://localhost:8080 を介した localhost への接続をサポートしていません。http://127.0.0.1:8080 を使用して、localhost に接続します。 Web ブラウザを使用して、localhost `http://127.0.0.1:8080` に移動し、プロンプトで Partner Hub の管理者ユーザー名を入力します。ツールは、このユーザー名の最初のエントリを使用して、そのアカウントに適した環境を設定します。その後、ツールには標準のサインインプロンプトが表示されます。
7	プロンプトが表示されたら、Partner Hub 管理者のサインイン資格情報を入力し、[ログイン] をクリックして、ハイブリッドデータセキュリティに必要なサービスへのアクセスを許可します。
8	セットアップツール概要ページで、[開始] をクリックします。
9	[ISO インポート] ページで、[はい] をクリックします。
10	ブラウザで ISO ファイルを選択してアップロードします。 CMK 管理を実行するには、データベースへの接続を確認します。
11	[テナント CMK 管理] タブに進み、テナント CMK を管理する次の 3 つの方法を確認します。すべての組織に対して CMK を作成または CMK を作成 - 画面上部のバナーでこのボタンをクリックすると、新しく追加されたすべての組織に対して CMK が作成されます。画面の右側にある [CMK の管理] ボタンをクリックし、[CMK の作成] をクリックして、新しく追加されたすべての組織に対して CMK を作成します。テーブル内の特定の組織の CMK 管理保留ステータスの近くにある […] をクリックし、[CMK の作成] をクリックして、その組織の CMK を作成します。
12	CMK の作成が成功すると、テーブルのステータスは CMK 管理保留中から CMK 管理に変更されます。
13	CMK の作成に失敗した場合は、エラーが表示されます。

テナント組織を削除

開始する前に

削除すると、顧客組織のユーザーは暗号化ニーズに HDS を利用できなくなり、既存のスペースはすべて失われます。顧客の組織を削除する前に、Cisco パートナーまたはアカウントマネージャーに連絡してください。

1	https://admin.webex.comにサインインします。
2	スクリーンの左側にあるメニューからサービスを選択します。
3	[クラウドサービス] セクションで、ハイブリッドデータセキュリティを見つけ、[すべて表示] をクリックします。
4	[リソース] タブで、顧客組織を削除するクラスタをクリックします。
5	開いたページで、[割り当てられた顧客] をクリックします。
6	表示される顧客組織のリストから、削除する顧客組織の右側にある ... をクリックし、[クラスターから削除] をクリックします。

次に行うこと

「HDS から削除されたテナントの CMK を取り消す」に記載されているように、顧客組織の CMK を取り消して、削除プロセスを完了します。

HDS から削除されたテナントの CMK を取り消します。

開始する前に

「テナント組織の削除」の詳細に従って、適切なクラスタから顧客を削除します。HDS セットアップツールを実行して、削除された顧客組織の削除プロセスを完了します。

HDS セットアップツールをローカルマシンの Docker コンテナとして実行します。アクセスするには、そのマシンで Docker を実行します。セットアッププロセスには、組織のフル管理者権限を持つパートナーハブアカウントの資格情報が必要です。

HDS セットアップツールが環境内のプロキシの背後で実行されている場合、ステップ 5 で Docker コンテナを起動する際に、Docker 環境変数を通してプロキシ設定 (サーバー、ポート、資格情報) を提供します。この表ではいくつかの可能な環境変数を示します。

説明	変数
認証なしの HTTP プロキシ	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
認証なしの HTTPS プロキシ	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
認証ありの HTTP プロキシ	`GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
認証ありの HTTPS プロキシ	`GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

生成する構成 ISO ファイルには、PostgreSQL または Microsoft SQL Server データベースを暗号化するマスターキーが含まれています。次のような設定変更を行うときは、このファイルの最新コピーが必要です。
- データベースクレデンシャル
- 証明書の更新
- 認証ポリシーの変更
データベース接続を暗号化する場合は、TLS 用に PostgreSQL または SQL Server の展開を設定します。

ハイブリッドデータセキュリティセットアッププロセスは、ISO ファイルを作成します。その後、ISO を使用してハイブリッドデータセキュリティホストを構成します。

1	マシンのコマンドラインで、お使い環境に適切なコマンドを入力します。一般環境: `docker rmi ciscocitg/hds-setup:stable` FedRAMP 環境の場合: `docker rmi ciscocitg/hds-setup-fedramp:stable` このステップを実行すると、前の HDS セットアップツールの画像がクリーンアップされます。これ以前の画像がない場合は、無視できるエラーを返します。
2	Docker 画像レジストリにサインインするには、以下を入力します。 `docker login -u hdscustomersro`
3	パスワードのプロンプトに対して、このハッシュを入力します。 `dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo`
4	お使い環境に合った最新の安定した画像をダウンロードします。一般環境: `docker pull ciscocitg/hds-setup:stable` FedRAMP 環境の場合: `docker pull ciscocitg/hds-setup-fedramp:stable`
5	プルが完了したら、お使いの環境に適切なコマンドを入力します。プロキシなしの通常の環境の場合: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable` HTTP プロキシがある通常の環境の場合、 `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable` HTTPS プロキシがある通常の環境の場合: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable` プロキシなしの FedRAMP 環境の場合: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable` HTTP プロキシがある FedRAMP 環境の場合: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable` HTTPS プロキシがある FedRAMP 環境の場合: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable` コンテナが実行中の時。「ポート 8080 で Express サーバーリスニング中」と表示されます。
6	セットアップツールは、http://localhost:8080 を介した localhost への接続をサポートしていません。http://127.0.0.1:8080 を使用して、localhost に接続します。 Web ブラウザを使用して、localhost `http://127.0.0.1:8080` に移動し、プロンプトで Partner Hub の管理者ユーザー名を入力します。ツールは、このユーザー名の最初のエントリを使用して、そのアカウントに適した環境を設定します。その後、ツールには標準のサインインプロンプトが表示されます。
7	プロンプトが表示されたら、Partner Hub 管理者のサインイン資格情報を入力し、[ログイン] をクリックして、ハイブリッドデータセキュリティに必要なサービスへのアクセスを許可します。
8	セットアップツール概要ページで、[開始] をクリックします。
9	[ISO インポート] ページで、[はい] をクリックします。
10	ブラウザで ISO ファイルを選択してアップロードします。
11	[テナント CMK 管理] タブに進み、テナント CMK を管理する次の 3 つの方法を確認します。すべての組織に対して CMK を取り消すまたは CMK を取り消す - 画面上部のバナーでこのボタンをクリックすると、削除されたすべての組織の CMK が取り消されます。画面の右側にある [CMK の管理] ボタンをクリックし、[CMK の取り消し] をクリックして、削除されたすべての組織の CMK を取り消します。テーブル内の特定の組織の [CMK を取り消す] ステータス近くの [CMK を取り消す] をクリックし、[CMK を取り消す] をクリックして、その特定の組織の CMK を取り消します。
12	CMK の取り消しが成功すると、顧客組織はテーブルに表示されなくなります。
13	CMK 失効が失敗した場合、エラーが表示されます。

ハイブリッドデータセキュリティの展開をテスト

ハイブリッドデータセキュリティ展開

この手順を使用して、マルチテナントのハイブリッドデータセキュリティ暗号化のシナリオをテストします。

開始する前に

マルチテナントのハイブリッドデータセキュリティの展開をセットアップします。
syslog にアクセスして、重要な要求がマルチテナントハイブリッドデータセキュリティ展開に渡されていることを確認します。

1

与えられたスペースのキーは、スペースの作成者により設定されます。顧客組織のユーザーの 1 人として Webex アプリにサインインし、スペースを作成します。

ハイブリッドデータセキュリティ展開を非アクティブにすると、クライアントのキャッシュされた暗号化キーのコピーが置き換えられると、ユーザーが作成したスペースのコンテンツにアクセスできなくなります。

2

メッセージを新しいスペースに送信します。

3

syslog 出力をチェックして、重要な要求がハイブリッドデータセキュリティ展開に渡されていることを確認します。

ユーザーが最初に KMS にセキュアなチャネルを確立していることを確認するには、kms.data.method=create およびkms.data.type=EPHEMERAL_KEY_COLLECTIONでフィルタリングします。

次のようなエントリ (読みやすくするために識別子が省略されます) を見つける必要があります。:

2020-07-21 17:35:34.562 (+0000) INFO  KMS [pool-14-thread-1] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, 
kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

KMS から既存のキーをリクエストしているユーザーを確認するには、kms.data.method=retrieve および kms.data.type=KEY でフィルタリングします。

以下のエントリーを見つける必要があります。

2020-07-21 17:44:19.889 (+0000) INFO  KMS [pool-14-thread-31] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, 
kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, 
kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

新しい KMS キーの作成を要求するユーザーを確認するには、kms.data.method=create および kms.data.type=KEY_COLLECTION でフィルタリングします。

以下のエントリーを見つける必要があります。

2020-07-21 17:44:21.975 (+0000) INFO  KMS [pool-14-thread-33] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, 
kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, 
kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

スペースまたはその他の保護されたリソースが作成されたときに、新しい KMS リソースオブジェクト (KRO) の作成を要求するユーザーを確認するには、kms.data.method=create および kms.data.type=RESOURCE_COLLECTION でフィルタリングします。

以下のエントリーを見つける必要があります。

2020-07-21 17:44:22.808 (+0000) INFO  KMS [pool-15-thread-1] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

ハイブリッドデータセキュリティの正常性のモニター

Partner Hub 内のステータスインジケータは、マルチテナントハイブリッドデータセキュリティの展開にすべて適合しているかどうかを示します。事前のアラートについては、メール通知にサインアップします。サービスに影響するアラームやソフトウェアアップグレードがある場合は通知されます。

1	[パートナーハブ] で、画面の左側にあるメニューから [サービス] を選択します。
2	[クラウドサービス] セクションで、ハイブリッドデータセキュリティを見つけ、 [設定の編集] をクリックします。ハイブリッドデータセキュリティ設定のページが表示されます。
3	[メール通知] セクションで、カンマ区切りで 1 つ以上のメールアドレスを入力し、[Enter] を推します。

HDS 展開を管理します

HDS 展開の管理

ここで説明されているタスクを使用して、ハイブリッドデータセキュリティの展開を管理します。

クラスターのアップグレードスケジュール

ハイブリッドデータセキュリティのソフトウェアアップグレードはクラスタレベルで自動的に実行されるため、すべてのノードが常に同じソフトウェアバージョンを実行していることを保証します。アップグレードは、クラスターのアップグレードのスケジュールに従って行われます。ソフトウェアのアップグレードが可能になると、スケジュールされているアップグレードの時間の前に手動でクラスターのアップグレードを行うことも可能になります。特定のアップグレードのスケジュールを設定するか、毎日午前 3 時 (アメリカ合衆国) に行うというデフォルトのスケジュールも利用可能です。アメリカ/ロサンゼルス必要であれば、次に予定されているアップグレードを延期することも可能です。

アップグレードのスケジュールを設定するには、次の操作を行います。

1	Partner Hub にサインインします。
2	スクリーンの左側にあるメニューからサービスを選択します。
3	[クラウドサービス] セクションで、ハイブリッドデータセキュリティを見つけ、[セットアップ] をクリックします。
4	[ハイブリッドデータセキュリティリソース] ページで、クラスタを選択します。
5	[クラスター設定] タブをクリックします。
6	[クラスタ設定（Cluster Settings）] ページの [アップグレードスケジュール（Upgrade Schedule）] で、アップグレードスケジュールの時間とタイムゾーンを選択します。注意: タイムゾーンの下に、次に可能なアップグレードの日時が表示されます。必要に応じて、[24 時間延期する] をクリックして、アップグレードを翌日に延期することができます。

ノードの構成を変更する

場合により、以下のような理由でハイブリッドデータセキュリティノードの構成の変更が必要な場合があります。

有効期限が切れる、または他の理由による、x.509 証明書の変更。

証明書の CN ドメイン名の変更はサポートされていません。ドメインは、クラスターを登録するために使用される元のドメインと一致する必要があります。
データベース設定を更新して、PostgreSQL または Microsoft SQL Server データベースのレプリカを変更します。

PostgreSQL から Microsoft SQL Server への、またはその逆へのデータ移行はサポートしていません。データベース環境を切り替えるには、ハイブリッドデータセキュリティの新しい展開を開始します。
新しい構成を作成して新しいデータセンターの準備をする。

また、セキュリティ上の理由により、ハイブリッドデータセキュリティは 9 か月間使用可能なサービスアカウントパスワードを使用します。HDS セットアップツールがこれらのパスワードを生成した後で、ISO 構成ファイルの各 HDS ノードに展開します。組織のパスワードの有効期限切れが近い場合、Webex チームから「パスワード期限切れ通知」を受け取り、マシンアカウントのパスワードのリセットを求められます。(メールにはテキスト「マシンアカウント API を使用してパスワードを更新します」を含みます。) パスワードの有効期限が切れるまで時間が十分にある場合、ツールには次の 2 つのオプションがあります:

ソフトリセット: 古いパスワードと新しいパスワードの両方が最大 10 日間有効です。この期間を使用して、ノードの ISO ファイルを段階的に置き換えることができます。
ハードリセット: 古いパスワードがすぐに機能しなくなります。

パスワードをリセットせずに期限切れになる場合、HDS サービスに影響を与える可能性があります。すぐにハードリセットし、すべてのノードの ISO ファイルを置換する必要があります。

この手順を使用して、新しい構成 ISO ファイルを生成し、クラスターに適用します。

始める前に

HDS セットアップツールをローカルマシンの Docker コンテナとして実行します。アクセスするには、そのマシンで Docker を実行します。セットアッププロセスには、パートナーのフル管理者権限を持つ Partner Hub アカウントの資格情報が必要です。

Docker Desktop ライセンスをお持ちでない場合は、Podman Desktop を使用して、以下の手順の手順 1.a ～ 1 の HDS セットアップツールを実行できます。詳細については、「Podman Desktop を使用して HDS セットアップツールを実行する」を参照してください。

HDS セットアップツールが環境内のプロキシの背後で実行されている場合、1.e で Docker コンテナを起動する際に、Docker 環境変数を通してプロキシ設定 (サーバー、ポート、資格情報) を提供します。この表ではいくつかの可能な環境変数を示します。

説明	変数
認証なしの HTTP プロキシ	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
認証なしの HTTPS プロキシ	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
認証ありの HTTP プロキシ	`GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
認証ありの HTTPS プロキシ	`GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

新しい構成を生成するには、現在の構成 ISO ファイルのコピーが必要です。ISO には PostgreSQL または Microsoft SQL Server データベースを暗号化するマスターキーを含むです。データベースの証明書、証明書の更新、認証方針への変更を含む、構成の変更を行った場合は ISO が必要です。

1	ローカルマシンで Docker を使用し、HDS セットアップツールを実行します。マシンのコマンドラインで、お使い環境に適切なコマンドを入力します。一般環境: `docker rmi ciscocitg/hds-setup:stable` FedRAMP 環境の場合: `docker rmi ciscocitg/hds-setup-fedramp:stable` このステップを実行すると、前の HDS セットアップツールの画像がクリーンアップされます。これ以前の画像がない場合は、無視できるエラーを返します。 Docker 画像レジストリにサインインするには、以下を入力します。 `docker login -u hdscustomersro` パスワードのプロンプトに対して、このハッシュを入力します。 `dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo` お使い環境に合った最新の安定した画像をダウンロードします。一般環境: `docker pull ciscocitg/hds-setup:stable` FedRAMP 環境の場合: `docker pull ciscocitg/hds-setup-fedramp:stable` この手順に最新のセットアップツールをプルしていることを確認します。2018 年 2 月 22 日より前に作成されたツールのバージョンには、パスワードリセット画面が表示されません。プルが完了したら、お使いの環境に適切なコマンドを入力します。プロキシなしの通常の環境の場合: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable` HTTP プロキシがある通常の環境の場合、 `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable` HTTPS プロキシがある通常の環境の場合: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable` プロキシなしの FedRAMP 環境の場合: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable` HTTP プロキシがある FedRAMP 環境の場合: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable` HTTPS プロキシがある FedRAMP 環境の場合: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable` コンテナが実行中の時。「ポート 8080 で Express サーバーリスニング中」と表示されます。ブラウザを使用して、ローカルホスト `http://127.0.0.1:8080` に接続します。セットアップツールは、http://localhost:8080 を介した localhost への接続をサポートしていません。http://127.0.0.1:8080 を使用して、localhost に接続します。プロンプトが表示されたら、Partner Hub の顧客サインイン情報を入力し、[承認] をクリックして続行します。現在の構成 ISO ファイルをインポートします。指示に従い、ツールを完了し、更新されたファイルをダウンロードします。セットアップツールをシャットダウンするには、`CTRL+C` と入力します。更新されたファイルのバックアップコピーを別のデータセンターに作成します。
2	実行中の HDS ノードが 1 つしかない場合、新しいハイブリッドデータセキュリティノード VM を作成し、新しい構成 ISO ファイルを使用して登録します。詳細については、「さらにノードを作成して登録する」を参照してください。 HDS 主催者 OVA をインストールします。 HDS VM をセットアップします。更新された構成ファイルをマウントします。 Partner Hub で新しいノードを登録します。
3	古い構成ファイルを実行している既存の HDS ノードの場合、ISO ファイルをマウントします。各ノードで以下の手順を実行し、次のノードをオフにする前に、各ノードを更新します。仮想マシンをオフにします。 VMware vSphere クライアントの左ナビゲーションペインで、ESXi サーバーを右クリックし、[設定の編集] をクリックします。 `CD/DVD Drive 1` をクリックして、ISO ファイルからマウントするオプションを選択し、新しい構成 ISO ファイルをダウンロードした場所を参照します。 [電源に接続する] をチェックします。変更を保存し、仮想マシンを起動します。
4	ステップ 3 を繰り返し、古い構成ファイルを実行している残りの各ノードで構成を置き換えます。

外部 DNS 解決ブロックモードをオフにする

ノードを登録するか、またはノードのプロキシ構成を確認するとき、プロセスは DNS 検索と Cisco Webex クラウドへの接続をテストします。ノードの DNS サーバーがパブリック DNS 名を解決できない場合、ノードは自動的に外部 DNS 解決ブロックモードに進みます。

ノードが内部 DNS サーバーを通してパブリック DNS 名を解決できる場合、各ノードでプロキシ接続テストを再実行することで、このモードをオフにすることができます。

開始する前に

内部 DNS サーバーがパブリック DNS 名を解決でき、ノードがそれらと通信できることを確認します。

1	Web ブラウザで、ハイブリッドデータセキュリティノードインターフェイス (IP アドレス/セットアップ、例: https://192.0.2.0/setup), ノードに設定した管理者資格情報を入力し、サインイン。
2	[概要] (デフォルトページ) に移動します。有効になっている場合、 [外部 DNS 解決ブロック] は [はい] に設定されています。
3	[信頼ストアとプロキシ] ページに移動します。
4	[プロキシ接続を確認する] をクリックします。外部 DNS の解決が正常に行われなかったという内容のメッセージが表示された場合、ノードが DNS サーバーに到達できなかったことを示しており、このモードに留まっています。そうでない場合には、ノードを再起動して[概要] ページに戻ると、[外部 DNS 解決ブロック] は [いいえ] に設定されるはずです。

次に行うこと

ハイブリッドデータセキュリティクラスターの各ノードで、プロキシ接続テストを繰り返します。

ノードの削除

この手順を使用して、Webex クラウドからハイブリッドデータセキュリティノードを削除します。クラスタからノードを削除した後、仮想マシンを削除して、セキュリティデータへのさらなるアクセスを防止します。

1

コンピュータの VMware vSphere クライアントを使用して、ESXi 仮想主催者にログインし、仮想マシンをオフにします。

2

ノードの削除:

Partner Hub にサインインし、[サービス] を選択します。
ハイブリッドデータセキュリティカードで、[すべて表示] をクリックして、ハイブリッドデータセキュリティリソースページを表示します。
クラスタを選択して [概要] パネルを表示します。
削除するノードをクリックします。
右に表示されるパネルで、[このノードの登録解除] をクリックします。
ノードの右側にある […] をクリックして、[このノードを削除] を選択することで、ノードの登録を解除することもできます。

3

vSphere クライアントで、VM を削除します。(左側のナビゲーションペインで、VM を右クリックし、[削除] をクリックします。)

