이 문서에서
dropdown icon
새로운 정보와 변경된 정보
    새로운 정보와 변경된 정보
dropdown icon
멀티 테넌트 하이브리드 데이터 보안 시작하기
    dropdown icon
    멀티 테넌트 하이브리드 데이터 보안 개요
      멀티 테넌트 하이브리드 데이터 보안이 데이터 주권과 데이터 제어를 제공하는 방식
      멀티 테넌트 하이브리드 데이터 보안의 한계
      멀티 테넌트 하이브리드 데이터 보안의 역할
    dropdown icon
    보안 영역 아키텍처
      분리 영역(하이브리드 데이터 보안 없음)
    다른 조직과 협업
    하이브리드 데이터 보안 배포에 대해 예상되는 부분
    고급 설정 프로세스
    dropdown icon
    하이브리드 데이터 보안 배포 모델
      하이브리드 데이터 보안 배포 모델
    dropdown icon
    재해 복구를 위한 대기 데이터 센터
      대기 데이터 센터로의 수동 장애 조치
    프록시 지원
dropdown icon
환경 준비
    dropdown icon
    멀티 테넌트 하이브리드 데이터 보안 요구 사항
      Cisco Webex 라이선스 요구 사항
      Docker 데스크톱 요구 사항
      X.509 인증서 요구 사항
      가상 호스트 요구 사항
      데이터베이스 서버 요구 사항
      외부 연결 요구 사항
      프록시 서버 요구 사항
    하이브리드 데이터 보안에 대한 전제 조건 완료
dropdown icon
하이브리드 데이터 보안 클러스터 설정
    하이브리드 데이터 보안 배포 작업 흐름
    초기 설정을 수행하고 설치 파일을 다운로드합니다.
    HDS 호스트에 대해 구성 ISO 만들기
    HDS 호스트 OVA 설치
    하이브리드 데이터 보안 VM 설정
    HDS 구성 ISO 업로드 및 마운트
    프록시 통합에 대해 HDS 노드 구성
    클러스터의 첫 번째 노드를 등록합니다
    더 많은 노드를 생성하고 등록하세요
dropdown icon
멀티 테넌트 하이브리드 데이터 보안에서 테넌트 조직 관리
    파트너 허브에서 멀티 테넌트 HDS 활성화
    파트너 허브에 테넌트 조직 추가
    HDS 설정 도구를 사용하여 고객 기본 키(CMK) 생성
    테넌트 조직 제거
    HDS에서 제거된 테넌트의 CMK를 취소합니다.
dropdown icon
하이브리드 데이터 보안 배포 테스트
    하이브리드 데이터 보안 배포 테스트
    하이브리드 데이터 보안 상태 모니터
dropdown icon
HDS 배포 관리
    HDS 배포 관리
    클러스터 업그레이드 예약 설정
    노드 구성 변경
    차단된 외부 DNS 확인 모드 끄기
    노드 제거
    대기 데이터 센터를 사용한 재해 복구
    (선택 사항) HDS 구성 후 ISO 마운트 해제
dropdown icon
하이브리드 데이터 보안 문제 해결하기
    경고 보기 및 문제 해결하기
    dropdown icon
    경고
      일반적인 문제 및 문제를 해결하기 위한 단계
    하이브리드 데이터 보안 문제 해결하기
dropdown icon
기타 참고사항
    하이브리드 데이터 보안 알려진 문제
    Podman Desktop을 사용하여 HDS 설치 도구 실행
    dropdown icon
    Control Hub의 파트너 조직의 기존 단일 테넌트 HDS 배포를 Partner Hub의 다중 테넌트 HDS 설정으로 이동합니다.
      Control Hub에서 HDS 비활성화, 노드 등록 해제 및 클러스터 삭제
      Partner Hub에서 파트너 조직에 대한 다중 테넌트 HDS를 활성화하고 고객을 추가합니다.
    OpenSSL을 사용하여 PKCS12 파일 생성
    HDS 노드 및 클라우드 간 트래픽
    dropdown icon
    하이브리드 데이터 보안에 대해 Squid 프록시 구성
      웹 소켓은 Squid 프록시를 통해 연결할 수 없음
dropdown icon
멀티 테넌트 하이브리드 데이터 보안 비활성화
    다중 테넌트 HDS 비활성화 작업 흐름
이 문서는 다음 항목에 적용됩니다.
2025년 5월 22일 | 8 명이 봄 | 0 명이 이 정보가 유용하다고 평가했습니다.

다중 테넌트 하이브리드 데이터 보안(HDS) 배포 가이드 (베타)

list-menu이 문서에서
list-menu피드백이 있습니까?

환경 준비

멀티 테넌트 하이브리드 데이터 보안 요구 사항

Cisco Webex 라이선스 요구 사항

멀티 테넌트 하이브리드 데이터 보안을 구축하려면:

  • 파트너 기관: Cisco 파트너나 계정 관리자에게 문의하여 멀티 테넌트 기능이 활성화되어 있는지 확인하세요.

  • 세입자 조직: Cisco Webex Control Hub를 사용하려면 Pro Pack이 있어야 합니다. (참조: https://www.cisco.com/go/pro-pack)

Docker 데스크톱 요구 사항

HDS 노드를 설치하기 전에 Docker Desktop에서 설치 프로그램을 실행해야 합니다. Docker는 최근 라이선스 모델을 업데이트했습니다. 조직에서 Docker 데스크탑에 대해 유료 가입을 요구할 수도 있습니다. 자세한 내용은 Docker 블로그 게시물 " Docker가 업데이트 중 및 제품 가입 연장하기를 참조합니다.

Docker Desktop 라이선스가 없는 고객은 Podman Desktop과 같은 오픈 소스 컨테이너 관리 도구를 사용하여 컨테이너를 실행, 관리 및 생성할 수 있습니다. 자세한 내용은 Podman Desktop을 사용하여 HDS 설치 도구 실행 을 참조하세요.

X.509 인증서 요구 사항

인증서 체인은 다음 요구 사항을 충족해야 합니다.

표 1. 하이브리드 데이터 보안 배포를 위한 X.509 인증서 요구 사항

요구 사항

세부 정보

  • 신뢰할 수 있는 인증 기관(CA)에서 서명함

기본적으로 우리는 https://wiki.mozilla.org/CA:IncludedCAs에서 Mozilla 목록에 있는 CA(WoSign 및 StartCom 제외)를 신뢰합니다.

  • 하이브리드 데이터 보안 배포를 식별하는 일반 이름(CN) 도메인 이름을 갖습니다.

  • 와일드카드 인증서가 아님

CN은 연결되어야 하거나, 실시간 호스트일 필요가 없습니다. 예를 들어 hds.company.com와 같이 조직을 반영하는 이름을 사용하는 것이 좋습니다.

CN에는 다음이 포함되어서는 안 됩니다. * (와일드카드).

CN은 Webex 앱 클라이언트에 대한 하이브리드 데이터 보안 노드를 확인하는 데 사용됩니다. 클러스터의 모든 하이브리드 데이터 보안 노드는 동일한 인증서를 사용합니다. KMS는 x.509v3 SAN 필드에 정의된 도메인이 아닌 CN 도메인을 사용하여 자체적으로 식별합니다.

이 인증서를 사용하여 노드를 등록하면 CN 도메인 이름에 대한 변경을 지원하지 않습니다.

  • Non-SHA1 signature

KMS 소프트웨어는 다른 조직의 KMS에 연결을 확인하는 작업에 대해 SHA1 서명을 지원하지 않습니다.

  • 비밀번호로 보호된 PKCS #12 파일로 형식화됨

  • kms-private-key 라는 친근한 이름을 사용하여 인증서, 개인 키 및 업로드할 중간 인증서에 태그를 지정합니다.

OpenSSL 등의 변환기를 사용하여 인증서 형식을 변경할 수 있습니다.

HDS 설정 도구를 실행할 때 비밀번호를 입력해야 합니다.

KMS 소프트웨어는 키 사용 또는 확장된 키 사용 제한을 강요하지 않습니다. 일부 인증 기관에서는 각 인증서에 서버 인증과 같은 확장된 키 사용 제한을 적용하도록 요구합니다. 서버 인증 또는 기타 설정을 사용해도 괜찮습니다.

가상 호스트 요구 사항

클러스터에서 하이브리드 데이터 보안 노드로 설정할 가상 호스트에는 다음과 같은 요구 사항이 있습니다.

  • 동일한 보안 데이터 센터에 최소 두 개의 별도 호스트(권장 3개)가 함께 배치됨

  • VMware ESXi 7.0 또는 8.0이 설치되어 실행 중입니다.

    이전 버전의 ESXi를 사용하는 경우 업그레이드해야 합니다.

  • 서버당 최소 4개의 vCPU, 8GB 주 메모리, 30GB 로컬 하드 디스크 공간

데이터베이스 서버 요구 사항

키 저장을 위한 새로운 데이터베이스를 만듭니다. 기본 데이터베이스를 사용하지 마세요. HDS 응용프로그램을 설치하면 데이터베이스 스키마가 생성됩니다.

데이터베이스 서버에는 두 가지 옵션이 있습니다. 각각의 요구 사항은 다음과 같습니다.

표 2. 데이터베이스 유형별 데이터베이스 서버 요구 사항

포스트그레스큐엘

마이크로소프트 SQL 서버

  • PostgreSQL 14, 15 또는 16이 설치되어 실행 중입니다.

  • SQL Server 2016, 2017, 2019 또는 2022(Enterprise 또는 Standard)가 설치되어 있습니다.

    SQL Server 2016에는 서비스 팩 2 및 누적 업데이트 2 이상이 필요합니다.

최소 8개 vCPU, 16GB 메인 메모리, 충분한 하드 디스크 공간 및 초과하지 않도록 모니터링(스토리지를 늘리지 않고도 장기간 데이터베이스를 실행하려는 경우 2TB 권장됨)

최소 8개 vCPU, 16GB 메인 메모리, 충분한 하드 디스크 공간 및 초과하지 않도록 모니터링(스토리지를 늘리지 않고도 장기간 데이터베이스를 실행하려는 경우 2TB 권장됨)

HDS 소프트웨어는 현재 데이터베이스 서버와 통신하기 위해 다음 드라이버 버전을 설치합니다.

포스트그레스큐엘

마이크로소프트 SQL 서버

Postgres JDBC 드라이버 42.2.5

SQL Server JDBC 드라이버 4.6

이 드라이버 버전은 SQL Server Always On( Always On 장애 조치(Failover) 클러스터 인스턴스Always On 가용성 그룹)을 지원합니다.

Microsoft SQL Server에 대한 Windows 인증을 위한 추가 요구 사항

HDS 노드가 Windows 인증을 사용하여 Microsoft SQL Server의 키 저장소 데이터베이스에 액세스하도록 하려면 환경에서 다음 구성이 필요합니다.

  • HDS 노드, Active Directory 인프라, MS SQL Server는 모두 NTP와 동기화되어야 합니다.

  • HDS 노드에 제공하는 Windows 계정에는 다음이 있어야 합니다. read/write 데이터베이스에 접근.

  • HDS 노드에 제공하는 DNS 서버는 키 배포 센터(KDC)를 확인할 수 있어야 합니다.

  • Microsoft SQL Server에 HDS 데이터베이스 인스턴스를 Active Directory의 SPN(서비스 주체 이름)으로 등록할 수 있습니다. Kerberos 연결에 대한 서비스 주체 이름 등록을 참조하세요.

    HDS 설치 도구, HDS 실행기 및 로컬 KMS는 모두 Windows 인증을 사용하여 키 저장소 데이터베이스에 액세스해야 합니다. Kerberos 인증을 통해 액세스를 요청할 때 ISO 구성의 세부 정보를 사용하여 SPN을 구성합니다.

외부 연결 요구 사항

HDS 애플리케이션에 대해 다음 연결을 허용하도록 방화벽을 구성하세요.

응용프로그램

프로토콜

포트

앱에서 방향

대상

하이브리드 데이터 보안 노드

TCP

443

아웃바운드 HTTPS 및 WSS

  • Webex 서버:

    • *.wbx2.com

    • *.ciscospark.com

  • 모든 공통 ID 호스트

  • Webex 하이브리드 서비스용 추가 URL 표의 Webex 서비스용 네트워크 요구 사항에 하이브리드 데이터 보안을 위해 나열된 다른 URL

HDS 설정 도구

TCP

443

아웃바운드 HTTPS

  • *.wbx2.com

  • 모든 공통 ID 호스트

  • hub.docker.com

하이브리드 데이터 보안 노드는 NAT(네트워크 액세스 변환)를 사용하거나 방화벽 뒤에서 작동합니다. 단, NAT 또는 방화벽이 이전 표의 도메인 대상에 대한 필요한 아웃바운드 연결을 허용하는 경우에 한합니다. 하이브리드 데이터 보안 노드로 인바운드되는 연결의 경우 인터넷에서 포트가 표시되지 않아야 합니다. 데이터 센터 내에서 클라이언트는 관리 목적으로 TCP 포트 443 및 22에서 하이브리드 데이터 보안 노드에 액세스해야 합니다.

CI(Common Identity) 호스트의 URL은 지역별로 다릅니다. 현재 CI 호스트는 다음과 같습니다.

지역

공통 ID 호스트 URL

미주

  • https://idbroker.webex.com

  • https://identity.webex.com

  • https://idbroker-b-us.webex.com

  • https://identity-b-us.webex.com

유럽 연합

  • https://idbroker-eu.webex.com

  • https://identity-eu.webex.com

캐나다

  • https://idbroker-ca.webex.com

  • https://identity-ca.webex.com

싱가포르

  • https://idbroker-sg.webex.com

  • https://identity-sg.webex.com

아랍에미리트

  • https://idbroker-ae.webex.com

  • https://identity-ae.webex.com

프록시 서버 요구 사항

  • 하이브리드 데이터 보안 노드에 통합할 수 있는 다음 프록시 솔루션을 공식적으로 지원합니다.

  • 명시적 프록시에 대해 다음 인증 유형 조합을 지원합니다.

    • HTTP 또는 HTTPS로 인증하지 않음

    • HTTP 또는 HTTPS로 기본 인증

    • HTTPS로만 다이제스트 인증

  • 투명 검사 프록시 또는 HTTPS 명시적 프록시에 대해 프록시 루트 인증서의 복사본이 있어야 합니다. 이 안내서의 배포 지시 사항은 하이브리드 데이터 보안 노드의 신뢰 저장소에 사본을 업로드하는 방법을 설명합니다.

  • HDS 노드를 호스트하는 네트워크는 포트 443의 아웃바운드 TCP 트래픽이 프록시를 통해 라우팅하도록 구성되어야 합니다.

  • 웹 트래픽을 검사하는 프록시는 웹 소켓 연결을 방해할 수도 있습니다. 이 문제가 발생하는 경우 wbx2.comciscospark.com 에 대한 트래픽을 우회(검사하지 않음)하면 문제가 해결됩니다.

하이브리드 데이터 보안에 대한 전제 조건 완료

이 체크리스트를 사용하여 하이브리드 데이터 보안 클러스터를 설치하고 구성할 준비가 되었는지 확인하세요.
1

파트너 조직에서 멀티 테넌트 HDS 기능이 활성화되어 있는지 확인하고 파트너의 전체 관리자 및 전체 관리자 권한이 있는 계정의 자격 증명을 받으세요. Cisco Webex Control Hub에 대해 Webex 고객 조직이 Pro Pack을 사용할 수 있는지 확인하세요. 이 과정에 대해 지원을 받으려면 Cisco 파트너 또는 계정 관리자에게 연락하십시오.

고객 조직에는 기존 HDS 배포가 없어야 합니다.

2

HDS 배포에 대한 도메인 이름을 선택합니다(예: hds.company.com) 그리고 X.509 인증서, 개인 키 및 모든 중간 인증서가 포함된 인증서 체인을 얻습니다. 인증서 체인은 X.509 인증서 요구 사항의 요구 사항을 충족해야 합니다.

