하이브리드 데이터 보안 노드 구성 변경

경우에 따라 다음과 같은 이유로 하이브리드 데이터 보안 노드의 구성을 변경해야 할 수도 있습니다.

머신 계정 업데이트
만료 또는 기타 이유로 인해 x.509 인증서 변경.

인증서의 CN 도메인 이름 변경을 지원하지 않습니다. 도메인은 클러스터에 등록하기 위해 사용된 원래 도메인과 일치해야 합니다.

PostgreSQL 또는 Microsoft SQL Server 데이터베이스의 복제본으로 변경하도록 데이터베이스 설정 업데이트.

PostgreSQL에서 Microsoft SQL Server로 또는 그 반대로 데이터 마이그레이션을 지원하지 않습니다. 데이터베이스 환경을 전환하려면 하이브리드 데이터 보안의 새로운 배포를 시작합니다.

새 데이터 센터를 준비하기 위해 새 구성 생성.

또한 보안상의 이유로 하이브리드 데이터 보안은 수명이 9개월인 서비스 계정 비밀번호를 사용합니다. HDS 설정 도구가 이러한 비밀번호를 생성하면 이를 ISO 구성 파일의 각 HDS 노드에 배포합니다. 조직의 비밀번호 만료일이 가까워지면 Webex 팀으로부터 머신 계정의 비밀번호를 재설정하라는 통지를 받습니다. (이메일에는 "머신 계정 API를 사용하여 비밀번호를 업데이트합니다."라는 텍스트가 포함됩니다.) 비밀번호가 아직 만료되지 않은 경우 도구는 다음 두 가지 옵션을 제공합니다.

소프트 재설정—이전 비밀번호 및 새 비밀번호는 모두 최대 10일 동안 유효합니다. 이 기간을 사용하여 노드에서 ISO 파일을 점진적으로 교체합니다.
하드 재설정—이전 비밀번호가 즉시 무효하게 됩니다.

비밀번호가 재설정 없이 만료되는 경우 HDS 서비스에 영향을 미치므로 즉시 하드 재설정을 수행하고 모든 노드에서 ISO 파일을 교체해야 합니다.

새 구성 ISO 파일을 생성하고 클러스터에 적용하려면 이 절차를 따르십시오.

시작하기 전에

HDS 설정 도구는 로컬 머신에서 Docker 컨테이너로 실행됩니다. 액세스하려면 해당 머신에서 Docker를 실행합니다. 설정 프로세스를 수행하려면 조직에 대한 전체 관리자 권한이 있는 Control Hub 계정의 자격 증명이 필요합니다.

HDS 설정 도구가 사용자 환경의 프록시 뒤에서 실행되는 경우 Docker 컨테이너를 가져올 때 Docker 환경 변수를 통해 프록시 설정(서버, 포트, 자격 증명)을 제공합니다. 이 표는 몇 가지 환경 변수를 제공합니다.

HDS 설정 도구에 대해 사용하는 도커 리포지토리가 다음으로 변경됨 ciscocitg 2022년 12월 (부터 ciscosparkhds 이전

설명	변수
인증되지 않은 HTTP 프록시	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
인증되지 않은 HTTPS 프록시	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
인증된 HTTP 프록시	`GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
인증된 HTTPS 프록시	`GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

새 구성을 생성하려면 현재 구성 ISO 파일의 사본이 필요합니다. ISO에는 PostgreSQL 또는 Microsoft SQL Server 데이터베이스를 암호화하는 마스터 키가 포함되어 있습니다. 데이터베이스 자격 증명, 인증서 업데이트 또는 인증 정책 변경을 포함하여 구성을 변경할 때 ISO가 필요합니다.

로컬 머신에서 Docker를 사용하여 HDS 설정 도구를 실행합니다.

머신의 명령줄에 사용자 환경에 적합한 명령을 입력합니다.
일반 환경:
```
docker rmi ciscocitg/hds-setup:stable
```
FedRAMP 환경:
```
docker rmi ciscocitg/hds-setup-fedramp:stable
```
이 단계에서는 이전 HDS 설정 도구 이미지를 정리합니다. 이전 이미지가 없는 경우 무시할 수 있는 오류를 반환합니다.
Docker 이미지 레지스트리에 로그인하려면 다음을 입력합니다.
```
docker login -u hdscustomersro
```
비밀번호 프롬프트에 이 해시를 입력합니다.
```
dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
```

사용자 환경에 맞는 최신 안정 이미지를 다운로드합니다.

일반 환경:

docker pull ciscocitg/hds-setup:stable

FedRAMP 환경:

docker pull ciscocitg/hds-setup-fedramp:stable

이 절차에 대해 최신 설정 도구를 사용하고 있는지 확인하십시오. 2018년 2월 22일 이전에 생성된 도구의 버전에는 비밀번호 재설정 화면이 없습니다.

풀이 완료되면 사용자 환경에 적합한 명령을 입력합니다.

프록시가 없는 일반 환경:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

HTTP 프록시가 있는 일반 환경:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

HTTPS 프록시가 있는 일반 환경:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

프록시가 없는 FedRAMP 환경:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

HTTP 프록시가 있는 FedRAMP 환경:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

HTTPS 프록시가 있는 FedRAMP 환경:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

컨테이너가 실행 중일 때 "포트 8080에서 수신하는 Express 서버"가 표시됩니다.

브라우저를 사용하여 로컬 호스트 에 연결합니다. http://127.0.0.1:8080.

설정 도구는 localhost에 대한 연결을 지원하지 않습니다. http://localhost:8080. 사용 http://127.0.0.1:8080 로 이동하여 localhost에 연결합니다.

메시지가 표시되면 Control Hub 고객 로그인 자격 증명을 입력한 후 수락을 클릭하여 계속합니다.
현재 구성 ISO 파일을 가져옵니다.
안내에 따라 도구를 완료하고 업데이트된 파일을 다운로드합니다.

설정 도구를 종료하려면 다음을 입력합니다 CTRL+C.
다른 데이터 센터에서 업데이트된 파일의 백업 복사본을 만듭니다.

실행 중인 HDS 노드가 하나뿐인 경우 새 하이브리드 데이터 보안 노드 VM을 생성하고 새 구성 ISO 파일을 사용하여 등록합니다. 자세한 지침은 배포 안내서에서 "추가 노드 생성 및 등록"을 참조하십시오.

HDS 호스트 OVA를 설치합니다.
HDS VM을 설정합니다.
업데이트된 구성 파일을 마운트합니다.
Control Hub에서 새 노드를 등록합니다.

이전 구성 파일을 실행하고 있는 기존 HDS 노드의 경우 ISO 파일을 탑재합니다. 각 노드에서 다음 절차를 차례로 수행하여 다음 노드를 끄기 전에 각 노드를 업데이트합니다.

가상 머신의 전원을 끕니다.
VMware vSphere 클라이언트의 왼쪽 네비게이션 분할 창에서 VM을 오른쪽 클릭하고 설정 편집을 클릭합니다.
클릭 CD/DVD Drive 1 CD/DVD 드라이브 1을 클릭하고 ISO 파일에서 마운트하기 위한 옵션을 선택한 후 새 구성 ISO 파일을 다운로드한 위치를 찾습니다.
시동될 때 연결을 체크합니다.
변경 사항을 저장하고 가상 머신의 전원을 켭니다.

이전 구성을 실행하고 있는 나머지 각 노드에서 구성을 바꾸려면 3 단계를 반복하십시오.