VM を削除しない場合は、構成 ISO ファイルをアンマウントすることを忘れないでください。ISO ファイルがないと、VM を使用してセキュリティデータにアクセスすることはできません。

スタンバイデータセンターを使用した災害復旧

ハイブリッドデータセキュリティクラスターが提供する最も重要なサービスは、Webex クラウドに保存されたメッセージやその他のコンテンツを暗号化するために使用されるキーの作成と保存です。ハイブリッドデータセキュリティに割り当てられている組織内の各ユーザーについて、新しいキー作成リクエストはクラスタにルーティングされます。カンバセーションスペースのメンバーなど、受け取りの認可を得ているユーザーに、作成されるキーを戻す責任がクラスターにはあります。

クラスタープラットフォームはこれらのキーを提供するにあたり重要な機能となるため、クラスターが実行中のままで、適切なバックアップが維持されている必要があります。ハイブリッドデータセキュリティデータベースまたはスキーマに使用される構成 ISO の損失により、顧客コンテンツは回復不能になります。損失などを防ぐためには、以下のプラクティスが必須です:

災害により、プライマリデータセンターの HDS 展開が利用できなくなる場合は、次の手順に従って、スタンバイデータセンターに手動でフェールオーバーします。

開始する前に

「ノードを削除」に記載されているように、Partner Hub からすべてのノードを登録解除します。以前にアクティブであったクラスタのノードに対して設定された最新の ISO ファイルを使用して、以下に示すフェールオーバー手順を実行します。

1	HDS セットアップツールを開始し、「HDS ホストの構成 ISO を作成する」に記載されている手順に従います。
2	設定プロセスを完了し、見つけやすい場所に ISO ファイルを保存します。
3	ローカルシステムの ISO ファイルのバックアップコピーを作成します。バックアップコピーを安全に保ちます。このファイルには、データベースコンテンツのマスター暗号化キーを含みます。設定変更を行う必要があるハイブリッドデータセキュリティ管理者のみにアクセスを制限します。
4	VMware vSphere クライアントの左ナビゲーションペインで、ESXi サーバーを右クリックし、[設定の編集] をクリックします。
5	[設定の編集] > [CD/DVD ドライブ 1] をクリックし、データストア ISO ファイルを選択します。ノードの開始後に更新された構成変更が有効になるように、[接続済み] と [電源で接続] がオンになっていることを確認します。
6	HDS ノードの電源をオンにし、少なくとも 15 分間アラームがないことを確認します。
7	Partner Hub でノードを登録します。「クラスタの最初のノードを登録する」を参照してください。
8	スタンバイデータセンター内のすべてのノードに対してこのプロセスを繰り返します。

次に行うこと

フェールオーバー後、プライマリデータセンターが再びアクティブになった場合は、スタンバイデータセンターのノードを登録解除し、前述のように ISO の設定とプライマリデータセンターのノードを登録するプロセスを繰り返します。

(オプション) HDS 設定後に ISO を取り外す

標準 HDS 設定は、ISO がマウントされた状態で実行されます。ただし、ISO ファイルを継続的にマウントすることを希望する顧客もあります。すべての HDS ノードが新しい設定を取得すると、ISO ファイルをマウント解除できます。

設定変更を行うには、引き続き ISO ファイルを使用します。新しい ISO を作成するか、セットアップツールから ISO を更新する場合は、更新された ISO をすべての HDS ノードにマウントする必要があります。すべてのノードが設定変更をピックアップしたら、この手順で ISO をアンマウントできます。

開始する前に

すべての HDS ノードをバージョン 2021.01.22.4720 以降にアップグレードします。

1	HDS ノードの 1 つをシャットダウンします。
2	vCenter Server アプライアンスで、HDS ノードを選択します。
3	[設定の編集] > [CD/DVD ドライブ] の順に選択し、[データストア ISO ファイル] のチェックを外します。
4	HDS ノードの電源をオンにし、少なくとも 20 分間アラームがないことを確認します。
5	各 HDS ノードに対して順番に繰り返します。

ハイブリッドデータセキュリティのトラブルシューティング

アラートを表示してトラブルシューティングする

ハイブリッドデータセキュリティの展開は、クラスタ内のすべてのノードに到達できない場合、またはクラスタが動作が遅いため、要求がタイムアウトになった場合、利用できないと見なされます。ユーザーがハイブリッドデータセキュリティクラスタに到達できない場合、次の症状を経験します。

新しいスペースが作成できない (新しいキーを作成できない)
メッセージとスペースのタイトルを暗号解除できない:
- 新しいユーザーをスペースに追加する (キーを取得できない)
- 新しいクライアントを使用したスペースの既存ユーザー (キーを取得できない)
クライアントが暗号キーのキャッシュを持っている限り、スペースの既存ユーザーは引き続き正常に実行します

サービスの中断を避けるために、ハイブリッドデータセキュリティクラスタを適切に監視し、アラートを速やかに解決することが重要です。

警告

ハイブリッドデータセキュリティのセットアップに問題がある場合、Partner Hub は組織管理者にアラートを表示し、構成されたメールアドレスにメールを送信します。アラートでは多くに共通するシナリオを説明しています。

表 1YAZ設定オプション共通の問題と解決ステップ
警告	アクション
ローカルデータべースへのアクセスに失敗しました。	データベースのエラーかローカルネットワークの問題をチェックしてください。
ローカルデータベースの接続に失敗しました。	データベースサーバーが利用可能であり、正しいサービスアカウント証明書がノード構成に使用されていたことをチェックします。
クラウドサービスへのアクセスに失敗しました。	外部接続要件で指定されている通り、ノードが Webex サーバーにアクセスできることを確認します。
クラウドサービスの登録を更新します。	クラウドサービスへの登録に失敗しました。登録の更新は現在進行中です。
クラウドサービスの登録に失敗しました。	クラウドサービスへの登録が終了しましたサービスがシャットダウンしました。
サービスがアクティベートされていません。	Partner Hub で HDS を有効にします。
構成されたドメインはサーバー証明書に一致しません。	サーバー証明書が構成されたサービスアクティベーションドメインに一致することを確認します。もっとも多い原因は、証明書 CN が最近変更され、最初のセットアップ中に使用された CN とは異なっているためです。
クラウドサービスへの認証に失敗しました。	正確性とサービスアカウント証明書の期限切れの可能性をチェックします。
ローカルキーストアファイルを開くことに失敗しました。	ローカルキーストアファイルの整合性とパスワードの正確性をチェックします。
ローカルサーバー証明書が無効です。	サーバー証明書の期限切れ日をチェックし、信頼できる証明書権限から発行されたものであることを確認します。
メトリクスを投稿できません。	外部クラウドサービスへのローカルネットワークアクセスをチェックします。
/media/configdrive/hds ディレクトリは存在しません。	仮想ホストで ISO マウント構成をチェックします。ISO ファイルが存在し、再起動時にマウントされるように構成されており、正常にマウントされていることを確認します。
追加された組織では、テナント組織のセットアップが完了していません	HDS セットアップツールを使用して、新しく追加されたテナント組織の CMK を作成してセットアップを完了します。
削除された組織のテナント組織のセットアップが完了していません	HDS セットアップツールを使用して削除されたテナント組織の CMK を取り消すことでセットアップを完了します。

ハイブリッドデータセキュリティのトラブルシューティング

ハイブリッドデータセキュリティの問題をトラブルシューティングする際には、次の一般的なガイドラインを使用してください。

1	アラートについては Partner Hub を確認し、そこで見つかった項目を修正します。参照については、以下の画像を参照してください。
2	ハイブリッドデータセキュリティ展開からのアクティビティの syslog サーバー出力を確認します。「警告」や「エラー」などの単語をフィルタリングして、トラブルシューティングに役立ちます。
3	Cisco サポートに連絡します。

その他のメモ

ハイブリッドデータセキュリティに関する既知の問題

ハイブリッドデータセキュリティクラスタをシャットダウンする場合 (Partner Hub で削除するか、すべてのノードをシャットダウンする)、構成 ISO ファイルを失うか、キーストアデータベースへのアクセスを失った場合、顧客組織の Webex アプリユーザーは、KMS のキーで作成されたユーザーリストの下のスペースを使用できなくなります。一度アクティブユーザーを扱った場合、現在この問題の会費苞や修正方法はなく、HDS サービスを終了しないようにしてください。
KMS への既存の ECDH 接続を持つクライアントは、一定の期間接続を維持します (およそ 1 時間)。

Podman Desktop を使用して HDS セットアップツールを実行します

ポッドマンは、コンテナの運行、管理、作成の方法を提供するオープンソースの無料コンテナ管理ツールです。Podman デスクトップは https://podman-desktop.io/downloads からダウンロードできます。

HDS セットアップツールをローカルマシンの Docker コンテナとして実行します。アクセスするには、そのマシンで Podman をダウンロードして実行します。セットアッププロセスでは、組織に対するフル管理者権限を持つ Control Hub アカウントの資格情報が必要です。

HDS セットアップツールが環境内のプロキシの背後で実行されている場合、ステップ 5 で Docker コンテナを起動する際に、Docker 環境変数を通してプロキシ設定 (サーバー、ポート、資格情報) を提供します。この表ではいくつかの可能な環境変数を示します。

説明	変数
認証なしの HTTP プロキシ	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
認証なしの HTTPS プロキシ	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
認証ありの HTTP プロキシ	`GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
認証ありの HTTPS プロキシ	`GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

生成する構成 ISO ファイルには、PostgreSQL または Microsoft SQL Server データベースを暗号化するマスターキーが含まれています。次のような設定変更を行うときは、このファイルの最新コピーが必要です。
- データベースクレデンシャル
- 証明書の更新
- 認証ポリシーの変更
データベース接続を暗号化する場合は、TLS 用に PostgreSQL または SQL Server の展開を設定します。

ハイブリッドデータセキュリティセットアッププロセスは、ISO ファイルを作成します。その後、ISO を使用してハイブリッドデータセキュリティホストを構成します。

podman rmi ciscocitg/hds-setup:stable  
podman login docker.io -u hdscustomersro
dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
podman pull ciscocitg/hds-setup:stable
podman run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

次に行うこと

「HDS ホストの構成 ISO を作成する」または「ノード構成を変更」の残りの手順に従って、ISO 構成を作成または変更します。

OpenSSL を使用して PKCS12 ファイルを生成する

開始する前に

OpenSSL は、HDS セットアップツールでローディングするために、適切なフォーマットで PKCS12 ファイルを作成するために使用可能なツールです。これを実行する他の方法もあり、別の方法がある中で1つの方法をサポートまたは促進しません。
OpenSSL を使用することを選択した場合、X.509 証明書要件の X.509 証明書要件を満たすファイルを作成するためのガイドラインとしてこの手順を提供します。続行する前にそれらの要件を理解します。
サポートされている環境で OpenSSL をインストールします。ソフトウェアと文書については https://www.openssl.org をご覧ください。
秘密鍵を作成します。
証明書権限 (CA) からサーバー証明書を受け取るとき、この手順を開始します。

1	CA からサーバー証明書を受信したら、`hdsnode.pem` として保存します。
2	テキストとして証明書を表示し、詳細を検証します: `openssl x509 -text -noout -in hdsnode.pem`
3	テキストエディタを使用して、`hdsnode-bundle.pem` と呼ばれる証明書バンドルファイルを作成します。バンドルファイルには、下のフォーマットでサーバー証明書、中間 CA 証明書、ルート証明書を含みます。 `-----BEGIN CERTIFICATE----- ### Server certificate. ### -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ### Intermediate CA certificate. ### -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ### Root CA certificate. ### -----END CERTIFICATE-----`
4	親しみやすい名前 `kms-private-key` で .p12 ファイルを作成します。 `openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12`
5	サーバー証明書の詳細をチェックします。 `openssl pkcs12 -in hdsnode.p12` アウトプットに一覧化されるように、指示に従いパスワードを入力し、秘密鍵を暗号化します。次に、プライベートキーと最初の証明書に回線 `friendlyName: kms-private-key` が含まれていることを確認します。例: bash$ openssl pkcs12 -in hdsnode.p12 Enter Import Password: MAC verified OK Bag Attributes friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Key Attributes: Enter PEM pass phrase: Verifying - Enter PEM pass phrase: -----BEGIN ENCRYPTED PRIVATE KEY----- -----END ENCRYPTED PRIVATE KEY----- Bag Attributes friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 -----BEGIN CERTIFICATE----- -----END CERTIFICATE----- Bag Attributes friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3 -----BEGIN CERTIFICATE----- -----END CERTIFICATE-----

次に行うこと

[ハイブリッドデータセキュリティの前提条件を完了] に戻ります。hdsnode.p12 [HDS ホストの構成 ISO を作成する] で、設定したファイル、およびパスワードを使用します。

元の証明書の有効期限が切れると、これらのファイルを再使用して新しい証明書を要求できます。

HDS ノードおよびクラウド間のトラフィック

アウトバウンドメトリクスコレクショントラフィック

ハイブリッドデータセキュリティノードは、特定のメトリクスをWebex クラウドに送信します。これらには以下が含まれます。heap max、使用される heap、CPU ロード、しきい値カウント。同期および非同期しきい値のメトリクス。暗号化接続、遅延、リクエストキューの長さのしきい値を含むアラートのメトリクス。データストアのメトリクス。暗号化接続メトリクス。Out-of-Band (リクエストとは別) チャンネルの暗号化されたキーマテリアルを送信します。

インバウンドトラフィック

ハイブリッドデータセキュリティノードは、Webex クラウドから次のタイプの着信トラフィックを受信します。

暗号サービスからルートされたクライアントからの暗号化リクエスト
ノードソフトウェアへのアップグレード

ハイブリッドデータセキュリティの Squid プロキシを設定する

Websocket は Squid プロキシを通じて接続できません

HTTPS トラフィックを検査する Squid プロキシは、ハイブリッドデータセキュリティが必要とする websocket (wss:) 接続の確立に干渉する可能性があります。これらのセクションでは、サービスの適切な運用のためにwss: トラフィックを無視するために、さまざまなバージョンの Squid を構成する方法について説明します。

Squid 4 および5

on_unsupported_protocol ディレクティブを squid.conf に追加します。

on_unsupported_protocol tunnel all

Squid 3.5.27

次のルールを squid.conf に追加して、ハイブリッドデータセキュリティを正常にテストしました。これらのルールは、機能を開発し、Webex クラウドを更新する際に変更されることがあります。

acl wssMercuryConnection ssl::server_name_regex mercury-connection

ssl_bump splice wssMercuryConnection

acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all

新規および変更された情報

この表には 、マルチテナントハイブリッドデータセキュリティの展開ガイドで修正された新しい機能、既存のコンテンツへの変更、および主要なエラーが記載されています。

日付	変更内容
2025年5月8日	Control Hub のパートナー組織の既存のシングルテナント HDS 展開を、パートナーハブのマルチテナント HDS セットアップに移動するセクションを追加しました。ハイブリッドデータセキュリティ展開のテストセクションで、syslog 出力を更新して読みやすさを向上しました。仮想ホストの要件、ハイブリッドデータセキュリティの導入タスクフロー、および HDS ホスト OVA のインストールを更新し、ESXi 8.0 のサポートを追加しました。
2025年3月4日	Podman Desktop を使用して HDS セットアップツールを実行するセクションを追加しました。 Docker Desktop の要件に注記を追加し、顧客に代替のオープンソースオプションを提供しました。 Docker Desktop ライセンスを持たない顧客向けに Podman Desktop を使用するための手順を追加して、 HDS ホストの構成 ISO を作成するおよびノード構成を変更するを更新しました。
2025年1月30日	データベースサーバーの要件でサポートされている SQL サーバーの一覧に SQL サーバーバージョン 2022 を追加しました。
2025年1月15日	マルチテナントハイブリッドデータセキュリティの制限事項を追加しました。
2025年1月8日	初期セットアップを実行してインストールファイルをダウンロードするに、パートナーハブの HDS カードでセットアップをクリックすることがインストールプロセスの重要な手順であることを示す注記を追加しました。
2025年1月7日	ESXi 7.0 の新しい要件を示すために、仮想ホストの要件、ハイブリッドデータセキュリティの導入タスクフロー、および HDS ホスト OVA のインストールを更新しました。
2024年12月13日	初公開。

マルチテナントハイブリッドデータセキュリティを無効にする

マルチテナント HDS 非アクティブ化タスクフロー

マルチテナント HDS を完全に非アクティブ化するには、次の手順に従います。

開始する前に

このタスクは、パートナーの完全な管理者のみが実行する必要があります。

1	テナント組織の削除で説明されているように、すべてのクラスターからすべての顧客を削除します。
2	HDS から削除されたテナントの CMK を取り消します。に記載されているように、すべての顧客の CMK を取り消します。
3	ノードの削除で説明したように、すべてのクラスターからすべてのノードを削除します。
4	次の 2 つの方法のいずれかを使用して、パートナーハブからすべてのクラスターを削除します。削除したいクラスターをクリックし、概要ページの右上にあるこのクラスターを削除を選択します。 [リソース] ページで、クラスターの右側にある … をクリックし、クラスターの削除を選択します。
5	ハイブリッドデータセキュリティの概要ページで設定タブをクリックし、HDS ステータスカードで HDS を非アクティブ化をクリックします。

マルチテナントハイブリッドデータセキュリティを始める

マルチテナントハイブリッドデータセキュリティの概要

最初から、データセキュリティは Webex アプリの設計における主な焦点でした。このセキュリティの基礎となるのは、Webex アプリクライアントがキー管理サービス (KMS) と対話することで実現されるエンドツーエンドのコンテンツ暗号化です。KMS はメッセージとファイルを動的に暗号化し、解読するためにクライアントが使用する暗号キーの作成と管理の責任を負っています。

デフォルトでは、すべての Webex アプリの顧客は、Cisco のセキュリティ領域にあるクラウド KMS に保存された動的キーによるエンドツーエンドの暗号化を利用できます。ハイブリッドデータセキュリティは、KMS とその他のセキュリティ関連の機能をあなたのエンタープライズデータセンターに移動するため、誰でもなくあなたが暗号化コンテンツの鍵を持っています。

マルチテナントハイブリッドデータセキュリティ により、組織は信頼できるローカルパートナーを通じて HDS を活用できるようになります。ローカルパートナーはサービスプロバイダーとして機能し、オンプレミスの暗号化やその他のセキュリティサービスを管理できます。この設定により、パートナー組織は暗号化キーの展開と管理を完全に制御できるようになり、顧客組織のユーザーデータが外部からのアクセスから安全であることを保証できます。パートナー組織は、必要に応じて HDS インスタンスをセットアップし、HDS クラスターを作成します。通常の HDS 展開が単一の組織に限定されるのとは異なり、各インスタンスは複数の顧客組織をサポートできます。

パートナー組織は展開と管理を制御できますが、顧客が生成したデータやコンテンツにはアクセスできません。このアクセスは顧客組織とそのユーザーに限定されます。

また、キー管理サービスやデータセンターなどのセキュリティインフラストラクチャは信頼できるローカルパートナーが所有しているため、小規模な組織でも HDS を活用できるようになります。

マルチテナントハイブリッドデータセキュリティがデータ主権とデータ制御を提供する仕組み

ユーザーが生成したコンテンツは、クラウドサービスプロバイダーなどの外部アクセスから保護されます。
現地の信頼できるパートナーが、すでに関係を確立している顧客の暗号化キーを管理します。
パートナーが提供する場合のローカルテクニカルサポートのオプション。
会議、メッセージング、通話コンテンツをサポートします。

このドキュメントは、パートナー組織がマルチテナントハイブリッドデータセキュリティシステムで顧客を設定および管理できるように支援することを目的としています。

マルチテナントハイブリッドデータセキュリティの限界

パートナー組織は、Control Hub でアクティブな既存の HDS 展開を保持してはなりません。
パートナーによる管理を希望するテナントまたは顧客組織には、Control Hub に既存の HDS 展開が存在してはなりません。
パートナーが Multi-Tenant HDS を導入すると、顧客組織のすべてのユーザーとパートナー組織のユーザーが暗号化サービスに Multi-Tenant HDS を活用し始めます。

パートナー組織とそれらが管理する顧客組織は、同じマルチテナント HDS 展開上に存在します。

マルチテナント HDS が展開されると、パートナー組織はクラウド KMS を使用しなくなります。
HDS のデプロイメント後にキーを Cloud KMS に戻すメカニズムはありません。
現在、各マルチテナント HDS デプロイメントには、その下に複数のノードを持つ 1 つのクラスターのみを含めることができます。
管理者ロールには一定の制限があります。詳細については、以下のセクションを参照してください。

