Webex 하이브리드 데이터 보안의 배포 안내서

나중에 사용할 수 있도록 OVA 파일을 로컬 머신으로 다운로드합니다.

HDS 설정 도구를 사용하여 하이브리드 데이터 보안 노드에 대한 ISO 구성 파일을 만듭니다.

OVA 파일에서 가상 머신을 만들고 네트워크 설정과 같은 초기 구성을 수행합니다.

OVA 배포 중에 네트워크 설정을 구성하는 옵션은 ESXi 6.5에서 테스트되었습니다. 해당 옵션은 이전 버전에서 사용할 수 없을 수도 있습니다.

VM 콘솔에 로그인하고 로그인 자격 증명을 설정합니다. OVA 배포 시 구성하지 않은 경우 노드에 대한 네트워크 설정을 구성합니다.

HDS 설정 도구로 만든 ISO 구성 파일에서 VM을 구성합니다.

네트워크 환경에 프록시 구성이 필요한 경우 노드에 사용할 프록시 유형을 지정하고 필요한 경우 프록시 인증서를 신뢰 저장소에 추가합니다.

Cisco Webex 클라우드에 VM을 하이브리드 데이터 보안 노드로 등록합니다.

클러스터 설정을 완료합니다.

평가판을 시작할 때까지 노드는 서비스가 아직 활성화되지 않았음을 나타내는 알람을 생성합니다.

설치 파일 다운로드

이 작업에서 OVA 파일을 컴퓨터에 다운로드합니다(하이브리드 데이터 보안 노드로 설정한 서버가 아님). 설치 프로세스에서 나중에 이 파일을 사용합니다.

https://admin.webex.com에 로그인한 후 서비스를 클릭합니다.

하이브리드 서비스 섹션에서 하이브리드 데이터 보안 카드를 찾은 후 설정을 클릭합니다.

카드가 비활성화되었거나 표시되지 않는 경우, 계정 팀 또는 파트너 조직에 문의하십시오. 해당 사용자에게 계정 번호를 제공하고 조직에서 하이브리드 데이터 보안을 활성화하도록 요청합니다. 계정 번호를 찾으려면 조직 이름 옆에 있는 오른쪽 상단에 있는 기어를 클릭합니다.

설정 페이지의 도움말 섹션에서 언제든지 OVA를 다운로드할 수도 있습니다. 하이브리드 데이터 보안 카드에서 설정 편집을 클릭하여 페이지를 엽니다. 그런 다음 도움말 섹션에서 하이브리드 데이터 보안 소프트웨어 다운로드를 클릭합니다.

이전 버전의 소프트웨어 패키지(OVA)는 최신 하이브리드 데이터 보안 업그레이드와 호환되지 않습니다. 이렇게 하면 응용프로그램을 업그레이드하는 동안 문제가 발생할 수 있습니다. 최신 버전의 OVA 파일을 다운로드해야 합니다.

아니요를 선택하여 아직 노드를 설정하지 않았음을 표시한 후 다음을 클릭합니다.

OVA 파일이 자동으로 다운로드되기 시작합니다. 컴퓨터의 위치에 파일을 저장합니다.

선택적으로, 배포 안내서 열기를 클릭하여 이 안내서의 이후 버전을 사용할 수 있는지 확인합니다.

HDS 호스트에 대한 구성 ISO 만들기

하이브리드 데이터 보안 설정 프로세스는 ISO 파일을 만듭니다. 그런 다음 ISO를 사용하여 하이브리드 데이터 보안 호스트를 구성합니다.

시작하기 전에

HDS 설정 도구는 로컬 머신에서 Docker 컨테이너로 실행됩니다. 액세스하려면 해당 머신에서 Docker를 실행합니다. 설정 프로세스를 수행하려면 조직에 대한 전체 관리자 권한이 있는 Control Hub 계정의 자격 증명이 필요합니다.

HDS 설정 도구가 환경에서 프록시 뒤에서 실행되는 경우 5 단계에서 Docker 컨테이너를 가져올 때 Docker 환경 변수를 통해 프록시 설정(서버, 포트, 자격 증명)을 제공합니다. 이 표는 몇 가지 환경 변수를 제공합니다.

설명	변수
인증되지 않은 HTTP 프록시	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
인증되지 않은 HTTPS 프록시	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
인증된 HTTP 프록시	`GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
인증된 HTTPS 프록시	`GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

생성하는 구성 ISO 파일에는 PostgreSQL 또는 Microsoft SQL Server 데이터베이스를 암호화하는 마스터 키가 포함되어 있습니다. 다음과 같이 구성을 변경할 때마다 이 파일의 최신 복사본이 필요합니다.
- 데이터베이스 자격 증명
- 인증서 업데이트
- 인증 정책 변경
데이터베이스 연결을 암호화하려는 경우 TLS에 대한 PostgreSQL 또는 SQL Server 배포를 설정합니다.

머신의 명령줄에 사용자 환경에 적합한 명령을 입력합니다.

일반 환경:

docker rmi ciscocitg/hds-setup:stable

FedRAMP 환경:

docker rmi ciscocitg/hds-setup-fedramp:stable

이 단계에서는 이전 HDS 설정 도구 이미지를 정리합니다. 이전 이미지가 없는 경우 무시할 수 있는 오류를 반환합니다.

Docker 이미지 레지스트리에 로그인하려면 다음을 입력합니다.

docker login -u hdscustomersro

비밀번호 프롬프트에 이 해시를 입력합니다.

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

사용자 환경에 맞는 최신 안정 이미지를 다운로드합니다.

일반 환경:

docker pull ciscocitg/hds-setup:stable

FedRAMP 환경:

docker pull ciscocitg/hds-setup-fedramp:stable

풀이 완료되면 사용자 환경에 적합한 명령을 입력합니다.

프록시가 없는 일반 환경:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

HTTP 프록시가 있는 일반 환경:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

HTTPS 프록시가 있는 일반 환경:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

프록시가 없는 FedRAMP 환경:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

HTTP 프록시가 있는 FedRAMP 환경:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

HTTPS 프록시가 있는 FedRAMP 환경:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

컨테이너가 실행 중일 때 "포트 8080에서 수신하는 Express 서버"가 표시됩니다.

설정 도구는 http://localhost:8080을 통해 localhost에 연결하는 것을 지원하지 않습니다. http://127.0.0.1:8080을(를) 사용하여 로컬 호스트에 연결합니다.

웹 브라우저를 사용하여 localhost로 이동하고, http://127.0.0.1:8080(으)로 이동하고 프롬프트에서 Control Hub에 대한 고객 관리 사용자 이름을 입력합니다.

이 도구는 사용자 이름의 첫 번째 항목을 사용하여 해당 계정에 적합한 환경을 설정합니다. 그런 다음 도구는 표준 로그인 프롬프트를 표시합니다.

안내를 받으면 Control Hub 고객 관리 로그인 자격 증명을 입력한 후 로그인을 클릭하여 하이브리드 데이터 보안에 필요한 서비스에 대한 액세스를 허용합니다.

설정 도구 개요 페이지에서 시작하기를 클릭합니다.

ISO 가져오기 페이지에서 다음 옵션이 나타납니다.

아니요—첫 번째 HDS 노드를 생성하는 경우 업로드할 ISO 파일이 없습니다.
예—HDS 노드를 이미 만든 경우 찾아보기에서 ISO 파일을 선택하고 업로드합니다.

X.509 인증서가 X.509 인증서 요구 사항의 요구 사항을 충족하는지 확인하십시오.

이전에 인증서를 업로드한 적이 없는 경우, X.509 인증서를 업로드하고 비밀번호를 입력한 후 계속을 클릭합니다.
인증서가 괜찮은 경우, 계속을 클릭합니다.
인증서가 만료되었거나 교체하려는 경우, 이전 ISO의 HDS 인증서 체인 및 비공개 키를 사용하여 계속 사용하려면 아니요를 선택하십시 오.. 새로운 X.509 인증서를 업로드하고 비밀번호를 입력한 후 계속을 클릭합니다.

HDS에 대한 데이터베이스 주소 및 계정을 입력하여 키 데이터스토어에 액세스합니다.

데이터베이스 유형(PostgreSQL 또는 Microsoft SQL Server)을 선택합니다.

Microsoft SQL Server를 선택하면 인증 유형 필드가 표시됩니다.
(Microsoft SQL Server만 해당) 인증 유형 선택:
- 기본 인증: 사용자 이름 필드에 로컬 SQL Server 계정 이름이 필요합니다.
- Windows 인증: 형식으로 Windows 계정이 필요합니다. username@DOMAIN사용자 이름 필드에 있습니다.
데이터베이스 서버 주소를 양식에 입력합니다. <hostname>:<port> 또는 <IP-address>:<port>.

예:
dbhost.example.org:1433 또는 198.51.100.17:1433

노드가 DNS를 사용하여 호스트 이름을 확인할 수 없는 경우 기본 인증을 위해 IP 주소를 사용할 수 있습니다.

Windows 인증을 사용하는 경우, 정규화된 도메인 이름을 형식으로 입력해야 합니다. dbhost.example.org:1433
데이터베이스 이름을 입력합니다.
키 스토리지 데이터베이스에 모든 권한이 있는 사용자의 사용자 이름 및 암호를 입력합니다.

TLS 데이터베이스 연결 모드를 선택합니다.

모드

설명

원하는 TLS (기본 옵션)

HDS 노드에서 TLS가 데이터베이스 서버에 연결하도록 요구하지 않습니다. 데이터베이스 서버에서 TLS를 활성화하는 경우 노드는 암호화된 연결을 시도합니다.

TLS 필요

데이터베이스 서버에서 TLS를 협상할 수 있는 경우에만 HDS 노드를 연결합니다.

TLS 필요 및 인증서 서명자 확인

이 모드는 SQL Server 데이터베이스에 적용되지 않습니다.

데이터베이스 서버에서 TLS를 협상할 수 있는 경우에만 HDS 노드를 연결합니다.
TLS 연결을 설정한 후 노드는 데이터베이스 서버의 인증서 서명자를 데이터베이스 루트 인증서의 인증서 기관과 비교합니다. 해당 정보가 일치하지 않으면 노드는 연결을 끊습니다.

이 옵션에 대해 루트 인증서를 업로드하려면 드롭다운 아래에 있는 데이터베이스 루트 인증서 제어를 사용하십시오.

TLS 필요 및 인증서 서명자, 호스트 이름 확인

데이터베이스 서버에서 TLS를 협상할 수 있는 경우에만 HDS 노드를 연결합니다.
TLS 연결을 설정한 후 노드는 데이터베이스 서버의 인증서 서명자를 데이터베이스 루트 인증서의 인증서 기관과 비교합니다. 해당 정보가 일치하지 않으면 노드는 연결을 끊습니다.
노드는 서버 인증서의 호스트 이름이 데이터베이스 호스트 및 포트 필드의 호스트 이름과 일치하는지 확인합니다. 이름은 정확히 일치해야 하며, 그렇지 않으면 노드가 연결을 끊습니다.

이 옵션에 대해 루트 인증서를 업로드하려면 드롭다운 아래에 있는 데이터베이스 루트 인증서 제어를 사용하십시오.

루트 인증서를 업로드하고(필요한 경우) 계속을 클릭하면 HDS 설정 도구는 데이터베이스 서버에 대한 TLS 연결을 테스트합니다. 해당 도구는 인증서 서명자 및 호스트 이름도 확인합니다(해당하는 경우). 테스트가 실패하면 도구에서 문제를 설명하는 오류 메시지를 표시합니다. 오류를 무시할지 선택하고 설정을 계속할 수 있습니다. (연결 차이점 때문에 HDS 설정 도구 머신이 성공적으로 테스트할 수 없는 경우에도 HDS 노드에서 TLS 연결을 설정할 수 있습니다.)

시스템 로그 페이지에서 Syslogd 서버를 구성합니다.

syslog 서버 URL을 입력합니다.

서버가 HDS 클러스터의 노드에서 DNS 확인할 수 없는 경우 URL의 IP 주소를 사용합니다.

예:
udp://10.92.43.23:514 은(는) UDP 포트 514에서 Syslogd 호스트 10.92.43.23에 대한 로깅을 나타냅니다.
TLS 암호화를 사용하도록 서버를 설정한 경우 SSL 암호화에 대해 syslog 서버가 구성되었는지 확인하십시오..

이 확인란을 선택하는 경우, 다음과 같은 TCP URL을 입력해야 합니다. tcp://10.92.43.23:514.
syslog 레코드 종료 선택 드롭다운에서 ISO 파일에 적합한 설정을 선택합니다. 선택 또는 Newline이 Graylog 및 Rsyslog TCP에 사용됩니다.
- Null 바이트 -- \x00
- Newline -- \n—Graylog 및 Rsyslog TCP에 대해 이 옵션을 선택합니다.
계속을 클릭합니다.

(선택 사항) 고급 설정에서 일부 데이터베이스 연결 매개 변수에 대한 기본값을 변경할 수 있습니다. 일반적으로 이 매개 변수는 변경할 수 있는 유일한 매개 변수입니다.

app_datasource_connection_pool_maxSize: 10

서비스 계정 비밀번호 재설정 화면에서 계속을 클릭합니다.

서비스 계정 비밀번호는 9개월 수명이 있습니다. 비밀번호가 만료되기 직전이거나 이전 ISO 파일을 무효화하도록 재설정하려는 경우 이 화면을 사용하십시오.

ISO 파일 다운로드를 클릭합니다. 쉽게 찾을 수 있는 위치에 파일을 저장합니다.

로컬 시스템에서 ISO 파일의 백업 복사본을 만듭니다.

백업 복사본을 안전하게 유지합니다. 이 파일에는 데이터베이스 콘텐츠에 대한 마스터 암호화 키가 포함되어 있습니다. 구성을 변경해야 하는 하이브리드 데이터 보안 관리자에게만 액세스를 제한합니다.

설정 도구를 종료하려면 다음을 입력합니다 CTRL+C.

다음에 수행할 작업

구성 ISO 파일을 백업합니다. 복구를 위해 더 많은 노드를 만들거나 구성을 변경하려면 노드가 필요합니다. ISO 파일의 모든 복사본을 잃어 버리면 마스터 키도 잃어 버렸습니다. PostgreSQL 또는 Microsoft SQL Server 데이터베이스에서 키를 복구하는 것은 불가능합니다.

우리는 결코 이 열쇠의 사본을 가지고 있지 않으며, 당신이 그것을 잃으면 도울 수 없다.

HDS 호스트 OVA 설치

이 절차를 사용하여 OVA 파일에서 가상 머신을 만듭니다.

컴퓨터에서 VMware vSphere 클라이언트를 사용하여 ESXi 가상 호스트에 로그인합니다.

파일 > OVF 템플릿 배포를 선택합니다.

마법사에서 이전에 다운로드한 OVA 파일의 위치를 지정한 후 다음...

에 이름 및 폴더 선택 페이지, 를 입력하십시오. 가상 머신 이름 노드에 대해(예: "HDS_Node_1") 가상 머신 노드 배포가 상주할 수 있는 위치를 선택한 후 다음...

에 컴퓨팅 리소스 선택 페이지를 선택하고 대상 계산 리소스를 선택한 후 을 클릭합니다. 다음...

검증 확인이 실행됩니다. 완료되면 템플릿 세부 정보가 나타납니다.

템플릿 세부 사항을 확인한 후 다음을 클릭합니다.

에서 리소스 구성을 선택하도록 요청 받는 경우 설정 페이지, 를 클릭합니다. 4개 CPU을(를) 클릭한 후 다음...

에 스토리지 선택 페이지, 를 클릭합니다. 다음은(는) 기본 디스크 형식 및 VM 스토리지 정책을 수락합니다.

에 네트워크 선택 페이지에서 항목 목록에서 네트워크 옵션을 선택하여 VM에 원하는 연결을 제공합니다.

템플릿 사용자 정의 페이지에서 다음 네트워크 설정을 구성합니다.

호스트 이름 - 노드의 FQDN(호스트 이름 및 도메인) 또는 단일 단어 호스트 이름을 입력합니다.

X.509 인증서를 얻기 위해 사용한 도메인과 일치하도록 도메인을 설정하지 않아도 됩니다.
클라우드에 성공적으로 등록하려면 노드에 대해 설정한 FQDN 또는 호스트 이름에서 소문자만 사용하십시오. 현재 대문자 사용은 지원되지 않습니다.
FQDN의 총 길이는 64자를 초과하지 말아야 합니다.

IP 주소— 노드의 내부 인터페이스에 대한 IP 주소를 입력합니다.

노드에는 내부 IP 주소 및 DNS 이름이 있어야 합니다. DHCP는 지원되지 않습니다.
마스크—점 소수점 표기법에 서브넷 마스크 주소를 입력합니다. 예: 255.255.255.0.
게이트웨이—게이트웨이 IP 주소를 입력합니다. 게이트웨이는 다른 네트워크에 대한 액세스 포인트 역할을 하는 네트워크 노드입니다.
DNS 서버—도메인 이름을 숫자 IP 주소로 변환하는 작업을 처리하는 쉼표로 구분된 DNS 서버 목록을 입력합니다. (최대 4개의 DNS 항목이 허용됩니다.)
NTP 서버—조직에서 사용할 수 있는 조직의 NTP 서버 또는 다른 외부 NTP 서버를 입력합니다. 기본 NTP 서버가 모든 기업에서 작동하지 않을 수도 있습니다. 쉼표로 구분된 목록을 사용하여 여러 NTP 서버를 입력할 수도 있습니다.

동일한 서브넷 또는 VLAN에 모든 노드를 배포하여 클러스터의 모든 노드가 관리 목적으로 네트워크의 클라이언트에서 연결할 수 있도록 합니다.

원하는 경우 네트워크 설정 구성을 건너뛰고 하이브리드 데이터 보안 VM 설정 단계에 따라 노드 콘솔에서 설정을 구성할 수 있습니다.

OVA 배포 중에 네트워크 설정을 구성하는 옵션은 ESXi 6.5에서 테스트되었습니다. 해당 옵션은 이전 버전에서 사용할 수 없을 수도 있습니다.

노드 VM을 마우스 오른쪽 버튼으로 클릭한 다음 전원 > 전원 켜기.

하이브리드 데이터 보안 소프트웨어는 VM 호스트에 게스트로 설치됩니다. 이제 콘솔에 로그인하고 노드를 구성할 준비가 되었습니다.

문제 해결하기 추가 정보

노드 포함자가 시작되기 전에 몇 분 정도 지연이 발생할 수도 있습니다. 첫 번째 부팅 중에 콘솔에 브리지 방화벽 메시지가 나타나며, 로그인할 수 없습니다.

하이브리드 데이터 보안 VM 설정

이 절차를 사용하여 하이브리드 데이터 보안 노드 VM 콘솔에 처음으로 로그인하고 로그인 자격 증명을 설정합니다. OVA 배포 시 구성하지 않은 경우 콘솔을 사용하여 노드에 대한 네트워크 설정을 구성할 수도 있습니다.

1	VMware vSphere 클라이언트에서 하이브리드 데이터 보안 노드 VM을 선택하고 콘솔 탭을 선택합니다. VM이 부팅되고 로그인 프롬프트가 나타납니다. 로그인 프롬프트가 표시되지 않는 경우엔 Enter를 누릅니다.
2	다음 기본 로그인 및 암호를 사용하여 로그인하고 자격 증명을 변경합니다. 로그인: `admin` 비밀번호: `cisco` 처음으로 VM에 로그인하기 때문에 관리자 암호를 변경해야 합니다.
3	HDS 호스트 OVA 설치에서 네트워크 설정을 이미 구성한 경우, 나머지 절차는 건너뜁니다. 그렇지 않으면, 주 메뉴에서 구성 편집 옵션을 선택합니다.
4	IP 주소, 마스크, 게이트웨이 및 DNS 정보로 정적 구성을 설정합니다. 노드에는 내부 IP 주소 및 DNS 이름이 있어야 합니다. DHCP는 지원되지 않습니다.
5	(선택 사항) 네트워크 정책과 일치하는 데 필요한 경우 호스트 이름, 도메인 또는 NTP 서버를 변경합니다. X.509 인증서를 얻기 위해 사용한 도메인과 일치하도록 도메인을 설정하지 않아도 됩니다.
6	네트워크 구성을 저장하고 VM을 재부팅하여 변경 사항을 적용합니다.

HDS 구성 ISO 업로드 및 장착

이 절차를 사용하여 HDS 설정 도구로 만든 ISO 파일에서 가상 머신을 구성합니다.

시작하기 전에

ISO 파일은 마스터 키를 갖고 있기 때문에 하이브리드 데이터 보안 VM 및 변경해야 할 수 있는 모든 관리자의 액세스에 대해 "알아야 할 필요" 기준으로만 노출되어야 합니다. 해당 관리자만 데이터스토어에 액세스할 수 있는지 확인하십시오.

컴퓨터에서 ISO 파일을 업로드합니다.

VMware vSphere 클라이언트의 왼쪽 탐색 창에서 ESXi 서버를 클릭합니다.
구성 탭의 하드웨어 목록에서 스토리지를 클릭합니다.
데이터스토어 목록에서 VM의 데이터스토어를 마우스 오른쪽 버튼으로 클릭하고 데이터스토어 찾아보기를 클릭합니다.
파일 업로드 아이콘을 클릭한 다음 파일 업로드를 클릭합니다.
컴퓨터에서 ISO 파일을 다운로드한 위치를 찾아보고 열기를 클릭합니다.
업로드/다운로드 작업 경고를 수락하고 데이터스토어 대화 상자를 닫으려면 예를 클릭합니다.

ISO 파일을 마운트합니다.

VMware vSphere 클라이언트의 왼쪽 네비게이션 분할 창에서 VM을 오른쪽 클릭하고 설정 편집을 클릭합니다.
제한된 편집 옵션 경고를 수락하려면 확인을 클릭합니다.
클릭 CD/DVD Drive 1, 데이터스토어 ISO 파일에서 마운트할 옵션을 선택하고 구성 ISO 파일을 업로드한 위치를 찾습니다.
연결됨 및 전원을 켜고 연결을 확인하십시오.
변경 사항을 저장하고 가상 머신을 재부팅합니다.

다음에 수행할 작업

IT 정책에서 요구하는 경우, 모든 노드에서 구성 변경 사항을 가져온 후 선택적으로 ISO 파일을 마운트 해제할 수 있습니다. 자세한 내용은 (선택 사항) HDS 구성 후 ISO 마운트 해제를 참조하십시오.

프록시 통합에 대해 HDS 노드 구성

네트워크 환경에 프록시가 필요한 경우, 이 절차를 사용하여 하이브리드 데이터 보안에 통합하고자 하는 프록시의 유형을 지정합니다. 투명 검사 프록시 또는 HTTPS 명시적 프록시를 선택하는 경우, 노드의 인터페이스를 사용하여 루트 인증서를 업로드하고 설치할 수 있습니다. 인터페이스에서 프록시 연결을 확인하고 잠재적인 문제를 해결할 수도 있습니다.

시작하기 전에

지원되는 프록시 옵션의 개요는 프록시 지원을 참조하십시오.
프록시 서버 요구 사항

1	HDS 노드 설정 URL 입력 `https://[HDS Node IP or FQDN]/setup` 웹 브라우저에서 노드에 대해 설정한 관리 자격 증명을 입력한 후 로그인을 클릭합니다.
2	신뢰 저장소 및 프록시로 이동한 후 옵션을 선택합니다. 프록시 없음—프록시를 통합하기 전의 기본 옵션입니다. 인증서를 업데이트하지 않아도 됩니다. 투명 비-검사 프록시—노드가 특정 프록시 서버 주소를 사용하도록 구성되어 있지 않으며, 비-검사 프록시에서 작동하도록 변경할 것을 요구하지 않습니다. 인증서를 업데이트하지 않아도 됩니다. 투명 검사 프록시—노드가 특정 프록시 서버 주소를 사용하도록 구성되어 있지 않습니다. 하이브리드 데이터 보안 배포에서 HTTPS 구성을 변경하지 않아도 됩니다. 단, HDS 노드에 루트 인증서가 있어야 프록시를 신뢰할 수 있습니다. 일반적으로 검사 프록시는 IT가 어떤 웹사이트를 방문할 수 있는지 및 어떤 유형의 콘텐츠가 허용되는지에 대한 정책을 적용하기 위해 사용됩니다. 이러한 유형의 프록시는 모든 트래픽(HTTPS 포함)을 해독합니다. 명시적 프록시—명시적 프록시를 사용하여 클라이언트(HDS 노드)가 어떤 프록시 서버를 사용하는지, 이 옵션에서 다양한 인증 유형을 지원하는지 알 수 있습니다. 이 옵션을 선택한 후 다음 정보를 입력해야 합니다. 프록시 IP/FQDN—프록시 머신에 연결하기 위해 사용할 수 있는 주소입니다. 프록시 포트—프록시가 프록시된 트래픽을 탐지하기 위해 사용하는 포트 번호입니다. 프록시 프로토콜—http(클라이언트로부터 수신하는 모든 요청을 확인하고 제어) 또는 https(서버에 채널을 제공하고, 클라이언트는 서버의 인증서를 수신 및 검증)를 선택합니다. 프록시 서버가 지원하는 내용에 따라 옵션을 선택합니다. 인증 유형—다음 인증 유형 중에서 선택합니다. 없음—추가 인증이 필요하지 않습니다. HTTP 또는 HTTPS 프록시를 사용할 수 있습니다. 기본—요청을 제출할 때 HTTP 사용자 에이전트가 사용자 이름 및 비밀번호를 제공하기 위해 사용됩니다. Base64 인코딩을 사용합니다. HTTP 또는 HTTPS 프록시를 사용할 수 있습니다. 이 옵션을 선택하는 경우, 사용자 이름 및 비밀번호도 입력해야 합니다. 다이제스트—민감한 정보를 보내기 전에 계정을 확인하기 위해 사용됩니다. 네트워크를 통해 전송하기 전에 사용자 이름 및 비밀번호에 해시 기능을 적용합니다. HTTPS 프록시에 대해서만 사용할 수 있습니다. 이 옵션을 선택하는 경우, 사용자 이름 및 비밀번호도 입력해야 합니다. 투명 검사 프록시, 기본 인증이 포함된 HTTP 명시적 프록시 또는 HTTPS 명시적 프록시에 대해서는 다음 단계를 따르십시오.
3	루트 인증서 또는 최종 엔터티 인증서 업로드를 클릭한 후 탐색하여 프록시에 대한 루트 인증서를 선택합니다. 인증서가 업로드되었지만 아직 설치되지 않았습니다. 인증서를 설치하려면 노드를 재부팅해야 합니다. 인증서 발급자 이름 옆에 있는 갈매기 모양 화살표를 클릭하여 자세한 내용을 확인합니다. 실수가 있었거나 파일을 다시 업로드하려는 경우엔 삭제를 클릭합니다.
4	프록시 연결 확인을 클릭하여 노드와 프록시 간의 네트워크 연결을 테스트합니다. 연결 테스트에 실패하는 경우, 이유 및 문제를 해결할 수 있는 방법을 표시하는 오류 메시지가 나타납니다. 외부 DNS 확인에 실패했다는 메시지가 나타나면 노드가 DNS 서버에 연결하지 못한 것입니다. 이 조건은 다양한 명시적 프록시 구성에서 예상되는 작동입니다. 설정을 계속 진행할 수 있으며, 노드는 차단된 외부 DNS 확인 모드로 작동하게 됩니다. 이것이 오류라고 생각되면 다음 단계를 완료한 후 차단된 외부 DNS 확인 모드 끄기를 참조하십시오.
5	연결 테스트를 통과한 후 https로만 설정된 명시적 프록시에 대해 설정을 토글하여 이 노드의 모든 포트 443/444 https 요청을 명시적 프록시를 통해 라우팅합니다. 이 설정이 적용될 때까지 15초 정도 소요됩니다.
6	모든 인증서를 신뢰 저장소에 설치(HTTPS 명시적 프록시 또는 투명 검사 프록시에 대해 나타남) 또는 재부팅(HTTP 명시적 프록시에 대해 나타남)을 클릭하고 안내를 읽은 후 준비되었을 때 설치를 클릭합니다. 노드는 몇 분 내에 재부팅됩니다.
7	노드가 재부팅되면 필요에 따라 다시 로그인한 후 개요 페이지를 열어 연결을 확인하고 모두 녹색 상태인지 확인합니다. 프록시 연결 확인은 webex.com의 하위 도메인만 테스트합니다. 연결에 문제가 있는 경우, 설치 지시 사항에 나열된 일부 클라우드 도메인이 프록시에서 차단되는 것은 일반적인 문제입니다.

클러스터에 첫 번째 노드 등록

이 작업은 하이브리드 데이터 보안 VM 설정에서 생성한 일반 노드를 가져와 노드를 Webex 클라우드에 등록한 후 하이브리드 데이터 보안 노드로 전환합니다.

첫 번째 노드를 등록할 때 해당 노드가 지정된 클러스터를 만듭니다. 클러스터에는 중복성을 제공하기 위해 배포된 한 개 이상의 노드가 포함됩니다.

시작하기 전에

노드의 등록을 시작하면 60분 이내에 완료해야 합니다. 그렇지 않으면 처음부터 다시 시작해야 합니다.
브라우저에 있는 팝업 차단기가 비활성화되었는지 또는 admin.webex.com에 대한 예외를 허용하는지 확인합니다.

1	https://admin.webex.com에 로그인합니다.
2	화면의 왼쪽에 있는 메뉴에서 서비스를 선택합니다.
3	하이브리드 서비스 섹션에서 하이브리드 데이터 보안을 찾고 설정을 클릭합니다. 하이브리드 데이터 보안 노드 등록 페이지가 나타납니다.
4	예를 선택하여 노드를 설정했으며 등록할 준비가 되었음을 표시한 후 다음을 클릭합니다.
5	첫 번째 필드에서 하이브리드 데이터 보안 노드를 할당할 클러스터의 이름을 입력합니다. 지리적으로 클러스터의 노드가 위치한 장소에 기반하여 클러스터의 이름을 지정할 것을 권장합니다. 예: "샌프란시스코" 또는 "뉴욕" 또는 "달라스"
6	두 번째 필드에 노드의 내부 IP 주소 또는 FQDN(Fully Qualified Domain Name)을 입력하고 다음을 클릭합니다. 이 IP 주소 또는 FQDN은 하이브리드 데이터 보안 VM 설정에서 사용한 IP 주소 또는 호스트 이름 및 도메인과 일치해야 합니다. 노드를 Webex에 등록할 수 있음을 나타내는 메시지가 나타납니다.
7	노드로 이동을 클릭합니다.
8	경고 메시지에서 계속을 클릭합니다. 잠시 후에 Webex 서비스에 대한 노드 연결 테스트로 리디렉션됩니다. 모든 테스트에 성공하면 하이브리드 데이터 보안 노드에 대한 액세스 허용 페이지가 나타납니다. 여기에서 노드에 액세스할 수 있는 권한을 Webex 조직에 부여하고자 하는지 확인합니다.
9	하이브리드 데이터 보안 노드에 액세스 허용 확인란을 선택한 후 계속을 클릭합니다. 계정의 유효성이 검증되고 "등록 완료" 메시지는 이제 노드가 Webex 클라우드에 등록되었음을 나타냅니다.
10	링크를 클릭하거나 탭을 닫아 Control Hub 하이브리드 데이터 보안 페이지로 돌아갑니다. 하이브리드 데이터 보안 페이지에서 등록한 노드가 포함된 새로운 클러스터가 표시됩니다. 노드는 클라우드에서 최신 소프트웨어를 자동으로 다운로드합니다.

추가 노드 만들기 및 등록

클러스터에 추가 노드를 추가하려면 추가 VM을 만들고 동일한 구성 ISO 파일을 마운트한 다음 노드를 등록하기만 하면 됩니다. 최소한 3개의 노드가 있는 것이 좋습니다.

현재 하이브리드 데이터 보안에 대한 전제 조건 완료에 생성한 백업 VM은 장애 복구 시에만 사용되는 대기 호스트이며, 그 때까지 시스템에 등록되지 않습니다. 자세한 내용은 대기 데이터 센터를 사용하는 재해 복구를 참조하십시오.

시작하기 전에

노드의 등록을 시작하면 60분 이내에 완료해야 합니다. 그렇지 않으면 처음부터 다시 시작해야 합니다.
브라우저에 있는 팝업 차단기가 비활성화되었는지 또는 admin.webex.com에 대한 예외를 허용하는지 확인합니다.

1	OVA에서 새로운 가상 머신을 만들고, HDS 호스트 OVA 설치의 단계를 반복합니다.
2	새로운 VM에 초기 구성을 설정하고 하이브리드 데이터 보안 VM 설정의 단계를 반복합니다.
3	새로운 VM에서 HDS 구성 ISO 업로드 및 마운트의 단계를 반복합니다.
4	배포를 위한 프록시를 설정하는 경우, 새 노드에 대해 필요에 따라 프록시 통합을 위한 HDS 노드 구성의 단계를 반복합니다.
5	노드를 등록합니다. https://admin.webex.com의 화면 왼쪽에 있는 메뉴에서 서비스를 선택합니다. 하이브리드 서비스 섹션에서 하이브리드 데이터 보안 카드를 찾아 리소스를 클릭합니다. 하이브리드 데이터 보안 리소스 페이지가 나타납니다. 리소스 추가를 클릭합니다. 첫 번째 필드에서 기존 클러스터의 이름을 선택합니다. 두 번째 필드에 노드의 내부 IP 주소 또는 FQDN(Fully Qualified Domain Name)을 입력하고 다음을 클릭합니다. 노드를 Webex 클라우드에 등록할 수 있음을 나타내는 메시지가 나타납니다. 노드로 이동을 클릭합니다. 잠시 후에 Webex 서비스에 대한 노드 연결 테스트로 리디렉션됩니다. 모든 테스트에 성공하면 하이브리드 데이터 보안 노드에 대한 액세스 허용 페이지가 나타납니다. 여기에서 귀하의 노드에 액세스할 수 있는 권한을 조직에 부여하고자 하는지 확인합니다. 하이브리드 데이터 보안 노드에 액세스 허용 확인란을 선택한 후 계속을 클릭합니다. 계정의 유효성이 검증되고 "등록 완료" 메시지는 이제 노드가 Webex 클라우드에 등록되었음을 나타냅니다. 링크를 클릭하거나 탭을 닫아 Control Hub 하이브리드 데이터 보안 페이지로 돌아갑니다. 노드가 등록되었습니다. 평가판을 시작할 때까지 노드는 서비스가 아직 활성화되지 않았음을 나타내는 알람을 생성합니다.

다음에 수행할 작업

평가판을 실행하고 프로덕션으로 이동

프로덕션 작업 흐름 평가판

하이브리드 데이터 보안 클러스터를 설정한 후 파일럿을 시작하고, 사용자를 추가하고, 테스트를 위해 사용하기 시작하고, 프로덕션으로 이동할 준비를 위해 배포를 확인할 수 있습니다.

시작하기 전에

1	해당하는 경우, `HdsTrialGroup` 그룹 개체. 조직에서 사용자에 대해 디렉터리 동기화를 사용하는 경우, `HdsTrialGroup` 평가판을 시작하기 전에 클라우드에 동기화를 위한 그룹 개체. 지침은 Cisco 디렉터리 커넥터의 배포 안내서를 참조하십시오.
2	평가판 활성화 실험을 시작하세요. 이 작업을 수행할 때까지 노드는 서비스가 아직 활성화되지 않았음을 나타내는 알람을 생성합니다.
3	하이브리드 데이터 보안 배포 테스트 주요 요청이 하이브리드 데이터 보안 배포로 전달되고 있는지 확인합니다.
4	하이브리드 데이터 보안 상태 모니터링 상태를 확인하고 알람에 대한 이메일 알림을 설정합니다.
5	평가판에서 사용자 추가 또는 제거
6	다음 작업 중 하나로 평가판 단계를 완료합니다. 평가판에서 프로덕션으로 이동 프로덕션으로 이동하지 않고 평가판 종료

평가판 활성화

시작하기 전에

조직에서 사용자에 대해 디렉터리 동기화를 사용하는 경우, HdsTrialGroup 조직에 대한 평가판을 시작하기 전에 클라우드에 동기화를 위한 그룹 개체. 지침은 Cisco 디렉터리 커넥터의 배포 안내서를 참조하십시오.

1	https://admin.webex.com에 로그인한 후 서비스를 선택합니다.
2	하이브리드 데이터 보안 아래에서 설정을 클릭합니다.
3	서비스 상태 섹션에서 평가판 시작을 클릭합니다. 서비스 상태가 평가판 모드로 변경됩니다.
4	암호화 및 인덱싱 서비스를 위해 하이브리드 데이터 보안 노드를 사용하여 파일럿할 사용자 추가를 클릭하고 한 명 이상의 사용자의 이메일 주소를 입력합니다. (조직에서 디렉터리 동기화를 사용하는 경우, Active Directory를 사용하여 평가판 그룹을 관리합니다. `HdsTrialGroup`.)

하이브리드 데이터 보안 배포 테스트

이 절차를 사용하여 하이브리드 데이터 보안 암호화 시나리오를 테스트합니다.

시작하기 전에

하이브리드 데이터 보안 배포를 설정합니다.
평가판을 활성화하고 여러 평가판 사용자를 추가합니다.
키 요청이 하이브리드 데이터 보안 배포로 전달되고 있는지 확인하려면 syslog에 액세스할 수 있는지 확인하십시오.

지정된 스페이스의 키는 스페이스의 작성자에 의해 설정됩니다. 파일럿 사용자 중 하나로 Webex 앱에 로그인한 후 스페이스를 만들고 최소한 한 명의 파일럿 사용자 및 한 명의 비파일럿 사용자를 초대합니다.

하이브리드 데이터 보안 배포를 비활성화하는 경우, 클라이언트 캐시된 암호화 키 복사본이 교체되면 파일럿 사용자가 생성하는 스페이스에 있는 콘텐츠에 더 이상 액세스할 수 없습니다.

새 스페이스에 메시지를 보냅니다.

syslog 출력을 확인하여 키 요청이 하이브리드 데이터 보안 배포에 전달되고 있는지 확인합니다.

사용자가 먼저 KMS에 보안 채널을 설정하는지 확인하려면 다음을 필터링하십시오. kms.data.method=create 선택하십시오. kms.data.type=EPHEMERAL_KEY_COLLECTION:

다음과 같은 항목을 찾아야 합니다(가독성을 위해 식별자가 단축됨).

2020-07-21 17:35:34.562 (+0000) INFO  KMS [pool-14-thread-1] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, 
kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

KMS에서 기존 키를 요청하는 사용자를 확인하려면 kms.data.method=retrieve 선택하십시오. kms.data.type=KEY:

다음과 같은 항목을 찾을 수 있습니다.

2020-07-21 17:44:19.889 (+0000) INFO  KMS [pool-14-thread-31] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, 
kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, 
kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

새로운 KMS 키 생성을 요청하는 사용자를 확인하려면 다음을 필터링하십시오. kms.data.method=create 선택하십시오. kms.data.type=KEY_COLLECTION:

다음과 같은 항목을 찾을 수 있습니다.

2020-07-21 17:44:21.975 (+0000) INFO  KMS [pool-14-thread-33] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, 
kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, 
kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

스페이스 또는 기타 보호된 리소스가 생성될 때 새로운 KMS 리소스 개체(KRO)를 생성하도록 요청하는 사용자를 확인하려면 다음을 필터링하십시오. kms.data.method=create 선택하십시오. kms.data.type=RESOURCE_COLLECTION:

다음과 같은 항목을 찾을 수 있습니다.

2020-07-21 17:44:22.808 (+0000) INFO  KMS [pool-15-thread-1] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

하이브리드 데이터 보안 상태 모니터링

Control Hub 내의 상태 표시기는 하이브리드 데이터 보안 배포에 모두 적합한지 여부를 표시합니다. 더 많은 사전 알림을 원하시면 이메일 알림을 신청하십시오. 서비스에 영향을 미치는 알람 또는 소프트웨어 업그레이드가 있을 때 알림을 받게 됩니다.

1	Control Hub에서 화면 왼쪽에 있는 메뉴에서 서비스를 선택합니다.
2	하이브리드 서비스 섹션에서 하이브리드 데이터 보안을 찾고 설정을 클릭합니다. 하이브리드 데이터 보안 설정 페이지가 나타납니다.
3	이메일 알림 섹션에서 콤마로 구분하여 하나 이상의 이메일 주소를 입력하고 Enter를 누릅니다.

평가판에서 사용자 추가 또는 제거

평가판을 활성화하고 평가판 사용자의 초기 집합을 추가한 후 평가판이 활성화된 동안 언제든지 평가판 멤버를 추가하거나 제거할 수 있습니다.

평가판에서 사용자를 제거하는 경우, 사용자의 클라이언트는 KMS 대신 클라우드 KMS에서 키 및 키 생성을 요청합니다. 클라이언트가 KMS에 저장된 키를 필요로 하는 경우, 클라우드 KMS는 사용자를 대신하여 해당 키를 가져옵니다.

조직에서 디렉터리 동기화를 사용하는 경우, Active Directory(이 절차 대신)를 사용하여 평가판 그룹을 관리합니다. HdsTrialGroup; Control Hub에서 그룹 멤버를 볼 수 있지만, 해당 멤버를 추가하거나 제거할 수는 없습니다.

1	Control Hub에 로그인한 후 서비스를 선택합니다.
2	하이브리드 데이터 보안 아래에서 설정을 클릭합니다.
3	서비스 상태 영역의 평가판 모드 섹션에서 사용자 추가를 클릭하거나 보기 및 편집을 클릭하여 평가판에서 사용자를 제거합니다.
4	추가할 한 명 이상의 사용자의 이메일 주소를 입력하거나, 사용자 ID로 X를 클릭하여 평가판에서 사용자를 제거합니다. 그 후 저장을 클릭합니다.

평가판에서 프로덕션으로 이동

배포가 평가판 사용자에 대해 잘 작동하고 있다는 점에 만족하면 프로덕션으로 이동할 수 있습니다. 프로덕션으로 이동할 때 조직에 있는 모든 사용자는 암호화 키 및 기타 보안 영역 서비스에 대해 온-프레미스 하이브리드 데이터 보안 도메인을 사용합니다. 장애 복구의 일부로 서비스를 비활성화하지 않으면 프로덕션에서 평가판 모드로 돌아갈 수 없습니다. 서비스를 다시 활성화하려면 새로운 평가판을 설정해야 합니다.

1	Control Hub에 로그인한 후 서비스를 선택합니다.
2	하이브리드 데이터 보안 아래에서 설정을 클릭합니다.
3	서비스 상태 섹션에서 생산으로 이동을 클릭합니다.
4	모든 사용자를 프로덕션으로 이동하고자 하는지 확인합니다.

프로덕션으로 이동하지 않고 평가판 종료

평가판 중에 하이브리드 데이터 보안 배포를 진행하지 않기로 결정하는 경우, 하이브리드 데이터 보안을 비활성화하여 평가판을 종료하고 평가판 사용자를 클라우드 데이터 보안 서비스로 다시 이동할 수 있습니다. 평가판 사용자는 평가판 중에 암호화된 데이터에 대한 액세스를 잃게 됩니다.

1	Control Hub에 로그인한 후 서비스를 선택합니다.
2	하이브리드 데이터 보안 아래에서 설정을 클릭합니다.
3	비활성화 섹션에서 비활성화를 클릭합니다.
4	서비스를 비활성화하고 평가판을 종료할지 확인합니다.

HDS 구축 관리

여기에 설명된 작업을 사용하여 하이브리드 데이터 보안 배포를 관리합니다.

클러스터 업그레이드 일정 설정

하이브리드 데이터 보안에 대한 소프트웨어 업그레이드는 클러스터 수준에서 자동으로 수행되며, 이는 모든 노드가 항상 동일한 소프트웨어 버전을 실행하도록 합니다. 업그레이드는 클러스터에 대한 업그레이드 스케줄에 따라 실행됩니다. 소프트웨어 업그레이드가 사용 가능해지면 예약된 업그레이드 시간 전에 클러스터를 수동으로 업그레이드할 수 있는 옵션이 주어집니다. 특정 업그레이드 스케줄을 설정하거나 미국: 아메리카/로스앤젤레스 매일 3:00 AM 기본 스케줄을 사용할 수 있습니다. 필요에 따라 예정된 업그레이드를 연기하도록 선택할 수도 있습니다.

업그레이드 일정을 설정하려면:

1	Control Hub에 로그인합니다.
2	개요 페이지의 하이브리드 서비스 아래에서 하이브리드 데이터 보안을 선택합니다.
3	하이브리드 데이터 보안 리소스 페이지에서 클러스터를 선택합니다.
4	오른쪽의 개요 목록에서 클러스터 설정 아래에서 클러스터 이름을 선택합니다.
5	설정 페이지에 있는 업그레이드 아래에서 업그레이드 예약에 대한 시간 및 시간대를 선택합니다. 참고: 시간대 아래에 다음 사용 가능한 업그레이드 날짜 및 시간이 표시됩니다. 필요한 경우엔 연기를 클릭하여 업그레이드를 다음 날로 연기할 수 있습니다.

노드 구성 변경

경우에 따라 다음과 같은 이유로 하이브리드 데이터 보안 노드의 구성을 변경해야 할 수도 있습니다.

만료 또는 기타 이유로 인해 x.509 인증서 변경.

인증서의 CN 도메인 이름 변경을 지원하지 않습니다. 도메인은 클러스터에 등록하기 위해 사용된 원래 도메인과 일치해야 합니다.

PostgreSQL 또는 Microsoft SQL Server 데이터베이스의 복제본으로 변경하도록 데이터베이스 설정 업데이트.

PostgreSQL에서 Microsoft SQL Server로 또는 그 반대로 데이터 마이그레이션을 지원하지 않습니다. 데이터베이스 환경을 전환하려면 하이브리드 데이터 보안의 새로운 배포를 시작합니다.

새 데이터 센터를 준비하기 위해 새 구성 생성.

또한 보안상의 이유로 하이브리드 데이터 보안은 수명이 9개월인 서비스 계정 비밀번호를 사용합니다. HDS 설정 도구가 이러한 비밀번호를 생성하면 이를 ISO 구성 파일의 각 HDS 노드에 배포합니다. 조직의 비밀번호 만료일이 가까워지면 Webex 팀으로부터 머신 계정의 비밀번호를 재설정하라는 통지를 받습니다. (이메일에는 "머신 계정 API를 사용하여 비밀번호를 업데이트합니다."라는 텍스트가 포함됩니다.) 비밀번호가 아직 만료되지 않은 경우 도구는 다음 두 가지 옵션을 제공합니다.

소프트 재설정—이전 비밀번호 및 새 비밀번호는 모두 최대 10일 동안 유효합니다. 이 기간을 사용하여 노드에서 ISO 파일을 점진적으로 교체합니다.
하드 재설정—이전 비밀번호가 즉시 무효하게 됩니다.

비밀번호가 재설정 없이 만료되는 경우 HDS 서비스에 영향을 미치므로 즉시 하드 재설정을 수행하고 모든 노드에서 ISO 파일을 교체해야 합니다.

새 구성 ISO 파일을 생성하고 클러스터에 적용하려면 이 절차를 따르십시오.

시작하기 전에

HDS 설정 도구가 환경에서 프록시 뒤에서 실행되는 경우 1.e에 Docker 컨테이너를 가져올 때 Docker 환경 변수를 통해 프록시 설정(서버, 포트, 자격 증명)을 제공합니다. 이 표는 몇 가지 환경 변수를 제공합니다.

설명	변수
인증되지 않은 HTTP 프록시	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
인증되지 않은 HTTPS 프록시	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
인증된 HTTP 프록시	`GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
인증된 HTTPS 프록시	`GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

새 구성을 생성하려면 현재 구성 ISO 파일의 사본이 필요합니다. ISO에는 PostgreSQL 또는 Microsoft SQL Server 데이터베이스를 암호화하는 마스터 키가 포함되어 있습니다. 데이터베이스 자격 증명, 인증서 업데이트 또는 인증 정책 변경을 포함하여 구성을 변경할 때 ISO가 필요합니다.

로컬 머신에서 Docker를 사용하여 HDS 설정 도구를 실행합니다.

머신의 명령줄에 사용자 환경에 적합한 명령을 입력합니다.

일반 환경:

docker rmi ciscocitg/hds-setup:stable

FedRAMP 환경:

docker rmi ciscocitg/hds-setup-fedramp:stable

이 단계에서는 이전 HDS 설정 도구 이미지를 정리합니다. 이전 이미지가 없는 경우 무시할 수 있는 오류를 반환합니다.

Docker 이미지 레지스트리에 로그인하려면 다음을 입력합니다.
```
docker login -u hdscustomersro
```
비밀번호 프롬프트에 이 해시를 입력합니다.
```
dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
```

사용자 환경에 맞는 최신 안정 이미지를 다운로드합니다.

일반 환경:

docker pull ciscocitg/hds-setup:stable

FedRAMP 환경:

docker pull ciscocitg/hds-setup-fedramp:stable

이 절차에 대해 최신 설정 도구를 사용하고 있는지 확인하십시오. 2018년 2월 22일 이전에 생성된 도구의 버전에는 비밀번호 재설정 화면이 없습니다.

풀이 완료되면 사용자 환경에 적합한 명령을 입력합니다.

프록시가 없는 일반 환경:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

HTTP 프록시가 있는 일반 환경:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

HTTPS 프록시가 있는 일반 환경:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

프록시가 없는 FedRAMP 환경:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

HTTP 프록시가 있는 FedRAMP 환경:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

HTTPS 프록시가 있는 FedRAMP 환경:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

컨테이너가 실행 중일 때 "포트 8080에서 수신하는 Express 서버"가 표시됩니다.

브라우저를 사용하여 로컬 호스트 에 연결합니다. http://127.0.0.1:8080.

설정 도구는 http://localhost:8080을 통해 localhost에 연결하는 것을 지원하지 않습니다. http://127.0.0.1:8080을(를) 사용하여 로컬 호스트에 연결합니다.

메시지가 표시되면 Control Hub 고객 로그인 자격 증명을 입력한 후 수락을 클릭하여 계속합니다.
현재 구성 ISO 파일을 가져옵니다.
안내에 따라 도구를 완료하고 업데이트된 파일을 다운로드합니다.

설정 도구를 종료하려면 다음을 입력합니다 CTRL+C.
다른 데이터 센터에서 업데이트된 파일의 백업 복사본을 만듭니다.

실행 중인 HDS 노드가 하나뿐인 경우 새 하이브리드 데이터 보안 노드 VM을 생성하고 새 구성 ISO 파일을 사용하여 등록합니다. 자세한 지침은 추가 노드 만들기 및 등록을 참조하십시오.

HDS 호스트 OVA를 설치합니다.
HDS VM을 설정합니다.
업데이트된 구성 파일을 마운트합니다.
Control Hub에서 새 노드를 등록합니다.

이전 구성 파일을 실행하고 있는 기존 HDS 노드의 경우 ISO 파일을 탑재합니다. 각 노드에서 다음 절차를 차례로 수행하여 다음 노드를 끄기 전에 각 노드를 업데이트합니다.

가상 머신의 전원을 끕니다.
VMware vSphere 클라이언트의 왼쪽 네비게이션 분할 창에서 VM을 오른쪽 클릭하고 설정 편집을 클릭합니다.
클릭 CD/DVD Drive 1 CD/DVD 드라이브 1을 클릭하고 ISO 파일에서 마운트하기 위한 옵션을 선택한 후 새 구성 ISO 파일을 다운로드한 위치를 찾습니다.
시동될 때 연결을 체크합니다.
변경 사항을 저장하고 가상 머신의 전원을 켭니다.

이전 구성을 실행하고 있는 나머지 각 노드에서 구성을 바꾸려면 3 단계를 반복하십시오.

차단된 외부 DNS 확인 모드 끄기

노드를 등록하거나 노드의 프록시 구성을 확인할 때 프로세스는 Cisco Webex 클라우드에 대한 DNS 조회 및 연결을 테스트합니다. 노드의 DNS 서버에서 공용 DNS 이름을 확인할 수 없는 경우, 노드는 자동으로 차단된 외부 DNS 확인 모드로 지정됩니다.

노드에서 내부 DNS 서버를 통해 공용 DNS 이름을 확인할 수 있는 경우, 각 노드에서 프록시 연결 테스트를 다시 실행하여 이 모드를 끌 수 있습니다.

시작하기 전에

내부 DNS 서버가 공용 DNS 이름을 확인할 수 있으며, 노드가 해당 서버와 통신할 수 있는지 확인합니다.

1	웹 브라우저에서 하이브리드 데이터 보안 노드 인터페이스(예: https://192.0.2.0/setup), IP 주소/설정)를 열고 노드에 대해 설정한 관리 자격 증명을 입력한 후 로그인을 클릭합니다.
2	개요 (기본 페이지)로 이동합니다. 활성화되면 차단된 외부 DNS 확인이 예로 설정됩니다.
3	신뢰 저장소 및 프록시 페이지로 이동합니다.
4	프록시 연결 확인을 클릭합니다. 외부 DNS 확인에 실패했다는 메시지가 나타나면 노드가 DNS 서버에 연결하지 못한 것이며, 이 모드에서 유지됩니다. 그렇지 않은 경우, 노드를 재부팅하고 개요 페이지로 돌아가면 차단된 외부 DNS 확인은 아니요로 설정됩니다.

다음에 수행할 작업

하이브리드 데이터 보안 클러스터의 각 노드에서 프록시 연결 테스트를 반복합니다.

노드 제거

이 절차를 사용하여 Webex 클라우드에서 하이브리드 데이터 보안 노드를 제거합니다. 클러스터에서 노드를 제거한 후 가상 머신을 삭제하여 보안 데이터에 대한 추가 액세스를 방지합니다.

컴퓨터의 VMware vSphere 클라이언트를 사용하여 ESXi 가상 호스트에 로그인하고 가상 머신의 전원을 끕니다.

노드 제거:

Control Hub에 로그인한 후 서비스를 선택합니다.
하이브리드 데이터 보안 카드에서 하이브리드 데이터 보안 리소스 페이지를 표시하려면 모두 보기를 클릭합니다.
클러스터를 선택하여 개요 목록을 표시합니다.
노드 목록 열기를 클릭합니다.
노드 탭에서 제거할 노드를 선택합니다.
를 클릭합니다. 작업 > 노드 등록 해제.

vSphere 클라이언트에서 VM을 삭제합니다. (왼쪽 탐색 창에서 VM을 마우스 오른쪽 버튼으로 클릭하고 삭제를 클릭합니다.)

VM을 삭제하지 않는 경우 구성 ISO 파일을 마운트 해제해야 합니다. ISO 파일이 없으면 VM을 사용하여 보안 데이터에 액세스할 수 없습니다.

대기 데이터 센터를 사용한 재해 복구

하이브리드 데이터 보안 클러스터가 제공하는 가장 중요한 서비스는 Webex 클라우드에 저장된 메시지 및 기타 콘텐츠를 암호화하는 데 사용되는 키의 생성 및 스토리지입니다. 하이브리드 데이터 보안에 할당된 조직 내의 각 사용자에 대해 새로운 키 생성 요청이 클러스터로 라우팅됩니다. 클러스터는 또한 사용자가 생성한 키를 검색하도록 인증된 사용자(예: 대화 스페이스의 구성원)에게 반환할 책임이 있습니다.

클러스터가 이러한 키를 제공하는 중요한 기능을 수행하기 때문에 클러스터가 계속 실행되고 적절한 백업이 유지되어야 합니다. 하이브리드 데이터 보안 데이터베이스 또는 스키마에 사용된 구성 ISO의 손실로 인해 고객 콘텐츠가 복구할 수 없게 됩니다. 이러한 손실을 예방하려면 다음 관행이 필수적입니다.

재해로 인해 기본 데이터 센터에서 HDS 배포를 사용할 수 없게 되는 경우 이 절차를 따라 대기 데이터 센터로 수동으로 장애 조치합니다.

HDS 설정 도구를 시작하고 HDS 호스트에 대한 구성 ISO 만들기에 설명된 단계를 따릅니다.

Syslogd 서버를 구성한 후 고급 설정을 클릭합니다.

고급 설정 페이지에서 아래 구성을 추가하거나 passiveMode 노드를 활성화하도록 구성합니다. 노드가 구성되면 트래픽을 처리할 수 있습니다.


passiveMode: 'false'

구성 프로세스를 완료하고 찾기 쉬운 위치에 ISO 파일을 저장합니다.

VMware vSphere 클라이언트의 왼쪽 탐색 창에서 VM을 마우스 오른쪽 버튼으로 클릭하고 설정 편집을 클릭합니다..

설정 편집 >CD/DVD 드라이브 1을 클릭하고 데이터스토어 ISO 파일을 선택합니다.

노드를 시작한 후에 업데이트된 구성 변경 사항이 적용될 수 있도록 Connected 및 Connect at power on이(가) 선택되었는지 확인하십시오.

HDS 노드의 전원을 켜고 최소 15분 동안 경보가 울리지 않도록 합니다.

대기 데이터 센터의 모든 노드에 대해 프로세스를 반복합니다.

syslog 출력을 확인하여 대기 데이터 센터의 노드가 패시브 모드가 아는지 확인합니다. "패시브 모드로 구성된 KMS"는 syslog에 표시되지 않아야 합니다.

다음에 수행할 작업

장애 조치 후 기본 데이터 센터가 다시 활성화되면 재해 복구를 위해 대기 데이터 센터 설정에 설명된 단계를 따라 대기 데이터 센터를 수동 모드로 다시 배치합니다.

(선택 사항) HDS 구성 후 ISO 마운트 해제

표준 HDS 구성은 마운트된 ISO로 실행됩니다. 그러나 일부 고객은 ISO 파일을 계속 마운트하지 않는 것을 선호합니다. 모든 HDS 노드가 새 구성을 선택하면 ISO 파일을 마운트 해제할 수 있습니다.

여전히 ISO 파일을 사용하여 구성을 변경합니다. 새 ISO를 만들거나 설치 도구를 통해 ISO를 업데이트할 때 업데이트된 ISO를 모든 HDS 노드에 장착해야 합니다. 모든 노드에서 구성 변경 사항을 선택하면 이 절차를 사용하여 ISO를 다시 마운트 해제할 수 있습니다.

시작하기 전에

모든 HDS 노드를 버전 2021.01.22.4720 이상으로 업그레이드합니다.

1	HDS 노드 중 하나를 종료합니다.
2	vCenter Server Appliance에서 HDS 노드를 선택합니다.
3	선택 설정 > CD/DVD 드라이브를 편집하고 데이터 저장소 ISO 파일을 선택 취소합니다.
4	HDS 노드의 전원을 켜고 최소 20분 동안 경보가 울리지 않도록 합니다.
5	각 HDS 노드에 대해 차례로 반복합니다.

하이브리드 데이터 보안 문제 해결하기

경고 보기 및 문제 해결하기

클러스터의 모든 노드에 연결할 수 없거나 클러스터가 너무 느리게 작동하여 시간 초과를 요청하는 경우 하이브리드 데이터 보안 배포를 사용할 수 없는 것으로 간주됩니다. 사용자가 하이브리드 데이터 보안 클러스터에 연결할 수 없는 경우, 다음과 같은 증상이 나타납니다.

새 스페이스를 만들 수 없음(새 키를 만들 수 없음)
메시지 및 스페이스 제목이 해독되지 않음:
- 스페이스에 새로운 사용자가 추가됨(키를 가져올 수 없음)
- 새로운 클라이언트를 사용하여 스페이스에 있는 기존의 사용자(키를 가져올 수 없음)
클라이언트가 암호화 키의 캐시를 갖고 있는 한 스페이스에 있는 기존의 사용자는 계속 성공적으로 실행됩니다.

서비스가 중단되지 않도록 하이브리드 데이터 보안 클러스터를 올바르게 모니터링하고 즉시 알림을 처리하는 것이 중요합니다.

경고

하이브리드 데이터 보안 설정에 문제가 있는 경우, Control Hub는 조직 관리자에게 경고를 표시하고 구성된 이메일 주소로 이메일을 보냅니다. 경고는 많은 일반적인 시나리오를 다룹니다.

표 1. 일반적인 문제 및 해결 단계
경고	작업
로컬 데이터베이스 액세스 실패.	데이터베이스 오류 또는 로컬 네트워크 문제를 확인합니다.
로컬 데이터베이스 연결 실패.	데이터베이스 서버를 사용할 수 있는지 확인하고 노드 구성에 올바른 서비스 계정 자격 증명이 사용되었는지 확인합니다.
클라우드 서비스 액세스 실패.	외부 연결 요구 사항에 지정된 대로 노드가 Webex 서버에 액세스할 수 있는지 확인합니다.
클라우드 서비스 등록 갱신.	클라우드 서비스에 대한 등록이 삭제되었습니다. 등록 갱신이 진행 중입니다.
클라우드 서비스 등록이 끊겼습니다.	클라우드 서비스에 대한 등록이 종료되었습니다. 서비스가 종료되고 있습니다.
서비스가 아직 활성화되지 않았습니다.	평가판을 활성화하거나, 평가판을 프로덕션으로 이동하는 작업을 마칩니다.
구성된 도메인이 서버 인증서와 일치하지 않습니다.	서버 인증서가 구성된 서비스 활성화 도메인과 일치하는지 확인합니다. 가장 큰 원인은 인증서 CN이 최근에 변경되었으며 이제 초기 설정 중에 사용된 CN과 다르다는 것입니다.
클라우드 서비스를 인증하지 못했습니다.	서비스 계정 자격 증명의 정확성 및 가능한 만료 여부를 확인합니다.
로컬 키 저장소 파일을 열지 못했습니다.	로컬 키 저장소 파일에서 무결성 및 암호 정확도를 확인합니다.
로컬 서버 인증서가 유효하지 않습니다.	서버 인증서의 만료 날짜를 확인하고 신뢰할 수 있는 인증 기관에서 발급했는지 확인합니다.
메트릭을 게시할 수 없음.	외부 클라우드 서비스에 대한 로컬 네트워크 액세스를 확인합니다.
/media/configdrive/hds 디렉토리가 없습니다.	가상 호스트에서 ISO 마운트 구성을 확인합니다. ISO 파일이 존재하는지, 재부팅 시 마운트하도록 구성되었는지, 성공적으로 마운트되는지 확인합니다.

하이브리드 데이터 보안 문제 해결하기

하이브리드 데이터 보안의 문제를 해결할 때 다음 일반 지침을 사용하십시오.

1	알림에 대해 Control Hub를 검토하고 발견한 항목을 수정합니다.
2	하이브리드 데이터 보안 배포에서 활동에 대한 syslog 서버 출력을 검토합니다.
3	Cisco 고객 지원에 문의하십시오.

기타 메모

하이브리드 데이터 보안의 알려진 문제

(Control Hub에서 삭제하거나 모든 노드를 종료하여) 하이브리드 데이터 보안 클러스터를 종료하거나, 구성 ISO 파일을 잃거나, 키 저장소 데이터베이스에 대한 액세스를 잃는 경우, KMS에서 키로 생성된 사용자 목록 아래에서 Webex 앱 사용자는 더 이상 스페이스를 사용할 수 없습니다. 이는 평가판 및 프로덕션 배포 모두에 적용됩니다. 현재 이 문제에 대한 해결 방법이나 수정 사항이 없으며, 활동 중인 사용자 계정을 처리하는 동안 HDS 서비스를 종료하지 말 것을 권장합니다.
KMS에 대한 기존 ECDH 연결이 있는 클라이언트는 일정 기간(1시간 정도) 동안 연결을 유지합니다. 사용자가 하이브리드 데이터 보안 평가판의 멤버가 되면 사용자의 클라이언트는 시간이 초과될 때까지 기존의 ECDH 연결을 계속 사용합니다. 또는 사용자는 Webex 앱 앱에 로그아웃하고 다시 로그인하여 앱이 암호화 키에 대해 연락하는 위치를 업데이트할 수도 있습니다.

조직에 대해 평가판을 프로덕션으로 이동할 때 동일한 동작이 발생합니다. 이전 데이터 보안 서비스에 대한 기존의 ECDH 연결을 사용하는 평가판 외의 모든 사용자는 ECDH 연결이 재협상될 때까지(시간 초과 또는 로그아웃하고 다시 로그인할 때까지) 해당 서비스를 계속 사용합니다.

OpenSSL을 사용하여 PKCS12 파일 생성

시작하기 전에

OpenSSL은 PKCS12 파일을 HDS 설정 도구에 로드하기 위한 적절한 형식으로 만드는 데 사용할 수 있는 도구 중 하나입니다. 다른 방법이 있는데, 우리는 다른 방법을 지지하거나 홍보하지 않습니다.
OpenSSL을 사용하기로 선택하는 경우, 이 절차를 X.509 인증서 요구 사항에서 X.509 인증서 요구 사항을 충족하는 파일을 만드는 데 도움이 되는 지침으로 제공하고 있습니다. 계속하기 전에 이러한 요구 사항을 이해하십시오.
지원되는 환경에 OpenSSL을 설치합니다. 소프트웨어 및 설명서는 https://www.openssl.org를 참조하십시오.
개인 키를 만듭니다.
CA(Certificate Authority)에서 서버 인증서를 수신하면 이 절차를 시작합니다.

1	CA에서 서버 인증서를 수신하면 다음과 같이 저장합니다. `hdsnode.pem`.
2	인증서를 텍스트로 표시하고 세부 사항을 확인합니다. `openssl x509 -text -noout -in hdsnode.pem`
3	텍스트 편집기를 사용하여 인증서 번들 파일을 생성합니다. `hdsnode-bundle.pem`. 번들 파일에는 서버 인증서, 모든 중간 CA 인증서 및 루트 CA 인증서가 아래 형식으로 포함되어야 합니다. `-----BEGIN CERTIFICATE----- ### Server certificate. ### -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ### Intermediate CA certificate. ### -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ### Root CA certificate. ### -----END CERTIFICATE-----`
4	친숙한 이름으로 .p12 파일 만들기 `kms-private-key`. `openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12`
5	서버 인증서 세부 사항을 확인합니다. `openssl pkcs12 -in hdsnode.p12` 프롬프트에서 비밀번호를 입력하여 개인 키를 암호화하여 출력에 나열합니다. 그런 다음 개인 키 및 첫 번째 인증서에 회선이 포함되어 있는지 확인합니다. `friendlyName: kms-private-key`. 예: bash$ openssl pkcs12 -in hdsnode.p12 Enter Import Password: MAC verified OK Bag Attributes friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Key Attributes: <No Attributes> Enter PEM pass phrase: Verifying - Enter PEM pass phrase: -----BEGIN ENCRYPTED PRIVATE KEY----- <redacted> -----END ENCRYPTED PRIVATE KEY----- Bag Attributes friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 -----BEGIN CERTIFICATE----- <redacted> -----END CERTIFICATE----- Bag Attributes friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3 -----BEGIN CERTIFICATE----- <redacted> -----END CERTIFICATE-----

다음에 수행할 작업

하이브리드 데이터 보안에 대한 전제 조건 완료로 돌아갑니다. 다음을 사용하게 됩니다. hdsnode.p12 파일 및 설정한 비밀번호는 HDS 호스트에 대한 구성 ISO 만들기에 있습니다.

원본 인증서가 만료되면 해당 파일을 다시 사용하여 새 인증서를 요청할 수 있습니다.

