アーキテクチャ

BroadWorks 版 Webex の概要

図にあるものは何ですか?

クライアント

  • Webex アプリ クライアントは Cisco BroadWorks 版 Webex サービスが提供するプライマリ アプリケーションとして機能します。クライアントは、デスクトップ、モバイル、およびウェブ プラットフォームで利用できます。

    クライアントには、Webex Cloud が提供するネイティブ メッセージの送信、プレゼンス、およびマルチパーティの音声/ビデオ ミーティングがあります。Webex クライアントは、BroadWorks のインフラストラクチャを SIP と PSTN に使用します。

  • Cisco IP 電話と関連するアクセサリもまた、SIP およびPSTN コールに、BroadWorks インフラストラクチャを使用します。サードパーティーの電話もサポートできると予想されます。

  • ユーザーが BroadWorks 資格情報を使用して Webex にログインするためのユーザー アクティベーション ポータル。

  • Partner Hub は、Webex 組織と顧客の組織を管理するウェブ インターフェイスです。Partner Hub は、BroadWorks インフラストラクチャと Webex の統合を構成する場所です。Partner Hub を使用して、クライアントの構成と課金も管理します。

サービス プロバイダ ネットワーク

図の左の緑のブロックは、あなたのネットワークを表します。ネットワークでホストされたコンポーネントは、以下のサービスとインターフェイスをソリューションの他の部分に提供します。

  • Cisco BroadWorks 版 Webex の公開 XSP|ADP: (このボックスは、ロードバランサの前面にある 1 つまたは複数の XSP|ADP ファームを表します。)

    • Xtended Services インターフェイス (XSI-Actions & XSI-Events)、デバイス管理サービス (DMS)、CTI インターフェイス、認証サービスをホストします。これらのアプリケーションを組み合わせることで、電話と Webex クライアントが自身を認証し、通話構成ファイルをダウンロードし、通話の受発信を行い、お互いのフック ステータス (テレフォニープレゼンス) および通話履歴を確認できるようにします。

    • Webex クライアントにディレクトリを公開します。

  • NPS を実行している公開 XSP|ADP:

    • コール通知 プッシュサーバーをホスト: 環境の XSP|ADP 上の通知プッシュ サーバー。アプリケーション サーバーと NPS プロキシの間をインターフェイスします。プロキシが短期間トークンをお使いの NPS に提供し、クラウド サービスへの通知を承認します。これらのサービス (APNS および FCM) は、Apple iOS および Google Android デバイス上の Webex クライアントにコール通知を送信します。

  • アプリケーション サーバー:

    • その他の BroadWorks システムにコール制御およびインタフェイスを提供します (一般的)

    • フローパススルー プロビジョニングについて、AS はパートナー管理者が Webex でユーザーをプロビジョニングするために使用されます

    • BroadWorks にユーザー プロファイルプッシュする

  • OSS/BSS: BroadWorks エンタープライズを管理するオペレーション サポート システム/業務 SIP サービス。

Webex Cloud

図の青のブロックは Webex を表します。Webex マイクロサービスは、Webex コラボレーション機能の全機能をサポートしています。

  • Cisco Common Identity (CI) は、Webex 内のアイデンティティ サービスです。

  • Cisco BroadWorks 版 Webex は Webex と、サービス プロバイダーがホストする BroadWorks 間のインテグレーションをサポートするマイクロサービスのセットです。

    • ユーザー プロビジョニング API

    • サービス プロバイダの構成

    • BroadWorks 資格情報を使用したユーザーのログイン

  • メッセージング関連のマイクロサービス用の Webex メッセージング ボックス。

  • 複数の参加者のビデオ ミーティングのメディア処理サーバーと SPC (SIP & SRTP) を表す Webex Meetings ボックス

サードパーティ製のウェブ サービス

図では、以下のサードパーティ製のコンポーネントを示します。

  • APNS (Apple Push Notifications Service) は Apple デバイスの Webex アプリケーションにコールとメッセージ通知をプッシュします。

  • FCM (FireBase Cloud Messaging) が Android デバイス上の Webex アプリケーションにコールとメッセージ通知をプッシュします。