マルチテナントハイブリッドデータセキュリティにおける役割

パートナー完全管理者 - パートナーが管理するすべての顧客の設定を管理できます。また、組織内の既存のユーザーに管理者のロールを指定したり、パートナー管理者が管理する特定の顧客を指定したりすることもできます。
パートナー管理者 - 管理者がプロビジョニングした顧客またはユーザーに割り当てられた顧客の設定を管理できます。
完全な管理者 - 組織設定の変更、ライセンスの管理、ロールの割り当てなどのタスクを実行する権限を持つパートナー組織の管理者。

すべての顧客組織のエンドツーエンドのマルチテナント HDS セットアップと管理 - パートナーの完全な管理者権限と完全な管理者権限が必要です。
割り当てられたテナント組織の管理 - パートナー管理者および完全管理者の権限が必要です。

セキュリティ領域のアーキテクチャ

Webex クラウドアーキテクチャは、以下に示すように、異なるタイプのサービスを個別の領域、つまり信頼ドメインに分離します。

ハイブリッドデータセキュリティをさらに理解するために、まず、シスコがクラウド領域ですべての機能を提供している純粋なクラウドのケースを見てみましょう。メールアドレスなど個人情報を直接ユーザーが関連付けることが可能な唯一の場所である ID サービスは、データセンター B のセキュリティ領域から論理的および物理的に分かれています。データセンター C では、暗号化されたコンテンツが最終的に保存される領域と、両方とも別になります。

この図では、クライアントはユーザーのラップトップ上で実行されている Webex アプリであり、アイデンティティサービスで認証されています。ユーザーがメッセージを編集し、スペースに送るとき、以下のステップを踏みます:

クライアントは重要な管理サービス (KMS) と安全な接続を確立し、メッセージを暗号化するためのキーをリクエストします。安全な接続では ECDH を使用し、KMS は AES-256 マスターキーを使用してキーを暗号化します。
メッセージはクライアントを離れる前に暗号化されます。クライアントは、暗号化された検索インデックスを作成し、コンテンツで将来検索を助けるインデックス化サービスに送信します。
暗号化されたメッセージは、コンプライアンスチェックのためコンプライアンスサービスに送信されます。
暗号化されたメッセージは、保管領域に保管されます。

ハイブリッドデータセキュリティを展開すると、セキュリティレルム機能 (KMS、インデックス作成、コンプライアンス) がオンプレミスのデータセンターに移動します。Webex を構成するその他のクラウドサービス (ID およびコンテンツストレージを含む) は、引き続き Cisco の領域に残ります。

他の組織と協力する

組織内のユーザーは、Webex アプリを定期的に使用して、他の組織の外部参加者と共同作業を行う場合があります。ユーザーの 1 人があなたの組織が所有しているスペースのキーをリクエストしたとき (あなたの組織のユーザーの 1 人が作成したため)、KMS は ECDH の安全なチャンネルでキーをクライアントに送信します。ただし、別の組織がスペースのキーを所有している場合、KMS は別の ECDH チャネルを介してリクエストを Webex クラウドにルーティングし、適切な KMS からキーを取得して、元のチャネルでユーザーにキーを返します。

組織 A で実行されている KMS サービスは、x.509 PKI 証明書を使用して他の組織の KMS への接続を検証します。マルチテナントハイブリッドデータセキュリティ展開で使用する x.509 証明書の生成の詳細については、 環境の準備 を参照してください。

ハイブリッドデータセキュリティの展開の例外

ハイブリッドデータセキュリティの導入には、多大なコミットメントと、暗号化キーの所有に伴うリスクに対する認識が必要です。

ハイブリッドデータセキュリティを展開するには、以下を提供する必要があります。

Cisco Webex Teams プランでサポートされている国の安全なデータセンター。
環境の準備に記載されている機器、ソフトウェア、およびネットワークアクセス。

Hybrid Data Security 用に構築した構成 ISO または提供したデータベースのいずれかが完全に失われると、キーが失われます。キーを紛失すると、ユーザーは Webex アプリ内のスペースコンテンツやその他の暗号化されたデータを復号化できなくなります。このことが発生する場合、新しい展開を構築できますが、新しいコンテンツのみが表示されます。データのアクセス権の喪失を防ぐには、以下を行う必要があります:

データベースのバックアップと復元および構成 ISO を管理します。
データベースディスク障害やデータセンターの災害などの大災害が発生した場合に迅速に災害復旧を実行できるように準備しておきます。

HDS の展開後にキーをクラウドに戻すメカニズムはありません。

高レベルのセットアッププロセス

このドキュメントでは、マルチテナントハイブリッドデータセキュリティ展開のセットアップと管理について説明します。

ハイブリッドデータセキュリティのセットアップ—これには、必要なインフラストラクチャの準備、ハイブリッドデータセキュリティソフトウェアのインストール、HDS クラスターの構築、クラスターへのテナント組織の追加、顧客メインキー (CMK) の管理が含まれます。これにより、顧客組織のすべてのユーザーがセキュリティ機能のためにハイブリッドデータセキュリティクラスターを使用できるようになります。

セットアップ、アクティベーション、および管理の各フェーズについては、次の 3 つの章で詳しく説明します。
ハイブリッドデータセキュリティの展開を維持する—Webex クラウドは継続的なアップグレードを自動的に提供します。IT 部門は階層 1 のサポートをこの展開に提供し、必要に応じて Cisco サポートを提供します。パートナーハブでは、画面上の通知を使用したり、電子メールベースのアラートを設定したりできます。
一般的なアラート、トラブルシューティングの手順、既知の問題について理解する—ハイブリッドデータセキュリティの展開または使用中に問題が発生した場合、このガイドの最後の章と「既知の問題」の付録が問題を特定して解決するのに役立つ場合があります。

ハイブリッドデータセキュリティ展開モデル

エンタープライズデータセンター内では、Hybrid Data Security を個別の仮想ホスト上のノードの単一クラスターとして展開します。ノードは、セキュアな Web ソケットとセキュアな HTTP を介して Webex クラウドと通信します。

インストールプロセス中、提供する VM 上で仮想マシンセットアップするために、OVA ファイルを提供します。HDS セットアップツールを使用し、各ノードにマウントするカスタムクラスター構成 ISO ファイルを作成します。ハイブリッドデータセキュリティクラスターは、提供された Syslogd サーバーと PostgreSQL または Microsoft SQL Server データベースを使用します。(Syslogd とデータベース接続の詳細は、HDS セットアップツールで設定します。)

ハイブリッドデータセキュリティ展開モデル

クラスターで保持できるノードの最小数は 2 つです。クラスターごとに少なくとも 3 つを推奨します。複数のノードを持つことで、ノード上のソフトウェアのアップグレードやその他のメンテナンス作業中にサービスが中断されることがなくなります。(Webex クラウドは一度に 1 つのノードのみをアップグレードします。)

クラスターのすべてのノードは、同じキーデータストアにアクセスし、同じ syslog サーバーに対するアクティビティをログ記録します。クラウドで指示された通り、ノード自体では処理状態が把握されておらず、ラウンドロビン方式でキーリクエストを処理します。

ノードは、Partner Hub に登録するとアクティブになります。個別ノードをサービス外にするには、必要に応じて登録解除し、再登録できます。

災害復旧のためのスタンバイデータセンター

展開中に、安全なスタンバイデータセンターをセットアップします。データセンターで災害が発生した場合は、デプロイメントをスタンバイデータセンターに手動でフェールオーバーできます。

フェイルオーバー前は、データセンター A にはアクティブな HDS ノードとプライマリ PostgreSQL または Microsoft SQL Server データベースがあり、データセンター B には追加の構成を含む ISO ファイルのコピー、組織に登録されている VM、およびスタンバイデータベースがあります。フェイルオーバー後、データセンター B にはアクティブな HDS ノードとプライマリデータベースが存在し、データセンター A には登録されていない VM と ISO ファイルのコピーが存在し、データベースはスタンバイモードになります。 — ***スタンバイデータセンターへの手動フェイルオーバー***

アクティブデータセンターとスタンバイデータセンターのデータベースは相互に同期されているため、フェイルオーバーの実行にかかる時間が最小限に抑えられます。

アクティブなハイブリッドデータセキュリティノードは、常にアクティブなデータベースサーバーと同じデータセンターに存在する必要があります。

プロキシサポート

ハイブリッドデータセキュリティは、明示的な透過的な検査および非検査プロキシをサポートします。これらのプロキシを展開に関連付けることができます。これにより、エンタープライズからクラウドに送信されるトラフィックをセキュリティ保護し、監視することができます。証明書の管理のノードでプラットフォーム管理インターフェイスを使用して、ノードでプロキシを設定した後で、全体的な接続ステータスを確認することができます。

ハイブリッドデータセキュリティノードは、以下のプロキシオプションをサポートしています。

プロキシなし—HDSノードセットアップ信頼ストアを使用しない場合のデフォルト & プロキシを統合するためのプロキシ構成。証明書の更新は必要ありません。
透過的な非検査プロキシ—ノードは特定のプロキシサーバーアドレスを使用するように構成されていないため、非検査プロキシで動作するために変更する必要はありません。証明書の更新は必要ありません。
透過トンネリングまたは検査プロキシ—ノードは特定のプロキシサーバアドレスを使用するように構成されていません。ノードでは、HTTP または HTTPS の設定変更は必要ありません。ただし、ノードはプロキシを信頼するためにルート証明書を必要とします。プロキシを検査することで、Web サイトにアクセスするか、どのタイプのコンテンツを使用するかを強制するポリシーを施行することができます。このタイプのプロキシは、すべてのトラフィック (HTTPS さえも含む) を復号化します。
明示的プロキシ—明示的プロキシでは、使用するプロキシサーバーと認証スキームを HDS ノードに指示します。明示的なプロキシを設定するには、各ノードに次の情報を入力する必要があります。
1. プロキシ IP/FQDN—プロキシマシンに到達するために使用できるアドレス。
2. プロキシポート—プロキシがプロキシトラフィックをリッスンするために使用するポート番号。
3. プロキシプロトコル—プロキシサーバーのサポート内容に応じて、次のプロトコルから選択します。
  - HTTP—クライアントが送信するすべての要求を表示し、コントロールします。
  - HTTPS—サーバーにチャネルを提供します。クライアントがサーバーの証明書を受け取り、検証します。
4. 認証タイプ—次の認証タイプから選択します。
  - なし—これ以上の認証は必要ありません。
    
    プロキシプロトコルとして HTTP または HTTPS のいずれかを選択した場合に利用できます。
  - 基本—HTTP ユーザーエージェントがリクエスト時にユーザー名とパスワードを提供するために使用されます。Base64 エンコードを使用します。
    
    プロキシプロトコルとして HTTP または HTTPS のいずれかを選択した場合に利用できます。
    
    各ノードにユーザー名とパスワードを入力する必要があります。
  - ダイジェスト—機密情報を送信する前にアカウントを確認するために使用されます。ネットワークを経由して送信する前に、ユーザー名およびパスワードにハッシュ機能を適用します。
    
    プロキシプロトコルとして HTTPS を選択した場合にのみ利用できます。
    
    各ノードにユーザー名とパスワードを入力する必要があります。

ハイブリッドデータセキュリティノードとプロキシの例

この図は、ハイブリッドデータセキュリティ、ネットワーク、およびプロキシ間の接続例を示しています。透過的な検査および HTTPS 明示的な検査プロキシオプションの場合、同じルート証明書がプロキシとハイブリッドデータセキュリティノードにインストールされている必要があります。

外部 DNS 解決ブロックモード (明示的プロキシ構成)

ノードを登録するか、またはノードのプロキシ構成を確認するとき、プロセスは DNS 検索と Cisco Webex クラウドへの接続をテストします。内部クライアントのための外部 DNS 解決が許可されていない、明示的なプロキシ構成の展開では、ノードが DNS サーバーに問い合わせができない場合、自動的に外部 DNS 解決ブロックモードに切り替わります。このモードでは、ノード登録および他のプロキシ接続テストを続行することができます。

環境を準備する

マルチテナントハイブリッドデータセキュリティの要件

Cisco Webex ライセンス要件

マルチテナントハイブリッドデータセキュリティを展開するには:

パートナー組織: Cisco パートナーまたはアカウントマネージャに連絡して、マルチテナント機能が有効になっていることを確認してください。
テナント組織: Cisco Webex Control Hub の Pro Pack が必要です。(https://www.cisco.com/go/pro-packを参照。)

Dockerデスクトップの要件

HDS ノードをインストールする前に、セットアッププログラムを実行するために Docker Desktop が必要です。Docker は最近、ライセンスモデルを更新しました。組織は Docker デスクトップの有料サブスクリプションを必要とする場合があります。詳細については、Docker ブログ投稿「 Docker は更新および製品サブスクリプションを拡張しています」を参照してください。

Docker Desktop ライセンスをお持ちでないお客様は、Podman Desktop などのオープンソースコンテナ管理ツールを使用して、コンテナを実行、管理、作成できます。詳細については、 Podman Desktop を使用して HDS セットアップツールを実行するを参照してください。

X.509 証明書要件

証明書チェーンは、次の条件を満たす必要があります。

表1. ハイブリッドデータセキュリティ展開における X.509 証明書の要件
要件	詳細
信頼できる証明書権限 (CA) で署名済み	デフォルトでは、Mozilla リスト内の CA (WoSign と StartCom を除く) を https://wiki.mozilla.org/CA:IncludedCAsで信頼します。
ハイブリッドデータセキュリティ展開を識別する共通名 (CN) ドメイン名を持ちますワイルドカード証明書ではありません	CN は到達可能またはアクティブな主催者である必要はありません。組織を反映する名前（例： `hds.company.com`）を使用することをお勧めします。 CNには、 * (ワイルドカード)。 CN は、Webex アプリクライアントへのハイブリッドデータセキュリティノードを検証するために使用されます。クラスター内のすべてのハイブリッドデータセキュリティノードは同じ証明書を使用します。KMS は x.509v3 SAN フィールドで定義されるドメインではなく、CN ドメインを使用してそれ自体を識別します。この証明書でノードを登録した場合、CN ドメイン名の変更をサポートしません。
非 SHA1 署名	KMS ソフトウェアは、他の組織の KMS に対する接続を検証するために、SHA1 署名をサポートしません。
パスワード保護された PKCS #12 ファイルとして形式化アップロードする証明書、秘密キー、および中間証明書にタグを付けるには、 `kms-private-key` というフレンドリ名を使用します。	OpenSSL などのコンバーターを使用して、証明書の形式を変更できます。 HDS セットアップツールを実行する時、パスワードを入力する必要があります。

KMS ソフトウェアはキー使用量を強制したり、キー使用量の誓約を拡張したりしません。いくつかの証明書権限は、サーバー認証など、拡張キー使用量が各証明書に適用されることを必要とします。サーバー認証や他の設定を使用しても大丈夫です。

仮想ホストの要件

クラスター内のハイブリッドデータセキュリティノードとして設定する仮想ホストには、次の要件があります。

少なくとも 2 台の独立したホスト (3 台を推奨) が同じ安全なデータセンター内に配置されている
VMware ESXi 7.0 または 8.0 がインストールされ、実行されています。

以前のバージョンの ESXi を使用している場合は、アップグレードする必要があります。
サーバーあたり最低 4 つの vCPU、8 GB のメインメモリ、30 GB のローカルハードディスク容量

データベースサーバーの要件

キー保存用の新しいデータベースを作成します。デフォルトのデータベースを使用しないでください。インストールしたとき、HDS アプリケーションはデータベーススキーマを作成します。

データベースサーバーには 2 つのオプションがあります。それぞれの要件は次のとおりです。

表 2. データベースの種類別のデータベースサーバー要件
PostgreSQL	マイクロソフトSQLサーバー
PostgreSQL 14、15、または 16 がインストールされ、実行されています。	SQL Server 2016、2017、2019、または 2022 (Enterprise または Standard) がインストールされています。 SQL Server 2016 には、Service Pack 2 および Cumulative Update 2 以降が必要です。
最低 8 vCPUs、16-GB メインメモリ、十分なハードディスクスペース、超過がないように監視 (ストレージを増やす必要なく、長期間データべースを実行する場合、2-TB が推奨されます。)	最低 8 vCPUs、16-GB メインメモリ、十分なハードディスクスペース、超過がないように監視 (ストレージを増やす必要なく、長期間データべースを実行する場合、2-TB が推奨されます。)

HDS ソフトウェアは現在、データベースサーバーとの通信用に次のドライバーバージョンをインストールします。

PostgreSQL

マイクロソフトSQLサーバー

Postgres JDBC ドライバー 42.2.5

SQL Server JDBC ドライバー 4.6

このドライバーバージョンは、SQL Server Always On ( Always On フェールオーバークラスターインスタンスおよび Always On 可用性グループ) をサポートしています。

Microsoft SQL Server に対する Windows 認証の追加要件

HDS ノードが Windows 認証を使用して Microsoft SQL Server 上のキーストアデータベースにアクセスするようにする場合は、環境で次の構成が必要です。

HDS ノード、Active Directory インフラストラクチャ、および MS SQL Server はすべて NTP と同期する必要があります。
HDSノードに提供するWindowsアカウントには、 read/write データベースへのアクセス。
HDS ノードに提供する DNS サーバーは、キー配布センター (KDC) を解決できる必要があります。
Microsoft SQL Server 上の HDS データベースインスタンスを、Active Directory 上のサービスプリンシパル名 (SPN) として登録できます。 Kerberos 接続用のサービスプリンシパル名の登録を参照してください。

HDS セットアップツール、HDS ランチャー、およびローカル KMS はすべて、キーストアデータベースにアクセスするために Windows 認証を使用する必要があります。Kerberos 認証によるアクセスを要求するときに、ISO 構成の詳細を使用して SPN を構築します。

外部接続要件

HDS アプリケーションに対して次の接続を許可するようにファイアウォールを構成します。

アプリケーション	プロトコル	ポート	アプリからの案内	移動先
ハイブリッドデータセキュリティノード	TCP	443	アウトバウンド HTTPS および WSS	Webex サーバー: .wbx2.com .ciscospark.com すべてのCommon Identityホスト Webex サービスのネットワーク要件 [] の Webexハイブリッドサービスの追加 URL [表のハイブリッドデータセキュリティについて記載されているその他の URL
HDSセットアップツール	TCP	443	アウトバウンド HTTPS	*.wbx2.com すべてのCommon Identityホスト hub.docker.com

ハイブリッドデータセキュリティノードは、ネットワークアクセス変換 (NAT) またはファイアウォールの背後で動作します (ただし、NAT またはファイアウォールが、前の表のドメインの宛先への必要な送信接続を許可している必要があります)。ハイブリッドデータセキュリティノードへの受信接続の場合、インターネットからポートが見えないようにする必要があります。データセンター内では、クライアントは管理目的で TCP ポート 443 および 22 上のハイブリッドデータセキュリティノードにアクセスする必要があります。

Common Identity (CI) ホストの URL はリージョン固有です。現在の CI ホストは次のとおりです。

地域	共通アイデンティティホストURL
Americas（北米、南米エリア）	https://idbroker.webex.com https://identity.webex.com https://idbroker-b-us.webex.com https://identity-b-us.webex.com
欧州連合	https://idbroker-eu.webex.com https://identity-eu.webex.com
カナダ	https://idbroker-ca.webex.com https://identity-ca.webex.com
シンガポール	https://idbroker-sg.webex.com https://identity-sg.webex.com
アラブ首長国連邦	https://idbroker-ae.webex.com https://identity-ae.webex.com

プロキシサーバーの要件

お使いのハイブリッドデータセキュリティノードと統合できる次のプロキシソリューションを正式にサポートしています。
- 透過的プロキシ—Cisco Web Security Appliance (WSA)。
- 明示的プロキシ—Squid。
  