3

클러스터에서 하이브리드 데이터 보안 노드로 설정할 동일한 가상 호스트를 준비합니다. 동일한 보안 데이터 센터에 함께 배치된 최소 2개의 별도 호스트(권장 3개)가 필요하며, 가상 호스트 요구 사항의 요구 사항을 충족해야 합니다.

4

데이터베이스 서버 요구 사항에 따라 클러스터의 주요 데이터 저장소 역할을 할 데이터베이스 서버를 준비합니다. 데이터베이스 서버는 가상 호스트와 함께 보안 데이터 센터에 같은 위치에 있어야 합니다.

  1. 키 저장을 위한 데이터베이스를 만듭니다. (이 데이터베이스는 직접 만들어야 합니다. 기본 데이터베이스를 사용하지 마세요. HDS 응용프로그램을 설치하면 데이터베이스 스키마가 생성됩니다.)

  2. 노드가 데이터베이스 서버와 통신하는 데 사용할 세부 사항을 수집하십시오.

    • 호스트 이름 또는 IP 주소 (호스트) 및 포트

    • 키 스토리지에 대한 데이터베이스의 이름(dbname)

    • 키 스토리지 데이터베이스에서 모든 권한을 가진 사용자의 사용자이름 및 비밀번호

5

신속한 재해 복구를 위해 다른 데이터 센터에 백업 환경을 설정하세요. 백업 환경은 VM의 프로덕션 환경과 백업 데이터베이스 서버를 미러링합니다. 예를 들어, 프로덕션에 HDS 노드를 실행하는 3개의 VM이 있으면 백업 환경에도 3개의 VM이 있어야 합니다.

6

클러스터에 있는 노드에서 로그를 수집하도록 시스로그 호스트를 설정하십시오. 네트워크 주소 및 시스로그 포트를 수집합니다(기본값은 UDP 514).

7

하이브리드 데이터 보안 노드, 데이터베이스 서버 및 syslog 호스트에 대한 안전한 백업 정책을 만듭니다. 최소한 복구할 수 없는 데이터 손실을 방지하려면 하이브리드 데이터 보안 노드에 대해 생성된 데이터베이스와 구성 ISO 파일을 백업해야 합니다.

하이브리드 데이터 보안 노드는 콘텐츠 암호화 및 복호화에 사용되는 키를 저장하므로 운영 배포를 유지하지 못하면 해당 콘텐츠의 복구 불가 손실 이 발생합니다.

Webex 앱 클라이언트는 키를 캐시하므로 서비스 중단이 즉시 눈에 띄지 않을 수 있지만 시간이 지나면서 분명해집니다. 일시적인 중단은 예방할 수 없지만, 복구는 가능합니다. 그러나 데이터베이스 또는 구성 ISO 파일을 완전한 유실하면(사용할 수 있는 백업 없음) 고객 데이터를 복구할 수 없게 됩니다. 하이브리드 데이터 보안 노드 운영자는 데이터베이스와 구성 ISO 파일을 자주 백업하고, 치명적인 오류가 발생할 경우 하이브리드 데이터 보안 데이터 센터를 재구축할 준비를 해야 합니다.

8

외부 연결 요구 사항에 설명된 대로 방화벽 구성이 하이브리드 데이터 보안 노드에 대한 연결을 허용하는지 확인하세요.

9

웹 브라우저를 통해 http://127.0.0.1:8080.에서 액세스할 수 있는 지원되는 OS(Microsoft Windows 10 Professional 또는 Enterprise 64비트 또는 Mac OSX Yosemite 10.10.3 이상)를 실행하는 모든 로컬 머신에 Docker( https://www.docker.com)를 설치합니다.

Docker 인스턴스를 사용하여 HDS 설치 도구를 다운로드하고 실행하면 모든 하이브리드 데이터 보안 노드에 대한 로컬 구성 정보가 작성됩니다. Docker Desktop 라이선스가 필요할 수 있습니다. 자세한 내용은 Docker 데스크톱 요구 사항 을 참조하세요.

HDS 설치 도구를 설치하고 실행하려면 로컬 컴퓨터에 외부 연결 요구 사항에 설명된 연결성이 있어야 합니다.

10

하이브리드 데이터 보안과 프록시를 통합하는 경우 프록시 서버 요구 사항을 충족하는지 확인하세요.

새 정보 및 변경된 정보

새 정보 및 변경된 정보

이 표는 새로운 기능 또는 기능, 기존의 콘텐츠에 대한 변경 사항 및 멀티 테넌트 하이브리드 데이터 보안의 배포 안내서에서 수정된 주요 오류를 설명합니다.

날짜

변경 사항 적용됨

2024년 12월 13일 목요일

첫 번째 릴리즈.

멀티 테넌트 하이브리드 데이터 보안 비활성화

멀티 테넌트 HDS 비활성화 작업 흐름

멀티 테넌트 HDS를 완전히 비활성화하려면 다음 단계를 따르십시오.

시작하기 전에

이 작업은 파트너 전체 관리자가 실행해야 합니다.
1

테넌트 조직 제거에서 언급한 대로 모든 클러스터에서 모든 고객을 제거합니다.

2

HDS에서 제거된 테넌트의 CMK 취소에서 언급한 대로 모든 고객의 CMK를 취소합니다.

3

노드 제거에서 언급한 대로 모든 클러스터에서 모든 노드를 제거합니다.

4

다음 두 가지 방법 중 하나를 사용하여 Partner Hub에서 모든 클러스터를 삭제합니다.

  • 삭제할 클러스터를 클릭하고 개요 페이지의 상단 오른쪽 모서리에서 이 클러스터 삭제 를 선택합니다.
  • 리소스 페이지에서 클러스터의 오른쪽에 있는 …을 클릭하고 클러스터 제거를 선택합니다.
5

하이브리드 데이터 보안 개요 페이지에서 설정 탭을 클릭하고 HDS 상태 카드에서 HDS 비활성화 를 클릭합니다.

멀티 테넌트 하이브리드 데이터 보안 시작하기

멀티 테넌트 하이브리드 데이터 보안 개요

처음부터 데이터 보안은 Webex 앱 설계에 있어 가장 중점적인 부분이었습니다. 이 보안의 토대는 KMS(Key Management Service)와 상호 작용하는 Webex 앱 클라이언트가 활성화하는 종단 간 콘텐츠 암호화입니다. KMS는 클라이언트가 메시지 및 파일을 동적으로 암호화하고 해독하는 데 사용하는 암호화 키를 만들고 관리합니다.

기본적으로 모든 Webex 앱 고객은 Cisco의 보안 영역에 있는 클라우드 KMS에 저장된 동적인 키로 종단 간 암호화를 사용합니다. 하이브리드 데이터 보안은 KMS 및 기타 보안 관련 기능을 기업의 데이터 센터로 이동시키기 때문에 암호화된 콘텐츠에는 귀하만 접근할 수 있습니다.

멀티 테넌트 하이브리드 데이터 보안 을 통해 조직은 신뢰할 수 있는 로컬 파트너를 통해 HDS를 활용할 수 있습니다. 이는 서비스 제공자 역할을 하고 온-프레미스 암호화 및 기타 보안 서비스를 관리할 수 있습니다. 이 설정을 통해 파트너 조직은 암호화 키의 배포 및 관리를 완전히 제어할 수 있으며, 고객 조직의 사용자 데이터가 외부 액세스로부터 안전한지 확인합니다. 파트너 조직은 필요에 따라 HDS 인스턴스를 설정하고 HDS 클러스터를 만듭니다. 각 인스턴스는 한 개의 조직으로 제한되는 일반 HDS 배포와 달리 다수의 고객 조직을 지원할 수 있습니다.

파트너 조직은 배포 및 관리를 제어할 수 있지만, 고객이 생성한 데이터 및 콘텐츠에 액세스할 수 없습니다. 이 액세스는 고객 조직 및 사용자로 제한됩니다.

또한 데이터 센터와 같은 주요 관리 서비스 및 보안 인프라가 신뢰할 수 있는 로컬 파트너가 소유하고 있기 때문에 소규모 조직이 HDS를 활용할 수도 있습니다.

멀티 테넌트 하이브리드 데이터 보안이 데이터 주권 및 데이터 제어를 제공하는 방법

  • 사용자가 생성한 콘텐츠는 클라우드 서비스 공급자와 같은 외부 액세스로부터 보호됩니다.
  • 로컬 신뢰할 수 있는 파트너는 이미 설정된 관계를 갖고 있는 고객의 암호화 키를 관리합니다.
  • 파트너가 제공하는 경우 로컬 기술 지원에 대한 옵션.
  • 미팅, 메시징 및 통화 콘텐츠를 지원합니다.

이 문서는 파트너 조직이 멀티 테넌트 하이브리드 데이터 보안 시스템에서 고객을 설정하고 관리할 수 있게 지원하기 위한 것입니다.

멀티 테넌트 하이브리드 데이터 보안의 역할

  • 파트너 전체 관리자 - 파트너가 관리하는 모든 고객에 대한 설정을 관리할 수 있습니다. 또한 조직의 기존 사용자에게 관리자 역할을 지정하고 파트너 관리자가 관리할 특정 고객을 지정할 수도 있습니다.
  • 파트너 관리자 - 관리자가 구축했거나 사용자에게 지정된 고객에 대한 설정을 관리할 수 있습니다.
  • 전체 관리자 - 조직 설정 수정, 라이센스 관리 및 역할 지정 등 작업을 수행할 수 있는 권한이 있는 파트너 조직의 관리자.
  • 모든 고객 조직의 종단 간 멀티 테넌트 HDS 설정 및 관리 - 파트너 전체 관리자 및 전체 관리자 권한이 필요합니다.
  • 지정된 테넌트 조직의 관리 - 파트너 관리자 및 전체 관리자 권한이 필요합니다.

보안 영역 아키텍처

Webex 클라우드 아키텍처는 아래와 같이 다른 유형의 서비스를 별도의 영역 또는 신뢰 도메인으로 구분합니다.

분리 영역 (하이브리드 데이터 보안 포함하지 않음)

하이브리드 데이터 보안을 더욱 잘 이해하기 위해 먼저 Cisco가 클라우드 영역에서 모든 기능을 제공하는 순수한 클라우드 사례를 살펴보겠습니다. 아이덴티티 서비스(사용자가 이메일 주소 등의 개인 정보와 직접 연관될 수 있는 유일한 장소)는 논리적, 물리적으로 데이터 센터 B에 있는 보안 영역과 분리됩니다. 따라서 두 부분 모두 데이터 센터 C에서 암호화된 콘텐츠가 궁극적으로 저장되는 영역과 분리됩니다.

이 다이어그램에서 클라이언트는 사용자의 노트북에서 실행되고 있는 Webex 앱이며, 아이덴티티 서비스로 인증되었습니다. 사용자가 스페이스에 보낼 메시지를 작성할 때 다음 단계가 실행됩니다.

  1. 클라이언트는 KMS(Key management service)를 사용하여 보안 연결을 설정한 후 메시지를 해독하기 위해 키를 요청합니다. 보안 연결은 ECDH를 사용하고, KMS는 AES-256 마스터 키를 사용하여 키를 암호화합니다.

  2. 메시지는 클라이언트에게 발송되기 전에 암호화됩니다. 클라이언트는 메시지를 인덱싱 서비스로 보내며, 여기에서 해당 콘텐츠에 대한 향후 검색에서 지원할 암호화된 검색 인덱스를 만듭니다.

  3. 암호화된 메시지는 규정 준수 확인을 위해 준수 서비스로 발송됩니다.

  4. 암호화된 메시지는 스토리지 영역에 저장됩니다.

하이브리드 데이터 보안을 배포할 때 보안 영역 기능(KMS, 인덱싱 및 규정 준수)을 온-프레미스 데이터 센터로 이동합니다. Webex를 구성하는 다른 클라우드 서비스(ID 및 콘텐츠 스토리지 포함)는 Cisco의 영역에 남아 있습니다.

다른 조직과 협업

조직에 있는 사용자는 정기적으로 Webex 앱을 사용하여 다른 조직에 있는 외부 참가자와 협업할 수도 있습니다. 해당 사용자가 귀하의 조직에서 소유하고 있는 스페이스에 대한 키를 요청하는 경우(귀사의 사용자 중의 한 명이 생성했기 때문), KMS는 ECDH 보안 채널을 통해 해당 클라이언트에게 키를 보냅니다. 단, 다른 조직에서 스페이스에 대한 키를 소유하고 있는 경우, KMS는 개별 ECDH 채널을 통해 요청을 WeBEX 클라우드로 라우트하여 적합한 KMS에서 키를 가져온 후 원래 채널에 있는 사용자에게 해당 키를 반환합니다.

조직 A에서 실행되고 있는 KMS 서비스는 X.509 PKI 인증서를 사용하여 다른 조직에서 KMS에 대한 연결을 검증합니다. 멀티 테넌트 하이브리드 데이터 보안 배포에서 사용할 x.509 인증서 생성에 대한 자세한 내용은 환경 준비 를 참조하십시오.

하이브리드 데이터 보안 배포에 대해 예상되는 부분

하이브리드 데이터 보안 배포에는 암호화 키를 소유하고 있는 위험성에 대한 확고한 약속과 인식이 필요합니다.

하이브리드 데이터 보안을 배포하려면 다음 항목을 제공해야 합니다.

하이브리드 데이터 보안에 대해 빌드하는 구성 ISO나 제공하는 데이터베이스를 완전히 잃으면 키를 잃게 됩니다. 키 손실은 사용자가 Webex 앱에서 스페이스 콘텐츠 및 기타 암호화된 데이터를 해독하지 못하게 합니다. 이러한 경우, 새로운 배포를 빌드할 수 있지만 새로운 콘텐츠만 표시됩니다. 데이터로의 액세스를 잃지 않으려면 다음을 실행하십시오.

  • 데이터베이스 및 구성 ISO의 백업 및 복구를 관리합니다.

  • 데이터베이스 디스크 오류 또는 데이터 센터 장애 등 재해가 발생할 경우 빠른 장애 복구를 수행할 수 있도록 준비하십시오.

HDS 배포 후 키를 다시 클라우드로 이동하는 메커니즘은 없습니다.

고급 설정 프로세스

이 문서는 멀티 테넌트 하이브리드 데이터 보안 배포의 설정 및 관리를 다룹니다.

  • 하이브리드 데이터 보안 설정—여기에는 필수 인프라 준비 및 하이브리드 데이터 보안 소프트웨어 설치, HDS 클러스터 만들기, 테넌트 조직을 클러스터에 추가 및 고객 기본 키(CMK) 관리 등이 포함됩니다. 이는 고객 조직의 모든 사용자가 보안 기능에 대해 하이브리드 데이터 보안 클러스터를 사용할 수 있게 합니다.

    설정, 활성화 및 관리 단계는 다음 세 장에서 자세히 다룹니다.

  • 하이브리드 데이터 보안 배포 유지—Webex 클라우드는 진행 중인 업그레이드를 자동으로 제공합니다. IT 부서는 이 배포에 대한 1단계 지원을 제공하고, 필요에 따라 Cisco 고객 지원과 작업할 수 있습니다. Partner Hub에서 화면에 알림을 사용하고 이메일 기반 경고를 설정할 수 있습니다.

  • 공통 경고, 문제 해결하기 단계 및 알려진 문제 이해하기—하이브리드 데이터 보안을 배포하거나 사용하는 데 문제가 발생하는 경우, 이 안내서의 마지막 장 및 알려진 문제 부록은 문제를 파악하고 수정하는 데 도움이 될 수 있습니다.

하이브리드 데이터 보안 배포 모델

기업 데이터 센터 내에서 개별 가상 호스트에 하이브리드 데이터 보안을 한 개의 노드로 배포합니다. 노드는 보안 웹소켓 및 보안 HTTP를 통해 Webex 클라우드와 통신합니다.