XSP|ADP アーキテクチャの考慮事項

Cisco BroadWorks 版 Webex での公開 XSP|ADP サーバーの役割

お使いの環境の公開 XSP|ADP は、次のインターフェイス/サービスを Webex とクライアントに提供します。

  • ユーザーに代わって BroadWorks JWT (JSON Web Token) の Webex 要求に応答する TLS で保護された認証サービス (AuthService)

  • Webex が BroadWorks の通話履歴およびテレフォニー プレゼンス ステータス (フック ステータス) をサブスクライブする、mTLS により保護された CTI インターフェイス

  • 購読者のコール制御、連絡先とコール リストのディレクトリ、およびエンドユーザーのテレフォニー サービス構成のための Xsi アクションとイベントのインターフェイス (eXtended Services Interface)

  • クライアントが通話構成設定ファイルを取得する DM (デバイス管理) サービス

Cisco BroadWorks 版 Webex を設定する際にこれらのインターフェイスの URL を提供する。(このドキュメントの「Partner Hub で BroadWorks クラスターを構成する 」を参照してください。) 各クラスターに対して、各インターフェイスの URL は 1 つしか指定できません。BroadWorks インフラストラクチャに複数のインターフェイスがある場合は、複数のクラスタを作成できます。

XSP|ADP アーキテクチャ

XSP|ADP アーキテクチャ: オプション1
XSP|ADP アーキテクチャ: オプション 2

NPS (通知プッシュ サーバー) アプリケーションをホストするには、別の専用 XSP|ADP インスタンスまたはファームを使用する必要があります。UC-One SaaS または UC-One Collaborate と同じ NPS を使用できます。ただし、NPS アプリケーションをホストするのと同じ XSP|ADP 上で Cisco BroadWorks 版 Webex に必要な他のアプリケーションをホストすることはできません。

次の理由により、専用 XSP|ADP インスタンス/ファームを使用して、Webex インテグレーションに必要なアプリケーションをホストすることを推奨します

  • たとえば、UC-One SaaS を提供している場合、Cisco BroadWorks 版 Webex 用の新しい XSP|ADP ファームを作成することをお勧めします。この方法によって、サブスクライバーを移行する間に、2 つのサービスが独立して動作することができます。

  • Cisco BroadWorks 版 Webex アプリケーションを他の目的で使用される XSP|ADP ファームに配置する場合、使用状況を監視し、結果として生じる複雑さを管理し、拡張スケールを計画するのはあなたの責任です。

  • Cisco BroadWorks システム容量プランナー は、専用 XSP|ADP ファームを想定しており、コロケーションの計算に使用する場合、正確でない場合があります。

特に注意しない限り、Cisco BroadWorks 版 Webex XSP|ADP 専用の Webex は次のアプリケーションをホストする必要があります。

  • AuthService(CI トークン検証を使用した TLS または mTLS)

  • CTI (mTLS)

  • XSI-Actions (TLS)

  • XSI-Events (TLS)

  • DMS (TLS):オプション。Cisco BroadWorks 版 Webex 専用の別の DMS インスタンスまたはファームを展開することは必須ではありません。UC-One SaaS または UC-One Collaborate に使用するのと同じ DMS インスタンスを使用できます。

  • コール設定 Webview(TLS):オプション。通話設定 Webview (CSW) は、Cisco BroadWorks 版 Webex のユーザーが Webex アプリで通話機能を設定できるようにする場合にのみ必要です。

Webex は相互の TLS 認証により保護されたインターフェイスを通して、CTI にアクセスする必要があります。この要件を満たすには、次のいずれかのオプションを推奨します。

  • (オプション 1 とラベル付けされた図) すべてのアプリケーションの 1 つの XSP|ADP インスタンスまたはファームで、各サーバーに 2 つのインターフェイスを構成します。CTI の mTLS インターフェイスと AuthService など他のアプリの TLS インターフェイス。

  • (オプション 2 とラベル付けされた図) 2 つの XSP|ADP インスタンスまたはファームです。1 つは CTI の mTLS インターフェイスを備え、もう 1 つは AuTHService などの他のアプリの TLS インターフェイスを備えています。