  HTTPSトラフィックを検査するSquidプロキシは、WebSocketの確立を妨げる可能性がある。 (wss:) 接続。この問題を回避するには、ハイブリッドデータセキュリティ用の Squid プロキシの構成を参照してください。
明示的プロキシに対して次の認証タイプの組み合わせがサポートされています。
- HTTP または HTTPS による認証がありません
- HTTP または HTTPS による基本認証
- HTTPS のみによるダイジェスト認証
透過的検査プロキシまたは HTTPS 明示的プロキシについては、プロキシのルート証明書のコピーが必要です。このガイドに記載されている展開手順は、ハイブリッドデータセキュリティノードの信頼ストアにコピーをアップロードする方法を説明しています。
HDS ノードをホストするネットワークは、ポート 443 のアウトバウンド TCP トラフィックを強制的にプロキシ経由でルーティングするように設定されている必要があります。
Web トラフィックを検査するプロキシは、Web ソケット接続に干渉する場合があります。この問題が発生した場合、 wbx2.com および ciscospark.com へのトラフィックをバイパスする（検査しない）と、問題は解決します。

ハイブリッドデータセキュリティの前提条件を満たします

このチェックリストを使用して、ハイブリッドデータセキュリティクラスターをインストールして構成する準備ができていることを確認します。

1	パートナー組織でマルチテナント HDS 機能が有効になっていることを確認し、パートナーの完全な管理者と完全な管理者権限を持つアカウントの資格情報を取得します。Webex 顧客組織で Pro Pack for Cisco Webex Control Hub が有効になっていることを確認します。Cisco パートナーもしくはアカウントマネージャーにこのプロセスについてサポートを受けるために連絡してください。顧客組織には既存の HDS 導入が存在しない必要があります。
2	HDS 展開のドメイン名 (たとえば、 `hds.company.com`) を選択し、X.509 証明書、秘密キー、および中間証明書を含む証明書チェーンを取得します。証明書チェーンは、 X.509 証明書の要件の要件を満たしている必要があります。
3	クラスター内のハイブリッドデータセキュリティノードとして設定する同一の仮想ホストを準備します。仮想ホストの要件の要件を満たす、同じ安全なデータセンター内に少なくとも 2 台の個別のホスト (3 台を推奨) を配置する必要があります。
4	データベースサーバーの要件に従って、クラスターのキーデータストアとして機能するデータベースサーバーを準備します。データベースサーバーは、仮想ホストと同じ安全なデータセンターに配置する必要があります。キーを保存するためのデータベースを作成します。(このデータベースを作成する必要があります。デフォルトのデータベースは使用しないでください。インストールしたとき、HDS アプリケーションはデータベーススキーマを作成します。) ノードがデータベースサーバーと通信するために使用する詳細をまとめます: 主催者名または IP アドレス (主催者) およびポート重要なストレージ向けのデータベース名 (dbname) 重要なストレージデータベースですべての権限を持つユーザーのユーザー名とよびパスワード
5	迅速な災害復旧のために、別のデータセンターにバックアップ環境を構築します。バックアップ環境は、VM とバックアップデータベースサーバーの運用環境をミラーリングします。たとえば、生産に HDS ノードを実行している 3 VMs がある場合、バックアップ環境には 3 Vms が必要です。
6	Syslog 主催者をセットアップして、クラスターのノードからログを収集します。ネットワークアドレスと syslog ポート (デフォルトは UDP 514) をまとめます。
7	ハイブリッドデータセキュリティノード、データベースサーバー、および syslog ホストの安全なバックアップポリシーを作成します。回復不可能なデータ損失を防ぐために、少なくとも、データベースと、Hybrid Data Security ノード用に生成された構成 ISO ファイルをバックアップする必要があります。ハイブリッドデータセキュリティノードにはコンテンツの暗号化と復号化に使用されるキーが保存されるため、運用展開を維持できない場合は、そのコンテンツの回復不可能な損失が発生します。 Webex アプリクライアントはキーをキャッシュするため、停止はすぐには気付かれないかもしれませんが、時間の経過とともに明らかになります。一時的な停電が防げない場合、復元可能です。しかし、データベースまたは構成 ISO ファイルのどちらかを完全に失う (バックアップが利用できない) ことは、顧客データは復元できません。ハイブリッドデータセキュリティノードのオペレーターは、データベースと構成 ISO ファイルのバックアップを頻繁に維持し、壊滅的な障害が発生した場合にハイブリッドデータセキュリティデータセンターを再構築する準備をする必要があります。
8	外部接続要件に概説されているように、ファイアウォール構成でハイブリッドデータセキュリティノードへの接続が許可されていることを確認します。
9	サポートされているOS（Microsoft Windows 10 ProfessionalまたはEnterprise 64ビット、またはMac OSX Yosemite 10.10.3以上）を実行しているローカルマシンに、WebブラウザーでアクセスできるDocker（ https://www.docker.comhttp://127.0.0.1:8080.）をインストールします。 Docker インスタンスを使用して HDS セットアップツールをダウンロードして実行し、すべてのハイブリッドデータセキュリティノードのローカル構成情報を構築します。Docker Desktop ライセンスが必要になる場合があります。詳細については、 Docker Desktop の要件を参照してください。 HDS セットアップツールをインストールして実行するには、ローカルマシンが外部接続要件に記載されている接続を備えている必要があります。
10	プロキシをハイブリッドデータセキュリティと統合する場合は、プロキシサーバー要件を満たしていることを確認してください。

ハイブリッドデータセキュリティクラスターをセットアップする

ハイブリッドデータセキュリティの導入タスクフロー

始める前に

1	初期セットアップを実行し、インストールファイルをダウンロードします後で使用するために、OVA ファイルをローカルマシンにダウンロードします。
2	HDS 主催者に構成 ISO を作成する HDS セットアップツールを使用して、ハイブリッドデータセキュリティノードの ISO 構成ファイルを作成します。
3	HDS 主催者 OVA をインストールする OVA ファイルから仮想マシンを作成し、ネットワーク設定などの初期構成を実行します。 OVA 展開中にネットワーク設定を構成するオプションは、ESXi 7.0 および 8.0 でテストされています。このオプションは以前のバージョンでは利用できない可能性があります。
4	ハイブリッドデータセキュリティ VM のセットアップ VM コンソールにサインインし、サインイン資格情報を設定します。OVA の展開時に構成しなかった場合は、ノードのネットワーク設定を構成します。
5	HDS 構成 ISO をアップロードしマウントする HDS セットアップツールで作成した ISO 構成ファイルから VM を構成します。
6	プロキシ統合のために HDS ノードを設定するネットワーク環境でプロキシ構成が必要な場合は、ノードに使用するプロキシの種類を指定し、必要に応じてプロキシ証明書を信頼ストアに追加します。
7	クラスターの最初のノードを登録する VM をハイブリッドデータセキュリティノードとして Cisco Webex クラウドに登録します。
8	追加のノードを作成して登録するクラスターのセットアップを完了します。
9	パートナーハブでマルチテナント HDS をアクティブ化します。 HDS をアクティブ化し、Partner Hub でテナント組織を管理します。

初期セットアップを実行し、インストールファイルをダウンロードします

このタスクでは、OVA ファイルを自分のマシンにダウンロードします (Hybrid Data Security ノードとして設定したサーバーにはダウンロードしません)。このファイルはのちにインストールプロセスで使用します。

1	パートナーハブにサインインし、サービスをクリックします。
2	[クラウドサービス] セクションで、ハイブリッドデータセキュリティカードを見つけて、セットアップをクリックします。パートナーハブでセットアップをクリックすることは、展開プロセスにとって重要です。この手順を完了せずにインストールを続行しないでください。
3	リソースの追加をクリックし、ソフトウェアのインストールと構成カードの [] .OVA ファイルのダウンロードをクリックします。ソフトウェアパッケージ (OVA) の古いバージョンは、最新のハイブリッドデータセキュリティアップグレードと互換性がありません。これにより、アプリケーションのアップグレード中に問題が発生する可能性があります。必ず最新バージョンの OVA ファイルをダウンロードしてください。また、ヘルプセクションからいつでも OVA をダウンロードできます。設定をクリック > ヘルプ > ハイブリッドデータセキュリティソフトウェアをダウンロードします。 OVA ファイルは自動的にダウンロードが開始されます。ファイルをマシン内に保存します。
4	必要に応じて、ハイブリッドデータセキュリティ展開ガイドを参照をクリックして、このガイドの新しいバージョンがあるかどうかを確認します。

HDS 主催者に構成 ISO を作成する

ハイブリッドデータセキュリティのセットアッププロセスでは、ISO ファイルが作成されます。次に、ISO を使用してハイブリッドデータセキュリティホストを構成します。

始める前に

HDS セットアップツールをローカルマシンの Docker コンテナとして実行します。アクセスするには、そのマシンで Docker を実行します。セットアッププロセスには、完全な管理者権限を持つパートナーハブアカウントの資格情報が必要です。

Docker Desktop ライセンスがない場合は、以下の手順のステップ 1 ～ 5 で、Podman Desktop を使用して HDS セットアップツールを実行できます。詳細については、 Podman Desktop を使用して HDS セットアップツールを実行するを参照してください。

HDS セットアップツールが環境内でプロキシの背後で実行される場合は、以下の手順 5 で Docker コンテナーを起動するときに、Docker 環境変数を通じてプロキシ設定 (サーバー、ポート、資格情報) を指定します。この表ではいくつかの可能な環境変数を示します。

説明	変数
認証なしの HTTP プロキシ	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
認証なしの HTTPS プロキシ	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
認証ありの HTTP プロキシ	`GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
認証ありの HTTPS プロキシ	`GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

生成する構成 ISO ファイルには、PostgreSQL または Microsoft SQL Server データベースを暗号化するマスターキーが含まれています。次のように構成を変更するときは常に、このファイルの最新のコピーが必要になります。
- データベース資格情報
- 証明書の更新
- 承認ポリシーの変更
データベース接続を暗号化する予定の場合は、PostgreSQL または SQL Server の展開を TLS 用に設定します。

1

マシンのコマンドラインで、お使い環境に適切なコマンドを入力します。

一般環境:

docker rmi ciscocitg/hds-setup:stable

FedRAMP 環境の場合:

docker rmi ciscocitg/hds-setup-fedramp:stable

このステップを実行すると、前の HDS セットアップツールの画像がクリーンアップされます。これ以前の画像がない場合は、無視できるエラーを返します。

2

Docker 画像レジストリにサインインするには、以下を入力します。

docker login -u hdscustomersro

3

パスワードのプロンプトに対して、このハッシュを入力します。

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

4

お使い環境に合った最新の安定した画像をダウンロードします。

一般環境:

docker pull ciscocitg/hds-setup:stable

FedRAMP 環境の場合:

docker pull ciscocitg/hds-setup-fedramp:stable

5

プルが完了したら、お使いの環境に適切なコマンドを入力します。

プロキシなしの通常の環境の場合:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

HTTP プロキシがある通常の環境の場合、

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

HTTPS プロキシを使用する通常の環境の場合:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

プロキシなしの FedRAMP 環境の場合:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

HTTP プロキシがある FedRAMP 環境の場合:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

HTTPS プロキシがある FedRAMP 環境の場合:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

コンテナが実行中の時。「ポート 8080 で Express サーバーリスニング中」と表示されます。

6

セットアップツールは、を介したローカルホストへの接続をサポートしていません http://localhost:8080. http://127.0.0.1:8080 を使用して localhost に接続します。

Web ブラウザを使用してローカルホスト http://127.0.0.1:8080に移動し、プロンプトで Partner Hub の管理者ユーザー名を入力します。

ツールはユーザー名の最初のエントリを使用して、そのアカウントに適切な環境を設定します。次に、ツールは標準のサインインプロンプトを表示します。

7

プロンプトが表示されたら、パートナーハブ管理者のサインイン資格情報を入力し、ログインをクリックして、ハイブリッドデータセキュリティに必要なサービスへのアクセスを許可します。

8

セットアップツール概要ページで、[開始] をクリックします。

9

ISO インポートページには、次のオプションがあります。

いいえ—最初の HDS ノードを作成する場合は、アップロードする ISO ファイルがありません。
はい—HDS ノードをすでに作成している場合は、参照で ISO ファイルを選択してアップロードします。

10

X.509 証明書が X.509 証明書の要件の要件を満たしていることを確認します。

これまでに証明書をアップロードしたことがない場合は、X.509 証明書をアップロードし、パスワードを入力して、続行をクリックします。
証明書に問題がなければ、続行をクリックします。
証明書の有効期限が切れているか、証明書を置き換える場合は、以前の ISO の HDS 証明書チェーンと秘密キーを引き続き使用しますか? [] に対していいえを選択します。新しい X.509 証明書をアップロードし、パスワードを入力して、続行をクリックします。

11

HDS がキーデータストアにアクセスするためのデータベースアドレスとアカウントを入力します。

データベースタイプ (PostgreSQL または Microsoft SQL Server) を選択します。

Microsoft SQL Serverを選択した場合は、認証タイプフィールドが表示されます。
（Microsoft SQL Server のみ）認証タイプを選択してください :
- 基本認証: ユーザー名フィールドにローカル SQL Server アカウント名が必要です。
- Windows認証: username@DOMAIN ユーザー名フィールドに [] 形式の Windows アカウントが必要です。
データベースサーバアドレスを : または :の形式で入力します。

例:
dbhost.example.org:1433 または 198.51.100.17:1433

ノードが DNS を使用してホスト名を解決できない場合は、基本認証に IP アドレスを使用できます。

Windows認証を使用している場合は、次の形式で完全修飾ドメイン名を入力する必要があります。 dbhost.example.org:1433
データベース名を入力します。
キーストレージデータベースに対するすべての権限を持つユーザーのユーザー名とパスワードを入力します。

12

TLSデータベース接続モードを選択 :

モード	説明
TLSを優先する (デフォルトオプション)	HDS ノードは、データベースサーバに接続するために TLS を必要としませんデータベースサーバーで TLS を有効にすると、ノードは暗号化された接続を試行します。
TLS を要求する	データベースサーバが TLS をネゴシエートできる場合に限り、HDS ノードは接続されます。
TLS を要求し、証明書の署名者を確認する	このモードは SQL Server データベースには適用されません。データベースサーバが TLS をネゴシエートできる場合に限り、HDS ノードは接続されます。 TLS 接続を確立した後、ノードはデータベースサーバーからの証明書の署名者とデータベースルート証明書内の証明機関を比較します。一致しない場合、ノードにより接続が切断されます。ドロップダウンの下にあるデータベースルート証明書コントロールを使用して、このオプションのルート証明書をアップロードしてください。
TLS を要求し、証明書の署名者およびホスト名を確認する	データベースサーバが TLS をネゴシエートできる場合に限り、HDS ノードは接続されます。 TLS 接続を確立した後、ノードはデータベースサーバーからの証明書の署名者とデータベースルート証明書内の証明機関を比較します。一致しない場合、ノードにより接続が切断されます。また、ノードは、サーバー証明書のホスト名がデータベースホストとポートフィールドのホスト名と一致することも確認します。名前は正確に一致する必要があります。または、ノードが接続を切断します。ドロップダウンの下にあるデータベースルート証明書コントロールを使用して、このオプションのルート証明書をアップロードしてください。

ルート証明書をアップロードし（必要な場合）をクリックすると、HDS セットアップツールはデータベースサーバーへの TLS 接続をテストします。また、必要に応じて、証明書の署名者とホスト名も検証されます。テストが失敗した場合、問題を説明するエラーメッセージがツールによって表示されます。エラーを無視してセットアップを続行するかどうかを選択できます。(接続の違いにより、HDS セットアップツールマシンで正常にテストできない場合でも、HDS ノードは TLS 接続を確立できる可能性があります。)

13

システムログページで、Syslogd サーバーを構成します。

Syslog サーバーの URL を入力します。

HDS クラスターのノードからサーバーを DNS 解決できない場合は、URL で IP アドレスを使用します。

例:
udp://10.92.43.23:514 UDP ポート 514 上の Syslogd ホスト 10.92.43.23 にログを記録することを示します。
TLS 暗号化を使用するようにサーバーを設定している場合は、 syslog サーバーは SSL 暗号化用に設定されていますか?を確認してください。

このチェックボックスをオンにする場合は、 tcp://10.92.43.23:514などの TCP URL を入力してください。
Syslog レコードの終了を選択ドロップダウンから、ISO ファイルに適切な設定を選択します。GraylogとRsyslog TCPでは選択または改行が使用されます
- ヌルバイト -- \x00
- 改行 -- \n—Graylog および Rsyslog TCP の場合はこの選択肢を選択します。
[続行] をクリックします。

14

(オプション) 詳細設定で一部のデータベース接続パラメータのデフォルト値を変更できます。通常、変更する必要があるのは次のパラメータだけです。

app_datasource_connection_pool_maxSize: 10

15

サービスアカウントのパスワードのリセット画面で続行をクリックします。

サービスアカウントのパスワードの有効期間は 9 か月です。パスワードの有効期限が近づいている場合、またはパスワードをリセットして以前の ISO ファイルを無効にする場合は、この画面を使用します。

16

[ISO ファイルのダウンロード] をクリックします。見つけやすい場所にファイルを保存します。

17

ローカルシステムに ISO ファイルのバックアップコピーを作成します。

バックアップコピーを安全に保管してください。このファイルには、データベースコンテンツのマスター暗号化キーを含みます。構成の変更を行う必要があるハイブリッドデータセキュリティ管理者のみにアクセスを制限します。

18

セットアップツールをシャットダウンするには、 CTRL+Cと入力します。

次に行うこと

構成 ISO ファイルをバックアップします。リカバリ用にさらにノードを作成したり、構成を変更したりするには、これが必要です。ISO ファイルのすべてのコピーを失った場合、マスターキーも失われます。PostgreSQL または Microsoft SQL Server データベースからキーを回復することはできません。

当社はこのキーのコピーを保有しておりませんので、紛失された場合はサポートできません。

HDS 主催者 OVA をインストールする

この手順を使用して、OVA ファイルから仮想マシンをサック制します。

1	コンピュータの VMware vSphere クライアントを使用して、ESXi 仮想主催者にログインします。
2	ファイル > OVF テンプレートを展開を選択します。
3	ウィザードで、先ほどダウンロードした OVA ファイルの場所を指定し、次へをクリックします。
4	名前とフォルダの選択ページで、ノードの仮想マシン名 (たとえば、「HDS_Node_1」) を入力し、仮想マシンノードの展開を配置できる場所を選択して、次へをクリックします。
5	コンピューティングリソースの選択ページで、宛先コンピューティングリソースを選択し、次へをクリックします。検証チェックが実行されます。完了すると、テンプレートの詳細が表示されます。
6	テンプレートの詳細を確認し、次へをクリックします。
7	構成ページでリソース構成を選択するように求められた場合は、 4 CPU をクリックし、次へをクリックします。
8	ストレージの選択ページで次へをクリックして、デフォルトのディスクフォーマットと VM ストレージポリシーを受け入れます。
9	ネットワークの選択ページで、エントリのリストからネットワークオプションを選択し、VM に必要な接続を提供します。
10	テンプレートのカスタマイズページで、次のネットワーク設定を構成します。ホスト名—ノードのFQDN (ホスト名とドメイン) または単語のホスト名を入力します。ドメインを設定し、X.509 証明書を取得するために使用されるドメインにマッチしません。クラウドへの登録を成功させるには、ノードに設定する FQDN またはホスト名には小文字のみを使用します。現時点では大文字化のサポートはありません。 FQDNのトータルの長さは64文字を超えてはいけません。 IP アドレス— ノードの内部インターフェースの IP アドレスを入力します。ノードには内部 IP アドレスと DNS 名があるはずです。DHCPはサポートされていません。マスク—サブネットマスクアドレスをドット付き 10 進表記で入力します。たとえば、 255.255.255.0。ゲートウェイ—ゲートウェイのIPアドレスを入力します。ゲートウェイは、別のネットワークへのアクセスポイントとして機能するネットワークノードです。 DNS サーバー—ドメイン名を数値の IP アドレスに変換する DNS サーバーのコンマ区切りリストを入力します。(DNS エントリは最大 4 つまで許可されます。) NTP サーバー—組織の NTP サーバーまたは組織内で使用できる別の外部 NTP サーバーを入力します。デフォルトの NTP サーバーはすべての企業で機能するとは限りません。カンマ区切りのリストを使用して複数の NTP サーバーを入力することもできます。管理目的でネットワーク内のクライアントからクラスター内のすべてのノードにアクセスできるように、すべてのノードを同じサブネットまたは VLAN に展開します。必要に応じて、ネットワーク設定の構成をスキップし、ハイブリッドデータセキュリティ VM のセットアップの手順に従って、ノードコンソールから設定を構成することもできます。 OVA 展開中にネットワーク設定を構成するオプションは、ESXi 7.0 および 8.0 でテストされています。このオプションは以前のバージョンでは利用できない可能性があります。
11	ノードVMを右クリックし、電源を選択します。 > 電源オン. ハイブリッドデータセキュリティソフトウェアは、VM ホストにゲストとしてインストールされます。これで、コンソールにサインインしてノードを構成する準備が整いました。トラブルシューティングのヒントノードコンテナーが出てくるまでに、数分間の遅延がある場合があります。初回起動の間、ブリッジファイアウォールメッセージが、コンソールに表示され、この間はサインインできません。