설치 과정 중에 귀하가 제공하는 VM에 가상 기기를 설정하기 위한 OVA 파일을 제공합니다. HDS Setup 도구를 사용하여 각 노드에서 마운트한 사용자 정의 클러스터 구성 ISO 파일을 만듭니다. 하이브리드 데이터 보안 클러스터는 제공된 Syslogd 서버 및 PostgreSQL 또는 Microsoft SQL Server 데이터베이스를 사용합니다. (HDS 설정 도구에서 Syslogd 및 데이터베이스 연결 세부 정보를 구성합니다.)

하이브리드 데이터 보안 배포 모델

한 개의 클러스터에 포함할 수 있는 최소한의 노드 수는 2개입니다. 클러스터당 최소한 세 개를 권장합니다. 여러 노드를 사용하면 노드에서 소프트웨어 업그레이드 또는 기타 유지관리 활동 중에 서비스가 중단되지 않도록 합니다. (Webex 클라우드는 한 번에 한 개의 노드만 업그레이드합니다.)

클러스터에 있는 모든 노드는 동일한 키 데이터스토어에 액세스하고, 동일한 시스로그 서버에 활동을 로그합니다. 노드 자체는 상태를 저장하지 않으며, 클라우드에서 디렉트된 대로 라운드 로빈 방법으로 키 요청을 처리합니다.

Partner Hub에서 노드를 등록하면 노드가 활성화됩니다. 개별 노드의 서비스를 중단시키려면 등록 해제하고 나중에 필요할 때 다시 등록할 수 있습니다.

재해 복구를 위한 대기 데이터 센터

배포 중에 보안 대기 데이터 센터를 설정합니다. 데이터 센터 장애 발생 시 대기 데이터 센터로 수동으로 배포를 실패할 수 있습니다.

장애 조치 전에 데이터 센터 A에 활성 HDS 노드 및 기본 PostgreSQL 또는 Microsoft SQL Server 데이터베이스가 있는 반면, B에 추가 구성이 포함된 ISO 파일의 사본, 조직에 등록된 VM 및 대기 데이터베이스가 있습니다. 장애 조치 후 데이터 센터 B에는 활성 HDS 노드 및 기본 데이터베이스가 있는 반면, A에 등록 해제된 VM 및 ISO 파일의 사본이 있으며, 데이터베이스는 대기 모드입니다.
대기 데이터 센터에 수동 장애 조치

활동 중 및 대기 데이터 센터의 데이터베이스가 서로 동기화되어 장애 조치를 수행하는 데 소요되는 시간을 최소화합니다.

활동 중인 하이브리드 데이터 보안 노드는 항상 활동 중인 데이터베이스 서버와 동일한 데이터 센터에 위치해야 합니다.

프록시 지원

하이브리드 데이터 보안은 명시적, 투명 검사 및 비-검사 프록시를 지원합니다. 해당 프록시를 배포에 연결하여 기업에서 클라우드로의 트래픽을 안전하게 보호하고 모니터링할 수 있습니다. 인증서 관리에 대해 노드에서 플랫폼 관리 인터페이스를 사용하고, 노드에서 프록시를 설정한 후 전반적인 연결 상태를 확인하기 위해 사용할 수 있습니다.

하이브리드 데이터 보안 노드는 다음 프록시 옵션을 지원합니다.

  • 프록시 없음—프록시를 통합하기 위해 HDS 노드 설정 신뢰 저장소 및 프록시 구성을 사용하지 않는 경우의 기본값입니다. 인증서를 업데이트하지 않아도 됩니다.

  • 투명 비-검사 프록시—노드가 특정 프록시 서버 주소를 사용하도록 구성되지 않았으며, 비-검사 프록시에서 작동하도록 변경하지 않아도 됩니다. 인증서를 업데이트하지 않아도 됩니다.

  • 투명 터널링 또는 검사 프록시—노드가 특정 프록시 서버 주소를 사용하도록 구성되지 않았습니다. 노드에서 HTTP 또는 HTTPS 구성을 변경하지 않아도 됩니다. 단, 노드에 루트 인증서가 있어야 프록시를 신뢰할 수 있습니다. 일반적으로 검사 프록시는 IT가 어떤 웹사이트를 방문할 수 있는지 및 어떤 유형의 콘텐츠가 허용되는지에 대한 정책을 적용하기 위해 사용됩니다. 이러한 유형의 프록시는 모든 트래픽(HTTPS 포함)을 해독합니다.

  • 명시적 프록시—명시적 프록시를 사용하여 HDS 노드에 어떤 프록시 서버 및 인증 체계를 사용하는지 알립니다. 명시적 프록시를 구성하려면 각 노드에 다음 정보를 입력해야 합니다.

    1. 프록시 IP/FQDN—프록시 머신에 연결하기 위해 사용될 수 있는 주소입니다.

    2. 프록시 포트—프록시가 프록시된 트래픽을 수신하기 위해 사용하는 포트 번호입니다.

    3. 프록시 프로토콜—프록시 서버에서 지원하는 내용에 따라 다음 프로토콜 중에서 선택합니다.

      • HTTP—클라이언트가 전송하는 모든 요청을 확인하고 제어합니다.

      • HTTPS—서버에 채널을 제공합니다. 클라이언트는 서버의 인증서를 수신하고 유효성을 검증합니다.

    4. 인증 유형—다음 인증 유형 중에서 선택합니다.

      • 없음—추가 인증이 필요하지 않습니다.

        HTTP 또는 HTTPS를 프록시 프로토콜로 선택하는 경우에 사용할 수 있습니다.

      • 기본—요청을 할 때 HTTP 사용자 에이전트가 사용자 이름 및 비밀번호를 제공하기 위해 사용됩니다. Base64 인코딩을 사용합니다.

        HTTP 또는 HTTPS를 프록시 프로토콜로 선택하는 경우에 사용할 수 있습니다.

        각 노드에서 사용자 이름 및 비밀번호를 입력하도록 요구합니다.

      • 다이제스트—민감한 정보를 보내기 전에 계정을 확인하기 위해 사용됩니다. 네트워크를 통해 전송하기 전에 사용자 이름 및 비밀번호에 해시 기능을 적용합니다.

        HTTPS를 프록시 프로토콜로 선택하는 경우에만 사용할 수 있습니다.

        각 노드에서 사용자 이름 및 비밀번호를 입력하도록 요구합니다.

하이브리드 데이터 보안 노드 및 프록시의 예제

이 다이어그램은 하이브리드 데이터 보안, 네트워크 및 프록시 간의 예제 연결을 표시합니다. 투명 검사 및 HTTPS 명시적 검사 프록시 옵션에 대해 프록시 및 하이브리드 데이터 보안 노드에 동일한 루트 인증서가 설치되어 있어야 합니다.

차단된 외부 DNS 확인 모드 끄기 (명시적 프록시 구성)

노드를 등록하거나 노드의 프록시 구성을 확인할 때 프로세스는 Cisco Webex 클라우드에 대한 DNS 조회 및 연결을 테스트합니다. 내부 클라이언트에 대해 외부 DNS 확인을 허용하지 않는 명시적인 프록시 구성이 포함된 배포에서 노드가 DNS 서버를 쿼리할 수 없는 경우, 이는 자동으로 차단된 외부 DNS 확인 모드로 지정됩니다. 이 모드에서 노드 등록 및 다른 프록시 연결 테스트를 진행할 수 있습니다.

환경 준비

멀티 테넌트 하이브리드 데이터 보안의 요구 사항

Cisco Webex 라이센스 요구 사항

멀티 테넌트 하이브리드 데이터 보안을 배포하려면:

  • 파트너 조직: Cisco 파트너 또는 계정 관리자에게 연락하고 멀티 테넌트 기능이 활성화되었는지 확인하십시오.

  • 테넌트 조직: Cisco Webex Control Hub용 Pro Pack을 사용해야 합니다. (참조: https://www.cisco.com/go/pro-pack)

Docker 데스크탑 요구 사항

HDS 노드를 설치하기 전에 설치 프로그램을 실행하려면 Docker 데스크탑이 필요합니다. Docker는 최근 라이센싱 모델을 업데이트했습니다. 조직에서 Docker 데스크탑에 대해 유료 가입을 요구할 수도 있습니다. 자세한 내용은 Docker 블로그 게시물 " Docker가 업데이트 중 및 제품 가입 연장하기를 참조합니다.

X.509 인증서 요구 사항

인증서 체인은 다음 요구 사항을 충족해야 합니다.

표 1. 하이브리드 데이터 보안 배포를 위한 X.509 인증서 요구 사항

요구 사항

세부 정보

  • 신뢰할 수 있는 인증 기관(CA)에서 서명함

기본적으로 Mozilla 목록에 있는 CA를 https://wiki.mozilla.org/CA:IncludedCAs에서 신뢰합니다(WoSign 및 StartCom 예외).

  • 하이브리드 데이터 보안 배포를 식별하는 CN(Common Name) 도메인 이름을 나타냅니다.

  • 와일드카드 인증서가 아님

CN은 연결되어야 하거나, 실시간 호스트일 필요가 없습니다. 조직을 반영하는 이름을 사용할 것을 권장합니다. 예: hds.company.com

CN에는 *(와일드카드)를 포함할 수 없습니다.

CN은 Webex 앱 클라이언트에 대해 하이브리드 데이터 보안 노드를 확인하기 위해 사용됩니다. 클러스터에 있는 모든 하이브리드 데이터 보안 노드는 동일한 인증서를 사용합니다. KMS는 x.509v3 SAN 필드에 정의된 도메인이 아닌 CN 도메인을 사용하여 자체적으로 식별합니다.

이 인증서를 사용하여 노드를 등록하면 CN 도메인 이름에 대한 변경을 지원하지 않습니다.

  • Non-SHA1 signature

KMS 소프트웨어는 다른 조직의 KMS에 연결을 확인하는 작업에 대해 SHA1 서명을 지원하지 않습니다.

  • 비밀번호로 보호된 PKCS #12 파일로 형식화됨

  • kms-private-key의 알기 쉬운 이름을 사용하여 인증서, 비공개 키 및 업로드할 중간 인증서에 태그를 지정합니다.

OpenSSL 등의 변환기를 사용하여 인증서 형식을 변경할 수 있습니다.

HDS 설정 도구를 실행할 때 비밀번호를 입력해야 합니다.

KMS 소프트웨어는 키 사용 또는 확장된 키 사용 제한을 강요하지 않습니다. 일부 인증 기관에서는 각 인증서에 서버 인증과 같은 확장된 키 사용 제한을 적용하도록 요구합니다. 서버 인증 또는 기타 설정을 사용해도 괜찮습니다.

가상 호스트 요구 사항

클러스터에서 하이브리드 데이터 보안 노드로 설정할 가상 호스트에는 다음 요구 사항이 있습니다.

  • 동일한 보안 데이터 센터에 최소한 두 개의 개별 호스트(3개 권장됨)가 배치됨

  • VMware ESXi 6.5(또는 이상)이 설치되고 실행 중입니다.

    이전 버전의 ESXi가 있는 경우 업그레이드해야 합니다.

  • 최소 4개 vCPU, 8GB 기본 메모리, 서버당 30GB 로컬 하드 디스크 공간

데이터베이스 서버 요구 사항

키 스토리지에 대한 새 데이터베이스를 만듭니다. 기본 데이터베이스를 사용하지 마십시오. HDS 응용프로그램을 설치하면 데이터베이스 스키마가 생성됩니다.

데이터베이스 서버에는 두 가지 옵션이 있습니다. 각 요구 사항은 다음과 같습니다.

표 2. 데이터베이스 유형별 데이터베이스 서버 요구 사항

PostgreSQL의

Microsoft SQL 서버

  • PostgreSQL 14, 15 또는 16 설치 및 실행.

  • SQL Server 2016, 2017 또는 2019(기업 또는 표준)이 설치되었습니다.

    SQL Server 2016에는 서비스 팩 2 및 누적 업데이트 2 이상이 필요합니다.

최소 8개 vCPU, 16GB 메인 메모리, 충분한 하드 디스크 공간 및 초과하지 않도록 모니터링(스토리지를 늘리지 않고도 장기간 데이터베이스를 실행하려는 경우 2TB 권장됨)

최소 8개 vCPU, 16GB 메인 메모리, 충분한 하드 디스크 공간 및 초과하지 않도록 모니터링(스토리지를 늘리지 않고도 장기간 데이터베이스를 실행하려는 경우 2TB 권장됨)

현재 HDS 소프트웨어는 데이터베이스 서버와의 통신을 위해 다음 드라이버 버전을 설치합니다.

PostgreSQL의

Microsoft SQL 서버

Postgres JDBC 드라이버 42.2.5

SQL 서버 JDBC 드라이버 4.6

이 드라이버 버전은 SQL Server 항상 켜기(페일오버 클러스터 인스턴스 항상 켜기가용성 그룹 항상 켜기)를 지원합니다.

Microsoft SQL Server에 대한 Windows 인증에 대한 추가 요구 사항

HDS 노드가 Windows 인증을 사용하여 Microsoft SQL Server에서 키 저장소 데이터베이스에 액세스하도록 하려는 경우, 환경에서 다음 구성이 필요합니다.

  • HDS 노드, Active Directory 인프라 및 MS SQL 서버는 모두 NTP와 동기화되어야 합니다.

  • HDS 노드에 제공하는 Windows 계정은 데이터베이스에 대한 읽기/쓰기 액세스 권한이 있어야 합니다.

  • HDS 노드에 제공하는 DNS 서버는 KDC(Key Distribution Center)를 확인할 수 있어야 합니다.

  • Microsoft SQL Server의 HDS 데이터베이스 인스턴스를 Active Directory의 SPN(Service Principal Name)으로 등록할 수 있습니다. Kerberos 연결에 대해 서비스 기본 이름 등록을 참조하십시오.

    HDS 설정 도구, HDS 실행기 및 로컬 KMS는 모두 Windows 인증을 사용하여 키 저장소 데이터베이스에 액세스해야 합니다. Kerberos 인증으로 액세스를 요청할 때 ISO 구성의 세부 정보를 사용하여 SPN을 구성합니다.

외부 연결 요구 사항

HDS 응용프로그램에 대해 다음 연결을 허용하도록 방화벽을 구성합니다.

응용프로그램

프로토콜

포트

앱에서 방향

대상

하이브리드 데이터 보안 노드

TCP

443

아웃바운드 HTTPS 및 WSS

  • Webex 서버:

    • *.wbx2.com

    • *.ciscospark.com

  • 모든 공통 ID 호스트

  • Webex 서비스의 네트워크 요구 사항Webex 하이브리드 서비스의 추가 URL 표에 하이브리드 데이터 보안에 나열된 기타 URL

HDS 설정 도구

TCP

443

아웃바운드 HTTPS

  • *.wbx2.com

  • 모든 공통 ID 호스트

  • hub.docker.com

NAT 또는 방화벽이 앞의 표에 있는 도메인 대상에 필요한 아웃바운드 연결을 허용하는 한, 하이브리드 데이터 보안 노드는 네트워크 액세스 변환(NAT) 또는 방화벽 내에서 작동합니다. 하이브리드 데이터 보안 노드로 인바운드되는 연결에 대해서는 인터넷에서 포트가 표시되지 말아야 합니다. 데이터 센터 내에서 클라이언트는 관리의 목적을 위해 TCP 포트 443 및 22에서 하이브리드 데이터 보안 노드에 액세스해야 합니다.

CI(공통 ID) 호스트에 대한 URL은 지역별로 다릅니다. 현재 CI 호스트는 다음과 같습니다.

지역

공통 ID 호스트 URL

미주

  • https://idbroker.webex.com

  • https://identity.webex.com

  • https://idbroker-b-us.webex.com

  • https://identity-b-us.webex.com

유럽 연합

  • https://idbroker-eu.webex.com

  • https://identity-eu.webex.com

캐나다

  • https://idbroker-ca.webex.com

  • https://identity-ca.webex.com

싱가포르

  • https://idbroker-sg.webex.com

  • https://identity-sg.webex.com

아랍에미리트

  • https://idbroker-ae.webex.com

  • https://identity-ae.webex.com

프록시 서버 요구 사항

  • 하이브리드 데이터 보안 노드에 통합할 수 있는 다음 프록시 솔루션을 공식적으로 지원합니다.