HDS 노드와 클라우드 간의 트래픽

아웃바운드 메트릭 수집 트래픽

하이브리드 데이터 보안 노드는 특정 메트릭을 Webex 클라우드로 보냅니다. 여기에는 힙 최대, 사용된 힙, CPU 로드 및 스레드 수에 대한 시스템 메트릭, 동기식 및 비동기식 스레드에 대한 메트릭, 암호화 연결 임계값, 대기 시간 또는 요청 대기열 길이를 포함하는 경고에 대한 메트릭, 데이터스토어의 메트릭 및 암호화 연결 메트릭이 포함됩니다. 노드는 대역 외(요청과 별개) 채널을 통해 암호화된 키 자료를 보냅니다.

인바운드 교통

하이브리드 데이터 보안 노드는 Webex 클라우드에서 다음 유형의 인바운드 트래픽을 수신합니다.

암호화 서비스에 의해 라우팅되는 클라이언트의 암호화 요청
노드 소프트웨어로 업그레이드

하이브리드 데이터 보안에 대해 Squid 프록시 구성

웹 소켓은 Squid 프록시를 통해 연결할 수 없음

HTTPS 트래픽을 검사하는 오징어 프록시는 websocket의 설립을 방해 할 수 있습니다 ( wss:) 하이브리드 데이터 보안이 요구하는 연결입니다. 이 섹션에서는 다양한 버전의 Squid를 무시하도록 구성하는 방법에 대한 지침을 제공합니다. wss: 안내를 제공합니다.

Squid 4 및 5

추가 on_unsupported_protocol 지시 사항 squid.conf:

on_unsupported_protocol tunnel all

Squid 3.5.27

다음 규칙이 추가되어 하이브리드 데이터 보안을 성공적으로 테스트했습니다. squid.conf. 이 규칙은 기능을 개발하고 Webex 클라우드를 업데이트 함에 따라 변경될 수도 있습니다.

acl wssMercuryConnection ssl::server_name_regex mercury-connection

ssl_bump splice wssMercuryConnection

acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all

서문

신규 및 변경된 정보

날짜

변경 사항

2023년 10월 20일

데이터베이스 서버 요구 사항에서 정보를 업데이트했습니다.
재해 복구를 위한 대기 데이터 센터 설정을 추가했습니다.
대기 데이터 센터를 사용하여 재해 복구를 위한 대기 데이터 센터 및 재해 복구에 대한 정보 업데이트.

2023년 8월 7일

설치 파일 다운로드에 메모를 추가했습니다.
HDS 호스트에 대한 구성 ISO 만들기 및 노드 구성 변경에 메모를 추가했습니다.

2023년 5월 23일

계정 팀에 연락하여 기능을 활성화하도록 요청하는 데이터베이스 서버 요구 사항에서 정보를 삭제했습니다.
외부 연결 요구 사항에서 정보를 업데이트하고 CI 호스트 테이블에 캐나다를 추가했습니다.
키를 클라우드로 다시 이동하는 메커니즘의 가용성 해제에 관한 하이브리드 데이터 보안 배포에 대한 기대치에 메모를 추가했습니다.

2022년 12월 06일

이제 HDS 설정 도구 이미지가 다음 위치에서 호스트됩니다. ciscocitg 도커허브 리포지토리.
업데이트된 HDS 호스트에 대한 구성 ISO 만들기 및 노드 구성 주제를 변경하여 명령의 변경 사항을 다시 적용합니다.

2022년 11월 23일

이제 HDS 노드는 Microsoft SQL Server에 대한 Windows 인증을 사용할 수 있습니다.

이 인증 모드에 대한 추가 요구 사항으로 데이터베이스 서버 요구 사항 주제를 업데이트했습니다.

노드에서 Windows 인증을 구성하는 절차를 사용하여 HDS 호스트에 대한 구성 ISO 만들기를 업데이트했습니다.
새로운 최소 필수 버전(PostgreSQL 10)으로 데이터베이스 서버 요구 사항 주제를 업데이트했습니다.

2021년 10월 13일

HDS 노드를 설치하려면 Docker Desktop이 설치 프로그램을 실행해야 합니다. Docker 데스크톱 요구 사항을 참조하십시오.

2021년 6월 24일

비공개 키 파일 및 CSR을 다시 사용하여 다른 인증서를 요청할 수 있습니다. 자세한 내용은 OpenSSL을 사용하여 PKCS12 파일 생성을 참조하십시오.

2021년 4월 30일

로컬 하드 디스크 공간에 대한 VM 요구 사항을 30GB로 변경했습니다. 자세한 내용은 가상 호스트 요구 사항을 참조하십시오.

2021년 2월 24일

이제 HDS 설정 도구는 프록시 뒤에서 실행할 수 있습니다. 자세한 내용은 HDS 호스트에 대한 구성 ISO 만들기를 참조하십시오.

2021년 2월 2일

이제 HDS는 마운트된 ISO 파일 없이 실행할 수 있습니다. 자세한 내용은 (선택 사항) HDS 구성 후 ISO 마운트 해제를 참조하십시오.

2021년 1월 11일 수요일

HDS 설정 도구 및 프록시에 대한 정보를 추가하여 HDS 호스트에 대한 구성 ISO 만들기.

2020년 10월 13일

설치 파일 다운로드가 업데이트되었습니다.

2020년 10월 8일

업데이트된 HDS 호스트에 대한 구성 ISO 생성 및 FedRAMP 환경에 대한 명령어로 노드 구성 변경.

2020년 8월 14일

HDS 호스트에 대한 구성 ISO 생성 및 로그인 프로세스에 대한 변경 사항으로 노드 구성 변경이 업데이트되었습니다.

2020년 8월 5일

로그 메시지의 변경 사항에 대해 하이브리드 데이터 보안 배포 테스트를 업데이트했습니다.

최대 호스트 수를 제거하려면 가상 호스트 요구 사항을 업데이트했습니다.

2020년 6월 16일

Control Hub UI에서 변경 사항에 대해 노드 제거가 업데이트되었습니다.

2020년 6월 4일

설정한 고급 설정의 변경 사항에 대해 HDS 호스트에 대한 구성 ISO 만들기를 업데이트했습니다.

2020년 5월 29일

업데이트된 HDS 호스트에 대한 구성 ISO 생성은 SQL Server 데이터베이스, UI 변경 사항 및 기타 설명과 함께 TLS를 사용할 수도 있음을 표시합니다.

2020년 5월 5일

ESXi 6.5의 새로운 요구 사항을 표시하기 위해 가상 호스트 요구 사항을 업데이트했습니다.

2020년 4월 21일

새로운 Americas CI 호스트를 사용하여 외부 연결 요구 사항을 업데이트했습니다.

2020년 4월 1일 수요일

지역 CI 호스트에 대한 정보를 사용하여 외부 연결 요구 사항을 업데이트했습니다.

2020년 2월 20일 HDS 설정 도구의 새로운 선택적 고급 설정 화면에 대한 정보를 사용하여 HDS 호스트에 대한 구성 ISO 생성을 업데이트했습니다.

2020년 2월 4일 수요일 프록시 서버 요구 사항을 업데이트함.

2019년 12월 16일 프록시 서버 요구 사항에서 작동하도록 차단된 외부 DNS 확인 모드에 대한 요구 사항을 명확화했습니다.

2019년 11월 19일

다음 섹션에서 차단된 외부 DNS 확인 모드에 대한 정보를 추가했습니다.

프록시 지원
프록시 통합에 대해 HDS 노드 구성
차단된 외부 DNS 확인 모드 끄기

2019년 11월 8일

이제 이후 대신 OVA를 배포하는 동안 노드에 대한 네트워크 설정을 구성할 수 있습니다.

그에 따라 다음 섹션을 업데이트함:

하이브리드 데이터 보안 배포 작업 흐름
HDS 호스트 OVA 설치
하이브리드 데이터 보안 VM 설정

OVA 배포 중에 네트워크 설정을 구성하는 옵션은 ESXi 6.5에서 테스트되었습니다. 해당 옵션은 이전 버전에서 사용할 수 없을 수도 있습니다.

2019년 9월 6일

데이터베이스 서버 요구 사항에 SQL Server Standard를 추가했습니다.

2019년 8월 20일

Webex 클라우드에 대한 하이브리드 데이터 보안 노드 통신에 대한 프록시 지원을 커버하기 위해 섹션을 추가하고 업데이트했습니다.

프록시 지원
프록시 서버 요구 사항
프록시 통합에 대해 HDS 노드 구성

2019년 3월 6일 수요일

요구 사항과 전제 조건을 별도의 장으로 이동하여 환경 준비.
하이브리드 데이터 보안 클러스터 설정 장에 하이브리드 데이터 보안 배포 작업 흐름 개요를 추가했습니다.

평가판을 시작할 때까지(후속 장의 지침을 사용하여) 노드는 서비스가 아직 활성화되지 않았음을 알리는 알람을 생성합니다.
평가판을 프로덕션 작업 흐름에 추가함. 평가판을 실행하고 프로덕션으로 이동.

2019년 2월 28일 목요일

OVA가 생성하는 디스크의 크기를 반영하기 위해 하이브리드 데이터 보안 노드가 되는 가상 호스트를 50GB에서 20GB로 준비할 때 별도로 설정해야 하는 서버당 로컬 하드 디스크 공간의 양을 수정했습니다.

2019년 2월 26일

이제 하이브리드 데이터 보안 노드는 PostgreSQL 데이터베이스 서버로 암호화된 연결을 지원하고 TLS 지원 syslog 서버에 암호화된 로깅 연결을 지원합니다. 지침이 포함된 HDS 호스트에 대한 구성 ISO 만들기를 업데이트했습니다.
"하이브리드 데이터 보안 노드 VM에 대한 인터넷 연결 요구 사항" 테이블에서 대상 URL을 제거했습니다. 이제 표는 Webex Teams 서비스에 대한 네트워크 요구 사항의 "Webex Teams 하이브리드 서비스에 대한 추가 URL" 표에 유지되는 목록을 나타냅니다.

2019년 1월 24일

2018년 11월 5일 수요일

HDS 호스트에 대한 구성 ISO 만들기 및 노드 구성 변경에서 기존 도커 hds 인스턴스를 정리하는 예비 단계를 추가했습니다.
인터페이스와 일치하도록 HDS 호스트에 대한 구성 ISO 만들기에서 키 액세스 수준 단계를 업데이트했습니다.

2018년 10월 19일

하이브리드 데이터 보안에 대한 전제 조건 완료에서 방화벽 연결 정보를 노드 요구 사항 및 ISO 구성 기계 요구 사항으로 분할합니다.

2018년 7월 31일

하이브리드 데이터 보안에 대한 전제 조건을 완료하기 위해 포트 22(SSH 액세스) 및 NAT 및 방화벽 연결에 대한 정보를 추가했습니다.

2018년 5월 21일

Cisco Spark의 리브랜딩을 반영하기 위해 용어를 변경함:

이제 Cisco Spark 하이브리드 데이터 보안은 하이브리드 데이터 보안입니다.
이제 Cisco Spark 앱은 Webex 앱 앱입니다.
이제 Cisco Collaboraton Cloud는 Webex 클라우드입니다.

2018년 4월 11일 화요일

재해 복구를 위한 대기 데이터 센터가 추가되었습니다.
업데이트됨 하이브리드 데이터 보안에 대한 전제 조건 완료는 백업 환경이 다른 데이터 센터에 있어야 함을 지정합니다.
대기 데이터 센터를 사용하여 재해 복구를 업데이트했습니다.

2018년 2월 22일

서비스 계정 비밀번호 9개월 수명에 대한 정보를 추가하고 HDS 설정 도구를 사용하여 서비스 계정 비밀번호를 재설정하는 방법을 사용하여 HDS 호스트에 대한 구성 ISO 만들기 및 노드 구성 변경.

2018년 2월 15일 목요일

X.509 인증서 요구 사항 표에서 인증서가 와일드카드 인증서가 될 수 없으며 KMS가 x.509v3 SAN 필드에 정의된 도메인이 아닌 CN 도메인을 사용한다고 지정했습니다.

2018년 1월 18일 목요일

부록, HDS 노드와 클라우드 간의 트래픽 추가.
하이브리드 데이터 보안에 대해 알려진 문제에서 해결된 문제를 제거했습니다.
index.docker.io를 *.docker.io로 변경하고 하이브리드 데이터 보안에 대한 전제 조건 완료의 HDS 노드에 대한 TCP 연결 요구 사항 목록에 *.cloudfront.net을 추가했습니다.
업데이트된 HDS 호스트에 대한 구성 ISO 생성은 데이터베이스 호스트 및 Syslogd 서버가 HDS 노드에서 DNS 확인할 수 없는 경우 IP 주소를 사용하여 구성해야 함을 나타냅니다.

2017년 11월 2일 수요일

HdsTrialGroup의 디렉터리 동기화를 명확히 함.
VM 노드에 마운트하기 위해 ISO 구성 파일을 업로드하는 방법을 수정했습니다.

2017년 8월 18일

첫 번째 출판

하이브리드 데이터 보안 시작하기

하이브리드 데이터 보안 개요

보안 영역 아키텍처

Webex 클라우드 아키텍처는 아래에 설명된 대로 다른 유형의 서비스를 별도의 영역 또는 신뢰 도메인으로 분리합니다.

클라이언트는 키 관리 서비스(KMS)와 보안 연결을 설정한 후 메시지를 암호화하기 위해 키를 요청합니다. 보안 연결은 ECDH를 사용하며, KMS는 AES-256 마스터 키를 사용하여 키를 암호화합니다.
메시지가 클라이언트에서 나가기 전에 암호화됩니다. 클라이언트는 이를 인덱싱 서비스로 전송하며, 이는 암호화된 검색 인덱스를 생성하여 콘텐츠에 대한 향후 검색을 지원합니다.
암호화된 메시지는 준수 확인을 위해 준수 서비스로 전송됩니다.
암호화된 메시지는 스토리지 영역에 저장됩니다.

다른 조직과의 협업

하이브리드 데이터 보안 배포에 대한 기대

하이브리드 데이터 보안 배포에는 중요한 고객 노력과 암호화 키를 소유하는 위험에 대한 인식이 필요합니다.

하이브리드 데이터 보안을 배포하려면 다음을 제공해야 합니다.

Cisco Webex Teams 플랜에 대해 지원되는 위치에 있는 국가의 보안 데이터 센터.
환경 준비에 설명된 장비, 소프트웨어 및 네트워크 액세스.

데이터베이스 및 구성 ISO의 백업 및 복구를 관리합니다.
데이터베이스 디스크 오류 또는 데이터 센터 재해와 같은 재해가 발생하는 경우 빠른 재해 복구를 수행할 수 있도록 준비하십시오.

HDS 배포 후 키를 클라우드로 다시 이동하는 메커니즘은 없습니다.

고급 설정 프로세스

이 문서는 하이브리드 데이터 보안 배포의 설정 및 관리를 다룹니다.

하이브리드 데이터 보안 설정—여기에는 필수 인프라 준비 및 하이브리드 데이터 보안 소프트웨어 설치, 평가판 모드의 사용자 하위 집합으로 배포 테스트 및 테스트가 완료되면 프로덕션으로 이동하는 작업이 포함됩니다. 이는 전체 조직을 변환하여 보안 기능에 대해 하이브리드 데이터 보안 클러스터를 사용합니다.
설정, 평가판 및 생산 단계는 다음 세 장에서 자세히 다룹니다.
하이브리드 데이터 보안 배포 유지 관리—Webex 클라우드는 자동으로 진행 중인 업그레이드를 제공합니다. IT 부서는 이 배포에 대해 1단계 지원을 제공하고 필요에 따라 Cisco 지원을 참여할 수 있습니다. Control Hub에서 화면 내 알림을 사용하고 이메일 기반 경고를 설정할 수 있습니다.
일반적인 경고, 문제 해결 단계 및 알려진 문제를 이해합니다—하이브리드 데이터 보안을 배포하거나 사용하는 데 문제가 발생하는 경우, 이 안내서의 마지막 장과 알려진 문제 부록은 문제를 결정하고 해결하는 데 도움이 될 수 있습니다.

하이브리드 데이터 보안 배포 모델

하이브리드 데이터 보안 배포 모델

Control Hub에서 노드를 등록하면 노드가 활성화됩니다. 개별 노드를 서비스 중단하려면 등록을 취소하고 필요한 경우 나중에 다시 등록할 수 있습니다.

조직당 단일 클러스터만 지원합니다.

하이브리드 데이터 보안 평가판 모드

재해 복구를 위한 대기 데이터 센터

배포 중에 보안 대기 데이터 센터를 설정합니다. 데이터 센터 재해가 발생하면 대기 데이터 센터로 수동으로 배포에 실패할 수 있습니다.

활성 하이브리드 데이터 보안 노드는 항상 활성 데이터베이스 서버와 동일한 데이터 센터에 있어야 합니다.

재해 복구를 위한 대기 데이터 센터 설정

대기 데이터 센터의 ISO 파일을 구성하려면 아래 단계를 따르십시오.

시작하기 전에

대기 데이터 센터는 VM의 생산 환경 및 백업 PostgreSQL 또는 Microsoft SQL Server 데이터베이스를 반영해야 합니다. 예를 들어, 프로덕션에 HDS 노드를 실행하는 3개의 VM이 있는 경우 백업 환경에는 3개의 VM이 있어야 합니다. (이 페일오버 모델에 대한 개요는 재해 복구를 위한 대기 데이터 센터 참조)
활성 및 수동 클러스터 노드의 데이터베이스 간에 데이터베이스 동기화가 활성화되어 있는지 확인합니다.

HDS 설정 도구를 시작하고 HDS 호스트에 대한 구성 ISO 만들기에 설명된 단계를 따릅니다.

ISO 파일은 기본 데이터 센터의 원래 ISO 파일의 복사본이어야 하며, 다음 구성 업데이트가 이루어져야 합니다.

Syslogd 서버를 구성한 후 고급 설정을 클릭합니다.


passiveMode: 'true'

구성 프로세스를 완료하고 찾기 쉬운 위치에 ISO 파일을 저장합니다.

VMware vSphere 클라이언트의 왼쪽 탐색 창에서 VM을 마우스 오른쪽 버튼으로 클릭하고 설정 편집을 클릭합니다..

설정 편집 >CD/DVD 드라이브 1을 클릭하고 데이터스토어 ISO 파일을 선택합니다.

노드를 시작한 후에 업데이트된 구성 변경 사항이 적용될 수 있도록 Connected 및 Connect at power on이(가) 선택되었는지 확인하십시오.

HDS 노드의 전원을 켜고 최소 15분 동안 경보가 울리지 않도록 합니다.

대기 데이터 센터의 모든 노드에 대해 프로세스를 반복합니다.

syslogs를 확인하여 노드가 수동 모드인지 확인합니다. syslog에서 "KMS가 수동 모드로 구성됨" 메시지를 볼 수 있어야 합니다.

다음에 수행할 작업

프록시 지원

하이브리드 데이터 보안 노드는 다음 프록시 옵션을 지원합니다.

프록시 없음—프록시를 통합하기 위해 HDS 노드 설정 신뢰 저장소 및 프록시 구성을 사용하지 않는 경우에 기본값입니다. 인증서를 업데이트하지 않아도 됩니다.
투명 비-검사 프록시—노드가 특정 프록시 서버 주소를 사용하도록 구성되어 있지 않으며, 비-검사 프록시에서 작동하도록 변경할 것을 요구하지 않습니다. 인증서를 업데이트하지 않아도 됩니다.
투명 터널링 또는 검사 프록시—노드가 특정 프록시 서버 주소를 사용하도록 구성되어 있지 않습니다. 노드에서 HTTP 또는 HTTPS 구성을 변경하지 않아도 됩니다. 단, 노드에 루트 인증서가 있어야 프록시를 신뢰할 수 있습니다. 일반적으로 검사 프록시는 IT가 어떤 웹사이트를 방문할 수 있는지 및 어떤 유형의 콘텐츠가 허용되는지에 대한 정책을 적용하기 위해 사용됩니다. 이러한 유형의 프록시는 모든 트래픽(HTTPS 포함)을 해독합니다.
명시적 프록시—명시적 프록시를 사용하여 HDS 노드가 어떤 프록시 서버 및 인증 구성표를 사용하는지 알 수 있습니다. 명시적 프록시를 구성하려면 각 노드에 다음 정보를 입력해야 합니다.
1. 프록시 IP/FQDN—프록시 머신에 연결하기 위해 사용할 수 있는 주소입니다.
2. 프록시 포트—프록시가 프록시된 트래픽을 탐지하기 위해 사용하는 포트 번호입니다.
3. 프록시 프로토콜—프록시 서버에서 지원하는 내용에 따라 다음 프로토콜 중에서 선택합니다.
  - HTTP—클라이언트가 전송하는 모든 요청을 확인하고 제어합니다.
  - HTTPS—서버에 채널을 제공합니다. 클라이언트는 서버의 인증서를 수신하고 유효성을 검증합니다.
4. 인증 유형—다음 인증 유형 중에서 선택합니다.
  - 없음—추가 인증이 필요하지 않습니다.
    
    HTTP 또는 HTTPS를 프록시 프로토콜로 선택하는 경우에 사용할 수 있습니다.
  - 기본—요청을 제출할 때 HTTP 사용자 에이전트가 사용자 이름 및 비밀번호를 제공하기 위해 사용됩니다. Base64 인코딩을 사용합니다.
    
    HTTP 또는 HTTPS를 프록시 프로토콜로 선택하는 경우에 사용할 수 있습니다.
    
    각 노드에서 사용자 이름 및 비밀번호를 입력하도록 요구합니다.
  - 다이제스트—민감한 정보를 보내기 전에 계정을 확인하기 위해 사용됩니다. 네트워크를 통해 전송하기 전에 사용자 이름 및 비밀번호에 해시 기능을 적용합니다.
    
    HTTPS를 프록시 프로토콜로 선택하는 경우에만 사용할 수 있습니다.
    
    각 노드에서 사용자 이름 및 비밀번호를 입력하도록 요구합니다.

하이브리드 데이터 보안 노드 및 프록시의 예제

차단된 외부 DNS 확인 모드 끄기 (명시적 프록시 구성)

환경 준비

하이브리드 데이터 보안의 요구 사항

Cisco Webex 라이센스 요구 사항

하이브리드 데이터 보안을 배포하려면:

Cisco Webex Control Hub용 Pro Pack이 있어야 합니다. (https://www.cisco.com/go/pro-pack 참조)

Docker 데스크톱 요구 사항

X.509 인증서 요구 사항

인증서 체인은 다음 요구 사항을 충족해야 합니다.

표 1. 하이브리드 데이터 보안 배포에 대한 X.509 인증서 요구 사항
요구 사항	세부 정보
신뢰할 수 있는 인증 기관(CA)이 서명함	기본적으로 https://wiki.mozilla.org/CA:IncludedCAs의 Mozilla 목록(WoSign 및 StartCom 제외)의 CA를 신뢰합니다.
하이브리드 데이터 보안 배포를 식별하는 CN(공통 이름) 도메인 이름이 있습니다. 와일드카드 인증서가 아님	CN에 연결할 수 있거나 실시간 호스트가 필요하지 않습니다. 예를 들어, 조직을 반영하는 이름을 사용할 것을 권장합니다. `hds.company.com`. CN에는 *(와일드카드)가 포함되어서는 안 됩니다. CN은 Webex 앱 클라이언트에 대한 하이브리드 데이터 보안 노드를 확인하는 데 사용됩니다. 클러스터의 모든 하이브리드 데이터 보안 노드는 동일한 인증서를 사용합니다. KMS는 x.509v3 SAN 필드에 정의된 도메인이 아닌 CN 도메인을 사용하여 자신을 식별합니다. 이 인증서에 노드를 등록하면 CN 도메인 이름 변경을 지원하지 않습니다. 평가판 및 프로덕션 배포 모두에 적용할 수 있는 도메인을 선택합니다.
Non-SHA1 서명	KMS 소프트웨어는 다른 조직의 KMS와의 연결을 검증하기 위해 SHA1 서명을 지원하지 않습니다.
암호로 보호된 PKCS #12 파일로 포맷 친근한 이름 사용 `kms-private-key` 을(를) 사용하여 업로드할 인증서, 비공개 키 및 중간 인증서에 태그를 지정합니다.	OpenSSL과 같은 변환기를 사용하여 인증서의 형식을 변경할 수 있습니다. HDS 설정 도구를 실행할 때 암호를 입력해야 합니다.

가상 호스트 요구 사항

클러스터에서 하이브리드 데이터 보안 노드로 설정하는 가상 호스트는 다음 요구 사항을 충족합니다.

동일한 보안 데이터 센터에서 두 개 이상의 별도의 호스트(3개 권장)가 공동 처리됨
VMware ESXi 6.5(이상) 설치 및 실행 중.

이전 버전의 ESXi가 있는 경우 업그레이드해야 합니다.
최소 4개의 vCPU, 8GB 기본 메모리, 서버당 30GB 로컬 하드 디스크 공간

데이터베이스 서버 요구 사항

데이터베이스 서버에 대한 두 가지 옵션이 있습니다. 각 요구 사항은 다음과 같습니다.

표 2. 데이터베이스 유형별 데이터베이스 서버 요구 사항

PostgreSQL 소개

Microsoft SQL 서버

PostgreSQL 14, 15 또는 16, 설치 및 실행.

SQL Server 2016, 2017 또는 2019 (Enterprise 또는 Standard)가 설치되었습니다.

SQL Server 2016에는 서비스 팩 2 및 누적 업데이트 2 이상이 필요합니다.

HDS 소프트웨어는 현재 데이터베이스 서버와의 통신을 위해 다음 드라이버 버전을 설치합니다.

PostgreSQL 소개

Microsoft SQL 서버

Postgres JDBC 드라이버 42.2.5

SQL Server JDBC 드라이버 4.6

이 드라이버 버전은 SQL Server Always On(Always On Failover 클러스터 인스턴스 및 Always On 가용성 그룹)을 지원합니다.

Microsoft SQL Server에 대한 Windows 인증에 대한 추가 요구 사항

HDS 노드가 Windows 인증을 사용하여 Microsoft SQL Server의 키 저장소 데이터베이스에 액세스하도록 하려면 환경에서 다음 구성이 필요합니다.

HDS 노드, Active Directory 인프라 및 MS SQL 서버가 모두 NTP와 동기화되어야 합니다.
HDS 노드에 제공하는 Windows 계정은 데이터베이스에 대한 읽기/쓰기 액세스 권한이 있어야 합니다.
HDS 노드에 제공하는 DNS 서버는 KDC(Key Distribution Center)를 확인할 수 있어야 합니다.
Microsoft SQL Server에서 HDS 데이터베이스 인스턴스를 Active Directory의 SPN(Service Principal Name)으로 등록할 수 있습니다. Kerberos Connections에 대한 서비스 기본 이름 등록을 참조하십시오.

HDS 설정 도구, HDS 실행기 및 로컬 KMS는 모두 Windows 인증을 사용하여 키 저장소 데이터베이스에 액세스해야 합니다. ISO 구성의 세부 정보를 사용하여 Kerberos 인증으로 액세스를 요청할 때 SPN을 구성합니다.

외부 연결 요구 사항

HDS 애플리케이션에 대해 다음 연결을 허용하도록 방화벽을 구성합니다.

응용프로그램	프로토콜	포트	앱에서 방향	대상
하이브리드 데이터 보안 노드	TCP	443	아웃바운드 HTTPS 및 WSS	Webex 서버: .wbx2.com .ciscospark.com 모든 공통 ID 호스트 Webex 서비스에 대한 네트워크 요구 사항의 Webex 하이브리드 서비스에 대한 추가 URL 표에 하이브리드 데이터 보안에 대해 나열된 기타 URL
HDS 설정 도구	TCP	443	아웃바운드 HTTPS	*.wbx2.com 모든 공통 ID 호스트 이메일: info@docker.com

CI(Common Identity) 호스트에 대한 URL은 지역에 따라 다릅니다. 현재 CI 호스트는 다음과 같습니다.

지역	공통 ID 호스트 URL
Americas	https://idbroker.webex.com https://identity.webex.com https://idbroker-b-us.webex.com https://identity-b-us.webex.com
유럽 연합	https://idbroker-eu.webex.com https://identity-eu.webex.com
캐나다	https://idbroker-ca.webex.com https://identity-ca.webex.com

프록시 서버 요구 사항

하이브리드 데이터 보안 노드에 통합할 수 있는 다음 프록시 솔루션을 공식적으로 지원합니다.

투명 프록시—Cisco Web Security Appliance (WSA).

명시적 프록시—Squid.

명시적 프록시에 대해 다음 인증 유형 조합을 지원합니다.
- HTTP 또는 HTTPS로 인증하지 않음
- HTTP 또는 HTTPS로 기본 인증
- HTTPS로만 다이제스트 인증
투명 검사 프록시 또는 HTTPS 명시적 프록시에 대해 프록시 루트 인증서의 복사본이 있어야 합니다. 이 안내서의 배포 지시 사항은 하이브리드 데이터 보안 노드의 신뢰 저장소에 사본을 업로드하는 방법을 설명합니다.
HDS 노드를 호스트하는 네트워크는 포트 443의 아웃바운드 TCP 트래픽이 프록시를 통해 라우팅하도록 구성되어야 합니다.
웹 트래픽을 검사하는 프록시는 웹 소켓 연결을 방해할 수도 있습니다. 이 문제가 발생하면 트래픽을 우회하여(검사하지 않음) wbx2.com 선택하십시오. ciscospark.com 문제를 해결할 것입니다.

하이브리드 데이터 보안에 대한 전제 조건 완료

이 검사목록을 사용하여 하이브리드 데이터 보안 클러스터를 설치하고 구성할 준비가 되었는지 확인합니다.

키 스토리지를 위한 데이터베이스를 만듭니다. (이 데이터베이스를 만들어야 합니다. 기본 데이터베이스를 사용하지 마십시오. HDS 애플리케이션이 설치되면 데이터베이스 스키마를 만듭니다.)
노드가 데이터베이스 서버와 통신하는 데 사용할 세부 정보를 수집합니다.
- 호스트 이름 또는 IP 주소(호스트) 및 포트
- 키 저장소에 대한 데이터베이스 이름(dbname)
- 키 스토리지 데이터베이스에 모든 권한이 있는 사용자의 사용자 이름 및 암호

syslog 호스트를 설정하여 클러스터의 노드에서 로그를 수집합니다. 네트워크 주소 및 syslog 포트를 수집합니다(기본값은 UDP 514).

방화벽 구성이 외부 연결 요구 사항에 설명된 대로 하이브리드 데이터 보안 노드에 대한 연결을 허용하는지 확인하십시오.

HDS 설정 도구를 설치하고 실행하려면 로컬 머신에 외부 연결 요구 사항에 설명된 연결이 있어야 합니다.

프록시를 하이브리드 데이터 보안에 통합하고 있는 경우, 프록시 서버 요구 사항을 충족하는지 확인하십시오.

하이브리드 데이터 보안 클러스터 설정

하이브리드 데이터 보안 배포 작업 흐름

시작하기 전에

나중에 사용할 수 있도록 OVA 파일을 로컬 머신으로 다운로드합니다.

HDS 설정 도구를 사용하여 하이브리드 데이터 보안 노드에 대한 ISO 구성 파일을 만듭니다.

OVA 파일에서 가상 머신을 만들고 네트워크 설정과 같은 초기 구성을 수행합니다.

OVA 배포 중에 네트워크 설정을 구성하는 옵션은 ESXi 6.5에서 테스트되었습니다. 해당 옵션은 이전 버전에서 사용할 수 없을 수도 있습니다.

VM 콘솔에 로그인하고 로그인 자격 증명을 설정합니다. OVA 배포 시 구성하지 않은 경우 노드에 대한 네트워크 설정을 구성합니다.

HDS 설정 도구로 만든 ISO 구성 파일에서 VM을 구성합니다.

네트워크 환경에 프록시 구성이 필요한 경우 노드에 사용할 프록시 유형을 지정하고 필요한 경우 프록시 인증서를 신뢰 저장소에 추가합니다.

Cisco Webex 클라우드에 VM을 하이브리드 데이터 보안 노드로 등록합니다.

클러스터 설정을 완료합니다.

평가판을 시작할 때까지 노드는 서비스가 아직 활성화되지 않았음을 나타내는 알람을 생성합니다.

설치 파일 다운로드

https://admin.webex.com에 로그인한 후 서비스를 클릭합니다.

하이브리드 서비스 섹션에서 하이브리드 데이터 보안 카드를 찾은 후 설정을 클릭합니다.

아니요를 선택하여 아직 노드를 설정하지 않았음을 표시한 후 다음을 클릭합니다.

OVA 파일이 자동으로 다운로드되기 시작합니다. 컴퓨터의 위치에 파일을 저장합니다.

선택적으로, 배포 안내서 열기를 클릭하여 이 안내서의 이후 버전을 사용할 수 있는지 확인합니다.

HDS 호스트에 대한 구성 ISO 만들기

하이브리드 데이터 보안 설정 프로세스는 ISO 파일을 만듭니다. 그런 다음 ISO를 사용하여 하이브리드 데이터 보안 호스트를 구성합니다.

시작하기 전에

설명	변수
인증되지 않은 HTTP 프록시	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
인증되지 않은 HTTPS 프록시	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
인증된 HTTP 프록시	`GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
인증된 HTTPS 프록시	`GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

생성하는 구성 ISO 파일에는 PostgreSQL 또는 Microsoft SQL Server 데이터베이스를 암호화하는 마스터 키가 포함되어 있습니다. 다음과 같이 구성을 변경할 때마다 이 파일의 최신 복사본이 필요합니다.
- 데이터베이스 자격 증명
- 인증서 업데이트
- 인증 정책 변경
데이터베이스 연결을 암호화하려는 경우 TLS에 대한 PostgreSQL 또는 SQL Server 배포를 설정합니다.

머신의 명령줄에 사용자 환경에 적합한 명령을 입력합니다.

일반 환경:

docker rmi ciscocitg/hds-setup:stable

FedRAMP 환경:

docker rmi ciscocitg/hds-setup-fedramp:stable

이 단계에서는 이전 HDS 설정 도구 이미지를 정리합니다. 이전 이미지가 없는 경우 무시할 수 있는 오류를 반환합니다.

Docker 이미지 레지스트리에 로그인하려면 다음을 입력합니다.

docker login -u hdscustomersro

비밀번호 프롬프트에 이 해시를 입력합니다.

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

사용자 환경에 맞는 최신 안정 이미지를 다운로드합니다.

일반 환경:

docker pull ciscocitg/hds-setup:stable

FedRAMP 환경:

docker pull ciscocitg/hds-setup-fedramp:stable

풀이 완료되면 사용자 환경에 적합한 명령을 입력합니다.

프록시가 없는 일반 환경:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

HTTP 프록시가 있는 일반 환경:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

HTTPS 프록시가 있는 일반 환경:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

프록시가 없는 FedRAMP 환경:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

HTTP 프록시가 있는 FedRAMP 환경:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

HTTPS 프록시가 있는 FedRAMP 환경:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

컨테이너가 실행 중일 때 "포트 8080에서 수신하는 Express 서버"가 표시됩니다.

설정 도구는 http://localhost:8080을 통해 localhost에 연결하는 것을 지원하지 않습니다. http://127.0.0.1:8080을(를) 사용하여 로컬 호스트에 연결합니다.

웹 브라우저를 사용하여 localhost로 이동하고, http://127.0.0.1:8080(으)로 이동하고 프롬프트에서 Control Hub에 대한 고객 관리 사용자 이름을 입력합니다.

이 도구는 사용자 이름의 첫 번째 항목을 사용하여 해당 계정에 적합한 환경을 설정합니다. 그런 다음 도구는 표준 로그인 프롬프트를 표시합니다.

설정 도구 개요 페이지에서 시작하기를 클릭합니다.

ISO 가져오기 페이지에서 다음 옵션이 나타납니다.

아니요—첫 번째 HDS 노드를 생성하는 경우 업로드할 ISO 파일이 없습니다.
예—HDS 노드를 이미 만든 경우 찾아보기에서 ISO 파일을 선택하고 업로드합니다.

X.509 인증서가 X.509 인증서 요구 사항의 요구 사항을 충족하는지 확인하십시오.

이전에 인증서를 업로드한 적이 없는 경우, X.509 인증서를 업로드하고 비밀번호를 입력한 후 계속을 클릭합니다.
인증서가 괜찮은 경우, 계속을 클릭합니다.
인증서가 만료되었거나 교체하려는 경우, 이전 ISO의 HDS 인증서 체인 및 비공개 키를 사용하여 계속 사용하려면 아니요를 선택하십시 오.. 새로운 X.509 인증서를 업로드하고 비밀번호를 입력한 후 계속을 클릭합니다.

HDS에 대한 데이터베이스 주소 및 계정을 입력하여 키 데이터스토어에 액세스합니다.

데이터베이스 유형(PostgreSQL 또는 Microsoft SQL Server)을 선택합니다.

Microsoft SQL Server를 선택하면 인증 유형 필드가 표시됩니다.
(Microsoft SQL Server만 해당) 인증 유형 선택:
- 기본 인증: 사용자 이름 필드에 로컬 SQL Server 계정 이름이 필요합니다.
- Windows 인증: 형식으로 Windows 계정이 필요합니다. username@DOMAIN사용자 이름 필드에 있습니다.
데이터베이스 서버 주소를 양식에 입력합니다. <hostname>:<port> 또는 <IP-address>:<port>.

예:
dbhost.example.org:1433 또는 198.51.100.17:1433

노드가 DNS를 사용하여 호스트 이름을 확인할 수 없는 경우 기본 인증을 위해 IP 주소를 사용할 수 있습니다.

Windows 인증을 사용하는 경우, 정규화된 도메인 이름을 형식으로 입력해야 합니다. dbhost.example.org:1433
데이터베이스 이름을 입력합니다.
키 스토리지 데이터베이스에 모든 권한이 있는 사용자의 사용자 이름 및 암호를 입력합니다.

TLS 데이터베이스 연결 모드를 선택합니다.

모드

설명

원하는 TLS (기본 옵션)

TLS 필요

데이터베이스 서버에서 TLS를 협상할 수 있는 경우에만 HDS 노드를 연결합니다.

TLS 필요 및 인증서 서명자 확인

이 모드는 SQL Server 데이터베이스에 적용되지 않습니다.

데이터베이스 서버에서 TLS를 협상할 수 있는 경우에만 HDS 노드를 연결합니다.
TLS 연결을 설정한 후 노드는 데이터베이스 서버의 인증서 서명자를 데이터베이스 루트 인증서의 인증서 기관과 비교합니다. 해당 정보가 일치하지 않으면 노드는 연결을 끊습니다.

이 옵션에 대해 루트 인증서를 업로드하려면 드롭다운 아래에 있는 데이터베이스 루트 인증서 제어를 사용하십시오.

TLS 필요 및 인증서 서명자, 호스트 이름 확인

데이터베이스 서버에서 TLS를 협상할 수 있는 경우에만 HDS 노드를 연결합니다.
TLS 연결을 설정한 후 노드는 데이터베이스 서버의 인증서 서명자를 데이터베이스 루트 인증서의 인증서 기관과 비교합니다. 해당 정보가 일치하지 않으면 노드는 연결을 끊습니다.
노드는 서버 인증서의 호스트 이름이 데이터베이스 호스트 및 포트 필드의 호스트 이름과 일치하는지 확인합니다. 이름은 정확히 일치해야 하며, 그렇지 않으면 노드가 연결을 끊습니다.

이 옵션에 대해 루트 인증서를 업로드하려면 드롭다운 아래에 있는 데이터베이스 루트 인증서 제어를 사용하십시오.

시스템 로그 페이지에서 Syslogd 서버를 구성합니다.

syslog 서버 URL을 입력합니다.

서버가 HDS 클러스터의 노드에서 DNS 확인할 수 없는 경우 URL의 IP 주소를 사용합니다.

예:
udp://10.92.43.23:514 은(는) UDP 포트 514에서 Syslogd 호스트 10.92.43.23에 대한 로깅을 나타냅니다.
TLS 암호화를 사용하도록 서버를 설정한 경우 SSL 암호화에 대해 syslog 서버가 구성되었는지 확인하십시오..

이 확인란을 선택하는 경우, 다음과 같은 TCP URL을 입력해야 합니다. tcp://10.92.43.23:514.
syslog 레코드 종료 선택 드롭다운에서 ISO 파일에 적합한 설정을 선택합니다. 선택 또는 Newline이 Graylog 및 Rsyslog TCP에 사용됩니다.
- Null 바이트 -- \x00
- Newline -- \n—Graylog 및 Rsyslog TCP에 대해 이 옵션을 선택합니다.
계속을 클릭합니다.

app_datasource_connection_pool_maxSize: 10

서비스 계정 비밀번호 재설정 화면에서 계속을 클릭합니다.

ISO 파일 다운로드를 클릭합니다. 쉽게 찾을 수 있는 위치에 파일을 저장합니다.

로컬 시스템에서 ISO 파일의 백업 복사본을 만듭니다.

설정 도구를 종료하려면 다음을 입력합니다 CTRL+C.

다음에 수행할 작업

우리는 결코 이 열쇠의 사본을 가지고 있지 않으며, 당신이 그것을 잃으면 도울 수 없다.

HDS 호스트 OVA 설치

이 절차를 사용하여 OVA 파일에서 가상 머신을 만듭니다.

컴퓨터에서 VMware vSphere 클라이언트를 사용하여 ESXi 가상 호스트에 로그인합니다.

파일 > OVF 템플릿 배포를 선택합니다.

마법사에서 이전에 다운로드한 OVA 파일의 위치를 지정한 후 다음...

에 컴퓨팅 리소스 선택 페이지를 선택하고 대상 계산 리소스를 선택한 후 을 클릭합니다. 다음...

검증 확인이 실행됩니다. 완료되면 템플릿 세부 정보가 나타납니다.

템플릿 세부 사항을 확인한 후 다음을 클릭합니다.

에서 리소스 구성을 선택하도록 요청 받는 경우 설정 페이지, 를 클릭합니다. 4개 CPU을(를) 클릭한 후 다음...

에 스토리지 선택 페이지, 를 클릭합니다. 다음은(는) 기본 디스크 형식 및 VM 스토리지 정책을 수락합니다.

에 네트워크 선택 페이지에서 항목 목록에서 네트워크 옵션을 선택하여 VM에 원하는 연결을 제공합니다.

템플릿 사용자 정의 페이지에서 다음 네트워크 설정을 구성합니다.

호스트 이름 - 노드의 FQDN(호스트 이름 및 도메인) 또는 단일 단어 호스트 이름을 입력합니다.

X.509 인증서를 얻기 위해 사용한 도메인과 일치하도록 도메인을 설정하지 않아도 됩니다.
클라우드에 성공적으로 등록하려면 노드에 대해 설정한 FQDN 또는 호스트 이름에서 소문자만 사용하십시오. 현재 대문자 사용은 지원되지 않습니다.
FQDN의 총 길이는 64자를 초과하지 말아야 합니다.

IP 주소— 노드의 내부 인터페이스에 대한 IP 주소를 입력합니다.

노드에는 내부 IP 주소 및 DNS 이름이 있어야 합니다. DHCP는 지원되지 않습니다.
마스크—점 소수점 표기법에 서브넷 마스크 주소를 입력합니다. 예: 255.255.255.0.
게이트웨이—게이트웨이 IP 주소를 입력합니다. 게이트웨이는 다른 네트워크에 대한 액세스 포인트 역할을 하는 네트워크 노드입니다.
DNS 서버—도메인 이름을 숫자 IP 주소로 변환하는 작업을 처리하는 쉼표로 구분된 DNS 서버 목록을 입력합니다. (최대 4개의 DNS 항목이 허용됩니다.)
NTP 서버—조직에서 사용할 수 있는 조직의 NTP 서버 또는 다른 외부 NTP 서버를 입력합니다. 기본 NTP 서버가 모든 기업에서 작동하지 않을 수도 있습니다. 쉼표로 구분된 목록을 사용하여 여러 NTP 서버를 입력할 수도 있습니다.

동일한 서브넷 또는 VLAN에 모든 노드를 배포하여 클러스터의 모든 노드가 관리 목적으로 네트워크의 클라이언트에서 연결할 수 있도록 합니다.

원하는 경우 네트워크 설정 구성을 건너뛰고 하이브리드 데이터 보안 VM 설정 단계에 따라 노드 콘솔에서 설정을 구성할 수 있습니다.

OVA 배포 중에 네트워크 설정을 구성하는 옵션은 ESXi 6.5에서 테스트되었습니다. 해당 옵션은 이전 버전에서 사용할 수 없을 수도 있습니다.

노드 VM을 마우스 오른쪽 버튼으로 클릭한 다음 전원 > 전원 켜기.

하이브리드 데이터 보안 소프트웨어는 VM 호스트에 게스트로 설치됩니다. 이제 콘솔에 로그인하고 노드를 구성할 준비가 되었습니다.

문제 해결하기 추가 정보

하이브리드 데이터 보안 VM 설정

1	VMware vSphere 클라이언트에서 하이브리드 데이터 보안 노드 VM을 선택하고 콘솔 탭을 선택합니다. VM이 부팅되고 로그인 프롬프트가 나타납니다. 로그인 프롬프트가 표시되지 않는 경우엔 Enter를 누릅니다.
2	다음 기본 로그인 및 암호를 사용하여 로그인하고 자격 증명을 변경합니다. 로그인: `admin` 비밀번호: `cisco` 처음으로 VM에 로그인하기 때문에 관리자 암호를 변경해야 합니다.
3	HDS 호스트 OVA 설치에서 네트워크 설정을 이미 구성한 경우, 나머지 절차는 건너뜁니다. 그렇지 않으면, 주 메뉴에서 구성 편집 옵션을 선택합니다.
4	IP 주소, 마스크, 게이트웨이 및 DNS 정보로 정적 구성을 설정합니다. 노드에는 내부 IP 주소 및 DNS 이름이 있어야 합니다. DHCP는 지원되지 않습니다.
5	(선택 사항) 네트워크 정책과 일치하는 데 필요한 경우 호스트 이름, 도메인 또는 NTP 서버를 변경합니다. X.509 인증서를 얻기 위해 사용한 도메인과 일치하도록 도메인을 설정하지 않아도 됩니다.
6	네트워크 구성을 저장하고 VM을 재부팅하여 변경 사항을 적용합니다.

HDS 구성 ISO 업로드 및 장착

이 절차를 사용하여 HDS 설정 도구로 만든 ISO 파일에서 가상 머신을 구성합니다.

시작하기 전에

컴퓨터에서 ISO 파일을 업로드합니다.

VMware vSphere 클라이언트의 왼쪽 탐색 창에서 ESXi 서버를 클릭합니다.
구성 탭의 하드웨어 목록에서 스토리지를 클릭합니다.
데이터스토어 목록에서 VM의 데이터스토어를 마우스 오른쪽 버튼으로 클릭하고 데이터스토어 찾아보기를 클릭합니다.
파일 업로드 아이콘을 클릭한 다음 파일 업로드를 클릭합니다.
컴퓨터에서 ISO 파일을 다운로드한 위치를 찾아보고 열기를 클릭합니다.
업로드/다운로드 작업 경고를 수락하고 데이터스토어 대화 상자를 닫으려면 예를 클릭합니다.

ISO 파일을 마운트합니다.

VMware vSphere 클라이언트의 왼쪽 네비게이션 분할 창에서 VM을 오른쪽 클릭하고 설정 편집을 클릭합니다.
제한된 편집 옵션 경고를 수락하려면 확인을 클릭합니다.
클릭 CD/DVD Drive 1, 데이터스토어 ISO 파일에서 마운트할 옵션을 선택하고 구성 ISO 파일을 업로드한 위치를 찾습니다.
연결됨 및 전원을 켜고 연결을 확인하십시오.
변경 사항을 저장하고 가상 머신을 재부팅합니다.

다음에 수행할 작업

프록시 통합에 대해 HDS 노드 구성

시작하기 전에

지원되는 프록시 옵션의 개요는 프록시 지원을 참조하십시오.
프록시 서버 요구 사항

1	HDS 노드 설정 URL 입력 `https://[HDS Node IP or FQDN]/setup` 웹 브라우저에서 노드에 대해 설정한 관리 자격 증명을 입력한 후 로그인을 클릭합니다.
2	신뢰 저장소 및 프록시로 이동한 후 옵션을 선택합니다. 프록시 없음—프록시를 통합하기 전의 기본 옵션입니다. 인증서를 업데이트하지 않아도 됩니다. 투명 비-검사 프록시—노드가 특정 프록시 서버 주소를 사용하도록 구성되어 있지 않으며, 비-검사 프록시에서 작동하도록 변경할 것을 요구하지 않습니다. 인증서를 업데이트하지 않아도 됩니다. 투명 검사 프록시—노드가 특정 프록시 서버 주소를 사용하도록 구성되어 있지 않습니다. 하이브리드 데이터 보안 배포에서 HTTPS 구성을 변경하지 않아도 됩니다. 단, HDS 노드에 루트 인증서가 있어야 프록시를 신뢰할 수 있습니다. 일반적으로 검사 프록시는 IT가 어떤 웹사이트를 방문할 수 있는지 및 어떤 유형의 콘텐츠가 허용되는지에 대한 정책을 적용하기 위해 사용됩니다. 이러한 유형의 프록시는 모든 트래픽(HTTPS 포함)을 해독합니다. 명시적 프록시—명시적 프록시를 사용하여 클라이언트(HDS 노드)가 어떤 프록시 서버를 사용하는지, 이 옵션에서 다양한 인증 유형을 지원하는지 알 수 있습니다. 이 옵션을 선택한 후 다음 정보를 입력해야 합니다. 프록시 IP/FQDN—프록시 머신에 연결하기 위해 사용할 수 있는 주소입니다. 프록시 포트—프록시가 프록시된 트래픽을 탐지하기 위해 사용하는 포트 번호입니다. 프록시 프로토콜—http(클라이언트로부터 수신하는 모든 요청을 확인하고 제어) 또는 https(서버에 채널을 제공하고, 클라이언트는 서버의 인증서를 수신 및 검증)를 선택합니다. 프록시 서버가 지원하는 내용에 따라 옵션을 선택합니다. 인증 유형—다음 인증 유형 중에서 선택합니다. 없음—추가 인증이 필요하지 않습니다. HTTP 또는 HTTPS 프록시를 사용할 수 있습니다. 기본—요청을 제출할 때 HTTP 사용자 에이전트가 사용자 이름 및 비밀번호를 제공하기 위해 사용됩니다. Base64 인코딩을 사용합니다. HTTP 또는 HTTPS 프록시를 사용할 수 있습니다. 이 옵션을 선택하는 경우, 사용자 이름 및 비밀번호도 입력해야 합니다. 다이제스트—민감한 정보를 보내기 전에 계정을 확인하기 위해 사용됩니다. 네트워크를 통해 전송하기 전에 사용자 이름 및 비밀번호에 해시 기능을 적용합니다. HTTPS 프록시에 대해서만 사용할 수 있습니다. 이 옵션을 선택하는 경우, 사용자 이름 및 비밀번호도 입력해야 합니다. 투명 검사 프록시, 기본 인증이 포함된 HTTP 명시적 프록시 또는 HTTPS 명시적 프록시에 대해서는 다음 단계를 따르십시오.
3	루트 인증서 또는 최종 엔터티 인증서 업로드를 클릭한 후 탐색하여 프록시에 대한 루트 인증서를 선택합니다. 인증서가 업로드되었지만 아직 설치되지 않았습니다. 인증서를 설치하려면 노드를 재부팅해야 합니다. 인증서 발급자 이름 옆에 있는 갈매기 모양 화살표를 클릭하여 자세한 내용을 확인합니다. 실수가 있었거나 파일을 다시 업로드하려는 경우엔 삭제를 클릭합니다.
4	프록시 연결 확인을 클릭하여 노드와 프록시 간의 네트워크 연결을 테스트합니다. 연결 테스트에 실패하는 경우, 이유 및 문제를 해결할 수 있는 방법을 표시하는 오류 메시지가 나타납니다. 외부 DNS 확인에 실패했다는 메시지가 나타나면 노드가 DNS 서버에 연결하지 못한 것입니다. 이 조건은 다양한 명시적 프록시 구성에서 예상되는 작동입니다. 설정을 계속 진행할 수 있으며, 노드는 차단된 외부 DNS 확인 모드로 작동하게 됩니다. 이것이 오류라고 생각되면 다음 단계를 완료한 후 차단된 외부 DNS 확인 모드 끄기를 참조하십시오.
5	연결 테스트를 통과한 후 https로만 설정된 명시적 프록시에 대해 설정을 토글하여 이 노드의 모든 포트 443/444 https 요청을 명시적 프록시를 통해 라우팅합니다. 이 설정이 적용될 때까지 15초 정도 소요됩니다.
6	모든 인증서를 신뢰 저장소에 설치(HTTPS 명시적 프록시 또는 투명 검사 프록시에 대해 나타남) 또는 재부팅(HTTP 명시적 프록시에 대해 나타남)을 클릭하고 안내를 읽은 후 준비되었을 때 설치를 클릭합니다. 노드는 몇 분 내에 재부팅됩니다.
7	노드가 재부팅되면 필요에 따라 다시 로그인한 후 개요 페이지를 열어 연결을 확인하고 모두 녹색 상태인지 확인합니다. 프록시 연결 확인은 webex.com의 하위 도메인만 테스트합니다. 연결에 문제가 있는 경우, 설치 지시 사항에 나열된 일부 클라우드 도메인이 프록시에서 차단되는 것은 일반적인 문제입니다.

클러스터에 첫 번째 노드 등록

첫 번째 노드를 등록할 때 해당 노드가 지정된 클러스터를 만듭니다. 클러스터에는 중복성을 제공하기 위해 배포된 한 개 이상의 노드가 포함됩니다.

시작하기 전에

노드의 등록을 시작하면 60분 이내에 완료해야 합니다. 그렇지 않으면 처음부터 다시 시작해야 합니다.
브라우저에 있는 팝업 차단기가 비활성화되었는지 또는 admin.webex.com에 대한 예외를 허용하는지 확인합니다.

1	https://admin.webex.com에 로그인합니다.
2	화면의 왼쪽에 있는 메뉴에서 서비스를 선택합니다.
3	하이브리드 서비스 섹션에서 하이브리드 데이터 보안을 찾고 설정을 클릭합니다. 하이브리드 데이터 보안 노드 등록 페이지가 나타납니다.
4	예를 선택하여 노드를 설정했으며 등록할 준비가 되었음을 표시한 후 다음을 클릭합니다.
5	첫 번째 필드에서 하이브리드 데이터 보안 노드를 할당할 클러스터의 이름을 입력합니다. 지리적으로 클러스터의 노드가 위치한 장소에 기반하여 클러스터의 이름을 지정할 것을 권장합니다. 예: "샌프란시스코" 또는 "뉴욕" 또는 "달라스"
6	두 번째 필드에 노드의 내부 IP 주소 또는 FQDN(Fully Qualified Domain Name)을 입력하고 다음을 클릭합니다. 이 IP 주소 또는 FQDN은 하이브리드 데이터 보안 VM 설정에서 사용한 IP 주소 또는 호스트 이름 및 도메인과 일치해야 합니다. 노드를 Webex에 등록할 수 있음을 나타내는 메시지가 나타납니다.
7	노드로 이동을 클릭합니다.
8	경고 메시지에서 계속을 클릭합니다. 잠시 후에 Webex 서비스에 대한 노드 연결 테스트로 리디렉션됩니다. 모든 테스트에 성공하면 하이브리드 데이터 보안 노드에 대한 액세스 허용 페이지가 나타납니다. 여기에서 노드에 액세스할 수 있는 권한을 Webex 조직에 부여하고자 하는지 확인합니다.
9	하이브리드 데이터 보안 노드에 액세스 허용 확인란을 선택한 후 계속을 클릭합니다. 계정의 유효성이 검증되고 "등록 완료" 메시지는 이제 노드가 Webex 클라우드에 등록되었음을 나타냅니다.
10	링크를 클릭하거나 탭을 닫아 Control Hub 하이브리드 데이터 보안 페이지로 돌아갑니다. 하이브리드 데이터 보안 페이지에서 등록한 노드가 포함된 새로운 클러스터가 표시됩니다. 노드는 클라우드에서 최신 소프트웨어를 자동으로 다운로드합니다.

추가 노드 만들기 및 등록

시작하기 전에

노드의 등록을 시작하면 60분 이내에 완료해야 합니다. 그렇지 않으면 처음부터 다시 시작해야 합니다.
브라우저에 있는 팝업 차단기가 비활성화되었는지 또는 admin.webex.com에 대한 예외를 허용하는지 확인합니다.

1	OVA에서 새로운 가상 머신을 만들고, HDS 호스트 OVA 설치의 단계를 반복합니다.
2	새로운 VM에 초기 구성을 설정하고 하이브리드 데이터 보안 VM 설정의 단계를 반복합니다.
3	새로운 VM에서 HDS 구성 ISO 업로드 및 마운트의 단계를 반복합니다.
4	배포를 위한 프록시를 설정하는 경우, 새 노드에 대해 필요에 따라 프록시 통합을 위한 HDS 노드 구성의 단계를 반복합니다.
5	노드를 등록합니다. https://admin.webex.com의 화면 왼쪽에 있는 메뉴에서 서비스를 선택합니다. 하이브리드 서비스 섹션에서 하이브리드 데이터 보안 카드를 찾아 리소스를 클릭합니다. 하이브리드 데이터 보안 리소스 페이지가 나타납니다. 리소스 추가를 클릭합니다. 첫 번째 필드에서 기존 클러스터의 이름을 선택합니다. 두 번째 필드에 노드의 내부 IP 주소 또는 FQDN(Fully Qualified Domain Name)을 입력하고 다음을 클릭합니다. 노드를 Webex 클라우드에 등록할 수 있음을 나타내는 메시지가 나타납니다. 노드로 이동을 클릭합니다. 잠시 후에 Webex 서비스에 대한 노드 연결 테스트로 리디렉션됩니다. 모든 테스트에 성공하면 하이브리드 데이터 보안 노드에 대한 액세스 허용 페이지가 나타납니다. 여기에서 귀하의 노드에 액세스할 수 있는 권한을 조직에 부여하고자 하는지 확인합니다. 하이브리드 데이터 보안 노드에 액세스 허용 확인란을 선택한 후 계속을 클릭합니다. 계정의 유효성이 검증되고 "등록 완료" 메시지는 이제 노드가 Webex 클라우드에 등록되었음을 나타냅니다. 링크를 클릭하거나 탭을 닫아 Control Hub 하이브리드 데이터 보안 페이지로 돌아갑니다. 노드가 등록되었습니다. 평가판을 시작할 때까지 노드는 서비스가 아직 활성화되지 않았음을 나타내는 알람을 생성합니다.

다음에 수행할 작업

평가판을 실행하고 프로덕션으로 이동

프로덕션 작업 흐름 평가판

시작하기 전에

1	해당하는 경우, `HdsTrialGroup` 그룹 개체. 조직에서 사용자에 대해 디렉터리 동기화를 사용하는 경우, `HdsTrialGroup` 평가판을 시작하기 전에 클라우드에 동기화를 위한 그룹 개체. 지침은 Cisco 디렉터리 커넥터의 배포 안내서를 참조하십시오.
2	평가판 활성화 실험을 시작하세요. 이 작업을 수행할 때까지 노드는 서비스가 아직 활성화되지 않았음을 나타내는 알람을 생성합니다.
3	하이브리드 데이터 보안 배포 테스트 주요 요청이 하이브리드 데이터 보안 배포로 전달되고 있는지 확인합니다.
4	하이브리드 데이터 보안 상태 모니터링 상태를 확인하고 알람에 대한 이메일 알림을 설정합니다.
5	평가판에서 사용자 추가 또는 제거
6	다음 작업 중 하나로 평가판 단계를 완료합니다. 평가판에서 프로덕션으로 이동 프로덕션으로 이동하지 않고 평가판 종료

평가판 활성화

시작하기 전에

1	https://admin.webex.com에 로그인한 후 서비스를 선택합니다.
2	하이브리드 데이터 보안 아래에서 설정을 클릭합니다.
3	서비스 상태 섹션에서 평가판 시작을 클릭합니다. 서비스 상태가 평가판 모드로 변경됩니다.
4	암호화 및 인덱싱 서비스를 위해 하이브리드 데이터 보안 노드를 사용하여 파일럿할 사용자 추가를 클릭하고 한 명 이상의 사용자의 이메일 주소를 입력합니다. (조직에서 디렉터리 동기화를 사용하는 경우, Active Directory를 사용하여 평가판 그룹을 관리합니다. `HdsTrialGroup`.)

하이브리드 데이터 보안 배포 테스트

이 절차를 사용하여 하이브리드 데이터 보안 암호화 시나리오를 테스트합니다.

시작하기 전에

하이브리드 데이터 보안 배포를 설정합니다.
평가판을 활성화하고 여러 평가판 사용자를 추가합니다.
키 요청이 하이브리드 데이터 보안 배포로 전달되고 있는지 확인하려면 syslog에 액세스할 수 있는지 확인하십시오.

새 스페이스에 메시지를 보냅니다.

syslog 출력을 확인하여 키 요청이 하이브리드 데이터 보안 배포에 전달되고 있는지 확인합니다.

다음과 같은 항목을 찾아야 합니다(가독성을 위해 식별자가 단축됨).

2020-07-21 17:35:34.562 (+0000) INFO  KMS [pool-14-thread-1] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, 
kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

KMS에서 기존 키를 요청하는 사용자를 확인하려면 kms.data.method=retrieve 선택하십시오. kms.data.type=KEY:

다음과 같은 항목을 찾을 수 있습니다.

2020-07-21 17:44:19.889 (+0000) INFO  KMS [pool-14-thread-31] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, 
kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, 
kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

새로운 KMS 키 생성을 요청하는 사용자를 확인하려면 다음을 필터링하십시오. kms.data.method=create 선택하십시오. kms.data.type=KEY_COLLECTION:

다음과 같은 항목을 찾을 수 있습니다.

2020-07-21 17:44:21.975 (+0000) INFO  KMS [pool-14-thread-33] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, 
kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, 
kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

다음과 같은 항목을 찾을 수 있습니다.

2020-07-21 17:44:22.808 (+0000) INFO  KMS [pool-15-thread-1] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

하이브리드 데이터 보안 상태 모니터링

1	Control Hub에서 화면 왼쪽에 있는 메뉴에서 서비스를 선택합니다.
2	하이브리드 서비스 섹션에서 하이브리드 데이터 보안을 찾고 설정을 클릭합니다. 하이브리드 데이터 보안 설정 페이지가 나타납니다.
3	이메일 알림 섹션에서 콤마로 구분하여 하나 이상의 이메일 주소를 입력하고 Enter를 누릅니다.

평가판에서 사용자 추가 또는 제거

평가판을 활성화하고 평가판 사용자의 초기 집합을 추가한 후 평가판이 활성화된 동안 언제든지 평가판 멤버를 추가하거나 제거할 수 있습니다.

1	Control Hub에 로그인한 후 서비스를 선택합니다.
2	하이브리드 데이터 보안 아래에서 설정을 클릭합니다.
3	서비스 상태 영역의 평가판 모드 섹션에서 사용자 추가를 클릭하거나 보기 및 편집을 클릭하여 평가판에서 사용자를 제거합니다.
4	추가할 한 명 이상의 사용자의 이메일 주소를 입력하거나, 사용자 ID로 X를 클릭하여 평가판에서 사용자를 제거합니다. 그 후 저장을 클릭합니다.

평가판에서 프로덕션으로 이동

1	Control Hub에 로그인한 후 서비스를 선택합니다.
2	하이브리드 데이터 보안 아래에서 설정을 클릭합니다.
3	서비스 상태 섹션에서 생산으로 이동을 클릭합니다.
4	모든 사용자를 프로덕션으로 이동하고자 하는지 확인합니다.

프로덕션으로 이동하지 않고 평가판 종료

1	Control Hub에 로그인한 후 서비스를 선택합니다.
2	하이브리드 데이터 보안 아래에서 설정을 클릭합니다.
3	비활성화 섹션에서 비활성화를 클릭합니다.
4	서비스를 비활성화하고 평가판을 종료할지 확인합니다.

HDS 구축 관리

여기에 설명된 작업을 사용하여 하이브리드 데이터 보안 배포를 관리합니다.

클러스터 업그레이드 일정 설정

업그레이드 일정을 설정하려면:

1	Control Hub에 로그인합니다.
2	개요 페이지의 하이브리드 서비스 아래에서 하이브리드 데이터 보안을 선택합니다.
3	하이브리드 데이터 보안 리소스 페이지에서 클러스터를 선택합니다.
4	오른쪽의 개요 목록에서 클러스터 설정 아래에서 클러스터 이름을 선택합니다.
5	설정 페이지에 있는 업그레이드 아래에서 업그레이드 예약에 대한 시간 및 시간대를 선택합니다. 참고: 시간대 아래에 다음 사용 가능한 업그레이드 날짜 및 시간이 표시됩니다. 필요한 경우엔 연기를 클릭하여 업그레이드를 다음 날로 연기할 수 있습니다.

노드 구성 변경

경우에 따라 다음과 같은 이유로 하이브리드 데이터 보안 노드의 구성을 변경해야 할 수도 있습니다.

만료 또는 기타 이유로 인해 x.509 인증서 변경.

인증서의 CN 도메인 이름 변경을 지원하지 않습니다. 도메인은 클러스터에 등록하기 위해 사용된 원래 도메인과 일치해야 합니다.

PostgreSQL 또는 Microsoft SQL Server 데이터베이스의 복제본으로 변경하도록 데이터베이스 설정 업데이트.

새 데이터 센터를 준비하기 위해 새 구성 생성.

소프트 재설정—이전 비밀번호 및 새 비밀번호는 모두 최대 10일 동안 유효합니다. 이 기간을 사용하여 노드에서 ISO 파일을 점진적으로 교체합니다.
하드 재설정—이전 비밀번호가 즉시 무효하게 됩니다.

비밀번호가 재설정 없이 만료되는 경우 HDS 서비스에 영향을 미치므로 즉시 하드 재설정을 수행하고 모든 노드에서 ISO 파일을 교체해야 합니다.

새 구성 ISO 파일을 생성하고 클러스터에 적용하려면 이 절차를 따르십시오.

시작하기 전에

설명	변수
인증되지 않은 HTTP 프록시	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
인증되지 않은 HTTPS 프록시	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
인증된 HTTP 프록시	`GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
인증된 HTTPS 프록시	`GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

새 구성을 생성하려면 현재 구성 ISO 파일의 사본이 필요합니다. ISO에는 PostgreSQL 또는 Microsoft SQL Server 데이터베이스를 암호화하는 마스터 키가 포함되어 있습니다. 데이터베이스 자격 증명, 인증서 업데이트 또는 인증 정책 변경을 포함하여 구성을 변경할 때 ISO가 필요합니다.

로컬 머신에서 Docker를 사용하여 HDS 설정 도구를 실행합니다.

머신의 명령줄에 사용자 환경에 적합한 명령을 입력합니다.

일반 환경:

docker rmi ciscocitg/hds-setup:stable

FedRAMP 환경:

docker rmi ciscocitg/hds-setup-fedramp:stable

이 단계에서는 이전 HDS 설정 도구 이미지를 정리합니다. 이전 이미지가 없는 경우 무시할 수 있는 오류를 반환합니다.