ハイブリッドデータセキュリティ VM のセットアップ

この手順を使用して、Hybrid Data Security ノードの VM コンソールに初めてサインインし、サインイン資格情報を設定します。OVA の展開時にノードのネットワーク設定を構成しなかった場合は、コンソールを使用してノードのネットワーク設定を構成することもできます。

1	VMware vSphere クライアントでハイブリッドデータセキュリティノード VM を選択し、[コンソール] タブを選択してください。 VM が起動し、ログインプロンプトが表示されます。ログインプロンプトが表示されない場合は、入力を押してください。
2	以下のデフォルトログインとパスワードを使用して、証明書にサインインし変更します: ログイン: `admin` パスワード: `cisco` 初めて VM にサインインしているため、管理者パスワードを変更する必要があります。
3	HDS ホスト OVA のインストールでネットワーク設定をすでに構成している場合は、この手順の残りの部分をスキップしてください。それ以外の場合は、メインメニューで構成の編集オプションを選択します。
4	性的構成を IP アドレス、Mask、Gateway、DNS 情報をセットアップします。ノードには内部 IP アドレスと DNS 名があるはずです。DHCPはサポートされていません。
5	(オプション) ネットワーク方針にマッチするための必要性に応じて、ホスト名、ドメイン、もしくはNTP サーバーを変更して下さい。ドメインを設定し、X.509 証明書を取得するために使用されるドメインにマッチしません。
6	変更が有効になるように、ネットワーク構成を保存し、VM を再起動します。

HDS 構成 ISO をアップロードしマウントする

この手順を使用して、HDS セットアップツールで作成した ISO ファイルから仮想マシンを構成します。

開始する前に

ISO ファイルにはマスターキーが保持されるため、Hybrid Data Security VM および変更を加える必要がある可能性のある管理者がアクセスできるように、必要な場合にのみ公開する必要があります。これらの管理者のみがデータストアにアクセスできるようにします。

1

コンピュータから ISO ファイルをダウンロードします:

VMware vSphere クライアントの左ナビゲーションペインで、ESXi サーバーをクリックします。
[構成] タブのハードウェアリストで、[保管] をクリックします。
データストアリストで、VMs のデータストアを右クリックし、[データストアの参照] をクリックします。
[ファイルのアップロード] アイコンをクリックし、[ファイルのアップロード] をクリックします。
コンピュータの ISO ファイルをダンロードする場所を参照し、[開く] をクリックします。
[はい] をクリックし、オペレーション警告のアップロード/ダウンロードに同意し、データストアダイアログを閉じます。

2

ISO ファイルのマウント:

VMware vSphere クライアントの左ナビゲーションペインで、ESXi サーバーを右クリックし、[設定の編集] をクリックします。
[OK] をクリックし、制限された編集オプションの警告に同意します。
CD/DVD Drive 1をクリックし、データストア ISO ファイルからマウントするオプションを選択して、構成 ISO ファイルをアップロードした場所を参照します。
[接続済み] と [電源に接続する] をチェックします。
変更を保存し、仮想マシンを再起動します。

次に行うこと

IT ポリシーで必要な場合は、すべてのノードが構成の変更を取得した後、必要に応じて ISO ファイルをマウント解除できます。詳細については、 (オプション) HDS 構成後の ISO のアンマウントを参照してください。

プロキシ統合のために HDS ノードを設定する

ネットワーク環境でプロキシが必要な場合は、この手順を使用して、ハイブリッドデータセキュリティと統合するプロキシのタイプを指定します。透過型のプロキシまたは HTTPS を明示的なプロキシを選択した場合、ノードのインターフェイスを使用してルート証明書をアップロードしてインストールすることができます。インターフェイスからプロキシ接続を確認し、潜在的な問題をトラブルシューティングすることもできます。

開始する前に

サポートされているプロキシオプションの概要については、プロキシサポートを参照してください。
プロキシサーバーの要件

1	Web ブラウザに HDS ノードセットアップ URL `https://[HDS Node IP or FQDN]/setup` を入力し、ノードに設定した管理者の資格情報を入力して、サインインをクリックします。
2	[信頼ストアとロキシ] に移動して、次のオプションを選択します。プロキシなし—プロキシを統合する前のデフォルトオプション。証明書の更新は必要ありません。透過的な非検査プロキシ—ノードは特定のプロキシサーバーアドレスを使用するように構成されていないため、非検査プロキシで動作するために変更する必要はありません。証明書の更新は必要ありません。透過的検査プロキシ—ノードは特定のプロキシサーバアドレスを使用するように構成されていません。ハイブリッドデータセキュリティの展開では HTTPS 構成の変更は必要ありませんが、HDS ノードはプロキシを信頼できるようにするためにルート証明書を必要とします。プロキシを検査することで、Web サイトにアクセスするか、どのタイプのコンテンツを使用するかを強制するポリシーを施行することができます。このタイプのプロキシは、すべてのトラフィック (HTTPS さえも含む) を復号化します。明示的プロキシ—明示的プロキシでは、使用するプロキシサーバーをクライアント (HDS ノード) に指示します。このオプションでは、いくつかの認証タイプがサポートされます。このオプションを選択した後、次の情報を入力する必要があります。プロキシ IP/FQDN—プロキシマシンに到達するために使用できるアドレス。プロキシポート—プロキシがプロキシトラフィックをリッスンするために使用するポート番号。プロキシプロトコル— http (クライアントから受信したすべての要求を表示および制御) または https (サーバーにチャネルを提供し、クライアントがサーバーの証明書を受信して検証) を選択します。プロキシサーバーがサポートするオプションを選択します。認証タイプ—次の認証タイプから選択します。なし—これ以上の認証は必要ありません。 HTTP または HTTPS プロキシで利用できます。基本—HTTP ユーザーエージェントがリクエスト時にユーザー名とパスワードを提供するために使用されます。Base64 エンコードを使用します。 HTTP または HTTPS プロキシで利用できます。このオプションを選択した場合は、ユーザー名とパスワードも入力する必要があります。ダイジェスト—機密情報を送信する前にアカウントを確認するために使用されます。ネットワークを経由して送信する前に、ユーザー名およびパスワードにハッシュ機能を適用します。 HTTPS プロキシに対してのみ利用できます。このオプションを選択した場合は、ユーザー名とパスワードも入力する必要があります。透過型検査プロキシ、基本認証を持つ HTTP 明示プロキシ、または HTTPS 明示プロキシについては、次のステップに従ってください。
3	[ルート証明書またはエンティティ終了証明書のアップロード] をクリックし、プロキシのルート証明書を選択するために移動します。証明書はアップロードされていますが、まだインストールされていません。証明書をインストールするにはノードを再起動する必要があります。証明書発行者名の山形矢印をクリックして詳細を確認するか、間違っている場合は [削除] をクリックして、ファイルを再度アップロードしてください。
4	[プロキシ接続を確認する] をクリックして、ノードとプロキシ間のネットワーク接続性をテストします。接続テストが失敗した場合は、エラーメッセージが表示され、問題を解決するための理由と方法が示されます。外部 DNS の解決が正常に行われなかったという内容のメッセージが表示された場合、ノードが DNS サーバーに到達できなかったことを示しています。この状況は、多くの明示的なプロキシ構成で想定されています。セットアップを続行すると、ノードは外部 DNS 解決ブロックモードで機能します。これがエラーだと思われる場合は、次の手順を完了し、ブロックされた外部 DNS 解決モードをオフにするを参照してください。
5	接続テストが成功した後、明示的なプロキシについては https のみに設定し、このノードからのすべてのポートの 443/444 https 要求を明示的プロキシを通してルーティングするように切り替えます。この設定を有効にするには 15 秒かかります。
6	[すべての証明書を信頼ストアにインストールする(HTTPS 明示プロキシまたは透過型のプロキシで表示される)] または [再起動] をクリックして、プロンプトを読み、準備が完了したら [インストール] をクリックします。ノードが数分以内に再起動されます。
7	ノードが再起動したら、必要に応じて再度サインインして、[概要] ページを開き、接続チェックを確認してすべて緑色のステータスになっていることを確認します。プロキシ接続の確認は webex.com のサブドメインのみをテストします。接続の問題がある場合、インストール手順に記載されているクラウドドメインの一部がプロキシでブロックされているという問題がよく見られます。

クラスターの最初のノードを登録する

このタスクは、ハイブリッドデータセキュリティ VM のセットアップで作成した汎用ノードを取得し、そのノードを Webex クラウドに登録して、ハイブリッドデータセキュリティノードに変換します。

最初のノードを登録するとき、クラスターをノードが指定されている場所に作成します。クラスターには展開された 1 つ上のノードを含み、冗長性を提供します。

開始する前に

一旦ノードの登録を開始すると、60 分以内に完了する必要があり、そうでなければ、再び最初からやり直しになります。
ブラウザのポップアップブロッカーが無効になっているか、admin.webex.com に対して例外を許可していることを確認します。

1	https://admin.webex.comにサインインします。
2	スクリーンの左側にあるメニューからサービスを選択します。
3	クラウドサービスセクションで、ハイブリッドデータセキュリティカードを見つけて、セットアップをクリックします。
4	開いたページで、リソースの追加をクリックします。
5	ノードの追加カードの最初のフィールドに、Hybrid Data Security ノードを割り当てるクラスターの名前を入力します。クラスターのノードが地理的にどこに配置されているかに基づきクラスターに名前を付けることをお薦めします。例：「サンフランシスコ」、「ニューヨーク」、「ダラス」
6	2 番目のフィールドに、ノードの内部 IP アドレスまたは完全修飾ドメイン名 (FQDN) を入力し、画面下部の追加をクリックします。この IP アドレスまたは FQDN は、ハイブリッドデータセキュリティ VM のセットアップで使用した IP アドレスまたはホスト名およびドメインと一致する必要があります。ノードを Webex に登録できることを示すメッセージが表示されます。
7	[ノードに進む] をクリックします。しばらくすると、Webex サービスのノード接続テストにリダイレクトされます。すべてのテストが成功した場合、[ハイブリッドデータセキュリティノードへのアクセスを許可する] ページが表示されます。ここで、Webex 組織にノードにアクセスする権限を与えることを確認します。
8	[ハイブリッドデータセキュリティノードへのアクセスを許可する] チェックボックスをチェックし、[続行] をクリックします。アカウントが検証され、「登録完了」メッセージが表示されて、ノードが Webex クラウドに登録されたことが示されます。
9	リンクをクリックするかタブを閉じると、パートナーハブのハイブリッドデータセキュリティページに戻ります。ハイブリッドデータセキュリティページで、登録したノードを含む新しいクラスターがリソースタブの下に表示されます。ノードは自動的にクラウドから最新ソフトウェアをダウンロードします。

追加のノードを作成して登録する

追加ノードをクラスターに追加するには、追加 VMs を作成し、同じ構成 ISO ファイルをマウントし、ノードを登録します。最低 3 個のノードを持つことを推奨します。

開始する前に

一旦ノードの登録を開始すると、60 分以内に完了する必要があり、そうでなければ、再び最初からやり直しになります。
ブラウザのポップアップブロッカーが無効になっているか、admin.webex.com に対して例外を許可していることを確認します。

1	HDS ホスト OVA のインストールの手順を繰り返して、OVA から新しい仮想マシンを作成します。
2	Hybrid Data Security VM のセットアップの手順を繰り返して、新しい VM で初期構成をセットアップします。
3	新しい VM で、 HDS 構成 ISO のアップロードとマウントの手順を繰り返します。
4	デプロイメントにプロキシを設定する場合は、新しいノードの必要に応じて、プロキシ統合用の HDS ノードの構成の手順を繰り返します。
5	ノードを登録します。 https://admin.webex.com で、[サービス] をスクリーンの左側にあるメニューから選択します。 [クラウドサービス] セクションで、ハイブリッドデータセキュリティカードを見つけて、 [すべて表示をクリックします。ハイブリッドデータセキュリティリソースページが表示されます。新しく作成されたクラスターはリソースページに表示されます。クラスターをクリックすると、クラスターに割り当てられたノードが表示されます。画面右側のノードの追加をクリックします。ノードの内部 IP アドレスまたは完全修飾ドメイン名 (FQDN) を入力し、 [ 追加 ]をクリックします。ノードを Webex クラウドに登録できることを通知するメッセージが表示されたページが開きます。しばらくすると、Webex サービスのノード接続テストにリダイレクトされます。すべてのテストが成功した場合、[ハイブリッドデータセキュリティノードへのアクセスを許可する] ページが表示されます。ここで、組織にノードへのアクセス許可を与えることを確認します。 [ハイブリッドデータセキュリティノードへのアクセスを許可する] チェックボックスをチェックし、[続行] をクリックします。アカウントが検証され、「登録完了」メッセージが表示されて、ノードが Webex クラウドに登録されたことが示されます。リンクをクリックするかタブを閉じると、パートナーハブのハイブリッドデータセキュリティページに戻ります。ノードが追加されましたポップアップメッセージがパートナーハブの画面の下部にも表示されます。ノードが登録されました。

マルチテナントハイブリッドデータセキュリティでテナント組織を管理する

パートナーハブでマルチテナント HDS を有効化する

このタスクにより、顧客組織のすべてのユーザーがオンプレミスの暗号化キーやその他のセキュリティサービスに HDS を活用できるようになります。

開始する前に

必要な数のノードでマルチテナント HDS クラスターのセットアップが完了していることを確認します。

1	https://admin.webex.comにサインインします。
2	スクリーンの左側にあるメニューからサービスを選択します。
3	[クラウドサービス] セクションで、[ハイブリッドデータセキュリティ] を見つけて、設定の編集] をクリックします。
4	HDS ステータスカードの HDS のアクティブ化をクリックします。

パートナーハブでテナント組織を追加する

このタスクでは、顧客組織をハイブリッドデータセキュリティクラスターに割り当てます。

1	https://admin.webex.comにサインインします。
2	スクリーンの左側にあるメニューからサービスを選択します。
3	[クラウドサービス] セクションで、Hybrid Data Security を見つけて、 [すべて表示]をクリックします。
4	顧客を割り当てるクラスターをクリックします。
5	割り当てられた顧客タブに移動します。
6	顧客を追加をクリックします。
7	ドロップダウンメニューから追加する顧客を選択します。
8	追加をクリックすると、顧客がクラスターに追加されます。
9	手順 6 ～ 8 を繰り返して、複数の顧客をクラスターに追加します。
10	顧客を追加したら、画面下部の完了をクリックします。

次に行うこと

HDS セットアップツールを使用してカスタマーメインキー (CMK) を作成するで説明されているように HDS セットアップツールを実行し、セットアッププロセスを完了します。

HDS セットアップツールを使用して顧客メインキー (CMK) を作成する

開始する前に

パートナーハブでのテナント組織の追加の説明に従って、顧客を適切なクラスターに割り当てます。HDS セットアップツールを実行して、新しく追加された顧客組織のセットアッププロセスを完了します。

HDS セットアップツールをローカルマシンの Docker コンテナとして実行します。アクセスするには、そのマシンで Docker を実行します。セットアッププロセスには、組織の完全な管理者権限を持つパートナーハブアカウントの資格情報が必要です。

HDS セットアップツールが環境内でプロキシの背後で実行される場合は、手順 5で Docker コンテナーを起動するときに、Docker 環境変数を通じてプロキシ設定 (サーバー、ポート、資格情報) を指定します。この表ではいくつかの可能な環境変数を示します。

説明	変数
認証なしの HTTP プロキシ	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
認証なしの HTTPS プロキシ	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
認証ありの HTTP プロキシ	`GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
認証ありの HTTPS プロキシ	`GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

生成する構成 ISO ファイルには、PostgreSQL または Microsoft SQL Server データベースを暗号化するマスターキーが含まれています。次のように構成を変更するときは常に、このファイルの最新のコピーが必要になります。
- データベース資格情報
- 証明書の更新
- 承認ポリシーの変更
データベース接続を暗号化する予定の場合は、PostgreSQL または SQL Server の展開を TLS 用に設定します。

ハイブリッドデータセキュリティのセットアッププロセスでは、ISO ファイルが作成されます。次に、ISO を使用してハイブリッドデータセキュリティホストを構成します。

1	マシンのコマンドラインで、お使い環境に適切なコマンドを入力します。一般環境: `docker rmi ciscocitg/hds-setup:stable` FedRAMP 環境の場合: `docker rmi ciscocitg/hds-setup-fedramp:stable` このステップを実行すると、前の HDS セットアップツールの画像がクリーンアップされます。これ以前の画像がない場合は、無視できるエラーを返します。
2	Docker 画像レジストリにサインインするには、以下を入力します。 `docker login -u hdscustomersro`
3	パスワードのプロンプトに対して、このハッシュを入力します。 `dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo`
4	お使い環境に合った最新の安定した画像をダウンロードします。一般環境: `docker pull ciscocitg/hds-setup:stable` FedRAMP 環境の場合: `docker pull ciscocitg/hds-setup-fedramp:stable`
5	プルが完了したら、お使いの環境に適切なコマンドを入力します。プロキシなしの通常の環境の場合: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable` HTTP プロキシがある通常の環境の場合、 `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable` HTTPS プロキシを使用する通常の環境の場合: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable` プロキシなしの FedRAMP 環境の場合: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable` HTTP プロキシがある FedRAMP 環境の場合: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable` HTTPS プロキシがある FedRAMP 環境の場合: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable` コンテナが実行中の時。「ポート 8080 で Express サーバーリスニング中」と表示されます。
6	セットアップツールは、を介したローカルホストへの接続をサポートしていません http://localhost:8080. http://127.0.0.1:8080 を使用して localhost に接続します。 Web ブラウザを使用してローカルホスト `http://127.0.0.1:8080`に移動し、プロンプトで Partner Hub の管理者ユーザー名を入力します。ツールはユーザー名の最初のエントリを使用して、そのアカウントに適切な環境を設定します。次に、ツールは標準のサインインプロンプトを表示します。
7	プロンプトが表示されたら、パートナーハブ管理者のサインイン資格情報を入力し、ログインをクリックして、ハイブリッドデータセキュリティに必要なサービスへのアクセスを許可します。
8	セットアップツール概要ページで、[開始] をクリックします。
9	ISO インポートページで、はいをクリックします。
10	ブラウザで ISO ファイルを選択し、アップロードします。 CMK 管理を実行するには、データベースへの接続を確保します。
11	テナント CMK 管理タブに移動すると、テナント CMK を管理する次の 3 つの方法が表示されます。すべての ORG の CMK を作成または CMK を作成 - 画面上部のバナーにあるこのボタンをクリックすると、新しく追加されたすべての組織の CMK が作成されます。画面右側の CMK の管理ボタンをクリックし、 CMK の作成をクリックして、新しく追加されたすべての組織の CMK を作成します。表内の特定の組織の CMK 管理保留ステータスの近くにある … をクリックし、 CMK の作成をクリックして、その組織の CMK を作成します。
12	CMK の作成が成功すると、テーブル内のステータスが CMK 管理保留中から CMK 管理対象に変わります。
13	CMK の作成に失敗した場合は、エラーが表示されます。

テナント組織を削除する

開始する前に

削除されると、顧客組織のユーザーは暗号化のニーズに HDS を活用できなくなり、既存のスペースがすべて失われます。顧客組織を削除する前に、Cisco パートナーまたはアカウントマネージャにお問い合わせください。

1	https://admin.webex.comにサインインします。
2	スクリーンの左側にあるメニューからサービスを選択します。
3	[クラウドサービス] セクションで、Hybrid Data Security を見つけて、 [すべて表示]をクリックします。
4	リソースタブで、顧客組織を削除するクラスターをクリックします。
5	開いたページで、割り当てられた顧客をクリックします。
6	表示される顧客組織のリストから、削除する顧客組織の右側にある ... をクリックし、クラスターから削除をクリックします。