  • 명시적 프록시에 대해 다음 인증 유형 조합을 지원합니다.

    • HTTP 또는 HTTPS로 인증하지 않음

    • HTTP 또는 HTTPS로 기본 인증

    • HTTPS로만 다이제스트 인증

  • 투명 검사 프록시 또는 HTTPS 명시적 프록시에 대해 프록시 루트 인증서의 복사본이 있어야 합니다. 이 안내서의 배포 지시 사항은 하이브리드 데이터 보안 노드의 신뢰 저장소에 사본을 업로드하는 방법을 설명합니다.

  • HDS 노드를 호스트하는 네트워크는 포트 443의 아웃바운드 TCP 트래픽이 프록시를 통해 라우팅하도록 구성되어야 합니다.

  • 웹 트래픽을 검사하는 프록시는 웹 소켓 연결을 방해할 수도 있습니다. 이 문제가 발생하는 경우, wbx2.comciscospark.com에 대한 트래픽을 우회(검사하지 않음)하면 문제를 해결할 수 있습니다.

하이브리드 데이터 보안에 대한 전제 조건 완료

이 검사 목록을 사용하여 하이브리드 데이터 보안 클러스터를 설치하고 구성할 준비가 되었는지 확인하십시오.
1

파트너 조직에 멀티 테넌트 HDS 기능이 활성화되었는지 확인하고 파트너 전체 관리자 및 전체 관리자 권한이 있는 계정의 자격 증명을 확보하십시오. Webex 고객 조직이 Cisco Webex Control Hub용 Pro Pack에 대해 활성화되었는지 확인하십시오. 이 과정에 대해 지원을 받으려면 Cisco 파트너 또는 계정 관리자에게 연락하십시오.

고객 조직에는 기존의 HDS 배포가 없어야 합니다.

2

HDS 배포에 대한 도메인 이름(예: hds.company.com)을 선택하고 X.509 인증서, 비공개 키 및 중간 인증서를 포함하는 인증서 체인을 확보합니다. 인증서 체인은 X.509 인증서 요구 사항에 있는 요구 사항을 충족해야 합니다.

3

클러스터에서 하이브리드 데이터 보안 노드로 설정할 동일한 가상 호스트를 준비하십시오. 가상 호스트 요구 사항의 요구 사항을 충족하는 동일한 보안 데이터 센터에 최소한 두 개의 개별 호스트(권장되는 3개)가 있어야 합니다.

4

데이터베이스 서버 요구 사항에 따라 클러스터에 대한 키 데이터 저장소 역할을 할 데이터베이스 서버를 준비합니다. 데이터베이스 서버는 가상 호스트와 함께 보안 데이터 센터에 위치해야 합니다.

  1. 키 스토리지에 대한 데이터베이스를 생성합니다. (이 데이터베이스를 만들어야 합니다. 기본 데이터베이스를 사용하지 마십시오. HDS 응용프로그램을 설치하면 데이터베이스 스키마가 생성됩니다.)

  2. 노드가 데이터베이스 서버와 통신하는 데 사용할 세부 사항을 수집하십시오.

    • 호스트 이름 또는 IP 주소 (호스트) 및 포트

    • 키 스토리지에 대한 데이터베이스의 이름(dbname)

    • 키 스토리지 데이터베이스에서 모든 권한을 가진 사용자의 사용자이름 및 비밀번호

5

빠른 장애 복구를 위해 다른 데이터 센터에 백업 환경을 설정합니다. 백업 환경은 VM과 백업 데이터베이스 서버의 프로덕션 환경을 반영합니다. 예를 들어, 프로덕션에 HDS 노드를 실행하는 3개의 VM이 있으면 백업 환경에도 3개의 VM이 있어야 합니다.

6

클러스터에 있는 노드에서 로그를 수집하도록 시스로그 호스트를 설정하십시오. 네트워크 주소 및 시스로그 포트를 수집합니다(기본값은 UDP 514).

7

하이브리드 데이터 보안 노드, 데이터베이스 서버 및 syslog 호스트에 대한 보안 백업 정책을 만듭니다. 복구할 수 없는 데이터 손실을 방지하기 위해 하이브리드 데이터 보안 노드에 대해 생성된 데이터베이스 및 구성 ISO 파일을 백업해야 합니다.

하이브리드 데이터 보안 노드는 콘텐츠의 암호화 및 해독에 사용되는 키를 저장하기 때문에 운영 중인 배포를 유지하지 못하면 해당 콘텐츠의 복구할 수 없는 손실 으로 이어질 수 있습니다.

Webex 앱 클라이언트는 키를 캐시하므로 정전이 즉시 눈에 띄지 않지만 시간이 지남에 따라 눈에 띄게 됩니다. 일시적인 중단은 예방할 수 없지만, 복구는 가능합니다. 그러나 데이터베이스 또는 구성 ISO 파일을 완전한 유실하면(사용할 수 있는 백업 없음) 고객 데이터를 복구할 수 없게 됩니다. 하이브리드 데이터 보안 노드의 운영자는 데이터베이스 및 구성 ISO 파일의 빈번한 백업을 유지하고, 치명적인 오류가 발생할 경우 하이브리드 데이터 보안 데이터 센터를 다시 빌드할 준비가 되어야 합니다.

8

방화벽 구성에서 외부 연결 요구 사항에 설명된 대로 하이브리드 데이터 보안 노드에 대한 연결을 허용하는지 확인합니다.

9

지원되는 OS(Microsoft Windows 10 Professional 또는 Enterprise 64비트 또는 Mac OSX Yosemite 10.10.3 이상)를 실행하는 로컬 머신에 Docker( https://www.docker.com)를 http://127.0.0.1:8080.에서 액세스할 수 있는 웹 브라우저를 설치합니다.

Docker 인스턴스를 사용하여 모든 하이브리드 데이터 보안 노드에 대한 로컬 구성 정보를 빌드하는 HDS 설정 도구를 다운로드하고 실행합니다. Docker 데스크탑 라이센스가 필요할 수 있습니다. 자세한 정보는 Docker 데스크탑 요구 사항 을 참조하십시오.

HDS 설정 도구를 설치하고 실행하려면 로컬 머신에 외부 연결 요구 사항에 설명된 연결이 있어야 합니다.

10

하이브리드 데이터 보안에 프록시를 통합하는 경우, 프록시 서버 요구 사항을 충족하는지 확인하십시오.

하이브리드 데이터 보안 클러스터 설정

하이브리드 데이터 보안 배포 작업 흐름

시작하기 전에

1

초기 설정을 수행하고 설치 파일 다운로드

나중에 사용할 수 있도록 OVA 파일을 로컬 머신으로 다운로드합니다.

2

HDS 호스트에 대해 구성 ISO 만들기

HDS 설정 도구를 사용하여 하이브리드 데이터 보안 노드에 대한 ISO 구성 파일을 만듭니다.

3

HDS 호스트 OVA 설치

OVA 파일에서 가상 머신을 만들고 네트워크 설정과 같은 초기 구성을 수행합니다.

OVA 배포 중 네트워크 설정을 구성하는 옵션은 ESXi 6.5에서 테스트되었습니다. 이전 버전에서 해당 옵션을 사용하지 못할 수도 있습니다.

4

하이브리드 데이터 보안 VM 설정

VM 콘솔에 로그인하고 로그인 자격 증명을 설정합니다. OVA 배포 시 구성하지 않은 경우 노드에 대한 네트워크 설정을 구성합니다.

5

HDS 구성 ISO 업로드 및 마운트

HDS 설정 도구를 사용하여 만든 ISO 구성 파일에서 VM을 구성합니다.

6

프록시 통합에 대해 HDS 노드 구성

네트워크 환경에 프록시 구성이 필요한 경우 노드에 사용할 프록시의 유형을 지정하고 필요에 따라 프록시 인증서를 신뢰 저장소에 추가합니다.

7

클러스터에서 첫 번째 노드 등록

하이브리드 데이터 보안 노드로 Cisco Webex 클라우드에 VM을 등록합니다.

8

추가 노드를 만들고 등록

클러스터 설정을 완료하십시오.

9

Partner Hub에서 멀티 테넌트 HDS를 활성화합니다.

Partner Hub에서 HDS를 활성화하고 테넌트 조직을 관리합니다.

초기 설정을 수행하고 설치 파일 다운로드

이 작업에서 OVA 파일을 컴퓨터에 다운로드합니다(하이브리드 데이터 보안 노드로 설정한 서버가 아님). 나중에 이 파일을 설치 프로세스에서 사용합니다.

1

Partner Hub에 로그인한 후 서비스를 클릭합니다.

2

클라우드 서비스 섹션에서 하이브리드 데이터 보안 카드를 찾은 후 설정을 클릭합니다.

3

리소스 추가 를 클릭하고 소프트웨어 설치 및 구성 카드에서 .OVA 파일 다운로드 를 클릭합니다.

이전 버전의 소프트웨어 패키지(OVA)는 최신 하이브리드 데이터 보안 업그레이드와 호환되지 않습니다. 이는 응용프로그램을 업그레이드하는 동안 문제가 발생할 수 있습니다. 최신 버전의 OVA 파일을 다운로드했는지 확인하십시오.

도움말 섹션에서 언제든지 OVA를 다운로드할 수도 있습니다. 설정 > 도움말 > 하이브리드 데이터 보안 소프트웨어 다운로드를 클릭합니다.

OVA 파일이 자동으로 다운로드되기 시작합니다. 머신에 있는 위치에 파일을 저장합니다.
4

선택적으로, 하이브리드 데이터 보안 배포 안내서 보기 를 클릭하여 이 안내서의 이후 버전을 사용할 수 있는지 확인합니다.

HDS 호스트에 대해 구성 ISO 만들기

하이브리드 데이터 보안 설정 프로세스는 ISO 파일을 만듭니다. 그 후 ISO를 사용하여 하이브리드 데이터 보안 호스트를 구성합니다.

시작하기 전에
1

머신의 명령줄에 사용자 환경에 적합한 명령을 입력합니다.

일반 환경:

docker rmi ciscocitg/hds-setup:안정

FedRAMP 환경:

도커 rmi ciscocitg/hds-setup-fedramp:stable

이 단계에서는 이전 HDS 설정 도구 이미지를 정리합니다. 이전 이미지가 없는 경우 무시할 수 있는 오류를 반환합니다.

2

Docker 이미지 레지스트리에 로그인하려면 다음을 입력합니다.

도커 로그인 -u hdscustomersro
3

비밀번호 프롬프트에 이 해시를 입력합니다.

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo는
4

사용자 환경에 맞는 최신 안정 이미지를 다운로드합니다.

일반 환경:

docker pull ciscocitg/hds-setup:안정

FedRAMP 환경:

docker pull ciscocitg/hds-setup-fedramp:안정
5

풀이 완료되면 사용자 환경에 적합한 명령을 입력합니다.

  • 프록시가 없는 일반 환경:

    도커 실행 -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

  • HTTP 프록시가 있는 일반 환경:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • HTTPS 프록시가 있는 일반 환경에서는:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • 프록시가 없는 FedRAMP 환경:

    도커 실행 -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • HTTP 프록시가 있는 FedRAMP 환경:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • HTTPS 프록시가 있는 FedRAMP 환경:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

컨테이너가 실행 중일 때 "포트 8080에서 수신하는 Express 서버"가 표시됩니다.

6

설정 도구는 http://localhost:8080을 통해 localhost에 연결하는 것을 지원하지 않습니다. http://127.0.0.1:8080 을(를) 사용하여 로컬 호스트에 연결합니다.

웹 브라우저를 사용하여 localhost, http://127.0.0.1:8080(으)로 이동하고 프롬프트에 Partner Hub의 관리 사용자 이름을 입력합니다.

이 도구는 사용자 이름의 이 첫 번째 항목을 사용하여 해당 계정에 적합한 환경을 설정합니다. 그런 다음 도구는 표준 로그인 프롬프트를 표시합니다.

7

안내를 받으면 Partner Hub 관리자 로그인 자격 증명을 입력한 후 로그인 을 클릭하여 하이브리드 데이터 보안에 필요한 서비스에 대한 액세스를 허용합니다.

8

설정 도구 개요 페이지에서 시작하기를 클릭합니다.

9

ISO 가져오기 페이지에 다음 옵션이 있습니다.

  • 아니요—첫 번째 HDS 노드를 만드는 경우, 업로드할 ISO 파일이 없습니다.
  • —HDS 노드를 이미 만든 경우, 찾아보기에서 ISO 파일을 선택하고 업로드합니다.
10

X.509 인증서가 X.509 인증서 요구 사항의 요구 사항을 충족하는지 확인합니다.

  • 이전에 인증서를 업로드하지 않은 경우, X.509 인증서를 업로드하고 비밀번호를 입력한 후 계속을 클릭합니다.
  • 인증서가 올바른 경우, 계속을 클릭합니다.
  • 인증서가 만료되었거나 교체하려는 경우, 이전 ISO에서 HDS 인증서 체인 및 비공개 키를 계속 사용? 에 대해 아니요를 선택합니다. 새로운 X.509 인증서를 업로드하고 비밀번호를 입력한 후 계속을 클릭합니다.
11

키 데이터 저장소에 액세스하기 위해 HDS의 데이터베이스 주소 및 계정을 입력합니다.

  1. 데이터베이스 유형 (PostgreSQL 또는 Microsoft SQL Server)을 선택합니다.

    Microsoft SQL Server를 선택하는 경우, 인증 유형 필드가 나타납니다.

  2. (Microsoft SQL Server 전용) 인증 유형을 선택합니다.

    • 기본 인증: 사용자이름 필드에 로컬 SQL Server 계정 이름이 필요합니다.

    • Windows 인증: 사용자이름 필드에 username@DOMAIN 형식의 Windows 계정이 필요합니다.

  3. 데이터베이스 서버 주소를 : 또는 : 형식으로 입력합니다.

    예:
    dbhost.example.org:1433 또는 198.51.100.17:1433

    노드에서 DNS를 사용하여 호스트 이름을 확인할 수 없는 경우 기본 인증에 대해 IP 주소를 사용할 수 있습니다.

    Windows 인증을 사용하고 있는 경우, 정규화된 도메인 이름을 dbhost.example.org:1433 형식으로 입력해야 합니다.

  4. 데이터베이스 이름을 입력합니다.

  5. 키 스토리지 데이터베이스에서 모든 권한이 있는 사용자의 사용자이름비밀번호 를 입력합니다.

12

TLS 데이터베이스 연결 모드를 선택합니다.

모드

설명

TLS 선호 (기본 옵션)

HDS 노드에서 TLS가 데이터베이스 서버에 연결하도록 요구하지 않습니다. 데이터베이스 서버에서 TLS를 활성화하는 경우 노드는 암호화된 연결을 시도합니다.

TLS 필요

데이터베이스 서버에서 TLS를 협상할 수 있는 경우에만 HDS 노드를 연결합니다.

TLS 필요 및 인증서 서명자 확인

이 모드는 SQL Server 데이터베이스에는 적용되지 않습니다.

  • 데이터베이스 서버에서 TLS를 협상할 수 있는 경우에만 HDS 노드를 연결합니다.

  • TLS 연결을 설정한 후 노드는 데이터베이스 서버에서 인증서의 서명자를 데이터베이스 루트 인증서에 있는 인증 기관과 비교합니다. 해당 정보가 일치하지 않으면 노드는 연결을 끊습니다.

이 옵션에 대해 루트 인증서를 업로드하려면 드롭다운 아래에 있는 데이터베이스 루트 인증서 제어를 사용하십시오.

TLS 필요 및 인증서 서명자, 호스트 이름 확인

  • 데이터베이스 서버에서 TLS를 협상할 수 있는 경우에만 HDS 노드를 연결합니다.

  • TLS 연결을 설정한 후 노드는 데이터베이스 서버에서 인증서의 서명자를 데이터베이스 루트 인증서에 있는 인증 기관과 비교합니다. 해당 정보가 일치하지 않으면 노드는 연결을 끊습니다.