Docker 이미지 레지스트리에 로그인하려면 다음을 입력합니다.
```
docker login -u hdscustomersro
```
비밀번호 프롬프트에 이 해시를 입력합니다.
```
dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
```

사용자 환경에 맞는 최신 안정 이미지를 다운로드합니다.

일반 환경:

docker pull ciscocitg/hds-setup:stable

FedRAMP 환경:

docker pull ciscocitg/hds-setup-fedramp:stable

이 절차에 대해 최신 설정 도구를 사용하고 있는지 확인하십시오. 2018년 2월 22일 이전에 생성된 도구의 버전에는 비밀번호 재설정 화면이 없습니다.

풀이 완료되면 사용자 환경에 적합한 명령을 입력합니다.

프록시가 없는 일반 환경:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

HTTP 프록시가 있는 일반 환경:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

HTTPS 프록시가 있는 일반 환경:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

프록시가 없는 FedRAMP 환경:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

HTTP 프록시가 있는 FedRAMP 환경:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

HTTPS 프록시가 있는 FedRAMP 환경:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

컨테이너가 실행 중일 때 "포트 8080에서 수신하는 Express 서버"가 표시됩니다.

브라우저를 사용하여 로컬 호스트 에 연결합니다. http://127.0.0.1:8080.

설정 도구는 http://localhost:8080을 통해 localhost에 연결하는 것을 지원하지 않습니다. http://127.0.0.1:8080을(를) 사용하여 로컬 호스트에 연결합니다.

메시지가 표시되면 Control Hub 고객 로그인 자격 증명을 입력한 후 수락을 클릭하여 계속합니다.
현재 구성 ISO 파일을 가져옵니다.
안내에 따라 도구를 완료하고 업데이트된 파일을 다운로드합니다.

설정 도구를 종료하려면 다음을 입력합니다 CTRL+C.
다른 데이터 센터에서 업데이트된 파일의 백업 복사본을 만듭니다.

HDS 호스트 OVA를 설치합니다.
HDS VM을 설정합니다.
업데이트된 구성 파일을 마운트합니다.
Control Hub에서 새 노드를 등록합니다.

가상 머신의 전원을 끕니다.
VMware vSphere 클라이언트의 왼쪽 네비게이션 분할 창에서 VM을 오른쪽 클릭하고 설정 편집을 클릭합니다.
클릭 CD/DVD Drive 1 CD/DVD 드라이브 1을 클릭하고 ISO 파일에서 마운트하기 위한 옵션을 선택한 후 새 구성 ISO 파일을 다운로드한 위치를 찾습니다.
시동될 때 연결을 체크합니다.
변경 사항을 저장하고 가상 머신의 전원을 켭니다.

이전 구성을 실행하고 있는 나머지 각 노드에서 구성을 바꾸려면 3 단계를 반복하십시오.

차단된 외부 DNS 확인 모드 끄기

노드에서 내부 DNS 서버를 통해 공용 DNS 이름을 확인할 수 있는 경우, 각 노드에서 프록시 연결 테스트를 다시 실행하여 이 모드를 끌 수 있습니다.

시작하기 전에

내부 DNS 서버가 공용 DNS 이름을 확인할 수 있으며, 노드가 해당 서버와 통신할 수 있는지 확인합니다.

1	웹 브라우저에서 하이브리드 데이터 보안 노드 인터페이스(예: https://192.0.2.0/setup), IP 주소/설정)를 열고 노드에 대해 설정한 관리 자격 증명을 입력한 후 로그인을 클릭합니다.
2	개요 (기본 페이지)로 이동합니다. 활성화되면 차단된 외부 DNS 확인이 예로 설정됩니다.
3	신뢰 저장소 및 프록시 페이지로 이동합니다.
4	프록시 연결 확인을 클릭합니다. 외부 DNS 확인에 실패했다는 메시지가 나타나면 노드가 DNS 서버에 연결하지 못한 것이며, 이 모드에서 유지됩니다. 그렇지 않은 경우, 노드를 재부팅하고 개요 페이지로 돌아가면 차단된 외부 DNS 확인은 아니요로 설정됩니다.

다음에 수행할 작업

하이브리드 데이터 보안 클러스터의 각 노드에서 프록시 연결 테스트를 반복합니다.

노드 제거

컴퓨터의 VMware vSphere 클라이언트를 사용하여 ESXi 가상 호스트에 로그인하고 가상 머신의 전원을 끕니다.

노드 제거:

Control Hub에 로그인한 후 서비스를 선택합니다.
하이브리드 데이터 보안 카드에서 하이브리드 데이터 보안 리소스 페이지를 표시하려면 모두 보기를 클릭합니다.
클러스터를 선택하여 개요 목록을 표시합니다.
노드 목록 열기를 클릭합니다.
노드 탭에서 제거할 노드를 선택합니다.
를 클릭합니다. 작업 > 노드 등록 해제.

vSphere 클라이언트에서 VM을 삭제합니다. (왼쪽 탐색 창에서 VM을 마우스 오른쪽 버튼으로 클릭하고 삭제를 클릭합니다.)

VM을 삭제하지 않는 경우 구성 ISO 파일을 마운트 해제해야 합니다. ISO 파일이 없으면 VM을 사용하여 보안 데이터에 액세스할 수 없습니다.

대기 데이터 센터를 사용한 재해 복구

재해로 인해 기본 데이터 센터에서 HDS 배포를 사용할 수 없게 되는 경우 이 절차를 따라 대기 데이터 센터로 수동으로 장애 조치합니다.

HDS 설정 도구를 시작하고 HDS 호스트에 대한 구성 ISO 만들기에 설명된 단계를 따릅니다.

Syslogd 서버를 구성한 후 고급 설정을 클릭합니다.

고급 설정 페이지에서 아래 구성을 추가하거나 passiveMode 노드를 활성화하도록 구성합니다. 노드가 구성되면 트래픽을 처리할 수 있습니다.


passiveMode: 'false'

구성 프로세스를 완료하고 찾기 쉬운 위치에 ISO 파일을 저장합니다.

VMware vSphere 클라이언트의 왼쪽 탐색 창에서 VM을 마우스 오른쪽 버튼으로 클릭하고 설정 편집을 클릭합니다..

설정 편집 >CD/DVD 드라이브 1을 클릭하고 데이터스토어 ISO 파일을 선택합니다.

노드를 시작한 후에 업데이트된 구성 변경 사항이 적용될 수 있도록 Connected 및 Connect at power on이(가) 선택되었는지 확인하십시오.

HDS 노드의 전원을 켜고 최소 15분 동안 경보가 울리지 않도록 합니다.

대기 데이터 센터의 모든 노드에 대해 프로세스를 반복합니다.

syslog 출력을 확인하여 대기 데이터 센터의 노드가 패시브 모드가 아는지 확인합니다. "패시브 모드로 구성된 KMS"는 syslog에 표시되지 않아야 합니다.

다음에 수행할 작업

(선택 사항) HDS 구성 후 ISO 마운트 해제

시작하기 전에

모든 HDS 노드를 버전 2021.01.22.4720 이상으로 업그레이드합니다.

1	HDS 노드 중 하나를 종료합니다.
2	vCenter Server Appliance에서 HDS 노드를 선택합니다.
3	선택 설정 > CD/DVD 드라이브를 편집하고 데이터 저장소 ISO 파일을 선택 취소합니다.
4	HDS 노드의 전원을 켜고 최소 20분 동안 경보가 울리지 않도록 합니다.
5	각 HDS 노드에 대해 차례로 반복합니다.

하이브리드 데이터 보안 문제 해결하기

경고 보기 및 문제 해결하기

새 스페이스를 만들 수 없음(새 키를 만들 수 없음)
메시지 및 스페이스 제목이 해독되지 않음:
- 스페이스에 새로운 사용자가 추가됨(키를 가져올 수 없음)
- 새로운 클라이언트를 사용하여 스페이스에 있는 기존의 사용자(키를 가져올 수 없음)
클라이언트가 암호화 키의 캐시를 갖고 있는 한 스페이스에 있는 기존의 사용자는 계속 성공적으로 실행됩니다.

서비스가 중단되지 않도록 하이브리드 데이터 보안 클러스터를 올바르게 모니터링하고 즉시 알림을 처리하는 것이 중요합니다.

경고

표 1. 일반적인 문제 및 해결 단계
경고	작업
로컬 데이터베이스 액세스 실패.	데이터베이스 오류 또는 로컬 네트워크 문제를 확인합니다.
로컬 데이터베이스 연결 실패.	데이터베이스 서버를 사용할 수 있는지 확인하고 노드 구성에 올바른 서비스 계정 자격 증명이 사용되었는지 확인합니다.
클라우드 서비스 액세스 실패.	외부 연결 요구 사항에 지정된 대로 노드가 Webex 서버에 액세스할 수 있는지 확인합니다.
클라우드 서비스 등록 갱신.	클라우드 서비스에 대한 등록이 삭제되었습니다. 등록 갱신이 진행 중입니다.
클라우드 서비스 등록이 끊겼습니다.	클라우드 서비스에 대한 등록이 종료되었습니다. 서비스가 종료되고 있습니다.
서비스가 아직 활성화되지 않았습니다.	평가판을 활성화하거나, 평가판을 프로덕션으로 이동하는 작업을 마칩니다.
구성된 도메인이 서버 인증서와 일치하지 않습니다.	서버 인증서가 구성된 서비스 활성화 도메인과 일치하는지 확인합니다. 가장 큰 원인은 인증서 CN이 최근에 변경되었으며 이제 초기 설정 중에 사용된 CN과 다르다는 것입니다.
클라우드 서비스를 인증하지 못했습니다.	서비스 계정 자격 증명의 정확성 및 가능한 만료 여부를 확인합니다.
로컬 키 저장소 파일을 열지 못했습니다.	로컬 키 저장소 파일에서 무결성 및 암호 정확도를 확인합니다.
로컬 서버 인증서가 유효하지 않습니다.	서버 인증서의 만료 날짜를 확인하고 신뢰할 수 있는 인증 기관에서 발급했는지 확인합니다.
메트릭을 게시할 수 없음.	외부 클라우드 서비스에 대한 로컬 네트워크 액세스를 확인합니다.
/media/configdrive/hds 디렉토리가 없습니다.	가상 호스트에서 ISO 마운트 구성을 확인합니다. ISO 파일이 존재하는지, 재부팅 시 마운트하도록 구성되었는지, 성공적으로 마운트되는지 확인합니다.

하이브리드 데이터 보안 문제 해결하기

하이브리드 데이터 보안의 문제를 해결할 때 다음 일반 지침을 사용하십시오.

1	알림에 대해 Control Hub를 검토하고 발견한 항목을 수정합니다.
2	하이브리드 데이터 보안 배포에서 활동에 대한 syslog 서버 출력을 검토합니다.
3	Cisco 고객 지원에 문의하십시오.

기타 메모

하이브리드 데이터 보안의 알려진 문제

(Control Hub에서 삭제하거나 모든 노드를 종료하여) 하이브리드 데이터 보안 클러스터를 종료하거나, 구성 ISO 파일을 잃거나, 키 저장소 데이터베이스에 대한 액세스를 잃는 경우, KMS에서 키로 생성된 사용자 목록 아래에서 Webex 앱 사용자는 더 이상 스페이스를 사용할 수 없습니다. 이는 평가판 및 프로덕션 배포 모두에 적용됩니다. 현재 이 문제에 대한 해결 방법이나 수정 사항이 없으며, 활동 중인 사용자 계정을 처리하는 동안 HDS 서비스를 종료하지 말 것을 권장합니다.
KMS에 대한 기존 ECDH 연결이 있는 클라이언트는 일정 기간(1시간 정도) 동안 연결을 유지합니다. 사용자가 하이브리드 데이터 보안 평가판의 멤버가 되면 사용자의 클라이언트는 시간이 초과될 때까지 기존의 ECDH 연결을 계속 사용합니다. 또는 사용자는 Webex 앱 앱에 로그아웃하고 다시 로그인하여 앱이 암호화 키에 대해 연락하는 위치를 업데이트할 수도 있습니다.

조직에 대해 평가판을 프로덕션으로 이동할 때 동일한 동작이 발생합니다. 이전 데이터 보안 서비스에 대한 기존의 ECDH 연결을 사용하는 평가판 외의 모든 사용자는 ECDH 연결이 재협상될 때까지(시간 초과 또는 로그아웃하고 다시 로그인할 때까지) 해당 서비스를 계속 사용합니다.

OpenSSL을 사용하여 PKCS12 파일 생성

시작하기 전에

OpenSSL은 PKCS12 파일을 HDS 설정 도구에 로드하기 위한 적절한 형식으로 만드는 데 사용할 수 있는 도구 중 하나입니다. 다른 방법이 있는데, 우리는 다른 방법을 지지하거나 홍보하지 않습니다.
OpenSSL을 사용하기로 선택하는 경우, 이 절차를 X.509 인증서 요구 사항에서 X.509 인증서 요구 사항을 충족하는 파일을 만드는 데 도움이 되는 지침으로 제공하고 있습니다. 계속하기 전에 이러한 요구 사항을 이해하십시오.
지원되는 환경에 OpenSSL을 설치합니다. 소프트웨어 및 설명서는 https://www.openssl.org를 참조하십시오.
개인 키를 만듭니다.
CA(Certificate Authority)에서 서버 인증서를 수신하면 이 절차를 시작합니다.

1	CA에서 서버 인증서를 수신하면 다음과 같이 저장합니다. `hdsnode.pem`.
2	인증서를 텍스트로 표시하고 세부 사항을 확인합니다. `openssl x509 -text -noout -in hdsnode.pem`
3	텍스트 편집기를 사용하여 인증서 번들 파일을 생성합니다. `hdsnode-bundle.pem`. 번들 파일에는 서버 인증서, 모든 중간 CA 인증서 및 루트 CA 인증서가 아래 형식으로 포함되어야 합니다. `-----BEGIN CERTIFICATE----- ### Server certificate. ### -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ### Intermediate CA certificate. ### -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ### Root CA certificate. ### -----END CERTIFICATE-----`
4	친숙한 이름으로 .p12 파일 만들기 `kms-private-key`. `openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12`
5	서버 인증서 세부 사항을 확인합니다. `openssl pkcs12 -in hdsnode.p12` 프롬프트에서 비밀번호를 입력하여 개인 키를 암호화하여 출력에 나열합니다. 그런 다음 개인 키 및 첫 번째 인증서에 회선이 포함되어 있는지 확인합니다. `friendlyName: kms-private-key`. 예: bash$ openssl pkcs12 -in hdsnode.p12 Enter Import Password: MAC verified OK Bag Attributes friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Key Attributes: <No Attributes> Enter PEM pass phrase: Verifying - Enter PEM pass phrase: -----BEGIN ENCRYPTED PRIVATE KEY----- <redacted> -----END ENCRYPTED PRIVATE KEY----- Bag Attributes friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 -----BEGIN CERTIFICATE----- <redacted> -----END CERTIFICATE----- Bag Attributes friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3 -----BEGIN CERTIFICATE----- <redacted> -----END CERTIFICATE-----

다음에 수행할 작업

원본 인증서가 만료되면 해당 파일을 다시 사용하여 새 인증서를 요청할 수 있습니다.

HDS 노드와 클라우드 간의 트래픽

아웃바운드 메트릭 수집 트래픽

인바운드 교통

하이브리드 데이터 보안 노드는 Webex 클라우드에서 다음 유형의 인바운드 트래픽을 수신합니다.

암호화 서비스에 의해 라우팅되는 클라이언트의 암호화 요청
노드 소프트웨어로 업그레이드

하이브리드 데이터 보안에 대해 Squid 프록시 구성

웹 소켓은 Squid 프록시를 통해 연결할 수 없음

Squid 4 및 5

추가 on_unsupported_protocol 지시 사항 squid.conf:

on_unsupported_protocol tunnel all

Squid 3.5.27

acl wssMercuryConnection ssl::server_name_regex mercury-connection

ssl_bump splice wssMercuryConnection

acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all

서문

신규 및 변경된 정보

날짜

변경 사항

2023년 10월 20일

데이터베이스 서버 요구 사항에서 정보를 업데이트했습니다.
재해 복구를 위한 대기 데이터 센터 설정을 추가했습니다.
대기 데이터 센터를 사용하여 재해 복구를 위한 대기 데이터 센터 및 재해 복구에 대한 정보 업데이트.

2023년 8월 7일

설치 파일 다운로드에 메모를 추가했습니다.
HDS 호스트에 대한 구성 ISO 만들기 및 노드 구성 변경에 메모를 추가했습니다.

2023년 5월 23일

계정 팀에 연락하여 기능을 활성화하도록 요청하는 데이터베이스 서버 요구 사항에서 정보를 삭제했습니다.
외부 연결 요구 사항에서 정보를 업데이트하고 CI 호스트 테이블에 캐나다를 추가했습니다.
키를 클라우드로 다시 이동하는 메커니즘의 가용성 해제에 관한 하이브리드 데이터 보안 배포에 대한 기대치에 메모를 추가했습니다.

2022년 12월 06일

이제 HDS 설정 도구 이미지가 다음 위치에서 호스트됩니다. ciscocitg 도커허브 리포지토리.
업데이트된 HDS 호스트에 대한 구성 ISO 만들기 및 노드 구성 주제를 변경하여 명령의 변경 사항을 다시 적용합니다.

2022년 11월 23일

이제 HDS 노드는 Microsoft SQL Server에 대한 Windows 인증을 사용할 수 있습니다.

이 인증 모드에 대한 추가 요구 사항으로 데이터베이스 서버 요구 사항 주제를 업데이트했습니다.

노드에서 Windows 인증을 구성하는 절차를 사용하여 HDS 호스트에 대한 구성 ISO 만들기를 업데이트했습니다.
새로운 최소 필수 버전(PostgreSQL 10)으로 데이터베이스 서버 요구 사항 주제를 업데이트했습니다.

2021년 10월 13일

HDS 노드를 설치하려면 Docker Desktop이 설치 프로그램을 실행해야 합니다. Docker 데스크톱 요구 사항을 참조하십시오.

2021년 6월 24일

비공개 키 파일 및 CSR을 다시 사용하여 다른 인증서를 요청할 수 있습니다. 자세한 내용은 OpenSSL을 사용하여 PKCS12 파일 생성을 참조하십시오.

2021년 4월 30일

로컬 하드 디스크 공간에 대한 VM 요구 사항을 30GB로 변경했습니다. 자세한 내용은 가상 호스트 요구 사항을 참조하십시오.

2021년 2월 24일

이제 HDS 설정 도구는 프록시 뒤에서 실행할 수 있습니다. 자세한 내용은 HDS 호스트에 대한 구성 ISO 만들기를 참조하십시오.

2021년 2월 2일

이제 HDS는 마운트된 ISO 파일 없이 실행할 수 있습니다. 자세한 내용은 (선택 사항) HDS 구성 후 ISO 마운트 해제를 참조하십시오.

2021년 1월 11일 수요일

HDS 설정 도구 및 프록시에 대한 정보를 추가하여 HDS 호스트에 대한 구성 ISO 만들기.

2020년 10월 13일

설치 파일 다운로드가 업데이트되었습니다.

2020년 10월 8일

업데이트된 HDS 호스트에 대한 구성 ISO 생성 및 FedRAMP 환경에 대한 명령어로 노드 구성 변경.

2020년 8월 14일

HDS 호스트에 대한 구성 ISO 생성 및 로그인 프로세스에 대한 변경 사항으로 노드 구성 변경이 업데이트되었습니다.

2020년 8월 5일

로그 메시지의 변경 사항에 대해 하이브리드 데이터 보안 배포 테스트를 업데이트했습니다.

최대 호스트 수를 제거하려면 가상 호스트 요구 사항을 업데이트했습니다.

2020년 6월 16일

Control Hub UI에서 변경 사항에 대해 노드 제거가 업데이트되었습니다.

2020년 6월 4일

설정한 고급 설정의 변경 사항에 대해 HDS 호스트에 대한 구성 ISO 만들기를 업데이트했습니다.

2020년 5월 29일

업데이트된 HDS 호스트에 대한 구성 ISO 생성은 SQL Server 데이터베이스, UI 변경 사항 및 기타 설명과 함께 TLS를 사용할 수도 있음을 표시합니다.

2020년 5월 5일

ESXi 6.5의 새로운 요구 사항을 표시하기 위해 가상 호스트 요구 사항을 업데이트했습니다.

2020년 4월 21일

새로운 Americas CI 호스트를 사용하여 외부 연결 요구 사항을 업데이트했습니다.

2020년 4월 1일 수요일

지역 CI 호스트에 대한 정보를 사용하여 외부 연결 요구 사항을 업데이트했습니다.

2020년 2월 20일 HDS 설정 도구의 새로운 선택적 고급 설정 화면에 대한 정보를 사용하여 HDS 호스트에 대한 구성 ISO 생성을 업데이트했습니다.

2020년 2월 4일 수요일 프록시 서버 요구 사항을 업데이트함.

2019년 12월 16일 프록시 서버 요구 사항에서 작동하도록 차단된 외부 DNS 확인 모드에 대한 요구 사항을 명확화했습니다.

2019년 11월 19일

다음 섹션에서 차단된 외부 DNS 확인 모드에 대한 정보를 추가했습니다.

프록시 지원
프록시 통합에 대해 HDS 노드 구성
차단된 외부 DNS 확인 모드 끄기

2019년 11월 8일

이제 이후 대신 OVA를 배포하는 동안 노드에 대한 네트워크 설정을 구성할 수 있습니다.

그에 따라 다음 섹션을 업데이트함:

하이브리드 데이터 보안 배포 작업 흐름
HDS 호스트 OVA 설치
하이브리드 데이터 보안 VM 설정

OVA 배포 중에 네트워크 설정을 구성하는 옵션은 ESXi 6.5에서 테스트되었습니다. 해당 옵션은 이전 버전에서 사용할 수 없을 수도 있습니다.

2019년 9월 6일

데이터베이스 서버 요구 사항에 SQL Server Standard를 추가했습니다.

2019년 8월 20일

Webex 클라우드에 대한 하이브리드 데이터 보안 노드 통신에 대한 프록시 지원을 커버하기 위해 섹션을 추가하고 업데이트했습니다.

프록시 지원
프록시 서버 요구 사항
프록시 통합에 대해 HDS 노드 구성

2019년 3월 6일 수요일

요구 사항과 전제 조건을 별도의 장으로 이동하여 환경 준비.
하이브리드 데이터 보안 클러스터 설정 장에 하이브리드 데이터 보안 배포 작업 흐름 개요를 추가했습니다.

평가판을 시작할 때까지(후속 장의 지침을 사용하여) 노드는 서비스가 아직 활성화되지 않았음을 알리는 알람을 생성합니다.
평가판을 프로덕션 작업 흐름에 추가함. 평가판을 실행하고 프로덕션으로 이동.

2019년 2월 28일 목요일

OVA가 생성하는 디스크의 크기를 반영하기 위해 하이브리드 데이터 보안 노드가 되는 가상 호스트를 50GB에서 20GB로 준비할 때 별도로 설정해야 하는 서버당 로컬 하드 디스크 공간의 양을 수정했습니다.

2019년 2월 26일

이제 하이브리드 데이터 보안 노드는 PostgreSQL 데이터베이스 서버로 암호화된 연결을 지원하고 TLS 지원 syslog 서버에 암호화된 로깅 연결을 지원합니다. 지침이 포함된 HDS 호스트에 대한 구성 ISO 만들기를 업데이트했습니다.
"하이브리드 데이터 보안 노드 VM에 대한 인터넷 연결 요구 사항" 테이블에서 대상 URL을 제거했습니다. 이제 표는 Webex Teams 서비스에 대한 네트워크 요구 사항의 "Webex Teams 하이브리드 서비스에 대한 추가 URL" 표에 유지되는 목록을 나타냅니다.

2019년 1월 24일

2018년 11월 5일 수요일

HDS 호스트에 대한 구성 ISO 만들기 및 노드 구성 변경에서 기존 도커 hds 인스턴스를 정리하는 예비 단계를 추가했습니다.
인터페이스와 일치하도록 HDS 호스트에 대한 구성 ISO 만들기에서 키 액세스 수준 단계를 업데이트했습니다.

2018년 10월 19일

하이브리드 데이터 보안에 대한 전제 조건 완료에서 방화벽 연결 정보를 노드 요구 사항 및 ISO 구성 기계 요구 사항으로 분할합니다.

2018년 7월 31일

하이브리드 데이터 보안에 대한 전제 조건을 완료하기 위해 포트 22(SSH 액세스) 및 NAT 및 방화벽 연결에 대한 정보를 추가했습니다.

2018년 5월 21일

Cisco Spark의 리브랜딩을 반영하기 위해 용어를 변경함:

이제 Cisco Spark 하이브리드 데이터 보안은 하이브리드 데이터 보안입니다.
이제 Cisco Spark 앱은 Webex 앱 앱입니다.
이제 Cisco Collaboraton Cloud는 Webex 클라우드입니다.

2018년 4월 11일 화요일

재해 복구를 위한 대기 데이터 센터가 추가되었습니다.
업데이트됨 하이브리드 데이터 보안에 대한 전제 조건 완료는 백업 환경이 다른 데이터 센터에 있어야 함을 지정합니다.
대기 데이터 센터를 사용하여 재해 복구를 업데이트했습니다.

2018년 2월 22일

서비스 계정 비밀번호 9개월 수명에 대한 정보를 추가하고 HDS 설정 도구를 사용하여 서비스 계정 비밀번호를 재설정하는 방법을 사용하여 HDS 호스트에 대한 구성 ISO 만들기 및 노드 구성 변경.

2018년 2월 15일 목요일

X.509 인증서 요구 사항 표에서 인증서가 와일드카드 인증서가 될 수 없으며 KMS가 x.509v3 SAN 필드에 정의된 도메인이 아닌 CN 도메인을 사용한다고 지정했습니다.

2018년 1월 18일 목요일

부록, HDS 노드와 클라우드 간의 트래픽 추가.
하이브리드 데이터 보안에 대해 알려진 문제에서 해결된 문제를 제거했습니다.
index.docker.io를 *.docker.io로 변경하고 하이브리드 데이터 보안에 대한 전제 조건 완료의 HDS 노드에 대한 TCP 연결 요구 사항 목록에 *.cloudfront.net을 추가했습니다.
업데이트된 HDS 호스트에 대한 구성 ISO 생성은 데이터베이스 호스트 및 Syslogd 서버가 HDS 노드에서 DNS 확인할 수 없는 경우 IP 주소를 사용하여 구성해야 함을 나타냅니다.

2017년 11월 2일 수요일

HdsTrialGroup의 디렉터리 동기화를 명확히 함.
VM 노드에 마운트하기 위해 ISO 구성 파일을 업로드하는 방법을 수정했습니다.

2017년 8월 18일

첫 번째 출판

하이브리드 데이터 보안 시작하기

하이브리드 데이터 보안 개요

보안 영역 아키텍처

Webex 클라우드 아키텍처는 아래에 설명된 대로 다른 유형의 서비스를 별도의 영역 또는 신뢰 도메인으로 분리합니다.

클라이언트는 키 관리 서비스(KMS)와 보안 연결을 설정한 후 메시지를 암호화하기 위해 키를 요청합니다. 보안 연결은 ECDH를 사용하며, KMS는 AES-256 마스터 키를 사용하여 키를 암호화합니다.
메시지가 클라이언트에서 나가기 전에 암호화됩니다. 클라이언트는 이를 인덱싱 서비스로 전송하며, 이는 암호화된 검색 인덱스를 생성하여 콘텐츠에 대한 향후 검색을 지원합니다.
암호화된 메시지는 준수 확인을 위해 준수 서비스로 전송됩니다.
암호화된 메시지는 스토리지 영역에 저장됩니다.

다른 조직과의 협업

하이브리드 데이터 보안 배포에 대한 기대

하이브리드 데이터 보안 배포에는 중요한 고객 노력과 암호화 키를 소유하는 위험에 대한 인식이 필요합니다.

하이브리드 데이터 보안을 배포하려면 다음을 제공해야 합니다.

Cisco Webex Teams 플랜에 대해 지원되는 위치에 있는 국가의 보안 데이터 센터.
환경 준비에 설명된 장비, 소프트웨어 및 네트워크 액세스.

데이터베이스 및 구성 ISO의 백업 및 복구를 관리합니다.
데이터베이스 디스크 오류 또는 데이터 센터 재해와 같은 재해가 발생하는 경우 빠른 재해 복구를 수행할 수 있도록 준비하십시오.

HDS 배포 후 키를 클라우드로 다시 이동하는 메커니즘은 없습니다.

고급 설정 프로세스

이 문서는 하이브리드 데이터 보안 배포의 설정 및 관리를 다룹니다.

하이브리드 데이터 보안 설정—여기에는 필수 인프라 준비 및 하이브리드 데이터 보안 소프트웨어 설치, 평가판 모드의 사용자 하위 집합으로 배포 테스트 및 테스트가 완료되면 프로덕션으로 이동하는 작업이 포함됩니다. 이는 전체 조직을 변환하여 보안 기능에 대해 하이브리드 데이터 보안 클러스터를 사용합니다.
설정, 평가판 및 생산 단계는 다음 세 장에서 자세히 다룹니다.
하이브리드 데이터 보안 배포 유지 관리—Webex 클라우드는 자동으로 진행 중인 업그레이드를 제공합니다. IT 부서는 이 배포에 대해 1단계 지원을 제공하고 필요에 따라 Cisco 지원을 참여할 수 있습니다. Control Hub에서 화면 내 알림을 사용하고 이메일 기반 경고를 설정할 수 있습니다.
일반적인 경고, 문제 해결 단계 및 알려진 문제를 이해합니다—하이브리드 데이터 보안을 배포하거나 사용하는 데 문제가 발생하는 경우, 이 안내서의 마지막 장과 알려진 문제 부록은 문제를 결정하고 해결하는 데 도움이 될 수 있습니다.

하이브리드 데이터 보안 배포 모델

하이브리드 데이터 보안 배포 모델

Control Hub에서 노드를 등록하면 노드가 활성화됩니다. 개별 노드를 서비스 중단하려면 등록을 취소하고 필요한 경우 나중에 다시 등록할 수 있습니다.

조직당 단일 클러스터만 지원합니다.

하이브리드 데이터 보안 평가판 모드

재해 복구를 위한 대기 데이터 센터

배포 중에 보안 대기 데이터 센터를 설정합니다. 데이터 센터 재해가 발생하면 대기 데이터 센터로 수동으로 배포에 실패할 수 있습니다.

활성 하이브리드 데이터 보안 노드는 항상 활성 데이터베이스 서버와 동일한 데이터 센터에 있어야 합니다.

재해 복구를 위한 대기 데이터 센터 설정

대기 데이터 센터의 ISO 파일을 구성하려면 아래 단계를 따르십시오.

시작하기 전에

대기 데이터 센터는 VM의 생산 환경 및 백업 PostgreSQL 또는 Microsoft SQL Server 데이터베이스를 반영해야 합니다. 예를 들어, 프로덕션에 HDS 노드를 실행하는 3개의 VM이 있는 경우 백업 환경에는 3개의 VM이 있어야 합니다. (이 페일오버 모델에 대한 개요는 재해 복구를 위한 대기 데이터 센터 참조)
활성 및 수동 클러스터 노드의 데이터베이스 간에 데이터베이스 동기화가 활성화되어 있는지 확인합니다.

HDS 설정 도구를 시작하고 HDS 호스트에 대한 구성 ISO 만들기에 설명된 단계를 따릅니다.

ISO 파일은 기본 데이터 센터의 원래 ISO 파일의 복사본이어야 하며, 다음 구성 업데이트가 이루어져야 합니다.

Syslogd 서버를 구성한 후 고급 설정을 클릭합니다.


passiveMode: 'true'

구성 프로세스를 완료하고 찾기 쉬운 위치에 ISO 파일을 저장합니다.

VMware vSphere 클라이언트의 왼쪽 탐색 창에서 VM을 마우스 오른쪽 버튼으로 클릭하고 설정 편집을 클릭합니다..

설정 편집 >CD/DVD 드라이브 1을 클릭하고 데이터스토어 ISO 파일을 선택합니다.

노드를 시작한 후에 업데이트된 구성 변경 사항이 적용될 수 있도록 Connected 및 Connect at power on이(가) 선택되었는지 확인하십시오.

HDS 노드의 전원을 켜고 최소 15분 동안 경보가 울리지 않도록 합니다.

대기 데이터 센터의 모든 노드에 대해 프로세스를 반복합니다.

syslogs를 확인하여 노드가 수동 모드인지 확인합니다. syslog에서 "KMS가 수동 모드로 구성됨" 메시지를 볼 수 있어야 합니다.

다음에 수행할 작업

프록시 지원

하이브리드 데이터 보안 노드는 다음 프록시 옵션을 지원합니다.

프록시 없음—프록시를 통합하기 위해 HDS 노드 설정 신뢰 저장소 및 프록시 구성을 사용하지 않는 경우에 기본값입니다. 인증서를 업데이트하지 않아도 됩니다.
투명 비-검사 프록시—노드가 특정 프록시 서버 주소를 사용하도록 구성되어 있지 않으며, 비-검사 프록시에서 작동하도록 변경할 것을 요구하지 않습니다. 인증서를 업데이트하지 않아도 됩니다.
투명 터널링 또는 검사 프록시—노드가 특정 프록시 서버 주소를 사용하도록 구성되어 있지 않습니다. 노드에서 HTTP 또는 HTTPS 구성을 변경하지 않아도 됩니다. 단, 노드에 루트 인증서가 있어야 프록시를 신뢰할 수 있습니다. 일반적으로 검사 프록시는 IT가 어떤 웹사이트를 방문할 수 있는지 및 어떤 유형의 콘텐츠가 허용되는지에 대한 정책을 적용하기 위해 사용됩니다. 이러한 유형의 프록시는 모든 트래픽(HTTPS 포함)을 해독합니다.
명시적 프록시—명시적 프록시를 사용하여 HDS 노드가 어떤 프록시 서버 및 인증 구성표를 사용하는지 알 수 있습니다. 명시적 프록시를 구성하려면 각 노드에 다음 정보를 입력해야 합니다.
1. 프록시 IP/FQDN—프록시 머신에 연결하기 위해 사용할 수 있는 주소입니다.
2. 프록시 포트—프록시가 프록시된 트래픽을 탐지하기 위해 사용하는 포트 번호입니다.
3. 프록시 프로토콜—프록시 서버에서 지원하는 내용에 따라 다음 프로토콜 중에서 선택합니다.
  - HTTP—클라이언트가 전송하는 모든 요청을 확인하고 제어합니다.
  - HTTPS—서버에 채널을 제공합니다. 클라이언트는 서버의 인증서를 수신하고 유효성을 검증합니다.
4. 인증 유형—다음 인증 유형 중에서 선택합니다.
  - 없음—추가 인증이 필요하지 않습니다.
    
    HTTP 또는 HTTPS를 프록시 프로토콜로 선택하는 경우에 사용할 수 있습니다.
  - 기본—요청을 제출할 때 HTTP 사용자 에이전트가 사용자 이름 및 비밀번호를 제공하기 위해 사용됩니다. Base64 인코딩을 사용합니다.
    
    HTTP 또는 HTTPS를 프록시 프로토콜로 선택하는 경우에 사용할 수 있습니다.
    
    각 노드에서 사용자 이름 및 비밀번호를 입력하도록 요구합니다.
  - 다이제스트—민감한 정보를 보내기 전에 계정을 확인하기 위해 사용됩니다. 네트워크를 통해 전송하기 전에 사용자 이름 및 비밀번호에 해시 기능을 적용합니다.
    
    HTTPS를 프록시 프로토콜로 선택하는 경우에만 사용할 수 있습니다.
    
    각 노드에서 사용자 이름 및 비밀번호를 입력하도록 요구합니다.

하이브리드 데이터 보안 노드 및 프록시의 예제

차단된 외부 DNS 확인 모드 끄기 (명시적 프록시 구성)

환경 준비

하이브리드 데이터 보안의 요구 사항

Cisco Webex 라이센스 요구 사항

하이브리드 데이터 보안을 배포하려면:

Cisco Webex Control Hub용 Pro Pack이 있어야 합니다. (https://www.cisco.com/go/pro-pack 참조)

Docker 데스크톱 요구 사항

X.509 인증서 요구 사항

인증서 체인은 다음 요구 사항을 충족해야 합니다.

표 1. 하이브리드 데이터 보안 배포에 대한 X.509 인증서 요구 사항
요구 사항	세부 정보
신뢰할 수 있는 인증 기관(CA)이 서명함	기본적으로 https://wiki.mozilla.org/CA:IncludedCAs의 Mozilla 목록(WoSign 및 StartCom 제외)의 CA를 신뢰합니다.
하이브리드 데이터 보안 배포를 식별하는 CN(공통 이름) 도메인 이름이 있습니다. 와일드카드 인증서가 아님	CN에 연결할 수 있거나 실시간 호스트가 필요하지 않습니다. 예를 들어, 조직을 반영하는 이름을 사용할 것을 권장합니다. `hds.company.com`. CN에는 *(와일드카드)가 포함되어서는 안 됩니다. CN은 Webex 앱 클라이언트에 대한 하이브리드 데이터 보안 노드를 확인하는 데 사용됩니다. 클러스터의 모든 하이브리드 데이터 보안 노드는 동일한 인증서를 사용합니다. KMS는 x.509v3 SAN 필드에 정의된 도메인이 아닌 CN 도메인을 사용하여 자신을 식별합니다. 이 인증서에 노드를 등록하면 CN 도메인 이름 변경을 지원하지 않습니다. 평가판 및 프로덕션 배포 모두에 적용할 수 있는 도메인을 선택합니다.
Non-SHA1 서명	KMS 소프트웨어는 다른 조직의 KMS와의 연결을 검증하기 위해 SHA1 서명을 지원하지 않습니다.
암호로 보호된 PKCS #12 파일로 포맷 친근한 이름 사용 `kms-private-key` 을(를) 사용하여 업로드할 인증서, 비공개 키 및 중간 인증서에 태그를 지정합니다.	OpenSSL과 같은 변환기를 사용하여 인증서의 형식을 변경할 수 있습니다. HDS 설정 도구를 실행할 때 암호를 입력해야 합니다.

가상 호스트 요구 사항

클러스터에서 하이브리드 데이터 보안 노드로 설정하는 가상 호스트는 다음 요구 사항을 충족합니다.

동일한 보안 데이터 센터에서 두 개 이상의 별도의 호스트(3개 권장)가 공동 처리됨
VMware ESXi 6.5(이상) 설치 및 실행 중.

이전 버전의 ESXi가 있는 경우 업그레이드해야 합니다.
최소 4개의 vCPU, 8GB 기본 메모리, 서버당 30GB 로컬 하드 디스크 공간

데이터베이스 서버 요구 사항

데이터베이스 서버에 대한 두 가지 옵션이 있습니다. 각 요구 사항은 다음과 같습니다.

표 2. 데이터베이스 유형별 데이터베이스 서버 요구 사항

PostgreSQL 소개

Microsoft SQL 서버

PostgreSQL 14, 15 또는 16, 설치 및 실행.

SQL Server 2016, 2017 또는 2019 (Enterprise 또는 Standard)가 설치되었습니다.

SQL Server 2016에는 서비스 팩 2 및 누적 업데이트 2 이상이 필요합니다.

HDS 소프트웨어는 현재 데이터베이스 서버와의 통신을 위해 다음 드라이버 버전을 설치합니다.

PostgreSQL 소개

Microsoft SQL 서버

Postgres JDBC 드라이버 42.2.5

SQL Server JDBC 드라이버 4.6

이 드라이버 버전은 SQL Server Always On(Always On Failover 클러스터 인스턴스 및 Always On 가용성 그룹)을 지원합니다.

Microsoft SQL Server에 대한 Windows 인증에 대한 추가 요구 사항

HDS 노드가 Windows 인증을 사용하여 Microsoft SQL Server의 키 저장소 데이터베이스에 액세스하도록 하려면 환경에서 다음 구성이 필요합니다.

HDS 노드, Active Directory 인프라 및 MS SQL 서버가 모두 NTP와 동기화되어야 합니다.
HDS 노드에 제공하는 Windows 계정은 데이터베이스에 대한 읽기/쓰기 액세스 권한이 있어야 합니다.
HDS 노드에 제공하는 DNS 서버는 KDC(Key Distribution Center)를 확인할 수 있어야 합니다.
Microsoft SQL Server에서 HDS 데이터베이스 인스턴스를 Active Directory의 SPN(Service Principal Name)으로 등록할 수 있습니다. Kerberos Connections에 대한 서비스 기본 이름 등록을 참조하십시오.

HDS 설정 도구, HDS 실행기 및 로컬 KMS는 모두 Windows 인증을 사용하여 키 저장소 데이터베이스에 액세스해야 합니다. ISO 구성의 세부 정보를 사용하여 Kerberos 인증으로 액세스를 요청할 때 SPN을 구성합니다.

외부 연결 요구 사항

HDS 애플리케이션에 대해 다음 연결을 허용하도록 방화벽을 구성합니다.

응용프로그램	프로토콜	포트	앱에서 방향	대상
하이브리드 데이터 보안 노드	TCP	443	아웃바운드 HTTPS 및 WSS	Webex 서버: .wbx2.com .ciscospark.com 모든 공통 ID 호스트 Webex 서비스에 대한 네트워크 요구 사항의 Webex 하이브리드 서비스에 대한 추가 URL 표에 하이브리드 데이터 보안에 대해 나열된 기타 URL
HDS 설정 도구	TCP	443	아웃바운드 HTTPS	*.wbx2.com 모든 공통 ID 호스트 이메일: info@docker.com

CI(Common Identity) 호스트에 대한 URL은 지역에 따라 다릅니다. 현재 CI 호스트는 다음과 같습니다.

지역	공통 ID 호스트 URL
Americas	https://idbroker.webex.com https://identity.webex.com https://idbroker-b-us.webex.com https://identity-b-us.webex.com
유럽 연합	https://idbroker-eu.webex.com https://identity-eu.webex.com
캐나다	https://idbroker-ca.webex.com https://identity-ca.webex.com

프록시 서버 요구 사항

하이브리드 데이터 보안 노드에 통합할 수 있는 다음 프록시 솔루션을 공식적으로 지원합니다.

투명 프록시—Cisco Web Security Appliance (WSA).

명시적 프록시—Squid.

명시적 프록시에 대해 다음 인증 유형 조합을 지원합니다.
- HTTP 또는 HTTPS로 인증하지 않음
- HTTP 또는 HTTPS로 기본 인증
- HTTPS로만 다이제스트 인증
투명 검사 프록시 또는 HTTPS 명시적 프록시에 대해 프록시 루트 인증서의 복사본이 있어야 합니다. 이 안내서의 배포 지시 사항은 하이브리드 데이터 보안 노드의 신뢰 저장소에 사본을 업로드하는 방법을 설명합니다.
HDS 노드를 호스트하는 네트워크는 포트 443의 아웃바운드 TCP 트래픽이 프록시를 통해 라우팅하도록 구성되어야 합니다.
웹 트래픽을 검사하는 프록시는 웹 소켓 연결을 방해할 수도 있습니다. 이 문제가 발생하면 트래픽을 우회하여(검사하지 않음) wbx2.com 선택하십시오. ciscospark.com 문제를 해결할 것입니다.

하이브리드 데이터 보안에 대한 전제 조건 완료

이 검사목록을 사용하여 하이브리드 데이터 보안 클러스터를 설치하고 구성할 준비가 되었는지 확인합니다.

키 스토리지를 위한 데이터베이스를 만듭니다. (이 데이터베이스를 만들어야 합니다. 기본 데이터베이스를 사용하지 마십시오. HDS 애플리케이션이 설치되면 데이터베이스 스키마를 만듭니다.)
노드가 데이터베이스 서버와 통신하는 데 사용할 세부 정보를 수집합니다.
- 호스트 이름 또는 IP 주소(호스트) 및 포트
- 키 저장소에 대한 데이터베이스 이름(dbname)
- 키 스토리지 데이터베이스에 모든 권한이 있는 사용자의 사용자 이름 및 암호

syslog 호스트를 설정하여 클러스터의 노드에서 로그를 수집합니다. 네트워크 주소 및 syslog 포트를 수집합니다(기본값은 UDP 514).

방화벽 구성이 외부 연결 요구 사항에 설명된 대로 하이브리드 데이터 보안 노드에 대한 연결을 허용하는지 확인하십시오.

HDS 설정 도구를 설치하고 실행하려면 로컬 머신에 외부 연결 요구 사항에 설명된 연결이 있어야 합니다.

프록시를 하이브리드 데이터 보안에 통합하고 있는 경우, 프록시 서버 요구 사항을 충족하는지 확인하십시오.

하이브리드 데이터 보안 클러스터 설정

하이브리드 데이터 보안 배포 작업 흐름

시작하기 전에

나중에 사용할 수 있도록 OVA 파일을 로컬 머신으로 다운로드합니다.

HDS 설정 도구를 사용하여 하이브리드 데이터 보안 노드에 대한 ISO 구성 파일을 만듭니다.

OVA 파일에서 가상 머신을 만들고 네트워크 설정과 같은 초기 구성을 수행합니다.

OVA 배포 중에 네트워크 설정을 구성하는 옵션은 ESXi 6.5에서 테스트되었습니다. 해당 옵션은 이전 버전에서 사용할 수 없을 수도 있습니다.

VM 콘솔에 로그인하고 로그인 자격 증명을 설정합니다. OVA 배포 시 구성하지 않은 경우 노드에 대한 네트워크 설정을 구성합니다.

HDS 설정 도구로 만든 ISO 구성 파일에서 VM을 구성합니다.

네트워크 환경에 프록시 구성이 필요한 경우 노드에 사용할 프록시 유형을 지정하고 필요한 경우 프록시 인증서를 신뢰 저장소에 추가합니다.

Cisco Webex 클라우드에 VM을 하이브리드 데이터 보안 노드로 등록합니다.

클러스터 설정을 완료합니다.

평가판을 시작할 때까지 노드는 서비스가 아직 활성화되지 않았음을 나타내는 알람을 생성합니다.

설치 파일 다운로드

https://admin.webex.com에 로그인한 후 서비스를 클릭합니다.

하이브리드 서비스 섹션에서 하이브리드 데이터 보안 카드를 찾은 후 설정을 클릭합니다.

아니요를 선택하여 아직 노드를 설정하지 않았음을 표시한 후 다음을 클릭합니다.

OVA 파일이 자동으로 다운로드되기 시작합니다. 컴퓨터의 위치에 파일을 저장합니다.

선택적으로, 배포 안내서 열기를 클릭하여 이 안내서의 이후 버전을 사용할 수 있는지 확인합니다.

HDS 호스트에 대한 구성 ISO 만들기

하이브리드 데이터 보안 설정 프로세스는 ISO 파일을 만듭니다. 그런 다음 ISO를 사용하여 하이브리드 데이터 보안 호스트를 구성합니다.

시작하기 전에

설명	변수
인증되지 않은 HTTP 프록시	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
인증되지 않은 HTTPS 프록시	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
인증된 HTTP 프록시	`GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
인증된 HTTPS 프록시	`GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

생성하는 구성 ISO 파일에는 PostgreSQL 또는 Microsoft SQL Server 데이터베이스를 암호화하는 마스터 키가 포함되어 있습니다. 다음과 같이 구성을 변경할 때마다 이 파일의 최신 복사본이 필요합니다.
- 데이터베이스 자격 증명
- 인증서 업데이트
- 인증 정책 변경
데이터베이스 연결을 암호화하려는 경우 TLS에 대한 PostgreSQL 또는 SQL Server 배포를 설정합니다.

머신의 명령줄에 사용자 환경에 적합한 명령을 입력합니다.

일반 환경:

docker rmi ciscocitg/hds-setup:stable

FedRAMP 환경:

docker rmi ciscocitg/hds-setup-fedramp:stable

이 단계에서는 이전 HDS 설정 도구 이미지를 정리합니다. 이전 이미지가 없는 경우 무시할 수 있는 오류를 반환합니다.

Docker 이미지 레지스트리에 로그인하려면 다음을 입력합니다.

docker login -u hdscustomersro

비밀번호 프롬프트에 이 해시를 입력합니다.

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

사용자 환경에 맞는 최신 안정 이미지를 다운로드합니다.

일반 환경:

docker pull ciscocitg/hds-setup:stable

FedRAMP 환경:

docker pull ciscocitg/hds-setup-fedramp:stable

풀이 완료되면 사용자 환경에 적합한 명령을 입력합니다.

프록시가 없는 일반 환경:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

HTTP 프록시가 있는 일반 환경:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

HTTPS 프록시가 있는 일반 환경:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

프록시가 없는 FedRAMP 환경:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

HTTP 프록시가 있는 FedRAMP 환경:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

HTTPS 프록시가 있는 FedRAMP 환경:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

컨테이너가 실행 중일 때 "포트 8080에서 수신하는 Express 서버"가 표시됩니다.

설정 도구는 http://localhost:8080을 통해 localhost에 연결하는 것을 지원하지 않습니다. http://127.0.0.1:8080을(를) 사용하여 로컬 호스트에 연결합니다.

웹 브라우저를 사용하여 localhost로 이동하고, http://127.0.0.1:8080(으)로 이동하고 프롬프트에서 Control Hub에 대한 고객 관리 사용자 이름을 입력합니다.

이 도구는 사용자 이름의 첫 번째 항목을 사용하여 해당 계정에 적합한 환경을 설정합니다. 그런 다음 도구는 표준 로그인 프롬프트를 표시합니다.

설정 도구 개요 페이지에서 시작하기를 클릭합니다.

ISO 가져오기 페이지에서 다음 옵션이 나타납니다.

아니요—첫 번째 HDS 노드를 생성하는 경우 업로드할 ISO 파일이 없습니다.
예—HDS 노드를 이미 만든 경우 찾아보기에서 ISO 파일을 선택하고 업로드합니다.

X.509 인증서가 X.509 인증서 요구 사항의 요구 사항을 충족하는지 확인하십시오.

이전에 인증서를 업로드한 적이 없는 경우, X.509 인증서를 업로드하고 비밀번호를 입력한 후 계속을 클릭합니다.
인증서가 괜찮은 경우, 계속을 클릭합니다.
인증서가 만료되었거나 교체하려는 경우, 이전 ISO의 HDS 인증서 체인 및 비공개 키를 사용하여 계속 사용하려면 아니요를 선택하십시 오.. 새로운 X.509 인증서를 업로드하고 비밀번호를 입력한 후 계속을 클릭합니다.

HDS에 대한 데이터베이스 주소 및 계정을 입력하여 키 데이터스토어에 액세스합니다.

데이터베이스 유형(PostgreSQL 또는 Microsoft SQL Server)을 선택합니다.

Microsoft SQL Server를 선택하면 인증 유형 필드가 표시됩니다.
(Microsoft SQL Server만 해당) 인증 유형 선택:
- 기본 인증: 사용자 이름 필드에 로컬 SQL Server 계정 이름이 필요합니다.
- Windows 인증: 형식으로 Windows 계정이 필요합니다. username@DOMAIN사용자 이름 필드에 있습니다.
데이터베이스 서버 주소를 양식에 입력합니다. <hostname>:<port> 또는 <IP-address>:<port>.

예:
dbhost.example.org:1433 또는 198.51.100.17:1433

노드가 DNS를 사용하여 호스트 이름을 확인할 수 없는 경우 기본 인증을 위해 IP 주소를 사용할 수 있습니다.

Windows 인증을 사용하는 경우, 정규화된 도메인 이름을 형식으로 입력해야 합니다. dbhost.example.org:1433
데이터베이스 이름을 입력합니다.
키 스토리지 데이터베이스에 모든 권한이 있는 사용자의 사용자 이름 및 암호를 입력합니다.

TLS 데이터베이스 연결 모드를 선택합니다.

모드

설명

원하는 TLS (기본 옵션)

TLS 필요

데이터베이스 서버에서 TLS를 협상할 수 있는 경우에만 HDS 노드를 연결합니다.

TLS 필요 및 인증서 서명자 확인

이 모드는 SQL Server 데이터베이스에 적용되지 않습니다.

데이터베이스 서버에서 TLS를 협상할 수 있는 경우에만 HDS 노드를 연결합니다.
TLS 연결을 설정한 후 노드는 데이터베이스 서버의 인증서 서명자를 데이터베이스 루트 인증서의 인증서 기관과 비교합니다. 해당 정보가 일치하지 않으면 노드는 연결을 끊습니다.

이 옵션에 대해 루트 인증서를 업로드하려면 드롭다운 아래에 있는 데이터베이스 루트 인증서 제어를 사용하십시오.

TLS 필요 및 인증서 서명자, 호스트 이름 확인

데이터베이스 서버에서 TLS를 협상할 수 있는 경우에만 HDS 노드를 연결합니다.
TLS 연결을 설정한 후 노드는 데이터베이스 서버의 인증서 서명자를 데이터베이스 루트 인증서의 인증서 기관과 비교합니다. 해당 정보가 일치하지 않으면 노드는 연결을 끊습니다.
노드는 서버 인증서의 호스트 이름이 데이터베이스 호스트 및 포트 필드의 호스트 이름과 일치하는지 확인합니다. 이름은 정확히 일치해야 하며, 그렇지 않으면 노드가 연결을 끊습니다.

이 옵션에 대해 루트 인증서를 업로드하려면 드롭다운 아래에 있는 데이터베이스 루트 인증서 제어를 사용하십시오.

시스템 로그 페이지에서 Syslogd 서버를 구성합니다.

syslog 서버 URL을 입력합니다.

서버가 HDS 클러스터의 노드에서 DNS 확인할 수 없는 경우 URL의 IP 주소를 사용합니다.

예:
udp://10.92.43.23:514 은(는) UDP 포트 514에서 Syslogd 호스트 10.92.43.23에 대한 로깅을 나타냅니다.
TLS 암호화를 사용하도록 서버를 설정한 경우 SSL 암호화에 대해 syslog 서버가 구성되었는지 확인하십시오..

이 확인란을 선택하는 경우, 다음과 같은 TCP URL을 입력해야 합니다. tcp://10.92.43.23:514.
syslog 레코드 종료 선택 드롭다운에서 ISO 파일에 적합한 설정을 선택합니다. 선택 또는 Newline이 Graylog 및 Rsyslog TCP에 사용됩니다.
- Null 바이트 -- \x00
- Newline -- \n—Graylog 및 Rsyslog TCP에 대해 이 옵션을 선택합니다.
계속을 클릭합니다.

app_datasource_connection_pool_maxSize: 10

서비스 계정 비밀번호 재설정 화면에서 계속을 클릭합니다.

ISO 파일 다운로드를 클릭합니다. 쉽게 찾을 수 있는 위치에 파일을 저장합니다.

로컬 시스템에서 ISO 파일의 백업 복사본을 만듭니다.

설정 도구를 종료하려면 다음을 입력합니다 CTRL+C.

다음에 수행할 작업

우리는 결코 이 열쇠의 사본을 가지고 있지 않으며, 당신이 그것을 잃으면 도울 수 없다.

HDS 호스트 OVA 설치

이 절차를 사용하여 OVA 파일에서 가상 머신을 만듭니다.

컴퓨터에서 VMware vSphere 클라이언트를 사용하여 ESXi 가상 호스트에 로그인합니다.

파일 > OVF 템플릿 배포를 선택합니다.

마법사에서 이전에 다운로드한 OVA 파일의 위치를 지정한 후 다음...

에 컴퓨팅 리소스 선택 페이지를 선택하고 대상 계산 리소스를 선택한 후 을 클릭합니다. 다음...

검증 확인이 실행됩니다. 완료되면 템플릿 세부 정보가 나타납니다.

템플릿 세부 사항을 확인한 후 다음을 클릭합니다.

에서 리소스 구성을 선택하도록 요청 받는 경우 설정 페이지, 를 클릭합니다. 4개 CPU을(를) 클릭한 후 다음...

에 스토리지 선택 페이지, 를 클릭합니다. 다음은(는) 기본 디스크 형식 및 VM 스토리지 정책을 수락합니다.

에 네트워크 선택 페이지에서 항목 목록에서 네트워크 옵션을 선택하여 VM에 원하는 연결을 제공합니다.

템플릿 사용자 정의 페이지에서 다음 네트워크 설정을 구성합니다.

호스트 이름 - 노드의 FQDN(호스트 이름 및 도메인) 또는 단일 단어 호스트 이름을 입력합니다.

X.509 인증서를 얻기 위해 사용한 도메인과 일치하도록 도메인을 설정하지 않아도 됩니다.
클라우드에 성공적으로 등록하려면 노드에 대해 설정한 FQDN 또는 호스트 이름에서 소문자만 사용하십시오. 현재 대문자 사용은 지원되지 않습니다.
FQDN의 총 길이는 64자를 초과하지 말아야 합니다.

IP 주소— 노드의 내부 인터페이스에 대한 IP 주소를 입력합니다.

노드에는 내부 IP 주소 및 DNS 이름이 있어야 합니다. DHCP는 지원되지 않습니다.
마스크—점 소수점 표기법에 서브넷 마스크 주소를 입력합니다. 예: 255.255.255.0.
게이트웨이—게이트웨이 IP 주소를 입력합니다. 게이트웨이는 다른 네트워크에 대한 액세스 포인트 역할을 하는 네트워크 노드입니다.
DNS 서버—도메인 이름을 숫자 IP 주소로 변환하는 작업을 처리하는 쉼표로 구분된 DNS 서버 목록을 입력합니다. (최대 4개의 DNS 항목이 허용됩니다.)
NTP 서버—조직에서 사용할 수 있는 조직의 NTP 서버 또는 다른 외부 NTP 서버를 입력합니다. 기본 NTP 서버가 모든 기업에서 작동하지 않을 수도 있습니다. 쉼표로 구분된 목록을 사용하여 여러 NTP 서버를 입력할 수도 있습니다.

동일한 서브넷 또는 VLAN에 모든 노드를 배포하여 클러스터의 모든 노드가 관리 목적으로 네트워크의 클라이언트에서 연결할 수 있도록 합니다.

원하는 경우 네트워크 설정 구성을 건너뛰고 하이브리드 데이터 보안 VM 설정 단계에 따라 노드 콘솔에서 설정을 구성할 수 있습니다.

OVA 배포 중에 네트워크 설정을 구성하는 옵션은 ESXi 6.5에서 테스트되었습니다. 해당 옵션은 이전 버전에서 사용할 수 없을 수도 있습니다.

노드 VM을 마우스 오른쪽 버튼으로 클릭한 다음 전원 > 전원 켜기.

하이브리드 데이터 보안 소프트웨어는 VM 호스트에 게스트로 설치됩니다. 이제 콘솔에 로그인하고 노드를 구성할 준비가 되었습니다.

문제 해결하기 추가 정보

하이브리드 데이터 보안 VM 설정

1	VMware vSphere 클라이언트에서 하이브리드 데이터 보안 노드 VM을 선택하고 콘솔 탭을 선택합니다. VM이 부팅되고 로그인 프롬프트가 나타납니다. 로그인 프롬프트가 표시되지 않는 경우엔 Enter를 누릅니다.
2	다음 기본 로그인 및 암호를 사용하여 로그인하고 자격 증명을 변경합니다. 로그인: `admin` 비밀번호: `cisco` 처음으로 VM에 로그인하기 때문에 관리자 암호를 변경해야 합니다.
3	HDS 호스트 OVA 설치에서 네트워크 설정을 이미 구성한 경우, 나머지 절차는 건너뜁니다. 그렇지 않으면, 주 메뉴에서 구성 편집 옵션을 선택합니다.
4	IP 주소, 마스크, 게이트웨이 및 DNS 정보로 정적 구성을 설정합니다. 노드에는 내부 IP 주소 및 DNS 이름이 있어야 합니다. DHCP는 지원되지 않습니다.
5	(선택 사항) 네트워크 정책과 일치하는 데 필요한 경우 호스트 이름, 도메인 또는 NTP 서버를 변경합니다. X.509 인증서를 얻기 위해 사용한 도메인과 일치하도록 도메인을 설정하지 않아도 됩니다.
6	네트워크 구성을 저장하고 VM을 재부팅하여 변경 사항을 적용합니다.

HDS 구성 ISO 업로드 및 장착

이 절차를 사용하여 HDS 설정 도구로 만든 ISO 파일에서 가상 머신을 구성합니다.

시작하기 전에

컴퓨터에서 ISO 파일을 업로드합니다.

VMware vSphere 클라이언트의 왼쪽 탐색 창에서 ESXi 서버를 클릭합니다.
구성 탭의 하드웨어 목록에서 스토리지를 클릭합니다.
데이터스토어 목록에서 VM의 데이터스토어를 마우스 오른쪽 버튼으로 클릭하고 데이터스토어 찾아보기를 클릭합니다.
파일 업로드 아이콘을 클릭한 다음 파일 업로드를 클릭합니다.
컴퓨터에서 ISO 파일을 다운로드한 위치를 찾아보고 열기를 클릭합니다.
업로드/다운로드 작업 경고를 수락하고 데이터스토어 대화 상자를 닫으려면 예를 클릭합니다.

ISO 파일을 마운트합니다.

VMware vSphere 클라이언트의 왼쪽 네비게이션 분할 창에서 VM을 오른쪽 클릭하고 설정 편집을 클릭합니다.
제한된 편집 옵션 경고를 수락하려면 확인을 클릭합니다.
클릭 CD/DVD Drive 1, 데이터스토어 ISO 파일에서 마운트할 옵션을 선택하고 구성 ISO 파일을 업로드한 위치를 찾습니다.
연결됨 및 전원을 켜고 연결을 확인하십시오.
변경 사항을 저장하고 가상 머신을 재부팅합니다.

다음에 수행할 작업

프록시 통합에 대해 HDS 노드 구성

시작하기 전에

지원되는 프록시 옵션의 개요는 프록시 지원을 참조하십시오.
프록시 서버 요구 사항

1	HDS 노드 설정 URL 입력 `https://[HDS Node IP or FQDN]/setup` 웹 브라우저에서 노드에 대해 설정한 관리 자격 증명을 입력한 후 로그인을 클릭합니다.
2	신뢰 저장소 및 프록시로 이동한 후 옵션을 선택합니다. 프록시 없음—프록시를 통합하기 전의 기본 옵션입니다. 인증서를 업데이트하지 않아도 됩니다. 투명 비-검사 프록시—노드가 특정 프록시 서버 주소를 사용하도록 구성되어 있지 않으며, 비-검사 프록시에서 작동하도록 변경할 것을 요구하지 않습니다. 인증서를 업데이트하지 않아도 됩니다. 투명 검사 프록시—노드가 특정 프록시 서버 주소를 사용하도록 구성되어 있지 않습니다. 하이브리드 데이터 보안 배포에서 HTTPS 구성을 변경하지 않아도 됩니다. 단, HDS 노드에 루트 인증서가 있어야 프록시를 신뢰할 수 있습니다. 일반적으로 검사 프록시는 IT가 어떤 웹사이트를 방문할 수 있는지 및 어떤 유형의 콘텐츠가 허용되는지에 대한 정책을 적용하기 위해 사용됩니다. 이러한 유형의 프록시는 모든 트래픽(HTTPS 포함)을 해독합니다. 명시적 프록시—명시적 프록시를 사용하여 클라이언트(HDS 노드)가 어떤 프록시 서버를 사용하는지, 이 옵션에서 다양한 인증 유형을 지원하는지 알 수 있습니다. 이 옵션을 선택한 후 다음 정보를 입력해야 합니다. 프록시 IP/FQDN—프록시 머신에 연결하기 위해 사용할 수 있는 주소입니다. 프록시 포트—프록시가 프록시된 트래픽을 탐지하기 위해 사용하는 포트 번호입니다. 프록시 프로토콜—http(클라이언트로부터 수신하는 모든 요청을 확인하고 제어) 또는 https(서버에 채널을 제공하고, 클라이언트는 서버의 인증서를 수신 및 검증)를 선택합니다. 프록시 서버가 지원하는 내용에 따라 옵션을 선택합니다. 인증 유형—다음 인증 유형 중에서 선택합니다. 없음—추가 인증이 필요하지 않습니다. HTTP 또는 HTTPS 프록시를 사용할 수 있습니다. 기본—요청을 제출할 때 HTTP 사용자 에이전트가 사용자 이름 및 비밀번호를 제공하기 위해 사용됩니다. Base64 인코딩을 사용합니다. HTTP 또는 HTTPS 프록시를 사용할 수 있습니다. 이 옵션을 선택하는 경우, 사용자 이름 및 비밀번호도 입력해야 합니다. 다이제스트—민감한 정보를 보내기 전에 계정을 확인하기 위해 사용됩니다. 네트워크를 통해 전송하기 전에 사용자 이름 및 비밀번호에 해시 기능을 적용합니다. HTTPS 프록시에 대해서만 사용할 수 있습니다. 이 옵션을 선택하는 경우, 사용자 이름 및 비밀번호도 입력해야 합니다. 투명 검사 프록시, 기본 인증이 포함된 HTTP 명시적 프록시 또는 HTTPS 명시적 프록시에 대해서는 다음 단계를 따르십시오.
3	루트 인증서 또는 최종 엔터티 인증서 업로드를 클릭한 후 탐색하여 프록시에 대한 루트 인증서를 선택합니다. 인증서가 업로드되었지만 아직 설치되지 않았습니다. 인증서를 설치하려면 노드를 재부팅해야 합니다. 인증서 발급자 이름 옆에 있는 갈매기 모양 화살표를 클릭하여 자세한 내용을 확인합니다. 실수가 있었거나 파일을 다시 업로드하려는 경우엔 삭제를 클릭합니다.
4	프록시 연결 확인을 클릭하여 노드와 프록시 간의 네트워크 연결을 테스트합니다. 연결 테스트에 실패하는 경우, 이유 및 문제를 해결할 수 있는 방법을 표시하는 오류 메시지가 나타납니다. 외부 DNS 확인에 실패했다는 메시지가 나타나면 노드가 DNS 서버에 연결하지 못한 것입니다. 이 조건은 다양한 명시적 프록시 구성에서 예상되는 작동입니다. 설정을 계속 진행할 수 있으며, 노드는 차단된 외부 DNS 확인 모드로 작동하게 됩니다. 이것이 오류라고 생각되면 다음 단계를 완료한 후 차단된 외부 DNS 확인 모드 끄기를 참조하십시오.
5	연결 테스트를 통과한 후 https로만 설정된 명시적 프록시에 대해 설정을 토글하여 이 노드의 모든 포트 443/444 https 요청을 명시적 프록시를 통해 라우팅합니다. 이 설정이 적용될 때까지 15초 정도 소요됩니다.
6	모든 인증서를 신뢰 저장소에 설치(HTTPS 명시적 프록시 또는 투명 검사 프록시에 대해 나타남) 또는 재부팅(HTTP 명시적 프록시에 대해 나타남)을 클릭하고 안내를 읽은 후 준비되었을 때 설치를 클릭합니다. 노드는 몇 분 내에 재부팅됩니다.
7	노드가 재부팅되면 필요에 따라 다시 로그인한 후 개요 페이지를 열어 연결을 확인하고 모두 녹색 상태인지 확인합니다. 프록시 연결 확인은 webex.com의 하위 도메인만 테스트합니다. 연결에 문제가 있는 경우, 설치 지시 사항에 나열된 일부 클라우드 도메인이 프록시에서 차단되는 것은 일반적인 문제입니다.