次に行うこと

HDS から削除されたテナントの CMK を取り消すに詳述されているように、顧客組織の CMK を取り消すことで削除プロセスを完了します。

HDS から削除されたテナントの CMK を取り消します。

開始する前に

テナント組織の削除の説明に従って、適切なクラスターから顧客を削除します。HDS セットアップツールを実行して、削除された顧客組織の削除プロセスを完了します。

HDS セットアップツールをローカルマシンの Docker コンテナとして実行します。アクセスするには、そのマシンで Docker を実行します。セットアッププロセスには、組織の完全な管理者権限を持つパートナーハブアカウントの資格情報が必要です。

HDS セットアップツールが環境内でプロキシの背後で実行される場合は、手順 5で Docker コンテナーを起動するときに、Docker 環境変数を通じてプロキシ設定 (サーバー、ポート、資格情報) を指定します。この表ではいくつかの可能な環境変数を示します。

説明	変数
認証なしの HTTP プロキシ	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
認証なしの HTTPS プロキシ	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
認証ありの HTTP プロキシ	`GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
認証ありの HTTPS プロキシ	`GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

生成する構成 ISO ファイルには、PostgreSQL または Microsoft SQL Server データベースを暗号化するマスターキーが含まれています。次のように構成を変更するときは常に、このファイルの最新のコピーが必要になります。
- データベース資格情報
- 証明書の更新
- 承認ポリシーの変更
データベース接続を暗号化する予定の場合は、PostgreSQL または SQL Server の展開を TLS 用に設定します。

ハイブリッドデータセキュリティのセットアッププロセスでは、ISO ファイルが作成されます。次に、ISO を使用してハイブリッドデータセキュリティホストを構成します。

1	マシンのコマンドラインで、お使い環境に適切なコマンドを入力します。一般環境: `docker rmi ciscocitg/hds-setup:stable` FedRAMP 環境の場合: `docker rmi ciscocitg/hds-setup-fedramp:stable` このステップを実行すると、前の HDS セットアップツールの画像がクリーンアップされます。これ以前の画像がない場合は、無視できるエラーを返します。
2	Docker 画像レジストリにサインインするには、以下を入力します。 `docker login -u hdscustomersro`
3	パスワードのプロンプトに対して、このハッシュを入力します。 `dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo`
4	お使い環境に合った最新の安定した画像をダウンロードします。一般環境: `docker pull ciscocitg/hds-setup:stable` FedRAMP 環境の場合: `docker pull ciscocitg/hds-setup-fedramp:stable`
5	プルが完了したら、お使いの環境に適切なコマンドを入力します。プロキシなしの通常の環境の場合: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable` HTTP プロキシがある通常の環境の場合、 `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable` HTTPS プロキシを使用する通常の環境の場合: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable` プロキシなしの FedRAMP 環境の場合: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable` HTTP プロキシがある FedRAMP 環境の場合: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable` HTTPS プロキシがある FedRAMP 環境の場合: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable` コンテナが実行中の時。「ポート 8080 で Express サーバーリスニング中」と表示されます。
6	セットアップツールは、を介したローカルホストへの接続をサポートしていません http://localhost:8080. http://127.0.0.1:8080 を使用して localhost に接続します。 Web ブラウザを使用してローカルホスト `http://127.0.0.1:8080`に移動し、プロンプトで Partner Hub の管理者ユーザー名を入力します。ツールはユーザー名の最初のエントリを使用して、そのアカウントに適切な環境を設定します。次に、ツールは標準のサインインプロンプトを表示します。
7	プロンプトが表示されたら、パートナーハブ管理者のサインイン資格情報を入力し、ログインをクリックして、ハイブリッドデータセキュリティに必要なサービスへのアクセスを許可します。
8	セットアップツール概要ページで、[開始] をクリックします。
9	ISO インポートページで、はいをクリックします。
10	ブラウザで ISO ファイルを選択し、アップロードします。
11	テナント CMK 管理タブに移動すると、テナント CMK を管理する次の 3 つの方法が表示されます。すべての ORG の CMK を取り消すまたは CMK を取り消す - 画面上部のバナーにあるこのボタンをクリックすると、削除されたすべての組織の CMK が取り消されます。画面右側の CMK の管理ボタンをクリックし、 CMK の取り消しをクリックして、削除されたすべての組織の CMK を取り消します。テーブル内の特定の組織の ] 取り消す CMK ステータスの近くにある … をクリックし、 CMK を取り消すをクリックして、その特定の組織の CMK を取り消します。
12	CMK の失効が成功すると、顧客組織はテーブルに表示されなくなります。
13	CMK の失効が失敗した場合、エラーが表示されます。

ハイブリッドデータセキュリティの展開をテストする

ハイブリッドデータセキュリティ展開

この手順を使用して、マルチテナントハイブリッドデータセキュリティ暗号化シナリオをテストします。

開始する前に

マルチテナントハイブリッドデータセキュリティの展開をセットアップします。
キー要求がマルチテナントハイブリッドデータセキュリティ展開に渡されていることを確認するには、syslog にアクセスできることを確認します。

1

与えられたスペースのキーは、スペースの作成者により設定されます。顧客組織のユーザーの 1 人として Webex アプリにサインインし、スペースを作成します。

ハイブリッドデータセキュリティの展開を非アクティブ化すると、暗号化キーのクライアントキャッシュコピーが置き換えられると、ユーザーが作成したスペース内のコンテンツにアクセスできなくなります。

2

メッセージを新しいスペースに送信します。

3

Syslog 出力をチェックして、キー要求がハイブリッドデータセキュリティ展開に渡されていることを確認します。

新しく追加された顧客組織のユーザーが何らかのアクションを実行すると、その組織の組織 ID がログに表示され、これを使用して組織がマルチテナント HDS を活用していることを確認できます。syslog 内の kms.data.orgId の値を確認します。

ユーザーが最初にKMSへの安全なチャネルを確立しているかどうかを確認するには、 kms.data.method=create と kms.data.type=EPHEMERAL_KEY_COLLECTIONでフィルタリングします。 :

次のようなエントリ (読みやすくするために識別子が省略されます) を見つける必要があります。:

2025-04-10 04:38:20.208 (+0000) INFO  KMS [pool-19-thread-13] - [KMS:REQUEST] received, deviceId: 
https://wdm-a.wbx2.com/wdm/api/v1/devices/4[~]5 ecdheKid: kms://collabdemoorg.cisco.com/statickeys/8[~]3 
clusterConnection: prodachm::0 orgId: 2[~]b (EncryptionKmsMessageHandler.java:558) WEBEX_TRACKINGID=webex-web-client_0[~]6,
 kms.data.method=create, kms.merc.id=d[~]7, kms.merc.sync=false, kms.data.uriHost=collabdemoorg.cisco.com, 
kms.data.type=EPHEMERAL_KEY_COLLECTION, kms.data.requestId=1[~]f, kms.data.orgId=2[~]b,
 kms.data.uri=kms://collabdemoorg.cisco.com/ecdhe, kms.data.userId=1[~]f, kms.data.httpUserAgent=[~]

KMSから既存のキーを要求しているユーザーを確認するには、 kms.data.method=retrieve と kms.data.type=KEYでフィルタリングします。 :

以下のエントリーを見つける必要があります。

2025-04-10 04:38:24.144 (+0000) INFO  KMS [pool-19-thread-26] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/4[~]5
 ecdheKid: kms://collabdemoorg.cisco.com/ecdhe/b[~]9 clusterConnection: prodachm::0 orgId: 2[~]b (EncryptionKmsMessageHandler.java:558)
 WEBEX_TRACKINGID=webex-web-client_0[~]0, kms.data.method=retrieve, kms.merc.id=5[~]3, kms.merc.sync=false,
 kms.data.uriHost=collabdemoorg.cisco.com, kms.data.type=KEY, kms.data.requestId=4[~]7, kms.data.orgId=2[~]b,
 kms.data.uri=kms://collabdemoorg.cisco.com/keys/2[~]e, kms.data.userId=1[~]f, kms.data.httpUserAgent=[~]

新しいKMSキーの作成を要求しているユーザーを確認するには、 kms.data.method=create と kms.data.type=KEY_COLLECTIONでフィルタリングします。 :

以下のエントリーを見つける必要があります。

2025-04-10 04:42:22.739 (+0000) INFO  KMS [pool-19-thread-29] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/4[~]5
 ecdheKid: kms://collabdemoorg.cisco.com/ecdhe/b[~]9 clusterConnection: prodachm::7 orgId: 2[~]b
 (EncryptionKmsMessageHandler.java:558) WEBEX_TRACKINGID=webex-web-client_0[~]3, kms.data.method=create, 
kms.merc.id=6[~]4, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, kms.data.requestId=6[~]4, 
kms.data.orgId=2[~]b, kms.data.uri=/keys, kms.data.userId=1[~]f, kms.data.httpUserAgent=[~]

スペースやその他の保護されたリソースが作成された場合に、新しいKMSリソースオブジェクト（KRO）の作成を要求しているユーザーを確認するには、 kms.data.method=create と kms.data.type=RESOURCE_COLLECTIONでフィルタリングします。 :

以下のエントリーを見つける必要があります。

2025-04-10 04:42:23.690 (+0000) INFO  KMS [pool-19-thread-31] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/3[~]6 ecdheKid: kms://collabdemoorg.cisco.com/ecdhe/b[~]9 
clusterConnection: prodachm::1 orgId: 2[~]b (EncryptionKmsMessageHandler.java:558) WEBEX_TRACKINGID=webex-web-client_0[~]2,
 kms.data.method=create, kms.merc.id=3[~]0, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
kms.data.requestId=5[~]8, kms.data.orgId=2[~]b, kms.data.uri=/resources, kms.data.userId=1[~]f, kms.data.httpUserAgent=conversation

ハイブリッドデータセキュリティの正常性のモニター

パートナーハブ内のステータスインジケーターには、マルチテナントハイブリッドデータセキュリティの展開が正常かどうかが表示されます。事前のアラートについては、メール通知にサインアップします。サービスに影響するアラームやソフトウェアアップグレードがある場合は通知されます。

1	パートナーハブで、画面左側のメニューからサービスを選択します。
2	[クラウドサービス] セクションで、[ハイブリッドデータセキュリティ] を見つけて、設定の編集] をクリックします。ハイブリッドデータセキュリティ設定のページが表示されます。
3	[メール通知] セクションで、カンマ区切りで 1 つ以上のメールアドレスを入力し、[Enter] を推します。

HDSの導入を管理する

HDS 展開の管理

ここで説明するタスクを使用して、ハイブリッドデータセキュリティの展開を管理します。

クラスターのアップグレードスケジュール

Hybrid Data Security のソフトウェアアップグレードはクラスターレベルで自動的に実行されるため、すべてのノードで常に同じソフトウェアバージョンが実行されるようになります。アップグレードは、クラスターのアップグレードのスケジュールに従って行われます。ソフトウェアのアップグレードが可能になると、スケジュールされているアップグレードの時間の前に手動でクラスターのアップグレードを行うことも可能になります。特定のアップグレードのスケジュールを設定するか、毎日午前 3 時 (アメリカ合衆国) に行うというデフォルトのスケジュールも利用可能です。アメリカ/ロサンゼルス必要であれば、次に予定されているアップグレードを延期することも可能です。

アップグレードのスケジュールを設定するには、次の操作を行います。

1	Partner Hub にサインインします。
2	スクリーンの左側にあるメニューからサービスを選択します。
3	クラウドサービスセクションで、ハイブリッドデータセキュリティを見つけてセットアップをクリックします。
4	[ハイブリッドデータセキュリティリソース] ページで、クラスターを選択します。
5	クラスター設定タブをクリックします。
6	[クラスター設定] ページの [アップグレードスケジュール] で、アップグレードスケジュールの時刻とタイムゾーンを選択します。注意: タイムゾーンの下に、次に可能なアップグレードの日時が表示されます。必要に応じて、 24 時間延期をクリックして、アップグレードを翌日に延期することができます。

ノードの構成を変更する

場合により、以下のような理由でハイブリッドデータセキュリティノードの構成の変更が必要な場合があります。

有効期限が切れる、または他の理由による、x.509 証明書の変更。

証明書の CN ドメイン名の変更はサポートされていません。ドメインは、クラスターを登録するために使用される元のドメインと一致する必要があります。
データベース設定を更新して、PostgreSQL または Microsoft SQL Server データベースのレプリカを変更します。

PostgreSQL から Microsoft SQL Server への、またはその逆へのデータ移行はサポートしていません。データベース環境を切り替えるには、ハイブリッドデータセキュリティの新しい展開を開始します。
新しい構成を作成して新しいデータセンターの準備をする。

また、セキュリティ上の理由により、ハイブリッドデータセキュリティは 9 か月間使用可能なサービスアカウントパスワードを使用します。HDS セットアップツールがこれらのパスワードを生成した後で、ISO 構成ファイルの各 HDS ノードに展開します。組織のパスワードの有効期限切れが近い場合、Webex チームから「パスワード期限切れ通知」を受け取り、マシンアカウントのパスワードのリセットを求められます。(メールにはテキスト「マシンアカウント API を使用してパスワードを更新します」を含みます。) パスワードの有効期限が切れるまで時間が十分にある場合、ツールには次の 2 つのオプションがあります:

ソフトリセット—古いパスワードと新しいパスワードはどちらも最大 10 日間有効です。この期間を使用して、ノードの ISO ファイルを段階的に置き換えることができます。
ハードリセット—古いパスワードは直ちに使用できなくなります。

パスワードをリセットせずに期限切れになる場合、HDS サービスに影響を与える可能性があります。すぐにハードリセットし、すべてのノードの ISO ファイルを置換する必要があります。

この手順を使用して、新しい構成 ISO ファイルを生成し、クラスターに適用します。

始める前に

HDS セットアップツールをローカルマシンの Docker コンテナとして実行します。アクセスするには、そのマシンで Docker を実行します。セットアッププロセスには、パートナーの完全な管理者権限を持つパートナーハブアカウントの資格情報が必要です。

Docker Desktop ライセンスがない場合は、以下の手順のステップ 1.a から 1.e まで、Podman Desktop を使用して HDS セットアップツールを実行できます。詳細については、 Podman Desktop を使用して HDS セットアップツールを実行するを参照してください。

HDS セットアップツールが環境内でプロキシの背後で実行される場合は、 1.eで Docker コンテナーを起動するときに、Docker 環境変数を通じてプロキシ設定 (サーバー、ポート、資格情報) を指定します。この表ではいくつかの可能な環境変数を示します。

説明	変数
認証なしの HTTP プロキシ	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
認証なしの HTTPS プロキシ	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
認証ありの HTTP プロキシ	`GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
認証ありの HTTPS プロキシ	`GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

新しい構成を生成するには、現在の構成 ISO ファイルのコピーが必要です。ISO には PostgreSQL または Microsoft SQL Server データベースを暗号化するマスターキーを含むです。データベースの証明書、証明書の更新、認証方針への変更を含む、構成の変更を行った場合は ISO が必要です。

1	ローカルマシンで Docker を使用し、HDS セットアップツールを実行します。マシンのコマンドラインで、お使い環境に適切なコマンドを入力します。一般環境: `docker rmi ciscocitg/hds-setup:stable` FedRAMP 環境の場合: `docker rmi ciscocitg/hds-setup-fedramp:stable` このステップを実行すると、前の HDS セットアップツールの画像がクリーンアップされます。これ以前の画像がない場合は、無視できるエラーを返します。 Docker 画像レジストリにサインインするには、以下を入力します。 `docker login -u hdscustomersro` パスワードのプロンプトに対して、このハッシュを入力します。 `dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo` お使い環境に合った最新の安定した画像をダウンロードします。一般環境: `docker pull ciscocitg/hds-setup:stable` FedRAMP 環境の場合: `docker pull ciscocitg/hds-setup-fedramp:stable` この手順に最新のセットアップツールをプルしていることを確認します。2018 年 2 月 22 日より前に作成されたツールのバージョンには、パスワードリセット画面が表示されません。プルが完了したら、お使いの環境に適切なコマンドを入力します。プロキシなしの通常の環境の場合: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable` HTTP プロキシがある通常の環境の場合、 `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable` HTTPS プロキシがある通常の環境の場合: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable` プロキシなしの FedRAMP 環境の場合: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable` HTTP プロキシがある FedRAMP 環境の場合: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable` HTTPS プロキシがある FedRAMP 環境の場合: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable` コンテナが実行中の時。「ポート 8080 で Express サーバーリスニング中」と表示されます。ブラウザを使用して、ローカルホスト `http://127.0.0.1:8080` に接続します。セットアップツールは、を介したローカルホストへの接続をサポートしていません http://localhost:8080. http://127.0.0.1:8080 を使用して localhost に接続します。プロンプトが表示されたら、パートナーハブの顧客サインイン資格情報を入力し、 [同意する ] [] をクリックして続行します。現在の構成 ISO ファイルをインポートします。指示に従い、ツールを完了し、更新されたファイルをダウンロードします。セットアップツールをシャットダウンするには、 `CTRL+C`と入力します。更新されたファイルのバックアップコピーを別のデータセンターに作成します。
2	実行中の HDS ノードが 1 つだけの場合は、新しいハイブリッドデータセキュリティノード VM を作成し、新しい構成 ISO ファイルを使用して登録します。詳細な手順については、追加のノードを作成して登録するを参照してください。 HDS 主催者 OVA をインストールします。 HDS VM をセットアップします。更新された構成ファイルをマウントします。新しいノードをパートナーハブに登録します。
3	古い構成ファイルを実行している既存の HDS ノードの場合、ISO ファイルをマウントします。各ノードで以下の手順を実行し、次のノードをオフにする前に、各ノードを更新します。仮想マシンをオフにします。 VMware vSphere クライアントの左ナビゲーションペインで、ESXi サーバーを右クリックし、[設定の編集] をクリックします。 `CD/DVD Drive 1`をクリックし、ISO ファイルからマウントするオプションを選択して、新しい構成 ISO ファイルをダウンロードした場所を参照します。 [電源に接続する] をチェックします。変更を保存し、仮想マシンを起動します。
4	ステップ 3 を繰り返し、古い構成ファイルを実行している残りの各ノードで構成を置き換えます。

外部 DNS 解決ブロックモードをオフにする

ノードを登録するか、またはノードのプロキシ構成を確認するとき、プロセスは DNS 検索と Cisco Webex クラウドへの接続をテストします。ノードの DNS サーバーがパブリック DNS 名を解決できない場合、ノードは自動的に外部 DNS 解決ブロックモードに進みます。

ノードが内部 DNS サーバーを通してパブリック DNS 名を解決できる場合、各ノードでプロキシ接続テストを再実行することで、このモードをオフにすることができます。

開始する前に

内部 DNS サーバーがパブリック DNS 名を解決でき、ノードがそれらと通信できることを確認します。

1	ウェブブラウザで、ハイブリッドデータセキュリティノードインターフェース (IP address/setup, たとえば、 https://192.0.2.0/setup), ノードに設定した管理者の資格情報を入力し、サインインをクリックします。
2	[概要] (デフォルトページ) に移動します。有効になっている場合、 [外部 DNS 解決ブロック] は [はい] に設定されています。
3	[信頼ストアとプロキシ] ページに移動します。
4	[プロキシ接続を確認する] をクリックします。外部 DNS の解決が正常に行われなかったという内容のメッセージが表示された場合、ノードが DNS サーバーに到達できなかったことを示しており、このモードに留まっています。そうでない場合には、ノードを再起動して[概要] ページに戻ると、[外部 DNS 解決ブロック] は [いいえ] に設定されるはずです。

次に行うこと

ハイブリッドデータセキュリティクラスターの各ノードで、プロキシ接続テストを繰り返します。

ノードの削除

Webex クラウドからハイブリッドデータセキュリティノードを削除するには、次の手順に従います。クラスターからノードを削除した後、セキュリティデータへのさらなるアクセスを防ぐために仮想マシンを削除します。

1

コンピュータの VMware vSphere クライアントを使用して、ESXi 仮想主催者にログインし、仮想マシンをオフにします。

2

ノードの削除:

パートナーハブにサインインし、サービスを選択します。
ハイブリッドデータセキュリティカードですべて表示をクリックすると、ハイブリッドデータセキュリティリソースページが表示されます。
クラスターを選択して、概要パネルを表示します。
削除したいノードをクリックします。
右側に表示されるパネルでこのノードの登録を解除をクリックします
ノードの右側にある … をクリックし、このノードを削除を選択してノードを登録解除することもできます。