XSP|ADP の再使用

上記の推奨アーキテクチャ (オプション 1 または 2) のいずれかに準拠している既存の XSP|ADP ファームがあり、負荷が軽減されている場合、既存の XSP|ADP を再利用することができます。既存のアプリケーションと Webex の新しいアプリケーション要件との間に競合する構成要件がないことを確認する必要があります。2 つの主な考慮事項は以下のとおりです。

  • XSP|ADP で複数の Webex パートナー組織をサポートする必要がある場合は、認証サービスで mTLS を使用する必要があります (CI トークン検証は XSP|ADP 上の単一のパートナー組織でのみサポートされています)。認証サービスで mTLS を使用する場合、認証サービスの基本認証を使用するクライアントを同時には持てないことになります。この状況では XSP|ADP の再利用を防ぐことができます。

  • 既存の CTI サービスが、セキュアポート (通常は 8012) のクライアントで使用するように設定されているが、mTLS なし (クライアント認証など) は、Webex の mTLS 要件と競合します。

XSP|ADP には多数のアプリケーションがあり、これらのアプリケーションの順列の数が大きいため、他の未確認の競合が発生する可能性があります。このため、再使用をコミットする前に、XSP|ADP の再使用が意図した構成でラボで確認する必要があります。

XSP|ADP で NTP 同期を構成する

展開には、Webex で使用するすべての XSP|ADP の時間同期が必要です。

OS インストール後と BroadWorks ソフトウェアをインストールする前に、ntp パッケージをインストールします。その後、XSP|ADP ソフトウェアのインストール中に NTP を設定できます。詳細については、「BroadWorks ソフトウェア管理ガイド」を参照してください。

XSP|ADP ソフトウェアのインタラクティブなインストール中に、NTP を設定するオプションが与えられます。次の手順に従います。

  1. インストーラーが、「NTP の設定を行いますか?」と尋ねたら、y を入力します。

  2. インストーラーが、「このサーバーは NTP サーバーになりますか?」と尋ねたら、n を入力 します。

  3. インストーラーが「NTP アドレス、ホスト名、FQDN は?」 と尋ねた場合、NTP サーバーのアドレスを入力するか、パブリック NTP サービス (たとえば、「pool.ntp.org」) を入力します。

XSP|ADP がサイレント (非インタラクティブ) インストールを使用している場合、インストーラ構成ファイルには次の Key=Value ペアが含まれている必要があります。

NTP
NTP_SERVER=

XSP|ADP アイデンティティとセキュリティ要件

背景

Cisco BroadWorks TLS 接続のプロトコルおよび暗号は、異なるレベルの具体性で構成可能です。これらのレベル範囲は、最も一般的な(SSLプロバイダ)から最も具体的な(個別のインターフェイス)まであります。より具体的な設定は常に、より一般的な設定を上書きします。指定されていない場合、「低レベルの SSL 設定」は「高い」レベルから継承されます。

デフォルトから設定が変更されない場合、すべてのレベルは SSL プロバイダのデフォルト設定 (JSSE Java Secure Sockets Extension) を継承します。

要件リスト

  • XSP|ADP は、共通名またはサブジェクト代替名が XSI インターフェイスのドメイン部分と一致する CA 署名付き証明書を使用してクライアントに対して自身を認証する必要があります。

  • XSI インターフェイスは TLSv1.2 プロトコルをサポートしている必要があります。

  • Xsi インターフェイスは、以下の要件を満たす暗号スイートを使用する必要があります。

    • Diffie-Hellman Ephemeral (DHE) または楕円曲線 Diffie-Hellman Ephemeral (ECDHE) 鍵交換

    • AES (Advanced Encryption Standard) 暗号は、最小のブロックサイズが 128 ビット (AES-128 または AES-256 など) で暗号化されます。