클러스터에 첫 번째 노드 등록

첫 번째 노드를 등록할 때 해당 노드가 지정된 클러스터를 만듭니다. 클러스터에는 중복성을 제공하기 위해 배포된 한 개 이상의 노드가 포함됩니다.

시작하기 전에

노드의 등록을 시작하면 60분 이내에 완료해야 합니다. 그렇지 않으면 처음부터 다시 시작해야 합니다.
브라우저에 있는 팝업 차단기가 비활성화되었는지 또는 admin.webex.com에 대한 예외를 허용하는지 확인합니다.

1	https://admin.webex.com에 로그인합니다.
2	화면의 왼쪽에 있는 메뉴에서 서비스를 선택합니다.
3	하이브리드 서비스 섹션에서 하이브리드 데이터 보안을 찾고 설정을 클릭합니다. 하이브리드 데이터 보안 노드 등록 페이지가 나타납니다.
4	예를 선택하여 노드를 설정했으며 등록할 준비가 되었음을 표시한 후 다음을 클릭합니다.
5	첫 번째 필드에서 하이브리드 데이터 보안 노드를 할당할 클러스터의 이름을 입력합니다. 지리적으로 클러스터의 노드가 위치한 장소에 기반하여 클러스터의 이름을 지정할 것을 권장합니다. 예: "샌프란시스코" 또는 "뉴욕" 또는 "달라스"
6	두 번째 필드에 노드의 내부 IP 주소 또는 FQDN(Fully Qualified Domain Name)을 입력하고 다음을 클릭합니다. 이 IP 주소 또는 FQDN은 하이브리드 데이터 보안 VM 설정에서 사용한 IP 주소 또는 호스트 이름 및 도메인과 일치해야 합니다. 노드를 Webex에 등록할 수 있음을 나타내는 메시지가 나타납니다.
7	노드로 이동을 클릭합니다.
8	경고 메시지에서 계속을 클릭합니다. 잠시 후에 Webex 서비스에 대한 노드 연결 테스트로 리디렉션됩니다. 모든 테스트에 성공하면 하이브리드 데이터 보안 노드에 대한 액세스 허용 페이지가 나타납니다. 여기에서 노드에 액세스할 수 있는 권한을 Webex 조직에 부여하고자 하는지 확인합니다.
9	하이브리드 데이터 보안 노드에 액세스 허용 확인란을 선택한 후 계속을 클릭합니다. 계정의 유효성이 검증되고 "등록 완료" 메시지는 이제 노드가 Webex 클라우드에 등록되었음을 나타냅니다.
10	링크를 클릭하거나 탭을 닫아 Control Hub 하이브리드 데이터 보안 페이지로 돌아갑니다. 하이브리드 데이터 보안 페이지에서 등록한 노드가 포함된 새로운 클러스터가 표시됩니다. 노드는 클라우드에서 최신 소프트웨어를 자동으로 다운로드합니다.

추가 노드 만들기 및 등록

시작하기 전에

노드의 등록을 시작하면 60분 이내에 완료해야 합니다. 그렇지 않으면 처음부터 다시 시작해야 합니다.
브라우저에 있는 팝업 차단기가 비활성화되었는지 또는 admin.webex.com에 대한 예외를 허용하는지 확인합니다.

1	OVA에서 새로운 가상 머신을 만들고, HDS 호스트 OVA 설치의 단계를 반복합니다.
2	새로운 VM에 초기 구성을 설정하고 하이브리드 데이터 보안 VM 설정의 단계를 반복합니다.
3	새로운 VM에서 HDS 구성 ISO 업로드 및 마운트의 단계를 반복합니다.
4	배포를 위한 프록시를 설정하는 경우, 새 노드에 대해 필요에 따라 프록시 통합을 위한 HDS 노드 구성의 단계를 반복합니다.
5	노드를 등록합니다. https://admin.webex.com의 화면 왼쪽에 있는 메뉴에서 서비스를 선택합니다. 하이브리드 서비스 섹션에서 하이브리드 데이터 보안 카드를 찾아 리소스를 클릭합니다. 하이브리드 데이터 보안 리소스 페이지가 나타납니다. 리소스 추가를 클릭합니다. 첫 번째 필드에서 기존 클러스터의 이름을 선택합니다. 두 번째 필드에 노드의 내부 IP 주소 또는 FQDN(Fully Qualified Domain Name)을 입력하고 다음을 클릭합니다. 노드를 Webex 클라우드에 등록할 수 있음을 나타내는 메시지가 나타납니다. 노드로 이동을 클릭합니다. 잠시 후에 Webex 서비스에 대한 노드 연결 테스트로 리디렉션됩니다. 모든 테스트에 성공하면 하이브리드 데이터 보안 노드에 대한 액세스 허용 페이지가 나타납니다. 여기에서 귀하의 노드에 액세스할 수 있는 권한을 조직에 부여하고자 하는지 확인합니다. 하이브리드 데이터 보안 노드에 액세스 허용 확인란을 선택한 후 계속을 클릭합니다. 계정의 유효성이 검증되고 "등록 완료" 메시지는 이제 노드가 Webex 클라우드에 등록되었음을 나타냅니다. 링크를 클릭하거나 탭을 닫아 Control Hub 하이브리드 데이터 보안 페이지로 돌아갑니다. 노드가 등록되었습니다. 평가판을 시작할 때까지 노드는 서비스가 아직 활성화되지 않았음을 나타내는 알람을 생성합니다.

다음에 수행할 작업

평가판을 실행하고 프로덕션으로 이동

프로덕션 작업 흐름 평가판

시작하기 전에

1	해당하는 경우, `HdsTrialGroup` 그룹 개체. 조직에서 사용자에 대해 디렉터리 동기화를 사용하는 경우, `HdsTrialGroup` 평가판을 시작하기 전에 클라우드에 동기화를 위한 그룹 개체. 지침은 Cisco 디렉터리 커넥터의 배포 안내서를 참조하십시오.
2	평가판 활성화 실험을 시작하세요. 이 작업을 수행할 때까지 노드는 서비스가 아직 활성화되지 않았음을 나타내는 알람을 생성합니다.
3	하이브리드 데이터 보안 배포 테스트 주요 요청이 하이브리드 데이터 보안 배포로 전달되고 있는지 확인합니다.
4	하이브리드 데이터 보안 상태 모니터링 상태를 확인하고 알람에 대한 이메일 알림을 설정합니다.
5	평가판에서 사용자 추가 또는 제거
6	다음 작업 중 하나로 평가판 단계를 완료합니다. 평가판에서 프로덕션으로 이동 프로덕션으로 이동하지 않고 평가판 종료

평가판 활성화

시작하기 전에

1	https://admin.webex.com에 로그인한 후 서비스를 선택합니다.
2	하이브리드 데이터 보안 아래에서 설정을 클릭합니다.
3	서비스 상태 섹션에서 평가판 시작을 클릭합니다. 서비스 상태가 평가판 모드로 변경됩니다.
4	암호화 및 인덱싱 서비스를 위해 하이브리드 데이터 보안 노드를 사용하여 파일럿할 사용자 추가를 클릭하고 한 명 이상의 사용자의 이메일 주소를 입력합니다. (조직에서 디렉터리 동기화를 사용하는 경우, Active Directory를 사용하여 평가판 그룹을 관리합니다. `HdsTrialGroup`.)

하이브리드 데이터 보안 배포 테스트

이 절차를 사용하여 하이브리드 데이터 보안 암호화 시나리오를 테스트합니다.

시작하기 전에

하이브리드 데이터 보안 배포를 설정합니다.
평가판을 활성화하고 여러 평가판 사용자를 추가합니다.
키 요청이 하이브리드 데이터 보안 배포로 전달되고 있는지 확인하려면 syslog에 액세스할 수 있는지 확인하십시오.

새 스페이스에 메시지를 보냅니다.

syslog 출력을 확인하여 키 요청이 하이브리드 데이터 보안 배포에 전달되고 있는지 확인합니다.

다음과 같은 항목을 찾아야 합니다(가독성을 위해 식별자가 단축됨).

2020-07-21 17:35:34.562 (+0000) INFO  KMS [pool-14-thread-1] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, 
kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

KMS에서 기존 키를 요청하는 사용자를 확인하려면 kms.data.method=retrieve 선택하십시오. kms.data.type=KEY:

다음과 같은 항목을 찾을 수 있습니다.

2020-07-21 17:44:19.889 (+0000) INFO  KMS [pool-14-thread-31] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, 
kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, 
kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

새로운 KMS 키 생성을 요청하는 사용자를 확인하려면 다음을 필터링하십시오. kms.data.method=create 선택하십시오. kms.data.type=KEY_COLLECTION:

다음과 같은 항목을 찾을 수 있습니다.

2020-07-21 17:44:21.975 (+0000) INFO  KMS [pool-14-thread-33] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, 
kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, 
kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

다음과 같은 항목을 찾을 수 있습니다.

2020-07-21 17:44:22.808 (+0000) INFO  KMS [pool-15-thread-1] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

하이브리드 데이터 보안 상태 모니터링

1	Control Hub에서 화면 왼쪽에 있는 메뉴에서 서비스를 선택합니다.
2	하이브리드 서비스 섹션에서 하이브리드 데이터 보안을 찾고 설정을 클릭합니다. 하이브리드 데이터 보안 설정 페이지가 나타납니다.
3	이메일 알림 섹션에서 콤마로 구분하여 하나 이상의 이메일 주소를 입력하고 Enter를 누릅니다.

평가판에서 사용자 추가 또는 제거

평가판을 활성화하고 평가판 사용자의 초기 집합을 추가한 후 평가판이 활성화된 동안 언제든지 평가판 멤버를 추가하거나 제거할 수 있습니다.

1	Control Hub에 로그인한 후 서비스를 선택합니다.
2	하이브리드 데이터 보안 아래에서 설정을 클릭합니다.
3	서비스 상태 영역의 평가판 모드 섹션에서 사용자 추가를 클릭하거나 보기 및 편집을 클릭하여 평가판에서 사용자를 제거합니다.
4	추가할 한 명 이상의 사용자의 이메일 주소를 입력하거나, 사용자 ID로 X를 클릭하여 평가판에서 사용자를 제거합니다. 그 후 저장을 클릭합니다.

평가판에서 프로덕션으로 이동

1	Control Hub에 로그인한 후 서비스를 선택합니다.
2	하이브리드 데이터 보안 아래에서 설정을 클릭합니다.
3	서비스 상태 섹션에서 생산으로 이동을 클릭합니다.
4	모든 사용자를 프로덕션으로 이동하고자 하는지 확인합니다.

프로덕션으로 이동하지 않고 평가판 종료

1	Control Hub에 로그인한 후 서비스를 선택합니다.
2	하이브리드 데이터 보안 아래에서 설정을 클릭합니다.
3	비활성화 섹션에서 비활성화를 클릭합니다.
4	서비스를 비활성화하고 평가판을 종료할지 확인합니다.

HDS 구축 관리

여기에 설명된 작업을 사용하여 하이브리드 데이터 보안 배포를 관리합니다.

클러스터 업그레이드 일정 설정

업그레이드 일정을 설정하려면:

1	Control Hub에 로그인합니다.
2	개요 페이지의 하이브리드 서비스 아래에서 하이브리드 데이터 보안을 선택합니다.
3	하이브리드 데이터 보안 리소스 페이지에서 클러스터를 선택합니다.
4	오른쪽의 개요 목록에서 클러스터 설정 아래에서 클러스터 이름을 선택합니다.
5	설정 페이지에 있는 업그레이드 아래에서 업그레이드 예약에 대한 시간 및 시간대를 선택합니다. 참고: 시간대 아래에 다음 사용 가능한 업그레이드 날짜 및 시간이 표시됩니다. 필요한 경우엔 연기를 클릭하여 업그레이드를 다음 날로 연기할 수 있습니다.

노드 구성 변경

경우에 따라 다음과 같은 이유로 하이브리드 데이터 보안 노드의 구성을 변경해야 할 수도 있습니다.

만료 또는 기타 이유로 인해 x.509 인증서 변경.

인증서의 CN 도메인 이름 변경을 지원하지 않습니다. 도메인은 클러스터에 등록하기 위해 사용된 원래 도메인과 일치해야 합니다.

PostgreSQL 또는 Microsoft SQL Server 데이터베이스의 복제본으로 변경하도록 데이터베이스 설정 업데이트.

새 데이터 센터를 준비하기 위해 새 구성 생성.

소프트 재설정—이전 비밀번호 및 새 비밀번호는 모두 최대 10일 동안 유효합니다. 이 기간을 사용하여 노드에서 ISO 파일을 점진적으로 교체합니다.
하드 재설정—이전 비밀번호가 즉시 무효하게 됩니다.

비밀번호가 재설정 없이 만료되는 경우 HDS 서비스에 영향을 미치므로 즉시 하드 재설정을 수행하고 모든 노드에서 ISO 파일을 교체해야 합니다.

새 구성 ISO 파일을 생성하고 클러스터에 적용하려면 이 절차를 따르십시오.

시작하기 전에

설명	변수
인증되지 않은 HTTP 프록시	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
인증되지 않은 HTTPS 프록시	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
인증된 HTTP 프록시	`GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
인증된 HTTPS 프록시	`GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

새 구성을 생성하려면 현재 구성 ISO 파일의 사본이 필요합니다. ISO에는 PostgreSQL 또는 Microsoft SQL Server 데이터베이스를 암호화하는 마스터 키가 포함되어 있습니다. 데이터베이스 자격 증명, 인증서 업데이트 또는 인증 정책 변경을 포함하여 구성을 변경할 때 ISO가 필요합니다.

로컬 머신에서 Docker를 사용하여 HDS 설정 도구를 실행합니다.

머신의 명령줄에 사용자 환경에 적합한 명령을 입력합니다.

일반 환경:

docker rmi ciscocitg/hds-setup:stable

FedRAMP 환경:

docker rmi ciscocitg/hds-setup-fedramp:stable

이 단계에서는 이전 HDS 설정 도구 이미지를 정리합니다. 이전 이미지가 없는 경우 무시할 수 있는 오류를 반환합니다.

Docker 이미지 레지스트리에 로그인하려면 다음을 입력합니다.
```
docker login -u hdscustomersro
```
비밀번호 프롬프트에 이 해시를 입력합니다.
```
dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
```

사용자 환경에 맞는 최신 안정 이미지를 다운로드합니다.

일반 환경:

docker pull ciscocitg/hds-setup:stable

FedRAMP 환경:

docker pull ciscocitg/hds-setup-fedramp:stable

이 절차에 대해 최신 설정 도구를 사용하고 있는지 확인하십시오. 2018년 2월 22일 이전에 생성된 도구의 버전에는 비밀번호 재설정 화면이 없습니다.

풀이 완료되면 사용자 환경에 적합한 명령을 입력합니다.

프록시가 없는 일반 환경:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

HTTP 프록시가 있는 일반 환경:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

HTTPS 프록시가 있는 일반 환경:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

프록시가 없는 FedRAMP 환경:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

HTTP 프록시가 있는 FedRAMP 환경:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

HTTPS 프록시가 있는 FedRAMP 환경:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

컨테이너가 실행 중일 때 "포트 8080에서 수신하는 Express 서버"가 표시됩니다.

브라우저를 사용하여 로컬 호스트 에 연결합니다. http://127.0.0.1:8080.

설정 도구는 http://localhost:8080을 통해 localhost에 연결하는 것을 지원하지 않습니다. http://127.0.0.1:8080을(를) 사용하여 로컬 호스트에 연결합니다.

메시지가 표시되면 Control Hub 고객 로그인 자격 증명을 입력한 후 수락을 클릭하여 계속합니다.
현재 구성 ISO 파일을 가져옵니다.
안내에 따라 도구를 완료하고 업데이트된 파일을 다운로드합니다.

설정 도구를 종료하려면 다음을 입력합니다 CTRL+C.
다른 데이터 센터에서 업데이트된 파일의 백업 복사본을 만듭니다.

HDS 호스트 OVA를 설치합니다.
HDS VM을 설정합니다.
업데이트된 구성 파일을 마운트합니다.
Control Hub에서 새 노드를 등록합니다.

가상 머신의 전원을 끕니다.
VMware vSphere 클라이언트의 왼쪽 네비게이션 분할 창에서 VM을 오른쪽 클릭하고 설정 편집을 클릭합니다.
클릭 CD/DVD Drive 1 CD/DVD 드라이브 1을 클릭하고 ISO 파일에서 마운트하기 위한 옵션을 선택한 후 새 구성 ISO 파일을 다운로드한 위치를 찾습니다.
시동될 때 연결을 체크합니다.
변경 사항을 저장하고 가상 머신의 전원을 켭니다.

이전 구성을 실행하고 있는 나머지 각 노드에서 구성을 바꾸려면 3 단계를 반복하십시오.

차단된 외부 DNS 확인 모드 끄기

노드에서 내부 DNS 서버를 통해 공용 DNS 이름을 확인할 수 있는 경우, 각 노드에서 프록시 연결 테스트를 다시 실행하여 이 모드를 끌 수 있습니다.

시작하기 전에

내부 DNS 서버가 공용 DNS 이름을 확인할 수 있으며, 노드가 해당 서버와 통신할 수 있는지 확인합니다.

1	웹 브라우저에서 하이브리드 데이터 보안 노드 인터페이스(예: https://192.0.2.0/setup), IP 주소/설정)를 열고 노드에 대해 설정한 관리 자격 증명을 입력한 후 로그인을 클릭합니다.
2	개요 (기본 페이지)로 이동합니다. 활성화되면 차단된 외부 DNS 확인이 예로 설정됩니다.
3	신뢰 저장소 및 프록시 페이지로 이동합니다.
4	프록시 연결 확인을 클릭합니다. 외부 DNS 확인에 실패했다는 메시지가 나타나면 노드가 DNS 서버에 연결하지 못한 것이며, 이 모드에서 유지됩니다. 그렇지 않은 경우, 노드를 재부팅하고 개요 페이지로 돌아가면 차단된 외부 DNS 확인은 아니요로 설정됩니다.

다음에 수행할 작업

하이브리드 데이터 보안 클러스터의 각 노드에서 프록시 연결 테스트를 반복합니다.

노드 제거

컴퓨터의 VMware vSphere 클라이언트를 사용하여 ESXi 가상 호스트에 로그인하고 가상 머신의 전원을 끕니다.

노드 제거:

Control Hub에 로그인한 후 서비스를 선택합니다.
하이브리드 데이터 보안 카드에서 하이브리드 데이터 보안 리소스 페이지를 표시하려면 모두 보기를 클릭합니다.
클러스터를 선택하여 개요 목록을 표시합니다.
노드 목록 열기를 클릭합니다.
노드 탭에서 제거할 노드를 선택합니다.
를 클릭합니다. 작업 > 노드 등록 해제.

vSphere 클라이언트에서 VM을 삭제합니다. (왼쪽 탐색 창에서 VM을 마우스 오른쪽 버튼으로 클릭하고 삭제를 클릭합니다.)

VM을 삭제하지 않는 경우 구성 ISO 파일을 마운트 해제해야 합니다. ISO 파일이 없으면 VM을 사용하여 보안 데이터에 액세스할 수 없습니다.

대기 데이터 센터를 사용한 재해 복구

재해로 인해 기본 데이터 센터에서 HDS 배포를 사용할 수 없게 되는 경우 이 절차를 따라 대기 데이터 센터로 수동으로 장애 조치합니다.

HDS 설정 도구를 시작하고 HDS 호스트에 대한 구성 ISO 만들기에 설명된 단계를 따릅니다.

Syslogd 서버를 구성한 후 고급 설정을 클릭합니다.

고급 설정 페이지에서 아래 구성을 추가하거나 passiveMode 노드를 활성화하도록 구성합니다. 노드가 구성되면 트래픽을 처리할 수 있습니다.


passiveMode: 'false'

구성 프로세스를 완료하고 찾기 쉬운 위치에 ISO 파일을 저장합니다.

VMware vSphere 클라이언트의 왼쪽 탐색 창에서 VM을 마우스 오른쪽 버튼으로 클릭하고 설정 편집을 클릭합니다..

설정 편집 >CD/DVD 드라이브 1을 클릭하고 데이터스토어 ISO 파일을 선택합니다.

노드를 시작한 후에 업데이트된 구성 변경 사항이 적용될 수 있도록 Connected 및 Connect at power on이(가) 선택되었는지 확인하십시오.

HDS 노드의 전원을 켜고 최소 15분 동안 경보가 울리지 않도록 합니다.

대기 데이터 센터의 모든 노드에 대해 프로세스를 반복합니다.

syslog 출력을 확인하여 대기 데이터 센터의 노드가 패시브 모드가 아는지 확인합니다. "패시브 모드로 구성된 KMS"는 syslog에 표시되지 않아야 합니다.

다음에 수행할 작업

(선택 사항) HDS 구성 후 ISO 마운트 해제

시작하기 전에

모든 HDS 노드를 버전 2021.01.22.4720 이상으로 업그레이드합니다.

1	HDS 노드 중 하나를 종료합니다.
2	vCenter Server Appliance에서 HDS 노드를 선택합니다.
3	선택 설정 > CD/DVD 드라이브를 편집하고 데이터 저장소 ISO 파일을 선택 취소합니다.
4	HDS 노드의 전원을 켜고 최소 20분 동안 경보가 울리지 않도록 합니다.
5	각 HDS 노드에 대해 차례로 반복합니다.

하이브리드 데이터 보안 문제 해결하기

경고 보기 및 문제 해결하기

새 스페이스를 만들 수 없음(새 키를 만들 수 없음)
메시지 및 스페이스 제목이 해독되지 않음:
- 스페이스에 새로운 사용자가 추가됨(키를 가져올 수 없음)
- 새로운 클라이언트를 사용하여 스페이스에 있는 기존의 사용자(키를 가져올 수 없음)
클라이언트가 암호화 키의 캐시를 갖고 있는 한 스페이스에 있는 기존의 사용자는 계속 성공적으로 실행됩니다.

서비스가 중단되지 않도록 하이브리드 데이터 보안 클러스터를 올바르게 모니터링하고 즉시 알림을 처리하는 것이 중요합니다.

경고

표 1. 일반적인 문제 및 해결 단계
경고	작업
로컬 데이터베이스 액세스 실패.	데이터베이스 오류 또는 로컬 네트워크 문제를 확인합니다.
로컬 데이터베이스 연결 실패.	데이터베이스 서버를 사용할 수 있는지 확인하고 노드 구성에 올바른 서비스 계정 자격 증명이 사용되었는지 확인합니다.
클라우드 서비스 액세스 실패.	외부 연결 요구 사항에 지정된 대로 노드가 Webex 서버에 액세스할 수 있는지 확인합니다.
클라우드 서비스 등록 갱신.	클라우드 서비스에 대한 등록이 삭제되었습니다. 등록 갱신이 진행 중입니다.
클라우드 서비스 등록이 끊겼습니다.	클라우드 서비스에 대한 등록이 종료되었습니다. 서비스가 종료되고 있습니다.
서비스가 아직 활성화되지 않았습니다.	평가판을 활성화하거나, 평가판을 프로덕션으로 이동하는 작업을 마칩니다.
구성된 도메인이 서버 인증서와 일치하지 않습니다.	서버 인증서가 구성된 서비스 활성화 도메인과 일치하는지 확인합니다. 가장 큰 원인은 인증서 CN이 최근에 변경되었으며 이제 초기 설정 중에 사용된 CN과 다르다는 것입니다.
클라우드 서비스를 인증하지 못했습니다.	서비스 계정 자격 증명의 정확성 및 가능한 만료 여부를 확인합니다.
로컬 키 저장소 파일을 열지 못했습니다.	로컬 키 저장소 파일에서 무결성 및 암호 정확도를 확인합니다.
로컬 서버 인증서가 유효하지 않습니다.	서버 인증서의 만료 날짜를 확인하고 신뢰할 수 있는 인증 기관에서 발급했는지 확인합니다.
메트릭을 게시할 수 없음.	외부 클라우드 서비스에 대한 로컬 네트워크 액세스를 확인합니다.
/media/configdrive/hds 디렉토리가 없습니다.	가상 호스트에서 ISO 마운트 구성을 확인합니다. ISO 파일이 존재하는지, 재부팅 시 마운트하도록 구성되었는지, 성공적으로 마운트되는지 확인합니다.

하이브리드 데이터 보안 문제 해결하기

하이브리드 데이터 보안의 문제를 해결할 때 다음 일반 지침을 사용하십시오.

1	알림에 대해 Control Hub를 검토하고 발견한 항목을 수정합니다.
2	하이브리드 데이터 보안 배포에서 활동에 대한 syslog 서버 출력을 검토합니다.
3	Cisco 고객 지원에 문의하십시오.

기타 메모

하이브리드 데이터 보안의 알려진 문제

(Control Hub에서 삭제하거나 모든 노드를 종료하여) 하이브리드 데이터 보안 클러스터를 종료하거나, 구성 ISO 파일을 잃거나, 키 저장소 데이터베이스에 대한 액세스를 잃는 경우, KMS에서 키로 생성된 사용자 목록 아래에서 Webex 앱 사용자는 더 이상 스페이스를 사용할 수 없습니다. 이는 평가판 및 프로덕션 배포 모두에 적용됩니다. 현재 이 문제에 대한 해결 방법이나 수정 사항이 없으며, 활동 중인 사용자 계정을 처리하는 동안 HDS 서비스를 종료하지 말 것을 권장합니다.
KMS에 대한 기존 ECDH 연결이 있는 클라이언트는 일정 기간(1시간 정도) 동안 연결을 유지합니다. 사용자가 하이브리드 데이터 보안 평가판의 멤버가 되면 사용자의 클라이언트는 시간이 초과될 때까지 기존의 ECDH 연결을 계속 사용합니다. 또는 사용자는 Webex 앱 앱에 로그아웃하고 다시 로그인하여 앱이 암호화 키에 대해 연락하는 위치를 업데이트할 수도 있습니다.

조직에 대해 평가판을 프로덕션으로 이동할 때 동일한 동작이 발생합니다. 이전 데이터 보안 서비스에 대한 기존의 ECDH 연결을 사용하는 평가판 외의 모든 사용자는 ECDH 연결이 재협상될 때까지(시간 초과 또는 로그아웃하고 다시 로그인할 때까지) 해당 서비스를 계속 사용합니다.

OpenSSL을 사용하여 PKCS12 파일 생성

시작하기 전에

OpenSSL은 PKCS12 파일을 HDS 설정 도구에 로드하기 위한 적절한 형식으로 만드는 데 사용할 수 있는 도구 중 하나입니다. 다른 방법이 있는데, 우리는 다른 방법을 지지하거나 홍보하지 않습니다.
OpenSSL을 사용하기로 선택하는 경우, 이 절차를 X.509 인증서 요구 사항에서 X.509 인증서 요구 사항을 충족하는 파일을 만드는 데 도움이 되는 지침으로 제공하고 있습니다. 계속하기 전에 이러한 요구 사항을 이해하십시오.
지원되는 환경에 OpenSSL을 설치합니다. 소프트웨어 및 설명서는 https://www.openssl.org를 참조하십시오.
개인 키를 만듭니다.
CA(Certificate Authority)에서 서버 인증서를 수신하면 이 절차를 시작합니다.

1	CA에서 서버 인증서를 수신하면 다음과 같이 저장합니다. `hdsnode.pem`.
2	인증서를 텍스트로 표시하고 세부 사항을 확인합니다. `openssl x509 -text -noout -in hdsnode.pem`
3	텍스트 편집기를 사용하여 인증서 번들 파일을 생성합니다. `hdsnode-bundle.pem`. 번들 파일에는 서버 인증서, 모든 중간 CA 인증서 및 루트 CA 인증서가 아래 형식으로 포함되어야 합니다. `-----BEGIN CERTIFICATE----- ### Server certificate. ### -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ### Intermediate CA certificate. ### -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ### Root CA certificate. ### -----END CERTIFICATE-----`
4	친숙한 이름으로 .p12 파일 만들기 `kms-private-key`. `openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12`
5	서버 인증서 세부 사항을 확인합니다. `openssl pkcs12 -in hdsnode.p12` 프롬프트에서 비밀번호를 입력하여 개인 키를 암호화하여 출력에 나열합니다. 그런 다음 개인 키 및 첫 번째 인증서에 회선이 포함되어 있는지 확인합니다. `friendlyName: kms-private-key`. 예: bash$ openssl pkcs12 -in hdsnode.p12 Enter Import Password: MAC verified OK Bag Attributes friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Key Attributes: <No Attributes> Enter PEM pass phrase: Verifying - Enter PEM pass phrase: -----BEGIN ENCRYPTED PRIVATE KEY----- <redacted> -----END ENCRYPTED PRIVATE KEY----- Bag Attributes friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 -----BEGIN CERTIFICATE----- <redacted> -----END CERTIFICATE----- Bag Attributes friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3 -----BEGIN CERTIFICATE----- <redacted> -----END CERTIFICATE-----

다음에 수행할 작업

원본 인증서가 만료되면 해당 파일을 다시 사용하여 새 인증서를 요청할 수 있습니다.

HDS 노드와 클라우드 간의 트래픽

아웃바운드 메트릭 수집 트래픽

인바운드 교통

하이브리드 데이터 보안 노드는 Webex 클라우드에서 다음 유형의 인바운드 트래픽을 수신합니다.

암호화 서비스에 의해 라우팅되는 클라이언트의 암호화 요청
노드 소프트웨어로 업그레이드

하이브리드 데이터 보안에 대해 Squid 프록시 구성

웹 소켓은 Squid 프록시를 통해 연결할 수 없음

Squid 4 및 5

추가 on_unsupported_protocol 지시 사항 squid.conf:

on_unsupported_protocol tunnel all

Squid 3.5.27

acl wssMercuryConnection ssl::server_name_regex mercury-connection

ssl_bump splice wssMercuryConnection

acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all

서문

신규 및 변경된 정보

날짜

변경 사항

2023년 10월 20일

데이터베이스 서버 요구 사항에서 정보를 업데이트했습니다.
재해 복구를 위한 대기 데이터 센터 설정을 추가했습니다.
대기 데이터 센터를 사용하여 재해 복구를 위한 대기 데이터 센터 및 재해 복구에 대한 정보 업데이트.

2023년 8월 7일

설치 파일 다운로드에 메모를 추가했습니다.
HDS 호스트에 대한 구성 ISO 만들기 및 노드 구성 변경에 메모를 추가했습니다.

2023년 5월 23일

계정 팀에 연락하여 기능을 활성화하도록 요청하는 데이터베이스 서버 요구 사항에서 정보를 삭제했습니다.
외부 연결 요구 사항에서 정보를 업데이트하고 CI 호스트 테이블에 캐나다를 추가했습니다.
키를 클라우드로 다시 이동하는 메커니즘의 가용성 해제에 관한 하이브리드 데이터 보안 배포에 대한 기대치에 메모를 추가했습니다.

2022년 12월 06일

이제 HDS 설정 도구 이미지가 다음 위치에서 호스트됩니다. ciscocitg 도커허브 리포지토리.
업데이트된 HDS 호스트에 대한 구성 ISO 만들기 및 노드 구성 주제를 변경하여 명령의 변경 사항을 다시 적용합니다.

2022년 11월 23일

이제 HDS 노드는 Microsoft SQL Server에 대한 Windows 인증을 사용할 수 있습니다.

이 인증 모드에 대한 추가 요구 사항으로 데이터베이스 서버 요구 사항 주제를 업데이트했습니다.

노드에서 Windows 인증을 구성하는 절차를 사용하여 HDS 호스트에 대한 구성 ISO 만들기를 업데이트했습니다.
새로운 최소 필수 버전(PostgreSQL 10)으로 데이터베이스 서버 요구 사항 주제를 업데이트했습니다.

2021년 10월 13일

HDS 노드를 설치하려면 Docker Desktop이 설치 프로그램을 실행해야 합니다. Docker 데스크톱 요구 사항을 참조하십시오.

2021년 6월 24일

비공개 키 파일 및 CSR을 다시 사용하여 다른 인증서를 요청할 수 있습니다. 자세한 내용은 OpenSSL을 사용하여 PKCS12 파일 생성을 참조하십시오.

2021년 4월 30일

로컬 하드 디스크 공간에 대한 VM 요구 사항을 30GB로 변경했습니다. 자세한 내용은 가상 호스트 요구 사항을 참조하십시오.

2021년 2월 24일

이제 HDS 설정 도구는 프록시 뒤에서 실행할 수 있습니다. 자세한 내용은 HDS 호스트에 대한 구성 ISO 만들기를 참조하십시오.

2021년 2월 2일

이제 HDS는 마운트된 ISO 파일 없이 실행할 수 있습니다. 자세한 내용은 (선택 사항) HDS 구성 후 ISO 마운트 해제를 참조하십시오.

2021년 1월 11일 수요일

HDS 설정 도구 및 프록시에 대한 정보를 추가하여 HDS 호스트에 대한 구성 ISO 만들기.

2020년 10월 13일

설치 파일 다운로드가 업데이트되었습니다.

2020년 10월 8일

업데이트된 HDS 호스트에 대한 구성 ISO 생성 및 FedRAMP 환경에 대한 명령어로 노드 구성 변경.

2020년 8월 14일

HDS 호스트에 대한 구성 ISO 생성 및 로그인 프로세스에 대한 변경 사항으로 노드 구성 변경이 업데이트되었습니다.

2020년 8월 5일

로그 메시지의 변경 사항에 대해 하이브리드 데이터 보안 배포 테스트를 업데이트했습니다.

최대 호스트 수를 제거하려면 가상 호스트 요구 사항을 업데이트했습니다.

2020년 6월 16일

Control Hub UI에서 변경 사항에 대해 노드 제거가 업데이트되었습니다.

2020년 6월 4일

설정한 고급 설정의 변경 사항에 대해 HDS 호스트에 대한 구성 ISO 만들기를 업데이트했습니다.

2020년 5월 29일

업데이트된 HDS 호스트에 대한 구성 ISO 생성은 SQL Server 데이터베이스, UI 변경 사항 및 기타 설명과 함께 TLS를 사용할 수도 있음을 표시합니다.

2020년 5월 5일

ESXi 6.5의 새로운 요구 사항을 표시하기 위해 가상 호스트 요구 사항을 업데이트했습니다.

2020년 4월 21일

새로운 Americas CI 호스트를 사용하여 외부 연결 요구 사항을 업데이트했습니다.

2020년 4월 1일 수요일

지역 CI 호스트에 대한 정보를 사용하여 외부 연결 요구 사항을 업데이트했습니다.

2020년 2월 20일 HDS 설정 도구의 새로운 선택적 고급 설정 화면에 대한 정보를 사용하여 HDS 호스트에 대한 구성 ISO 생성을 업데이트했습니다.

2020년 2월 4일 수요일 프록시 서버 요구 사항을 업데이트함.

2019년 12월 16일 프록시 서버 요구 사항에서 작동하도록 차단된 외부 DNS 확인 모드에 대한 요구 사항을 명확화했습니다.

2019년 11월 19일

다음 섹션에서 차단된 외부 DNS 확인 모드에 대한 정보를 추가했습니다.

프록시 지원
프록시 통합에 대해 HDS 노드 구성
차단된 외부 DNS 확인 모드 끄기

2019년 11월 8일

이제 이후 대신 OVA를 배포하는 동안 노드에 대한 네트워크 설정을 구성할 수 있습니다.

그에 따라 다음 섹션을 업데이트함:

하이브리드 데이터 보안 배포 작업 흐름
HDS 호스트 OVA 설치
하이브리드 데이터 보안 VM 설정

OVA 배포 중에 네트워크 설정을 구성하는 옵션은 ESXi 6.5에서 테스트되었습니다. 해당 옵션은 이전 버전에서 사용할 수 없을 수도 있습니다.

2019년 9월 6일

데이터베이스 서버 요구 사항에 SQL Server Standard를 추가했습니다.

2019년 8월 20일

Webex 클라우드에 대한 하이브리드 데이터 보안 노드 통신에 대한 프록시 지원을 커버하기 위해 섹션을 추가하고 업데이트했습니다.

프록시 지원
프록시 서버 요구 사항
프록시 통합에 대해 HDS 노드 구성

2019년 3월 6일 수요일

요구 사항과 전제 조건을 별도의 장으로 이동하여 환경 준비.
하이브리드 데이터 보안 클러스터 설정 장에 하이브리드 데이터 보안 배포 작업 흐름 개요를 추가했습니다.

평가판을 시작할 때까지(후속 장의 지침을 사용하여) 노드는 서비스가 아직 활성화되지 않았음을 알리는 알람을 생성합니다.
평가판을 프로덕션 작업 흐름에 추가함. 평가판을 실행하고 프로덕션으로 이동.

2019년 2월 28일 목요일

OVA가 생성하는 디스크의 크기를 반영하기 위해 하이브리드 데이터 보안 노드가 되는 가상 호스트를 50GB에서 20GB로 준비할 때 별도로 설정해야 하는 서버당 로컬 하드 디스크 공간의 양을 수정했습니다.

2019년 2월 26일

이제 하이브리드 데이터 보안 노드는 PostgreSQL 데이터베이스 서버로 암호화된 연결을 지원하고 TLS 지원 syslog 서버에 암호화된 로깅 연결을 지원합니다. 지침이 포함된 HDS 호스트에 대한 구성 ISO 만들기를 업데이트했습니다.
"하이브리드 데이터 보안 노드 VM에 대한 인터넷 연결 요구 사항" 테이블에서 대상 URL을 제거했습니다. 이제 표는 Webex Teams 서비스에 대한 네트워크 요구 사항의 "Webex Teams 하이브리드 서비스에 대한 추가 URL" 표에 유지되는 목록을 나타냅니다.

2019년 1월 24일

2018년 11월 5일 수요일

HDS 호스트에 대한 구성 ISO 만들기 및 노드 구성 변경에서 기존 도커 hds 인스턴스를 정리하는 예비 단계를 추가했습니다.
인터페이스와 일치하도록 HDS 호스트에 대한 구성 ISO 만들기에서 키 액세스 수준 단계를 업데이트했습니다.

2018년 10월 19일

하이브리드 데이터 보안에 대한 전제 조건 완료에서 방화벽 연결 정보를 노드 요구 사항 및 ISO 구성 기계 요구 사항으로 분할합니다.

2018년 7월 31일

하이브리드 데이터 보안에 대한 전제 조건을 완료하기 위해 포트 22(SSH 액세스) 및 NAT 및 방화벽 연결에 대한 정보를 추가했습니다.

2018년 5월 21일

Cisco Spark의 리브랜딩을 반영하기 위해 용어를 변경함:

이제 Cisco Spark 하이브리드 데이터 보안은 하이브리드 데이터 보안입니다.
이제 Cisco Spark 앱은 Webex 앱 앱입니다.
이제 Cisco Collaboraton Cloud는 Webex 클라우드입니다.

2018년 4월 11일 화요일

재해 복구를 위한 대기 데이터 센터가 추가되었습니다.
업데이트됨 하이브리드 데이터 보안에 대한 전제 조건 완료는 백업 환경이 다른 데이터 센터에 있어야 함을 지정합니다.
대기 데이터 센터를 사용하여 재해 복구를 업데이트했습니다.

2018년 2월 22일

서비스 계정 비밀번호 9개월 수명에 대한 정보를 추가하고 HDS 설정 도구를 사용하여 서비스 계정 비밀번호를 재설정하는 방법을 사용하여 HDS 호스트에 대한 구성 ISO 만들기 및 노드 구성 변경.

2018년 2월 15일 목요일

X.509 인증서 요구 사항 표에서 인증서가 와일드카드 인증서가 될 수 없으며 KMS가 x.509v3 SAN 필드에 정의된 도메인이 아닌 CN 도메인을 사용한다고 지정했습니다.

2018년 1월 18일 목요일

부록, HDS 노드와 클라우드 간의 트래픽 추가.
하이브리드 데이터 보안에 대해 알려진 문제에서 해결된 문제를 제거했습니다.
index.docker.io를 *.docker.io로 변경하고 하이브리드 데이터 보안에 대한 전제 조건 완료의 HDS 노드에 대한 TCP 연결 요구 사항 목록에 *.cloudfront.net을 추가했습니다.
업데이트된 HDS 호스트에 대한 구성 ISO 생성은 데이터베이스 호스트 및 Syslogd 서버가 HDS 노드에서 DNS 확인할 수 없는 경우 IP 주소를 사용하여 구성해야 함을 나타냅니다.

2017년 11월 2일 수요일

HdsTrialGroup의 디렉터리 동기화를 명확히 함.
VM 노드에 마운트하기 위해 ISO 구성 파일을 업로드하는 방법을 수정했습니다.

2017년 8월 18일

첫 번째 출판

하이브리드 데이터 보안 시작하기

하이브리드 데이터 보안 개요

보안 영역 아키텍처

Webex 클라우드 아키텍처는 아래에 설명된 대로 다른 유형의 서비스를 별도의 영역 또는 신뢰 도메인으로 분리합니다.

클라이언트는 키 관리 서비스(KMS)와 보안 연결을 설정한 후 메시지를 암호화하기 위해 키를 요청합니다. 보안 연결은 ECDH를 사용하며, KMS는 AES-256 마스터 키를 사용하여 키를 암호화합니다.
메시지가 클라이언트에서 나가기 전에 암호화됩니다. 클라이언트는 이를 인덱싱 서비스로 전송하며, 이는 암호화된 검색 인덱스를 생성하여 콘텐츠에 대한 향후 검색을 지원합니다.
암호화된 메시지는 준수 확인을 위해 준수 서비스로 전송됩니다.
암호화된 메시지는 스토리지 영역에 저장됩니다.

다른 조직과의 협업

하이브리드 데이터 보안 배포에 대한 기대

하이브리드 데이터 보안 배포에는 중요한 고객 노력과 암호화 키를 소유하는 위험에 대한 인식이 필요합니다.

하이브리드 데이터 보안을 배포하려면 다음을 제공해야 합니다.

Cisco Webex Teams 플랜에 대해 지원되는 위치에 있는 국가의 보안 데이터 센터.
환경 준비에 설명된 장비, 소프트웨어 및 네트워크 액세스.

데이터베이스 및 구성 ISO의 백업 및 복구를 관리합니다.
데이터베이스 디스크 오류 또는 데이터 센터 재해와 같은 재해가 발생하는 경우 빠른 재해 복구를 수행할 수 있도록 준비하십시오.

HDS 배포 후 키를 클라우드로 다시 이동하는 메커니즘은 없습니다.

고급 설정 프로세스

이 문서는 하이브리드 데이터 보안 배포의 설정 및 관리를 다룹니다.

하이브리드 데이터 보안 설정—여기에는 필수 인프라 준비 및 하이브리드 데이터 보안 소프트웨어 설치, 평가판 모드의 사용자 하위 집합으로 배포 테스트 및 테스트가 완료되면 프로덕션으로 이동하는 작업이 포함됩니다. 이는 전체 조직을 변환하여 보안 기능에 대해 하이브리드 데이터 보안 클러스터를 사용합니다.
설정, 평가판 및 생산 단계는 다음 세 장에서 자세히 다룹니다.
하이브리드 데이터 보안 배포 유지 관리—Webex 클라우드는 자동으로 진행 중인 업그레이드를 제공합니다. IT 부서는 이 배포에 대해 1단계 지원을 제공하고 필요에 따라 Cisco 지원을 참여할 수 있습니다. Control Hub에서 화면 내 알림을 사용하고 이메일 기반 경고를 설정할 수 있습니다.
일반적인 경고, 문제 해결 단계 및 알려진 문제를 이해합니다—하이브리드 데이터 보안을 배포하거나 사용하는 데 문제가 발생하는 경우, 이 안내서의 마지막 장과 알려진 문제 부록은 문제를 결정하고 해결하는 데 도움이 될 수 있습니다.

하이브리드 데이터 보안 배포 모델

하이브리드 데이터 보안 배포 모델

Control Hub에서 노드를 등록하면 노드가 활성화됩니다. 개별 노드를 서비스 중단하려면 등록을 취소하고 필요한 경우 나중에 다시 등록할 수 있습니다.

조직당 단일 클러스터만 지원합니다.

하이브리드 데이터 보안 평가판 모드

재해 복구를 위한 대기 데이터 센터

배포 중에 보안 대기 데이터 센터를 설정합니다. 데이터 센터 재해가 발생하면 대기 데이터 센터로 수동으로 배포에 실패할 수 있습니다.

활성 하이브리드 데이터 보안 노드는 항상 활성 데이터베이스 서버와 동일한 데이터 센터에 있어야 합니다.

재해 복구를 위한 대기 데이터 센터 설정

대기 데이터 센터의 ISO 파일을 구성하려면 아래 단계를 따르십시오.

시작하기 전에

대기 데이터 센터는 VM의 생산 환경 및 백업 PostgreSQL 또는 Microsoft SQL Server 데이터베이스를 반영해야 합니다. 예를 들어, 프로덕션에 HDS 노드를 실행하는 3개의 VM이 있는 경우 백업 환경에는 3개의 VM이 있어야 합니다. (이 페일오버 모델에 대한 개요는 재해 복구를 위한 대기 데이터 센터 참조)
활성 및 수동 클러스터 노드의 데이터베이스 간에 데이터베이스 동기화가 활성화되어 있는지 확인합니다.

HDS 설정 도구를 시작하고 HDS 호스트에 대한 구성 ISO 만들기에 설명된 단계를 따릅니다.

ISO 파일은 기본 데이터 센터의 원래 ISO 파일의 복사본이어야 하며, 다음 구성 업데이트가 이루어져야 합니다.

Syslogd 서버를 구성한 후 고급 설정을 클릭합니다.


passiveMode: 'true'

구성 프로세스를 완료하고 찾기 쉬운 위치에 ISO 파일을 저장합니다.

VMware vSphere 클라이언트의 왼쪽 탐색 창에서 VM을 마우스 오른쪽 버튼으로 클릭하고 설정 편집을 클릭합니다..

설정 편집 >CD/DVD 드라이브 1을 클릭하고 데이터스토어 ISO 파일을 선택합니다.

노드를 시작한 후에 업데이트된 구성 변경 사항이 적용될 수 있도록 Connected 및 Connect at power on이(가) 선택되었는지 확인하십시오.

HDS 노드의 전원을 켜고 최소 15분 동안 경보가 울리지 않도록 합니다.

대기 데이터 센터의 모든 노드에 대해 프로세스를 반복합니다.

syslogs를 확인하여 노드가 수동 모드인지 확인합니다. syslog에서 "KMS가 수동 모드로 구성됨" 메시지를 볼 수 있어야 합니다.

다음에 수행할 작업

프록시 지원

하이브리드 데이터 보안 노드는 다음 프록시 옵션을 지원합니다.

프록시 없음—프록시를 통합하기 위해 HDS 노드 설정 신뢰 저장소 및 프록시 구성을 사용하지 않는 경우에 기본값입니다. 인증서를 업데이트하지 않아도 됩니다.
투명 비-검사 프록시—노드가 특정 프록시 서버 주소를 사용하도록 구성되어 있지 않으며, 비-검사 프록시에서 작동하도록 변경할 것을 요구하지 않습니다. 인증서를 업데이트하지 않아도 됩니다.
투명 터널링 또는 검사 프록시—노드가 특정 프록시 서버 주소를 사용하도록 구성되어 있지 않습니다. 노드에서 HTTP 또는 HTTPS 구성을 변경하지 않아도 됩니다. 단, 노드에 루트 인증서가 있어야 프록시를 신뢰할 수 있습니다. 일반적으로 검사 프록시는 IT가 어떤 웹사이트를 방문할 수 있는지 및 어떤 유형의 콘텐츠가 허용되는지에 대한 정책을 적용하기 위해 사용됩니다. 이러한 유형의 프록시는 모든 트래픽(HTTPS 포함)을 해독합니다.
명시적 프록시—명시적 프록시를 사용하여 HDS 노드가 어떤 프록시 서버 및 인증 구성표를 사용하는지 알 수 있습니다. 명시적 프록시를 구성하려면 각 노드에 다음 정보를 입력해야 합니다.
1. 프록시 IP/FQDN—프록시 머신에 연결하기 위해 사용할 수 있는 주소입니다.
2. 프록시 포트—프록시가 프록시된 트래픽을 탐지하기 위해 사용하는 포트 번호입니다.
3. 프록시 프로토콜—프록시 서버에서 지원하는 내용에 따라 다음 프로토콜 중에서 선택합니다.
  - HTTP—클라이언트가 전송하는 모든 요청을 확인하고 제어합니다.
  - HTTPS—서버에 채널을 제공합니다. 클라이언트는 서버의 인증서를 수신하고 유효성을 검증합니다.
4. 인증 유형—다음 인증 유형 중에서 선택합니다.
  - 없음—추가 인증이 필요하지 않습니다.
    
    HTTP 또는 HTTPS를 프록시 프로토콜로 선택하는 경우에 사용할 수 있습니다.
  - 기본—요청을 제출할 때 HTTP 사용자 에이전트가 사용자 이름 및 비밀번호를 제공하기 위해 사용됩니다. Base64 인코딩을 사용합니다.
    
    HTTP 또는 HTTPS를 프록시 프로토콜로 선택하는 경우에 사용할 수 있습니다.
    
    각 노드에서 사용자 이름 및 비밀번호를 입력하도록 요구합니다.
  - 다이제스트—민감한 정보를 보내기 전에 계정을 확인하기 위해 사용됩니다. 네트워크를 통해 전송하기 전에 사용자 이름 및 비밀번호에 해시 기능을 적용합니다.
    
    HTTPS를 프록시 프로토콜로 선택하는 경우에만 사용할 수 있습니다.
    
    각 노드에서 사용자 이름 및 비밀번호를 입력하도록 요구합니다.

하이브리드 데이터 보안 노드 및 프록시의 예제

차단된 외부 DNS 확인 모드 끄기 (명시적 프록시 구성)

환경 준비

하이브리드 데이터 보안의 요구 사항

Cisco Webex 라이센스 요구 사항

하이브리드 데이터 보안을 배포하려면:

Cisco Webex Control Hub용 Pro Pack이 있어야 합니다. (https://www.cisco.com/go/pro-pack 참조)

Docker 데스크톱 요구 사항

X.509 인증서 요구 사항

인증서 체인은 다음 요구 사항을 충족해야 합니다.

표 1. 하이브리드 데이터 보안 배포에 대한 X.509 인증서 요구 사항
요구 사항	세부 정보
신뢰할 수 있는 인증 기관(CA)이 서명함	기본적으로 https://wiki.mozilla.org/CA:IncludedCAs의 Mozilla 목록(WoSign 및 StartCom 제외)의 CA를 신뢰합니다.
하이브리드 데이터 보안 배포를 식별하는 CN(공통 이름) 도메인 이름이 있습니다. 와일드카드 인증서가 아님	CN에 연결할 수 있거나 실시간 호스트가 필요하지 않습니다. 예를 들어, 조직을 반영하는 이름을 사용할 것을 권장합니다. `hds.company.com`. CN에는 *(와일드카드)가 포함되어서는 안 됩니다. CN은 Webex 앱 클라이언트에 대한 하이브리드 데이터 보안 노드를 확인하는 데 사용됩니다. 클러스터의 모든 하이브리드 데이터 보안 노드는 동일한 인증서를 사용합니다. KMS는 x.509v3 SAN 필드에 정의된 도메인이 아닌 CN 도메인을 사용하여 자신을 식별합니다. 이 인증서에 노드를 등록하면 CN 도메인 이름 변경을 지원하지 않습니다. 평가판 및 프로덕션 배포 모두에 적용할 수 있는 도메인을 선택합니다.
Non-SHA1 서명	KMS 소프트웨어는 다른 조직의 KMS와의 연결을 검증하기 위해 SHA1 서명을 지원하지 않습니다.
암호로 보호된 PKCS #12 파일로 포맷 친근한 이름 사용 `kms-private-key` 을(를) 사용하여 업로드할 인증서, 비공개 키 및 중간 인증서에 태그를 지정합니다.	OpenSSL과 같은 변환기를 사용하여 인증서의 형식을 변경할 수 있습니다. HDS 설정 도구를 실행할 때 암호를 입력해야 합니다.

가상 호스트 요구 사항

클러스터에서 하이브리드 데이터 보안 노드로 설정하는 가상 호스트는 다음 요구 사항을 충족합니다.

동일한 보안 데이터 센터에서 두 개 이상의 별도의 호스트(3개 권장)가 공동 처리됨
VMware ESXi 6.5(이상) 설치 및 실행 중.

이전 버전의 ESXi가 있는 경우 업그레이드해야 합니다.
최소 4개의 vCPU, 8GB 기본 메모리, 서버당 30GB 로컬 하드 디스크 공간

데이터베이스 서버 요구 사항

데이터베이스 서버에 대한 두 가지 옵션이 있습니다. 각 요구 사항은 다음과 같습니다.

표 2. 데이터베이스 유형별 데이터베이스 서버 요구 사항

PostgreSQL 소개

Microsoft SQL 서버

PostgreSQL 14, 15 또는 16, 설치 및 실행.

SQL Server 2016, 2017 또는 2019 (Enterprise 또는 Standard)가 설치되었습니다.

SQL Server 2016에는 서비스 팩 2 및 누적 업데이트 2 이상이 필요합니다.

HDS 소프트웨어는 현재 데이터베이스 서버와의 통신을 위해 다음 드라이버 버전을 설치합니다.

PostgreSQL 소개

Microsoft SQL 서버

Postgres JDBC 드라이버 42.2.5

SQL Server JDBC 드라이버 4.6

이 드라이버 버전은 SQL Server Always On(Always On Failover 클러스터 인스턴스 및 Always On 가용성 그룹)을 지원합니다.

Microsoft SQL Server에 대한 Windows 인증에 대한 추가 요구 사항

HDS 노드가 Windows 인증을 사용하여 Microsoft SQL Server의 키 저장소 데이터베이스에 액세스하도록 하려면 환경에서 다음 구성이 필요합니다.

HDS 노드, Active Directory 인프라 및 MS SQL 서버가 모두 NTP와 동기화되어야 합니다.
HDS 노드에 제공하는 Windows 계정은 데이터베이스에 대한 읽기/쓰기 액세스 권한이 있어야 합니다.
HDS 노드에 제공하는 DNS 서버는 KDC(Key Distribution Center)를 확인할 수 있어야 합니다.
Microsoft SQL Server에서 HDS 데이터베이스 인스턴스를 Active Directory의 SPN(Service Principal Name)으로 등록할 수 있습니다. Kerberos Connections에 대한 서비스 기본 이름 등록을 참조하십시오.

HDS 설정 도구, HDS 실행기 및 로컬 KMS는 모두 Windows 인증을 사용하여 키 저장소 데이터베이스에 액세스해야 합니다. ISO 구성의 세부 정보를 사용하여 Kerberos 인증으로 액세스를 요청할 때 SPN을 구성합니다.

외부 연결 요구 사항

HDS 애플리케이션에 대해 다음 연결을 허용하도록 방화벽을 구성합니다.

응용프로그램	프로토콜	포트	앱에서 방향	대상
하이브리드 데이터 보안 노드	TCP	443	아웃바운드 HTTPS 및 WSS	Webex 서버: .wbx2.com .ciscospark.com 모든 공통 ID 호스트 Webex 서비스에 대한 네트워크 요구 사항의 Webex 하이브리드 서비스에 대한 추가 URL 표에 하이브리드 데이터 보안에 대해 나열된 기타 URL
HDS 설정 도구	TCP	443	아웃바운드 HTTPS	*.wbx2.com 모든 공통 ID 호스트 이메일: info@docker.com

CI(Common Identity) 호스트에 대한 URL은 지역에 따라 다릅니다. 현재 CI 호스트는 다음과 같습니다.

지역	공통 ID 호스트 URL
Americas	https://idbroker.webex.com https://identity.webex.com https://idbroker-b-us.webex.com https://identity-b-us.webex.com
유럽 연합	https://idbroker-eu.webex.com https://identity-eu.webex.com
캐나다	https://idbroker-ca.webex.com https://identity-ca.webex.com

프록시 서버 요구 사항

하이브리드 데이터 보안 노드에 통합할 수 있는 다음 프록시 솔루션을 공식적으로 지원합니다.

투명 프록시—Cisco Web Security Appliance (WSA).

명시적 프록시—Squid.

명시적 프록시에 대해 다음 인증 유형 조합을 지원합니다.
- HTTP 또는 HTTPS로 인증하지 않음
- HTTP 또는 HTTPS로 기본 인증
- HTTPS로만 다이제스트 인증
투명 검사 프록시 또는 HTTPS 명시적 프록시에 대해 프록시 루트 인증서의 복사본이 있어야 합니다. 이 안내서의 배포 지시 사항은 하이브리드 데이터 보안 노드의 신뢰 저장소에 사본을 업로드하는 방법을 설명합니다.
HDS 노드를 호스트하는 네트워크는 포트 443의 아웃바운드 TCP 트래픽이 프록시를 통해 라우팅하도록 구성되어야 합니다.
웹 트래픽을 검사하는 프록시는 웹 소켓 연결을 방해할 수도 있습니다. 이 문제가 발생하면 트래픽을 우회하여(검사하지 않음) wbx2.com 선택하십시오. ciscospark.com 문제를 해결할 것입니다.

하이브리드 데이터 보안에 대한 전제 조건 완료

이 검사목록을 사용하여 하이브리드 데이터 보안 클러스터를 설치하고 구성할 준비가 되었는지 확인합니다.

키 스토리지를 위한 데이터베이스를 만듭니다. (이 데이터베이스를 만들어야 합니다. 기본 데이터베이스를 사용하지 마십시오. HDS 애플리케이션이 설치되면 데이터베이스 스키마를 만듭니다.)
노드가 데이터베이스 서버와 통신하는 데 사용할 세부 정보를 수집합니다.
- 호스트 이름 또는 IP 주소(호스트) 및 포트
- 키 저장소에 대한 데이터베이스 이름(dbname)
- 키 스토리지 데이터베이스에 모든 권한이 있는 사용자의 사용자 이름 및 암호

syslog 호스트를 설정하여 클러스터의 노드에서 로그를 수집합니다. 네트워크 주소 및 syslog 포트를 수집합니다(기본값은 UDP 514).

방화벽 구성이 외부 연결 요구 사항에 설명된 대로 하이브리드 데이터 보안 노드에 대한 연결을 허용하는지 확인하십시오.

HDS 설정 도구를 설치하고 실행하려면 로컬 머신에 외부 연결 요구 사항에 설명된 연결이 있어야 합니다.

프록시를 하이브리드 데이터 보안에 통합하고 있는 경우, 프록시 서버 요구 사항을 충족하는지 확인하십시오.

하이브리드 데이터 보안 클러스터 설정

하이브리드 데이터 보안 배포 작업 흐름

시작하기 전에

나중에 사용할 수 있도록 OVA 파일을 로컬 머신으로 다운로드합니다.

HDS 설정 도구를 사용하여 하이브리드 데이터 보안 노드에 대한 ISO 구성 파일을 만듭니다.

OVA 파일에서 가상 머신을 만들고 네트워크 설정과 같은 초기 구성을 수행합니다.

OVA 배포 중에 네트워크 설정을 구성하는 옵션은 ESXi 6.5에서 테스트되었습니다. 해당 옵션은 이전 버전에서 사용할 수 없을 수도 있습니다.

VM 콘솔에 로그인하고 로그인 자격 증명을 설정합니다. OVA 배포 시 구성하지 않은 경우 노드에 대한 네트워크 설정을 구성합니다.

HDS 설정 도구로 만든 ISO 구성 파일에서 VM을 구성합니다.

네트워크 환경에 프록시 구성이 필요한 경우 노드에 사용할 프록시 유형을 지정하고 필요한 경우 프록시 인증서를 신뢰 저장소에 추가합니다.

Cisco Webex 클라우드에 VM을 하이브리드 데이터 보안 노드로 등록합니다.

클러스터 설정을 완료합니다.

평가판을 시작할 때까지 노드는 서비스가 아직 활성화되지 않았음을 나타내는 알람을 생성합니다.

설치 파일 다운로드

https://admin.webex.com에 로그인한 후 서비스를 클릭합니다.

하이브리드 서비스 섹션에서 하이브리드 데이터 보안 카드를 찾은 후 설정을 클릭합니다.

아니요를 선택하여 아직 노드를 설정하지 않았음을 표시한 후 다음을 클릭합니다.

OVA 파일이 자동으로 다운로드되기 시작합니다. 컴퓨터의 위치에 파일을 저장합니다.

선택적으로, 배포 안내서 열기를 클릭하여 이 안내서의 이후 버전을 사용할 수 있는지 확인합니다.

HDS 호스트에 대한 구성 ISO 만들기

하이브리드 데이터 보안 설정 프로세스는 ISO 파일을 만듭니다. 그런 다음 ISO를 사용하여 하이브리드 데이터 보안 호스트를 구성합니다.

시작하기 전에

설명	변수
인증되지 않은 HTTP 프록시	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
인증되지 않은 HTTPS 프록시	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
인증된 HTTP 프록시	`GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
인증된 HTTPS 프록시	`GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

생성하는 구성 ISO 파일에는 PostgreSQL 또는 Microsoft SQL Server 데이터베이스를 암호화하는 마스터 키가 포함되어 있습니다. 다음과 같이 구성을 변경할 때마다 이 파일의 최신 복사본이 필요합니다.
- 데이터베이스 자격 증명
- 인증서 업데이트
- 인증 정책 변경
데이터베이스 연결을 암호화하려는 경우 TLS에 대한 PostgreSQL 또는 SQL Server 배포를 설정합니다.

머신의 명령줄에 사용자 환경에 적합한 명령을 입력합니다.

일반 환경:

docker rmi ciscocitg/hds-setup:stable

FedRAMP 환경:

docker rmi ciscocitg/hds-setup-fedramp:stable

이 단계에서는 이전 HDS 설정 도구 이미지를 정리합니다. 이전 이미지가 없는 경우 무시할 수 있는 오류를 반환합니다.

Docker 이미지 레지스트리에 로그인하려면 다음을 입력합니다.

docker login -u hdscustomersro

비밀번호 프롬프트에 이 해시를 입력합니다.

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

사용자 환경에 맞는 최신 안정 이미지를 다운로드합니다.

일반 환경:

docker pull ciscocitg/hds-setup:stable

FedRAMP 환경:

docker pull ciscocitg/hds-setup-fedramp:stable

풀이 완료되면 사용자 환경에 적합한 명령을 입력합니다.

프록시가 없는 일반 환경:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

HTTP 프록시가 있는 일반 환경:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

HTTPS 프록시가 있는 일반 환경:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

프록시가 없는 FedRAMP 환경:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

HTTP 프록시가 있는 FedRAMP 환경:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

HTTPS 프록시가 있는 FedRAMP 환경:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

컨테이너가 실행 중일 때 "포트 8080에서 수신하는 Express 서버"가 표시됩니다.

설정 도구는 http://localhost:8080을 통해 localhost에 연결하는 것을 지원하지 않습니다. http://127.0.0.1:8080을(를) 사용하여 로컬 호스트에 연결합니다.

웹 브라우저를 사용하여 localhost로 이동하고, http://127.0.0.1:8080(으)로 이동하고 프롬프트에서 Control Hub에 대한 고객 관리 사용자 이름을 입력합니다.

이 도구는 사용자 이름의 첫 번째 항목을 사용하여 해당 계정에 적합한 환경을 설정합니다. 그런 다음 도구는 표준 로그인 프롬프트를 표시합니다.

설정 도구 개요 페이지에서 시작하기를 클릭합니다.

ISO 가져오기 페이지에서 다음 옵션이 나타납니다.

아니요—첫 번째 HDS 노드를 생성하는 경우 업로드할 ISO 파일이 없습니다.
예—HDS 노드를 이미 만든 경우 찾아보기에서 ISO 파일을 선택하고 업로드합니다.

X.509 인증서가 X.509 인증서 요구 사항의 요구 사항을 충족하는지 확인하십시오.

이전에 인증서를 업로드한 적이 없는 경우, X.509 인증서를 업로드하고 비밀번호를 입력한 후 계속을 클릭합니다.
인증서가 괜찮은 경우, 계속을 클릭합니다.
인증서가 만료되었거나 교체하려는 경우, 이전 ISO의 HDS 인증서 체인 및 비공개 키를 사용하여 계속 사용하려면 아니요를 선택하십시 오.. 새로운 X.509 인증서를 업로드하고 비밀번호를 입력한 후 계속을 클릭합니다.

HDS에 대한 데이터베이스 주소 및 계정을 입력하여 키 데이터스토어에 액세스합니다.

데이터베이스 유형(PostgreSQL 또는 Microsoft SQL Server)을 선택합니다.

Microsoft SQL Server를 선택하면 인증 유형 필드가 표시됩니다.
(Microsoft SQL Server만 해당) 인증 유형 선택:
- 기본 인증: 사용자 이름 필드에 로컬 SQL Server 계정 이름이 필요합니다.
- Windows 인증: 형식으로 Windows 계정이 필요합니다. username@DOMAIN사용자 이름 필드에 있습니다.
데이터베이스 서버 주소를 양식에 입력합니다. <hostname>:<port> 또는 <IP-address>:<port>.

예:
dbhost.example.org:1433 또는 198.51.100.17:1433

노드가 DNS를 사용하여 호스트 이름을 확인할 수 없는 경우 기본 인증을 위해 IP 주소를 사용할 수 있습니다.

Windows 인증을 사용하는 경우, 정규화된 도메인 이름을 형식으로 입력해야 합니다. dbhost.example.org:1433
데이터베이스 이름을 입력합니다.
키 스토리지 데이터베이스에 모든 권한이 있는 사용자의 사용자 이름 및 암호를 입력합니다.

TLS 데이터베이스 연결 모드를 선택합니다.

모드

설명

원하는 TLS (기본 옵션)

TLS 필요

데이터베이스 서버에서 TLS를 협상할 수 있는 경우에만 HDS 노드를 연결합니다.

TLS 필요 및 인증서 서명자 확인

이 모드는 SQL Server 데이터베이스에 적용되지 않습니다.

데이터베이스 서버에서 TLS를 협상할 수 있는 경우에만 HDS 노드를 연결합니다.
TLS 연결을 설정한 후 노드는 데이터베이스 서버의 인증서 서명자를 데이터베이스 루트 인증서의 인증서 기관과 비교합니다. 해당 정보가 일치하지 않으면 노드는 연결을 끊습니다.

이 옵션에 대해 루트 인증서를 업로드하려면 드롭다운 아래에 있는 데이터베이스 루트 인증서 제어를 사용하십시오.

TLS 필요 및 인증서 서명자, 호스트 이름 확인

데이터베이스 서버에서 TLS를 협상할 수 있는 경우에만 HDS 노드를 연결합니다.
TLS 연결을 설정한 후 노드는 데이터베이스 서버의 인증서 서명자를 데이터베이스 루트 인증서의 인증서 기관과 비교합니다. 해당 정보가 일치하지 않으면 노드는 연결을 끊습니다.
노드는 서버 인증서의 호스트 이름이 데이터베이스 호스트 및 포트 필드의 호스트 이름과 일치하는지 확인합니다. 이름은 정확히 일치해야 하며, 그렇지 않으면 노드가 연결을 끊습니다.