3

vSphere クライアントで、VM を削除します。(左側のナビゲーションペインで、VM を右クリックし、削除をクリックします。)

VM を削除しない場合は、構成 ISO ファイルを必ずアンマウントしてください。ISO ファイルがないと、VM を使用してセキュリティデータにアクセスできません。

スタンバイデータセンターを使用した災害復旧

ハイブリッドデータセキュリティクラスターが提供する最も重要なサービスは、Webex クラウドに保存されるメッセージやその他のコンテンツを暗号化するために使用されるキーの作成と保存です。組織内でハイブリッドデータセキュリティに割り当てられているユーザーごとに、新しいキー作成リクエストがクラスターにルーティングされます。カンバセーションスペースのメンバーなど、受け取りの認可を得ているユーザーに、作成されるキーを戻す責任がクラスターにはあります。

クラスタープラットフォームはこれらのキーを提供するにあたり重要な機能となるため、クラスターが実行中のままで、適切なバックアップが維持されている必要があります。ハイブリッドデータセキュリティデータベースまたはスキーマに使用される構成 ISO が失われると、顧客コンテンツが回復不能に失われます。損失などを防ぐためには、以下のプラクティスが必須です:

災害によりプライマリデータセンターの HDS 展開が利用できなくなった場合は、次の手順に従ってスタンバイデータセンターに手動でフェイルオーバーします。

開始する前に

ノードの削除に記載されているように、パートナーハブからすべてのノードの登録を解除します。以前アクティブだったクラスターのノードに対して構成された最新の ISO ファイルを使用して、以下に示すフェイルオーバー手順を実行します。

1	HDS セットアップツールを起動し、 HDS ホストの構成 ISO を作成するに記載されている手順に従います。
2	構成プロセスを完了し、ISO ファイルを見つけやすい場所に保存します。
3	ローカルシステムに ISO ファイルのバックアップコピーを作成します。バックアップコピーを安全に保管してください。このファイルには、データベースコンテンツのマスター暗号化キーを含みます。構成の変更を行う必要があるハイブリッドデータセキュリティ管理者のみにアクセスを制限します。
4	VMware vSphere クライアントの左ナビゲーションペインで、ESXi サーバーを右クリックし、[設定の編集] をクリックします。
5	設定の編集をクリック >CD/DVD ドライブ1 を選択し、データストアISOファイルを選択します。更新された構成の変更がノードの起動後に有効になるように、接続済みおよび電源投入時に接続がチェックされていることを確認してください。
6	HDS ノードの電源をオンにし、少なくとも 15 分間アラームがないことを確認します。
7	パートナーハブにノードを登録します。参照クラスター内の最初のノードを登録します。
8	スタンバイデータセンター内のすべてのノードに対してこのプロセスを繰り返します。

次に行うこと

フェイルオーバー後、プライマリデータセンターが再びアクティブになった場合は、スタンバイデータセンターのノードを登録解除し、上記のように ISO を構成してプライマリデータセンターのノードを登録するプロセスを繰り返します。

(オプション) HDS 構成後に ISO をアンマウントする

標準の HDS 構成は、ISO がマウントされた状態で実行されます。しかし、ISO ファイルを継続的にマウントしたままにしないことを希望する顧客もいます。すべての HDS ノードが新しい構成を取得した後、ISO ファイルをアンマウントできます。

構成の変更には引き続き ISO ファイルを使用します。セットアップツールを使用して新しい ISO を作成したり、ISO を更新したりする場合は、更新された ISO をすべての HDS ノードにマウントする必要があります。すべてのノードが構成の変更を取得したら、この手順で ISO を再度アンマウントできます。

開始する前に

すべての HDS ノードをバージョン 2021.01.22.4720 以降にアップグレードします。

1	HDS ノードの 1 つをシャットダウンします。
2	vCenter Server Appliance で、HDS ノードを選択します。
3	設定の編集を選択 > CD/DVD ドライブを選択し、データストアISOファイルのチェックを外します。
4	HDS ノードの電源をオンにし、少なくとも 20 分間アラームがないことを確認します。
5	各 HDS ノードに対して順番に繰り返します。

ハイブリッドデータセキュリティのトラブルシューティング

アラートを表示してトラブルシューティングする

クラスター内のすべてのノードに到達できない場合、またはクラスターの動作が遅すぎて要求がタイムアウトになった場合、ハイブリッドデータセキュリティの展開は使用できないとみなされます。ユーザーがハイブリッドデータセキュリティクラスターにアクセスできない場合は、次の症状が発生します。

新しいスペースが作成できない (新しいキーを作成できない)
メッセージとスペースのタイトルを暗号解除できない:
- 新しいユーザーをスペースに追加する (キーを取得できない)
- 新しいクライアントを使用したスペースの既存ユーザー (キーを取得できない)
クライアントが暗号キーのキャッシュを持っている限り、スペースの既存ユーザーは引き続き正常に実行します

サービスの中断を避けるために、ハイブリッドデータセキュリティクラスターを適切に監視し、アラートに速やかに対処することが重要です。

警告

ハイブリッドデータセキュリティの設定に問題がある場合、Partner Hub は組織管理者にアラートを表示し、構成された電子メールアドレスに電子メールを送信します。アラートでは多くに共通するシナリオを説明しています。

表1. 共通の問題と解決ステップ
警告	アクション
ローカルデータべースへのアクセスに失敗しました。	データベースのエラーかローカルネットワークの問題をチェックしてください。
ローカルデータベースの接続に失敗しました。	データベースサーバーが利用可能であり、正しいサービスアカウント証明書がノード構成に使用されていたことをチェックします。
クラウドサービスへのアクセスに失敗しました。	外部接続要件で指定されているとおりにノードが Webex サーバーにアクセスできることを確認します。
クラウドサービスの登録を更新します。	クラウドサービスへの登録に失敗しました。登録の更新は現在進行中です。
クラウドサービスの登録に失敗しました。	クラウドサービスへの登録が終了しましたサービスがシャットダウンしました。
サービスがアクティベートされていません。	パートナーハブで HDS をアクティブ化します。
構成されたドメインはサーバー証明書に一致しません。	サーバー証明書が構成されたサービスアクティベーションドメインに一致することを確認します。もっとも多い原因は、証明書 CN が最近変更され、最初のセットアップ中に使用された CN とは異なっているためです。
クラウドサービスへの認証に失敗しました。	正確性とサービスアカウント証明書の期限切れの可能性をチェックします。
ローカルキーストアファイルを開くことに失敗しました。	ローカルキーストアファイルの整合性とパスワードの正確性をチェックします。
ローカルサーバー証明書が無効です。	サーバー証明書の期限切れ日をチェックし、信頼できる証明書権限から発行されたものであることを確認します。
メトリクスを投稿できません。	外部クラウドサービスへのローカルネットワークアクセスをチェックします。
/media/configdrive/hds ディレクトリは存在しません。	仮想ホストで ISO マウント構成をチェックします。ISO ファイルが存在し、再起動時にマウントされるように構成されており、正常にマウントされていることを確認します。
追加された組織のテナント組織設定が完了していません	HDS セットアップツールを使用して、新しく追加されたテナント組織の CMK を作成し、セットアップを完了します。
削除された組織のテナント組織セットアップが完了していません	HDS セットアップツールを使用して削除されたテナント組織の CMK を取り消して、セットアップを完了します。

ハイブリッドデータセキュリティのトラブルシューティング

ハイブリッドデータセキュリティに関する問題をトラブルシューティングするときは、次の一般的なガイドラインに従ってください。

1	パートナーハブでアラートを確認し、見つかった項目を修正します。下の画像を参考にしてください。
2	ハイブリッドデータセキュリティ展開からのアクティビティについて、Syslog サーバーの出力を確認します。トラブルシューティングに役立つように、「警告」や「エラー」などの単語をフィルタリングします。
3	Cisco サポートに連絡します。

その他の注意事項

ハイブリッドデータセキュリティに関する既知の問題

ハイブリッドデータセキュリティクラスターをシャットダウンした場合 (パートナーハブで削除するか、すべてのノードをシャットダウンすることによって)、構成 ISO ファイルが失われた場合、またはキーストアデータベースにアクセスできなくなった場合、顧客組織の Webex アプリユーザーは、KMS からのキーを使用して作成されたユーザーリストの下のスペースを使用できなくなります。一度アクティブユーザーを扱った場合、現在この問題の会費苞や修正方法はなく、HDS サービスを終了しないようにしてください。
KMS への既存の ECDH 接続を持つクライアントは、一定の期間接続を維持します (およそ 1 時間)。

Podman Desktop を使用して HDS セットアップツールを実行する

Podman は、コンテナを実行、管理、作成する方法を提供する、無料のオープンソースコンテナ管理ツールです。Podman Desktopは https://podman-desktop.io/downloadsからダウンロードできます。

HDS セットアップツールをローカルマシンの Docker コンテナとして実行します。アクセスするには、そのマシンに Podman をダウンロードして実行します。セットアッププロセスでは、組織に対するフル管理者権限を持つ Control Hub アカウントの資格情報が必要です。

HDS セットアップツールが環境内のプロキシの背後で実行される場合は、手順 5 で Docker コンテナーを起動するときに、Docker 環境変数を通じてプロキシ設定 (サーバー、ポート、資格情報) を指定します。この表ではいくつかの可能な環境変数を示します。

説明	変数
認証なしの HTTP プロキシ	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
認証なしの HTTPS プロキシ	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
認証ありの HTTP プロキシ	`GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
認証ありの HTTPS プロキシ	`GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

生成する構成 ISO ファイルには、PostgreSQL または Microsoft SQL Server データベースを暗号化するマスターキーが含まれています。次のように構成を変更するときは常に、このファイルの最新のコピーが必要になります。
- データベース資格情報
- 証明書の更新
- 承認ポリシーの変更
データベース接続を暗号化する予定の場合は、PostgreSQL または SQL Server の展開を TLS 用に設定します。

ハイブリッドデータセキュリティのセットアッププロセスでは、ISO ファイルが作成されます。次に、ISO を使用してハイブリッドデータセキュリティホストを構成します。

podman rmi ciscocitg/hds-setup:stable  
podman login docker.io -u hdscustomersro
dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
podman pull ciscocitg/hds-setup:stable
podman run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

次に行うこと

ISO 構成を作成または変更するには、 HDS ホストの構成 ISO を作成するまたはノード構成を変更するの残りの手順に従います。

コントロールハブ内のパートナー組織の既存のシングルテナント HDS 展開を、パートナーハブのマルチテナント HDS セットアップに移動します。

Control Hub で管理されているパートナー組織の既存のシングルテナント HDS 展開から、Partner Hub で管理されているマルチテナント HDS 展開への変換には、主に、Control Hub での HDS サービスの非アクティブ化、ノードの登録解除、およびクラスターの削除が含まれます。その後、パートナーハブにログインし、ノードを登録し、マルチテナント HDS をアクティブ化し、顧客をクラスターに追加できます。

「シングルテナント」という用語は、Control Hub 内の既存の HDS 展開を指します。

コントロールハブでHDSを非アクティブ化し、ノードを登録解除し、クラスターを削除します

1	コントロールハブにログインします。左側のペインで、ハイブリッドをクリックします。ハイブリッドデータセキュリティカードで、 [設定の編集] をクリックします。
2	設定ページで、「非アクティブ化」セクションまで下にスクロールし、「非アクティブ化」をクリックします。
3	非アクティブ化後、リソースタブをクリックします。
4	リソースページには、HDS デプロイメント内のクラスターが一覧表示されます。クラスターをクリックすると、そのクラスターの下にあるすべてのノードを含むページが開きます。
5	右側の ... をクリックし、ノードの登録解除をクリックします。クラスター内のすべてのノードに対してこのプロセスを繰り返します。
6	デプロイメントに複数のクラスターがある場合は、すべてのノードが登録解除されるまで手順 4 と手順 5 を繰り返します。
7	クラスタ設定をクリック > 取り除く。
8	クラスターの登録を解除するには、削除の確認をクリックします。
9	HDS 展開内のすべてのクラスターに対してこのプロセスを繰り返します。 HDS の非アクティブ化、ノードの登録解除、クラスターの削除後、Control Hub のハイブリッドデータサービスカードの下部にセットアップが完了していませんと表示されます。

パートナーハブでパートナー組織のマルチテナント HDS をアクティブ化し、顧客を追加します。

開始する前に

マルチテナントハイブリッドデータセキュリティの要件に記載されているすべての前提条件がここで適用されます。さらに、マルチテナント HDS への移行中に同じデータベースと証明書が使用されるようにしてください。

1	パートナーハブにログインします。左ペインのサービスをクリックします。以前の HDS デプロイメントと同じ ISO を使用してノードを構成します。これにより、以前の既存の HDS 展開でユーザーによって生成されたメッセージとコンテンツに、新しいマルチテナント設定でも引き続きアクセスできるようになります。
2	クラウドサービスセクションで、ハイブリッドデータセキュリティカードを見つけて、セットアップをクリックします。
3	開いたページで、リソースの追加をクリックします。
4	ノードの追加カードの最初のフィールドに、Hybrid Data Security ノードを割り当てるクラスターの名前を入力します。クラスターのノードが地理的にどこに配置されているかに基づきクラスターに名前を付けることをお薦めします。例：「サンフランシスコ」、「ニューヨーク」、「ダラス」
5	2 番目のフィールドに、ノードの内部 IP アドレスまたは完全修飾ドメイン名 (FQDN) を入力し、画面下部の追加をクリックします。この IP アドレスまたは FQDN は、ハイブリッドデータセキュリティ VM のセットアップで使用した IP アドレスまたはホスト名およびドメインと一致する必要があります。ノードを Webex に登録できることを示すメッセージが表示されます。
6	[ノードに進む] をクリックします。しばらくすると、Webex サービスのノード接続テストにリダイレクトされます。すべてのテストが成功した場合、[ハイブリッドデータセキュリティノードへのアクセスを許可する] ページが表示されます。ここで、Webex 組織にノードにアクセスする権限を与えることを確認します。
7	[ハイブリッドデータセキュリティノードへのアクセスを許可する] チェックボックスをチェックし、[続行] をクリックします。アカウントが検証され、「登録完了」メッセージが表示されて、ノードが Webex クラウドに登録されたことが示されます。ハイブリッドデータセキュリティページで、登録したノードを含む新しいクラスターがリソースタブの下に表示されます。ノードは自動的にクラウドから最新ソフトウェアをダウンロードします。
8	設定タブに移動し、HDS ステータスカードのアクティブ化をクリックします。 HDS がアクティブ化されましたというメッセージが画面下部に表示されます。
9	リソースで、新しく作成されたクラスターをクリックします。
10	開いたページで、割り当てられた顧客タブをクリックします。
11	顧客を追加をクリックします。
12	ドロップダウンメニューから追加する顧客を選択します。
13	追加をクリックすると、顧客がクラスターに追加されます。
14	手順 11 ～ 13 を繰り返して、複数の顧客をクラスターに追加します。
15	顧客を追加したら、画面下部の完了をクリックします。

次に行うこと

HDS セットアップツールを使用してカスタマーメインキー (CMK) を作成するで説明されているように HDS セットアップツールを実行し、セットアッププロセスを完了します。

OpenSSL を使用して PKCS12 ファイルを生成する

開始する前に

OpenSSL は、HDS セットアップツールでローディングするために、適切なフォーマットで PKCS12 ファイルを作成するために使用可能なツールです。これを実行する他の方法もあり、別の方法がある中で1つの方法をサポートまたは促進しません。
OpenSSL を使用する場合は、 X.509 証明書の要件に記載されている X.509 証明書の要件を満たすファイルを作成するためのガイドラインとして、この手順が提供されています。続行する前にそれらの要件を理解します。
サポートされている環境で OpenSSL をインストールします。ソフトウェアと文書については https://www.openssl.org をご覧ください。
秘密鍵を作成します。
証明書権限 (CA) からサーバー証明書を受け取るとき、この手順を開始します。

1	CA からサーバー証明書を受け取ったら、 `hdsnode.pem`として保存します。
2	テキストとして証明書を表示し、詳細を検証します: `openssl x509 -text -noout -in hdsnode.pem`
3	テキストエディターを使用して、 `hdsnode-bundle.pem`という証明書バンドルファイルを作成します。バンドルファイルには、下のフォーマットでサーバー証明書、中間 CA 証明書、ルート証明書を含みます。 `-----BEGIN CERTIFICATE----- ### Server certificate. ### -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ### Intermediate CA certificate. ### -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ### Root CA certificate. ### -----END CERTIFICATE-----`
4	フレンドリ名 `kms-private-key`で .p12 ファイルを作成します。 `openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12`
5	サーバー証明書の詳細をチェックします。 `openssl pkcs12 -in hdsnode.p12` アウトプットに一覧化されるように、指示に従いパスワードを入力し、秘密鍵を暗号化します。次に、秘密鍵と最初の証明書に `friendlyName: kms-private-key`の行が含まれていることを確認します。例: bash$ openssl pkcs12 -in hdsnode.p12 Enter Import Password: MAC verified OK Bag Attributes friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Key Attributes: Enter PEM pass phrase: Verifying - Enter PEM pass phrase: -----BEGIN ENCRYPTED PRIVATE KEY----- -----END ENCRYPTED PRIVATE KEY----- Bag Attributes friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 -----BEGIN CERTIFICATE----- -----END CERTIFICATE----- Bag Attributes friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3 -----BEGIN CERTIFICATE----- -----END CERTIFICATE-----

次に行うこと

に戻り、ハイブリッドデータセキュリティの前提条件を完了します。 hdsnode.p12 ファイルとそれに設定したパスワードは、 HDS ホストの構成 ISO を作成するで使用します。

元の証明書の有効期限が切れたときに、これらのファイルを再利用して新しい証明書を要求できます。

HDS ノードおよびクラウド間のトラフィック

アウトバウンドメトリクスコレクショントラフィック

ハイブリッドデータセキュリティノードは、特定のメトリックを Webex クラウドに送信します。これらには以下が含まれます。heap max、使用される heap、CPU ロード、しきい値カウント。同期および非同期しきい値のメトリクス。暗号化接続、遅延、リクエストキューの長さのしきい値を含むアラートのメトリクス。データストアのメトリクス。暗号化接続メトリクス。Out-of-Band (リクエストとは別) チャンネルの暗号化されたキーマテリアルを送信します。

インバウンドトラフィック

ハイブリッドデータセキュリティノードは、Webex クラウドから次の種類の受信トラフィックを受信します。

暗号サービスからルートされたクライアントからの暗号化リクエスト
ノードソフトウェアへのアップグレード

ハイブリッドデータセキュリティの Squid プロキシを設定する

Websocket は Squid プロキシを通じて接続できません

HTTPS トラフィックを検査する Squid プロキシは、ハイブリッドデータセキュリティに必要な Websocket (wss:) 接続の確立を妨げる可能性があります。これらのセクションでは、サービスが適切に動作するために wss: トラフィックを無視するようにさまざまなバージョンの Squid を構成する方法について説明します。