    • GCM (Galois/カウンター モード) または CBC (暗号ブロックチェーン) 暗号モード

      • CBC 暗号が使用される場合、鍵の生成には SHA2 ファミリーのハッシュ機能だけが許可されます (SHA256、SHA384、SHA512)。

たとえば、以下の暗号が要件を満たしています。

  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384

  • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384

  • TLS_DHE_RSA_WITH_AES_256_GCM_SHA384

  • TLS_DHE_PSK_WITH_AES_256_CBC_SHA384

XSP|ADP CLI では、openSSL 規則ではなく、上記のように、暗号スイートに対する IANA 命名規則を必要とします。

AuthService および XSI インターフェイス向け TLS 暗号化をサポート

このリストは、クラウド セキュリティ要件が進化するにつれて変更される場合があります。この文書の要件リストに記載されている通り、暗号選択に関する現在の Cisco クラウド セキュリティ推奨に従います。

  • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384

  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384

  • TLS_DHE_RSA_WITH_AES_256_GCM_SHA384

  • TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256

  • TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256

  • TLS_DHE_RSA_WITH_CHACHA20_POLY1305_SHA256

  • TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256

  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256

  • TLS_DHE_RSA_WITH_AES_128_GCM_SHA256

  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384

  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384

  • TLS_DHE_RSA_WITH_AES_256_CBC_SHA256

  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256

  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256

  • TLS_DHE_RSA_WITH_AES_128_CBC_SHA256

  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA

  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA

  • TLS_DHE_RSA_WITH_AES_256_CBC_SHA

  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA

  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA

  • TLS_DHE_RSA_WITH_AES_128_CBC_SHA

  • TLS_RSA_PSK_WITH_AES_256_GCM_SHA384

  • TLS_DHE_PSK_WITH_AES_256_GCM_SHA384

  • TLS_RSA_PSK_WITH_CHACHA20_POLY1305_SHA256

  • TLS_DHE_PSK_WITH_CHACHA20_POLY1305_SHA256

  • TLS_ECDHE_PSK_WITH_CHACHA20_POLY1305_SHA256

  • TLS_RSA_WITH_AES_256_GCM_SHA384

  • TLS_PSK_WITH_AES_256_GCM_SHA384

  • TLS_PSK_WITH_CHACHA20_POLY1305_SHA256

  • TLS_RSA_PSK_WITH_AES_128_GCM_SHA256

  • TLS_DHE_PSK_WITH_AES_128_GCM_SHA256

  • TLS_RSA_WITH_AES_128_GCM_SHA256

  • TLS_PSK_WITH_AES_128_GCM_SHA256

  • TLS_RSA_WITH_AES_256_CBC_SHA256

  • TLS_RSA_WITH_AES_128_CBC_SHA256

  • TLS_ECDHE_PSK_WITH_AES_256_CBC_SHA384

  • TLS_ECDHE_PSK_WITH_AES_256_CBC_SHA

  • TLS_RSA_PSK_WITH_AES_256_CBC_SHA384

  • TLS_DHE_PSK_WITH_AES_256_CBC_SHA384

  • TLS_RSA_PSK_WITH_AES_256_CBC_SHA

  • TLS_DHE_PSK_WITH_AES_256_CBC_SHA

  • TLS_RSA_WITH_AES_256_CBC_SHA

  • TLS_PSK_WITH_AES_256_CBC_SHA384

  • TLS_PSK_WITH_AES_256_CBC_SHA

  • TLS_ECDHE_PSK_WITH_AES_128_CBC_SHA256

  • TLS_ECDHE_PSK_WITH_AES_128_CBC_SHA

  • TLS_RSA_PSK_WITH_AES_128_CBC_SHA256

  • TLS_DHE_PSK_WITH_AES_128_CBC_SHA256

  • TLS_RSA_PSK_WITH_AES_128_CBC_SHA

  • TLS_DHE_PSK_WITH_AES_128_CBC_SHA

  • TLS_RSA_WITH_AES_128_CBC_SHA

  • TLS_PSK_WITH_AES_128_CBC_SHA256

  • TLS_PSK_WITH_AES_128_CBC_SHA

Xsi Events スケール パラメーター

Cisco BroadWorks 版 Webex ソリューションが要求するイベントの量を処理するために、Xsi-Events キュー サイズとスレッド数を増やす必要がある場合があります。パラメータは次のように最小値まで増加できます (最小値を超えていた場合も減らさないでください):