  • 노드는 서버 인증서의 호스트 이름이 데이터베이스 호스트 및 포트 필드에 있는 호스트 이름과 일치하는지 확인합니다. 이름은 정확히 일치해야 하며, 그렇지 않으면 노드가 연결을 끊습니다.

이 옵션에 대해 루트 인증서를 업로드하려면 드롭다운 아래에 있는 데이터베이스 루트 인증서 제어를 사용하십시오.

루트 인증서를 업로드하고(필요한 경우) 계속을 클릭하면 HDS 설정 도구는 데이터베이스 서버에 대한 TLS 연결을 테스트합니다. 해당 도구는 인증서 서명자 및 호스트 이름도 확인합니다(해당하는 경우). 테스트가 실패하면 도구에서 문제를 설명하는 오류 메시지를 표시합니다. 오류를 무시할지 선택하고 설정을 계속할 수 있습니다. (연결성 차이로 인해 HDS 설정 도구 머신에서 성공적으로 테스트할 수 없는 경우에도 HDS 노드는 TLS 연결을 설정할 수 있습니다.)

13

시스템 로그 페이지에서 Syslogd 서버를 구성합니다.

  1. syslog 서버 URL을 입력합니다.

    서버가 HDS 클러스터에 대한 노드에서 DNS를 확인할 수 없는 경우 URL에 있는 IP 주소를 사용합니다.

    예:
    udp://10.92.43.23:514 는 UDP 포트 514에서 Syslogd 호스트 10.92.43.23에 대한 로깅을 가리킵니다.

  2. TLS 암호화를 사용하도록 서버를 설정한 경우, SSL 암호화에 대해 syslog 서버가 구성되었습니까?를 체크합니다.

    이 확인란을 선택하는 경우, tcp://10.92.43.23:514와 같은 TCP URL을 입력해야 합니다.

  3. syslog 녹화 종료 선택 드롭다운에서 ISO 파일에 적합한 설정을 선택합니다. Graylog 및 Rsyslog TCP에 대해 선택하거나 새로 고침을 사용합니다.

    • Null 바이트 -- \x00

    • 새로 고침 -- \n—Graylog 및 Rsyslog TCP에 대해 이 옵션을 선택합니다.

  4. 계속을 클릭합니다.

14

(선택 사항) 고급 설정에서 일부 데이터베이스 연결 파라미터에 대한 기본값을 변경할 수 있습니다. 일반적으로 이 파라미터는 변경할 수 있는 유일한 파라미터입니다.

app_datasource_connection_pool_max크기: 10
15

서비스 계정 비밀번호 재설정 화면에서 계속 을 클릭합니다.

서비스 계정 비밀번호의 수명은 9개월입니다. 비밀번호가 곧 만료되거나 이전 ISO 파일을 무효화하도록 재설정하고자 할 때 이 화면을 사용합니다.

16

ISO 파일 다운로드를 클릭합니다. 쉽게 찾을 수 있는 위치에 파일을 저장합니다.

17

로컬 시스템에서 ISO 파일의 백업 복사본을 만듭니다.

백업 복사본을 안전하게 유지합니다. 이 파일에는 데이터베이스 콘텐츠에 대한 마스터 암호화 키가 포함됩니다. 구성을 변경해야 하는 하이브리드 데이터 보안 관리자에게만 액세스를 제한합니다.

18

설정 도구를 종료하려면 CTRL + C 조합을 입력합니다.

다음에 수행할 작업

구성 ISO 파일을 백업합니다. 복구를 위해 추가 노드를 만들거나 구성을 변경하려면 이 노드가 필요합니다. ISO 파일의 모든 복사본을 잃게 되면 마스터 키도 잃게 됩니다. PostgreSQL 또는 Microsoft SQL Server 데이터베이스에서 키를 복구할 수 없습니다.

이 키의 사본은 가지고 있지 않으며, 잃어버리는 경우엔 지원할 수 없습니다.

HDS 호스트 OVA 설치

OVA 파일에서 가상 머신을 만들려면 이 절차를 따르십시오.
1

컴퓨터에서 VMware vSphere 클라이언트를 사용하여 ESXi 가상 호스트에 로그인합니다.

2

파일 > OVF 템플릿 배포를 선택합니다.

3

마법사에서 이전에 다운로드한 OVA 파일의 위치를 지정한 후 다음을 클릭합니다.

4

이름 및 폴더 선택 페이지에서 노드에 대한 가상 머신 이름 (예: "HDS_Node_1")을 입력하고 가상 머신 노드 배포가 상주할 수 있는 위치를 선택한 후 다음을 클릭합니다.

5

계산 리소스 선택 페이지에서 대상 계산 리소스를 선택한 후 다음을 클릭합니다.

유효성 검사가 실행됩니다. 완료되면 템플릿 세부 사항이 나타납니다.

6

템플릿 세부 사항을 확인한 후 다음을 클릭합니다.

7

구성 페이지에서 리소스 구성을 선택하도록 요청받는 경우, 4 CPU 를 클릭한 후 다음을 클릭합니다.

8

스토리지 선택 페이지에서 다음 을 클릭하여 기본 디스크 형식 및 VM 스토리지 정책을 수락합니다.

9

네트워크 선택 페이지에서 입력값의 목록에서 네트워크 옵션을 선택하여 VM에 원하는 연결을 제공합니다.

10

템플릿 사용자 정의 페이지에서 다음 네트워크 설정을 구성합니다.

  • 호스트 이름—노드에 대한 FQDN(호스트 이름 및 도메인) 또는 한 단어 호스트 이름을 입력합니다.

    • X.509 인증서를 얻는 데 사용된 도메인과 일치하도록 도메인을 설정할 필요는 없습니다.

    • 클라우드에 성공적으로 등록하려면 노드에 대해 설정한 FQDN 또는 호스트 이름에서 소문자만 사용하십시오. 현재 대문자 사용은 지원되지 않습니다.

    • FQDN의 총 길이는 64자를 초과하지 말아야 합니다.

  • IP 주소— 노드의 내부 인터페이스에 대한 IP 주소를 입력합니다.

    노드에는 내부 IP 주소 및 DNS 이름이 있어야 합니다. DHCP는 지원되지 않습니다.

  • 마스크—점-소수 표기법으로 서브넷 마스크 주소를 입력합니다. 예: 255.255.255.0.
  • 게이트웨이—게이트웨이 IP 주소를 입력합니다. 게이트웨이는 다른 네트워크에 대한 액세스 포인트로 사용되는 네트워크 노드입니다.
  • DNS 서버—도메인 이름을 숫자 IP 주소로 변환하는 DNS 서버의 콤마로 구분된 목록을 입력합니다. (최대 4개의 DNS 항목이 허용됩니다.)
  • NTP 서버—조직의 NTP 서버 또는 조직에서 사용될 수 있는 다른 외부 NTP 서버를 입력합니다. 기본 NTP 서버는 모든 기업에 대해 작동하지 않을 수 있습니다. 콤마로 구분된 목록을 사용하여 여러 NTP 서버를 입력할 수도 있습니다.

  • 관리의 목적을 위해 네트워크의 클라이언트에서 클러스터의 모든 노드에 연결할 수 있도록 동일한 서브넷 또는 VLAN에 모든 노드를 배포합니다.

원하는 경우, 네트워크 설정 구성을 건너뛰고 하이브리드 데이터 보안 VM 설정 에 설명된 단계를 따라 노드 콘솔에서 설정을 구성할 수 있습니다.

OVA 배포 중 네트워크 설정을 구성하는 옵션은 ESXi 6.5에서 테스트되었습니다. 이전 버전에서 해당 옵션을 사용하지 못할 수도 있습니다.

11

노드 VM을 오른쪽 클릭한 후 전원 > 전원 켜기를 선택합니다.

하이브리드 데이터 보안 소프트웨어는 VM 호스트에 손님으로 설치됩니다. 이제 콘솔에 로그인하고 노드를 구성할 준비가 되었습니다.

문제 해결하기 추가 정보

노드 포함자가 시작되기 전에 몇 분 정도 지연이 발생할 수도 있습니다. 첫 번째 부팅 중에 콘솔에 브리지 방화벽 메시지가 나타나며, 로그인할 수 없습니다.

하이브리드 데이터 보안 VM 설정

이 절차를 사용하여 처음으로 하이브리드 데이터 보안 노드 VM 콘솔에 로그인하고 로그인 자격 증명을 설정합니다. OVA 배포 시 구성하지 않은 경우 콘솔을 사용하여 노드에 대한 네트워크 설정을 구성할 수도 있습니다.

1

VMware vSphere 클라이언트에서 하이브리드 데이터 보안 노드 VM을 선택하고 콘솔 탭을 선택합니다.

VM이 부팅되고 로그인 프롬프트가 나타납니다. 로그인 프롬프트가 표시되지 않는 경우엔 Enter를 누릅니다.
2

다음 기본 로그인 및 비밀번호를 사용하여 로그인하고 자격 증명을 변경합니다.

  1. 로그인: admin

  2. 비밀번호: cisco

VM에 처음으로 로그인하고 있기 때문에 관리자 비밀번호를 변경하도록 요구받습니다.

3

HDS 호스트 OVA 설치에서 이미 네트워크 설정을 구성한 경우, 이 절차의 나머지 부분은 건너뜁니다. 그렇지 않으면 기본 메뉴에서 구성 편집 옵션을 선택합니다.

4

IP 주소, 마스크, 게이트웨이 및 DNS 정보로 정적 구성을 설정합니다. 노드에는 내부 IP 주소 및 DNS 이름이 있어야 합니다. DHCP는 지원되지 않습니다.

5

(선택 사항) 필요한 경우, 네트워크 정책과 일치하도록 호스트이름, 도메인 또는 NTP 서버를 변경합니다.

X.509 인증서를 얻는 데 사용된 도메인과 일치하도록 도메인을 설정할 필요는 없습니다.

6

네트워크 구성을 저장하고 VM을 다시 부팅하여 변경 사항을 적용합니다.

HDS 구성 ISO 업로드 및 마운트

HDS 설정 도구로 생성한 ISO 파일에서 가상 머신을 구성하려면 이 절차를 따르십시오.

시작하기 전에

ISO 파일은 마스터 키를 갖고 있기 때문에 이는 하이브리드 데이터 보안 VM 및 변경해야 할 수 있는 관리자가 액세스하기 위해 "알아야 할 것"으로만 노출되어야 합니다. 해당 관리자만 데이터스토어에 액세스할 수 있는지 확인하십시오.

1

컴퓨터에서 ISO 파일을 업로드합니다.

  1. VMware vSphere 클라이언트의 왼쪽 네비게이션 분할 창에서 ESXi 서버를 클릭합니다.

  2. 구성 탭의 하드웨어 목록에서 스토리지를 클릭합니다.

  3. 데이터스토어 목록에서 VM용 데이터스토어를 오른쪽 클릭하고 데이터스토어 찾아보기를 클릭합니다.

  4. 파일 업로드 아이콘을 클릭한 후 파일 업로드을 클릭합니다.

  5. 컴퓨터에서 ISO 파일을 다운로드한 위치를 찾고 열기를 클릭합니다.

  6. 를 클릭하여 업로드/다운로드 작업 경고를 수락하고 데이터스토어 대화 상자를 닫습니다.

2

ISO 파일을 마운트합니다.

  1. VMware vSphere 클라이언트의 왼쪽 네비게이션 분할 창에서 VM을 오른쪽 클릭하고 설정 편집을 클릭합니다.

  2. 확인을 클릭하여 제한된 편집 옵션 경고를 수락합니다.

  3. CD/DVD 드라이브 1을 클릭하고 데이터스토어 ISO 파일에서 마운트하기 위한 옵션을 선택한 후 구성 ISO 파일을 업로드한 위치를 찾습니다.

  4. 연결됨시동될 때 연결을 체크합니다.

  5. 변경 내용을 저장하고 가상 머신을 재부팅합니다.

다음에 수행할 작업

IT 정책에서 요구하는 경우, 모든 노드에서 구성 변경 사항을 적용한 후에 선택적으로 ISO 파일을 마운트 해제할 수 있습니다. 자세한 내용은 (선택 사항) HDS 구성 후 ISO 마운트 해제 를 참조하십시오.

프록시 통합에 대해 HDS 노드 구성

네트워크 환경에 프록시가 필요한 경우, 이 절차를 사용하여 하이브리드 데이터 보안에 통합하고자 하는 프록시의 유형을 지정합니다. 투명 검사 프록시 또는 HTTPS 명시적 프록시를 선택하는 경우, 노드의 인터페이스를 사용하여 루트 인증서를 업로드하고 설치할 수 있습니다. 인터페이스에서 프록시 연결을 확인하고 잠재적인 문제를 해결할 수도 있습니다.

시작하기 전에

1

웹 브라우저에서 HDS 노드 설정 URL https://[HDS Node IP 또는 FQDN]/setup을 입력하고, 노드에 대해 설정한 관리 자격 증명을 입력한 후 로그인을 클릭합니다.

2

신뢰 저장소 및 프록시로 이동한 후 옵션을 선택합니다.

  • 프록시 없음—프록시를 통합하기 전에 기본 옵션입니다. 인증서를 업데이트하지 않아도 됩니다.
  • 투명 비-검사 프록시—노드가 특정 프록시 서버 주소를 사용하도록 구성되지 않았으며, 비-검사 프록시에서 작동하도록 변경하지 않아도 됩니다. 인증서를 업데이트하지 않아도 됩니다.
  • 투명 검사 프록시—노드가 특정 프록시 서버 주소를 사용하도록 구성되지 않았습니다. 하이브리드 데이터 보안 배포에서 HTTPS 구성을 변경하지 않아도 됩니다. 단, HDS 노드에 루트 인증서가 있어야 프록시를 신뢰할 수 있습니다. 일반적으로 검사 프록시는 IT가 어떤 웹사이트를 방문할 수 있는지 및 어떤 유형의 콘텐츠가 허용되는지에 대한 정책을 적용하기 위해 사용됩니다. 이러한 유형의 프록시는 모든 트래픽(HTTPS 포함)을 해독합니다.
  • 명시적 프록시—명시적 프록시를 사용하여 클라이언트(HDS 노드)에게 어떤 프록시 서버를 사용할지 알리고, 이 옵션은 다양한 인증 유형을 지원합니다. 이 옵션을 선택한 후 다음 정보를 입력해야 합니다.

    1. 프록시 IP/FQDN—프록시 머신에 연결하기 위해 사용될 수 있는 주소입니다.

    2. 프록시 포트—프록시가 프록시된 트래픽을 수신하기 위해 사용하는 포트 번호입니다.

    3. 프록시 프로토콜http (클라이언트로부터 수신된 모든 요청을 확인하고 제어) 또는 https (서버에 채널을 제공하고 클라이언트는 서버의 인증서를 수신 및 확인)를 선택합니다. 프록시 서버가 지원하는 내용에 따라 옵션을 선택합니다.

    4. 인증 유형—다음 인증 유형 중에서 선택합니다.

      • 없음—추가 인증이 필요하지 않습니다.

        HTTP 또는 HTTPS 프록시를 사용할 수 있습니다.

      • 기본—요청을 할 때 HTTP 사용자 에이전트가 사용자 이름 및 비밀번호를 제공하기 위해 사용됩니다. Base64 인코딩을 사용합니다.

        HTTP 또는 HTTPS 프록시를 사용할 수 있습니다.

        이 옵션을 선택하는 경우, 사용자 이름 및 비밀번호도 입력해야 합니다.

      • 다이제스트—민감한 정보를 보내기 전에 계정을 확인하기 위해 사용됩니다. 네트워크를 통해 전송하기 전에 사용자 이름 및 비밀번호에 해시 기능을 적용합니다.

        HTTPS 프록시에 대해서만 사용할 수 있습니다.

        이 옵션을 선택하는 경우, 사용자 이름 및 비밀번호도 입력해야 합니다.

투명 검사 프록시, 기본 인증이 포함된 HTTP 명시적 프록시 또는 HTTPS 명시적 프록시에 대해서는 다음 단계를 따르십시오.