Squid 4 および5

on_unsupported_protocol ディレクティブを squid.confに追加する :

on_unsupported_protocol tunnel all

Squid 3.5.27

squid.confに次のルールを追加して、ハイブリッドデータセキュリティを正常にテストしました。これらのルールは、機能を開発し、Webex クラウドを更新する際に変更されることがあります。

acl wssMercuryConnection ssl::server_name_regex mercury-connection

ssl_bump splice wssMercuryConnection

acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all

1	HDS ノードセットアップ URL `https://[HDS Node IP or FQDN]/setup` を入力して、ノードに対して設定した管理者資格情報を入力し、[サインイン] をクリックします。
2	[信頼ストアとロキシ] に移動して、次のオプションを選択します。プロキシなし—プロキシを統合する前のデフォルトオプションです。証明書の更新は必要ありません。透明検査なしのプロキシ—ノードは特定のプロキシサーバーアドレスを使用するように設定されていないため、検査なしのプロキシで動作するように変更は必要ありません。証明書の更新は必要ありません。透過型検査プロキシ—ノードは特定のプロキシサーバーアドレスを使用するように設定されていません。ハイブリッドデータセキュリティの展開では HTTPS 構成の変更は必要ありませんが、HDS ノードはプロキシを信頼できるようにするためにルート証明書を必要とします。プロキシを検査することで、Web サイトにアクセスするか、どのタイプのコンテンツを使用するかを強制するポリシーを施行することができます。このタイプのプロキシは、すべてのトラフィック (HTTPS さえも含む) を復号化します。明示的プロキシ—明示的プロキシを使用して、使用するプロキシサーバーをクライアント (HDS ノード) に指示します。このオプションは複数の認証タイプをサポートします。このオプションを選択した後、次の情報を入力する必要があります。プロキシ IP/FQDN—プロキシマシンに到達するために使用できるアドレス。プロキシポート: プロキシがプロキシトラフィックをリッスンするために使用するポート番号。プロキシプロトコル—http (クライアントから受信したすべての要求を表示およびコントロール) または https (サーバーにチャネルを提供し、クライアントがサーバーの証明書を受信して検証します) を選択します。プロキシサーバーがサポートするオプションを選択します。認証タイプ: 次の認証タイプから選択します。なし: 追加の認証は必要ありません。 HTTP または HTTPS プロキシで利用できます。ベーシック—HTTP ユーザーエージェントがリクエストを行う際にユーザー名とパスワードを指定するために使用されます。Base64 エンコードを使用します。 HTTP または HTTPS プロキシで利用できます。このオプションを選択した場合は、ユーザー名とパスワードも入力する必要があります。ダイジェスト: 機密情報を送信する前にアカウントを確認するために使用されます。ネットワークを経由して送信する前に、ユーザー名およびパスワードにハッシュ機能を適用します。 HTTPS プロキシに対してのみ利用できます。このオプションを選択した場合は、ユーザー名とパスワードも入力する必要があります。透過型検査プロキシ、基本認証を持つ HTTP 明示プロキシ、または HTTPS 明示プロキシについては、次のステップに従ってください。
3	[ルート証明書またはエンティティ終了証明書のアップロード] をクリックし、プロキシのルート証明書を選択するために移動します。証明書はアップロードされていますが、まだインストールされていません。証明書をインストールするにはノードを再起動する必要があります。証明書発行者名の山形矢印をクリックして詳細を確認するか、間違っている場合は [削除] をクリックして、ファイルを再度アップロードしてください。
4	[プロキシ接続を確認する] をクリックして、ノードとプロキシ間のネットワーク接続性をテストします。接続テストが失敗した場合は、エラーメッセージが表示され、問題を解決するための理由と方法が示されます。外部 DNS の解決が正常に行われなかったという内容のメッセージが表示された場合、ノードが DNS サーバーに到達できなかったことを示しています。この状況は、多くの明示的なプロキシ構成で想定されています。セットアップを続行すると、ノードは外部 DNS 解決ブロックモードで機能します。これがエラーだと思われる場合は、これらの手順を完了し、「ブロックされた外部 DNS 解決モードをオフにする」を参照してください。
5	接続テストが成功した後、明示的なプロキシについては https のみに設定し、このノードからのすべてのポートの 443/444 https 要求を明示的プロキシを通してルーティングするように切り替えます。この設定を有効にするには 15 秒かかります。
6	[すべての証明書を信頼ストアにインストールする(HTTPS 明示プロキシまたは透過型のプロキシで表示される)] または [再起動] をクリックして、プロンプトを読み、準備が完了したら [インストール] をクリックします。ノードが数分以内に再起動されます。
7	ノードが再起動したら、必要に応じて再度サインインして、[概要] ページを開き、接続チェックを確認してすべて緑色のステータスになっていることを確認します。プロキシ接続の確認は webex.com のサブドメインのみをテストします。接続の問題がある場合、インストール手順に記載されているクラウドドメインの一部がプロキシでブロックされているという問題がよく見られます。

1	ローカルマシンで Docker を使用し、HDS セットアップツールを実行します。マシンのコマンドラインで、お使い環境に適切なコマンドを入力します。一般環境: `docker rmi ciscocitg/hds-setup:stable` FedRAMP 環境の場合: `docker rmi ciscocitg/hds-setup-fedramp:stable` このステップを実行すると、前の HDS セットアップツールの画像がクリーンアップされます。これ以前の画像がない場合は、無視できるエラーを返します。 Docker 画像レジストリにサインインするには、以下を入力します。 `ドッカーログイン -u hdscustomersro` パスワードのプロンプトに対して、このハッシュを入力します。 `dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo` お使い環境に合った最新の安定した画像をダウンロードします。一般環境: `ドッカープル ciscocitg/hds-setup:stable` FedRAMP 環境の場合: `ドッカープル ciscocitg/hds-setup-fedramp:stable` この手順に最新のセットアップツールをプルしていることを確認します。2018 年 2 月 22 日より前に作成されたツールのバージョンには、パスワードリセット画面が表示されません。プルが完了したら、お使いの環境に適切なコマンドを入力します。プロキシなしの通常の環境の場合: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable` HTTP プロキシがある通常の環境の場合、 `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:ポート ciscocitg/hds-setup:stable` HTTPS プロキシがある通常の環境の場合: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:ポート ciscocitg/hds-setup:stable` プロキシなしの FedRAMP 環境の場合: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable` HTTP プロキシがある FedRAMP 環境の場合: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:ポート ciscocitg/hds-setup-fedramp:stable` HTTPS プロキシがある FedRAMP 環境の場合: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:ポート ciscocitg/hds-setup-fedramp:stable` コンテナが実行中の時。「ポート 8080 で Express サーバーリスニング中」と表示されます。ブラウザを使用して、ローカルホスト `http://127.0.0.1:8080` に接続します。セットアップツールは、http://localhost:8080 を介した localhost への接続をサポートしていません。http://127.0.0.1:8080 を使用して、localhost に接続します。プロンプトが表示されたら、Partner Hub の顧客サインイン情報を入力し、[承認] をクリックして続行します。現在の構成 ISO ファイルをインポートします。指示に従い、ツールを完了し、更新されたファイルをダウンロードします。セットアップツールをシャットダウンするには、[`CTRL+C`] と入力します。別のデータセンターで、更新されたファイルのバックアップコピーを作成します。
2	実行中の HDS ノードが 1 つしかない場合、新しいハイブリッドデータセキュリティノード VM を作成し、新しい構成 ISO ファイルを使用して登録します。詳細については、「さらにノードを作成して登録する」を参照してください。 HDS 主催者 OVA をインストールします。 HDS VM をセットアップします。更新された構成ファイルをマウントします。 Partner Hub で新しいノードを登録します。
3	古い構成ファイルを実行している既存の HDS ノードの場合、ISO ファイルをマウントします。各ノードで以下の手順を実行し、次のノードをオフにする前に、各ノードを更新します。仮想マシンをオフにします。 VMware vSphere クライアントの左ナビゲーションペインで、ESXi サーバーを右クリックし、[設定の編集] をクリックします。 [`CD/DVD Drive 1`] をクリックし、ISO ファイルからマウントするオプションを選択して、新規構成 ISO ファイルをダウンロードした場所を参照します。 [電源に接続する] をチェックします。変更を保存し、仮想マシンを起動します。
4	ステップ 3 を繰り返し、古い構成ファイルを実行している残りの各ノードで構成を置き換えます。

1	HDS ノードセットアップ URL `https://[HDS Node IP or FQDN]/setup` を入力して、ノードに対して設定した管理者資格情報を入力し、[サインイン] をクリックします。
2	[信頼ストアとロキシ] に移動して、次のオプションを選択します。プロキシなし—プロキシを統合する前のデフォルトオプションです。証明書の更新は必要ありません。透明検査なしのプロキシ—ノードは特定のプロキシサーバーアドレスを使用するように設定されていないため、検査なしのプロキシで動作するように変更は必要ありません。証明書の更新は必要ありません。透過型検査プロキシ—ノードは特定のプロキシサーバーアドレスを使用するように設定されていません。ハイブリッドデータセキュリティの展開では HTTPS 構成の変更は必要ありませんが、HDS ノードはプロキシを信頼できるようにするためにルート証明書を必要とします。プロキシを検査することで、Web サイトにアクセスするか、どのタイプのコンテンツを使用するかを強制するポリシーを施行することができます。このタイプのプロキシは、すべてのトラフィック (HTTPS さえも含む) を復号化します。明示的プロキシ—明示的プロキシを使用して、使用するプロキシサーバーをクライアント (HDS ノード) に指示します。このオプションは複数の認証タイプをサポートします。このオプションを選択した後、次の情報を入力する必要があります。プロキシ IP/FQDN—プロキシマシンに到達するために使用できるアドレス。プロキシポート: プロキシがプロキシトラフィックをリッスンするために使用するポート番号。プロキシプロトコル—http (クライアントから受信したすべての要求を表示およびコントロール) または https (サーバーにチャネルを提供し、クライアントがサーバーの証明書を受信して検証します) を選択します。プロキシサーバーがサポートするオプションを選択します。認証タイプ: 次の認証タイプから選択します。なし: 追加の認証は必要ありません。 HTTP または HTTPS プロキシで利用できます。ベーシック—HTTP ユーザーエージェントがリクエストを行う際にユーザー名とパスワードを指定するために使用されます。Base64 エンコードを使用します。 HTTP または HTTPS プロキシで利用できます。このオプションを選択した場合は、ユーザー名とパスワードも入力する必要があります。ダイジェスト: 機密情報を送信する前にアカウントを確認するために使用されます。ネットワークを経由して送信する前に、ユーザー名およびパスワードにハッシュ機能を適用します。 HTTPS プロキシに対してのみ利用できます。このオプションを選択した場合は、ユーザー名とパスワードも入力する必要があります。透過型検査プロキシ、基本認証を持つ HTTP 明示プロキシ、または HTTPS 明示プロキシについては、次のステップに従ってください。
3	[ルート証明書またはエンティティ終了証明書のアップロード] をクリックし、プロキシのルート証明書を選択するために移動します。証明書はアップロードされていますが、まだインストールされていません。証明書をインストールするにはノードを再起動する必要があります。証明書発行者名の山形矢印をクリックして詳細を確認するか、間違っている場合は [削除] をクリックして、ファイルを再度アップロードしてください。
4	[プロキシ接続を確認する] をクリックして、ノードとプロキシ間のネットワーク接続性をテストします。接続テストが失敗した場合は、エラーメッセージが表示され、問題を解決するための理由と方法が示されます。外部 DNS の解決が正常に行われなかったという内容のメッセージが表示された場合、ノードが DNS サーバーに到達できなかったことを示しています。この状況は、多くの明示的なプロキシ構成で想定されています。セットアップを続行すると、ノードは外部 DNS 解決ブロックモードで機能します。これがエラーだと思われる場合は、これらの手順を完了し、「ブロックされた外部 DNS 解決モードをオフにする」を参照してください。
5	接続テストが成功した後、明示的なプロキシについては https のみに設定し、このノードからのすべてのポートの 443/444 https 要求を明示的プロキシを通してルーティングするように切り替えます。この設定を有効にするには 15 秒かかります。
6	[すべての証明書を信頼ストアにインストールする(HTTPS 明示プロキシまたは透過型のプロキシで表示される)] または [再起動] をクリックして、プロンプトを読み、準備が完了したら [インストール] をクリックします。ノードが数分以内に再起動されます。
7	ノードが再起動したら、必要に応じて再度サインインして、[概要] ページを開き、接続チェックを確認してすべて緑色のステータスになっていることを確認します。プロキシ接続の確認は webex.com のサブドメインのみをテストします。接続の問題がある場合、インストール手順に記載されているクラウドドメインの一部がプロキシでブロックされているという問題がよく見られます。

1	マシンのコマンドラインで、お使い環境に適切なコマンドを入力します。一般環境: `podman rmi ciscocitg/hds-setup:stable` FedRAMP 環境の場合: `podman rmi ciscocitg/hds-setup-fedramp:stable` このステップを実行すると、前の HDS セットアップツールの画像がクリーンアップされます。これ以前の画像がない場合は、無視できるエラーを返します。
2	Docker 画像レジストリにサインインするには、以下を入力します。 `podman login docker.io -u hdscustomersro`
3	パスワードのプロンプトに対して、このハッシュを入力します。 `dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo`
4	お使い環境に合った最新の安定した画像をダウンロードします。一般環境: `podman pull ciscocitg/hds-setup:stable` FedRAMP 環境の場合: `podman pull ciscocitg/hds-setup-fedramp:stable`
5	プルが完了したら、お使いの環境に適切なコマンドを入力します。プロキシなしの通常の環境の場合: `podman run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable` HTTP プロキシがある通常の環境の場合、 `podman run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable` HTTPS プロキシがある通常の環境の場合: `podman run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable` プロキシなしの FedRAMP 環境の場合: `podman run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable` HTTP プロキシがある FedRAMP 環境の場合: `podman run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable` HTTPS プロキシがある FedRAMP 環境の場合: `podman run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable` コンテナが実行中の時。「ポート 8080 で Express サーバーリスニング中」と表示されます。

コメントありがとうございます。

マルチテナント ハイブリッド データ セキュリティ (HDS) の導入ガイド (ベータ版)

新規および変更された情報

新規および変更された情報

マルチテナントのハイブリッド データ セキュリティの無効化

マルチテナント HDS の無効化タスク フロー

マルチテナントのハイブリッド データ セキュリティを使い始める

マルチテナントのハイブリッド データ セキュリティの概要

マルチテナント ハイブリッド データ セキュリティがデータの主権とデータ制御を提供する方法

マルチテナントハイブリッド データ セキュリティのロール

セキュリティ領域のアーキテクチャ

他の組織と協力する

ハイブリッド データ セキュリティの展開の例外

高レベルのセットアップ プロセス

ハイブリッド データ セキュリティ展開モデル

災害復旧のためのスタンバイデータセンター

プロキシサポート

ハイブリッド データ セキュリティ ノードとプロキシの例

外部 DNS 解決ブロックモード (明示的プロキシ構成)

環境を準備する

マルチテナントハイブリッド データ セキュリティの要件

Cisco Webex ライセンス要件

Docker デスクトップの要件

X.509 証明書要件

仮想ホストの要件

データベース サーバーの要件

Microsoft SQL Server に対する Windows 認証の追加要件

外部接続要件

プロキシ サーバーの要件

ハイブリッド データ セキュリティの前提条件を満たします

ハイブリッド データ セキュリティ クラスタをセットアップ

ハイブリッド データ セキュリティ展開のタスク フロー

初期セットアップを実行し、インストール ファイルをダウンロードする

HDS 主催者に構成 ISO を作成する

HDS 主催者 OVA をインストールする

ハイブリッド データ セキュリティ VM のセットアップ

HDS 構成 ISO をアップロードしマウントする

プロキシ統合のために HDS ノードを設定する

クラスタ内の最初のノードを登録

他のノードを作成して登録

マルチテナントのハイブリッド データ セキュリティでテナント組織を管理する

Partner Hub でマルチテナント HDS をアクティブにする

Partner Hub でテナント組織を追加

HDS セットアップ ツールを使用してカスタマー メイン キー (CMK) を作成する

テナント組織を削除

HDS から削除されたテナントの CMK を取り消します。

ハイブリッド データ セキュリティの展開をテスト

ハイブリッド データ セキュリティ展開

ハイブリッド データ セキュリティの正常性のモニター

HDS 展開を管理します

HDS 展開の管理

クラスターのアップグレード スケジュール

ノードの構成を変更する

外部 DNS 解決ブロックモードをオフにする

ノードの削除

スタンバイデータセンターを使用した災害復旧

(オプション) HDS 設定後に ISO を取り外す

ハイブリッド データ セキュリティのトラブルシューティング

アラートを表示してトラブルシューティングする

警告

ハイブリッド データ セキュリティのトラブルシューティング

その他のメモ

ハイブリッド データ セキュリティ に関する既知の問題

OpenSSL を使用して PKCS12 ファイルを生成する

HDS ノードおよびクラウド間のトラフィック

アウトバウンド メトリクス コレクション トラフィック

インバウンド トラフィック

ハイブリッド データ セキュリティの Squid プロキシを設定する

Websocket は Squid プロキシを通じて接続できません

新規および変更された情報

新規および変更された情報

マルチテナントのハイブリッド データ セキュリティの無効化

マルチテナント HDS の無効化タスク フロー

マルチテナントのハイブリッド データ セキュリティを使い始める

マルチテナントのハイブリッド データ セキュリティの概要

マルチテナント ハイブリッド データ セキュリティがデータの主権とデータ制御を提供する方法

マルチテナントハイブリッド データ セキュリティのロール

セキュリティ領域のアーキテクチャ

他の組織と協力する

ハイブリッド データ セキュリティの展開の例外

マルチテナントハイブリッドデータセキュリティ (HDS) の導入ガイド (ベータ版)

マルチテナントのハイブリッドデータセキュリティの無効化

マルチテナント HDS の無効化タスクフロー

マルチテナントのハイブリッドデータセキュリティを使い始める

マルチテナントのハイブリッドデータセキュリティの概要

マルチテナントハイブリッドデータセキュリティがデータの主権とデータ制御を提供する方法

マルチテナントハイブリッドデータセキュリティのロール

ハイブリッドデータセキュリティの展開の例外

高レベルのセットアッププロセス

ハイブリッドデータセキュリティ展開モデル

ハイブリッドデータセキュリティノードとプロキシの例

マルチテナントハイブリッドデータセキュリティの要件

データベースサーバーの要件

プロキシサーバーの要件

ハイブリッドデータセキュリティの前提条件を満たします

ハイブリッドデータセキュリティクラスタをセットアップ

ハイブリッドデータセキュリティ展開のタスクフロー

初期セットアップを実行し、インストールファイルをダウンロードする

ハイブリッドデータセキュリティ VM のセットアップ

マルチテナントのハイブリッドデータセキュリティでテナント組織を管理する

HDS セットアップツールを使用してカスタマーメインキー (CMK) を作成する

ハイブリッドデータセキュリティの展開をテスト

ハイブリッドデータセキュリティ展開

ハイブリッドデータセキュリティの正常性のモニター

クラスターのアップグレードスケジュール

ハイブリッドデータセキュリティのトラブルシューティング

ハイブリッドデータセキュリティのトラブルシューティング

ハイブリッドデータセキュリティに関する既知の問題

アウトバウンドメトリクスコレクショントラフィック

インバウンドトラフィック

ハイブリッドデータセキュリティの Squid プロキシを設定する

マルチテナントのハイブリッドデータセキュリティの無効化

マルチテナント HDS の無効化タスクフロー

マルチテナントのハイブリッドデータセキュリティを使い始める

マルチテナントのハイブリッドデータセキュリティの概要

マルチテナントハイブリッドデータセキュリティがデータの主権とデータ制御を提供する方法

マルチテナントハイブリッドデータセキュリティのロール

ハイブリッドデータセキュリティの展開の例外

高レベルのセットアッププロセス

ハイブリッドデータセキュリティ展開モデル

ハイブリッドデータセキュリティノードとプロキシの例

マルチテナントハイブリッドデータセキュリティの要件

データベースサーバーの要件

プロキシサーバーの要件

ハイブリッドデータセキュリティの前提条件を満たします

ハイブリッドデータセキュリティクラスタをセットアップ

ハイブリッドデータセキュリティ展開のタスクフロー

初期セットアップを実行し、インストールファイルをダウンロードする

ハイブリッドデータセキュリティ VM のセットアップ

マルチテナントのハイブリッドデータセキュリティでテナント組織を管理する

HDS セットアップツールを使用してカスタマーメインキー (CMK) を作成する

ハイブリッドデータセキュリティの展開をテスト

ハイブリッドデータセキュリティ展開

ハイブリッドデータセキュリティの正常性のモニター

クラスターのアップグレードスケジュール

ハイブリッドデータセキュリティのトラブルシューティング

ハイブリッドデータセキュリティのトラブルシューティング

ハイブリッドデータセキュリティに関する既知の問題

アウトバウンドメトリクスコレクショントラフィック

インバウンドトラフィック

ハイブリッドデータセキュリティの Squid プロキシを設定する

マルチテナントのハイブリッドデータセキュリティの無効化

マルチテナント HDS の無効化タスクフロー

マルチテナントのハイブリッドデータセキュリティを使い始める

マルチテナントのハイブリッドデータセキュリティの概要

マルチテナントハイブリッドデータセキュリティがデータの主権とデータ制御を提供する方法

マルチテナントハイブリッドデータセキュリティのロール

ハイブリッドデータセキュリティの展開の例外

高レベルのセットアッププロセス

ハイブリッドデータセキュリティ展開モデル