이 옵션에 대해 루트 인증서를 업로드하려면 드롭다운 아래에 있는 데이터베이스 루트 인증서 제어를 사용하십시오.

시스템 로그 페이지에서 Syslogd 서버를 구성합니다.

syslog 서버 URL을 입력합니다.

서버가 HDS 클러스터의 노드에서 DNS 확인할 수 없는 경우 URL의 IP 주소를 사용합니다.

예:
udp://10.92.43.23:514 은(는) UDP 포트 514에서 Syslogd 호스트 10.92.43.23에 대한 로깅을 나타냅니다.
TLS 암호화를 사용하도록 서버를 설정한 경우 SSL 암호화에 대해 syslog 서버가 구성되었는지 확인하십시오..

이 확인란을 선택하는 경우, 다음과 같은 TCP URL을 입력해야 합니다. tcp://10.92.43.23:514.
syslog 레코드 종료 선택 드롭다운에서 ISO 파일에 적합한 설정을 선택합니다. 선택 또는 Newline이 Graylog 및 Rsyslog TCP에 사용됩니다.
- Null 바이트 -- \x00
- Newline -- \n—Graylog 및 Rsyslog TCP에 대해 이 옵션을 선택합니다.
계속을 클릭합니다.

app_datasource_connection_pool_maxSize: 10

서비스 계정 비밀번호 재설정 화면에서 계속을 클릭합니다.

ISO 파일 다운로드를 클릭합니다. 쉽게 찾을 수 있는 위치에 파일을 저장합니다.

로컬 시스템에서 ISO 파일의 백업 복사본을 만듭니다.

설정 도구를 종료하려면 다음을 입력합니다 CTRL+C.

다음에 수행할 작업

우리는 결코 이 열쇠의 사본을 가지고 있지 않으며, 당신이 그것을 잃으면 도울 수 없다.

HDS 호스트 OVA 설치

이 절차를 사용하여 OVA 파일에서 가상 머신을 만듭니다.

컴퓨터에서 VMware vSphere 클라이언트를 사용하여 ESXi 가상 호스트에 로그인합니다.

파일 > OVF 템플릿 배포를 선택합니다.

마법사에서 이전에 다운로드한 OVA 파일의 위치를 지정한 후 다음...

에 컴퓨팅 리소스 선택 페이지를 선택하고 대상 계산 리소스를 선택한 후 을 클릭합니다. 다음...

검증 확인이 실행됩니다. 완료되면 템플릿 세부 정보가 나타납니다.

템플릿 세부 사항을 확인한 후 다음을 클릭합니다.

에서 리소스 구성을 선택하도록 요청 받는 경우 설정 페이지, 를 클릭합니다. 4개 CPU을(를) 클릭한 후 다음...

에 스토리지 선택 페이지, 를 클릭합니다. 다음은(는) 기본 디스크 형식 및 VM 스토리지 정책을 수락합니다.

에 네트워크 선택 페이지에서 항목 목록에서 네트워크 옵션을 선택하여 VM에 원하는 연결을 제공합니다.

템플릿 사용자 정의 페이지에서 다음 네트워크 설정을 구성합니다.

호스트 이름 - 노드의 FQDN(호스트 이름 및 도메인) 또는 단일 단어 호스트 이름을 입력합니다.

X.509 인증서를 얻기 위해 사용한 도메인과 일치하도록 도메인을 설정하지 않아도 됩니다.
클라우드에 성공적으로 등록하려면 노드에 대해 설정한 FQDN 또는 호스트 이름에서 소문자만 사용하십시오. 현재 대문자 사용은 지원되지 않습니다.
FQDN의 총 길이는 64자를 초과하지 말아야 합니다.

IP 주소— 노드의 내부 인터페이스에 대한 IP 주소를 입력합니다.

노드에는 내부 IP 주소 및 DNS 이름이 있어야 합니다. DHCP는 지원되지 않습니다.
마스크—점 소수점 표기법에 서브넷 마스크 주소를 입력합니다. 예: 255.255.255.0.
게이트웨이—게이트웨이 IP 주소를 입력합니다. 게이트웨이는 다른 네트워크에 대한 액세스 포인트 역할을 하는 네트워크 노드입니다.
DNS 서버—도메인 이름을 숫자 IP 주소로 변환하는 작업을 처리하는 쉼표로 구분된 DNS 서버 목록을 입력합니다. (최대 4개의 DNS 항목이 허용됩니다.)
NTP 서버—조직에서 사용할 수 있는 조직의 NTP 서버 또는 다른 외부 NTP 서버를 입력합니다. 기본 NTP 서버가 모든 기업에서 작동하지 않을 수도 있습니다. 쉼표로 구분된 목록을 사용하여 여러 NTP 서버를 입력할 수도 있습니다.

동일한 서브넷 또는 VLAN에 모든 노드를 배포하여 클러스터의 모든 노드가 관리 목적으로 네트워크의 클라이언트에서 연결할 수 있도록 합니다.

원하는 경우 네트워크 설정 구성을 건너뛰고 하이브리드 데이터 보안 VM 설정 단계에 따라 노드 콘솔에서 설정을 구성할 수 있습니다.

OVA 배포 중에 네트워크 설정을 구성하는 옵션은 ESXi 6.5에서 테스트되었습니다. 해당 옵션은 이전 버전에서 사용할 수 없을 수도 있습니다.

노드 VM을 마우스 오른쪽 버튼으로 클릭한 다음 전원 > 전원 켜기.

하이브리드 데이터 보안 소프트웨어는 VM 호스트에 게스트로 설치됩니다. 이제 콘솔에 로그인하고 노드를 구성할 준비가 되었습니다.

문제 해결하기 추가 정보

하이브리드 데이터 보안 VM 설정

1	VMware vSphere 클라이언트에서 하이브리드 데이터 보안 노드 VM을 선택하고 콘솔 탭을 선택합니다. VM이 부팅되고 로그인 프롬프트가 나타납니다. 로그인 프롬프트가 표시되지 않는 경우엔 Enter를 누릅니다.
2	다음 기본 로그인 및 암호를 사용하여 로그인하고 자격 증명을 변경합니다. 로그인: `admin` 비밀번호: `cisco` 처음으로 VM에 로그인하기 때문에 관리자 암호를 변경해야 합니다.
3	HDS 호스트 OVA 설치에서 네트워크 설정을 이미 구성한 경우, 나머지 절차는 건너뜁니다. 그렇지 않으면, 주 메뉴에서 구성 편집 옵션을 선택합니다.
4	IP 주소, 마스크, 게이트웨이 및 DNS 정보로 정적 구성을 설정합니다. 노드에는 내부 IP 주소 및 DNS 이름이 있어야 합니다. DHCP는 지원되지 않습니다.
5	(선택 사항) 네트워크 정책과 일치하는 데 필요한 경우 호스트 이름, 도메인 또는 NTP 서버를 변경합니다. X.509 인증서를 얻기 위해 사용한 도메인과 일치하도록 도메인을 설정하지 않아도 됩니다.
6	네트워크 구성을 저장하고 VM을 재부팅하여 변경 사항을 적용합니다.

HDS 구성 ISO 업로드 및 장착

이 절차를 사용하여 HDS 설정 도구로 만든 ISO 파일에서 가상 머신을 구성합니다.

시작하기 전에

컴퓨터에서 ISO 파일을 업로드합니다.

VMware vSphere 클라이언트의 왼쪽 탐색 창에서 ESXi 서버를 클릭합니다.
구성 탭의 하드웨어 목록에서 스토리지를 클릭합니다.
데이터스토어 목록에서 VM의 데이터스토어를 마우스 오른쪽 버튼으로 클릭하고 데이터스토어 찾아보기를 클릭합니다.
파일 업로드 아이콘을 클릭한 다음 파일 업로드를 클릭합니다.
컴퓨터에서 ISO 파일을 다운로드한 위치를 찾아보고 열기를 클릭합니다.
업로드/다운로드 작업 경고를 수락하고 데이터스토어 대화 상자를 닫으려면 예를 클릭합니다.

ISO 파일을 마운트합니다.

VMware vSphere 클라이언트의 왼쪽 네비게이션 분할 창에서 VM을 오른쪽 클릭하고 설정 편집을 클릭합니다.
제한된 편집 옵션 경고를 수락하려면 확인을 클릭합니다.
클릭 CD/DVD Drive 1, 데이터스토어 ISO 파일에서 마운트할 옵션을 선택하고 구성 ISO 파일을 업로드한 위치를 찾습니다.
연결됨 및 전원을 켜고 연결을 확인하십시오.
변경 사항을 저장하고 가상 머신을 재부팅합니다.

다음에 수행할 작업

프록시 통합에 대해 HDS 노드 구성

시작하기 전에

지원되는 프록시 옵션의 개요는 프록시 지원을 참조하십시오.
프록시 서버 요구 사항

1	HDS 노드 설정 URL 입력 `https://[HDS Node IP or FQDN]/setup` 웹 브라우저에서 노드에 대해 설정한 관리 자격 증명을 입력한 후 로그인을 클릭합니다.
2	신뢰 저장소 및 프록시로 이동한 후 옵션을 선택합니다. 프록시 없음—프록시를 통합하기 전의 기본 옵션입니다. 인증서를 업데이트하지 않아도 됩니다. 투명 비-검사 프록시—노드가 특정 프록시 서버 주소를 사용하도록 구성되어 있지 않으며, 비-검사 프록시에서 작동하도록 변경할 것을 요구하지 않습니다. 인증서를 업데이트하지 않아도 됩니다. 투명 검사 프록시—노드가 특정 프록시 서버 주소를 사용하도록 구성되어 있지 않습니다. 하이브리드 데이터 보안 배포에서 HTTPS 구성을 변경하지 않아도 됩니다. 단, HDS 노드에 루트 인증서가 있어야 프록시를 신뢰할 수 있습니다. 일반적으로 검사 프록시는 IT가 어떤 웹사이트를 방문할 수 있는지 및 어떤 유형의 콘텐츠가 허용되는지에 대한 정책을 적용하기 위해 사용됩니다. 이러한 유형의 프록시는 모든 트래픽(HTTPS 포함)을 해독합니다. 명시적 프록시—명시적 프록시를 사용하여 클라이언트(HDS 노드)가 어떤 프록시 서버를 사용하는지, 이 옵션에서 다양한 인증 유형을 지원하는지 알 수 있습니다. 이 옵션을 선택한 후 다음 정보를 입력해야 합니다. 프록시 IP/FQDN—프록시 머신에 연결하기 위해 사용할 수 있는 주소입니다. 프록시 포트—프록시가 프록시된 트래픽을 탐지하기 위해 사용하는 포트 번호입니다. 프록시 프로토콜—http(클라이언트로부터 수신하는 모든 요청을 확인하고 제어) 또는 https(서버에 채널을 제공하고, 클라이언트는 서버의 인증서를 수신 및 검증)를 선택합니다. 프록시 서버가 지원하는 내용에 따라 옵션을 선택합니다. 인증 유형—다음 인증 유형 중에서 선택합니다. 없음—추가 인증이 필요하지 않습니다. HTTP 또는 HTTPS 프록시를 사용할 수 있습니다. 기본—요청을 제출할 때 HTTP 사용자 에이전트가 사용자 이름 및 비밀번호를 제공하기 위해 사용됩니다. Base64 인코딩을 사용합니다. HTTP 또는 HTTPS 프록시를 사용할 수 있습니다. 이 옵션을 선택하는 경우, 사용자 이름 및 비밀번호도 입력해야 합니다. 다이제스트—민감한 정보를 보내기 전에 계정을 확인하기 위해 사용됩니다. 네트워크를 통해 전송하기 전에 사용자 이름 및 비밀번호에 해시 기능을 적용합니다. HTTPS 프록시에 대해서만 사용할 수 있습니다. 이 옵션을 선택하는 경우, 사용자 이름 및 비밀번호도 입력해야 합니다. 투명 검사 프록시, 기본 인증이 포함된 HTTP 명시적 프록시 또는 HTTPS 명시적 프록시에 대해서는 다음 단계를 따르십시오.
3	루트 인증서 또는 최종 엔터티 인증서 업로드를 클릭한 후 탐색하여 프록시에 대한 루트 인증서를 선택합니다. 인증서가 업로드되었지만 아직 설치되지 않았습니다. 인증서를 설치하려면 노드를 재부팅해야 합니다. 인증서 발급자 이름 옆에 있는 갈매기 모양 화살표를 클릭하여 자세한 내용을 확인합니다. 실수가 있었거나 파일을 다시 업로드하려는 경우엔 삭제를 클릭합니다.
4	프록시 연결 확인을 클릭하여 노드와 프록시 간의 네트워크 연결을 테스트합니다. 연결 테스트에 실패하는 경우, 이유 및 문제를 해결할 수 있는 방법을 표시하는 오류 메시지가 나타납니다. 외부 DNS 확인에 실패했다는 메시지가 나타나면 노드가 DNS 서버에 연결하지 못한 것입니다. 이 조건은 다양한 명시적 프록시 구성에서 예상되는 작동입니다. 설정을 계속 진행할 수 있으며, 노드는 차단된 외부 DNS 확인 모드로 작동하게 됩니다. 이것이 오류라고 생각되면 다음 단계를 완료한 후 차단된 외부 DNS 확인 모드 끄기를 참조하십시오.
5	연결 테스트를 통과한 후 https로만 설정된 명시적 프록시에 대해 설정을 토글하여 이 노드의 모든 포트 443/444 https 요청을 명시적 프록시를 통해 라우팅합니다. 이 설정이 적용될 때까지 15초 정도 소요됩니다.
6	모든 인증서를 신뢰 저장소에 설치(HTTPS 명시적 프록시 또는 투명 검사 프록시에 대해 나타남) 또는 재부팅(HTTP 명시적 프록시에 대해 나타남)을 클릭하고 안내를 읽은 후 준비되었을 때 설치를 클릭합니다. 노드는 몇 분 내에 재부팅됩니다.
7	노드가 재부팅되면 필요에 따라 다시 로그인한 후 개요 페이지를 열어 연결을 확인하고 모두 녹색 상태인지 확인합니다. 프록시 연결 확인은 webex.com의 하위 도메인만 테스트합니다. 연결에 문제가 있는 경우, 설치 지시 사항에 나열된 일부 클라우드 도메인이 프록시에서 차단되는 것은 일반적인 문제입니다.

클러스터에 첫 번째 노드 등록

첫 번째 노드를 등록할 때 해당 노드가 지정된 클러스터를 만듭니다. 클러스터에는 중복성을 제공하기 위해 배포된 한 개 이상의 노드가 포함됩니다.

시작하기 전에

노드의 등록을 시작하면 60분 이내에 완료해야 합니다. 그렇지 않으면 처음부터 다시 시작해야 합니다.
브라우저에 있는 팝업 차단기가 비활성화되었는지 또는 admin.webex.com에 대한 예외를 허용하는지 확인합니다.

1	https://admin.webex.com에 로그인합니다.
2	화면의 왼쪽에 있는 메뉴에서 서비스를 선택합니다.
3	하이브리드 서비스 섹션에서 하이브리드 데이터 보안을 찾고 설정을 클릭합니다. 하이브리드 데이터 보안 노드 등록 페이지가 나타납니다.
4	예를 선택하여 노드를 설정했으며 등록할 준비가 되었음을 표시한 후 다음을 클릭합니다.
5	첫 번째 필드에서 하이브리드 데이터 보안 노드를 할당할 클러스터의 이름을 입력합니다. 지리적으로 클러스터의 노드가 위치한 장소에 기반하여 클러스터의 이름을 지정할 것을 권장합니다. 예: "샌프란시스코" 또는 "뉴욕" 또는 "달라스"
6	두 번째 필드에 노드의 내부 IP 주소 또는 FQDN(Fully Qualified Domain Name)을 입력하고 다음을 클릭합니다. 이 IP 주소 또는 FQDN은 하이브리드 데이터 보안 VM 설정에서 사용한 IP 주소 또는 호스트 이름 및 도메인과 일치해야 합니다. 노드를 Webex에 등록할 수 있음을 나타내는 메시지가 나타납니다.
7	노드로 이동을 클릭합니다.
8	경고 메시지에서 계속을 클릭합니다. 잠시 후에 Webex 서비스에 대한 노드 연결 테스트로 리디렉션됩니다. 모든 테스트에 성공하면 하이브리드 데이터 보안 노드에 대한 액세스 허용 페이지가 나타납니다. 여기에서 노드에 액세스할 수 있는 권한을 Webex 조직에 부여하고자 하는지 확인합니다.
9	하이브리드 데이터 보안 노드에 액세스 허용 확인란을 선택한 후 계속을 클릭합니다. 계정의 유효성이 검증되고 "등록 완료" 메시지는 이제 노드가 Webex 클라우드에 등록되었음을 나타냅니다.
10	링크를 클릭하거나 탭을 닫아 Control Hub 하이브리드 데이터 보안 페이지로 돌아갑니다. 하이브리드 데이터 보안 페이지에서 등록한 노드가 포함된 새로운 클러스터가 표시됩니다. 노드는 클라우드에서 최신 소프트웨어를 자동으로 다운로드합니다.

추가 노드 만들기 및 등록

시작하기 전에

노드의 등록을 시작하면 60분 이내에 완료해야 합니다. 그렇지 않으면 처음부터 다시 시작해야 합니다.
브라우저에 있는 팝업 차단기가 비활성화되었는지 또는 admin.webex.com에 대한 예외를 허용하는지 확인합니다.

1	OVA에서 새로운 가상 머신을 만들고, HDS 호스트 OVA 설치의 단계를 반복합니다.
2	새로운 VM에 초기 구성을 설정하고 하이브리드 데이터 보안 VM 설정의 단계를 반복합니다.
3	새로운 VM에서 HDS 구성 ISO 업로드 및 마운트의 단계를 반복합니다.
4	배포를 위한 프록시를 설정하는 경우, 새 노드에 대해 필요에 따라 프록시 통합을 위한 HDS 노드 구성의 단계를 반복합니다.
5	노드를 등록합니다. https://admin.webex.com의 화면 왼쪽에 있는 메뉴에서 서비스를 선택합니다. 하이브리드 서비스 섹션에서 하이브리드 데이터 보안 카드를 찾아 리소스를 클릭합니다. 하이브리드 데이터 보안 리소스 페이지가 나타납니다. 리소스 추가를 클릭합니다. 첫 번째 필드에서 기존 클러스터의 이름을 선택합니다. 두 번째 필드에 노드의 내부 IP 주소 또는 FQDN(Fully Qualified Domain Name)을 입력하고 다음을 클릭합니다. 노드를 Webex 클라우드에 등록할 수 있음을 나타내는 메시지가 나타납니다. 노드로 이동을 클릭합니다. 잠시 후에 Webex 서비스에 대한 노드 연결 테스트로 리디렉션됩니다. 모든 테스트에 성공하면 하이브리드 데이터 보안 노드에 대한 액세스 허용 페이지가 나타납니다. 여기에서 귀하의 노드에 액세스할 수 있는 권한을 조직에 부여하고자 하는지 확인합니다. 하이브리드 데이터 보안 노드에 액세스 허용 확인란을 선택한 후 계속을 클릭합니다. 계정의 유효성이 검증되고 "등록 완료" 메시지는 이제 노드가 Webex 클라우드에 등록되었음을 나타냅니다. 링크를 클릭하거나 탭을 닫아 Control Hub 하이브리드 데이터 보안 페이지로 돌아갑니다. 노드가 등록되었습니다. 평가판을 시작할 때까지 노드는 서비스가 아직 활성화되지 않았음을 나타내는 알람을 생성합니다.

다음에 수행할 작업

평가판을 실행하고 프로덕션으로 이동

프로덕션 작업 흐름 평가판

시작하기 전에

1	해당하는 경우, `HdsTrialGroup` 그룹 개체. 조직에서 사용자에 대해 디렉터리 동기화를 사용하는 경우, `HdsTrialGroup` 평가판을 시작하기 전에 클라우드에 동기화를 위한 그룹 개체. 지침은 Cisco 디렉터리 커넥터의 배포 안내서를 참조하십시오.
2	평가판 활성화 실험을 시작하세요. 이 작업을 수행할 때까지 노드는 서비스가 아직 활성화되지 않았음을 나타내는 알람을 생성합니다.
3	하이브리드 데이터 보안 배포 테스트 주요 요청이 하이브리드 데이터 보안 배포로 전달되고 있는지 확인합니다.
4	하이브리드 데이터 보안 상태 모니터링 상태를 확인하고 알람에 대한 이메일 알림을 설정합니다.
5	평가판에서 사용자 추가 또는 제거
6	다음 작업 중 하나로 평가판 단계를 완료합니다. 평가판에서 프로덕션으로 이동 프로덕션으로 이동하지 않고 평가판 종료

평가판 활성화

시작하기 전에

1	https://admin.webex.com에 로그인한 후 서비스를 선택합니다.
2	하이브리드 데이터 보안 아래에서 설정을 클릭합니다.
3	서비스 상태 섹션에서 평가판 시작을 클릭합니다. 서비스 상태가 평가판 모드로 변경됩니다.
4	암호화 및 인덱싱 서비스를 위해 하이브리드 데이터 보안 노드를 사용하여 파일럿할 사용자 추가를 클릭하고 한 명 이상의 사용자의 이메일 주소를 입력합니다. (조직에서 디렉터리 동기화를 사용하는 경우, Active Directory를 사용하여 평가판 그룹을 관리합니다. `HdsTrialGroup`.)

하이브리드 데이터 보안 배포 테스트

이 절차를 사용하여 하이브리드 데이터 보안 암호화 시나리오를 테스트합니다.

시작하기 전에

하이브리드 데이터 보안 배포를 설정합니다.
평가판을 활성화하고 여러 평가판 사용자를 추가합니다.
키 요청이 하이브리드 데이터 보안 배포로 전달되고 있는지 확인하려면 syslog에 액세스할 수 있는지 확인하십시오.

새 스페이스에 메시지를 보냅니다.

syslog 출력을 확인하여 키 요청이 하이브리드 데이터 보안 배포에 전달되고 있는지 확인합니다.

다음과 같은 항목을 찾아야 합니다(가독성을 위해 식별자가 단축됨).

2020-07-21 17:35:34.562 (+0000) INFO  KMS [pool-14-thread-1] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, 
kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

KMS에서 기존 키를 요청하는 사용자를 확인하려면 kms.data.method=retrieve 선택하십시오. kms.data.type=KEY:

다음과 같은 항목을 찾을 수 있습니다.

2020-07-21 17:44:19.889 (+0000) INFO  KMS [pool-14-thread-31] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, 
kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, 
kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

새로운 KMS 키 생성을 요청하는 사용자를 확인하려면 다음을 필터링하십시오. kms.data.method=create 선택하십시오. kms.data.type=KEY_COLLECTION:

다음과 같은 항목을 찾을 수 있습니다.

2020-07-21 17:44:21.975 (+0000) INFO  KMS [pool-14-thread-33] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, 
kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, 
kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

다음과 같은 항목을 찾을 수 있습니다.

2020-07-21 17:44:22.808 (+0000) INFO  KMS [pool-15-thread-1] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

하이브리드 데이터 보안 상태 모니터링

1	Control Hub에서 화면 왼쪽에 있는 메뉴에서 서비스를 선택합니다.
2	하이브리드 서비스 섹션에서 하이브리드 데이터 보안을 찾고 설정을 클릭합니다. 하이브리드 데이터 보안 설정 페이지가 나타납니다.
3	이메일 알림 섹션에서 콤마로 구분하여 하나 이상의 이메일 주소를 입력하고 Enter를 누릅니다.

평가판에서 사용자 추가 또는 제거

평가판을 활성화하고 평가판 사용자의 초기 집합을 추가한 후 평가판이 활성화된 동안 언제든지 평가판 멤버를 추가하거나 제거할 수 있습니다.

1	Control Hub에 로그인한 후 서비스를 선택합니다.
2	하이브리드 데이터 보안 아래에서 설정을 클릭합니다.
3	서비스 상태 영역의 평가판 모드 섹션에서 사용자 추가를 클릭하거나 보기 및 편집을 클릭하여 평가판에서 사용자를 제거합니다.
4	추가할 한 명 이상의 사용자의 이메일 주소를 입력하거나, 사용자 ID로 X를 클릭하여 평가판에서 사용자를 제거합니다. 그 후 저장을 클릭합니다.

평가판에서 프로덕션으로 이동

1	Control Hub에 로그인한 후 서비스를 선택합니다.
2	하이브리드 데이터 보안 아래에서 설정을 클릭합니다.
3	서비스 상태 섹션에서 생산으로 이동을 클릭합니다.
4	모든 사용자를 프로덕션으로 이동하고자 하는지 확인합니다.

프로덕션으로 이동하지 않고 평가판 종료

1	Control Hub에 로그인한 후 서비스를 선택합니다.
2	하이브리드 데이터 보안 아래에서 설정을 클릭합니다.
3	비활성화 섹션에서 비활성화를 클릭합니다.
4	서비스를 비활성화하고 평가판을 종료할지 확인합니다.

HDS 구축 관리

여기에 설명된 작업을 사용하여 하이브리드 데이터 보안 배포를 관리합니다.

클러스터 업그레이드 일정 설정

업그레이드 일정을 설정하려면:

1	Control Hub에 로그인합니다.
2	개요 페이지의 하이브리드 서비스 아래에서 하이브리드 데이터 보안을 선택합니다.
3	하이브리드 데이터 보안 리소스 페이지에서 클러스터를 선택합니다.
4	오른쪽의 개요 목록에서 클러스터 설정 아래에서 클러스터 이름을 선택합니다.
5	설정 페이지에 있는 업그레이드 아래에서 업그레이드 예약에 대한 시간 및 시간대를 선택합니다. 참고: 시간대 아래에 다음 사용 가능한 업그레이드 날짜 및 시간이 표시됩니다. 필요한 경우엔 연기를 클릭하여 업그레이드를 다음 날로 연기할 수 있습니다.

노드 구성 변경

경우에 따라 다음과 같은 이유로 하이브리드 데이터 보안 노드의 구성을 변경해야 할 수도 있습니다.

만료 또는 기타 이유로 인해 x.509 인증서 변경.

인증서의 CN 도메인 이름 변경을 지원하지 않습니다. 도메인은 클러스터에 등록하기 위해 사용된 원래 도메인과 일치해야 합니다.

PostgreSQL 또는 Microsoft SQL Server 데이터베이스의 복제본으로 변경하도록 데이터베이스 설정 업데이트.

새 데이터 센터를 준비하기 위해 새 구성 생성.

소프트 재설정—이전 비밀번호 및 새 비밀번호는 모두 최대 10일 동안 유효합니다. 이 기간을 사용하여 노드에서 ISO 파일을 점진적으로 교체합니다.
하드 재설정—이전 비밀번호가 즉시 무효하게 됩니다.

비밀번호가 재설정 없이 만료되는 경우 HDS 서비스에 영향을 미치므로 즉시 하드 재설정을 수행하고 모든 노드에서 ISO 파일을 교체해야 합니다.

새 구성 ISO 파일을 생성하고 클러스터에 적용하려면 이 절차를 따르십시오.

시작하기 전에

설명	변수
인증되지 않은 HTTP 프록시	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
인증되지 않은 HTTPS 프록시	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
인증된 HTTP 프록시	`GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
인증된 HTTPS 프록시	`GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

새 구성을 생성하려면 현재 구성 ISO 파일의 사본이 필요합니다. ISO에는 PostgreSQL 또는 Microsoft SQL Server 데이터베이스를 암호화하는 마스터 키가 포함되어 있습니다. 데이터베이스 자격 증명, 인증서 업데이트 또는 인증 정책 변경을 포함하여 구성을 변경할 때 ISO가 필요합니다.

로컬 머신에서 Docker를 사용하여 HDS 설정 도구를 실행합니다.

머신의 명령줄에 사용자 환경에 적합한 명령을 입력합니다.

일반 환경:

docker rmi ciscocitg/hds-setup:stable

FedRAMP 환경:

docker rmi ciscocitg/hds-setup-fedramp:stable

이 단계에서는 이전 HDS 설정 도구 이미지를 정리합니다. 이전 이미지가 없는 경우 무시할 수 있는 오류를 반환합니다.

Docker 이미지 레지스트리에 로그인하려면 다음을 입력합니다.
```
docker login -u hdscustomersro
```
비밀번호 프롬프트에 이 해시를 입력합니다.
```
dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
```

사용자 환경에 맞는 최신 안정 이미지를 다운로드합니다.

일반 환경:

docker pull ciscocitg/hds-setup:stable

FedRAMP 환경:

docker pull ciscocitg/hds-setup-fedramp:stable

이 절차에 대해 최신 설정 도구를 사용하고 있는지 확인하십시오. 2018년 2월 22일 이전에 생성된 도구의 버전에는 비밀번호 재설정 화면이 없습니다.

풀이 완료되면 사용자 환경에 적합한 명령을 입력합니다.

프록시가 없는 일반 환경:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

HTTP 프록시가 있는 일반 환경:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

HTTPS 프록시가 있는 일반 환경:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

프록시가 없는 FedRAMP 환경:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

HTTP 프록시가 있는 FedRAMP 환경:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

HTTPS 프록시가 있는 FedRAMP 환경:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

컨테이너가 실행 중일 때 "포트 8080에서 수신하는 Express 서버"가 표시됩니다.

브라우저를 사용하여 로컬 호스트 에 연결합니다. http://127.0.0.1:8080.

설정 도구는 http://localhost:8080을 통해 localhost에 연결하는 것을 지원하지 않습니다. http://127.0.0.1:8080을(를) 사용하여 로컬 호스트에 연결합니다.

메시지가 표시되면 Control Hub 고객 로그인 자격 증명을 입력한 후 수락을 클릭하여 계속합니다.
현재 구성 ISO 파일을 가져옵니다.
안내에 따라 도구를 완료하고 업데이트된 파일을 다운로드합니다.

설정 도구를 종료하려면 다음을 입력합니다 CTRL+C.
다른 데이터 센터에서 업데이트된 파일의 백업 복사본을 만듭니다.

HDS 호스트 OVA를 설치합니다.
HDS VM을 설정합니다.
업데이트된 구성 파일을 마운트합니다.
Control Hub에서 새 노드를 등록합니다.

가상 머신의 전원을 끕니다.
VMware vSphere 클라이언트의 왼쪽 네비게이션 분할 창에서 VM을 오른쪽 클릭하고 설정 편집을 클릭합니다.
클릭 CD/DVD Drive 1 CD/DVD 드라이브 1을 클릭하고 ISO 파일에서 마운트하기 위한 옵션을 선택한 후 새 구성 ISO 파일을 다운로드한 위치를 찾습니다.
시동될 때 연결을 체크합니다.
변경 사항을 저장하고 가상 머신의 전원을 켭니다.

이전 구성을 실행하고 있는 나머지 각 노드에서 구성을 바꾸려면 3 단계를 반복하십시오.

차단된 외부 DNS 확인 모드 끄기

노드에서 내부 DNS 서버를 통해 공용 DNS 이름을 확인할 수 있는 경우, 각 노드에서 프록시 연결 테스트를 다시 실행하여 이 모드를 끌 수 있습니다.

시작하기 전에

내부 DNS 서버가 공용 DNS 이름을 확인할 수 있으며, 노드가 해당 서버와 통신할 수 있는지 확인합니다.

1	웹 브라우저에서 하이브리드 데이터 보안 노드 인터페이스(예: https://192.0.2.0/setup), IP 주소/설정)를 열고 노드에 대해 설정한 관리 자격 증명을 입력한 후 로그인을 클릭합니다.
2	개요 (기본 페이지)로 이동합니다. 활성화되면 차단된 외부 DNS 확인이 예로 설정됩니다.
3	신뢰 저장소 및 프록시 페이지로 이동합니다.
4	프록시 연결 확인을 클릭합니다. 외부 DNS 확인에 실패했다는 메시지가 나타나면 노드가 DNS 서버에 연결하지 못한 것이며, 이 모드에서 유지됩니다. 그렇지 않은 경우, 노드를 재부팅하고 개요 페이지로 돌아가면 차단된 외부 DNS 확인은 아니요로 설정됩니다.

다음에 수행할 작업

하이브리드 데이터 보안 클러스터의 각 노드에서 프록시 연결 테스트를 반복합니다.

노드 제거

컴퓨터의 VMware vSphere 클라이언트를 사용하여 ESXi 가상 호스트에 로그인하고 가상 머신의 전원을 끕니다.

노드 제거:

Control Hub에 로그인한 후 서비스를 선택합니다.
하이브리드 데이터 보안 카드에서 하이브리드 데이터 보안 리소스 페이지를 표시하려면 모두 보기를 클릭합니다.
클러스터를 선택하여 개요 목록을 표시합니다.
노드 목록 열기를 클릭합니다.
노드 탭에서 제거할 노드를 선택합니다.
를 클릭합니다. 작업 > 노드 등록 해제.

vSphere 클라이언트에서 VM을 삭제합니다. (왼쪽 탐색 창에서 VM을 마우스 오른쪽 버튼으로 클릭하고 삭제를 클릭합니다.)

VM을 삭제하지 않는 경우 구성 ISO 파일을 마운트 해제해야 합니다. ISO 파일이 없으면 VM을 사용하여 보안 데이터에 액세스할 수 없습니다.

대기 데이터 센터를 사용한 재해 복구

재해로 인해 기본 데이터 센터에서 HDS 배포를 사용할 수 없게 되는 경우 이 절차를 따라 대기 데이터 센터로 수동으로 장애 조치합니다.

HDS 설정 도구를 시작하고 HDS 호스트에 대한 구성 ISO 만들기에 설명된 단계를 따릅니다.

Syslogd 서버를 구성한 후 고급 설정을 클릭합니다.

고급 설정 페이지에서 아래 구성을 추가하거나 passiveMode 노드를 활성화하도록 구성합니다. 노드가 구성되면 트래픽을 처리할 수 있습니다.


passiveMode: 'false'

구성 프로세스를 완료하고 찾기 쉬운 위치에 ISO 파일을 저장합니다.

VMware vSphere 클라이언트의 왼쪽 탐색 창에서 VM을 마우스 오른쪽 버튼으로 클릭하고 설정 편집을 클릭합니다..

설정 편집 >CD/DVD 드라이브 1을 클릭하고 데이터스토어 ISO 파일을 선택합니다.

노드를 시작한 후에 업데이트된 구성 변경 사항이 적용될 수 있도록 Connected 및 Connect at power on이(가) 선택되었는지 확인하십시오.

HDS 노드의 전원을 켜고 최소 15분 동안 경보가 울리지 않도록 합니다.

대기 데이터 센터의 모든 노드에 대해 프로세스를 반복합니다.

syslog 출력을 확인하여 대기 데이터 센터의 노드가 패시브 모드가 아는지 확인합니다. "패시브 모드로 구성된 KMS"는 syslog에 표시되지 않아야 합니다.

다음에 수행할 작업

(선택 사항) HDS 구성 후 ISO 마운트 해제

시작하기 전에

모든 HDS 노드를 버전 2021.01.22.4720 이상으로 업그레이드합니다.

1	HDS 노드 중 하나를 종료합니다.
2	vCenter Server Appliance에서 HDS 노드를 선택합니다.
3	선택 설정 > CD/DVD 드라이브를 편집하고 데이터 저장소 ISO 파일을 선택 취소합니다.
4	HDS 노드의 전원을 켜고 최소 20분 동안 경보가 울리지 않도록 합니다.
5	각 HDS 노드에 대해 차례로 반복합니다.

하이브리드 데이터 보안 문제 해결하기

경고 보기 및 문제 해결하기

새 스페이스를 만들 수 없음(새 키를 만들 수 없음)
메시지 및 스페이스 제목이 해독되지 않음:
- 스페이스에 새로운 사용자가 추가됨(키를 가져올 수 없음)
- 새로운 클라이언트를 사용하여 스페이스에 있는 기존의 사용자(키를 가져올 수 없음)
클라이언트가 암호화 키의 캐시를 갖고 있는 한 스페이스에 있는 기존의 사용자는 계속 성공적으로 실행됩니다.

서비스가 중단되지 않도록 하이브리드 데이터 보안 클러스터를 올바르게 모니터링하고 즉시 알림을 처리하는 것이 중요합니다.

경고

표 1. 일반적인 문제 및 해결 단계
경고	작업
로컬 데이터베이스 액세스 실패.	데이터베이스 오류 또는 로컬 네트워크 문제를 확인합니다.
로컬 데이터베이스 연결 실패.	데이터베이스 서버를 사용할 수 있는지 확인하고 노드 구성에 올바른 서비스 계정 자격 증명이 사용되었는지 확인합니다.
클라우드 서비스 액세스 실패.	외부 연결 요구 사항에 지정된 대로 노드가 Webex 서버에 액세스할 수 있는지 확인합니다.
클라우드 서비스 등록 갱신.	클라우드 서비스에 대한 등록이 삭제되었습니다. 등록 갱신이 진행 중입니다.
클라우드 서비스 등록이 끊겼습니다.	클라우드 서비스에 대한 등록이 종료되었습니다. 서비스가 종료되고 있습니다.
서비스가 아직 활성화되지 않았습니다.	평가판을 활성화하거나, 평가판을 프로덕션으로 이동하는 작업을 마칩니다.
구성된 도메인이 서버 인증서와 일치하지 않습니다.	서버 인증서가 구성된 서비스 활성화 도메인과 일치하는지 확인합니다. 가장 큰 원인은 인증서 CN이 최근에 변경되었으며 이제 초기 설정 중에 사용된 CN과 다르다는 것입니다.
클라우드 서비스를 인증하지 못했습니다.	서비스 계정 자격 증명의 정확성 및 가능한 만료 여부를 확인합니다.
로컬 키 저장소 파일을 열지 못했습니다.	로컬 키 저장소 파일에서 무결성 및 암호 정확도를 확인합니다.
로컬 서버 인증서가 유효하지 않습니다.	서버 인증서의 만료 날짜를 확인하고 신뢰할 수 있는 인증 기관에서 발급했는지 확인합니다.
메트릭을 게시할 수 없음.	외부 클라우드 서비스에 대한 로컬 네트워크 액세스를 확인합니다.
/media/configdrive/hds 디렉토리가 없습니다.	가상 호스트에서 ISO 마운트 구성을 확인합니다. ISO 파일이 존재하는지, 재부팅 시 마운트하도록 구성되었는지, 성공적으로 마운트되는지 확인합니다.

하이브리드 데이터 보안 문제 해결하기

하이브리드 데이터 보안의 문제를 해결할 때 다음 일반 지침을 사용하십시오.

1	알림에 대해 Control Hub를 검토하고 발견한 항목을 수정합니다.
2	하이브리드 데이터 보안 배포에서 활동에 대한 syslog 서버 출력을 검토합니다.
3	Cisco 고객 지원에 문의하십시오.

기타 메모

하이브리드 데이터 보안의 알려진 문제

(Control Hub에서 삭제하거나 모든 노드를 종료하여) 하이브리드 데이터 보안 클러스터를 종료하거나, 구성 ISO 파일을 잃거나, 키 저장소 데이터베이스에 대한 액세스를 잃는 경우, KMS에서 키로 생성된 사용자 목록 아래에서 Webex 앱 사용자는 더 이상 스페이스를 사용할 수 없습니다. 이는 평가판 및 프로덕션 배포 모두에 적용됩니다. 현재 이 문제에 대한 해결 방법이나 수정 사항이 없으며, 활동 중인 사용자 계정을 처리하는 동안 HDS 서비스를 종료하지 말 것을 권장합니다.
KMS에 대한 기존 ECDH 연결이 있는 클라이언트는 일정 기간(1시간 정도) 동안 연결을 유지합니다. 사용자가 하이브리드 데이터 보안 평가판의 멤버가 되면 사용자의 클라이언트는 시간이 초과될 때까지 기존의 ECDH 연결을 계속 사용합니다. 또는 사용자는 Webex 앱 앱에 로그아웃하고 다시 로그인하여 앱이 암호화 키에 대해 연락하는 위치를 업데이트할 수도 있습니다.

조직에 대해 평가판을 프로덕션으로 이동할 때 동일한 동작이 발생합니다. 이전 데이터 보안 서비스에 대한 기존의 ECDH 연결을 사용하는 평가판 외의 모든 사용자는 ECDH 연결이 재협상될 때까지(시간 초과 또는 로그아웃하고 다시 로그인할 때까지) 해당 서비스를 계속 사용합니다.

OpenSSL을 사용하여 PKCS12 파일 생성

시작하기 전에

OpenSSL은 PKCS12 파일을 HDS 설정 도구에 로드하기 위한 적절한 형식으로 만드는 데 사용할 수 있는 도구 중 하나입니다. 다른 방법이 있는데, 우리는 다른 방법을 지지하거나 홍보하지 않습니다.
OpenSSL을 사용하기로 선택하는 경우, 이 절차를 X.509 인증서 요구 사항에서 X.509 인증서 요구 사항을 충족하는 파일을 만드는 데 도움이 되는 지침으로 제공하고 있습니다. 계속하기 전에 이러한 요구 사항을 이해하십시오.
지원되는 환경에 OpenSSL을 설치합니다. 소프트웨어 및 설명서는 https://www.openssl.org를 참조하십시오.
개인 키를 만듭니다.
CA(Certificate Authority)에서 서버 인증서를 수신하면 이 절차를 시작합니다.

1	CA에서 서버 인증서를 수신하면 다음과 같이 저장합니다. `hdsnode.pem`.
2	인증서를 텍스트로 표시하고 세부 사항을 확인합니다. `openssl x509 -text -noout -in hdsnode.pem`
3	텍스트 편집기를 사용하여 인증서 번들 파일을 생성합니다. `hdsnode-bundle.pem`. 번들 파일에는 서버 인증서, 모든 중간 CA 인증서 및 루트 CA 인증서가 아래 형식으로 포함되어야 합니다. `-----BEGIN CERTIFICATE----- ### Server certificate. ### -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ### Intermediate CA certificate. ### -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ### Root CA certificate. ### -----END CERTIFICATE-----`
4	친숙한 이름으로 .p12 파일 만들기 `kms-private-key`. `openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12`
5	서버 인증서 세부 사항을 확인합니다. `openssl pkcs12 -in hdsnode.p12` 프롬프트에서 비밀번호를 입력하여 개인 키를 암호화하여 출력에 나열합니다. 그런 다음 개인 키 및 첫 번째 인증서에 회선이 포함되어 있는지 확인합니다. `friendlyName: kms-private-key`. 예: bash$ openssl pkcs12 -in hdsnode.p12 Enter Import Password: MAC verified OK Bag Attributes friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Key Attributes: <No Attributes> Enter PEM pass phrase: Verifying - Enter PEM pass phrase: -----BEGIN ENCRYPTED PRIVATE KEY----- <redacted> -----END ENCRYPTED PRIVATE KEY----- Bag Attributes friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 -----BEGIN CERTIFICATE----- <redacted> -----END CERTIFICATE----- Bag Attributes friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3 -----BEGIN CERTIFICATE----- <redacted> -----END CERTIFICATE-----

다음에 수행할 작업

원본 인증서가 만료되면 해당 파일을 다시 사용하여 새 인증서를 요청할 수 있습니다.

HDS 노드와 클라우드 간의 트래픽

아웃바운드 메트릭 수집 트래픽

인바운드 교통

하이브리드 데이터 보안 노드는 Webex 클라우드에서 다음 유형의 인바운드 트래픽을 수신합니다.

암호화 서비스에 의해 라우팅되는 클라이언트의 암호화 요청
노드 소프트웨어로 업그레이드

하이브리드 데이터 보안에 대해 Squid 프록시 구성

웹 소켓은 Squid 프록시를 통해 연결할 수 없음

Squid 4 및 5

추가 on_unsupported_protocol 지시 사항 squid.conf:

on_unsupported_protocol tunnel all

Squid 3.5.27

acl wssMercuryConnection ssl::server_name_regex mercury-connection

ssl_bump splice wssMercuryConnection

acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all

서문

신규 및 변경된 정보

날짜

변경 사항

2023년 10월 20일

데이터베이스 서버 요구 사항에서 정보를 업데이트했습니다.
재해 복구를 위한 대기 데이터 센터 설정을 추가했습니다.
대기 데이터 센터를 사용하여 재해 복구를 위한 대기 데이터 센터 및 재해 복구에 대한 정보 업데이트.

2023년 8월 7일

설치 파일 다운로드에 메모를 추가했습니다.
HDS 호스트에 대한 구성 ISO 만들기 및 노드 구성 변경에 메모를 추가했습니다.

2023년 5월 23일

계정 팀에 연락하여 기능을 활성화하도록 요청하는 데이터베이스 서버 요구 사항에서 정보를 삭제했습니다.
외부 연결 요구 사항에서 정보를 업데이트하고 CI 호스트 테이블에 캐나다를 추가했습니다.
키를 클라우드로 다시 이동하는 메커니즘의 가용성 해제에 관한 하이브리드 데이터 보안 배포에 대한 기대치에 메모를 추가했습니다.

2022년 12월 06일

이제 HDS 설정 도구 이미지가 다음 위치에서 호스트됩니다. ciscocitg 도커허브 리포지토리.
업데이트된 HDS 호스트에 대한 구성 ISO 만들기 및 노드 구성 주제를 변경하여 명령의 변경 사항을 다시 적용합니다.

2022년 11월 23일

이제 HDS 노드는 Microsoft SQL Server에 대한 Windows 인증을 사용할 수 있습니다.

이 인증 모드에 대한 추가 요구 사항으로 데이터베이스 서버 요구 사항 주제를 업데이트했습니다.

노드에서 Windows 인증을 구성하는 절차를 사용하여 HDS 호스트에 대한 구성 ISO 만들기를 업데이트했습니다.
새로운 최소 필수 버전(PostgreSQL 10)으로 데이터베이스 서버 요구 사항 주제를 업데이트했습니다.

2021년 10월 13일

HDS 노드를 설치하려면 Docker Desktop이 설치 프로그램을 실행해야 합니다. Docker 데스크톱 요구 사항을 참조하십시오.

2021년 6월 24일

비공개 키 파일 및 CSR을 다시 사용하여 다른 인증서를 요청할 수 있습니다. 자세한 내용은 OpenSSL을 사용하여 PKCS12 파일 생성을 참조하십시오.

2021년 4월 30일

로컬 하드 디스크 공간에 대한 VM 요구 사항을 30GB로 변경했습니다. 자세한 내용은 가상 호스트 요구 사항을 참조하십시오.

2021년 2월 24일

이제 HDS 설정 도구는 프록시 뒤에서 실행할 수 있습니다. 자세한 내용은 HDS 호스트에 대한 구성 ISO 만들기를 참조하십시오.

2021년 2월 2일

이제 HDS는 마운트된 ISO 파일 없이 실행할 수 있습니다. 자세한 내용은 (선택 사항) HDS 구성 후 ISO 마운트 해제를 참조하십시오.

2021년 1월 11일 수요일

HDS 설정 도구 및 프록시에 대한 정보를 추가하여 HDS 호스트에 대한 구성 ISO 만들기.

2020년 10월 13일

설치 파일 다운로드가 업데이트되었습니다.

2020년 10월 8일

업데이트된 HDS 호스트에 대한 구성 ISO 생성 및 FedRAMP 환경에 대한 명령어로 노드 구성 변경.

2020년 8월 14일

HDS 호스트에 대한 구성 ISO 생성 및 로그인 프로세스에 대한 변경 사항으로 노드 구성 변경이 업데이트되었습니다.

2020년 8월 5일

로그 메시지의 변경 사항에 대해 하이브리드 데이터 보안 배포 테스트를 업데이트했습니다.

최대 호스트 수를 제거하려면 가상 호스트 요구 사항을 업데이트했습니다.

2020년 6월 16일

Control Hub UI에서 변경 사항에 대해 노드 제거가 업데이트되었습니다.

2020년 6월 4일

설정한 고급 설정의 변경 사항에 대해 HDS 호스트에 대한 구성 ISO 만들기를 업데이트했습니다.

2020년 5월 29일

업데이트된 HDS 호스트에 대한 구성 ISO 생성은 SQL Server 데이터베이스, UI 변경 사항 및 기타 설명과 함께 TLS를 사용할 수도 있음을 표시합니다.

2020년 5월 5일

ESXi 6.5의 새로운 요구 사항을 표시하기 위해 가상 호스트 요구 사항을 업데이트했습니다.

2020년 4월 21일

새로운 Americas CI 호스트를 사용하여 외부 연결 요구 사항을 업데이트했습니다.

2020년 4월 1일 수요일

지역 CI 호스트에 대한 정보를 사용하여 외부 연결 요구 사항을 업데이트했습니다.

2020년 2월 20일 HDS 설정 도구의 새로운 선택적 고급 설정 화면에 대한 정보를 사용하여 HDS 호스트에 대한 구성 ISO 생성을 업데이트했습니다.

2020년 2월 4일 수요일 프록시 서버 요구 사항을 업데이트함.

2019년 12월 16일 프록시 서버 요구 사항에서 작동하도록 차단된 외부 DNS 확인 모드에 대한 요구 사항을 명확화했습니다.

2019년 11월 19일

다음 섹션에서 차단된 외부 DNS 확인 모드에 대한 정보를 추가했습니다.

프록시 지원
프록시 통합에 대해 HDS 노드 구성
차단된 외부 DNS 확인 모드 끄기

2019년 11월 8일

이제 이후 대신 OVA를 배포하는 동안 노드에 대한 네트워크 설정을 구성할 수 있습니다.

그에 따라 다음 섹션을 업데이트함:

하이브리드 데이터 보안 배포 작업 흐름
HDS 호스트 OVA 설치
하이브리드 데이터 보안 VM 설정

OVA 배포 중에 네트워크 설정을 구성하는 옵션은 ESXi 6.5에서 테스트되었습니다. 해당 옵션은 이전 버전에서 사용할 수 없을 수도 있습니다.

2019년 9월 6일

데이터베이스 서버 요구 사항에 SQL Server Standard를 추가했습니다.

2019년 8월 20일

Webex 클라우드에 대한 하이브리드 데이터 보안 노드 통신에 대한 프록시 지원을 커버하기 위해 섹션을 추가하고 업데이트했습니다.

프록시 지원
프록시 서버 요구 사항
프록시 통합에 대해 HDS 노드 구성

2019년 3월 6일 수요일

요구 사항과 전제 조건을 별도의 장으로 이동하여 환경 준비.
하이브리드 데이터 보안 클러스터 설정 장에 하이브리드 데이터 보안 배포 작업 흐름 개요를 추가했습니다.

평가판을 시작할 때까지(후속 장의 지침을 사용하여) 노드는 서비스가 아직 활성화되지 않았음을 알리는 알람을 생성합니다.
평가판을 프로덕션 작업 흐름에 추가함. 평가판을 실행하고 프로덕션으로 이동.

2019년 2월 28일 목요일

OVA가 생성하는 디스크의 크기를 반영하기 위해 하이브리드 데이터 보안 노드가 되는 가상 호스트를 50GB에서 20GB로 준비할 때 별도로 설정해야 하는 서버당 로컬 하드 디스크 공간의 양을 수정했습니다.

2019년 2월 26일

이제 하이브리드 데이터 보안 노드는 PostgreSQL 데이터베이스 서버로 암호화된 연결을 지원하고 TLS 지원 syslog 서버에 암호화된 로깅 연결을 지원합니다. 지침이 포함된 HDS 호스트에 대한 구성 ISO 만들기를 업데이트했습니다.
"하이브리드 데이터 보안 노드 VM에 대한 인터넷 연결 요구 사항" 테이블에서 대상 URL을 제거했습니다. 이제 표는 Webex Teams 서비스에 대한 네트워크 요구 사항의 "Webex Teams 하이브리드 서비스에 대한 추가 URL" 표에 유지되는 목록을 나타냅니다.

2019년 1월 24일

2018년 11월 5일 수요일

HDS 호스트에 대한 구성 ISO 만들기 및 노드 구성 변경에서 기존 도커 hds 인스턴스를 정리하는 예비 단계를 추가했습니다.
인터페이스와 일치하도록 HDS 호스트에 대한 구성 ISO 만들기에서 키 액세스 수준 단계를 업데이트했습니다.

2018년 10월 19일

하이브리드 데이터 보안에 대한 전제 조건 완료에서 방화벽 연결 정보를 노드 요구 사항 및 ISO 구성 기계 요구 사항으로 분할합니다.

2018년 7월 31일

하이브리드 데이터 보안에 대한 전제 조건을 완료하기 위해 포트 22(SSH 액세스) 및 NAT 및 방화벽 연결에 대한 정보를 추가했습니다.

2018년 5월 21일

Cisco Spark의 리브랜딩을 반영하기 위해 용어를 변경함:

이제 Cisco Spark 하이브리드 데이터 보안은 하이브리드 데이터 보안입니다.
이제 Cisco Spark 앱은 Webex 앱 앱입니다.
이제 Cisco Collaboraton Cloud는 Webex 클라우드입니다.

2018년 4월 11일 화요일

재해 복구를 위한 대기 데이터 센터가 추가되었습니다.
업데이트됨 하이브리드 데이터 보안에 대한 전제 조건 완료는 백업 환경이 다른 데이터 센터에 있어야 함을 지정합니다.
대기 데이터 센터를 사용하여 재해 복구를 업데이트했습니다.

2018년 2월 22일

서비스 계정 비밀번호 9개월 수명에 대한 정보를 추가하고 HDS 설정 도구를 사용하여 서비스 계정 비밀번호를 재설정하는 방법을 사용하여 HDS 호스트에 대한 구성 ISO 만들기 및 노드 구성 변경.

2018년 2월 15일 목요일

X.509 인증서 요구 사항 표에서 인증서가 와일드카드 인증서가 될 수 없으며 KMS가 x.509v3 SAN 필드에 정의된 도메인이 아닌 CN 도메인을 사용한다고 지정했습니다.

2018년 1월 18일 목요일

부록, HDS 노드와 클라우드 간의 트래픽 추가.
하이브리드 데이터 보안에 대해 알려진 문제에서 해결된 문제를 제거했습니다.
index.docker.io를 *.docker.io로 변경하고 하이브리드 데이터 보안에 대한 전제 조건 완료의 HDS 노드에 대한 TCP 연결 요구 사항 목록에 *.cloudfront.net을 추가했습니다.
업데이트된 HDS 호스트에 대한 구성 ISO 생성은 데이터베이스 호스트 및 Syslogd 서버가 HDS 노드에서 DNS 확인할 수 없는 경우 IP 주소를 사용하여 구성해야 함을 나타냅니다.

2017년 11월 2일 수요일

HdsTrialGroup의 디렉터리 동기화를 명확히 함.
VM 노드에 마운트하기 위해 ISO 구성 파일을 업로드하는 방법을 수정했습니다.

2017년 8월 18일

첫 번째 출판

하이브리드 데이터 보안 시작하기

하이브리드 데이터 보안 개요

보안 영역 아키텍처

Webex 클라우드 아키텍처는 아래에 설명된 대로 다른 유형의 서비스를 별도의 영역 또는 신뢰 도메인으로 분리합니다.

클라이언트는 키 관리 서비스(KMS)와 보안 연결을 설정한 후 메시지를 암호화하기 위해 키를 요청합니다. 보안 연결은 ECDH를 사용하며, KMS는 AES-256 마스터 키를 사용하여 키를 암호화합니다.
메시지가 클라이언트에서 나가기 전에 암호화됩니다. 클라이언트는 이를 인덱싱 서비스로 전송하며, 이는 암호화된 검색 인덱스를 생성하여 콘텐츠에 대한 향후 검색을 지원합니다.
암호화된 메시지는 준수 확인을 위해 준수 서비스로 전송됩니다.
암호화된 메시지는 스토리지 영역에 저장됩니다.

다른 조직과의 협업

하이브리드 데이터 보안 배포에 대한 기대

하이브리드 데이터 보안 배포에는 중요한 고객 노력과 암호화 키를 소유하는 위험에 대한 인식이 필요합니다.

하이브리드 데이터 보안을 배포하려면 다음을 제공해야 합니다.

Cisco Webex Teams 플랜에 대해 지원되는 위치에 있는 국가의 보안 데이터 센터.
환경 준비에 설명된 장비, 소프트웨어 및 네트워크 액세스.

데이터베이스 및 구성 ISO의 백업 및 복구를 관리합니다.
데이터베이스 디스크 오류 또는 데이터 센터 재해와 같은 재해가 발생하는 경우 빠른 재해 복구를 수행할 수 있도록 준비하십시오.

HDS 배포 후 키를 클라우드로 다시 이동하는 메커니즘은 없습니다.

고급 설정 프로세스

이 문서는 하이브리드 데이터 보안 배포의 설정 및 관리를 다룹니다.

하이브리드 데이터 보안 설정—여기에는 필수 인프라 준비 및 하이브리드 데이터 보안 소프트웨어 설치, 평가판 모드의 사용자 하위 집합으로 배포 테스트 및 테스트가 완료되면 프로덕션으로 이동하는 작업이 포함됩니다. 이는 전체 조직을 변환하여 보안 기능에 대해 하이브리드 데이터 보안 클러스터를 사용합니다.
설정, 평가판 및 생산 단계는 다음 세 장에서 자세히 다룹니다.
하이브리드 데이터 보안 배포 유지 관리—Webex 클라우드는 자동으로 진행 중인 업그레이드를 제공합니다. IT 부서는 이 배포에 대해 1단계 지원을 제공하고 필요에 따라 Cisco 지원을 참여할 수 있습니다. Control Hub에서 화면 내 알림을 사용하고 이메일 기반 경고를 설정할 수 있습니다.
일반적인 경고, 문제 해결 단계 및 알려진 문제를 이해합니다—하이브리드 데이터 보안을 배포하거나 사용하는 데 문제가 발생하는 경우, 이 안내서의 마지막 장과 알려진 문제 부록은 문제를 결정하고 해결하는 데 도움이 될 수 있습니다.

하이브리드 데이터 보안 배포 모델

하이브리드 데이터 보안 배포 모델

Control Hub에서 노드를 등록하면 노드가 활성화됩니다. 개별 노드를 서비스 중단하려면 등록을 취소하고 필요한 경우 나중에 다시 등록할 수 있습니다.

조직당 단일 클러스터만 지원합니다.

하이브리드 데이터 보안 평가판 모드

재해 복구를 위한 대기 데이터 센터

배포 중에 보안 대기 데이터 센터를 설정합니다. 데이터 센터 재해가 발생하면 대기 데이터 센터로 수동으로 배포에 실패할 수 있습니다.

활성 하이브리드 데이터 보안 노드는 항상 활성 데이터베이스 서버와 동일한 데이터 센터에 있어야 합니다.

재해 복구를 위한 대기 데이터 센터 설정

대기 데이터 센터의 ISO 파일을 구성하려면 아래 단계를 따르십시오.

시작하기 전에

대기 데이터 센터는 VM의 생산 환경 및 백업 PostgreSQL 또는 Microsoft SQL Server 데이터베이스를 반영해야 합니다. 예를 들어, 프로덕션에 HDS 노드를 실행하는 3개의 VM이 있는 경우 백업 환경에는 3개의 VM이 있어야 합니다. (이 페일오버 모델에 대한 개요는 재해 복구를 위한 대기 데이터 센터 참조)
활성 및 수동 클러스터 노드의 데이터베이스 간에 데이터베이스 동기화가 활성화되어 있는지 확인합니다.

HDS 설정 도구를 시작하고 HDS 호스트에 대한 구성 ISO 만들기에 설명된 단계를 따릅니다.

ISO 파일은 기본 데이터 센터의 원래 ISO 파일의 복사본이어야 하며, 다음 구성 업데이트가 이루어져야 합니다.

Syslogd 서버를 구성한 후 고급 설정을 클릭합니다.


passiveMode: 'true'

구성 프로세스를 완료하고 찾기 쉬운 위치에 ISO 파일을 저장합니다.

VMware vSphere 클라이언트의 왼쪽 탐색 창에서 VM을 마우스 오른쪽 버튼으로 클릭하고 설정 편집을 클릭합니다..

설정 편집 >CD/DVD 드라이브 1을 클릭하고 데이터스토어 ISO 파일을 선택합니다.

노드를 시작한 후에 업데이트된 구성 변경 사항이 적용될 수 있도록 Connected 및 Connect at power on이(가) 선택되었는지 확인하십시오.

HDS 노드의 전원을 켜고 최소 15분 동안 경보가 울리지 않도록 합니다.

대기 데이터 센터의 모든 노드에 대해 프로세스를 반복합니다.

syslogs를 확인하여 노드가 수동 모드인지 확인합니다. syslog에서 "KMS가 수동 모드로 구성됨" 메시지를 볼 수 있어야 합니다.

다음에 수행할 작업

프록시 지원

하이브리드 데이터 보안 노드는 다음 프록시 옵션을 지원합니다.

프록시 없음—프록시를 통합하기 위해 HDS 노드 설정 신뢰 저장소 및 프록시 구성을 사용하지 않는 경우에 기본값입니다. 인증서를 업데이트하지 않아도 됩니다.
투명 비-검사 프록시—노드가 특정 프록시 서버 주소를 사용하도록 구성되어 있지 않으며, 비-검사 프록시에서 작동하도록 변경할 것을 요구하지 않습니다. 인증서를 업데이트하지 않아도 됩니다.
투명 터널링 또는 검사 프록시—노드가 특정 프록시 서버 주소를 사용하도록 구성되어 있지 않습니다. 노드에서 HTTP 또는 HTTPS 구성을 변경하지 않아도 됩니다. 단, 노드에 루트 인증서가 있어야 프록시를 신뢰할 수 있습니다. 일반적으로 검사 프록시는 IT가 어떤 웹사이트를 방문할 수 있는지 및 어떤 유형의 콘텐츠가 허용되는지에 대한 정책을 적용하기 위해 사용됩니다. 이러한 유형의 프록시는 모든 트래픽(HTTPS 포함)을 해독합니다.
명시적 프록시—명시적 프록시를 사용하여 HDS 노드가 어떤 프록시 서버 및 인증 구성표를 사용하는지 알 수 있습니다. 명시적 프록시를 구성하려면 각 노드에 다음 정보를 입력해야 합니다.
1. 프록시 IP/FQDN—프록시 머신에 연결하기 위해 사용할 수 있는 주소입니다.
2. 프록시 포트—프록시가 프록시된 트래픽을 탐지하기 위해 사용하는 포트 번호입니다.
3. 프록시 프로토콜—프록시 서버에서 지원하는 내용에 따라 다음 프로토콜 중에서 선택합니다.
  - HTTP—클라이언트가 전송하는 모든 요청을 확인하고 제어합니다.
  - HTTPS—서버에 채널을 제공합니다. 클라이언트는 서버의 인증서를 수신하고 유효성을 검증합니다.
4. 인증 유형—다음 인증 유형 중에서 선택합니다.
  - 없음—추가 인증이 필요하지 않습니다.
    
    HTTP 또는 HTTPS를 프록시 프로토콜로 선택하는 경우에 사용할 수 있습니다.
  - 기본—요청을 제출할 때 HTTP 사용자 에이전트가 사용자 이름 및 비밀번호를 제공하기 위해 사용됩니다. Base64 인코딩을 사용합니다.
    
    HTTP 또는 HTTPS를 프록시 프로토콜로 선택하는 경우에 사용할 수 있습니다.
    
    각 노드에서 사용자 이름 및 비밀번호를 입력하도록 요구합니다.
  - 다이제스트—민감한 정보를 보내기 전에 계정을 확인하기 위해 사용됩니다. 네트워크를 통해 전송하기 전에 사용자 이름 및 비밀번호에 해시 기능을 적용합니다.
    
    HTTPS를 프록시 프로토콜로 선택하는 경우에만 사용할 수 있습니다.
    
    각 노드에서 사용자 이름 및 비밀번호를 입력하도록 요구합니다.

하이브리드 데이터 보안 노드 및 프록시의 예제

차단된 외부 DNS 확인 모드 끄기 (명시적 프록시 구성)

환경 준비

하이브리드 데이터 보안의 요구 사항

Cisco Webex 라이센스 요구 사항

하이브리드 데이터 보안을 배포하려면:

Cisco Webex Control Hub용 Pro Pack이 있어야 합니다. (https://www.cisco.com/go/pro-pack 참조)

Docker 데스크톱 요구 사항

X.509 인증서 요구 사항

인증서 체인은 다음 요구 사항을 충족해야 합니다.

표 1. 하이브리드 데이터 보안 배포에 대한 X.509 인증서 요구 사항
요구 사항	세부 정보
신뢰할 수 있는 인증 기관(CA)이 서명함	기본적으로 https://wiki.mozilla.org/CA:IncludedCAs의 Mozilla 목록(WoSign 및 StartCom 제외)의 CA를 신뢰합니다.
하이브리드 데이터 보안 배포를 식별하는 CN(공통 이름) 도메인 이름이 있습니다. 와일드카드 인증서가 아님	CN에 연결할 수 있거나 실시간 호스트가 필요하지 않습니다. 예를 들어, 조직을 반영하는 이름을 사용할 것을 권장합니다. `hds.company.com`. CN에는 *(와일드카드)가 포함되어서는 안 됩니다. CN은 Webex 앱 클라이언트에 대한 하이브리드 데이터 보안 노드를 확인하는 데 사용됩니다. 클러스터의 모든 하이브리드 데이터 보안 노드는 동일한 인증서를 사용합니다. KMS는 x.509v3 SAN 필드에 정의된 도메인이 아닌 CN 도메인을 사용하여 자신을 식별합니다. 이 인증서에 노드를 등록하면 CN 도메인 이름 변경을 지원하지 않습니다. 평가판 및 프로덕션 배포 모두에 적용할 수 있는 도메인을 선택합니다.
Non-SHA1 서명	KMS 소프트웨어는 다른 조직의 KMS와의 연결을 검증하기 위해 SHA1 서명을 지원하지 않습니다.
암호로 보호된 PKCS #12 파일로 포맷 친근한 이름 사용 `kms-private-key` 을(를) 사용하여 업로드할 인증서, 비공개 키 및 중간 인증서에 태그를 지정합니다.	OpenSSL과 같은 변환기를 사용하여 인증서의 형식을 변경할 수 있습니다. HDS 설정 도구를 실행할 때 암호를 입력해야 합니다.

가상 호스트 요구 사항

클러스터에서 하이브리드 데이터 보안 노드로 설정하는 가상 호스트는 다음 요구 사항을 충족합니다.

동일한 보안 데이터 센터에서 두 개 이상의 별도의 호스트(3개 권장)가 공동 처리됨
VMware ESXi 6.5(이상) 설치 및 실행 중.

이전 버전의 ESXi가 있는 경우 업그레이드해야 합니다.
최소 4개의 vCPU, 8GB 기본 메모리, 서버당 30GB 로컬 하드 디스크 공간

데이터베이스 서버 요구 사항

데이터베이스 서버에 대한 두 가지 옵션이 있습니다. 각 요구 사항은 다음과 같습니다.

표 2. 데이터베이스 유형별 데이터베이스 서버 요구 사항

PostgreSQL 소개

Microsoft SQL 서버

PostgreSQL 14, 15 또는 16, 설치 및 실행.

SQL Server 2016, 2017 또는 2019 (Enterprise 또는 Standard)가 설치되었습니다.

SQL Server 2016에는 서비스 팩 2 및 누적 업데이트 2 이상이 필요합니다.

HDS 소프트웨어는 현재 데이터베이스 서버와의 통신을 위해 다음 드라이버 버전을 설치합니다.