3

루트 인증서 또는 최종 엔터티 인증서 업로드를 클릭한 후 탐색하여 프록시에 대한 루트 인증서를 선택합니다.

인증서가 업로드되었지만 아직 설치되지 않았습니다. 인증서를 설치하려면 노드를 재부팅해야 합니다. 인증서 발급자 이름 옆에 있는 갈매기 모양 화살표를 클릭하여 자세한 내용을 확인합니다. 실수가 있었거나 파일을 다시 업로드하려는 경우엔 삭제를 클릭합니다.

4

프록시 연결 확인을 클릭하여 노드와 프록시 간의 네트워크 연결을 테스트합니다.

연결 테스트에 실패하는 경우, 이유 및 문제를 해결할 수 있는 방법을 표시하는 오류 메시지가 나타납니다.

외부 DNS 확인에 실패했다는 메시지가 나타나면 노드가 DNS 서버에 연결하지 못한 것입니다. 이 조건은 다양한 명시적 프록시 구성에서 예상되는 작동입니다. 설정을 계속 진행할 수 있으며, 노드는 차단된 외부 DNS 확인 모드로 작동하게 됩니다. 이 작업이 오류라고 생각하시면 다음 단계를 완료한 후 차단된 외부 DNS 확인 모드 끄기를 참조하십시오.

5

연결 테스트를 통과한 후 https로만 설정된 명시적 프록시에 대해 설정을 토글하여 이 노드의 모든 포트 443/444 https 요청을 명시적 프록시를 통해 라우팅합니다. 이 설정이 적용될 때까지 15초 정도 소요됩니다.

6

모든 인증서를 신뢰 저장소에 설치(HTTPS 명시적 프록시 또는 투명 검사 프록시에 대해 나타남) 또는 재부팅(HTTP 명시적 프록시에 대해 나타남)을 클릭하고 안내를 읽은 후 준비되었을 때 설치를 클릭합니다.

노드는 몇 분 내에 재부팅됩니다.

7

노드가 재부팅되면 필요에 따라 다시 로그인한 후 개요 페이지를 열어 연결을 확인하고 모두 녹색 상태인지 확인합니다.

프록시 연결 확인은 webex.com의 하위 도메인만 테스트합니다. 연결에 문제가 있는 경우, 설치 지시 사항에 나열된 일부 클라우드 도메인이 프록시에서 차단되는 것은 일반적인 문제입니다.

클러스터에서 첫 번째 노드 등록

이 작업은 하이브리드 데이터 보안 VM 설정에서 생성한 일반적인 노드를 적용하고, Webex 클라우드에 노드를 등록한 후 하이브리드 데이터 보안 노드로 변경합니다.

첫 번째 노드를 등록할 때 해당 노드가 지정된 클러스터를 만듭니다. 클러스터에는 중복성을 제공하기 위해 배포된 한 개 이상의 노드가 포함되어 있습니다.

시작하기 전에

  • 노드의 등록을 시작하면 60분 이내에 완료해야 합니다. 그렇지 않으면 처음부터 다시 시작해야 합니다.

  • 브라우저에 팝업 차단기가 비활성화되었는지 또는 admin.webex.com에 대한 예외를 허용했는지 확인하십시오.

1

https://admin.webex.com에 로그인합니다.

2

화면의 왼쪽에 있는 메뉴에서 서비스를 선택합니다.

3

클라우드 서비스 섹션에서 하이브리드 데이터 보안 카드를 찾고 설정을 클릭합니다.

4

페이지가 열리면 리소스 추가를 클릭합니다.

5

노드 추가 카드의 첫 번째 필드에 하이브리드 데이터 보안 노드를 지정할 클러스터의 이름을 입력합니다.

지리적으로 클러스터의 노드가 위치한 장소에 기반하여 클러스터의 이름을 지정할 것을 권장합니다. 예: "San Francisco" 또는 "New York" 또는 "Dallas"

6

두 번째 필드에서 노드의 내부 IP 주소 또는 정규화된 도메인 이름(FQDN)을 입력하고 화면의 하단에서 추가 를 클릭합니다.

이 IP 주소 또는 FQDN은 하이브리드 데이터 보안 VM 설정에서 사용한 IP 주소 또는 호스트 이름 및 도메인과 일치해야 합니다.

Webex에 노드를 등록할 수 있음을 가리키는 메시지가 나타납니다.
7

노드로 이동을 클릭합니다.

잠시 후에 Webex 서비스에 대한 노드 연결 테스트로 리디렉션됩니다. 모든 테스트에 성공하면 하이브리드 데이터 보안 노드에 대한 액세스 허용 페이지가 나타납니다. 여기에서 Webex 조직에 노드에 액세스할 수 있는 권한을 부여하고자 함을 확인합니다.

8

하이브리드 데이터 보안 노드에 액세스 허용 체크 박스에 체크한 후 계속을 클릭합니다.

계정의 유효성이 검증되고 "등록 완료" 메시지는 이제 노드가 Webex 클라우드에 등록되었음을 가리킵니다.
9

링크를 클릭하거나 탭을 닫아 Partner Hub 하이브리드 데이터 보안 페이지로 다시 돌아갑니다.

하이브리드 데이터 보안 페이지에서 등록한 노드가 포함된 새로운 클러스터가 리소스 탭 아래에 표시됩니다. 노드는 클라우드에서 자동으로 최신 소프트웨어를 다운로드합니다.

추가 노드를 만들고 등록

클러스터에 노드를 추가하려면 추가 VM을 만들고 동일한 구성 ISO 파일을 마운트한 후 노드를 등록하기만 하면 됩니다. 최소한 3개의 노드를 구성할 것을 권장합니다.

시작하기 전에

  • 노드의 등록을 시작하면 60분 이내에 완료해야 합니다. 그렇지 않으면 처음부터 다시 시작해야 합니다.

  • 브라우저에 팝업 차단기가 비활성화되었는지 또는 admin.webex.com에 대한 예외를 허용했는지 확인하십시오.

1

OVA에서 새로운 가상 머신을 만들고 HDS 호스트 OVA 설치에 설명된 단계를 반복합니다.

2

새로운 VM에서 초기 구성을 설정하고 하이브리드 데이터 보안 VM 설정에 설명된 단계를 반복합니다.

3

새로운 VM에서 HDS 구성 ISO 업로드 및 설치에 설명된 단계를 반복합니다.

4

배포에 대해 프록시를 설정하고 있는 경우, 새로운 노드에 대해 필요에 따라 프록시 통합에 대해 HDS 노드 구성 에 설명된 단계를 반복합니다.

5

노드를 등록합니다.

  1. https://admin.webex.com에서 화면 왼쪽의 메뉴에 있는 서비스를 선택합니다.

  2. 클라우드 서비스 섹션에서 하이브리드 데이터 보안 카드를 찾고 모두 보기를 클릭합니다.

    하이브리드 데이터 보안 리소스 페이지가 나타납니다.

  3. 새롭게 생성된 클러스터는 리소스 페이지에 나타납니다.

  4. 클러스터에 할당된 노드를 확인하려면 클러스터를 클릭합니다.

  5. 화면의 오른쪽에서 노드 추가 를 클릭합니다.

  6. 노드의 내부 IP 주소 또는 정규화된 도메인 이름(FQDN)을 입력하고 추가를 클릭합니다.

    Webex 클라우드에 노드를 등록할 수 있음을 나타내는 메시지가 포함된 페이지가 열립니다. 잠시 후에 Webex 서비스에 대한 노드 연결 테스트로 리디렉션됩니다. 모든 테스트에 성공하면 하이브리드 데이터 보안 노드에 대한 액세스 허용 페이지가 나타납니다. 여기에서 조직에 노드에 액세스할 수 있는 권한을 부여하고자 함을 확인합니다.

  7. 하이브리드 데이터 보안 노드에 액세스 허용 체크 박스에 체크한 후 계속을 클릭합니다.

    계정의 유효성이 검증되고 "등록 완료" 메시지는 이제 노드가 Webex 클라우드에 등록되었음을 가리킵니다.

  8. 링크를 클릭하거나 탭을 닫아 Partner Hub 하이브리드 데이터 보안 페이지로 다시 돌아갑니다.

    노드 추가됨 팝업 메시지는 Partner Hub의 화면 하단에도 나타납니다.

    노드가 등록되었습니다.

멀티 테넌트 하이브리드 데이터 보안에서 테넌트 조직 관리

Partner Hub에서 멀티 테넌트 HDS 활성화

이 작업은 고객 조직의 모든 사용자가 온-프레미스 암호화 키 및 기타 보안 서비스에 대해 HDS를 사용하기 시작할 수 있게 합니다.

시작하기 전에

필요한 노드의 수로 멀티 테넌트 HDS 클러스터 설정을 완료했는지 확인합니다.

1

https://admin.webex.com에 로그인합니다.

2

화면의 왼쪽에 있는 메뉴에서 서비스를 선택합니다.

3

클라우드 서비스 섹션에서 하이브리드 데이터 보안을 찾고 설정 편집을 클릭합니다.

4

HDS 상태 카드에서 HDS 활성화 를 클릭합니다.

Partner Hub에서 테넌트 조직 추가

이 작업에서 하이브리드 데이터 보안 클러스터에 고객 조직을 지정합니다.

1

https://admin.webex.com에 로그인합니다.

2

화면의 왼쪽에 있는 메뉴에서 서비스를 선택합니다.

3

클라우드 서비스 섹션에서 하이브리드 데이터 보안을 찾고 모두 보기를 클릭합니다.

4

고객을 지정하고자 하는 클러스터를 클릭합니다.

5

지정된 고객 탭으로 이동합니다.

6

고객 추가를 클릭합니다.

7

드롭다운 메뉴에서 추가할 고객을 선택합니다.

8

추가를 클릭하면 고객이 클러스터에 추가됩니다.

9

6~8단계를 반복하여 여러 고객을 클러스터에 추가합니다.

10

고객을 추가한 후 화면의 하단에서 완료 를 클릭합니다.

다음에 수행할 작업

HDS 설정 도구를 사용하여 고객 기본 키(CMK) 만들기 에 설명된 대로 HDS 설정 도구를 실행하여 설치 과정을 완료합니다.

HDS 설정 도구를 사용하여 고객 기본 키(CMK) 만들기

시작하기 전에

Partner Hub에서 테넌트 조직 추가에 설명된 대로 고객을 적합한 클러스터에 지정합니다. HDS 설정 도구를 실행하여 새롭게 추가된 고객 조직에 대한 설정 과정을 완료합니다.

  • HDS 설정 도구는 로컬 머신에서 Docker 컨테이너로 실행됩니다. 액세스하려면 해당 머신에서 Docker를 실행합니다. 설치 과정에는 조직에 대한 전체 관리자 권한이 있는 Partner Hub 계정의 자격 증명이 필요합니다.

    HDS 설정 도구가 귀하의 환경에서 프록시 뒤에서 실행되는 경우, 5 단계에서 Docker 컨테이너를 가져올 때 Docker 환경 변수를 통해 프록시 설정(서버, 포트, 자격 증명)을 제공합니다. 이 표는 몇 가지 환경 변수를 제공합니다.

    설명

    변수

    인증되지 않은 HTTP 프록시

    글로벌_에이전트_HTTP_PROXY=http://SERVER_IP:PORT

    인증되지 않은 HTTPS 프록시

    글로벌_에이전트_HTTPS_PROXY=http://SERVER_IP:PORT

    인증된 HTTP 프록시

    글로벌_에이전트_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

    인증된 HTTPS 프록시

    글로벌_에이전트_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

  • 생성하는 구성 ISO 파일에는 PostgreSQL 또는 Microsoft SQL Server 데이터베이스를 암호화하는 마스터 키가 포함되어 있습니다. 다음과 같은 구성을 변경할 때마다 이 파일의 최신 복사본이 필요합니다.

    • 데이터베이스 자격 증명

    • 인증서 업데이트

    • 인증 정책에 대한 변경 사항

  • 데이터베이스 연결을 암호화하는 경우 TLS용 PostgreSQL 또는 SQL Server 배포를 설정합니다.

하이브리드 데이터 보안 설정 프로세스는 ISO 파일을 만듭니다. 그 후 ISO를 사용하여 하이브리드 데이터 보안 호스트를 구성합니다.

1

머신의 명령줄에 사용자 환경에 적합한 명령을 입력합니다.

일반 환경:

docker rmi ciscocitg/hds-setup:안정

FedRAMP 환경:

도커 rmi ciscocitg/hds-setup-fedramp:stable

이 단계에서는 이전 HDS 설정 도구 이미지를 정리합니다. 이전 이미지가 없는 경우 무시할 수 있는 오류를 반환합니다.

2

Docker 이미지 레지스트리에 로그인하려면 다음을 입력합니다.

도커 로그인 -u hdscustomersro
3

비밀번호 프롬프트에 이 해시를 입력합니다.

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo는
4

사용자 환경에 맞는 최신 안정 이미지를 다운로드합니다.

일반 환경:

docker pull ciscocitg/hds-setup:안정

FedRAMP 환경:

docker pull ciscocitg/hds-setup-fedramp:안정
5

풀이 완료되면 사용자 환경에 적합한 명령을 입력합니다.

  • 프록시가 없는 일반 환경:

    도커 실행 -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

  • HTTP 프록시가 있는 일반 환경:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • HTTPS 프록시가 있는 일반 환경에서는:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • 프록시가 없는 FedRAMP 환경:

    도커 실행 -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • HTTP 프록시가 있는 FedRAMP 환경:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • HTTPS 프록시가 있는 FedRAMP 환경:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

컨테이너가 실행 중일 때 "포트 8080에서 수신하는 Express 서버"가 표시됩니다.

6

설정 도구는 http://localhost:8080을 통해 localhost에 연결하는 것을 지원하지 않습니다. http://127.0.0.1:8080 을(를) 사용하여 로컬 호스트에 연결합니다.

웹 브라우저를 사용하여 localhost, http://127.0.0.1:8080(으)로 이동하고 프롬프트에 Partner Hub의 관리 사용자 이름을 입력합니다.

이 도구는 사용자 이름의 이 첫 번째 항목을 사용하여 해당 계정에 적합한 환경을 설정합니다. 그런 다음 도구는 표준 로그인 프롬프트를 표시합니다.

7

안내를 받으면 Partner Hub 관리자 로그인 자격 증명을 입력한 후 로그인 을 클릭하여 하이브리드 데이터 보안에 필요한 서비스에 대한 액세스를 허용합니다.

8

설정 도구 개요 페이지에서 시작하기를 클릭합니다.

9

ISO 가져오기 페이지에서 를 클릭합니다.

10

브라우저에서 ISO 파일을 선택하고 업로드합니다.

CMK 관리를 수행하려면 데이터베이스에 대한 연결을 확인하십시오.
11

테넌트 CMK 관리 탭으로 이동하여 다음 세 가지 방법으로 테넌트 CMK를 관리할 수 있습니다.

  • 모든 조직에 대해 CMK 만들기 또는 CMK 만들기 - 화면의 상단에 있는 배너에서 이 버튼을 클릭하여 새롭게 추가된 모든 조직에 대해 CMK를 만듭니다.
  • 화면의 오른쪽에서 CMK 관리 버튼을 클릭하고 CMK 만들기 를 클릭하여 새롭게 추가된 모든 조직에 대해 CMK를 만듭니다.
  • 표에서 특정 조직의 CMK 관리 보류 중 상태 근처에 있는 …를 클릭하고 CMK 만들기 를 클릭하여 해당 조직에 대해 CMK를 만듭니다.
12

CMK 만들기에 성공하면 표의 상태는 CMK 관리 보류 중 에서 CMK 관리로 변경됩니다.

13

CMK 만들기에 실패하면 오류가 표시됩니다.

테넌트 조직 제거

시작하기 전에

제거되면 고객 조직의 사용자는 암호화 요구에 대해 HDS를 활용할 수 없으며 기존의 모든 스페이스를 잃게 됩니다. 고객 조직을 제거하기 전에 Cisco 파트너 또는 계정 관리자에게 문의하십시오.