XSP|ADP_CLI/Applications/Xsi-Events/BWIntegration> eventQueueSize = 2000

XSP|ADP_CLI/Applications/Xsi-Events/BWIntegration> eventHandlerThreadCount = 50

複数の XSP|ADP

エッジ要素のロード バランシング

ネットワーク エッジにロード バランシング要素がある場合、複数の XSP|ADP サーバーと Cisco BroadWorks 版 Webex クラウドとクライアント間のトラフィックの分配を透過的に処理する必要があります。この場合、ロード バランサの URL を Cisco BroadWorks 版 Webex の設定で指定します。

このアーキテクチャに関するメモ:

  • DNS を設定して、Xsi インターフェイスに接続するときに、クライアントがロードバランサを見つけることができるようにします (DNS 構成を参照してください)。

  • ポイントツーポイントのデータ暗号化を確実にするために、リバース SSL プロキシ モードでエッジ要素を構成することを推奨します。

  • XSP|ADP01 および XSP|ADP02 の証明書は、サブジェクトの代替名に XSP|ADP ドメイン (例: your-XSP|ADP.example.com) を持つ必要があります。共通名に XSP|ADP01.example.com など、独自の FQDN を持つ必要があります。ワイルドカード証明書を使用できますが、それらを推奨しません。

インターネット対応 XSP|ADP サーバー

Xsi インターフェイスを直接公開する場合は、DNS を使用して複数の XSP|ADP サーバーにトラフィックを配布します。

このアーキテクチャに関するメモ:

  • XSP|ADP サーバーに接続するには 2 つのレコードが必要です。

    • Webex マイクロサービスの場合: 複数の XSP|ADP IP アドレスをターゲットにするには、ラウンドロビン A/AAAA レコードが必要です。これは、Webex マイクロサービスが SRV ルックアップを実行できないためです。例については、「Webex クラウド サービス」を参照してください。

    • Webex アプリの場合: 各 A レコードが単一の XSP|ADP に解決する A レコードに解決する SRV レコード。例については、「Webex アプリ」を参照してください。

      優先順位付けされた SRV レコードを使用して、複数の XSP|ADP アドレスの XSI サービスをターゲットにします。マイクロサービスが常に同じ A レコード(および後続の IP アドレス)に移動し、最初の IP アドレスがダウンしている場合にのみ、次の A レコード(および IP アドレス)に移動するように、SRV レコードを優先順位付けします。Webex アプリではラウンドロビンアプローチを使用しないでください。

  • XSP|ADP01 および XSP|ADP02 の証明書は、サブジェクトの代替名に XSP|ADP ドメイン (例: your-XSP|ADP.example.com) を持つ必要があります。共通名に XSP|ADP01.example.com など、独自の FQDN を持つ必要があります。

  • ワイルドカード証明書を使用できますが、それらを推奨しません。

HTTP リダイレクトを避ける

場合によっては、DNS が XSP|ADP URL を HTTP ロード バランサに解決するように設定され、ロード バランサはリバースプロキシを通じて XSP|ADP サーバーにリダイレクトするように設定されます。

指定した URL に接続するときに、Webex はリダイレクト に従わないため、この設定は機能しません。

アーキテクチャとインフラストラクチャ

  • 想定している開始当初のスケールは? 将来スケールアップは可能ですが、現在の使用量見積もりに沿ってインフラストラクチャ計画を推進する必要があります。

  • 『|Cisco BroadWorks システム容量プランナー』および『 Cisco BroadWorks システムエンジニアリング ガイド』に従って、XSPADP インフラストラクチャをサイズ調整します。

  • Webex が XSP|ADP への相互 TLS 接続を行うには? DMZ の XSP|ADP に直接アクセスするか、TLS プロキシを経由しますか? これは証明書の管理とインターフェイスに使用する URL に影響します。(ネットワークのエッジへの暗号化されていない TCP 接続はサポートしていません)。