PostgreSQL 소개

Microsoft SQL 서버

Postgres JDBC 드라이버 42.2.5

SQL Server JDBC 드라이버 4.6

이 드라이버 버전은 SQL Server Always On(Always On Failover 클러스터 인스턴스 및 Always On 가용성 그룹)을 지원합니다.

Microsoft SQL Server에 대한 Windows 인증에 대한 추가 요구 사항

HDS 노드가 Windows 인증을 사용하여 Microsoft SQL Server의 키 저장소 데이터베이스에 액세스하도록 하려면 환경에서 다음 구성이 필요합니다.

HDS 노드, Active Directory 인프라 및 MS SQL 서버가 모두 NTP와 동기화되어야 합니다.
HDS 노드에 제공하는 Windows 계정은 데이터베이스에 대한 읽기/쓰기 액세스 권한이 있어야 합니다.
HDS 노드에 제공하는 DNS 서버는 KDC(Key Distribution Center)를 확인할 수 있어야 합니다.
Microsoft SQL Server에서 HDS 데이터베이스 인스턴스를 Active Directory의 SPN(Service Principal Name)으로 등록할 수 있습니다. Kerberos Connections에 대한 서비스 기본 이름 등록을 참조하십시오.

HDS 설정 도구, HDS 실행기 및 로컬 KMS는 모두 Windows 인증을 사용하여 키 저장소 데이터베이스에 액세스해야 합니다. ISO 구성의 세부 정보를 사용하여 Kerberos 인증으로 액세스를 요청할 때 SPN을 구성합니다.

외부 연결 요구 사항

HDS 애플리케이션에 대해 다음 연결을 허용하도록 방화벽을 구성합니다.

응용프로그램	프로토콜	포트	앱에서 방향	대상
하이브리드 데이터 보안 노드	TCP	443	아웃바운드 HTTPS 및 WSS	Webex 서버: .wbx2.com .ciscospark.com 모든 공통 ID 호스트 Webex 서비스에 대한 네트워크 요구 사항의 Webex 하이브리드 서비스에 대한 추가 URL 표에 하이브리드 데이터 보안에 대해 나열된 기타 URL
HDS 설정 도구	TCP	443	아웃바운드 HTTPS	*.wbx2.com 모든 공통 ID 호스트 이메일: info@docker.com

CI(Common Identity) 호스트에 대한 URL은 지역에 따라 다릅니다. 현재 CI 호스트는 다음과 같습니다.

지역	공통 ID 호스트 URL
Americas	https://idbroker.webex.com https://identity.webex.com https://idbroker-b-us.webex.com https://identity-b-us.webex.com
유럽 연합	https://idbroker-eu.webex.com https://identity-eu.webex.com
캐나다	https://idbroker-ca.webex.com https://identity-ca.webex.com

프록시 서버 요구 사항

하이브리드 데이터 보안 노드에 통합할 수 있는 다음 프록시 솔루션을 공식적으로 지원합니다.

투명 프록시—Cisco Web Security Appliance (WSA).

명시적 프록시—Squid.

명시적 프록시에 대해 다음 인증 유형 조합을 지원합니다.
- HTTP 또는 HTTPS로 인증하지 않음
- HTTP 또는 HTTPS로 기본 인증
- HTTPS로만 다이제스트 인증
투명 검사 프록시 또는 HTTPS 명시적 프록시에 대해 프록시 루트 인증서의 복사본이 있어야 합니다. 이 안내서의 배포 지시 사항은 하이브리드 데이터 보안 노드의 신뢰 저장소에 사본을 업로드하는 방법을 설명합니다.
HDS 노드를 호스트하는 네트워크는 포트 443의 아웃바운드 TCP 트래픽이 프록시를 통해 라우팅하도록 구성되어야 합니다.
웹 트래픽을 검사하는 프록시는 웹 소켓 연결을 방해할 수도 있습니다. 이 문제가 발생하면 트래픽을 우회하여(검사하지 않음) wbx2.com 선택하십시오. ciscospark.com 문제를 해결할 것입니다.

하이브리드 데이터 보안에 대한 전제 조건 완료

이 검사목록을 사용하여 하이브리드 데이터 보안 클러스터를 설치하고 구성할 준비가 되었는지 확인합니다.

키 스토리지를 위한 데이터베이스를 만듭니다. (이 데이터베이스를 만들어야 합니다. 기본 데이터베이스를 사용하지 마십시오. HDS 애플리케이션이 설치되면 데이터베이스 스키마를 만듭니다.)
노드가 데이터베이스 서버와 통신하는 데 사용할 세부 정보를 수집합니다.
- 호스트 이름 또는 IP 주소(호스트) 및 포트
- 키 저장소에 대한 데이터베이스 이름(dbname)
- 키 스토리지 데이터베이스에 모든 권한이 있는 사용자의 사용자 이름 및 암호

syslog 호스트를 설정하여 클러스터의 노드에서 로그를 수집합니다. 네트워크 주소 및 syslog 포트를 수집합니다(기본값은 UDP 514).

방화벽 구성이 외부 연결 요구 사항에 설명된 대로 하이브리드 데이터 보안 노드에 대한 연결을 허용하는지 확인하십시오.

HDS 설정 도구를 설치하고 실행하려면 로컬 머신에 외부 연결 요구 사항에 설명된 연결이 있어야 합니다.

프록시를 하이브리드 데이터 보안에 통합하고 있는 경우, 프록시 서버 요구 사항을 충족하는지 확인하십시오.

하이브리드 데이터 보안 클러스터 설정

하이브리드 데이터 보안 배포 작업 흐름

시작하기 전에

나중에 사용할 수 있도록 OVA 파일을 로컬 머신으로 다운로드합니다.

HDS 설정 도구를 사용하여 하이브리드 데이터 보안 노드에 대한 ISO 구성 파일을 만듭니다.

OVA 파일에서 가상 머신을 만들고 네트워크 설정과 같은 초기 구성을 수행합니다.

OVA 배포 중에 네트워크 설정을 구성하는 옵션은 ESXi 6.5에서 테스트되었습니다. 해당 옵션은 이전 버전에서 사용할 수 없을 수도 있습니다.

VM 콘솔에 로그인하고 로그인 자격 증명을 설정합니다. OVA 배포 시 구성하지 않은 경우 노드에 대한 네트워크 설정을 구성합니다.

HDS 설정 도구로 만든 ISO 구성 파일에서 VM을 구성합니다.

네트워크 환경에 프록시 구성이 필요한 경우 노드에 사용할 프록시 유형을 지정하고 필요한 경우 프록시 인증서를 신뢰 저장소에 추가합니다.

Cisco Webex 클라우드에 VM을 하이브리드 데이터 보안 노드로 등록합니다.

클러스터 설정을 완료합니다.

평가판을 시작할 때까지 노드는 서비스가 아직 활성화되지 않았음을 나타내는 알람을 생성합니다.

설치 파일 다운로드

https://admin.webex.com에 로그인한 후 서비스를 클릭합니다.

하이브리드 서비스 섹션에서 하이브리드 데이터 보안 카드를 찾은 후 설정을 클릭합니다.

아니요를 선택하여 아직 노드를 설정하지 않았음을 표시한 후 다음을 클릭합니다.

OVA 파일이 자동으로 다운로드되기 시작합니다. 컴퓨터의 위치에 파일을 저장합니다.

선택적으로, 배포 안내서 열기를 클릭하여 이 안내서의 이후 버전을 사용할 수 있는지 확인합니다.

HDS 호스트에 대한 구성 ISO 만들기

하이브리드 데이터 보안 설정 프로세스는 ISO 파일을 만듭니다. 그런 다음 ISO를 사용하여 하이브리드 데이터 보안 호스트를 구성합니다.

시작하기 전에

설명	변수
인증되지 않은 HTTP 프록시	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
인증되지 않은 HTTPS 프록시	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
인증된 HTTP 프록시	`GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
인증된 HTTPS 프록시	`GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

생성하는 구성 ISO 파일에는 PostgreSQL 또는 Microsoft SQL Server 데이터베이스를 암호화하는 마스터 키가 포함되어 있습니다. 다음과 같이 구성을 변경할 때마다 이 파일의 최신 복사본이 필요합니다.
- 데이터베이스 자격 증명
- 인증서 업데이트
- 인증 정책 변경
데이터베이스 연결을 암호화하려는 경우 TLS에 대한 PostgreSQL 또는 SQL Server 배포를 설정합니다.

머신의 명령줄에 사용자 환경에 적합한 명령을 입력합니다.

일반 환경:

docker rmi ciscocitg/hds-setup:stable

FedRAMP 환경:

docker rmi ciscocitg/hds-setup-fedramp:stable

이 단계에서는 이전 HDS 설정 도구 이미지를 정리합니다. 이전 이미지가 없는 경우 무시할 수 있는 오류를 반환합니다.

Docker 이미지 레지스트리에 로그인하려면 다음을 입력합니다.

docker login -u hdscustomersro

비밀번호 프롬프트에 이 해시를 입력합니다.

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

사용자 환경에 맞는 최신 안정 이미지를 다운로드합니다.

일반 환경:

docker pull ciscocitg/hds-setup:stable

FedRAMP 환경:

docker pull ciscocitg/hds-setup-fedramp:stable

풀이 완료되면 사용자 환경에 적합한 명령을 입력합니다.

프록시가 없는 일반 환경:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

HTTP 프록시가 있는 일반 환경:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

HTTPS 프록시가 있는 일반 환경:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

프록시가 없는 FedRAMP 환경:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

HTTP 프록시가 있는 FedRAMP 환경:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

HTTPS 프록시가 있는 FedRAMP 환경:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

컨테이너가 실행 중일 때 "포트 8080에서 수신하는 Express 서버"가 표시됩니다.

설정 도구는 http://localhost:8080을 통해 localhost에 연결하는 것을 지원하지 않습니다. http://127.0.0.1:8080을(를) 사용하여 로컬 호스트에 연결합니다.

웹 브라우저를 사용하여 localhost로 이동하고, http://127.0.0.1:8080(으)로 이동하고 프롬프트에서 Control Hub에 대한 고객 관리 사용자 이름을 입력합니다.

이 도구는 사용자 이름의 첫 번째 항목을 사용하여 해당 계정에 적합한 환경을 설정합니다. 그런 다음 도구는 표준 로그인 프롬프트를 표시합니다.

설정 도구 개요 페이지에서 시작하기를 클릭합니다.

ISO 가져오기 페이지에서 다음 옵션이 나타납니다.

아니요—첫 번째 HDS 노드를 생성하는 경우 업로드할 ISO 파일이 없습니다.
예—HDS 노드를 이미 만든 경우 찾아보기에서 ISO 파일을 선택하고 업로드합니다.

X.509 인증서가 X.509 인증서 요구 사항의 요구 사항을 충족하는지 확인하십시오.

이전에 인증서를 업로드한 적이 없는 경우, X.509 인증서를 업로드하고 비밀번호를 입력한 후 계속을 클릭합니다.
인증서가 괜찮은 경우, 계속을 클릭합니다.
인증서가 만료되었거나 교체하려는 경우, 이전 ISO의 HDS 인증서 체인 및 비공개 키를 사용하여 계속 사용하려면 아니요를 선택하십시 오.. 새로운 X.509 인증서를 업로드하고 비밀번호를 입력한 후 계속을 클릭합니다.

HDS에 대한 데이터베이스 주소 및 계정을 입력하여 키 데이터스토어에 액세스합니다.

데이터베이스 유형(PostgreSQL 또는 Microsoft SQL Server)을 선택합니다.

Microsoft SQL Server를 선택하면 인증 유형 필드가 표시됩니다.
(Microsoft SQL Server만 해당) 인증 유형 선택:
- 기본 인증: 사용자 이름 필드에 로컬 SQL Server 계정 이름이 필요합니다.
- Windows 인증: 형식으로 Windows 계정이 필요합니다. username@DOMAIN사용자 이름 필드에 있습니다.
데이터베이스 서버 주소를 양식에 입력합니다. <hostname>:<port> 또는 <IP-address>:<port>.

예:
dbhost.example.org:1433 또는 198.51.100.17:1433

노드가 DNS를 사용하여 호스트 이름을 확인할 수 없는 경우 기본 인증을 위해 IP 주소를 사용할 수 있습니다.

Windows 인증을 사용하는 경우, 정규화된 도메인 이름을 형식으로 입력해야 합니다. dbhost.example.org:1433
데이터베이스 이름을 입력합니다.
키 스토리지 데이터베이스에 모든 권한이 있는 사용자의 사용자 이름 및 암호를 입력합니다.

TLS 데이터베이스 연결 모드를 선택합니다.

모드

설명

원하는 TLS (기본 옵션)

TLS 필요

데이터베이스 서버에서 TLS를 협상할 수 있는 경우에만 HDS 노드를 연결합니다.

TLS 필요 및 인증서 서명자 확인

이 모드는 SQL Server 데이터베이스에 적용되지 않습니다.

데이터베이스 서버에서 TLS를 협상할 수 있는 경우에만 HDS 노드를 연결합니다.
TLS 연결을 설정한 후 노드는 데이터베이스 서버의 인증서 서명자를 데이터베이스 루트 인증서의 인증서 기관과 비교합니다. 해당 정보가 일치하지 않으면 노드는 연결을 끊습니다.

이 옵션에 대해 루트 인증서를 업로드하려면 드롭다운 아래에 있는 데이터베이스 루트 인증서 제어를 사용하십시오.

TLS 필요 및 인증서 서명자, 호스트 이름 확인

데이터베이스 서버에서 TLS를 협상할 수 있는 경우에만 HDS 노드를 연결합니다.
TLS 연결을 설정한 후 노드는 데이터베이스 서버의 인증서 서명자를 데이터베이스 루트 인증서의 인증서 기관과 비교합니다. 해당 정보가 일치하지 않으면 노드는 연결을 끊습니다.
노드는 서버 인증서의 호스트 이름이 데이터베이스 호스트 및 포트 필드의 호스트 이름과 일치하는지 확인합니다. 이름은 정확히 일치해야 하며, 그렇지 않으면 노드가 연결을 끊습니다.

이 옵션에 대해 루트 인증서를 업로드하려면 드롭다운 아래에 있는 데이터베이스 루트 인증서 제어를 사용하십시오.

시스템 로그 페이지에서 Syslogd 서버를 구성합니다.

syslog 서버 URL을 입력합니다.

서버가 HDS 클러스터의 노드에서 DNS 확인할 수 없는 경우 URL의 IP 주소를 사용합니다.

예:
udp://10.92.43.23:514 은(는) UDP 포트 514에서 Syslogd 호스트 10.92.43.23에 대한 로깅을 나타냅니다.
TLS 암호화를 사용하도록 서버를 설정한 경우 SSL 암호화에 대해 syslog 서버가 구성되었는지 확인하십시오..

이 확인란을 선택하는 경우, 다음과 같은 TCP URL을 입력해야 합니다. tcp://10.92.43.23:514.
syslog 레코드 종료 선택 드롭다운에서 ISO 파일에 적합한 설정을 선택합니다. 선택 또는 Newline이 Graylog 및 Rsyslog TCP에 사용됩니다.
- Null 바이트 -- \x00
- Newline -- \n—Graylog 및 Rsyslog TCP에 대해 이 옵션을 선택합니다.
계속을 클릭합니다.

app_datasource_connection_pool_maxSize: 10

서비스 계정 비밀번호 재설정 화면에서 계속을 클릭합니다.

ISO 파일 다운로드를 클릭합니다. 쉽게 찾을 수 있는 위치에 파일을 저장합니다.

로컬 시스템에서 ISO 파일의 백업 복사본을 만듭니다.

설정 도구를 종료하려면 다음을 입력합니다 CTRL+C.

다음에 수행할 작업

우리는 결코 이 열쇠의 사본을 가지고 있지 않으며, 당신이 그것을 잃으면 도울 수 없다.

HDS 호스트 OVA 설치

이 절차를 사용하여 OVA 파일에서 가상 머신을 만듭니다.

컴퓨터에서 VMware vSphere 클라이언트를 사용하여 ESXi 가상 호스트에 로그인합니다.

파일 > OVF 템플릿 배포를 선택합니다.

마법사에서 이전에 다운로드한 OVA 파일의 위치를 지정한 후 다음...

에 컴퓨팅 리소스 선택 페이지를 선택하고 대상 계산 리소스를 선택한 후 을 클릭합니다. 다음...

검증 확인이 실행됩니다. 완료되면 템플릿 세부 정보가 나타납니다.

템플릿 세부 사항을 확인한 후 다음을 클릭합니다.

에서 리소스 구성을 선택하도록 요청 받는 경우 설정 페이지, 를 클릭합니다. 4개 CPU을(를) 클릭한 후 다음...

에 스토리지 선택 페이지, 를 클릭합니다. 다음은(는) 기본 디스크 형식 및 VM 스토리지 정책을 수락합니다.

에 네트워크 선택 페이지에서 항목 목록에서 네트워크 옵션을 선택하여 VM에 원하는 연결을 제공합니다.

템플릿 사용자 정의 페이지에서 다음 네트워크 설정을 구성합니다.

호스트 이름 - 노드의 FQDN(호스트 이름 및 도메인) 또는 단일 단어 호스트 이름을 입력합니다.

X.509 인증서를 얻기 위해 사용한 도메인과 일치하도록 도메인을 설정하지 않아도 됩니다.
클라우드에 성공적으로 등록하려면 노드에 대해 설정한 FQDN 또는 호스트 이름에서 소문자만 사용하십시오. 현재 대문자 사용은 지원되지 않습니다.
FQDN의 총 길이는 64자를 초과하지 말아야 합니다.

IP 주소— 노드의 내부 인터페이스에 대한 IP 주소를 입력합니다.

노드에는 내부 IP 주소 및 DNS 이름이 있어야 합니다. DHCP는 지원되지 않습니다.
마스크—점 소수점 표기법에 서브넷 마스크 주소를 입력합니다. 예: 255.255.255.0.
게이트웨이—게이트웨이 IP 주소를 입력합니다. 게이트웨이는 다른 네트워크에 대한 액세스 포인트 역할을 하는 네트워크 노드입니다.
DNS 서버—도메인 이름을 숫자 IP 주소로 변환하는 작업을 처리하는 쉼표로 구분된 DNS 서버 목록을 입력합니다. (최대 4개의 DNS 항목이 허용됩니다.)
NTP 서버—조직에서 사용할 수 있는 조직의 NTP 서버 또는 다른 외부 NTP 서버를 입력합니다. 기본 NTP 서버가 모든 기업에서 작동하지 않을 수도 있습니다. 쉼표로 구분된 목록을 사용하여 여러 NTP 서버를 입력할 수도 있습니다.

동일한 서브넷 또는 VLAN에 모든 노드를 배포하여 클러스터의 모든 노드가 관리 목적으로 네트워크의 클라이언트에서 연결할 수 있도록 합니다.

원하는 경우 네트워크 설정 구성을 건너뛰고 하이브리드 데이터 보안 VM 설정 단계에 따라 노드 콘솔에서 설정을 구성할 수 있습니다.

OVA 배포 중에 네트워크 설정을 구성하는 옵션은 ESXi 6.5에서 테스트되었습니다. 해당 옵션은 이전 버전에서 사용할 수 없을 수도 있습니다.

노드 VM을 마우스 오른쪽 버튼으로 클릭한 다음 전원 > 전원 켜기.

하이브리드 데이터 보안 소프트웨어는 VM 호스트에 게스트로 설치됩니다. 이제 콘솔에 로그인하고 노드를 구성할 준비가 되었습니다.

문제 해결하기 추가 정보

하이브리드 데이터 보안 VM 설정

1	VMware vSphere 클라이언트에서 하이브리드 데이터 보안 노드 VM을 선택하고 콘솔 탭을 선택합니다. VM이 부팅되고 로그인 프롬프트가 나타납니다. 로그인 프롬프트가 표시되지 않는 경우엔 Enter를 누릅니다.
2	다음 기본 로그인 및 암호를 사용하여 로그인하고 자격 증명을 변경합니다. 로그인: `admin` 비밀번호: `cisco` 처음으로 VM에 로그인하기 때문에 관리자 암호를 변경해야 합니다.
3	HDS 호스트 OVA 설치에서 네트워크 설정을 이미 구성한 경우, 나머지 절차는 건너뜁니다. 그렇지 않으면, 주 메뉴에서 구성 편집 옵션을 선택합니다.
4	IP 주소, 마스크, 게이트웨이 및 DNS 정보로 정적 구성을 설정합니다. 노드에는 내부 IP 주소 및 DNS 이름이 있어야 합니다. DHCP는 지원되지 않습니다.
5	(선택 사항) 네트워크 정책과 일치하는 데 필요한 경우 호스트 이름, 도메인 또는 NTP 서버를 변경합니다. X.509 인증서를 얻기 위해 사용한 도메인과 일치하도록 도메인을 설정하지 않아도 됩니다.
6	네트워크 구성을 저장하고 VM을 재부팅하여 변경 사항을 적용합니다.

HDS 구성 ISO 업로드 및 장착

이 절차를 사용하여 HDS 설정 도구로 만든 ISO 파일에서 가상 머신을 구성합니다.

시작하기 전에

컴퓨터에서 ISO 파일을 업로드합니다.

VMware vSphere 클라이언트의 왼쪽 탐색 창에서 ESXi 서버를 클릭합니다.
구성 탭의 하드웨어 목록에서 스토리지를 클릭합니다.
데이터스토어 목록에서 VM의 데이터스토어를 마우스 오른쪽 버튼으로 클릭하고 데이터스토어 찾아보기를 클릭합니다.
파일 업로드 아이콘을 클릭한 다음 파일 업로드를 클릭합니다.
컴퓨터에서 ISO 파일을 다운로드한 위치를 찾아보고 열기를 클릭합니다.
업로드/다운로드 작업 경고를 수락하고 데이터스토어 대화 상자를 닫으려면 예를 클릭합니다.

ISO 파일을 마운트합니다.

VMware vSphere 클라이언트의 왼쪽 네비게이션 분할 창에서 VM을 오른쪽 클릭하고 설정 편집을 클릭합니다.
제한된 편집 옵션 경고를 수락하려면 확인을 클릭합니다.
클릭 CD/DVD Drive 1, 데이터스토어 ISO 파일에서 마운트할 옵션을 선택하고 구성 ISO 파일을 업로드한 위치를 찾습니다.
연결됨 및 전원을 켜고 연결을 확인하십시오.
변경 사항을 저장하고 가상 머신을 재부팅합니다.

다음에 수행할 작업

프록시 통합에 대해 HDS 노드 구성

시작하기 전에

지원되는 프록시 옵션의 개요는 프록시 지원을 참조하십시오.
프록시 서버 요구 사항

1	HDS 노드 설정 URL 입력 `https://[HDS Node IP or FQDN]/setup` 웹 브라우저에서 노드에 대해 설정한 관리 자격 증명을 입력한 후 로그인을 클릭합니다.
2	신뢰 저장소 및 프록시로 이동한 후 옵션을 선택합니다. 프록시 없음—프록시를 통합하기 전의 기본 옵션입니다. 인증서를 업데이트하지 않아도 됩니다. 투명 비-검사 프록시—노드가 특정 프록시 서버 주소를 사용하도록 구성되어 있지 않으며, 비-검사 프록시에서 작동하도록 변경할 것을 요구하지 않습니다. 인증서를 업데이트하지 않아도 됩니다. 투명 검사 프록시—노드가 특정 프록시 서버 주소를 사용하도록 구성되어 있지 않습니다. 하이브리드 데이터 보안 배포에서 HTTPS 구성을 변경하지 않아도 됩니다. 단, HDS 노드에 루트 인증서가 있어야 프록시를 신뢰할 수 있습니다. 일반적으로 검사 프록시는 IT가 어떤 웹사이트를 방문할 수 있는지 및 어떤 유형의 콘텐츠가 허용되는지에 대한 정책을 적용하기 위해 사용됩니다. 이러한 유형의 프록시는 모든 트래픽(HTTPS 포함)을 해독합니다. 명시적 프록시—명시적 프록시를 사용하여 클라이언트(HDS 노드)가 어떤 프록시 서버를 사용하는지, 이 옵션에서 다양한 인증 유형을 지원하는지 알 수 있습니다. 이 옵션을 선택한 후 다음 정보를 입력해야 합니다. 프록시 IP/FQDN—프록시 머신에 연결하기 위해 사용할 수 있는 주소입니다. 프록시 포트—프록시가 프록시된 트래픽을 탐지하기 위해 사용하는 포트 번호입니다. 프록시 프로토콜—http(클라이언트로부터 수신하는 모든 요청을 확인하고 제어) 또는 https(서버에 채널을 제공하고, 클라이언트는 서버의 인증서를 수신 및 검증)를 선택합니다. 프록시 서버가 지원하는 내용에 따라 옵션을 선택합니다. 인증 유형—다음 인증 유형 중에서 선택합니다. 없음—추가 인증이 필요하지 않습니다. HTTP 또는 HTTPS 프록시를 사용할 수 있습니다. 기본—요청을 제출할 때 HTTP 사용자 에이전트가 사용자 이름 및 비밀번호를 제공하기 위해 사용됩니다. Base64 인코딩을 사용합니다. HTTP 또는 HTTPS 프록시를 사용할 수 있습니다. 이 옵션을 선택하는 경우, 사용자 이름 및 비밀번호도 입력해야 합니다. 다이제스트—민감한 정보를 보내기 전에 계정을 확인하기 위해 사용됩니다. 네트워크를 통해 전송하기 전에 사용자 이름 및 비밀번호에 해시 기능을 적용합니다. HTTPS 프록시에 대해서만 사용할 수 있습니다. 이 옵션을 선택하는 경우, 사용자 이름 및 비밀번호도 입력해야 합니다. 투명 검사 프록시, 기본 인증이 포함된 HTTP 명시적 프록시 또는 HTTPS 명시적 프록시에 대해서는 다음 단계를 따르십시오.
3	루트 인증서 또는 최종 엔터티 인증서 업로드를 클릭한 후 탐색하여 프록시에 대한 루트 인증서를 선택합니다. 인증서가 업로드되었지만 아직 설치되지 않았습니다. 인증서를 설치하려면 노드를 재부팅해야 합니다. 인증서 발급자 이름 옆에 있는 갈매기 모양 화살표를 클릭하여 자세한 내용을 확인합니다. 실수가 있었거나 파일을 다시 업로드하려는 경우엔 삭제를 클릭합니다.
4	프록시 연결 확인을 클릭하여 노드와 프록시 간의 네트워크 연결을 테스트합니다. 연결 테스트에 실패하는 경우, 이유 및 문제를 해결할 수 있는 방법을 표시하는 오류 메시지가 나타납니다. 외부 DNS 확인에 실패했다는 메시지가 나타나면 노드가 DNS 서버에 연결하지 못한 것입니다. 이 조건은 다양한 명시적 프록시 구성에서 예상되는 작동입니다. 설정을 계속 진행할 수 있으며, 노드는 차단된 외부 DNS 확인 모드로 작동하게 됩니다. 이것이 오류라고 생각되면 다음 단계를 완료한 후 차단된 외부 DNS 확인 모드 끄기를 참조하십시오.
5	연결 테스트를 통과한 후 https로만 설정된 명시적 프록시에 대해 설정을 토글하여 이 노드의 모든 포트 443/444 https 요청을 명시적 프록시를 통해 라우팅합니다. 이 설정이 적용될 때까지 15초 정도 소요됩니다.
6	모든 인증서를 신뢰 저장소에 설치(HTTPS 명시적 프록시 또는 투명 검사 프록시에 대해 나타남) 또는 재부팅(HTTP 명시적 프록시에 대해 나타남)을 클릭하고 안내를 읽은 후 준비되었을 때 설치를 클릭합니다. 노드는 몇 분 내에 재부팅됩니다.
7	노드가 재부팅되면 필요에 따라 다시 로그인한 후 개요 페이지를 열어 연결을 확인하고 모두 녹색 상태인지 확인합니다. 프록시 연결 확인은 webex.com의 하위 도메인만 테스트합니다. 연결에 문제가 있는 경우, 설치 지시 사항에 나열된 일부 클라우드 도메인이 프록시에서 차단되는 것은 일반적인 문제입니다.

클러스터에 첫 번째 노드 등록

첫 번째 노드를 등록할 때 해당 노드가 지정된 클러스터를 만듭니다. 클러스터에는 중복성을 제공하기 위해 배포된 한 개 이상의 노드가 포함됩니다.

시작하기 전에

노드의 등록을 시작하면 60분 이내에 완료해야 합니다. 그렇지 않으면 처음부터 다시 시작해야 합니다.
브라우저에 있는 팝업 차단기가 비활성화되었는지 또는 admin.webex.com에 대한 예외를 허용하는지 확인합니다.

1	https://admin.webex.com에 로그인합니다.
2	화면의 왼쪽에 있는 메뉴에서 서비스를 선택합니다.
3	하이브리드 서비스 섹션에서 하이브리드 데이터 보안을 찾고 설정을 클릭합니다. 하이브리드 데이터 보안 노드 등록 페이지가 나타납니다.
4	예를 선택하여 노드를 설정했으며 등록할 준비가 되었음을 표시한 후 다음을 클릭합니다.
5	첫 번째 필드에서 하이브리드 데이터 보안 노드를 할당할 클러스터의 이름을 입력합니다. 지리적으로 클러스터의 노드가 위치한 장소에 기반하여 클러스터의 이름을 지정할 것을 권장합니다. 예: "샌프란시스코" 또는 "뉴욕" 또는 "달라스"
6	두 번째 필드에 노드의 내부 IP 주소 또는 FQDN(Fully Qualified Domain Name)을 입력하고 다음을 클릭합니다. 이 IP 주소 또는 FQDN은 하이브리드 데이터 보안 VM 설정에서 사용한 IP 주소 또는 호스트 이름 및 도메인과 일치해야 합니다. 노드를 Webex에 등록할 수 있음을 나타내는 메시지가 나타납니다.
7	노드로 이동을 클릭합니다.
8	경고 메시지에서 계속을 클릭합니다. 잠시 후에 Webex 서비스에 대한 노드 연결 테스트로 리디렉션됩니다. 모든 테스트에 성공하면 하이브리드 데이터 보안 노드에 대한 액세스 허용 페이지가 나타납니다. 여기에서 노드에 액세스할 수 있는 권한을 Webex 조직에 부여하고자 하는지 확인합니다.
9	하이브리드 데이터 보안 노드에 액세스 허용 확인란을 선택한 후 계속을 클릭합니다. 계정의 유효성이 검증되고 "등록 완료" 메시지는 이제 노드가 Webex 클라우드에 등록되었음을 나타냅니다.
10	링크를 클릭하거나 탭을 닫아 Control Hub 하이브리드 데이터 보안 페이지로 돌아갑니다. 하이브리드 데이터 보안 페이지에서 등록한 노드가 포함된 새로운 클러스터가 표시됩니다. 노드는 클라우드에서 최신 소프트웨어를 자동으로 다운로드합니다.

추가 노드 만들기 및 등록

시작하기 전에

노드의 등록을 시작하면 60분 이내에 완료해야 합니다. 그렇지 않으면 처음부터 다시 시작해야 합니다.
브라우저에 있는 팝업 차단기가 비활성화되었는지 또는 admin.webex.com에 대한 예외를 허용하는지 확인합니다.

1	OVA에서 새로운 가상 머신을 만들고, HDS 호스트 OVA 설치의 단계를 반복합니다.
2	새로운 VM에 초기 구성을 설정하고 하이브리드 데이터 보안 VM 설정의 단계를 반복합니다.
3	새로운 VM에서 HDS 구성 ISO 업로드 및 마운트의 단계를 반복합니다.
4	배포를 위한 프록시를 설정하는 경우, 새 노드에 대해 필요에 따라 프록시 통합을 위한 HDS 노드 구성의 단계를 반복합니다.
5	노드를 등록합니다. https://admin.webex.com의 화면 왼쪽에 있는 메뉴에서 서비스를 선택합니다. 하이브리드 서비스 섹션에서 하이브리드 데이터 보안 카드를 찾아 리소스를 클릭합니다. 하이브리드 데이터 보안 리소스 페이지가 나타납니다. 리소스 추가를 클릭합니다. 첫 번째 필드에서 기존 클러스터의 이름을 선택합니다. 두 번째 필드에 노드의 내부 IP 주소 또는 FQDN(Fully Qualified Domain Name)을 입력하고 다음을 클릭합니다. 노드를 Webex 클라우드에 등록할 수 있음을 나타내는 메시지가 나타납니다. 노드로 이동을 클릭합니다. 잠시 후에 Webex 서비스에 대한 노드 연결 테스트로 리디렉션됩니다. 모든 테스트에 성공하면 하이브리드 데이터 보안 노드에 대한 액세스 허용 페이지가 나타납니다. 여기에서 귀하의 노드에 액세스할 수 있는 권한을 조직에 부여하고자 하는지 확인합니다. 하이브리드 데이터 보안 노드에 액세스 허용 확인란을 선택한 후 계속을 클릭합니다. 계정의 유효성이 검증되고 "등록 완료" 메시지는 이제 노드가 Webex 클라우드에 등록되었음을 나타냅니다. 링크를 클릭하거나 탭을 닫아 Control Hub 하이브리드 데이터 보안 페이지로 돌아갑니다. 노드가 등록되었습니다. 평가판을 시작할 때까지 노드는 서비스가 아직 활성화되지 않았음을 나타내는 알람을 생성합니다.

다음에 수행할 작업

평가판을 실행하고 프로덕션으로 이동

프로덕션 작업 흐름 평가판

시작하기 전에

1	해당하는 경우, `HdsTrialGroup` 그룹 개체. 조직에서 사용자에 대해 디렉터리 동기화를 사용하는 경우, `HdsTrialGroup` 평가판을 시작하기 전에 클라우드에 동기화를 위한 그룹 개체. 지침은 Cisco 디렉터리 커넥터의 배포 안내서를 참조하십시오.
2	평가판 활성화 실험을 시작하세요. 이 작업을 수행할 때까지 노드는 서비스가 아직 활성화되지 않았음을 나타내는 알람을 생성합니다.
3	하이브리드 데이터 보안 배포 테스트 주요 요청이 하이브리드 데이터 보안 배포로 전달되고 있는지 확인합니다.
4	하이브리드 데이터 보안 상태 모니터링 상태를 확인하고 알람에 대한 이메일 알림을 설정합니다.
5	평가판에서 사용자 추가 또는 제거
6	다음 작업 중 하나로 평가판 단계를 완료합니다. 평가판에서 프로덕션으로 이동 프로덕션으로 이동하지 않고 평가판 종료

평가판 활성화

시작하기 전에

1	https://admin.webex.com에 로그인한 후 서비스를 선택합니다.
2	하이브리드 데이터 보안 아래에서 설정을 클릭합니다.
3	서비스 상태 섹션에서 평가판 시작을 클릭합니다. 서비스 상태가 평가판 모드로 변경됩니다.
4	암호화 및 인덱싱 서비스를 위해 하이브리드 데이터 보안 노드를 사용하여 파일럿할 사용자 추가를 클릭하고 한 명 이상의 사용자의 이메일 주소를 입력합니다. (조직에서 디렉터리 동기화를 사용하는 경우, Active Directory를 사용하여 평가판 그룹을 관리합니다. `HdsTrialGroup`.)

하이브리드 데이터 보안 배포 테스트

이 절차를 사용하여 하이브리드 데이터 보안 암호화 시나리오를 테스트합니다.

시작하기 전에

하이브리드 데이터 보안 배포를 설정합니다.
평가판을 활성화하고 여러 평가판 사용자를 추가합니다.
키 요청이 하이브리드 데이터 보안 배포로 전달되고 있는지 확인하려면 syslog에 액세스할 수 있는지 확인하십시오.

새 스페이스에 메시지를 보냅니다.

syslog 출력을 확인하여 키 요청이 하이브리드 데이터 보안 배포에 전달되고 있는지 확인합니다.

다음과 같은 항목을 찾아야 합니다(가독성을 위해 식별자가 단축됨).

2020-07-21 17:35:34.562 (+0000) INFO  KMS [pool-14-thread-1] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, 
kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

KMS에서 기존 키를 요청하는 사용자를 확인하려면 kms.data.method=retrieve 선택하십시오. kms.data.type=KEY:

다음과 같은 항목을 찾을 수 있습니다.

2020-07-21 17:44:19.889 (+0000) INFO  KMS [pool-14-thread-31] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, 
kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, 
kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

새로운 KMS 키 생성을 요청하는 사용자를 확인하려면 다음을 필터링하십시오. kms.data.method=create 선택하십시오. kms.data.type=KEY_COLLECTION:

다음과 같은 항목을 찾을 수 있습니다.

2020-07-21 17:44:21.975 (+0000) INFO  KMS [pool-14-thread-33] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, 
kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, 
kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

다음과 같은 항목을 찾을 수 있습니다.

2020-07-21 17:44:22.808 (+0000) INFO  KMS [pool-15-thread-1] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

하이브리드 데이터 보안 상태 모니터링

1	Control Hub에서 화면 왼쪽에 있는 메뉴에서 서비스를 선택합니다.
2	하이브리드 서비스 섹션에서 하이브리드 데이터 보안을 찾고 설정을 클릭합니다. 하이브리드 데이터 보안 설정 페이지가 나타납니다.
3	이메일 알림 섹션에서 콤마로 구분하여 하나 이상의 이메일 주소를 입력하고 Enter를 누릅니다.

평가판에서 사용자 추가 또는 제거

평가판을 활성화하고 평가판 사용자의 초기 집합을 추가한 후 평가판이 활성화된 동안 언제든지 평가판 멤버를 추가하거나 제거할 수 있습니다.

1	Control Hub에 로그인한 후 서비스를 선택합니다.
2	하이브리드 데이터 보안 아래에서 설정을 클릭합니다.
3	서비스 상태 영역의 평가판 모드 섹션에서 사용자 추가를 클릭하거나 보기 및 편집을 클릭하여 평가판에서 사용자를 제거합니다.
4	추가할 한 명 이상의 사용자의 이메일 주소를 입력하거나, 사용자 ID로 X를 클릭하여 평가판에서 사용자를 제거합니다. 그 후 저장을 클릭합니다.

평가판에서 프로덕션으로 이동

1	Control Hub에 로그인한 후 서비스를 선택합니다.
2	하이브리드 데이터 보안 아래에서 설정을 클릭합니다.
3	서비스 상태 섹션에서 생산으로 이동을 클릭합니다.
4	모든 사용자를 프로덕션으로 이동하고자 하는지 확인합니다.

프로덕션으로 이동하지 않고 평가판 종료

1	Control Hub에 로그인한 후 서비스를 선택합니다.
2	하이브리드 데이터 보안 아래에서 설정을 클릭합니다.
3	비활성화 섹션에서 비활성화를 클릭합니다.
4	서비스를 비활성화하고 평가판을 종료할지 확인합니다.

HDS 구축 관리

여기에 설명된 작업을 사용하여 하이브리드 데이터 보안 배포를 관리합니다.

클러스터 업그레이드 일정 설정

업그레이드 일정을 설정하려면:

1	Control Hub에 로그인합니다.
2	개요 페이지의 하이브리드 서비스 아래에서 하이브리드 데이터 보안을 선택합니다.
3	하이브리드 데이터 보안 리소스 페이지에서 클러스터를 선택합니다.
4	오른쪽의 개요 목록에서 클러스터 설정 아래에서 클러스터 이름을 선택합니다.
5	설정 페이지에 있는 업그레이드 아래에서 업그레이드 예약에 대한 시간 및 시간대를 선택합니다. 참고: 시간대 아래에 다음 사용 가능한 업그레이드 날짜 및 시간이 표시됩니다. 필요한 경우엔 연기를 클릭하여 업그레이드를 다음 날로 연기할 수 있습니다.

노드 구성 변경

경우에 따라 다음과 같은 이유로 하이브리드 데이터 보안 노드의 구성을 변경해야 할 수도 있습니다.

만료 또는 기타 이유로 인해 x.509 인증서 변경.

인증서의 CN 도메인 이름 변경을 지원하지 않습니다. 도메인은 클러스터에 등록하기 위해 사용된 원래 도메인과 일치해야 합니다.

PostgreSQL 또는 Microsoft SQL Server 데이터베이스의 복제본으로 변경하도록 데이터베이스 설정 업데이트.

새 데이터 센터를 준비하기 위해 새 구성 생성.

소프트 재설정—이전 비밀번호 및 새 비밀번호는 모두 최대 10일 동안 유효합니다. 이 기간을 사용하여 노드에서 ISO 파일을 점진적으로 교체합니다.
하드 재설정—이전 비밀번호가 즉시 무효하게 됩니다.

비밀번호가 재설정 없이 만료되는 경우 HDS 서비스에 영향을 미치므로 즉시 하드 재설정을 수행하고 모든 노드에서 ISO 파일을 교체해야 합니다.

새 구성 ISO 파일을 생성하고 클러스터에 적용하려면 이 절차를 따르십시오.

시작하기 전에

설명	변수
인증되지 않은 HTTP 프록시	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
인증되지 않은 HTTPS 프록시	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
인증된 HTTP 프록시	`GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
인증된 HTTPS 프록시	`GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

새 구성을 생성하려면 현재 구성 ISO 파일의 사본이 필요합니다. ISO에는 PostgreSQL 또는 Microsoft SQL Server 데이터베이스를 암호화하는 마스터 키가 포함되어 있습니다. 데이터베이스 자격 증명, 인증서 업데이트 또는 인증 정책 변경을 포함하여 구성을 변경할 때 ISO가 필요합니다.

로컬 머신에서 Docker를 사용하여 HDS 설정 도구를 실행합니다.

머신의 명령줄에 사용자 환경에 적합한 명령을 입력합니다.

일반 환경:

docker rmi ciscocitg/hds-setup:stable

FedRAMP 환경:

docker rmi ciscocitg/hds-setup-fedramp:stable

이 단계에서는 이전 HDS 설정 도구 이미지를 정리합니다. 이전 이미지가 없는 경우 무시할 수 있는 오류를 반환합니다.

Docker 이미지 레지스트리에 로그인하려면 다음을 입력합니다.
```
docker login -u hdscustomersro
```
비밀번호 프롬프트에 이 해시를 입력합니다.
```
dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
```

사용자 환경에 맞는 최신 안정 이미지를 다운로드합니다.

일반 환경:

docker pull ciscocitg/hds-setup:stable

FedRAMP 환경:

docker pull ciscocitg/hds-setup-fedramp:stable

이 절차에 대해 최신 설정 도구를 사용하고 있는지 확인하십시오. 2018년 2월 22일 이전에 생성된 도구의 버전에는 비밀번호 재설정 화면이 없습니다.

풀이 완료되면 사용자 환경에 적합한 명령을 입력합니다.

프록시가 없는 일반 환경:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

HTTP 프록시가 있는 일반 환경:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

HTTPS 프록시가 있는 일반 환경:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

프록시가 없는 FedRAMP 환경:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

HTTP 프록시가 있는 FedRAMP 환경:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

HTTPS 프록시가 있는 FedRAMP 환경:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

컨테이너가 실행 중일 때 "포트 8080에서 수신하는 Express 서버"가 표시됩니다.

브라우저를 사용하여 로컬 호스트 에 연결합니다. http://127.0.0.1:8080.

설정 도구는 http://localhost:8080을 통해 localhost에 연결하는 것을 지원하지 않습니다. http://127.0.0.1:8080을(를) 사용하여 로컬 호스트에 연결합니다.

메시지가 표시되면 Control Hub 고객 로그인 자격 증명을 입력한 후 수락을 클릭하여 계속합니다.
현재 구성 ISO 파일을 가져옵니다.
안내에 따라 도구를 완료하고 업데이트된 파일을 다운로드합니다.

설정 도구를 종료하려면 다음을 입력합니다 CTRL+C.
다른 데이터 센터에서 업데이트된 파일의 백업 복사본을 만듭니다.

HDS 호스트 OVA를 설치합니다.
HDS VM을 설정합니다.
업데이트된 구성 파일을 마운트합니다.
Control Hub에서 새 노드를 등록합니다.

가상 머신의 전원을 끕니다.
VMware vSphere 클라이언트의 왼쪽 네비게이션 분할 창에서 VM을 오른쪽 클릭하고 설정 편집을 클릭합니다.
클릭 CD/DVD Drive 1 CD/DVD 드라이브 1을 클릭하고 ISO 파일에서 마운트하기 위한 옵션을 선택한 후 새 구성 ISO 파일을 다운로드한 위치를 찾습니다.
시동될 때 연결을 체크합니다.
변경 사항을 저장하고 가상 머신의 전원을 켭니다.

이전 구성을 실행하고 있는 나머지 각 노드에서 구성을 바꾸려면 3 단계를 반복하십시오.

차단된 외부 DNS 확인 모드 끄기

노드에서 내부 DNS 서버를 통해 공용 DNS 이름을 확인할 수 있는 경우, 각 노드에서 프록시 연결 테스트를 다시 실행하여 이 모드를 끌 수 있습니다.

시작하기 전에

내부 DNS 서버가 공용 DNS 이름을 확인할 수 있으며, 노드가 해당 서버와 통신할 수 있는지 확인합니다.

1	웹 브라우저에서 하이브리드 데이터 보안 노드 인터페이스(예: https://192.0.2.0/setup), IP 주소/설정)를 열고 노드에 대해 설정한 관리 자격 증명을 입력한 후 로그인을 클릭합니다.
2	개요 (기본 페이지)로 이동합니다. 활성화되면 차단된 외부 DNS 확인이 예로 설정됩니다.
3	신뢰 저장소 및 프록시 페이지로 이동합니다.
4	프록시 연결 확인을 클릭합니다. 외부 DNS 확인에 실패했다는 메시지가 나타나면 노드가 DNS 서버에 연결하지 못한 것이며, 이 모드에서 유지됩니다. 그렇지 않은 경우, 노드를 재부팅하고 개요 페이지로 돌아가면 차단된 외부 DNS 확인은 아니요로 설정됩니다.

다음에 수행할 작업

하이브리드 데이터 보안 클러스터의 각 노드에서 프록시 연결 테스트를 반복합니다.

노드 제거

컴퓨터의 VMware vSphere 클라이언트를 사용하여 ESXi 가상 호스트에 로그인하고 가상 머신의 전원을 끕니다.

노드 제거:

Control Hub에 로그인한 후 서비스를 선택합니다.
하이브리드 데이터 보안 카드에서 하이브리드 데이터 보안 리소스 페이지를 표시하려면 모두 보기를 클릭합니다.
클러스터를 선택하여 개요 목록을 표시합니다.
노드 목록 열기를 클릭합니다.
노드 탭에서 제거할 노드를 선택합니다.
를 클릭합니다. 작업 > 노드 등록 해제.

vSphere 클라이언트에서 VM을 삭제합니다. (왼쪽 탐색 창에서 VM을 마우스 오른쪽 버튼으로 클릭하고 삭제를 클릭합니다.)

VM을 삭제하지 않는 경우 구성 ISO 파일을 마운트 해제해야 합니다. ISO 파일이 없으면 VM을 사용하여 보안 데이터에 액세스할 수 없습니다.

대기 데이터 센터를 사용한 재해 복구

재해로 인해 기본 데이터 센터에서 HDS 배포를 사용할 수 없게 되는 경우 이 절차를 따라 대기 데이터 센터로 수동으로 장애 조치합니다.

HDS 설정 도구를 시작하고 HDS 호스트에 대한 구성 ISO 만들기에 설명된 단계를 따릅니다.

Syslogd 서버를 구성한 후 고급 설정을 클릭합니다.

고급 설정 페이지에서 아래 구성을 추가하거나 passiveMode 노드를 활성화하도록 구성합니다. 노드가 구성되면 트래픽을 처리할 수 있습니다.


passiveMode: 'false'

구성 프로세스를 완료하고 찾기 쉬운 위치에 ISO 파일을 저장합니다.

VMware vSphere 클라이언트의 왼쪽 탐색 창에서 VM을 마우스 오른쪽 버튼으로 클릭하고 설정 편집을 클릭합니다..

설정 편집 >CD/DVD 드라이브 1을 클릭하고 데이터스토어 ISO 파일을 선택합니다.

노드를 시작한 후에 업데이트된 구성 변경 사항이 적용될 수 있도록 Connected 및 Connect at power on이(가) 선택되었는지 확인하십시오.

HDS 노드의 전원을 켜고 최소 15분 동안 경보가 울리지 않도록 합니다.

대기 데이터 센터의 모든 노드에 대해 프로세스를 반복합니다.

syslog 출력을 확인하여 대기 데이터 센터의 노드가 패시브 모드가 아는지 확인합니다. "패시브 모드로 구성된 KMS"는 syslog에 표시되지 않아야 합니다.

다음에 수행할 작업

(선택 사항) HDS 구성 후 ISO 마운트 해제

시작하기 전에

모든 HDS 노드를 버전 2021.01.22.4720 이상으로 업그레이드합니다.

1	HDS 노드 중 하나를 종료합니다.
2	vCenter Server Appliance에서 HDS 노드를 선택합니다.
3	선택 설정 > CD/DVD 드라이브를 편집하고 데이터 저장소 ISO 파일을 선택 취소합니다.
4	HDS 노드의 전원을 켜고 최소 20분 동안 경보가 울리지 않도록 합니다.
5	각 HDS 노드에 대해 차례로 반복합니다.

하이브리드 데이터 보안 문제 해결하기

경고 보기 및 문제 해결하기

새 스페이스를 만들 수 없음(새 키를 만들 수 없음)
메시지 및 스페이스 제목이 해독되지 않음:
- 스페이스에 새로운 사용자가 추가됨(키를 가져올 수 없음)
- 새로운 클라이언트를 사용하여 스페이스에 있는 기존의 사용자(키를 가져올 수 없음)
클라이언트가 암호화 키의 캐시를 갖고 있는 한 스페이스에 있는 기존의 사용자는 계속 성공적으로 실행됩니다.

서비스가 중단되지 않도록 하이브리드 데이터 보안 클러스터를 올바르게 모니터링하고 즉시 알림을 처리하는 것이 중요합니다.

경고

표 1. 일반적인 문제 및 해결 단계
경고	작업
로컬 데이터베이스 액세스 실패.	데이터베이스 오류 또는 로컬 네트워크 문제를 확인합니다.
로컬 데이터베이스 연결 실패.	데이터베이스 서버를 사용할 수 있는지 확인하고 노드 구성에 올바른 서비스 계정 자격 증명이 사용되었는지 확인합니다.
클라우드 서비스 액세스 실패.	외부 연결 요구 사항에 지정된 대로 노드가 Webex 서버에 액세스할 수 있는지 확인합니다.
클라우드 서비스 등록 갱신.	클라우드 서비스에 대한 등록이 삭제되었습니다. 등록 갱신이 진행 중입니다.
클라우드 서비스 등록이 끊겼습니다.	클라우드 서비스에 대한 등록이 종료되었습니다. 서비스가 종료되고 있습니다.
서비스가 아직 활성화되지 않았습니다.	평가판을 활성화하거나, 평가판을 프로덕션으로 이동하는 작업을 마칩니다.
구성된 도메인이 서버 인증서와 일치하지 않습니다.	서버 인증서가 구성된 서비스 활성화 도메인과 일치하는지 확인합니다. 가장 큰 원인은 인증서 CN이 최근에 변경되었으며 이제 초기 설정 중에 사용된 CN과 다르다는 것입니다.
클라우드 서비스를 인증하지 못했습니다.	서비스 계정 자격 증명의 정확성 및 가능한 만료 여부를 확인합니다.
로컬 키 저장소 파일을 열지 못했습니다.	로컬 키 저장소 파일에서 무결성 및 암호 정확도를 확인합니다.
로컬 서버 인증서가 유효하지 않습니다.	서버 인증서의 만료 날짜를 확인하고 신뢰할 수 있는 인증 기관에서 발급했는지 확인합니다.
메트릭을 게시할 수 없음.	외부 클라우드 서비스에 대한 로컬 네트워크 액세스를 확인합니다.
/media/configdrive/hds 디렉토리가 없습니다.	가상 호스트에서 ISO 마운트 구성을 확인합니다. ISO 파일이 존재하는지, 재부팅 시 마운트하도록 구성되었는지, 성공적으로 마운트되는지 확인합니다.

하이브리드 데이터 보안 문제 해결하기

하이브리드 데이터 보안의 문제를 해결할 때 다음 일반 지침을 사용하십시오.

1	알림에 대해 Control Hub를 검토하고 발견한 항목을 수정합니다.
2	하이브리드 데이터 보안 배포에서 활동에 대한 syslog 서버 출력을 검토합니다.
3	Cisco 고객 지원에 문의하십시오.

기타 메모

하이브리드 데이터 보안의 알려진 문제

(Control Hub에서 삭제하거나 모든 노드를 종료하여) 하이브리드 데이터 보안 클러스터를 종료하거나, 구성 ISO 파일을 잃거나, 키 저장소 데이터베이스에 대한 액세스를 잃는 경우, KMS에서 키로 생성된 사용자 목록 아래에서 Webex 앱 사용자는 더 이상 스페이스를 사용할 수 없습니다. 이는 평가판 및 프로덕션 배포 모두에 적용됩니다. 현재 이 문제에 대한 해결 방법이나 수정 사항이 없으며, 활동 중인 사용자 계정을 처리하는 동안 HDS 서비스를 종료하지 말 것을 권장합니다.
KMS에 대한 기존 ECDH 연결이 있는 클라이언트는 일정 기간(1시간 정도) 동안 연결을 유지합니다. 사용자가 하이브리드 데이터 보안 평가판의 멤버가 되면 사용자의 클라이언트는 시간이 초과될 때까지 기존의 ECDH 연결을 계속 사용합니다. 또는 사용자는 Webex 앱 앱에 로그아웃하고 다시 로그인하여 앱이 암호화 키에 대해 연락하는 위치를 업데이트할 수도 있습니다.

조직에 대해 평가판을 프로덕션으로 이동할 때 동일한 동작이 발생합니다. 이전 데이터 보안 서비스에 대한 기존의 ECDH 연결을 사용하는 평가판 외의 모든 사용자는 ECDH 연결이 재협상될 때까지(시간 초과 또는 로그아웃하고 다시 로그인할 때까지) 해당 서비스를 계속 사용합니다.

OpenSSL을 사용하여 PKCS12 파일 생성

시작하기 전에

OpenSSL은 PKCS12 파일을 HDS 설정 도구에 로드하기 위한 적절한 형식으로 만드는 데 사용할 수 있는 도구 중 하나입니다. 다른 방법이 있는데, 우리는 다른 방법을 지지하거나 홍보하지 않습니다.
OpenSSL을 사용하기로 선택하는 경우, 이 절차를 X.509 인증서 요구 사항에서 X.509 인증서 요구 사항을 충족하는 파일을 만드는 데 도움이 되는 지침으로 제공하고 있습니다. 계속하기 전에 이러한 요구 사항을 이해하십시오.
지원되는 환경에 OpenSSL을 설치합니다. 소프트웨어 및 설명서는 https://www.openssl.org를 참조하십시오.
개인 키를 만듭니다.
CA(Certificate Authority)에서 서버 인증서를 수신하면 이 절차를 시작합니다.

1	CA에서 서버 인증서를 수신하면 다음과 같이 저장합니다. `hdsnode.pem`.
2	인증서를 텍스트로 표시하고 세부 사항을 확인합니다. `openssl x509 -text -noout -in hdsnode.pem`
3	텍스트 편집기를 사용하여 인증서 번들 파일을 생성합니다. `hdsnode-bundle.pem`. 번들 파일에는 서버 인증서, 모든 중간 CA 인증서 및 루트 CA 인증서가 아래 형식으로 포함되어야 합니다. `-----BEGIN CERTIFICATE----- ### Server certificate. ### -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ### Intermediate CA certificate. ### -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ### Root CA certificate. ### -----END CERTIFICATE-----`
4	친숙한 이름으로 .p12 파일 만들기 `kms-private-key`. `openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12`
5	서버 인증서 세부 사항을 확인합니다. `openssl pkcs12 -in hdsnode.p12` 프롬프트에서 비밀번호를 입력하여 개인 키를 암호화하여 출력에 나열합니다. 그런 다음 개인 키 및 첫 번째 인증서에 회선이 포함되어 있는지 확인합니다. `friendlyName: kms-private-key`. 예: bash$ openssl pkcs12 -in hdsnode.p12 Enter Import Password: MAC verified OK Bag Attributes friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Key Attributes: <No Attributes> Enter PEM pass phrase: Verifying - Enter PEM pass phrase: -----BEGIN ENCRYPTED PRIVATE KEY----- <redacted> -----END ENCRYPTED PRIVATE KEY----- Bag Attributes friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 -----BEGIN CERTIFICATE----- <redacted> -----END CERTIFICATE----- Bag Attributes friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3 -----BEGIN CERTIFICATE----- <redacted> -----END CERTIFICATE-----

다음에 수행할 작업

원본 인증서가 만료되면 해당 파일을 다시 사용하여 새 인증서를 요청할 수 있습니다.

HDS 노드와 클라우드 간의 트래픽

아웃바운드 메트릭 수집 트래픽

인바운드 교통

하이브리드 데이터 보안 노드는 Webex 클라우드에서 다음 유형의 인바운드 트래픽을 수신합니다.

암호화 서비스에 의해 라우팅되는 클라이언트의 암호화 요청
노드 소프트웨어로 업그레이드

하이브리드 데이터 보안에 대해 Squid 프록시 구성

웹 소켓은 Squid 프록시를 통해 연결할 수 없음

Squid 4 및 5

추가 on_unsupported_protocol 지시 사항 squid.conf:

on_unsupported_protocol tunnel all

Squid 3.5.27

acl wssMercuryConnection ssl::server_name_regex mercury-connection

ssl_bump splice wssMercuryConnection

acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all

서문

신규 및 변경된 정보

날짜

변경 사항

2023년 10월 20일

데이터베이스 서버 요구 사항에서 정보를 업데이트했습니다.
재해 복구를 위한 대기 데이터 센터 설정을 추가했습니다.
대기 데이터 센터를 사용하여 재해 복구를 위한 대기 데이터 센터 및 재해 복구에 대한 정보 업데이트.

2023년 8월 7일

설치 파일 다운로드에 메모를 추가했습니다.
HDS 호스트에 대한 구성 ISO 만들기 및 노드 구성 변경에 메모를 추가했습니다.

2023년 5월 23일

계정 팀에 연락하여 기능을 활성화하도록 요청하는 데이터베이스 서버 요구 사항 에서 정보를 삭제했습니다.
외부 연결 요구 사항 에서 정보를 업데이트하고 CI 호스트 테이블에 캐나다를 추가했습니다.
키를 클라우드로 다시 이동하는 메커니즘의 가용성 해제에 관한 하이브리드 데이터 보안 배포에 대한 기대치 에 메모를 추가했습니다.

2022년 12월 06일

이제 HDS 설정 도구 이미지는 ciscocitg dockerhub 저장소에서 호스팅됩니다.
업데이트된 HDS 호스트에 대한 구성 ISO 만들기 및 노드 구성 주제를 변경하여 명령의 변경 사항을 다시 적용합니다.

2022년 11월 23일

이제 HDS 노드는 Microsoft SQL Server에 대한 Windows 인증을 사용할 수 있습니다.

이 인증 모드에 대한 추가 요구 사항으로 데이터베이스 서버 요구 사항 주제를 업데이트했습니다.

노드에서 Windows 인증을 구성하는 절차를 사용하여 HDS 호스트에 대한 구성 ISO 만들기 를 업데이트했습니다.
새로운 최소 필수 버전(PostgreSQL 10)으로 데이터베이스 서버 요구 사항 주제를 업데이트했습니다.

2021년 10월 13일

HDS 노드를 설치하려면 Docker Desktop이 설치 프로그램을 실행해야 합니다. Docker 데스크톱 요구 사항을 참조하십시오.

2021년 6월 24일

비공개 키 파일 및 CSR을 다시 사용하여 다른 인증서를 요청할 수 있습니다. 자세한 내용은 OpenSSL을 사용하여 PKCS12 파일 생성 을 참조하십시오.

2021년 4월 30일

로컬 하드 디스크 공간에 대한 VM 요구 사항을 30GB로 변경했습니다. 자세한 내용은 가상 호스트 요구 사항 을 참조하십시오.

2021년 2월 24일

이제 HDS 설정 도구는 프록시 뒤에서 실행할 수 있습니다. 자세한 내용은 HDS 호스트에 대한 구성 ISO 만들기 를 참조하십시오.

2021년 2월 2일

이제 HDS는 마운트된 ISO 파일 없이 실행할 수 있습니다. 자세한 내용은 (선택 사항) HDS 구성 후 ISO 마운트 해제 를 참조하십시오.

2021년 1월 11일 수요일

HDS 설정 도구 및 프록시에 대한 정보를 추가하여 HDS 호스트에 대한 구성 ISO 만들기.

2020년 10월 13일

설치 파일 다운로드가 업데이트되었습니다.

2020년 10월 8일

업데이트된 HDS 호스트에 대한 구성 ISO 생성 및 FedRAMP 환경에 대한 명령으로 노드 구성 변경.

2020년 8월 14일

HDS 호스트에 대한 구성 ISO 생성 및 로그인 프로세스에 대한 변경 사항으로 노드 구성 변경 이 업데이트되었습니다.

2020년 8월 5일

로그 메시지의 변경 사항에 대해 하이브리드 데이터 보안 배포 테스트 를 업데이트했습니다.

최대 호스트 수를 제거하려면 가상 호스트 요구 사항 을 업데이트했습니다.

2020년 6월 16일

Control Hub UI에서 변경 사항에 대해 노드 제거 가 업데이트되었습니다.

2020년 6월 4일

설정한 고급 설정의 변경 사항에 대해 HDS 호스트에 대한 구성 ISO 만들기 를 업데이트했습니다.

2020년 5월 29일

업데이트된 HDS 호스트에 대한 구성 ISO 생성 은 SQL Server 데이터베이스, UI 변경 사항 및 기타 설명과 함께 TLS를 사용할 수도 있음을 표시합니다.

2020년 5월 5일

ESXi 6.5의 새로운 요구 사항을 표시하기 위해 가상 호스트 요구 사항 을 업데이트했습니다.

2020년 4월 21일

새로운 Americas CI 호스트를 사용하여 외부 연결 요구 사항 을 업데이트했습니다.

2020년 4월 1일

지역 CI 호스트에 대한 정보를 사용하여 외부 연결 요구 사항 을 업데이트했습니다.

2020년 2월 20일 HDS 설정 도구의 새로운 선택적 고급 설정 화면에 대한 정보를 사용하여 HDS 호스트에 대한 구성 ISO 생성 을 업데이트했습니다.

2020 년 2 월 4 일 프록시 서버 요구 사항을 업데이트함.

2019년 12월 16일 프록시 서버 요구 사항에서 작동하도록 차단된 외부 DNS 확인 모드에 대한 요구 사항을 명확화했습니다.

2019년 11월 19일

다음 섹션에서 차단된 외부 DNS 확인 모드에 대한 정보를 추가했습니다.

프록시 지원
프록시 통합에 대해 HDS 노드 구성
차단된 외부 DNS 확인 모드 끄기

2019년 11월 8일

이제 이후 대신 OVA를 배포하는 동안 노드에 대한 네트워크 설정을 구성할 수 있습니다.

그에 따라 다음 섹션을 업데이트함:

하이브리드 데이터 보안 배포 작업 흐름
HDS 호스트 OVA 설치
하이브리드 데이터 보안 VM 설정

OVA 배포 중에 네트워크 설정을 구성하는 옵션은 ESXi 6.5에서 테스트되었습니다. 해당 옵션은 이전 버전에서 사용할 수 없을 수도 있습니다.

2019년 9월 6일

데이터베이스 서버 요구 사항에 SQL Server Standard를 추가했습니다.

2019년 8월 29일 적절한 작업을 위해 웹소켓 트래픽을 무시하도록 Squid 프록시 구성에 대한 안내를 포함하여 하이브리드 데이터 보안 부록에 대한 Squid 프록시 구성 이 추가되었습니다.

2019년 8월 20일

Webex 클라우드에 대한 하이브리드 데이터 보안 노드 통신에 대한 프록시 지원을 커버하기 위해 섹션을 추가하고 업데이트했습니다.

프록시 지원
프록시 서버 요구 사항
프록시 통합에 대해 HDS 노드 구성

2019년 6월 13일 목요일 조직에서 디렉터리 동기화를 사용하는 경우 평가판을 시작하기 전에 HdsTrialGroup 그룹 개체를 동기화하기 위한 알림을 사용하여 평가판을 프로덕션 작업 흐름 으로 업데이트했습니다.

2019년 3월 6일 수요일

요구 사항과 전제 조건을 별도의 장으로 이동하여 환경 준비.
하이브리드 데이터 보안 클러스터 설정 장에 하이브리드 데이터 보안 배포 작업 흐름 개요를 추가했습니다.

평가판을 시작할 때까지(후속 장의 지침을 사용하여) 노드는 서비스가 아직 활성화되지 않았음을 알리는 알람을 생성합니다.
평가판을 프로덕션 작업 흐름 에 추가함. 평가판을 실행하고 프로덕션으로 이동.

2019년 2월 28일 목요일

OVA가 생성하는 디스크의 크기를 반영하기 위해 하이브리드 데이터 보안 노드가 되는 가상 호스트를 50GB에서 20GB로 준비할 때 별도로 설정해야 하는 서버당 로컬 하드 디스크 공간의 양을 수정했습니다.

2019년 2월 26일

이제 하이브리드 데이터 보안 노드는 PostgreSQL 데이터베이스 서버로 암호화된 연결을 지원하고 TLS 지원 syslog 서버에 암호화된 로깅 연결을 지원합니다. 지침이 포함된 HDS 호스트에 대한 구성 ISO 만들기 를 업데이트했습니다.
"하이브리드 데이터 보안 노드 VM에 대한 인터넷 연결 요구 사항" 테이블에서 대상 URL을 제거했습니다. 이제 표는 Webex Teams 서비스에 대한 네트워크 요구 사항의 "Webex Teams 하이브리드 서비스에 대한 추가 URL" 표에 유지되는 목록을 나타냅니다.

2019년 1월 24일

2018년 11월 5일 수요일

HDS 호스트에 대한 구성 ISO 만들기 및 노드 구성 변경에서 기존 도커 hds 인스턴스를 정리하는 예비 단계를 추가했습니다.
인터페이스와 일치하도록 HDS 호스트에 대한 구성 ISO 만들기 에서 키 액세스 수준 단계를 업데이트했습니다.

2018년 10월 19일

하이브리드 데이터 보안에 대한 전제 조건 완료에서 방화벽 연결 정보를 노드 요구 사항 및 ISO 구성 기계 요구 사항으로 분할합니다.

2018년 7월 31일

하이브리드 데이터 보안에 대한 전제 조건을 완료하기 위해 포트 22(SSH 액세스) 및 NAT 및 방화벽 연결에 대한 정보를 추가했습니다.

2018년 5월 21일

Cisco Spark의 리브랜딩을 반영하기 위해 용어를 변경함:

이제 Cisco Spark 하이브리드 데이터 보안은 하이브리드 데이터 보안입니다.
이제 Cisco Spark 앱은 Webex 앱 앱입니다.
이제 Cisco Collaboraton Cloud는 Webex 클라우드입니다.