1

https://admin.webex.com에 로그인합니다.

2

화면의 왼쪽에 있는 메뉴에서 서비스를 선택합니다.

3

클라우드 서비스 섹션에서 하이브리드 데이터 보안을 찾고 모두 보기를 클릭합니다.

4

리소스 탭에서 고객 조직을 제거할 클러스터를 클릭합니다.

5

페이지가 열리면 지정된 고객을 클릭합니다.

6

표시되는 고객 조직의 목록에서 제거하고자 하는 고객 조직의 오른쪽에 있는 ... 을 클릭하고 클러스터에서 제거를 클릭합니다.

다음에 수행할 작업

HDS에서 제거된 테넌트의 CMK 취소에 설명된 대로 고객 조직의 CMK를 취소하여 제거 프로세스를 완료합니다.

HDS에서 제거된 테넌트의 CMK를 취소합니다.

시작하기 전에

테넌트 조직 제거에 설명된 대로 적합한 클러스터에서 고객을 제거합니다. 제거된 고객 조직에 대한 제거 과정을 완료하려면 HDS 설정 도구를 실행하십시오.

  • HDS 설정 도구는 로컬 머신에서 Docker 컨테이너로 실행됩니다. 액세스하려면 해당 머신에서 Docker를 실행합니다. 설치 과정에는 조직에 대한 전체 관리자 권한이 있는 Partner Hub 계정의 자격 증명이 필요합니다.

    HDS 설정 도구가 귀하의 환경에서 프록시 뒤에서 실행되는 경우, 5 단계에서 Docker 컨테이너를 가져올 때 Docker 환경 변수를 통해 프록시 설정(서버, 포트, 자격 증명)을 제공합니다. 이 표는 몇 가지 환경 변수를 제공합니다.

    설명

    변수

    인증되지 않은 HTTP 프록시

    글로벌_에이전트_HTTP_PROXY=http://SERVER_IP:PORT

    인증되지 않은 HTTPS 프록시

    글로벌_에이전트_HTTPS_PROXY=http://SERVER_IP:PORT

    인증된 HTTP 프록시

    글로벌_에이전트_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

    인증된 HTTPS 프록시

    글로벌_에이전트_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

  • 생성하는 구성 ISO 파일에는 PostgreSQL 또는 Microsoft SQL Server 데이터베이스를 암호화하는 마스터 키가 포함되어 있습니다. 다음과 같은 구성을 변경할 때마다 이 파일의 최신 복사본이 필요합니다.

    • 데이터베이스 자격 증명

    • 인증서 업데이트

    • 인증 정책에 대한 변경 사항

  • 데이터베이스 연결을 암호화하는 경우 TLS용 PostgreSQL 또는 SQL Server 배포를 설정합니다.

하이브리드 데이터 보안 설정 프로세스는 ISO 파일을 만듭니다. 그 후 ISO를 사용하여 하이브리드 데이터 보안 호스트를 구성합니다.

1

머신의 명령줄에 사용자 환경에 적합한 명령을 입력합니다.

일반 환경:

docker rmi ciscocitg/hds-setup:안정

FedRAMP 환경:

도커 rmi ciscocitg/hds-setup-fedramp:stable

이 단계에서는 이전 HDS 설정 도구 이미지를 정리합니다. 이전 이미지가 없는 경우 무시할 수 있는 오류를 반환합니다.

2

Docker 이미지 레지스트리에 로그인하려면 다음을 입력합니다.

도커 로그인 -u hdscustomersro
3

비밀번호 프롬프트에 이 해시를 입력합니다.

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo는
4

사용자 환경에 맞는 최신 안정 이미지를 다운로드합니다.

일반 환경:

docker pull ciscocitg/hds-setup:안정

FedRAMP 환경:

docker pull ciscocitg/hds-setup-fedramp:안정
5

풀이 완료되면 사용자 환경에 적합한 명령을 입력합니다.

  • 프록시가 없는 일반 환경:

    도커 실행 -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

  • HTTP 프록시가 있는 일반 환경:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • HTTPS 프록시가 있는 일반 환경에서는:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • 프록시가 없는 FedRAMP 환경:

    도커 실행 -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • HTTP 프록시가 있는 FedRAMP 환경:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • HTTPS 프록시가 있는 FedRAMP 환경:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

컨테이너가 실행 중일 때 "포트 8080에서 수신하는 Express 서버"가 표시됩니다.

6

설정 도구는 http://localhost:8080을 통해 localhost에 연결하는 것을 지원하지 않습니다. http://127.0.0.1:8080 을(를) 사용하여 로컬 호스트에 연결합니다.

웹 브라우저를 사용하여 localhost, http://127.0.0.1:8080(으)로 이동하고 프롬프트에 Partner Hub의 관리 사용자 이름을 입력합니다.

이 도구는 사용자 이름의 이 첫 번째 항목을 사용하여 해당 계정에 적합한 환경을 설정합니다. 그런 다음 도구는 표준 로그인 프롬프트를 표시합니다.

7

안내를 받으면 Partner Hub 관리자 로그인 자격 증명을 입력한 후 로그인 을 클릭하여 하이브리드 데이터 보안에 필요한 서비스에 대한 액세스를 허용합니다.

8

설정 도구 개요 페이지에서 시작하기를 클릭합니다.

9

ISO 가져오기 페이지에서 를 클릭합니다.

10

브라우저에서 ISO 파일을 선택하고 업로드합니다.

11

테넌트 CMK 관리 탭으로 이동하여 다음 세 가지 방법으로 테넌트 CMK를 관리할 수 있습니다.

  • 모든 조직에 대해 CMK 취소 또는 CMK 취소 - 화면 상단에 있는 배너에서 이 버튼을 클릭하여 제거된 모든 조직의 CMK를 취소합니다.
  • 화면의 오른쪽에서 CMK 관리 버튼을 클릭하고 CMK 취소 를 클릭하여 제거된 모든 조직의 CMK를 취소합니다.
  • 표에서 특정 조직의 취소될 CMK 상태 근처에서 을 클릭하고 CMK 취소 를 클릭하여 해당 특정 조직에 대한 CMK를 취소합니다.
12

CMK 해지 작업에 성공하면 고객 조직은 더 이상 표에 나타나지 않습니다.

13

CMK 해지 실패하면 오류가 표시됩니다.

하이브리드 데이터 보안 배포 테스트

하이브리드 데이터 보안 배포 테스트

멀티 테넌트 하이브리드 데이터 보안 암호화 시나리오를 테스트하려면 이 절차를 사용하십시오.

시작하기 전에

  • 멀티 테넌트 하이브리드 데이터 보안 배포를 설정합니다.

  • 키 요청이 멀티 테넌트 하이브리드 데이터 보안 배포에 전달되고 있는지 확인하려면 syslog에 액세스할 수 있는지 확인합니다.

1

특정 스페이스에 대한 키는 스페이스의 생성자가 설정합니다. 고객 조직 사용자 중 하나로 Webex 앱에 로그인한 후 스페이스를 만듭니다.

하이브리드 데이터 보안 배포를 비활성화하는 경우, 클라이언트 캐시된 암호화 키의 복사본이 교체되면 사용자가 생성하는 스페이스에 있는 콘텐츠에 더 이상 액세스할 수 없습니다.

2

새로운 스페이스로 메시지를 보내십시오.

3

syslog 출력을 확인하여 키 요청이 하이브리드 데이터 보안 배포에 전달되고 있는지 확인합니다.

  1. 사용자가 먼저 KMS에 보안 채널을 설정하는지 확인하려면 kms.data.method=createkms.data.type=EPHEMERAL_KEY_COLLECTION을 필터링합니다.

    다음과 같은 입력값을 검색해야 합니다(가독성을 위해 식별자는 짧게 표현됨).
    2020-07-21 17:35:34.562 (+0000) 정보 KMS [pool-14-thread-1] - [KMS:REQUEST] 수신됨, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

  2. KMS에서 기존의 키를 요청하는 사용자를 확인하려면 kms.data.method=retrievekms.data.type=KEY를 필터링합니다.

    다음과 같은 입력값을 검색해야 합니다.
    2020-07-21 17:44:19.889 (+0000) 정보 KMS [pool-14-thread-31] - [KMS:REQUEST] 수신됨, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

  3. 새로운 KMS 키 생성을 요청하는 사용자를 확인하려면 kms.data.method=createkms.data.type=KEY_COLLECTION에서 필터링합니다.

    다음과 같은 입력값을 검색해야 합니다.
    2020-07-21 17:44:21.975 (+0000) 정보 KMS [pool-14-thread-33] - [KMS:REQUEST] 수신됨, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

  4. 스페이스 또는 다른 보호된 리소스가 생성될 때 새로운 KMS 리소스 개체(KRO)의 만들기를 요청하는 사용자를 확인하려면 kms.data.method=createkms.data.type=RESOURCE_COLLECTION에서 필터링하십시오.

    다음과 같은 입력값을 검색해야 합니다. 
    2020-07-21 17:44:22.808 (+0000) 정보 KMS [pool-15-thread-1] - [KMS:REQUEST] 수신됨, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

하이브리드 데이터 보안 상태 모니터

Partner Hub 내의 상태 표시기는 멀티 테넌트 하이브리드 데이터 보안 배포가 모두 양호한지 여부를 표시합니다. 보다 적극적으로 경고를 받으려면 이메일 알림을 신청하십시오. 서비스에 영향을 미치는 경보 또는 소프트웨어 업그레이드가 있을 때 알림을 받습니다.
1

Partner Hub의 화면 왼쪽에 있는 메뉴에서 서비스 를 선택합니다.

2

클라우드 서비스 섹션에서 하이브리드 데이터 보안을 찾고 설정 편집을 클릭합니다.

하이브리드 데이터 보안 설정 페이지가 나타납니다.
3

이메일 알림 섹션에서 한 개 이상의 이메일 주소를 쉼표로 구분하여 입력하고 Enter를 누릅니다.

HDS 배포 관리

HDS 배포 관리

하이브리드 데이터 보안 배포를 관리하려면 여기에 설명된 작업을 사용하십시오.

클러스터 업그레이드 예약 설정

하이브리드 데이터 보안에 대한 소프트웨어 업그레이드는 클러스터 수준에서 자동으로 실행되며, 이는 모든 노드가 항상 동일한 소프트웨어 버전을 실행하게 합니다. 업그레이드는 클러스터에 대한 업그레이드 스케줄에 따라 실행됩니다. 소프트웨어 업그레이드가 사용 가능해지면 예약된 업그레이드 시간 전에 클러스터를 수동으로 업그레이드할 수 있는 옵션이 주어집니다. 특정 업그레이드 스케줄을 설정하거나 미국: 아메리카/로스앤젤레스 매일 3:00 AM 기본 스케줄을 사용할 수 있습니다. 필요에 따라 예정된 업그레이드를 연기하도록 선택할 수도 있습니다.

업그레이드 예약을 설정하려면:

1

Partner Hub에 로그인합니다.

2

화면의 왼쪽에 있는 메뉴에서 서비스를 선택합니다.

3

클라우드 서비스 섹션에서 하이브리드 데이터 보안을 찾고 설정을 클릭합니다.

4

하이브리드 데이터 보안 리소스 페이지에서 클러스터를 선택합니다.

5

클러스터 설정 탭을 클릭합니다.

6

클러스터 설정 페이지의 업그레이드 예약 아래에서 업그레이드 예약에 대한 시간 및 시간대를 선택합니다.

참고: 시간대 아래에 다음 사용 가능한 업그레이드 날짜 및 시간이 표시됩니다. 필요한 경우, 24시간 연기를 클릭하여 업그레이드를 다음 날로 연기할 수 있습니다.

노드 구성 변경

경우에 따라 다음과 같은 이유로 하이브리드 데이터 보안 노드의 구성을 변경해야 할 수도 있습니다.

  • 만료 또는 기타 이유로 인해 x.509 인증서 변경.

    인증서의 CN 도메인 이름 변경을 지원하지 않습니다. 도메인은 클러스터에 등록하기 위해 사용된 원래 도메인과 일치해야 합니다.

  • PostgreSQL 또는 Microsoft SQL Server 데이터베이스의 복제본으로 변경하도록 데이터베이스 설정 업데이트.

    PostgreSQL에서 Microsoft SQL Server로 또는 그 반대로 데이터 마이그레이션을 지원하지 않습니다. 데이터베이스 환경을 전환하려면 하이브리드 데이터 보안의 새로운 배포를 시작합니다.

  • 새 데이터 센터를 준비하기 위해 새 구성 생성.

또한 보안상의 이유로 하이브리드 데이터 보안은 수명이 9개월인 서비스 계정 비밀번호를 사용합니다. HDS 설정 도구가 이러한 비밀번호를 생성하면 이를 ISO 구성 파일의 각 HDS 노드에 배포합니다. 조직의 비밀번호 만료일이 가까워지면 Webex 팀으로부터 머신 계정의 비밀번호를 재설정하라는 통지를 받습니다. (이메일에는 "머신 계정 API를 사용하여 비밀번호를 업데이트합니다."라는 텍스트가 포함됩니다.) 비밀번호가 아직 만료되지 않은 경우 도구는 다음 두 가지 옵션을 제공합니다.

  • 소프트 재설정—이전 비밀번호 및 새로운 비밀번호 모두 최대 10일 동안 작동합니다. 이 기간을 사용하여 노드에서 ISO 파일을 점진적으로 교체합니다.

  • 하드 재설정—이전 비밀번호가 즉시 작동하지 않습니다.

비밀번호가 재설정 없이 만료되는 경우 HDS 서비스에 영향을 미치므로 즉시 하드 재설정을 수행하고 모든 노드에서 ISO 파일을 교체해야 합니다.

새 구성 ISO 파일을 생성하고 클러스터에 적용하려면 이 절차를 따르십시오.

시작하기 전에

  • HDS 설정 도구는 로컬 머신에서 Docker 컨테이너로 실행됩니다. 액세스하려면 해당 머신에서 Docker를 실행합니다. 설치 과정에는 파트너 전체 관리자 권한이 있는 Partner Hub 계정의 자격 증명이 필요합니다.

    HDS 설정 도구가 귀하의 환경에서 프록시 뒤에서 실행되는 경우, 1.e에서 Docker 컨테이너를 가져올 때 Docker 환경 변수를 통해 프록시 설정(서버, 포트, 자격 증명)을 제공합니다. 이 표는 몇 가지 환경 변수를 제공합니다.

    설명

    변수

    인증되지 않은 HTTP 프록시

    글로벌_에이전트_HTTP_PROXY=http://SERVER_IP:PORT

    인증되지 않은 HTTPS 프록시

    글로벌_에이전트_HTTPS_PROXY=http://SERVER_IP:PORT

    인증된 HTTP 프록시

    글로벌_에이전트_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

    인증된 HTTPS 프록시

    글로벌_에이전트_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

  • 새 구성을 생성하려면 현재 구성 ISO 파일의 사본이 필요합니다. ISO에는 PostgreSQL 또는 Microsoft SQL Server 데이터베이스를 암호화하는 마스터 키가 포함되어 있습니다. 데이터베이스 자격 증명, 인증서 업데이트 또는 인증 정책 변경을 포함하여 구성을 변경할 때 ISO가 필요합니다.

1

로컬 머신에서 Docker를 사용하여 HDS 설정 도구를 실행합니다.

  1. 머신의 명령줄에 사용자 환경에 적합한 명령을 입력합니다.

    일반 환경:

    docker rmi ciscocitg/hds-setup:안정

    FedRAMP 환경:

    도커 rmi ciscocitg/hds-setup-fedramp:stable

    이 단계에서는 이전 HDS 설정 도구 이미지를 정리합니다. 이전 이미지가 없는 경우 무시할 수 있는 오류를 반환합니다.

  2. Docker 이미지 레지스트리에 로그인하려면 다음을 입력합니다.

    도커 로그인 -u hdscustomersro

  3. 비밀번호 프롬프트에 이 해시를 입력합니다.

    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo는

  4. 사용자 환경에 맞는 최신 안정 이미지를 다운로드합니다.