2018년 4월 11일 화요일

재해 복구를 위한 대기 데이터 센터가 추가되었습니다.
업데이트됨 하이브리드 데이터 보안에 대한 전제 조건 완료 는 백업 환경이 다른 데이터 센터에 있어야 함을 지정합니다.
대기 데이터 센터를 사용하여 재해 복구를 업데이트했습니다.

2018년 2월 22일

서비스 계정 비밀번호 9개월 수명에 대한 정보를 추가하고 HDS 설정 도구를 사용하여 서비스 계정 비밀번호를 재설정하는 방법을 사용하여 HDS 호스트에 대한 구성 ISO 만들기 및 노드 구성 변경.

2018년 2월 15일

X.509 인증서 요구 사항 표에서 인증서가 와일드카드 인증서가 될 수 없으며 KMS가 x.509v3 SAN 필드에 정의된 도메인이 아닌 CN 도메인을 사용한다고 지정했습니다.

2018년 1월 18일

부록, HDS 노드와 클라우드 간의 트래픽 추가.
하이브리드 데이터 보안에 대해 알려진 문제에서 해결된 문제를 제거했습니다.
index.docker.io를 *.docker.io로 변경하고 하이브리드 데이터 보안에 대한 전제 조건 완료의 HDS 노드에 대한 TCP 연결 요구 사항 목록에 *.cloudfront.net을 추가했습니다.
업데이트된 HDS 호스트에 대한 구성 ISO 생성 은 데이터베이스 호스트 및 Syslogd 서버가 HDS 노드에서 DNS 확인할 수 없는 경우 IP 주소를 사용하여 구성해야 함을 나타냅니다.

2017년 11월 2일 수요일

HdsTrialGroup의 디렉터리 동기화를 명확히 함.
VM 노드에 마운트하기 위해 ISO 구성 파일을 업로드하는 방법을 수정했습니다.

2017년 8월 18일

첫 번째 출판

하이브리드 데이터 보안 시작하기

하이브리드 데이터 보안 개요

첫날부터 데이터 보안은 Webex 앱 설계에 있어 주요 초점이었습니다. 이 보안의 토대는 KMS(Key Management Service)와 상호 작용하는 Webex 앱 클라이언트가 활성화하는 종단 간 콘텐츠 암호화입니다. KMS는 클라이언트가 메시지 및 파일을 동적으로 암호화하고 해독하는 데 사용하는 암호화 키를 만들고 관리합니다.

보안 영역 아키텍처

Webex 클라우드 아키텍처는 아래에 설명된 대로 다른 유형의 서비스를 별도의 영역 또는 신뢰 도메인으로 분리합니다.

하이브리드 데이터 보안을 더욱 이해하기 위해 먼저 Cisco가 클라우드 영역에서 모든 기능을 제공하는 이 순수 클라우드 사례를 살펴보겠습니다. 사용자가 이메일 주소와 같은 개인 정보와 직접 상호 관련될 수 있는 유일한 장소인 아이덴티티 서비스는 데이터 센터 B의 보안 영역과 논리적으로 물리적으로 분리됩니다. 두 영역 모두 암호화된 콘텐츠가 궁극적으로 데이터 센터 C에 저장되는 영역과 분리됩니다.

클라이언트는 키 관리 서비스(KMS)와 보안 연결을 설정한 후 메시지를 암호화하기 위해 키를 요청합니다. 보안 연결은 ECDH를 사용하며, KMS는 AES-256 마스터 키를 사용하여 키를 암호화합니다.
메시지가 클라이언트에서 나가기 전에 암호화됩니다. 클라이언트는 이를 인덱싱 서비스로 전송하며, 이는 암호화된 검색 인덱스를 생성하여 콘텐츠에 대한 향후 검색을 지원합니다.
암호화된 메시지는 준수 확인을 위해 준수 서비스로 전송됩니다.
암호화된 메시지는 스토리지 영역에 저장됩니다.

다른 조직과의 협업

하이브리드 데이터 보안 배포에 대한 기대

하이브리드 데이터 보안 배포에는 중요한 고객 노력과 암호화 키를 소유하는 위험에 대한 인식이 필요합니다.

하이브리드 데이터 보안을 배포하려면 다음을 제공해야 합니다.

Cisco Webex Teams 플랜에 대해 지원되는 위치인 국가의 보안 데이터 센터.
환경 준비에 설명된 장비, 소프트웨어 및 네트워크 액세스.

데이터베이스 및 구성 ISO의 백업 및 복구를 관리합니다.
데이터베이스 디스크 오류 또는 데이터 센터 재해와 같은 재해가 발생하는 경우 빠른 재해 복구를 수행할 수 있도록 준비하십시오.

HDS 배포 후 키를 클라우드로 다시 이동하는 메커니즘은 없습니다.

고급 설정 프로세스

이 문서는 하이브리드 데이터 보안 배포의 설정 및 관리를 다룹니다.

하이브리드 데이터 보안 설정—여기에는 필수 인프라 준비 및 하이브리드 데이터 보안 소프트웨어 설치, 평가판 모드의 사용자 하위 집합으로 배포 테스트 및 테스트가 완료되면 프로덕션으로 이동하는 작업이 포함됩니다. 이는 전체 조직을 변환하여 보안 기능에 대해 하이브리드 데이터 보안 클러스터를 사용합니다.
설정, 평가판 및 생산 단계는 다음 세 장에서 자세히 다룹니다.
하이브리드 데이터 보안 배포 유지—Webex 클라우드는 자동으로 진행 중인 업그레이드를 제공합니다. IT 부서는 이 배포에 대해 1단계 지원을 제공하고 필요에 따라 Cisco 지원을 참여할 수 있습니다. Control Hub에서 화면 내 알림을 사용하고 이메일 기반 경고를 설정할 수 있습니다.
일반적인 경고, 문제 해결 단계 및 알려진 문제를 이해—하이브리드 데이터 보안을 배포하거나 사용하는 데 문제가 발생하는 경우, 이 안내서의 마지막 장과 알려진 문제 부록을 참조하여 문제를 결정하고 해결하는 데 도움이 될 수 있습니다.

하이브리드 데이터 보안 배포 모델

하이브리드 데이터 보안 배포 모델

클러스터에서 가질 수 있는 최소 노드 수는 2개입니다. 최소 3개를 권장하며, 최대 5개까지 사용할 수 있습니다. 여러 노드를 갖는 것은 소프트웨어 업그레이드 또는 노드에서 다른 유지관리 활동 중에 서비스가 중단되지 않도록 합니다. (Webex 클라우드는 한 번에 한 개의 노드만 업그레이드합니다.)

Control Hub에서 노드를 등록하면 노드가 활성화됩니다. 개별 노드를 서비스 중단하려면 등록을 취소하고 필요한 경우 나중에 다시 등록할 수 있습니다.

조직당 단일 클러스터만 지원합니다.

하이브리드 데이터 보안 평가판 모드

평가판 중에 배포를 계속하지 않고 서비스를 비활성화하기로 결정하는 경우, 평가판 기간 동안 새로운 스페이스를 생성하여 작업한 파일럿 사용자 및 모든 사용자는 메시지 및 콘텐츠에 대한 액세스를 잃게 됩니다. Webex 앱에서 "이 메시지는 해독할 수 없습니다"라고 나타납니다.

재해 복구를 위한 대기 데이터 센터

배포 중에 보안 대기 데이터 센터를 설정합니다. 데이터 센터 재해가 발생하면 대기 데이터 센터로 배포에 수동으로 실패할 수 있습니다.

장애 조치 전에 데이터 센터 A에는 활성 HDS 노드와 기본 PostgreSQL 또는 Microsoft SQL Server 데이터베이스가 있으며, B에는 추가 구성, 조직에 등록된 VM 및 대기 데이터베이스가 있는 ISO 파일의 복사본이 있습니다. 페일오버 이후 데이터 센터 B에는 활성 HDS 노드와 기본 데이터베이스가 있으며, A에는 등록되지 않은 VM 및 ISO 파일의 사본이 있으며 데이터베이스가 대기 모드에 있습니다. — ***대기 데이터 센터로 수동 장애 조치***

활성 하이브리드 데이터 보안 노드는 항상 활성 데이터베이스 서버와 동일한 데이터 센터에 있어야 합니다.

재해 복구를 위한 대기 데이터 센터 설정

대기 데이터 센터의 ISO 파일을 구성하려면 아래 단계를 따르십시오.

시작하기 전에

대기 데이터 센터는 VM의 생산 환경 및 백업 PostgreSQL 또는 Microsoft SQL Server 데이터베이스를 반영해야 합니다. 예를 들어, 프로덕션에 HDS 노드를 실행하는 3개의 VM이 있는 경우 백업 환경에는 3개의 VM이 있어야 합니다. (이 장애 조치 모델의 개요는 재해 복구에 대한 대기 데이터 센터 를 참조하십시오.)
활성 및 수동 클러스터 노드의 데이터베이스 간에 데이터베이스 동기화가 활성화되어 있는지 확인합니다.

HDS 설정 도구를 시작하고 HDS 호스트에 대한 구성 ISO 만들기에 설명된 단계를 따릅니다.

ISO 파일은 기본 데이터 센터의 원래 ISO 파일의 복사본이어야 하며, 다음 구성 업데이트가 이루어져야 합니다.

Syslogd 서버를 구성한 후 고급 설정을 클릭합니다.

 패시브 모드: '''승'''

구성 프로세스를 완료하고 찾기 쉬운 위치에 ISO 파일을 저장합니다.

VMware vSphere 클라이언트의 왼쪽 탐색 창에서 VM을 마우스 오른쪽 버튼으로 클릭하고 설정 편집을 클릭합니다..

설정 편집 >CD/DVD 드라이브 1 을 클릭하고 데이터스토어 ISO 파일을 선택합니다.

노드를 시작한 후 업데이트된 구성 변경 사항이 적용될 수 있도록 Connected 및 Connect at power on 이(가) 선택되었는지 확인하십시오.

HDS 노드의 전원을 켜고 최소 15분 동안 경보가 울리지 않도록 합니다.

대기 데이터 센터의 모든 노드에 대해 프로세스를 반복합니다.

syslogs를 확인하여 노드가 수동 모드인지 확인합니다. syslog에서 "KMS가 수동 모드로 구성됨" 메시지를 볼 수 있어야 합니다.

다음에 수행할 작업

ISO 파일에서 passiveMode 를 구성하고 저장한 후 passiveMode 구성 없이 ISO 파일의 다른 복사본을 생성하고 안전한 위치에 저장할 수 있습니다. passiveMode 가 구성되지 않은 ISO 파일의 이 복사본은 재해 복구 중에 빠른 페일오버 프로세스를 지원할 수 있습니다. 자세한 장애 조치 절차는 대기 데이터 센터를 사용하는 재해 복구 를 참조하십시오.

프록시 지원

하이브리드 데이터 보안 노드는 다음 프록시 옵션을 지원합니다.

프록시 없음 - 프록시를 통합하기 위해 HDS 노드 설정 신뢰 저장소 및 프록시 구성을 사용하지 않는 경우 기본값입니다. 인증서를 업데이트하지 않아도 됩니다.
투명 비-검사 프록시 - 노드가 특정 프록시 서버 주소를 사용하도록 구성되지 않았으며, 비-검사 프록시에서 작동하도록 변경하지 않아도 됩니다. 인증서를 업데이트하지 않아도 됩니다.
투명 터널링 또는 검사 프록시 - 노드가 특정 프록시 서버 주소를 사용하도록 구성되지 않았습니다. 노드에서 HTTP 또는 HTTPS 구성을 변경하지 않아도 됩니다. 단, 노드에 루트 인증서가 있어야 프록시를 신뢰할 수 있습니다. 일반적으로 검사 프록시는 IT가 어떤 웹사이트를 방문할 수 있는지 및 어떤 유형의 콘텐츠가 허용되는지에 대한 정책을 적용하기 위해 사용됩니다. 이러한 유형의 프록시는 모든 트래픽(HTTPS 포함)을 해독합니다.
명시적 프록시 - 명시적 프록시를 사용하여 HDS 노드에 어떤 프록시 서버 및 인증 체계를 사용할지 알려줍니다. 명시적 프록시를 구성하려면 각 노드에 다음 정보를 입력해야 합니다.
1. 프록시 IP/FQDN—프록시 시스템에 연결하는 데 사용할 수 있는 주소입니다.
2. 프록시 포트 - 프록시가 프록시 트래픽을 수신하는 데 사용하는 포트 번호입니다.
3. 프록시 프로토콜—프록시 서버가 지원하는 내용에 따라 다음 프로토콜 중에서 선택합니다.
  - HTTP—클라이언트가 전송하는 모든 요청을 확인하고 제어합니다.
  - HTTPS—서버에 채널을 제공합니다. 클라이언트는 서버의 인증서를 수신하고 유효성을 검증합니다.
4. 인증 유형—다음 인증 유형 중에서 선택합니다.
  - 없음—추가 인증이 필요하지 않습니다.
    
    HTTP 또는 HTTPS를 프록시 프로토콜로 선택하는 경우에 사용할 수 있습니다.
  - 기본—요청을 할 때 HTTP 사용자 에이전트가 사용자 이름 및 암호를 제공하는 데 사용됩니다. Base64 인코딩을 사용합니다.
    
    HTTP 또는 HTTPS를 프록시 프로토콜로 선택하는 경우에 사용할 수 있습니다.
    
    각 노드에서 사용자 이름 및 비밀번호를 입력하도록 요구합니다.
  - 다이제스트—민감한 정보를 보내기 전에 계정을 확인하는 데 사용됩니다. 네트워크를 통해 전송하기 전에 사용자 이름 및 비밀번호에 해시 기능을 적용합니다.
    
    HTTPS를 프록시 프로토콜로 선택하는 경우에만 사용할 수 있습니다.
    
    각 노드에서 사용자 이름 및 비밀번호를 입력하도록 요구합니다.

하이브리드 데이터 보안 노드 및 프록시의 예제

차단된 외부 DNS 확인 모드 끄기 (명시적 프록시 구성)

환경 준비

하이브리드 데이터 보안의 요구 사항

Cisco Webex 라이센스 요구 사항

하이브리드 데이터 보안을 배포하려면:

Cisco Webex Control Hub용 Pro Pack이 있어야 합니다. (참조: https://www.cisco.com/go/pro-pack)

Docker 데스크톱 요구 사항

HDS 노드를 설치하기 전에 설치 프로그램을 실행하려면 Docker Desktop이 필요합니다. Docker는 최근 라이센스 모델을 업데이트했습니다. 조직에서 Docker 데스크탑에 대해 유료 가입을 요구할 수도 있습니다. 자세한 내용은 Docker 블로그 게시물 " Docker가 업데이트 중 및 제품 가입 연장하기를 참조합니다.

X.509 인증서 요구 사항

인증서 체인은 다음 요구 사항을 충족해야 합니다.

표 1. 하이브리드 데이터 보안 배포에 대한 X.509 인증서 요구 사항
요구 사항	세부 사항
신뢰할 수 있는 인증 기관(CA)이 서명함	기본적으로 https://wiki.mozilla.org/CA:IncludedCAs의 Mozilla 목록(WoSign 및 StartCom 제외)에서 CA를 신뢰합니다.
하이브리드 데이터 보안 배포를 식별하는 CN(공통 이름) 도메인 이름이 있습니다. 와일드카드 인증서가 아님	CN에 연결할 수 있거나 실시간 호스트가 필요하지 않습니다. 조직을 반영하는 이름(예: `hds.company.com`)을 사용할 것을 권장합니다. CN에는 *(와일드카드)가 포함되어서는 안 됩니다. CN은 Webex 앱 클라이언트에 대한 하이브리드 데이터 보안 노드를 확인하는 데 사용됩니다. 클러스터의 모든 하이브리드 데이터 보안 노드는 동일한 인증서를 사용합니다. KMS는 x.509v3 SAN 필드에 정의된 도메인이 아닌 CN 도메인을 사용하여 자신을 식별합니다. 이 인증서에 노드를 등록하면 CN 도메인 이름 변경을 지원하지 않습니다. 평가판 및 프로덕션 배포 모두에 적용할 수 있는 도메인을 선택합니다.
Non-SHA1 서명	KMS 소프트웨어는 다른 조직의 KMS와의 연결을 검증하기 위해 SHA1 서명을 지원하지 않습니다.
암호로 보호된 PKCS #12 파일로 포맷 `kms-private-key` 의 친절한 이름을 사용하여 업로드할 인증서, 비공개 키 및 중간 인증서에 태그를 지정합니다.	OpenSSL과 같은 변환기를 사용하여 인증서의 형식을 변경할 수 있습니다. HDS 설정 도구를 실행할 때 암호를 입력해야 합니다.

가상 호스트 요구 사항

클러스터에서 하이브리드 데이터 보안 노드로 설정하는 가상 호스트는 다음 요구 사항을 충족합니다.

동일한 보안 데이터 센터에서 두 개 이상의 별도의 호스트(3개 권장)가 공동 처리됨
VMware ESXi 6.5(이상) 설치 및 실행.

이전 버전의 ESXi가 있는 경우 업그레이드해야 합니다.
최소 4개의 vCPU, 8GB 기본 메모리, 서버당 30GB 로컬 하드 디스크 공간

데이터베이스 서버 요구 사항

데이터베이스 서버에 대한 두 가지 옵션이 있습니다. 각 요구 사항은 다음과 같습니다.

표 2. 데이터베이스 유형별 데이터베이스 서버 요구 사항

PostgreSQL 소개

Microsoft SQL 서버

PostgreSQL 14, 15 또는 16, 설치 및 실행.

SQL Server 2016, 2017 또는 2019 (Enterprise 또는 Standard)가 설치되었습니다.

SQL Server 2016에는 서비스 팩 2 및 누적 업데이트 2 이상이 필요합니다.

최소 8개의 vCPU, 16GB 기본 메모리, 충분한 하드 디스크 공간 및 모니터링을 통해 초과되지 않도록 합니다(스토리지를 늘릴 필요 없이 오랫동안 데이터베이스를 실행하려는 경우 2TB가 권장됨).

HDS 소프트웨어는 현재 데이터베이스 서버와의 통신을 위해 다음 드라이버 버전을 설치합니다.

PostgreSQL 소개

Microsoft SQL 서버

Postgres JDBC 드라이버 42.2.5

SQL Server JDBC 드라이버 4.6

이 드라이버 버전은 SQL Server Always On(Always On Failover 클러스터 인스턴스 및 Always On 가용성 그룹)을 지원합니다.

Microsoft SQL Server에 대한 Windows 인증에 대한 추가 요구 사항

HDS 노드가 Windows 인증을 사용하여 Microsoft SQL Server의 키 저장소 데이터베이스에 액세스하도록 하려면 환경에서 다음 구성이 필요합니다.

HDS 노드, Active Directory 인프라 및 MS SQL 서버가 모두 NTP와 동기화되어야 합니다.
HDS 노드에 제공하는 Windows 계정은 데이터베이스에 대한 읽기/쓰기 액세스 권한이 있어야 합니다.
HDS 노드에 제공하는 DNS 서버는 KDC(Key Distribution Center)를 해결할 수 있어야 합니다.
Microsoft SQL Server에서 HDS 데이터베이스 인스턴스를 Active Directory의 SPN(Service Principal Name)으로 등록할 수 있습니다. Kerberos Connections에 대한 서비스 기본 이름 등록을 참조하십시오.

HDS 설정 도구, HDS 실행기 및 로컬 KMS는 모두 Windows 인증을 사용하여 키 저장소 데이터베이스에 액세스해야 합니다. ISO 구성의 세부 정보를 사용하여 Kerberos 인증으로 액세스를 요청할 때 SPN을 구성합니다.

외부 연결 요구 사항

HDS 애플리케이션에 대해 다음 연결을 허용하도록 방화벽을 구성합니다.

응용프로그램	프로토콜	포트	앱에서 방향	대상
하이브리드 데이터 보안 노드	TCP	443	아웃바운드 HTTPS 및 WSS	Webex 서버: .wbx2.com .ciscospark.com 모든 공통 ID 호스트 하이브리드 데이터 보안에 대해 나열된 기타 URL은 Webex 하이브리드 서비스에 대한 추가 URL 테이블의 Webex 서비스에 대한 네트워크 요구 사항
HDS 설정 도구	TCP	443	아웃바운드 HTTPS	*.wbx2.com 모든 공통 ID 호스트 hub.docker.com

CI(Common Identity) 호스트에 대한 URL은 지역에 따라 다릅니다. 현재 CI 호스트는 다음과 같습니다.

지역	공통 ID 호스트 URL
Americas	https://idbroker.webex.com https://identity.webex.com https://idbroker-b-us.webex.com https://identity-b-us.webex.com
유럽 연합	https://idbroker-eu.webex.com https://identity-eu.webex.com
캐나다	https://idbroker-ca.webex.com https://identity-ca.webex.com

프록시 서버 요구 사항

하이브리드 데이터 보안 노드에 통합할 수 있는 다음 프록시 솔루션을 공식적으로 지원합니다.

투명 프록시—Cisco Web Security Appliance (WSA).

명시적 프록시—Squid.

HTTPS 트래픽을 검사하는 Squid 프록시는 웹소켓(wss:) 연결 설정을 방해할 수 있습니다. 이 문제를 해결하려면 하이브리드 데이터 보안에 대해 Squid 프록시 구성을 참조하십시오.

명시적 프록시에 대해 다음 인증 유형 조합을 지원합니다.
- HTTP 또는 HTTPS로 인증하지 않음
- HTTP 또는 HTTPS로 기본 인증
- HTTPS로만 다이제스트 인증
투명 검사 프록시 또는 HTTPS 명시적 프록시에 대해 프록시 루트 인증서의 복사본이 있어야 합니다. 이 안내서의 배포 지시 사항은 하이브리드 데이터 보안 노드의 신뢰 저장소에 사본을 업로드하는 방법을 설명합니다.
HDS 노드를 호스트하는 네트워크는 포트 443의 아웃바운드 TCP 트래픽이 프록시를 통해 라우팅하도록 구성되어야 합니다.
웹 트래픽을 검사하는 프록시는 웹 소켓 연결을 방해할 수도 있습니다. 이 문제가 발생하는 경우, wbx2.com 및 ciscospark.com에 대한 트래픽을 우회(검사하지 않음)하면 문제를 해결할 수 있습니다.

하이브리드 데이터 보안에 대한 전제 조건 완료

이 검사목록을 사용하여 하이브리드 데이터 보안 클러스터를 설치하고 구성할 준비가 되었는지 확인합니다.

Cisco Webex Control Hub용 Pro Pack에 대해 Webex 조직이 활성화되었는지 확인하고, 전체 조직 관리자 권한이 있는 계정의 자격 증명을 확보하십시오. 이 프로세스에 대한 도움말은 Cisco 파트너 또는 계정 관리자에게 문의하십시오.

HDS 배포에 대한 도메인 이름(예: hds.company.com)을 선택하고 X.509 인증서, 개인 키 및 중간 인증서가 포함된 인증서 체인을 얻습니다. 인증서 체인은 X.509 인증서 요구 사항의 요구 사항을 충족해야 합니다.

클러스터에서 하이브리드 데이터 보안 노드로 설정할 동일한 가상 호스트를 준비합니다. 가상 호스트 요구 사항의 요구 사항을 충족하는 동일한 보안 데이터 센터에 두 개 이상의 별도의 호스트(권장되는 호스트 3개)가 있어야 합니다.

키 스토리지를 위한 데이터베이스를 만듭니다. (이 데이터베이스를 만들어야 합니다. 기본 데이터베이스를 사용하지 마십시오. HDS 애플리케이션이 설치되면 데이터베이스 스키마를 만듭니다.)
노드가 데이터베이스 서버와 통신하는 데 사용할 세부 정보를 수집합니다.
- 호스트 이름 또는 IP 주소(호스트) 및 포트
- 키 스토리지에 대한 데이터베이스 이름(dbname)
- 키 스토리지 데이터베이스에 모든 권한이 있는 사용자의 사용자 이름 및 암호

syslog 호스트를 설정하여 클러스터의 노드에서 로그를 수집합니다. 네트워크 주소 및 syslog 포트를 수집합니다(기본값은 UDP 514).

방화벽 구성이 외부 연결 요구 사항에 설명된 대로 하이브리드 데이터 보안 노드에 대한 연결을 허용하는지 확인하십시오.

http://127.0.0.1:8080.에서 액세스할 수 있는 웹 브라우저를 사용하여 지원되는 OS(Microsoft Windows 10 Professional 또는 Enterprise 64비트 또는 Mac OSX Yosemite 10.10.3 이상)를 실행하는 모든 로컬 머신에 Docker( https://www.docker.com)를 설치합니다.

HDS 설정 도구를 설치하고 실행하려면 로컬 머신에 외부 연결 요구 사항에 설명된 연결이 있어야 합니다.

프록시를 하이브리드 데이터 보안에 통합하고 있는 경우, 프록시 서버 요구 사항을 충족하는지 확인하십시오.

조직에서 디렉터리 동기화를 사용하는 경우, HdsTrialGroup이라는 Active Directory에서 그룹을 만들고 파일럿 사용자를 추가합니다. 평가판 그룹은 최대 250명의 사용자를 포함할 수 있습니다. 조직에 대한 평가판을 시작하기 전에 HdsTrialGroup 개체를 클라우드와 동기화해야 합니다. 그룹 개체를 동기화하려면 디렉터리 커넥터의 구성 > 개체 선택 메뉴에서 선택합니다. (자세한 지침은 Cisco 디렉터리 커넥터의 배포 안내서를 참조하십시오.)

하이브리드 데이터 보안 클러스터 설정

Hybrid Data Security Deployment Task Flow

시작하기 전에

Download Installation Files

Download the OVA file to your local machine for later use.

Create a Configuration ISO for the HDS Hosts

Use the HDS Setup Tool to create an ISO configuration file for the Hybrid Data Security nodes.

Install the HDS Host OVA

Create a virtual machine from the OVA file and perform initial configuration, such as network settings.

The option to configure network settings during OVA deployment has been tested with ESXi 6.5. The option may not be available in earlier versions.

Set up the Hybrid Data Security VM

Sign in to the VM console and set the sign-in credentials. Configure the network settings for the node if you didn't configure them at the time of OVA deployment.

Upload and Mount the HDS Configuration ISO

Configure the VM from the ISO configuration file that you created with the HDS Setup Tool.

Create and Register More Nodes

If the network environment requires proxy configuration, specify the type of proxy that you will use for the node, and add the proxy certificate to the trust store if needed.

Complete the cluster setup.

Run a Trial and Move to Production (next chapter)

Until you start a trial, your nodes generate an alarm indicating that your service is not yet activated.

Download Installation Files

In this task, you download an OVA file to your machine (not to the servers you set up as Hybrid Data Security nodes). You use this file later in the installation process.

In the Hybrid Services section, find the Hybrid Data Security card, and then click Set up.

If the card is disabled or you don’t see it, contact your account team or your partner organization. Give them your account number and ask to enable your organization for Hybrid Data Security. To find the account number, click the gear at the top right, next to your organization name.

You can also download the OVA at any time from the Help section on the Settings page. On the Hybrid Data Security card, click Edit settings to open the page. Then, click Download Hybrid Data Security software in the Help section.

Older versions of the software package (OVA) will not be compatible with the latest Hybrid Data Security upgrades. This can result in issues while upgrading the application. Make sure you download the latest version of the OVA file.

Select No to indicate that you haven’t set up the node yet, and then click Next.

The OVA file automatically begins to download. Save the file to a location on your machine.

Optionally, click Open Deployment Guide to check if there’s a later version of this guide available.

Create a Configuration ISO for the HDS Hosts

The Hybrid Data Security setup process creates an ISO file. You then use the ISO to configure your Hybrid Data Security host.

시작하기 전에

If the HDS Setup tool runs behind a proxy in your environment, provide the proxy settings (server, port, credentials) through Docker environment variables when bringing up the Docker container in step 5. 이 표는 몇 가지 환경 변수를 제공합니다.

설명	변수
인증되지 않은 HTTP 프록시	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
인증되지 않은 HTTPS 프록시	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
인증된 HTTP 프록시	`GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
인증된 HTTPS 프록시	`GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

The configuration ISO file that you generate contains the master key encrypting the PostgreSQL or Microsoft SQL Server database. You need the latest copy of this file anytime you make configuration changes, like these:
- Database credentials
- Certificate updates
- Changes to authorization policy
If you plan to encrypt database connections, set up your PostgreSQL or SQL Server deployment for TLS.

머신의 명령줄에 사용자 환경에 적합한 명령을 입력합니다.

일반 환경:

docker rmi ciscocitg/hds-setup:stable

FedRAMP 환경:

docker rmi ciscocitg/hds-setup-fedramp:stable

이 단계에서는 이전 HDS 설정 도구 이미지를 정리합니다. 이전 이미지가 없는 경우 무시할 수 있는 오류를 반환합니다.

Docker 이미지 레지스트리에 로그인하려면 다음을 입력합니다.

docker login -u hdscustomersro

비밀번호 프롬프트에 이 해시를 입력합니다.

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

사용자 환경에 맞는 최신 안정 이미지를 다운로드합니다.

일반 환경:

docker pull ciscocitg/hds-setup:stable

FedRAMP 환경:

docker pull ciscocitg/hds-setup-fedramp:stable

풀이 완료되면 사용자 환경에 적합한 명령을 입력합니다.

프록시가 없는 일반 환경:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

HTTP 프록시가 있는 일반 환경:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

In regular environments with an HTTPS proxy:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

프록시가 없는 FedRAMP 환경:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

HTTP 프록시가 있는 FedRAMP 환경:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

HTTPS 프록시가 있는 FedRAMP 환경:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

컨테이너가 실행 중일 때 "포트 8080에서 수신하는 Express 서버"가 표시됩니다.

The Setup tool does not support connecting to localhost through http://localhost:8080. Use http://127.0.0.1:8080 to connect to localhost.

Use a web browser to go to the localhost, http://127.0.0.1:8080, and enter customer admin username for Control Hub at the prompt.

The tool uses this first entry of the username to set the proper environment for that account. The tool then displays the standard sign-in prompt.

When prompted, enter your Control Hub customer admin sign-in credentials, and then click Log in to allow access to the required services for Hybrid Data Security.

On the Setup Tool overview page, click Get Started.

On the ISO Import page, you have these options:

No—If you’re creating your first HDS node, you don't have an ISO file to upload.
Yes—If you already created HDS nodes, then you select your ISO file in the browse and upload it.

Check that your X.509 certificate meets the requirements in X.509 Certificate Requirements.

If you never uploaded a certificate before, upload the X.509 certificate, enter the password, and click Continue.
If your certificate is OK, click Continue.
If your certificate has expired or you want to replace it, select No for Continue using HDS certificate chain and private key from previous ISO?. Upload a new X.509 certificate, enter the password, and click Continue.

Enter the database address and account for HDS to access your key datastore:

Select your Database Type (PostgreSQL or Microsoft SQL Server).

If you choose Microsoft SQL Server, you get an Authentication Type field.
(Microsoft SQL Server only) Select your Authentication Type:
- Basic Authentication: You need a local SQL Server account name in the Username field.
- Windows Authentication: You need a Windows account in the format username@DOMAIN in the Username field.
Enter the database server address in the form <hostname>:<port> or <IP-address>:<port>.

예:
dbhost.example.org:1433 or 198.51.100.17:1433

You can use an IP address for basic authentication, if the nodes can't use DNS to resolve the hostname.

If you are using Windows authentication, you must enter a Fully Qualified Domain Name in the format dbhost.example.org:1433
Enter the Database Name.
Enter the Username and Password of a user with all privileges on the key storage database.

Select a TLS Database Connection Mode:

모드

설명

Prefer TLS (default option)

HDS 노드에서 TLS가 데이터베이스 서버에 연결하도록 요구하지 않습니다. If you enable TLS on the database server, the nodes attempt an encrypted connection.

TLS 필요

데이터베이스 서버에서 TLS를 협상할 수 있는 경우에만 HDS 노드를 연결합니다.

TLS 필요 및 인증서 서명자 확인

This mode isn’t applicable for SQL Server databases.

데이터베이스 서버에서 TLS를 협상할 수 있는 경우에만 HDS 노드를 연결합니다.
After establishing a TLS connection, the node compares the signer of the certificate from the database server to the certificate authority in the Database root certificate. 해당 정보가 일치하지 않으면 노드는 연결을 끊습니다.

이 옵션에 대해 루트 인증서를 업로드하려면 드롭다운 아래에 있는 데이터베이스 루트 인증서 제어를 사용하십시오.

TLS 필요 및 인증서 서명자, 호스트 이름 확인

데이터베이스 서버에서 TLS를 협상할 수 있는 경우에만 HDS 노드를 연결합니다.
After establishing a TLS connection, the node compares the signer of the certificate from the database server to the certificate authority in the Database root certificate. 해당 정보가 일치하지 않으면 노드는 연결을 끊습니다.
The nodes also verify that the hostname in the server certificate matches the hostname in the Database host and port field. 이름은 정확히 일치해야 하며, 그렇지 않으면 노드가 연결을 끊습니다.

이 옵션에 대해 루트 인증서를 업로드하려면 드롭다운 아래에 있는 데이터베이스 루트 인증서 제어를 사용하십시오.

When you upload the root certificate (if necessary) and click Continue, the HDS Setup Tool tests the TLS connection to the database server. 해당 도구는 인증서 서명자 및 호스트 이름도 확인합니다(해당하는 경우). 테스트가 실패하면 도구에서 문제를 설명하는 오류 메시지를 표시합니다. 오류를 무시할지 선택하고 설정을 계속할 수 있습니다. (Because of connectivity differences, the HDS nodes might be able to establish the TLS connection even if the HDS Setup Tool machine can't successfully test it.)

On the System Logs page, configure your Syslogd server:

Enter the syslog server URL.

If the server isn’t DNS-resolvable from the nodes for your HDS cluster, use an IP address in the URL.

예:
udp://10.92.43.23:514 indicates logging to Syslogd host 10.92.43.23 on UDP port 514.
If you set up your server to use TLS encryption, check Is your syslog server configured for SSL encryption?.

If you check this check box, make sure you enter a TCP URL such as tcp://10.92.43.23:514.
From the Choose syslog record termination drop-down, choose the appropriate setting for your ISO file: Choose or Newline is used for Graylog and Rsyslog TCP
- Null byte -- \x00
- Newline -- \n—Select this choice for Graylog and Rsyslog TCP.
계속을 클릭합니다.

(Optional) You can change the default value for some database connection parameters in Advanced Settings. Generally, this parameter is the only one that you might want to change:

app_datasource_connection_pool_max사이즈: 10

Click Continue on the Reset Service Accounts Password screen.

Service account passwords have a nine-month lifespan. Use this screen when your passwords are nearing expiry or you want to reset them to invalidate previous ISO files.

Click Download ISO File. Save the file in a location that's easy to find.

Make a backup copy of the ISO file on your local system.

Keep the backup copy secure. This file contains a master encryption key for the database contents. Restrict access to only those Hybrid Data Security administrators who should make configuration changes.

설정 도구를 종료하려면 CTRL + C 조합을 입력합니다.

다음에 수행할 작업

Back up the configuration ISO file. You need it to create more nodes for recovery, or to make configuration changes. If you lose all copies of the ISO file, you've also lost the master key. Recovering the keys from your PostgreSQL or Microsoft SQL Server database isn't possible.

We never have a copy of this key and can't help if you lose it.

Install the HDS Host OVA

Use this procedure to create a virtual machine from the OVA file.

Use the VMware vSphere client on your computer to log into the ESXi virtual host.

파일 > OVF 템플릿 배포를 선택합니다.

In the wizard, specify the location of the OVA file that you downloaded earlier, and then click Next.

On the Select a name and folder page, enter a Virtual machine name for the node (for example, "HDS_Node_1"), choose a location where the virtual machine node deployment can reside, and then click Next.

On the Select a compute resource page, choose the destination compute resource, and then click Next.

A validation check runs. After it finishes, the template details appear.

Verify the template details and then click Next.

If you are asked to choose the resource configuration on the Configuration page, click 4 CPU and then click Next.

On the Select storage page, click Next to accept the default disk format and VM storage policy.

On the Select networks page, choose the network option from the list of entries to provide the desired connectivity to the VM.

On the Customize template page, configure the following network settings:

Hostname—Enter the FQDN (hostname and domain) or a single word hostname for the node.

You do not need to set the domain to match the domain that you used to obtain the X.509 certificate.
To ensure a successful registration to the cloud, use only lowercase characters in the FQDN or hostname that you set for the node. 현재 대문자 사용은 지원되지 않습니다.
FQDN의 총 길이는 64자를 초과하지 말아야 합니다.

IP Address— Enter the IP address for the internal interface of the node.

Your node should have an internal IP address and DNS name. DHCP is not supported.
Mask—Enter the subnet mask address in dot-decimal notation. For example, 255.255.255.0.
Gateway—Enter the gateway IP address. A gateway is a network node that serves as an access point to another network.
DNS Servers—Enter a comma-separated list of DNS servers, which handle translating domain names to numeric IP addresses. (Up to 4 DNS entries are allowed.)
NTP Servers—Enter your organization's NTP server or another external NTP server that can be used in your organization. The default NTP servers may not work for all enterprises. You can also use a comma-separated list to enter multiple NTP servers.

Deploy all the nodes on the same subnet or VLAN, so that all nodes in a cluster are reachable from clients in your network for administrative purposes.

If preferred, you can skip the network setting configuration and follow the steps in Set up the Hybrid Data Security VM to configure the settings from the node console.

The option to configure network settings during OVA deployment has been tested with ESXi 6.5. The option may not be available in earlier versions.

Right-click the node VM, and then choose Power > Power On.

The Hybrid Data Security software is installed as a guest on the VM Host. You are now ready to sign in to the console and configure the node.

문제 해결하기 추가 정보

Set up the Hybrid Data Security VM

Use this procedure to sign in to the Hybrid Data Security node VM console for the first time and set the sign-in credentials. You can also use the console to configure the network settings for the node if you didn't configure them at the time of OVA deployment.

1	In the VMware vSphere client, select your Hybrid Data Security node VM and select the Console tab. The VM boots up and a login prompt appears. 로그인 프롬프트가 표시되지 않는 경우엔 Enter를 누릅니다.
2	Use the following default login and password to sign in and change the credentials: 로그인: `admin` 비밀번호: `cisco` Since you are signing in to your VM for the first time, you are required to change the administrator password.
3	If you already configured the network settings in Install the HDS Host OVA, skip the rest of this procedure. Otherwise, in the main menu, select the Edit Configuration option.
4	Set up a static configuration with IP address, Mask, Gateway and DNS information. Your node should have an internal IP address and DNS name. DHCP is not supported.
5	(Optional) Change the hostname, domain or NTP server(s), if needed to match your network policy. You do not need to set the domain to match the domain that you used to obtain the X.509 certificate.
6	Save the network configuration and reboot the VM so that the changes take effect.

Upload and Mount the HDS Configuration ISO

Use this procedure to configure the virtual machine from the ISO file that you created with the HDS Setup Tool.

시작하기 전에

Because the ISO file holds the master key, it should only be exposed on a "need to know" basis, for access by the Hybrid Data Security VMs and any administrators who might need to make changes. Make sure that only those administrators can access the datastore.

Upload the ISO file from your computer:

In the VMware vSphere client's left navigation pane, click on the ESXi server.
On the Configuration tab's Hardware list, click Storage.
In the Datastores list, right-click on the datastore for your VMs and click Browse Datastore.
Click on the Upload Files icon, and then click Upload File.
Browse to the location where you downloaded the ISO file on your computer and click Open.
Click Yes to accept the upload/download operation warning, and close the datastore dialog.

Mount the ISO file:

VMware vSphere 클라이언트의 왼쪽 네비게이션 분할 창에서 VM을 오른쪽 클릭하고 설정 편집을 클릭합니다.
Click OK to accept the restricted edit options warning.
Click CD/DVD Drive 1, select the option to mount from a datastore ISO file, and browse to the location where you uploaded the configuration ISO file.
Check Connected and Connect at power on.
Save your changes and reboot the virtual machine.

다음에 수행할 작업

If your IT policy requires, you can optionally unmount the ISO file after all your nodes pick up the configuration changes. See (Optional) Unmount ISO After HDS Configuration for details.

프록시 통합에 대해 HDS 노드 구성

시작하기 전에

See Proxy Support for an overview of the supported proxy options.
프록시 서버 요구 사항

1	웹 브라우저에서 HDS 노드 설정 URL `https://[HDS Node IP 또는 FQDN]/setup`을 입력하고, 노드에 대해 설정한 관리 자격 증명을 입력한 후 로그인을 클릭합니다.
2	신뢰 저장소 및 프록시로 이동한 후 옵션을 선택합니다. No Proxy—The default option before you integrate a proxy. 인증서를 업데이트하지 않아도 됩니다. Transparent Non-Inspecting Proxy—Nodes are not configured to use a specific proxy server address and should not require any changes to work with a non-inspecting proxy. 인증서를 업데이트하지 않아도 됩니다. Transparent Inspecting Proxy—Nodes are not configured to use a specific proxy server address. 하이브리드 데이터 보안 배포에서 HTTPS 구성을 변경하지 않아도 됩니다. 단, HDS 노드에 루트 인증서가 있어야 프록시를 신뢰할 수 있습니다. 일반적으로 검사 프록시는 IT가 어떤 웹사이트를 방문할 수 있는지 및 어떤 유형의 콘텐츠가 허용되는지에 대한 정책을 적용하기 위해 사용됩니다. 이러한 유형의 프록시는 모든 트래픽(HTTPS 포함)을 해독합니다. Explicit Proxy—With explicit proxy, you tell the client (HDS nodes) which proxy server to use, and this option supports several authentication types. 이 옵션을 선택한 후 다음 정보를 입력해야 합니다. Proxy IP/FQDN—Address that can be used to reach the proxy machine. Proxy Port—A port number that the proxy uses to listen for proxied traffic. Proxy Protocol—Choose http (views and controls all requests that are received from the client) or https (provides a channel to the server and the client receives and validates the server's certificate). 프록시 서버가 지원하는 내용에 따라 옵션을 선택합니다. Authentication Type—Choose from among the following authentication types: None—No further authentication is required. HTTP 또는 HTTPS 프록시를 사용할 수 있습니다. Basic—Used for an HTTP User Agent to provide a user name and password when making a request. Base64 인코딩을 사용합니다. HTTP 또는 HTTPS 프록시를 사용할 수 있습니다. 이 옵션을 선택하는 경우, 사용자 이름 및 비밀번호도 입력해야 합니다. Digest—Used to confirm the account before sending sensitive information. 네트워크를 통해 전송하기 전에 사용자 이름 및 비밀번호에 해시 기능을 적용합니다. HTTPS 프록시에 대해서만 사용할 수 있습니다. 이 옵션을 선택하는 경우, 사용자 이름 및 비밀번호도 입력해야 합니다. 투명 검사 프록시, 기본 인증이 포함된 HTTP 명시적 프록시 또는 HTTPS 명시적 프록시에 대해서는 다음 단계를 따르십시오.
3	루트 인증서 또는 최종 엔터티 인증서 업로드를 클릭한 후 탐색하여 프록시에 대한 루트 인증서를 선택합니다. 인증서가 업로드되었지만 아직 설치되지 않았습니다. 인증서를 설치하려면 노드를 재부팅해야 합니다. 인증서 발급자 이름 옆에 있는 갈매기 모양 화살표를 클릭하여 자세한 내용을 확인합니다. 실수가 있었거나 파일을 다시 업로드하려는 경우엔 삭제를 클릭합니다.
4	프록시 연결 확인을 클릭하여 노드와 프록시 간의 네트워크 연결을 테스트합니다. 연결 테스트에 실패하는 경우, 이유 및 문제를 해결할 수 있는 방법을 표시하는 오류 메시지가 나타납니다. 외부 DNS 확인에 실패했다는 메시지가 나타나면 노드가 DNS 서버에 연결하지 못한 것입니다. 이 조건은 다양한 명시적 프록시 구성에서 예상되는 작동입니다. 설정을 계속 진행할 수 있으며, 노드는 차단된 외부 DNS 확인 모드로 작동하게 됩니다. If you think this is an error, complete these steps, and then see Turn off Blocked External DNS Resolution Mode.
5	연결 테스트를 통과한 후 https로만 설정된 명시적 프록시에 대해 설정을 토글하여 이 노드의 모든 포트 443/444 https 요청을 명시적 프록시를 통해 라우팅합니다. 이 설정이 적용될 때까지 15초 정도 소요됩니다.
6	모든 인증서를 신뢰 저장소에 설치(HTTPS 명시적 프록시 또는 투명 검사 프록시에 대해 나타남) 또는 재부팅(HTTP 명시적 프록시에 대해 나타남)을 클릭하고 안내를 읽은 후 준비되었을 때 설치를 클릭합니다. 노드는 몇 분 내에 재부팅됩니다.
7	노드가 재부팅되면 필요에 따라 다시 로그인한 후 개요 페이지를 열어 연결을 확인하고 모두 녹색 상태인지 확인합니다. 프록시 연결 확인은 webex.com의 하위 도메인만 테스트합니다. 연결에 문제가 있는 경우, 설치 지시 사항에 나열된 일부 클라우드 도메인이 프록시에서 차단되는 것은 일반적인 문제입니다.

Register the First Node in the Cluster

This task takes the generic node that you created in the Set up the Hybrid Data Security VM, registers the node with the Webex cloud, and turns it into a Hybrid Data Security node.

첫 번째 노드를 등록할 때 해당 노드가 지정된 클러스터를 만듭니다. A cluster contains one or more nodes deployed to provide redundancy.

시작하기 전에

노드의 등록을 시작하면 60분 이내에 완료해야 합니다. 그렇지 않으면 처음부터 다시 시작해야 합니다.
Ensure that any pop-up blockers in your browser are disabled or that you allow an exception for admin.webex.com.

1	https://admin.webex.com에 로그인합니다.
2	화면의 왼쪽에 있는 메뉴에서 서비스를 선택합니다.
3	In the Hybrid Services section, find Hybrid Data Security and click Set up. The Register Hybrid Data Security Node page appears.
4	Select Yes to indicate that you have set up the node and are ready to register it, and then click Next.
5	In the first field, enter a name for the cluster to which you want to assign your Hybrid Data Security node. 지리적으로 클러스터의 노드가 위치한 장소에 기반하여 클러스터의 이름을 지정할 것을 권장합니다. Examples: "San Francisco" or "New York" or "Dallas"
6	In the second field, enter the internal IP address or fully qualified domain name (FQDN) of your node and click Next. This IP address or FQDN should match the IP address or hostname and domain that you used in Set up the Hybrid Data Security VM. A message appears indicating you can register your node to the Webex.
7	노드로 이동을 클릭합니다.
8	경고 메시지에서 계속을 클릭합니다. After a few moments, you are redirected to the node connectivity tests for Webex services. If all tests are successful, the Allow Access to Hybrid Data Security Node page appears. There, you confirm that you want to give permissions to your Webex organization to access your node.
9	Check the Allow Access to Your Hybrid Data Security Node checkbox, and then click Continue. Your account is validated and the "Registration Complete" message indicates that your node is now registered to the Webex cloud.
10	Click the link or close the tab to go back to the Control Hub Hybrid Data Security page. On the Hybrid Data Security page, the new cluster containing the node that you registered is displayed. The node will automatically download the latest software from the cloud.

Create and Register More Nodes

To add additional nodes to your cluster, you simply create additional VMs and mount the same configuration ISO file, then register the node. We recommend that you have at least 3 nodes.

At this time, the backup VMs that you created in Complete the Prerequisites for Hybrid Data Security are standby hosts which are only used in the event of disaster recovery; they are not registered with the system until then. For details, see Disaster Recovery using Standby Data Center.

시작하기 전에

노드의 등록을 시작하면 60분 이내에 완료해야 합니다. 그렇지 않으면 처음부터 다시 시작해야 합니다.
Ensure that any pop-up blockers in your browser are disabled or that you allow an exception for admin.webex.com.

1	Create a new virtual machine from the OVA, repeating the steps in Install the HDS Host OVA.
2	Set up the initial configuration on the new VM, repeating the steps in Set up the Hybrid Data Security VM.
3	On the new VM, repeat the steps in Upload and Mount the HDS Configuration ISO.
4	If you are setting up a proxy for your deployment, repeat the steps in Configure the HDS Node for Proxy Integration as needed for the new node.
5	Register the node. In https://admin.webex.com, select Services from the menu on the left side of the screen. In the Hybrid Services section, find the Hybrid Data Security card and click Resources. The Hybrid Data Security Resources page appears. Click Add Resource. In the first field, select the name of your existing cluster. In the second field, enter the internal IP address or fully qualified domain name (FQDN) of your node and click Next. A message appears indicating you can register your node to the Webex cloud. 노드로 이동을 클릭합니다. After a few moments, you are redirected to the node connectivity tests for Webex services. If all tests are successful, the Allow Access to Hybrid Data Security Node page appears. There, you confirm that you want to give permissions to your organization to access your node. Check the Allow Access to Your Hybrid Data Security Node checkbox, and then click Continue. Your account is validated and the "Registration Complete" message indicates that your node is now registered to the Webex cloud. Click the link or close the tab to go back to the Control Hub Hybrid Data Security page. Your node is registered. Note that until you start a trial, your nodes generate an alarm indicating that your service is not yet activated.

다음에 수행할 작업

Run a Trial and Move to Production (next chapter)

평가판을 실행하고 프로덕션으로 이동

프로덕션 작업 흐름 평가판

시작하기 전에

1	해당하는 경우, `HdsTrialGroup` 그룹 개체를 동기화합니다. 조직에서 사용자에 대해 디렉터리 동기화를 사용하는 경우, 평가판을 시작하기 전에 클라우드에 동기화할 `HdsTrialGroup` 그룹 개체를 선택해야 합니다. 지침은 Cisco 디렉터리 커넥터의 배포 안내서를 참조하십시오.
2	평가판 활성화 실험을 시작하세요. 이 작업을 수행할 때까지 노드는 서비스가 아직 활성화되지 않았음을 나타내는 알람을 생성합니다.
3	하이브리드 데이터 보안 배포 테스트 주요 요청이 하이브리드 데이터 보안 배포로 전달되고 있는지 확인합니다.
4	하이브리드 데이터 보안 상태 모니터링 상태를 확인하고 알람에 대한 이메일 알림을 설정합니다.
5	평가판에서 사용자 추가 또는 제거
6	다음 작업 중 하나로 평가판 단계를 완료합니다. 평가판에서 프로덕션으로 이동 프로덕션으로 이동하지 않고 평가판 종료

평가판 활성화

시작하기 전에

조직에서 사용자에 대해 디렉터리 동기화를 사용하는 경우, 조직에 대한 평가판을 시작하기 전에 클라우드에 동기화할 HdsTrialGroup 그룹 개체를 선택해야 합니다. 지침은 Cisco 디렉터리 커넥터의 배포 안내서를 참조하십시오.

1	https://admin.webex.com에 로그인한 후 서비스를 선택합니다.
2	하이브리드 데이터 보안 아래에서 설정을 클릭합니다.
3	서비스 상태 섹션에서 평가판 시작을 클릭합니다. 서비스 상태가 평가판 모드로 변경됩니다.
4	암호화 및 인덱싱 서비스를 위해 하이브리드 데이터 보안 노드를 사용하여 파일럿할 사용자 추가 를 클릭하고 한 명 이상의 사용자의 이메일 주소를 입력합니다. (조직에서 디렉터리 동기화를 사용하는 경우, Active Directory를 사용하여 평가판 그룹, `HdsTrialGroup`을 관리하십시오.)

하이브리드 데이터 보안 배포 테스트

이 절차를 사용하여 하이브리드 데이터 보안 암호화 시나리오를 테스트합니다.

시작하기 전에

하이브리드 데이터 보안 배포를 설정합니다.
평가판을 활성화하고 여러 평가판 사용자를 추가합니다.
키 요청이 하이브리드 데이터 보안 배포로 전달되고 있는지 확인하려면 syslog에 액세스할 수 있는지 확인하십시오.

새 스페이스에 메시지를 보냅니다.

syslog 출력을 확인하여 키 요청이 하이브리드 데이터 보안 배포에 전달되고 있는지 확인합니다.

사용자가 먼저 KMS에 보안 채널을 설정하는지 확인하려면 kms.data.method=create 및 kms.data.type=EPHEMERAL_KEY_COLLECTION을 필터링합니다.

다음과 같은 항목을 찾아야 합니다(가독성을 위해 식별자가 단축됨).

2020-07-21 17:35:34.562 (+0000) INFO KMS [pool-14-thread-1] - [KMS:REQUEST] 수신됨, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid의: kms://hds2.org5.portun.us/statickeys/3[~]0 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

KMS에서 기존 키를 요청하는 사용자를 확인하려면 kms.data.method=retrieve 및 kms.data.type=KEY를 필터링합니다.

다음과 같은 입력값이 나타납니다.

2020-07-21 17:44:19.889 (+0000) INFO KMS [pool-14-thread-31] - [KMS:REQUEST] 수신, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid의: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

새 KMS 키 생성을 요청하는 사용자를 확인하려면 kms.data.method=create 및 kms.data.type=KEY_COLLECTION을 필터링합니다.

다음과 같은 입력값이 나타납니다.

2020-07-21 17:44:21.975 (+0000) INFO KMS [pool-14-thread-33] - [KMS:REQUEST] 수신됨, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid의: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

스페이스 또는 기타 보호된 리소스가 생성될 때 새로운 KMS 리소스 개체(KRO)를 생성하도록 요청하는 사용자를 확인하려면 kms.data.method=create 및 kms.data.type=RESOURCE_COLLECTION에 필터링합니다.

다음과 같은 입력값이 나타납니다.

2020-07-21 17:44:22.808 (+0000) INFO KMS [pool-15-thread-1] - [KMS:REQUEST] 수신됨, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid의: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

하이브리드 데이터 보안 상태 모니터링

1	Control Hub에서 화면 왼쪽에 있는 메뉴에서 서비스 를 선택합니다.
2	하이브리드 서비스 섹션에서 하이브리드 데이터 보안을 찾고 설정을 클릭합니다. 하이브리드 데이터 보안 설정 페이지가 나타납니다.
3	이메일 알림 섹션에서 콤마로 구분하여 하나 이상의 이메일 주소를 입력하고 Enter를 누릅니다.

평가판에서 사용자 추가 또는 제거

평가판을 활성화하고 평가판 사용자의 초기 집합을 추가한 후 평가판이 활성화된 동안 언제든지 평가판 멤버를 추가하거나 제거할 수 있습니다.

조직에서 디렉터리 동기화를 사용하는 경우, Active Directory(이 절차 대신)를 사용하여 평가판 그룹, HdsTrialGroup을 관리합니다. Control Hub에서 그룹 멤버를 볼 수 있지만, 추가하거나 제거할 수는 없습니다.

1	Control Hub에 로그인한 후 서비스를 선택합니다.
2	하이브리드 데이터 보안 아래에서 설정을 클릭합니다.
3	서비스 상태 영역의 평가판 모드 섹션에서 사용자 추가를 클릭하거나 보기 및 편집 을 클릭하여 평가판에서 사용자를 제거합니다.
4	추가할 한 명 이상의 사용자의 이메일 주소를 입력하거나, 사용자 ID로 X 를 클릭하여 평가판에서 사용자를 제거합니다. 그 후 저장을 클릭합니다.

평가판에서 프로덕션으로 이동

1	Control Hub에 로그인한 후 서비스를 선택합니다.
2	하이브리드 데이터 보안 아래에서 설정을 클릭합니다.
3	서비스 상태 섹션에서 생산으로 이동을 클릭합니다.
4	모든 사용자를 프로덕션으로 이동하고자 하는지 확인합니다.

프로덕션으로 이동하지 않고 평가판 종료

1	Control Hub에 로그인한 후 서비스를 선택합니다.
2	하이브리드 데이터 보안 아래에서 설정을 클릭합니다.
3	비활성화 섹션에서 비활성화를 클릭합니다.
4	서비스를 비활성화하고 평가판을 종료할지 확인합니다.

HDS 구축 관리

여기에 설명된 작업을 사용하여 하이브리드 데이터 보안 배포를 관리합니다.

클러스터 업그레이드 일정 설정

업그레이드 일정을 설정하려면:

1	Control Hub에 로그인합니다.
2	개요 페이지의 하이브리드 서비스 아래에서 하이브리드 데이터 보안을 선택합니다.
3	하이브리드 데이터 보안 리소스 페이지에서 클러스터를 선택합니다.
4	오른쪽의 개요 목록에서 클러스터 설정 아래에서 클러스터 이름을 선택합니다.
5	설정 페이지에 있는 업그레이드 아래에서 업그레이드 예약에 대한 시간 및 시간대를 선택합니다. 참고: 시간대 아래에 다음 사용 가능한 업그레이드 날짜 및 시간이 표시됩니다. 필요한 경우 연기를 클릭하여 업그레이드를 다음 날로 연기할 수 있습니다.

노드 구성 변경

경우에 따라 다음과 같은 이유로 하이브리드 데이터 보안 노드의 구성을 변경해야 할 수도 있습니다.

만료 또는 기타 이유로 인해 x.509 인증서 변경.

인증서의 CN 도메인 이름 변경을 지원하지 않습니다. 도메인은 클러스터에 등록하기 위해 사용된 원래 도메인과 일치해야 합니다.

PostgreSQL 또는 Microsoft SQL Server 데이터베이스의 복제본으로 변경하도록 데이터베이스 설정 업데이트.

새 데이터 센터를 준비하기 위해 새 구성 생성.

소프트 재설정—이전 비밀번호와 새 비밀번호는 모두 최대 10일 동안 작동합니다. 이 기간을 사용하여 노드에서 ISO 파일을 점진적으로 교체합니다.
하드 재설정—이전 비밀번호가 즉시 작동하지 않습니다.

비밀번호가 재설정 없이 만료되는 경우 HDS 서비스에 영향을 미치므로 즉시 하드 재설정을 수행하고 모든 노드에서 ISO 파일을 교체해야 합니다.

새 구성 ISO 파일을 생성하고 클러스터에 적용하려면 이 절차를 따르십시오.

시작하기 전에

설명	변수
인증되지 않은 HTTP 프록시	`글로벌_에이전트_HTTP_PROXY=http://SERVER_IP:PORT`
인증되지 않은 HTTPS 프록시	`글로벌_에이전트_HTTPS_PROXY=http://SERVER_IP:PORT`
인증된 HTTP 프록시	`글로벌_에이전트_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
인증된 HTTPS 프록시	`글로벌_에이전트_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

새 구성을 생성하려면 현재 구성 ISO 파일의 사본이 필요합니다. ISO에는 PostgreSQL 또는 Microsoft SQL Server 데이터베이스를 암호화하는 마스터 키가 포함되어 있습니다. 데이터베이스 자격 증명, 인증서 업데이트 또는 인증 정책 변경을 포함하여 구성을 변경할 때 ISO가 필요합니다.

로컬 머신에서 Docker를 사용하여 HDS 설정 도구를 실행합니다.

머신의 명령줄에 사용자 환경에 적합한 명령을 입력합니다.

일반 환경:

docker rmi ciscocitg/hds-setup:안정적인

FedRAMP 환경:

docker rmi ciscocitg/hds-setup-fedramp:안정적인

이 단계에서는 이전 HDS 설정 도구 이미지를 정리합니다. 이전 이미지가 없는 경우 무시할 수 있는 오류를 반환합니다.

Docker 이미지 레지스트리에 로그인하려면 다음을 입력합니다.
```
도커 로그인 -u hdscustomersro
```
비밀번호 프롬프트에 이 해시를 입력합니다.
```
dckr_pat_aDP6V4KkrvpBwaQf6m6ROkv쿠이오
```

사용자 환경에 맞는 최신 안정 이미지를 다운로드합니다.

일반 환경:

docker 풀 ciscocitg/hds 설정:안정적인

FedRAMP 환경:

docker 풀 ciscocitg/hds-setup-fedramp:안정적인

이 절차에 대해 최신 설정 도구를 사용하고 있는지 확인하십시오. 2018년 2월 22일 이전에 생성된 도구의 버전에는 비밀번호 재설정 화면이 없습니다.

풀이 완료되면 사용자 환경에 적합한 명령을 입력합니다.

프록시가 없는 일반 환경:

docker run -p 8080:8080 --rm -it ciscocitg/hds setup:stable

HTTP 프록시가 있는 일반 환경:

docker run -p 8080:8080 --rm -it -e 글로벌_에이전트_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

HTTPS 프록시가 있는 일반 환경:

docker run -p 8080:8080 --rm -it -e 글로벌_에이전트_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

프록시가 없는 FedRAMP 환경:

docker 실행 -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

HTTP 프록시가 있는 FedRAMP 환경:

docker run -p 8080:8080 --rm -it -e 글로벌_에이전트_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

HTTPS 프록시가 있는 FedRAMP 환경:

docker run -p 8080:8080 --rm -it -e 글로벌_에이전트_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

컨테이너가 실행 중일 때 "포트 8080에서 수신하는 Express 서버"가 표시됩니다.

브라우저를 사용하여 로컬 호스트 http://127.0.0.1:8080에 연결합니다.

설정 도구는 http://localhost:8080을 통해 localhost에 연결하는 것을 지원하지 않습니다. http://127.0.0.1:8080 를 사용하여 localhost에 연결합니다.

안내를 받으면 Control Hub 고객 로그인 자격 증명을 입력한 후 수락 을 클릭하여 계속합니다.
현재 구성 ISO 파일을 가져옵니다.
안내에 따라 도구를 완료하고 업데이트된 파일을 다운로드합니다.

설정 도구를 종료하려면 CTRL + C 조합을 입력합니다.
다른 데이터 센터에서 업데이트된 파일의 백업 복사본을 만듭니다.

한 개의 HDS 노드만 실행 중인 경우, 새로운 하이브리드 데이터 보안 노드 VM을 만들고 새 구성 ISO 파일을 사용하여 등록합니다. 자세한 지침은 추가 노드 만들기 및 등록을 참조하십시오.

HDS 호스트 OVA를 설치합니다.
HDS VM을 설정합니다.
업데이트된 구성 파일을 마운트합니다.
Control Hub에서 새 노드를 등록합니다.

가상 머신의 전원을 끕니다.
VMware vSphere 클라이언트의 왼쪽 네비게이션 분할 창에서 VM을 오른쪽 클릭하고 설정 편집을 클릭합니다.
CD/DVD 드라이브 1을 클릭하고 ISO 파일에서 마운트하기 위한 옵션을 선택한 후 새 구성 ISO 파일을 다운로드한 위치를 찾습니다.
시동될 때 연결을 체크합니다.
변경 사항을 저장하고 가상 머신의 전원을 켭니다.

이전 구성을 실행하고 있는 나머지 각 노드에서 구성을 바꾸려면 3 단계를 반복하십시오.

차단된 외부 DNS 확인 모드 끄기

노드에서 내부 DNS 서버를 통해 공용 DNS 이름을 확인할 수 있는 경우, 각 노드에서 프록시 연결 테스트를 다시 실행하여 이 모드를 끌 수 있습니다.

시작하기 전에

내부 DNS 서버가 공용 DNS 이름을 확인할 수 있으며, 노드가 해당 서버와 통신할 수 있는지 확인합니다.

1	웹 브라우저에서 하이브리드 데이터 보안 노드 인터페이스(예: IP 주소/설정)를 열고 https://192.0.2.0/setup), 노드에 대해 설정한 관리 자격 증명을 입력한 후 로그인을 클릭합니다.
2	개요 (기본 페이지)로 이동합니다. 활성화되면 차단된 외부 DNS 확인이 예로 설정됩니다.
3	신뢰 저장소 및 프록시 페이지로 이동합니다.
4	프록시 연결 확인을 클릭합니다. 외부 DNS 확인에 실패했다는 메시지가 나타나면 노드가 DNS 서버에 연결하지 못한 것이며, 이 모드에서 유지됩니다. 그렇지 않은 경우, 노드를 재부팅하고 개요 페이지로 돌아가면 차단된 외부 DNS 확인은 아니요로 설정됩니다.

다음에 수행할 작업

하이브리드 데이터 보안 클러스터의 각 노드에서 프록시 연결 테스트를 반복합니다.

노드 제거

컴퓨터의 VMware vSphere 클라이언트를 사용하여 ESXi 가상 호스트에 로그인하고 가상 머신의 전원을 끕니다.

노드 제거:

Control Hub에 로그인한 후 서비스를 선택합니다.
하이브리드 데이터 보안 카드에서 하이브리드 데이터 보안 리소스 페이지를 표시하려면 모두 보기 를 클릭합니다.
클러스터를 선택하여 개요 목록을 표시합니다.
노드 목록 열기를 클릭합니다.
노드 탭에서 제거할 노드를 선택합니다.
작업 > 노드 등록 해제를 클릭합니다.

vSphere 클라이언트에서 VM을 삭제합니다. (왼쪽 탐색 창에서 VM을 마우스 오른쪽 버튼으로 클릭하고 삭제를 클릭합니다.)

VM을 삭제하지 않는 경우 구성 ISO 파일을 마운트 해제해야 합니다. ISO 파일이 없으면 VM을 사용하여 보안 데이터에 액세스할 수 없습니다.

대기 데이터 센터를 사용한 재해 복구

재해로 인해 기본 데이터 센터에서 HDS 배포를 사용할 수 없게 되는 경우 이 절차를 따라 대기 데이터 센터로 수동으로 장애 조치합니다.

HDS 설정 도구를 시작하고 HDS 호스트에 대한 구성 ISO 만들기에 설명된 단계를 따릅니다.

Syslogd 서버를 구성한 후 고급 설정을 클릭합니다.

고급 설정 페이지에서 아래 구성을 추가하거나 passiveMode 구성을 제거하여 노드를 활성화합니다. 노드가 구성되면 트래픽을 처리할 수 있습니다.

 패시브 모드: '''패'''

구성 프로세스를 완료하고 찾기 쉬운 위치에 ISO 파일을 저장합니다.

VMware vSphere 클라이언트의 왼쪽 탐색 창에서 VM을 마우스 오른쪽 버튼으로 클릭하고 설정 편집을 클릭합니다..

설정 편집 >CD/DVD 드라이브 1 을 클릭하고 데이터스토어 ISO 파일을 선택합니다.

노드를 시작한 후 업데이트된 구성 변경 사항이 적용될 수 있도록 Connected 및 Connect at power on 이(가) 선택되었는지 확인하십시오.

HDS 노드의 전원을 켜고 최소 15분 동안 경보가 울리지 않도록 합니다.

대기 데이터 센터의 모든 노드에 대해 프로세스를 반복합니다.

syslog 출력을 확인하여 대기 데이터 센터의 노드가 패시브 모드가 아는지 확인합니다. "패시브 모드로 구성된 KMS"는 syslog에 표시되지 않아야 합니다.

다음에 수행할 작업

장애 조치 후 기본 데이터 센터가 다시 활성화된 경우, 재해 복구를 위해 대기 데이터 센터 설정에 설명된 단계를 따라 대기 데이터 센터를 패시브 모드로 다시 배치합니다.

(선택 사항) HDS 구성 후 ISO 마운트 해제

시작하기 전에

모든 HDS 노드를 버전 2021.01.22.4720 이상으로 업그레이드합니다.

1	HDS 노드 중 하나를 종료합니다.
2	vCenter Server Appliance에서 HDS 노드를 선택합니다.
3	설정 편집 > CD/DVD 드라이브 를 선택하고 데이터 저장소 ISO 파일을 선택 취소합니다.
4	HDS 노드의 전원을 켜고 최소 20분 동안 경보가 울리지 않도록 합니다.
5	각 HDS 노드에 대해 차례로 반복합니다.

하이브리드 데이터 보안 문제 해결하기

경고 보기 및 문제 해결하기

새 스페이스를 만들 수 없음(새 키를 만들 수 없음)
메시지 및 스페이스 제목이 해독되지 않음:
- 스페이스에 새로운 사용자가 추가됨(키를 가져올 수 없음)
- 새로운 클라이언트를 사용하여 스페이스에 있는 기존의 사용자(키를 가져올 수 없음)
클라이언트의 암호화 키 캐시가 있는 한 스페이스에 있는 기존의 사용자는 계속 성공적으로 실행됩니다.

서비스가 중단되지 않도록 하이브리드 데이터 보안 클러스터를 올바르게 모니터링하고 즉시 알림을 처리하는 것이 중요합니다.

경고

표 1. 일반적인 문제 및 해결 단계
경고	작업
로컬 데이터베이스 액세스 실패.	데이터베이스 오류 또는 로컬 네트워크 문제를 확인합니다.
로컬 데이터베이스 연결 실패.	데이터베이스 서버를 사용할 수 있는지 확인하고 노드 구성에 올바른 서비스 계정 자격 증명이 사용되었는지 확인합니다.
클라우드 서비스 액세스 실패.	외부 연결 요구 사항에 지정된 대로 노드가 Webex 서버에 액세스할 수 있는지 확인합니다.
클라우드 서비스 등록 갱신.	클라우드 서비스에 대한 등록이 삭제되었습니다. 등록 갱신이 진행 중입니다.
클라우드 서비스 등록이 끊겼습니다.	클라우드 서비스에 대한 등록이 종료되었습니다. 서비스가 종료되고 있습니다.
서비스가 아직 활성화되지 않았습니다.	평가판을 활성화하거나, 평가판을 프로덕션으로 이동하는 작업을 마칩니다.
구성된 도메인이 서버 인증서와 일치하지 않습니다.	서버 인증서가 구성된 서비스 활성화 도메인과 일치하는지 확인합니다. 가장 큰 원인은 인증서 CN이 최근에 변경되었으며 이제 초기 설정 중에 사용된 CN과 다르다는 것입니다.
클라우드 서비스를 인증하지 못했습니다.	서비스 계정 자격 증명의 정확성 및 가능한 만료 여부를 확인합니다.
로컬 키 저장소 파일을 열지 못했습니다.	로컬 키 저장소 파일에서 무결성 및 암호 정확도를 확인합니다.
로컬 서버 인증서가 유효하지 않습니다.	서버 인증서의 만료 날짜를 확인하고 신뢰할 수 있는 인증 기관에서 발급했는지 확인합니다.
메트릭을 게시할 수 없음.	외부 클라우드 서비스에 대한 로컬 네트워크 액세스를 확인합니다.
/media/configdrive/hds 디렉토리가 없습니다.	가상 호스트에서 ISO 마운트 구성을 확인합니다. ISO 파일이 존재하는지, 재부팅 시 마운트하도록 구성되었는지, 성공적으로 마운트되는지 확인합니다.

하이브리드 데이터 보안 문제 해결하기

하이브리드 데이터 보안의 문제를 해결할 때 다음 일반 지침을 사용하십시오.

1	알림에 대해 Control Hub를 검토하고 발견한 항목을 수정합니다.
2	하이브리드 데이터 보안 배포에서 활동에 대한 syslog 서버 출력을 검토합니다.
3	Cisco 고객 지원에 문의하십시오.

기타 메모

하이브리드 데이터 보안의 알려진 문제

(Control Hub에서 삭제하거나 모든 노드를 종료하여) 하이브리드 데이터 보안 클러스터를 종료하거나, 구성 ISO 파일을 잃거나, 키 저장소 데이터베이스에 대한 액세스를 잃는 경우, KMS에서 키로 생성된 사용자 목록 아래에서 Webex 앱 사용자는 더 이상 스페이스를 사용할 수 없습니다. 이는 평가판 및 프로덕션 배포 모두에 적용됩니다. 현재 이 문제에 대한 해결 방법이나 수정 사항이 없으며, 활동 중인 사용자 계정을 취급하는 경우 HDS 서비스를 종료하지 말 것을 권장합니다.
KMS에 대한 기존 ECDH 연결이 있는 클라이언트는 일정 기간(1시간 정도) 동안 연결을 유지합니다. 사용자가 하이브리드 데이터 보안 평가판의 구성원이 되면 사용자의 클라이언트는 시간이 초과될 때까지 기존의 ECDH 연결을 계속 사용합니다. 또는 사용자는 Webex 앱 앱에 로그아웃하고 다시 로그인하여 앱이 암호화 키에 대해 연락하는 위치를 업데이트할 수도 있습니다.

조직에 대해 평가판을 프로덕션으로 이동할 때 동일한 동작이 발생합니다. 이전 데이터 보안 서비스에 대한 기존의 ECDH 연결을 사용하는 평가판 외의 모든 사용자는 ECDH 연결이 재협상될 때까지(시간 초과 또는 로그아웃하고 다시 로그인할 때까지) 해당 서비스를 계속 사용합니다.

OpenSSL을 사용하여 PKCS12 파일 생성

시작하기 전에

OpenSSL은 PKCS12 파일을 HDS 설정 도구에 로드하기 위한 적절한 형식으로 만드는 데 사용할 수 있는 도구 중 하나입니다. 다른 방법이 있는데, 우리는 다른 방법을 지지하거나 홍보하지 않습니다.
OpenSSL을 사용하기로 선택하는 경우, 이 절차를 X.509 인증서 요구 사항에서 X.509 인증서 요구 사항을 충족하는 파일을 만드는 데 도움이 되는 지침으로 제공하고 있습니다. 계속하기 전에 이러한 요구 사항을 이해하십시오.
지원되는 환경에 OpenSSL을 설치합니다. https://www.openssl.org 소프트웨어 및 설명서를 참조하십시오.
개인 키를 만듭니다.
CA(Certificate Authority)에서 서버 인증서를 수신하면 이 절차를 시작합니다.

1	CA에서 서버 인증서를 받으면 hdsnode.pem으로 `저장합니다.`
2	인증서를 텍스트로 표시하고 세부 사항을 확인합니다. `openssl x509 -text -noout -에 hdsnode.pem`
3	텍스트 편집기를 사용하여 `hdsnode-bundle.pem`이라는 인증서 번들 파일을 생성합니다. 번들 파일에는 서버 인증서, 모든 중간 CA 인증서 및 루트 CA 인증서가 아래 형식으로 포함되어야 합니다. `-----BEGIN 인증서----- ### 서버 인증서. ### -----END 인증서---------BEGIN 인증서------ ### 중간 CA 인증서. ### -----END 인증서--------BEGIN 인증서------ ### 루트 CA 인증서. ### -----END 인증서-----`
4	친숙한 이름 `kms-private-key`로 .p12 파일을 만듭니다. `openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12`
5	서버 인증서 세부 사항을 확인합니다. `OpenSSL pkcs12 -에 hdsnode.p12` 프롬프트에서 비밀번호를 입력하여 개인 키를 암호화하여 출력에 나열합니다. 그런 다음 개인 키 및 첫 번째 인증서에 friendlyName 회선이 포함되어 있는지 `확인합니다. kms-private-key입니다`. 예: bash$ openssl pkcs12 -in hdsnode.p12 가져오기 비밀번호 입력: MAC 확인 OK Bag 속성 friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 키 속성: PEM 통과 구문 입력: 확인 - PEM 비밀번호 입력: -----BEGIN ENCRYPTED PRIVATE KEY----- -----END ENCRYPTED PRIVATE KEY------ Bag 특성 friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 제목=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 -----BEGIN CERTIFICATE----- -----END CERTIFICATE----- Bag Attributes friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3 -----BEGIN CERTIFICATE----- -----END CERTIFICATE------

다음에 수행할 작업

하이브리드 데이터 보안에 대한 전제 조건 완료로 돌아갑니다. 다음을 사용하게 됩니다. hdsnode의 p12 파일 및 설정한 비밀번호 HDS 호스트에 대한 구성 ISO 만들기...

원본 인증서가 만료되면 해당 파일을 다시 사용하여 새 인증서를 요청할 수 있습니다.

HDS 노드와 클라우드 간의 트래픽

아웃바운드 메트릭 수집 트래픽

인바운드 교통

하이브리드 데이터 보안 노드는 Webex 클라우드에서 다음 유형의 인바운드 트래픽을 수신합니다.

암호화 서비스에 의해 라우팅되는 클라이언트의 암호화 요청
노드 소프트웨어로 업그레이드

하이브리드 데이터 보안에 대해 Squid 프록시 구성

웹 소켓은 Squid 프록시를 통해 연결할 수 없음

HTTPS 트래픽을 검사하는 Squid 프록시는 하이브리드 데이터 보안이 요구하는 웹소켓(wss:) 연결 설정을 방해할 수 있습니다. 다음 섹션에서는 서비스가 올바르게 작동하도록 다양한 버전의 Squid에서 wss: 트래픽을 무시하도록 구성하는 방법에 대한 안내를 제공합니다.

Squid 4 및 5

다음 on_unsupported_protocol 지시어를 squid.conf에 추가합니다.

on_unsupported_protocol 모두 터널

Squid 3.5.27

squid.com에 추가된 다음 규칙으로 하이브리드 데이터 보안을 성공적으로 테스트했습니다. 이 규칙은 기능을 개발하고 Webex 클라우드를 업데이트 함에 따라 변경될 수도 있습니다.

acl wssMercuryConnection ssl::server_name_regex 수은 연결 ssl_bump 결합 wssMercuryConnection acl step1 at_step SslBump1 acl step2 at_step SslBump2 acl step3 at_step SslBump3 ssl_bump peek step1 ssl_bump all stare step2 all ssl_bump bump step3 all

서문

신규 및 변경된 정보

날짜

변경 사항

2023년 10월 20일

데이터베이스 서버 요구 사항에서 정보를 업데이트했습니다.
재해 복구를 위한 대기 데이터 센터 설정을 추가했습니다.
대기 데이터 센터를 사용하여 재해 복구를 위한 대기 데이터 센터 및 재해 복구에 대한 정보 업데이트.

2023년 8월 7일

설치 파일 다운로드에 메모를 추가했습니다.
HDS 호스트에 대한 구성 ISO 만들기 및 노드 구성 변경에 메모를 추가했습니다.

2023년 5월 23일

계정 팀에 연락하여 기능을 활성화하도록 요청하는 데이터베이스 서버 요구 사항에서 정보를 삭제했습니다.
외부 연결 요구 사항에서 정보를 업데이트하고 CI 호스트 테이블에 캐나다를 추가했습니다.
키를 클라우드로 다시 이동하는 메커니즘의 가용성 해제에 관한 하이브리드 데이터 보안 배포에 대한 기대치에 메모를 추가했습니다.

2022년 12월 06일

이제 HDS 설정 도구 이미지가 다음 위치에서 호스트됩니다. ciscocitg dockerhub 저장소.
업데이트된 HDS 호스트에 대한 구성 ISO 만들기 및 노드 구성 주제를 변경하여 명령의 변경 사항을 다시 적용합니다.

2022년 11월 23일

이제 HDS 노드는 Microsoft SQL Server에 대한 Windows 인증을 사용할 수 있습니다.

이 인증 모드에 대한 추가 요구 사항으로 데이터베이스 서버 요구 사항 주제를 업데이트했습니다.

노드에서 Windows 인증을 구성하는 절차를 사용하여 HDS 호스트에 대한 구성 ISO 만들기를 업데이트했습니다.
새로운 최소 필수 버전(PostgreSQL 10)으로 데이터베이스 서버 요구 사항 주제를 업데이트했습니다.

2021년 10월 13일

HDS 노드를 설치하려면 Docker Desktop이 설치 프로그램을 실행해야 합니다. Docker 데스크톱 요구 사항을 참조하십시오.

2021년 6월 24일

비공개 키 파일 및 CSR을 다시 사용하여 다른 인증서를 요청할 수 있습니다. 자세한 내용은 OpenSSL을 사용하여 PKCS12 파일 생성을 참조하십시오.

2021년 4월 30일

로컬 하드 디스크 공간에 대한 VM 요구 사항을 30GB로 변경했습니다. 자세한 내용은 가상 호스트 요구 사항을 참조하십시오.

2021년 2월 24일

이제 HDS 설정 도구는 프록시 뒤에서 실행할 수 있습니다. 자세한 내용은 HDS 호스트에 대한 구성 ISO 만들기를 참조하십시오.

2021년 2월 2일

이제 HDS는 마운트된 ISO 파일 없이 실행할 수 있습니다. 자세한 내용은 (선택 사항) HDS 구성 후 ISO 마운트 해제를 참조하십시오.

2021년 1월 11일 수요일

HDS 설정 도구 및 프록시에 대한 정보를 추가하여 HDS 호스트에 대한 구성 ISO 만들기.

2020년 10월 13일

설치 파일 다운로드가 업데이트되었습니다.

2020년 10월 8일

업데이트된 HDS 호스트에 대한 구성 ISO 생성 및 FedRAMP 환경에 대한 명령어로 노드 구성 변경.

2020년 8월 14일

HDS 호스트에 대한 구성 ISO 생성 및 로그인 프로세스에 대한 변경 사항으로 노드 구성 변경이 업데이트되었습니다.

2020년 8월 5일

로그 메시지의 변경 사항에 대해 하이브리드 데이터 보안 배포 테스트를 업데이트했습니다.

최대 호스트 수를 제거하려면 가상 호스트 요구 사항을 업데이트했습니다.

2020년 6월 16일

Control Hub UI에서 변경 사항에 대해 노드 제거가 업데이트되었습니다.

2020년 6월 4일

설정한 고급 설정의 변경 사항에 대해 HDS 호스트에 대한 구성 ISO 만들기를 업데이트했습니다.

2020년 5월 29일

업데이트된 HDS 호스트에 대한 구성 ISO 생성은 SQL Server 데이터베이스, UI 변경 사항 및 기타 설명과 함께 TLS를 사용할 수도 있음을 표시합니다.

2020년 5월 5일

ESXi 6.5의 새로운 요구 사항을 표시하기 위해 가상 호스트 요구 사항을 업데이트했습니다.

2020년 4월 21일

새로운 Americas CI 호스트를 사용하여 외부 연결 요구 사항을 업데이트했습니다.

2020년 4월 1일 수요일

지역 CI 호스트에 대한 정보를 사용하여 외부 연결 요구 사항을 업데이트했습니다.

2020년 2월 20일 HDS 설정 도구의 새로운 선택적 고급 설정 화면에 대한 정보를 사용하여 HDS 호스트에 대한 구성 ISO 생성을 업데이트했습니다.

2020년 2월 4일 수요일 프록시 서버 요구 사항을 업데이트함.

2019년 12월 16일 프록시 서버 요구 사항에서 작동하도록 차단된 외부 DNS 확인 모드에 대한 요구 사항을 명확화했습니다.

2019년 11월 19일

다음 섹션에서 차단된 외부 DNS 확인 모드에 대한 정보를 추가했습니다.

프록시 지원
프록시 통합에 대해 HDS 노드 구성
차단된 외부 DNS 확인 모드 끄기

2019년 11월 8일

이제 이후 대신 OVA를 배포하는 동안 노드에 대한 네트워크 설정을 구성할 수 있습니다.

그에 따라 다음 섹션을 업데이트함:

하이브리드 데이터 보안 배포 작업 흐름
HDS 호스트 OVA 설치
하이브리드 데이터 보안 VM 설정

OVA 배포 중에 네트워크 설정을 구성하는 옵션은 ESXi 6.5에서 테스트되었습니다. 해당 옵션은 이전 버전에서 사용할 수 없을 수도 있습니다.

2019년 9월 6일

데이터베이스 서버 요구 사항에 SQL Server Standard를 추가했습니다.

2019년 8월 20일

Webex 클라우드에 대한 하이브리드 데이터 보안 노드 통신에 대한 프록시 지원을 커버하기 위해 섹션을 추가하고 업데이트했습니다.

프록시 지원
프록시 서버 요구 사항
프록시 통합에 대해 HDS 노드 구성

2019년 3월 6일 수요일

요구 사항과 전제 조건을 별도의 장으로 이동하여 환경 준비.
하이브리드 데이터 보안 클러스터 설정 장에 하이브리드 데이터 보안 배포 작업 흐름 개요를 추가했습니다.

평가판을 시작할 때까지(후속 장의 지침을 사용하여) 노드는 서비스가 아직 활성화되지 않았음을 알리는 알람을 생성합니다.
평가판을 프로덕션 작업 흐름에 추가함. 평가판을 실행하고 프로덕션으로 이동.

2019년 2월 28일 목요일

OVA가 생성하는 디스크의 크기를 반영하기 위해 하이브리드 데이터 보안 노드가 되는 가상 호스트를 50GB에서 20GB로 준비할 때 별도로 설정해야 하는 서버당 로컬 하드 디스크 공간의 양을 수정했습니다.

2019년 2월 26일

이제 하이브리드 데이터 보안 노드는 PostgreSQL 데이터베이스 서버로 암호화된 연결을 지원하고 TLS 지원 syslog 서버에 암호화된 로깅 연결을 지원합니다. 지침이 포함된 HDS 호스트에 대한 구성 ISO 만들기를 업데이트했습니다.
"하이브리드 데이터 보안 노드 VM에 대한 인터넷 연결 요구 사항" 테이블에서 대상 URL을 제거했습니다. 이제 표는 Webex Teams 서비스에 대한 네트워크 요구 사항의 "Webex Teams 하이브리드 서비스에 대한 추가 URL" 표에 유지되는 목록을 나타냅니다.

2019년 1월 24일

2018년 11월 5일 수요일

HDS 호스트에 대한 구성 ISO 만들기 및 노드 구성 변경에서 기존 도커 hds 인스턴스를 정리하는 예비 단계를 추가했습니다.
인터페이스와 일치하도록 HDS 호스트에 대한 구성 ISO 만들기에서 키 액세스 수준 단계를 업데이트했습니다.

2018년 10월 19일

하이브리드 데이터 보안에 대한 전제 조건 완료에서 방화벽 연결 정보를 노드 요구 사항 및 ISO 구성 기계 요구 사항으로 분할합니다.

2018년 7월 31일

하이브리드 데이터 보안에 대한 전제 조건을 완료하기 위해 포트 22(SSH 액세스) 및 NAT 및 방화벽 연결에 대한 정보를 추가했습니다.

2018년 5월 21일

Cisco Spark의 리브랜딩을 반영하기 위해 용어를 변경함:

이제 Cisco Spark 하이브리드 데이터 보안은 하이브리드 데이터 보안입니다.
이제 Cisco Spark 앱은 Webex 앱 앱입니다.
이제 Cisco Collaboraton Cloud는 Webex 클라우드입니다.

2018년 4월 11일 화요일

재해 복구를 위한 대기 데이터 센터가 추가되었습니다.
업데이트됨 하이브리드 데이터 보안에 대한 전제 조건 완료는 백업 환경이 다른 데이터 센터에 있어야 함을 지정합니다.
대기 데이터 센터를 사용하여 재해 복구를 업데이트했습니다.

2018년 2월 22일

서비스 계정 비밀번호 9개월 수명에 대한 정보를 추가하고 HDS 설정 도구를 사용하여 서비스 계정 비밀번호를 재설정하는 방법을 사용하여 HDS 호스트에 대한 구성 ISO 만들기 및 노드 구성 변경.

2018년 2월 15일 목요일

X.509 인증서 요구 사항 표에서 인증서가 와일드카드 인증서가 될 수 없으며 KMS가 x.509v3 SAN 필드에 정의된 도메인이 아닌 CN 도메인을 사용한다고 지정했습니다.

2018년 1월 18일 목요일

부록, HDS 노드와 클라우드 간의 트래픽 추가.
하이브리드 데이터 보안에 대해 알려진 문제에서 해결된 문제를 제거했습니다.
index.docker.io를 *.docker.io로 변경하고 하이브리드 데이터 보안에 대한 전제 조건 완료의 HDS 노드에 대한 TCP 연결 요구 사항 목록에 *.cloudfront.net을 추가했습니다.
업데이트된 HDS 호스트에 대한 구성 ISO 생성은 데이터베이스 호스트 및 Syslogd 서버가 HDS 노드에서 DNS 확인할 수 없는 경우 IP 주소를 사용하여 구성해야 함을 나타냅니다.

2017년 11월 2일 수요일

HdsTrialGroup의 디렉터리 동기화를 명확히 함.
VM 노드에 마운트하기 위해 ISO 구성 파일을 업로드하는 방법을 수정했습니다.

2017년 8월 18일

첫 번째 출판

하이브리드 데이터 보안 시작하기

하이브리드 데이터 보안 개요

보안 영역 아키텍처

Webex 클라우드 아키텍처는 아래에 설명된 대로 다른 유형의 서비스를 별도의 영역 또는 신뢰 도메인으로 분리합니다.

클라이언트는 키 관리 서비스(KMS)와 보안 연결을 설정한 후 메시지를 암호화하기 위해 키를 요청합니다. 보안 연결은 ECDH를 사용하며, KMS는 AES-256 마스터 키를 사용하여 키를 암호화합니다.
메시지가 클라이언트에서 나가기 전에 암호화됩니다. 클라이언트는 이를 인덱싱 서비스로 전송하며, 이는 암호화된 검색 인덱스를 생성하여 콘텐츠에 대한 향후 검색을 지원합니다.
암호화된 메시지는 준수 확인을 위해 준수 서비스로 전송됩니다.
암호화된 메시지는 스토리지 영역에 저장됩니다.

다른 조직과의 협업

하이브리드 데이터 보안 배포에 대한 기대

하이브리드 데이터 보안 배포에는 중요한 고객 노력과 암호화 키를 소유하는 위험에 대한 인식이 필요합니다.

하이브리드 데이터 보안을 배포하려면 다음을 제공해야 합니다.

Cisco Webex Teams 플랜에 대해 지원되는 위치에 있는 국가의 보안 데이터 센터.
환경 준비에 설명된 장비, 소프트웨어 및 네트워크 액세스.

데이터베이스 및 구성 ISO의 백업 및 복구를 관리합니다.
데이터베이스 디스크 오류 또는 데이터 센터 재해와 같은 재해가 발생하는 경우 빠른 재해 복구를 수행할 수 있도록 준비하십시오.

HDS 배포 후 키를 클라우드로 다시 이동하는 메커니즘은 없습니다.

고급 설정 프로세스

이 문서는 하이브리드 데이터 보안 배포의 설정 및 관리를 다룹니다.

하이브리드 데이터 보안 설정—여기에는 필수 인프라 준비 및 하이브리드 데이터 보안 소프트웨어 설치, 평가판 모드의 사용자 하위 집합으로 배포 테스트 및 테스트가 완료되면 프로덕션으로 이동하는 작업이 포함됩니다. 이는 전체 조직을 변환하여 보안 기능에 대해 하이브리드 데이터 보안 클러스터를 사용합니다.
설정, 평가판 및 생산 단계는 다음 세 장에서 자세히 다룹니다.
하이브리드 데이터 보안 배포 유지 관리—Webex 클라우드는 자동으로 진행 중인 업그레이드를 제공합니다. IT 부서는 이 배포에 대해 1단계 지원을 제공하고 필요에 따라 Cisco 지원을 참여할 수 있습니다. Control Hub에서 화면 내 알림을 사용하고 이메일 기반 경고를 설정할 수 있습니다.
일반적인 경고, 문제 해결 단계 및 알려진 문제를 이해합니다—하이브리드 데이터 보안을 배포하거나 사용하는 데 문제가 발생하는 경우, 이 안내서의 마지막 장과 알려진 문제 부록은 문제를 결정하고 해결하는 데 도움이 될 수 있습니다.

하이브리드 데이터 보안 배포 모델

하이브리드 데이터 보안 배포 모델

Control Hub에서 노드를 등록하면 노드가 활성화됩니다. 개별 노드를 서비스 중단하려면 등록을 취소하고 필요한 경우 나중에 다시 등록할 수 있습니다.

조직당 단일 클러스터만 지원합니다.

하이브리드 데이터 보안 평가판 모드

재해 복구를 위한 대기 데이터 센터

배포 중에 보안 대기 데이터 센터를 설정합니다. 데이터 센터 재해가 발생하면 대기 데이터 센터로 수동으로 배포에 실패할 수 있습니다.

활성 하이브리드 데이터 보안 노드는 항상 활성 데이터베이스 서버와 동일한 데이터 센터에 있어야 합니다.

재해 복구를 위한 대기 데이터 센터 설정

대기 데이터 센터의 ISO 파일을 구성하려면 아래 단계를 따르십시오.

시작하기 전에

대기 데이터 센터는 VM의 생산 환경 및 백업 PostgreSQL 또는 Microsoft SQL Server 데이터베이스를 반영해야 합니다. 예를 들어, 프로덕션에 HDS 노드를 실행하는 3개의 VM이 있는 경우 백업 환경에는 3개의 VM이 있어야 합니다. (이 페일오버 모델에 대한 개요는 재해 복구를 위한 대기 데이터 센터 참조)
활성 및 수동 클러스터 노드의 데이터베이스 간에 데이터베이스 동기화가 활성화되어 있는지 확인합니다.

HDS 설정 도구를 시작하고 HDS 호스트에 대한 구성 ISO 만들기에 설명된 단계를 따릅니다.

ISO 파일은 기본 데이터 센터의 원본 ISO 파일의 복사본이어야 하며, 다음 구성 업데이트가 이루어져야 합니다.

Syslogd 서버를 구성한 후 고급 설정을 클릭합니다.


passiveMode: 'true'

구성 프로세스를 완료하고 찾기 쉬운 위치에 ISO 파일을 저장합니다.

VMware vSphere 클라이언트의 왼쪽 탐색 창에서 VM을 마우스 오른쪽 버튼으로 클릭하고 설정 편집을 클릭합니다..

설정 편집 >CD/DVD 드라이브 1을 클릭하고 데이터스토어 ISO 파일을 선택합니다.

노드를 시작한 후에 업데이트된 구성 변경 사항이 적용될 수 있도록 Connected 및 Connect at power on이(가) 선택되었는지 확인하십시오.

HDS 노드의 전원을 켜고 최소 15분 동안 경보가 울리지 않도록 합니다.

대기 데이터 센터의 모든 노드에 대해 프로세스를 반복합니다.

syslogs를 확인하여 노드가 수동 모드인지 확인합니다. syslog에서 "KMS가 수동 모드로 구성됨" 메시지를 볼 수 있어야 합니다.

다음에 수행할 작업

프록시 지원

하이브리드 데이터 보안 노드는 다음 프록시 옵션을 지원합니다.

프록시 없음—프록시를 통합하기 위해 HDS 노드 설정 신뢰 저장소 및 프록시 구성을 사용하지 않는 경우에 기본값입니다. 인증서를 업데이트하지 않아도 됩니다.
투명 비-검사 프록시—노드가 특정 프록시 서버 주소를 사용하도록 구성되어 있지 않으며, 비-검사 프록시에서 작동하도록 변경할 것을 요구하지 않습니다. 인증서를 업데이트하지 않아도 됩니다.
투명 터널링 또는 검사 프록시—노드가 특정 프록시 서버 주소를 사용하도록 구성되어 있지 않습니다. 노드에서 HTTP 또는 HTTPS 구성을 변경하지 않아도 됩니다. 단, 노드에 루트 인증서가 있어야 프록시를 신뢰할 수 있습니다. 일반적으로 검사 프록시는 IT가 어떤 웹사이트를 방문할 수 있는지 및 어떤 유형의 콘텐츠가 허용되는지에 대한 정책을 적용하기 위해 사용됩니다. 이러한 유형의 프록시는 모든 트래픽(HTTPS 포함)을 해독합니다.
명시적 프록시—명시적 프록시를 사용하여 HDS 노드가 어떤 프록시 서버 및 인증 구성표를 사용하는지 알 수 있습니다. 명시적 프록시를 구성하려면 각 노드에 다음 정보를 입력해야 합니다.
1. 프록시 IP/FQDN—프록시 머신에 연결하기 위해 사용할 수 있는 주소입니다.
2. 프록시 포트—프록시가 프록시된 트래픽을 탐지하기 위해 사용하는 포트 번호입니다.
3. 프록시 프로토콜—프록시 서버에서 지원하는 내용에 따라 다음 프로토콜 중에서 선택합니다.
  - HTTP—클라이언트가 전송하는 모든 요청을 확인하고 제어합니다.
  - HTTPS—서버에 채널을 제공합니다. 클라이언트는 서버의 인증서를 수신하고 유효성을 검증합니다.
4. 인증 유형—다음 인증 유형 중에서 선택합니다.
  - 없음—추가 인증이 필요하지 않습니다.
    
    HTTP 또는 HTTPS를 프록시 프로토콜로 선택하는 경우에 사용할 수 있습니다.
  - 기본—요청을 제출할 때 HTTP 사용자 에이전트가 사용자 이름 및 비밀번호를 제공하기 위해 사용됩니다. Base64 인코딩을 사용합니다.
    
    HTTP 또는 HTTPS를 프록시 프로토콜로 선택하는 경우에 사용할 수 있습니다.
    
    각 노드에서 사용자 이름 및 비밀번호를 입력하도록 요구합니다.
  - 다이제스트—민감한 정보를 보내기 전에 계정을 확인하기 위해 사용됩니다. 네트워크를 통해 전송하기 전에 사용자 이름 및 비밀번호에 해시 기능을 적용합니다.
    
    HTTPS를 프록시 프로토콜로 선택하는 경우에만 사용할 수 있습니다.
    
    각 노드에서 사용자 이름 및 비밀번호를 입력하도록 요구합니다.

하이브리드 데이터 보안 노드 및 프록시의 예제

차단된 외부 DNS 확인 모드 끄기 (명시적 프록시 구성)

환경 준비

하이브리드 데이터 보안의 요구 사항

Cisco Webex 라이센스 요구 사항

하이브리드 데이터 보안을 배포하려면:

Cisco Webex Control Hub용 Pro Pack이 있어야 합니다. (https://www.cisco.com/go/pro-pack 참조)

Docker 데스크톱 요구 사항

HDS 노드를 설치하기 전에 설치 프로그램을 실행하려면 Docker Desktop이 필요합니다. Docker는 최근 라이센스 모델을 업데이트했습니다. 조직에서 Docker Desktop에 대해 유료 가입이 필요할 수도 있습니다. 자세한 내용은 Docker 블로그 게시물 " Docker가 제품 구독을 업데이트하고 확장하고 있습니다"를 참조하십시오.

X.509 인증서 요구 사항

인증서 체인은 다음 요구 사항을 충족해야 합니다.

표 1. 하이브리드 데이터 보안 배포에 대한 X.509 인증서 요구 사항
요구 사항	세부 정보
신뢰할 수 있는 인증 기관(CA)이 서명함	기본적으로 https://wiki.mozilla.org/CA:IncludedCAs의 Mozilla 목록(WoSign 및 StartCom 제외)의 CA를 신뢰합니다.
하이브리드 데이터 보안 배포를 식별하는 CN(공통 이름) 도메인 이름이 있습니다. 와일드카드 인증서가 아님	CN에 연결할 수 있거나 실시간 호스트가 필요하지 않습니다. 예를 들어, 조직을 반영하는 이름을 사용할 것을 권장합니다. `hds.company.com`. CN에는 *(와일드카드)가 포함되어서는 안 됩니다. CN은 Webex 앱 클라이언트에 대한 하이브리드 데이터 보안 노드를 확인하는 데 사용됩니다. 클러스터의 모든 하이브리드 데이터 보안 노드는 동일한 인증서를 사용합니다. KMS는 x.509v3 SAN 필드에 정의된 도메인이 아닌 CN 도메인을 사용하여 자신을 식별합니다. 이 인증서에 노드를 등록하면 CN 도메인 이름 변경을 지원하지 않습니다. 평가판 및 프로덕션 배포 모두에 적용할 수 있는 도메인을 선택합니다.
Non-SHA1 서명	KMS 소프트웨어는 다른 조직의 KMS와의 연결을 검증하기 위해 SHA1 서명을 지원하지 않습니다.
암호로 보호된 PKCS #12 파일로 포맷 친근한 이름 사용 `kms-private-key` 을(를) 사용하여 업로드할 인증서, 비공개 키 및 중간 인증서에 태그를 지정합니다.	OpenSSL과 같은 변환기를 사용하여 인증서의 형식을 변경할 수 있습니다. HDS 설정 도구를 실행할 때 암호를 입력해야 합니다.

가상 호스트 요구 사항

클러스터에서 하이브리드 데이터 보안 노드로 설정하는 가상 호스트는 다음 요구 사항을 충족합니다.

동일한 보안 데이터 센터에서 두 개 이상의 별도의 호스트(3개 권장)가 공동 처리됨
VMware ESXi 6.5(이상) 설치 및 실행 중.

이전 버전의 ESXi가 있는 경우 업그레이드해야 합니다.
최소 4개의 vCPU, 8GB 기본 메모리, 서버당 30GB 로컬 하드 디스크 공간

데이터베이스 서버 요구 사항

데이터베이스 서버에 대한 두 가지 옵션이 있습니다. 각 요구 사항은 다음과 같습니다.

표 2. 데이터베이스 유형별 데이터베이스 서버 요구 사항

PostgreSQL 소개

Microsoft SQL 서버

PostgreSQL 14, 15 또는 16, 설치 및 실행.

SQL Server 2016, 2017 또는 2019 (Enterprise 또는 Standard)가 설치되었습니다.

SQL Server 2016에는 서비스 팩 2 및 누적 업데이트 2 이상이 필요합니다.

HDS 소프트웨어는 현재 데이터베이스 서버와의 통신을 위해 다음 드라이버 버전을 설치합니다.

PostgreSQL 소개

Microsoft SQL 서버

Postgres JDBC 드라이버 42.2.5

SQL Server JDBC 드라이버 4.6

이 드라이버 버전은 SQL Server Always On(Always On Failover 클러스터 인스턴스 및 Always On 가용성 그룹)을 지원합니다.

Microsoft SQL Server에 대한 Windows 인증에 대한 추가 요구 사항

HDS 노드가 Windows 인증을 사용하여 Microsoft SQL Server의 키 저장소 데이터베이스에 액세스하도록 하려면 환경에서 다음 구성이 필요합니다.

HDS 노드, Active Directory 인프라 및 MS SQL 서버가 모두 NTP와 동기화되어야 합니다.
HDS 노드에 제공하는 Windows 계정은 데이터베이스에 대한 읽기/쓰기 액세스 권한이 있어야 합니다.
HDS 노드에 제공하는 DNS 서버는 KDC(Key Distribution Center)를 확인할 수 있어야 합니다.
Microsoft SQL Server에서 HDS 데이터베이스 인스턴스를 Active Directory의 SPN(Service Principal Name)으로 등록할 수 있습니다. Kerberos Connections에 대한 서비스 기본 이름 등록을 참조하십시오.

HDS 설정 도구, HDS 실행기 및 로컬 KMS는 모두 Windows 인증을 사용하여 키 저장소 데이터베이스에 액세스해야 합니다. ISO 구성의 세부 정보를 사용하여 Kerberos 인증으로 액세스를 요청할 때 SPN을 구성합니다.

외부 연결 요구 사항

HDS 애플리케이션에 대해 다음 연결을 허용하도록 방화벽을 구성합니다.

응용프로그램	프로토콜	포트	앱에서 방향	대상
하이브리드 데이터 보안 노드	TCP	443	아웃바운드 HTTPS 및 WSS	Webex 서버: .wbx2.com .ciscospark.com 모든 공통 ID 호스트 Webex 서비스에 대한 네트워크 요구 사항의 Webex 하이브리드 서비스에 대한 추가 URL 표에 하이브리드 데이터 보안에 대해 나열된 기타 URL
HDS 설정 도구	TCP	443	아웃바운드 HTTPS	*.wbx2.com 모든 공통 ID 호스트 이메일: info@docker.com

CI(Common Identity) 호스트에 대한 URL은 지역에 따라 다릅니다. 현재 CI 호스트는 다음과 같습니다.

지역	공통 ID 호스트 URL
Americas	https://idbroker.webex.com https://identity.webex.com https://idbroker-b-us.webex.com https://identity-b-us.webex.com
유럽 연합	https://idbroker-eu.webex.com https://identity-eu.webex.com
캐나다	https://idbroker-ca.webex.com https://identity-ca.webex.com

프록시 서버 요구 사항

하이브리드 데이터 보안 노드에 통합할 수 있는 다음 프록시 솔루션을 공식적으로 지원합니다.

투명 프록시—Cisco Web Security Appliance (WSA).

명시적 프록시—Squid.

명시적 프록시에 대해 다음 인증 유형 조합을 지원합니다.
- HTTP 또는 HTTPS로 인증하지 않음
- HTTP 또는 HTTPS로 기본 인증
- HTTPS로만 다이제스트 인증
투명 검사 프록시 또는 HTTPS 명시적 프록시에 대해 프록시 루트 인증서의 복사본이 있어야 합니다. 이 안내서의 배포 지시 사항은 하이브리드 데이터 보안 노드의 신뢰 저장소에 사본을 업로드하는 방법을 설명합니다.
HDS 노드를 호스트하는 네트워크는 포트 443의 아웃바운드 TCP 트래픽이 프록시를 통해 라우팅하도록 구성되어야 합니다.
웹 트래픽을 검사하는 프록시는 웹 소켓 연결을 방해할 수도 있습니다. 이 문제가 발생하면 트래픽을 우회하여(검사하지 않음) wbx2.com 선택하십시오. ciscospark.com 문제를 해결할 것입니다.

하이브리드 데이터 보안에 대한 전제 조건 완료

이 검사목록을 사용하여 하이브리드 데이터 보안 클러스터를 설치하고 구성할 준비가 되었는지 확인합니다.

키 스토리지를 위한 데이터베이스를 만듭니다. (이 데이터베이스를 만들어야 합니다. 기본 데이터베이스를 사용하지 마십시오. HDS 애플리케이션이 설치되면 데이터베이스 스키마를 만듭니다.)
노드가 데이터베이스 서버와 통신하는 데 사용할 세부 정보를 수집합니다.
- 호스트 이름 또는 IP 주소(호스트) 및 포트
- 키 저장소에 대한 데이터베이스 이름(dbname)
- 키 스토리지 데이터베이스에 모든 권한이 있는 사용자의 사용자 이름 및 암호

syslog 호스트를 설정하여 클러스터의 노드에서 로그를 수집합니다. 네트워크 주소 및 syslog 포트를 수집합니다(기본값은 UDP 514).

방화벽 구성이 외부 연결 요구 사항에 설명된 대로 하이브리드 데이터 보안 노드에 대한 연결을 허용하는지 확인하십시오.

HDS 설정 도구를 설치하고 실행하려면 로컬 머신에 외부 연결 요구 사항에 설명된 연결이 있어야 합니다.

프록시를 하이브리드 데이터 보안에 통합하고 있는 경우, 프록시 서버 요구 사항을 충족하는지 확인하십시오.

하이브리드 데이터 보안 클러스터 설정

하이브리드 데이터 보안 배포 작업 흐름

시작하기 전에

나중에 사용할 수 있도록 OVA 파일을 로컬 머신으로 다운로드합니다.

HDS 설정 도구를 사용하여 하이브리드 데이터 보안 노드에 대한 ISO 구성 파일을 만듭니다.

OVA 파일에서 가상 머신을 만들고 네트워크 설정과 같은 초기 구성을 수행합니다.

OVA 배포 중에 네트워크 설정을 구성하는 옵션은 ESXi 6.5에서 테스트되었습니다. 해당 옵션은 이전 버전에서 사용할 수 없을 수도 있습니다.

VM 콘솔에 로그인하고 로그인 자격 증명을 설정합니다. OVA 배포 시 구성하지 않은 경우 노드에 대한 네트워크 설정을 구성합니다.

HDS 설정 도구로 만든 ISO 구성 파일에서 VM을 구성합니다.

네트워크 환경에 프록시 구성이 필요한 경우 노드에 사용할 프록시 유형을 지정하고 필요한 경우 프록시 인증서를 신뢰 저장소에 추가합니다.

Cisco Webex 클라우드에 VM을 하이브리드 데이터 보안 노드로 등록합니다.

클러스터 설정을 완료합니다.

평가판을 시작할 때까지 노드는 서비스가 아직 활성화되지 않았음을 나타내는 알람을 생성합니다.

설치 파일 다운로드

https://admin.webex.com에 로그인한 후 서비스를 클릭합니다.

하이브리드 서비스 섹션에서 하이브리드 데이터 보안 카드를 찾은 후 설정을 클릭합니다.

아니요를 선택하여 아직 노드를 설정하지 않았음을 표시한 후 다음을 클릭합니다.

OVA 파일이 자동으로 다운로드되기 시작합니다. 컴퓨터의 위치에 파일을 저장합니다.

선택적으로, 배포 안내서 열기를 클릭하여 이 안내서의 이후 버전을 사용할 수 있는지 확인합니다.

HDS 호스트에 대한 구성 ISO 만들기

하이브리드 데이터 보안 설정 프로세스는 ISO 파일을 만듭니다. 그런 다음 ISO를 사용하여 하이브리드 데이터 보안 호스트를 구성합니다.

시작하기 전에

설명	변수
인증되지 않은 HTTP 프록시	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
인증되지 않은 HTTPS 프록시	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
인증된 HTTP 프록시	`GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
인증된 HTTPS 프록시	`GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

생성하는 구성 ISO 파일에는 PostgreSQL 또는 Microsoft SQL Server 데이터베이스를 암호화하는 마스터 키가 포함되어 있습니다. 다음과 같이 구성을 변경할 때마다 이 파일의 최신 복사본이 필요합니다.
- 데이터베이스 자격 증명
- 인증서 업데이트
- 인증 정책 변경
데이터베이스 연결을 암호화하려는 경우 TLS에 대한 PostgreSQL 또는 SQL Server 배포를 설정합니다.

머신의 명령줄에 사용자 환경에 적합한 명령을 입력합니다.

일반 환경:

docker rmi ciscocitg/hds-setup:stable

FedRAMP 환경:

docker rmi ciscocitg/hds-setup-fedramp:stable

이 단계에서는 이전 HDS 설정 도구 이미지를 정리합니다. 이전 이미지가 없는 경우 무시할 수 있는 오류를 반환합니다.

Docker 이미지 레지스트리에 로그인하려면 다음을 입력합니다.

docker login -u hdscustomersro

비밀번호 프롬프트에 이 해시를 입력합니다.

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

사용자 환경에 맞는 최신 안정 이미지를 다운로드합니다.

일반 환경:

docker pull ciscocitg/hds-setup:stable

FedRAMP 환경:

docker pull ciscocitg/hds-setup-fedramp:stable

풀이 완료되면 사용자 환경에 적합한 명령을 입력합니다.

프록시가 없는 일반 환경:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

HTTP 프록시가 있는 일반 환경:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

HTTPS 프록시가 있는 일반 환경에서:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

프록시가 없는 FedRAMP 환경:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

HTTP 프록시가 있는 FedRAMP 환경:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

HTTPS 프록시가 있는 FedRAMP 환경:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

컨테이너가 실행 중일 때 "포트 8080에서 수신하는 Express 서버"가 표시됩니다.

설정 도구는 http://localhost:8080을 통해 localhost에 연결하는 것을 지원하지 않습니다. http://127.0.0.1:8080을(를) 사용하여 로컬 호스트에 연결합니다.

웹 브라우저를 사용하여 localhost로 이동하고, http://127.0.0.1:8080(으)로 이동하고 프롬프트에서 Control Hub에 대한 고객 관리 사용자 이름을 입력합니다.

이 도구는 사용자 이름의 첫 번째 항목을 사용하여 해당 계정에 적합한 환경을 설정합니다. 그런 다음 도구는 표준 로그인 프롬프트를 표시합니다.

설정 도구 개요 페이지에서 시작하기를 클릭합니다.

ISO 가져오기 페이지에서 다음 옵션이 나타납니다.

아니요—첫 번째 HDS 노드를 생성하는 경우 업로드할 ISO 파일이 없습니다.
예—HDS 노드를 이미 만든 경우 찾아보기에서 ISO 파일을 선택하고 업로드합니다.

X.509 인증서가 X.509 인증서 요구 사항의 요구 사항을 충족하는지 확인하십시오.

이전에 인증서를 업로드한 적이 없는 경우, X.509 인증서를 업로드하고 비밀번호를 입력한 후 계속을 클릭합니다.
인증서가 괜찮은 경우, 계속을 클릭합니다.
인증서가 만료되었거나 교체하려는 경우, 이전 ISO의 HDS 인증서 체인 및 비공개 키를 사용하여 계속 사용하려면 아니요를 선택하십시오.. 새로운 X.509 인증서를 업로드하고 비밀번호를 입력한 후 계속을 클릭합니다.

HDS에 대한 데이터베이스 주소 및 계정을 입력하여 키 데이터스토어에 액세스합니다.

데이터베이스 유형(PostgreSQL 또는 Microsoft SQL Server)을 선택합니다.

Microsoft SQL Server를 선택하면 인증 유형 필드가 표시됩니다.
(Microsoft SQL Server만 해당) 인증 유형 선택:
- 기본 인증: 사용자 이름 필드에 로컬 SQL Server 계정 이름이 필요합니다.
- Windows 인증: 형식으로 Windows 계정이 필요합니다. username@DOMAIN사용자 이름 필드에 있습니다.
데이터베이스 서버 주소를 양식에 입력합니다. <hostname>:<port> 또는 <IP-address>:<port>.

예:
dbhost.example.org:1433 또는 198.51.100.17:1433

노드가 DNS를 사용하여 호스트 이름을 확인할 수 없는 경우 기본 인증을 위해 IP 주소를 사용할 수 있습니다.

Windows 인증을 사용하는 경우, 정규화된 도메인 이름을 형식으로 입력해야 합니다. dbhost.example.org:1433
데이터베이스 이름을 입력합니다.
키 스토리지 데이터베이스에 모든 권한이 있는 사용자의 사용자 이름 및 암호를 입력합니다.

TLS 데이터베이스 연결 모드를 선택합니다.

모드

설명

원하는 TLS (기본 옵션)

TLS 필요

데이터베이스 서버에서 TLS를 협상할 수 있는 경우에만 HDS 노드를 연결합니다.

TLS 필요 및 인증서 서명자 확인

이 모드는 SQL Server 데이터베이스에 적용되지 않습니다.

데이터베이스 서버에서 TLS를 협상할 수 있는 경우에만 HDS 노드를 연결합니다.
TLS 연결을 설정한 후 노드는 데이터베이스 서버의 인증서 서명자를 데이터베이스 루트 인증서의 인증서 기관과 비교합니다. 해당 정보가 일치하지 않으면 노드는 연결을 끊습니다.

이 옵션에 대해 루트 인증서를 업로드하려면 드롭다운 아래에 있는 데이터베이스 루트 인증서 제어를 사용하십시오.

TLS 필요 및 인증서 서명자, 호스트 이름 확인

데이터베이스 서버에서 TLS를 협상할 수 있는 경우에만 HDS 노드를 연결합니다.
TLS 연결을 설정한 후 노드는 데이터베이스 서버의 인증서 서명자를 데이터베이스 루트 인증서의 인증서 기관과 비교합니다. 해당 정보가 일치하지 않으면 노드는 연결을 끊습니다.
노드는 서버 인증서의 호스트 이름이 데이터베이스 호스트 및 포트 필드의 호스트 이름과 일치하는지 확인합니다. 이름은 정확히 일치해야 하며, 그렇지 않으면 노드가 연결을 끊습니다.

이 옵션에 대해 루트 인증서를 업로드하려면 드롭다운 아래에 있는 데이터베이스 루트 인증서 제어를 사용하십시오.

시스템 로그 페이지에서 Syslogd 서버를 구성합니다.

syslog 서버 URL을 입력합니다.

서버가 HDS 클러스터의 노드에서 DNS 확인할 수 없는 경우 URL의 IP 주소를 사용합니다.

예:
udp://10.92.43.23:514 은(는) UDP 포트 514에서 Syslogd 호스트 10.92.43.23에 대한 로깅을 나타냅니다.
TLS 암호화를 사용하도록 서버를 설정한 경우 SSL 암호화에 대해 syslog 서버가 구성되었는지 확인하십시오..

이 확인란을 선택하는 경우, 다음과 같은 TCP URL을 입력해야 합니다. tcp://10.92.43.23:514.
syslog 레코드 종료 선택 드롭다운에서 ISO 파일에 적합한 설정을 선택합니다. 선택 또는 Newline이 Graylog 및 Rsyslog TCP에 사용됩니다.
- Null 바이트 -- \x00
- Newline -- \n—Graylog 및 Rsyslog TCP에 대해 이 옵션을 선택합니다.
계속을 클릭합니다.

app_datasource_connection_pool_maxSize: 10

서비스 계정 비밀번호 재설정 화면에서 계속을 클릭합니다.

ISO 파일 다운로드를 클릭합니다. 쉽게 찾을 수 있는 위치에 파일을 저장합니다.

로컬 시스템에서 ISO 파일의 백업 복사본을 만듭니다.

설정 도구를 종료하려면 다음을 입력합니다 CTRL+C.

다음에 수행할 작업

우리는 결코 이 열쇠의 사본을 가지고 있지 않으며, 당신이 그것을 잃으면 도울 수 없다.

HDS 호스트 OVA 설치

이 절차를 사용하여 OVA 파일에서 가상 머신을 만듭니다.

컴퓨터에서 VMware vSphere 클라이언트를 사용하여 ESXi 가상 호스트에 로그인합니다.

파일 > OVF 템플릿 배포를 선택합니다.

마법사에서 이전에 다운로드한 OVA 파일의 위치를 지정한 후 다음...

에 컴퓨팅 리소스 선택 페이지를 선택하고 대상 계산 리소스를 선택한 후 을 클릭합니다. 다음...

검증 확인이 실행됩니다. 완료되면 템플릿 세부 정보가 나타납니다.

템플릿 세부 사항을 확인한 후 다음을 클릭합니다.

에서 리소스 구성을 선택하도록 요청 받는 경우 설정 페이지, 를 클릭합니다. 4개 CPU을(를) 클릭한 후 다음...

에 스토리지 선택 페이지, 를 클릭합니다. 다음은(는) 기본 디스크 형식 및 VM 스토리지 정책을 수락합니다.

에 네트워크 선택 페이지에서 항목 목록에서 네트워크 옵션을 선택하여 VM에 원하는 연결을 제공합니다.

템플릿 사용자 정의 페이지에서 다음 네트워크 설정을 구성합니다.

호스트 이름 - 노드의 FQDN(호스트 이름 및 도메인) 또는 단일 단어 호스트 이름을 입력합니다.

X.509 인증서를 얻기 위해 사용한 도메인과 일치하도록 도메인을 설정하지 않아도 됩니다.
클라우드에 성공적으로 등록하려면 노드에 대해 설정한 FQDN 또는 호스트 이름에서 소문자만 사용하십시오. 현재 대문자 사용은 지원되지 않습니다.
FQDN의 총 길이는 64자를 초과하지 말아야 합니다.

IP 주소— 노드의 내부 인터페이스에 대한 IP 주소를 입력합니다.

노드에는 내부 IP 주소 및 DNS 이름이 있어야 합니다. DHCP는 지원되지 않습니다.
마스크—점 소수점 표기법에 서브넷 마스크 주소를 입력합니다. 예: 255.255.255.0.
게이트웨이—게이트웨이 IP 주소를 입력합니다. 게이트웨이는 다른 네트워크에 대한 액세스 포인트 역할을 하는 네트워크 노드입니다.
DNS 서버—도메인 이름을 숫자 IP 주소로 변환하는 작업을 처리하는 쉼표로 구분된 DNS 서버 목록을 입력합니다. (최대 4개의 DNS 항목이 허용됩니다.)
NTP 서버—조직에서 사용할 수 있는 조직의 NTP 서버 또는 다른 외부 NTP 서버를 입력합니다. 기본 NTP 서버가 모든 기업에서 작동하지 않을 수도 있습니다. 쉼표로 구분된 목록을 사용하여 여러 NTP 서버를 입력할 수도 있습니다.

동일한 서브넷 또는 VLAN에 모든 노드를 배포하여 클러스터의 모든 노드가 관리 목적으로 네트워크의 클라이언트에서 연결할 수 있도록 합니다.

원하는 경우 네트워크 설정 구성을 건너뛰고 하이브리드 데이터 보안 VM 설정 단계에 따라 노드 콘솔에서 설정을 구성할 수 있습니다.

OVA 배포 중에 네트워크 설정을 구성하는 옵션은 ESXi 6.5에서 테스트되었습니다. 해당 옵션은 이전 버전에서 사용할 수 없을 수도 있습니다.

노드 VM을 마우스 오른쪽 버튼으로 클릭한 다음 전원 > 전원 켜기.

하이브리드 데이터 보안 소프트웨어는 VM 호스트에 게스트로 설치됩니다. 이제 콘솔에 로그인하고 노드를 구성할 준비가 되었습니다.

문제 해결하기 추가 정보

하이브리드 데이터 보안 VM 설정

1	VMware vSphere 클라이언트에서 하이브리드 데이터 보안 노드 VM을 선택하고 콘솔 탭을 선택합니다. VM이 부팅되고 로그인 프롬프트가 나타납니다. 로그인 프롬프트가 표시되지 않는 경우엔 Enter를 누릅니다.
2	다음 기본 로그인 및 암호를 사용하여 로그인하고 자격 증명을 변경합니다. 로그인: `admin` 비밀번호: `cisco` 처음으로 VM에 로그인하기 때문에 관리자 암호를 변경해야 합니다.
3	HDS 호스트 OVA 설치에서 네트워크 설정을 이미 구성한 경우, 나머지 절차는 건너뜁니다. 그렇지 않으면, 주 메뉴에서 구성 편집 옵션을 선택합니다.
4	IP 주소, 마스크, 게이트웨이 및 DNS 정보로 정적 구성을 설정합니다. 노드에는 내부 IP 주소 및 DNS 이름이 있어야 합니다. DHCP는 지원되지 않습니다.
5	(선택 사항) 네트워크 정책과 일치하는 데 필요한 경우 호스트 이름, 도메인 또는 NTP 서버를 변경합니다. X.509 인증서를 얻기 위해 사용한 도메인과 일치하도록 도메인을 설정하지 않아도 됩니다.
6	네트워크 구성을 저장하고 VM을 재부팅하여 변경 사항을 적용합니다.

HDS 구성 ISO 업로드 및 장착

이 절차를 사용하여 HDS 설정 도구로 만든 ISO 파일에서 가상 머신을 구성합니다.

시작하기 전에

컴퓨터에서 ISO 파일을 업로드합니다.

VMware vSphere 클라이언트의 왼쪽 탐색 창에서 ESXi 서버를 클릭합니다.
구성 탭의 하드웨어 목록에서 스토리지를 클릭합니다.
데이터스토어 목록에서 VM의 데이터스토어를 마우스 오른쪽 버튼으로 클릭하고 데이터스토어 찾아보기를 클릭합니다.
파일 업로드 아이콘을 클릭한 다음 파일 업로드를 클릭합니다.
컴퓨터에서 ISO 파일을 다운로드한 위치를 찾아보고 열기를 클릭합니다.
업로드/다운로드 작업 경고를 수락하고 데이터스토어 대화 상자를 닫으려면 예를 클릭합니다.

ISO 파일을 마운트합니다.

VMware vSphere 클라이언트의 왼쪽 네비게이션 분할 창에서 VM을 오른쪽 클릭하고 설정 편집을 클릭합니다.
제한된 편집 옵션 경고를 수락하려면 확인을 클릭합니다.
클릭 CD/DVD Drive 1, 데이터스토어 ISO 파일에서 마운트할 옵션을 선택하고 구성 ISO 파일을 업로드한 위치를 찾습니다.
연결됨 및 전원을 켜고 연결을 확인하십시오.
변경 사항을 저장하고 가상 머신을 재부팅합니다.

다음에 수행할 작업

프록시 통합에 대해 HDS 노드 구성

시작하기 전에

지원되는 프록시 옵션의 개요는 프록시 지원을 참조하십시오.
프록시 서버 요구 사항

1	HDS 노드 설정 URL 입력 `https://[HDS Node IP or FQDN]/setup` 웹 브라우저에서 노드에 대해 설정한 관리 자격 증명을 입력한 후 로그인을 클릭합니다.
2	신뢰 저장소 및 프록시로 이동한 후 옵션을 선택합니다. 프록시 없음—프록시를 통합하기 전의 기본 옵션입니다. 인증서를 업데이트하지 않아도 됩니다. 투명 비-검사 프록시—노드가 특정 프록시 서버 주소를 사용하도록 구성되어 있지 않으며, 비-검사 프록시에서 작동하도록 변경할 것을 요구하지 않습니다. 인증서를 업데이트하지 않아도 됩니다. 투명 검사 프록시—노드가 특정 프록시 서버 주소를 사용하도록 구성되어 있지 않습니다. 하이브리드 데이터 보안 배포에서 HTTPS 구성을 변경하지 않아도 됩니다. 단, HDS 노드에 루트 인증서가 있어야 프록시를 신뢰할 수 있습니다. 일반적으로 검사 프록시는 IT가 어떤 웹사이트를 방문할 수 있는지 및 어떤 유형의 콘텐츠가 허용되는지에 대한 정책을 적용하기 위해 사용됩니다. 이러한 유형의 프록시는 모든 트래픽(HTTPS 포함)을 해독합니다. 명시적 프록시—명시적 프록시를 사용하여 클라이언트(HDS 노드)가 어떤 프록시 서버를 사용하는지, 이 옵션에서 다양한 인증 유형을 지원하는지 알 수 있습니다. 이 옵션을 선택한 후 다음 정보를 입력해야 합니다. 프록시 IP/FQDN—프록시 머신에 연결하기 위해 사용할 수 있는 주소입니다. 프록시 포트—프록시가 프록시된 트래픽을 탐지하기 위해 사용하는 포트 번호입니다. 프록시 프로토콜—http(클라이언트로부터 수신하는 모든 요청을 확인하고 제어) 또는 https(서버에 채널을 제공하고, 클라이언트는 서버의 인증서를 수신 및 검증)를 선택합니다. 프록시 서버가 지원하는 내용에 따라 옵션을 선택합니다. 인증 유형—다음 인증 유형 중에서 선택합니다. 없음—추가 인증이 필요하지 않습니다. HTTP 또는 HTTPS 프록시를 사용할 수 있습니다. 기본—요청을 제출할 때 HTTP 사용자 에이전트가 사용자 이름 및 비밀번호를 제공하기 위해 사용됩니다. Base64 인코딩을 사용합니다. HTTP 또는 HTTPS 프록시를 사용할 수 있습니다. 이 옵션을 선택하는 경우, 사용자 이름 및 비밀번호도 입력해야 합니다. 다이제스트—민감한 정보를 보내기 전에 계정을 확인하기 위해 사용됩니다. 네트워크를 통해 전송하기 전에 사용자 이름 및 비밀번호에 해시 기능을 적용합니다. HTTPS 프록시에 대해서만 사용할 수 있습니다. 이 옵션을 선택하는 경우, 사용자 이름 및 비밀번호도 입력해야 합니다. 투명 검사 프록시, 기본 인증이 포함된 HTTP 명시적 프록시 또는 HTTPS 명시적 프록시에 대해서는 다음 단계를 따르십시오.
3	루트 인증서 또는 최종 엔터티 인증서 업로드를 클릭한 후 탐색하여 프록시에 대한 루트 인증서를 선택합니다. 인증서가 업로드되었지만 아직 설치되지 않았습니다. 인증서를 설치하려면 노드를 재부팅해야 합니다. 인증서 발급자 이름 옆에 있는 갈매기 모양 화살표를 클릭하여 자세한 내용을 확인합니다. 실수가 있었거나 파일을 다시 업로드하려는 경우엔 삭제를 클릭합니다.
4	프록시 연결 확인을 클릭하여 노드와 프록시 간의 네트워크 연결을 테스트합니다. 연결 테스트에 실패하는 경우, 이유 및 문제를 해결할 수 있는 방법을 표시하는 오류 메시지가 나타납니다. 외부 DNS 확인에 실패했다는 메시지가 나타나면 노드가 DNS 서버에 연결하지 못한 것입니다. 이 조건은 다양한 명시적 프록시 구성에서 예상되는 작동입니다. 설정을 계속 진행할 수 있으며, 노드는 차단된 외부 DNS 확인 모드로 작동하게 됩니다. 이것이 오류라고 생각되면 다음 단계를 완료한 후 차단된 외부 DNS 확인 모드 끄기를 참조하십시오.
5	연결 테스트를 통과한 후 https로만 설정된 명시적 프록시에 대해 설정을 토글하여 이 노드의 모든 포트 443/444 https 요청을 명시적 프록시를 통해 라우팅합니다. 이 설정이 적용될 때까지 15초 정도 소요됩니다.
6	모든 인증서를 신뢰 저장소에 설치(HTTPS 명시적 프록시 또는 투명 검사 프록시에 대해 나타남) 또는 재부팅(HTTP 명시적 프록시에 대해 나타남)을 클릭하고 안내를 읽은 후 준비되었을 때 설치를 클릭합니다. 노드는 몇 분 내에 재부팅됩니다.
7	노드가 재부팅되면 필요에 따라 다시 로그인한 후 개요 페이지를 열어 연결을 확인하고 모두 녹색 상태인지 확인합니다. 프록시 연결 확인은 webex.com의 하위 도메인만 테스트합니다. 연결에 문제가 있는 경우, 설치 지시 사항에 나열된 일부 클라우드 도메인이 프록시에서 차단되는 것은 일반적인 문제입니다.

클러스터에 첫 번째 노드 등록

첫 번째 노드를 등록할 때 해당 노드가 지정된 클러스터를 만듭니다. 클러스터에는 중복성을 제공하기 위해 배포된 한 개 이상의 노드가 포함됩니다.

시작하기 전에

노드의 등록을 시작하면 60분 이내에 완료해야 합니다. 그렇지 않으면 처음부터 다시 시작해야 합니다.
브라우저에 있는 팝업 차단기가 비활성화되었는지 또는 admin.webex.com에 대한 예외를 허용하는지 확인합니다.

1	https://admin.webex.com에 로그인합니다.
2	화면의 왼쪽에 있는 메뉴에서 서비스를 선택합니다.
3	하이브리드 서비스 섹션에서 하이브리드 데이터 보안을 찾고 설정을 클릭합니다. 하이브리드 데이터 보안 노드 등록 페이지가 나타납니다.
4	예를 선택하여 노드를 설정했으며 등록할 준비가 되었음을 표시한 후 다음을 클릭합니다.
5	첫 번째 필드에서 하이브리드 데이터 보안 노드를 할당할 클러스터의 이름을 입력합니다. 지리적으로 클러스터의 노드가 위치한 장소에 기반하여 클러스터의 이름을 지정할 것을 권장합니다. 예: "샌프란시스코" 또는 "뉴욕" 또는 "달라스"
6	두 번째 필드에 노드의 내부 IP 주소 또는 FQDN(Fully Qualified Domain Name)을 입력하고 다음을 클릭합니다. 이 IP 주소 또는 FQDN은 하이브리드 데이터 보안 VM 설정에서 사용한 IP 주소 또는 호스트 이름 및 도메인과 일치해야 합니다. 노드를 Webex에 등록할 수 있음을 나타내는 메시지가 나타납니다.
7	노드로 이동을 클릭합니다.
8	경고 메시지에서 계속을 클릭합니다. 잠시 후에 Webex 서비스에 대한 노드 연결 테스트로 리디렉션됩니다. 모든 테스트에 성공하면 하이브리드 데이터 보안 노드에 대한 액세스 허용 페이지가 나타납니다. 여기에서 노드에 액세스할 수 있는 권한을 Webex 조직에 부여하고자 하는지 확인합니다.
9	하이브리드 데이터 보안 노드에 액세스 허용 확인란을 선택한 후 계속을 클릭합니다. 계정의 유효성이 검증되고 "등록 완료" 메시지는 이제 노드가 Webex 클라우드에 등록되었음을 나타냅니다.
10	링크를 클릭하거나 탭을 닫아 Control Hub 하이브리드 데이터 보안 페이지로 돌아갑니다. 하이브리드 데이터 보안 페이지에서 등록한 노드가 포함된 새로운 클러스터가 표시됩니다. 노드는 클라우드에서 최신 소프트웨어를 자동으로 다운로드합니다.

추가 노드 만들기 및 등록

시작하기 전에

노드의 등록을 시작하면 60분 이내에 완료해야 합니다. 그렇지 않으면 처음부터 다시 시작해야 합니다.
브라우저에 있는 팝업 차단기가 비활성화되었는지 또는 admin.webex.com에 대한 예외를 허용하는지 확인합니다.

1	OVA에서 새로운 가상 머신을 만들고, HDS 호스트 OVA 설치의 단계를 반복합니다.
2	새로운 VM에 초기 구성을 설정하고 하이브리드 데이터 보안 VM 설정의 단계를 반복합니다.
3	새로운 VM에서 HDS 구성 ISO 업로드 및 마운트의 단계를 반복합니다.
4	배포를 위한 프록시를 설정하는 경우, 새 노드에 대해 필요에 따라 프록시 통합을 위한 HDS 노드 구성의 단계를 반복합니다.
5	노드를 등록합니다. https://admin.webex.com의 화면 왼쪽에 있는 메뉴에서 서비스를 선택합니다. 하이브리드 서비스 섹션에서 하이브리드 데이터 보안 카드를 찾아 리소스를 클릭합니다. 하이브리드 데이터 보안 리소스 페이지가 나타납니다. 리소스 추가를 클릭합니다. 첫 번째 필드에서 기존 클러스터의 이름을 선택합니다. 두 번째 필드에 노드의 내부 IP 주소 또는 FQDN(Fully Qualified Domain Name)을 입력하고 다음을 클릭합니다. 노드를 Webex 클라우드에 등록할 수 있음을 나타내는 메시지가 나타납니다. 노드로 이동을 클릭합니다. 잠시 후에 Webex 서비스에 대한 노드 연결 테스트로 리디렉션됩니다. 모든 테스트에 성공하면 하이브리드 데이터 보안 노드에 대한 액세스 허용 페이지가 나타납니다. 여기에서 귀하의 노드에 액세스할 수 있는 권한을 조직에 부여하고자 하는지 확인합니다. 하이브리드 데이터 보안 노드에 액세스 허용 확인란을 선택한 후 계속을 클릭합니다. 계정의 유효성이 검증되고 "등록 완료" 메시지는 이제 노드가 Webex 클라우드에 등록되었음을 나타냅니다. 링크를 클릭하거나 탭을 닫아 Control Hub 하이브리드 데이터 보안 페이지로 돌아갑니다. 노드가 등록되었습니다. 평가판을 시작할 때까지 노드는 서비스가 아직 활성화되지 않았음을 나타내는 알람을 생성합니다.

다음에 수행할 작업

평가판을 실행하고 프로덕션으로 이동

프로덕션 작업 흐름 평가판

시작하기 전에