    일반 환경:

    docker pull ciscocitg/hds-setup:안정

    FedRAMP 환경:

    docker pull ciscocitg/hds-setup-fedramp:안정

    이 절차에 대해 최신 설정 도구를 사용하고 있는지 확인하십시오. 2018년 2월 22일 이전에 생성된 도구의 버전에는 비밀번호 재설정 화면이 없습니다.

  5. 풀이 완료되면 사용자 환경에 적합한 명령을 입력합니다.

    • 프록시가 없는 일반 환경:

      도커 실행 -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

    • HTTP 프록시가 있는 일반 환경:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • HTTPS 프록시가 있는 일반 환경:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • 프록시가 없는 FedRAMP 환경:

      도커 실행 -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

    • HTTP 프록시가 있는 FedRAMP 환경:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    • HTTPS 프록시가 있는 FedRAMP 환경:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    컨테이너가 실행 중일 때 "포트 8080에서 수신하는 Express 서버"가 표시됩니다.

  6. 브라우저를 사용하여 로컬 호스트 http://127.0.0.1:8080에 연결합니다.

    설정 도구는 http://localhost:8080을 통해 localhost에 연결하는 것을 지원하지 않습니다. http://127.0.0.1:8080 을(를) 사용하여 로컬 호스트에 연결합니다.

  7. 안내를 받으면 Partner Hub 고객 로그인 자격 증명을 입력한 후 수락 을 클릭하여 계속합니다.

  8. 현재 구성 ISO 파일을 가져옵니다.

  9. 안내에 따라 도구를 완료하고 업데이트된 파일을 다운로드합니다.

    설정 도구를 종료하려면 CTRL + C 조합을 입력합니다.

  10. 다른 데이터 센터에서 업데이트된 파일의 백업 복사본을 만듭니다.

2

실행 중인 HDS 노드가 한 개만 있는 경우, 새로운 하이브리드 데이터 보안 노드 VM을 만들고 새로운 구성 ISO 파일을 사용하여 등록합니다. 자세한 안내는 추가 노드 만들기 및 등록을 참조하십시오.

  1. HDS 호스트 OVA를 설치합니다.

  2. HDS VM을 설정합니다.

  3. 업데이트된 구성 파일을 마운트합니다.

  4. Partner Hub에서 새로운 노드를 등록합니다.

3

이전 구성 파일을 실행하고 있는 기존 HDS 노드의 경우 ISO 파일을 탑재합니다. 각 노드에서 다음 절차를 차례로 수행하여 다음 노드를 끄기 전에 각 노드를 업데이트합니다.

  1. 가상 머신의 전원을 끕니다.

  2. VMware vSphere 클라이언트의 왼쪽 네비게이션 분할 창에서 VM을 오른쪽 클릭하고 설정 편집을 클릭합니다.

  3. CD/DVD 드라이브 1을 클릭하고 ISO 파일에서 마운트하기 위한 옵션을 선택한 후 새 구성 ISO 파일을 다운로드한 위치를 찾습니다.

  4. 시동될 때 연결을 체크합니다.

  5. 변경 사항을 저장하고 가상 머신의 전원을 켭니다.

4

이전 구성을 실행하고 있는 나머지 각 노드에서 구성을 바꾸려면 3 단계를 반복하십시오.

차단된 외부 DNS 확인 모드 끄기

노드를 등록하거나 노드의 프록시 구성을 확인할 때 프로세스는 Cisco Webex 클라우드에 대한 DNS 조회 및 연결을 테스트합니다. 노드의 DNS 서버에서 공용 DNS 이름을 확인할 수 없는 경우, 노드는 자동으로 차단된 외부 DNS 확인 모드로 지정됩니다.

노드에서 내부 DNS 서버를 통해 공용 DNS 이름을 확인할 수 있는 경우, 각 노드에서 프록시 연결 테스트를 다시 실행하여 이 모드를 끌 수 있습니다.

시작하기 전에

내부 DNS 서버가 공용 DNS 이름을 확인할 수 있으며, 노드가 해당 서버와 통신할 수 있는지 확인합니다.
1

웹 브라우저에서 하이브리드 데이터 보안 노드 인터페이스(IP 주소/설정을 엽니다. 예: https://192.0.2.0/setup), 노드에 대해 설정한 관리 자격 증명을 입력한 후 로그인을 클릭합니다.

2

개요 (기본 페이지)로 이동합니다.

활성화되면 차단된 외부 DNS 확인로 설정됩니다.

3

신뢰 저장소 및 프록시 페이지로 이동합니다.

4

프록시 연결 확인을 클릭합니다.

외부 DNS 확인에 실패했다는 메시지가 나타나면 노드가 DNS 서버에 연결하지 못한 것이며, 이 모드에서 유지됩니다. 그렇지 않은 경우, 노드를 재부팅하고 개요 페이지로 돌아가면 차단된 외부 DNS 확인은 아니요로 설정됩니다.

다음에 수행할 작업

하이브리드 데이터 보안 클러스터의 각 노드에서 프록시 연결 테스트를 반복합니다.

노드 제거

Webex 클라우드에서 하이브리드 데이터 보안 노드를 제거하려면 이 절차를 사용하십시오. 클러스터에서 노드를 제거한 후 가상 머신을 삭제하여 보안 데이터에 대한 추가 액세스를 방지합니다.
1

컴퓨터에서 VMware vSphere 클라이언트를 사용하여 ESXi 가상 호스트에 로그인하고 가상 머신의 전원을 끕니다.

2

노드를 제거합니다.

  1. Partner Hub에 로그인한 후 서비스를 선택합니다.

  2. 하이브리드 데이터 보안 카드에서 모두 보기 를 클릭하여 하이브리드 데이터 보안 리소스 페이지를 표시합니다.

  3. 클러스터를 선택하여 개요 목록을 표시합니다.

  4. 제거할 노드를 클릭합니다.

  5. 오른쪽에 나타나는 목록에서 이 노드 등록 해제 를 클릭합니다.

  6. 노드의 오른쪽에서…을 클릭하고 이 노드 제거를 선택하여 노드의 등록을 해제할 수도 있습니다.

3

vSphere 클라이언트에서 VM을 삭제합니다. (왼쪽 네비게이션 분할 창에서 VM을 오른쪽 클릭하고 삭제를 클릭합니다.)

VM을 삭제하지 않는 경우 구성 ISO 파일을 마운트 해제하십시오. ISO 파일이 없으면 VM을 사용하여 보안 데이터에 액세스할 수 없습니다.

대기 데이터 센터를 사용하여 장애 복구

하이브리드 데이터 보안 클러스터에서 제공하는 가장 중요한 서비스는 메시지 및 Webex 클라우드에 저장된 기타 콘텐츠를 암호화하는 데 사용되는 키를 만들고 저장하는 것입니다. 하이브리드 데이터 보안에 지정된 조직 내의 각 사용자에 대해 새로운 키 만들기 요청은 클러스터로 라우팅됩니다. 또한 클러스터는 생성된 키를 검색할 권한이 있는 모든 사용자(예: 대화 스페이스의 구성원)에게 해당 키를 반환해야 합니다.

클러스터는 이러한 키를 제공하는 중요한 기능을 수행하므로, 클러스터가 계속 실행되고 올바른 백업이 유지관리되어야 합니다. 하이브리드 데이터 보안 데이터베이스나 스키마에 대해 사용된 구성 ISO가 손실되면 고객 콘텐츠가 복구할 수 없게 됩니다. 다음 실행은 이러한 유실을 방지하기 위해 필수적입니다.

장애가 발생하여 기본 데이터 센터에서 HDS 배포를 사용할 수 없게 하는 경우, 이 절차를 따라 대기 데이터 센터로 수동으로 장애 조치하십시오.

시작하기 전에

노드 제거에서 언급한 대로 Partner Hub에서 모든 노드를 등록 해제합니다. 이전에 활성 상태였던 클러스터의 노드에 대해 구성된 최신 ISO 파일을 사용하여 아래에 언급한 장애 조치 절차를 수행합니다.
1

HDS 설정 도구를 시작하고 HDS 호스트에 대해 구성 ISO 만들기에서 언급한 단계를 따릅니다.

2

구성 프로세스를 완료하고 쉽게 찾을 수 있는 위치에 ISO 파일을 저장합니다.

3

로컬 시스템에서 ISO 파일의 백업 복사본을 만듭니다. 백업 복사본을 안전하게 유지합니다. 이 파일에는 데이터베이스 콘텐츠에 대한 마스터 암호화 키가 포함됩니다. 구성을 변경해야 하는 하이브리드 데이터 보안 관리자에게만 액세스를 제한합니다.

4

VMware vSphere 클라이언트의 왼쪽 네비게이션 분할 창에서 VM을 오른쪽 클릭하고 설정 편집을 클릭합니다.

5

설정 편집 > CD/DVD 드라이브 1 을 클릭하고 데이터스토어 ISO 파일을 선택합니다.

노드를 시작한 후에 업데이트된 구성 변경 사항이 적용될 수 있도록 연결됨시동 시 연결 이 체크되었는지 확인하십시오.

6

HDS 노드를 시동하고 최소한 15분 동안 경보가 없는지 확인하십시오.

7

Partner Hub에서 노드를 등록합니다. 클러스터에서 첫 번째 노드 등록을 참조하십시오.

8

대기 데이터 센터의 모든 노드에 대해 프로세스를 반복합니다.

다음에 수행할 작업

장애 조치 후 기본 데이터 센터가 다시 활성화되면 대기 데이터 센터의 노드를 등록 해제하고 상단에 언급한 대로 기본 데이터 센터의 노드 등록 및 ISO 구성 및 등록 과정을 반복합니다.

(선택 사항) HDS 구성 후 ISO 제거

표준 HDS 구성은 ISO가 장착된 상태에서 실행됩니다. 그러나 일부 고객은 ISO 파일을 계속 마운트하지 않는 것을 선호합니다. 모든 HDS 노드가 새로운 구성을 적용하면 ISO 파일을 마운트 해제할 수 있습니다.

여전히 ISO 파일을 사용하여 구성을 변경합니다. 설정 도구를 통해 새로운 ISO를 만들거나 ISO를 업데이트할 때 모든 HDS 노드에 업데이트된 ISO를 마운트해야 합니다. 모든 노드에서 구성 변경 사항을 적용하면 이 절차를 사용하여 ISO를 다시 마운트 해제할 수 있습니다.

시작하기 전에

모든 HDS 노드를 버전 2021.01.22.4720 이상으로 업그레이드하십시오.

1

HDS 노드 중 하나를 종료합니다.

2

vCenter Server Appliance에서 HDS 노드를 선택합니다.

3

설정 편집 > CD/DVD 드라이브 를 선택하고 데이터스토어 ISO 파일을 체크 해제합니다.

4

HDS 노드를 시동하고 20분 이상 알람이 없는지 확인합니다.

5

각 HDS 노드에 대해 차례로 반복합니다.

하이브리드 데이터 보안 문제 해결하기

경고 보기 및 문제 해결하기

클러스터의 모든 노드에 연결할 수 없거나 클러스터가 너무 느리게 작동하여 시간 초과를 요청하는 경우 하이브리드 데이터 보안 배포를 사용할 수 없는 것으로 간주됩니다. 사용자가 하이브리드 데이터 보안 클러스터에 연결할 수 없는 경우, 다음 증상을 경험합니다.

  • 새로운 스페이스가 생성되지 않음 (새 키를 만들 수 없음)

  • 다음 경우에 대해 메시지 및 스페이스 제목을 해독하지 못함:

    • 새로운 사용자가 스페이스에 추가됨 (키를 페치할 수 없음)

    • 스페이스에서 기존의 사용자가 새로운 클라이언트 사용 (키를 페치할 수 없음)

  • 스페이스에 있는 기존의 사용자는 클라이언트에 암호화 키의 캐시가 있는 한 계속 성공적으로 실행함

서비스가 중단되지 않게 하려면 하이브리드 데이터 보안 클러스터를 올바르게 모니터링하고 경고를 즉시 해결하는 것이 중요합니다.

경고

하이브리드 데이터 보안 설정에 문제가 있는 경우, Partner Hub는 조직 관리자에게 경고를 표시하고 구성된 이메일 주소로 이메일을 보냅니다. 경고는 여러 가지 일반적인 상황을 다룹니다.

표 1. 일반적인 문제 및 문제를 해결하기 위한 단계

경고

작업

로컬 데이터베이스 액세스 실패.

데이터베이스 오류 또는 로컬 네트워크 문제를 확인합니다.

로컬 데이터베이스 연결 실패.

데이터베이스 서버를 사용할 수 있는지, 노드 구성에서 올바른 서비스 계정 자격 증명이 사용되고 있는지 확인합니다.

클라우드 서비스 액세스 실패.

외부 연결 요구 사항에 지정된 대로 노드가 Webex 서버에 액세스할 수 있는지 확인합니다.

클라우드 서비스 등록을 갱신하는 중.

클라우드 서비스로의 등록이 중단됩니다. 현재 등록을 갱신하는 중.

클라우드 서비스 등록이 중단됩니다.

클라우드 서비스로의 등록이 종료됩니다. 서비스가 종료됩니다.

서비스가 아직 활성화되지 않았습니다.

Partner Hub에서 Hds를 활성화합니다.

구성된 도메인이 서버 인증서와 일치하지 않습니다.

서버 인증서가 구성된 서비스 활성화 도메인과 일치하는지 확인합니다.

원인은 최근에 인증서 CN이 변경되었으며 현재 초기 설정 중에 사용된 CN과 다른 CN이 사용되고 있기 때문일 가능성이 높습니다.

클라우드 서비스에 인증하지 못함.

정확성 및 서비스 계정 자격 증명의 만료일을 확인합니다.

로컬 키 저장소 파일을 열지 못함.

로컬 키 저장소 파일에서 무결성 및 비밀번호 정확성을 확인합니다.

로컬 서버 인증서가 유효하지 않습니다.

서버 인증서의 만료 날짜를 확인하고, 신뢰할 수 있는 인증 기관에서 발행한 것인지 확인합니다.

메트릭을 게시할 수 없음.

외부 클라우드 서비스로의 로컬 네트워크 액세스를 확인합니다.

/media/configdrive/hds 디렉토리가 존재하지 않습니다.

가상 호스트에서 ISO 마운트 구성을 확인합니다. ISO 파일이 존재하는지 확인하고, 해당 파일이 재부팅 시에 마운트하도록 구성되었는지, 성공적으로 마운트되는지를 확인합니다.

추가된 조직에 대해 테넌트 조직 설정이 완료되지 않음

HDS 설정 도구를 사용하여 새롭게 추가된 테넌트 조직에 대해 CMK를 생성하여 설정을 완료하십시오.

제거된 조직에 대해 테넌트 조직 설정이 완료되지 않음

HDS 설정 도구를 사용하여 제거된 테넌트 조직의 CMK를 취소하여 설정을 완료하십시오.

하이브리드 데이터 보안 문제 해결하기

하이브리드 데이터 보안의 문제를 해결할 때 다음 일반적인 안내를 사용하십시오.
1

Partner Hub를 확인하여 경고를 확인하고 여기에서 찾을 수 있는 항목을 수정하십시오. 참조에 대해서는 아래 이미지를 참조하십시오.

2

하이브리드 데이터 보안 배포에서 활동에 대한 syslog 서버 출력을 확인합니다. 문제 해결에 도움이 되도록 "경고" 및 "오류"와 같은 단어를 필터링합니다.

3

Cisco 고객 지원으로 연락합니다.

기타 메모

하이브리드 데이터 보안 알려진 문제

  • 하이브리드 데이터 보안 클러스터를 Partner Hub에서 삭제하거나 모든 노드를 종료하는 경우, 구성 ISO 파일을 잃거나 키 저장소 데이터베이스에 액세스할 수 없는 경우, 고객 조직의 WeBEX 앱 사용자는 더 이상 KMS의 키로 생성된 사용자 목록 아래에 있는 스페이스를 사용할 수 없습니다. 현재 이 문제에 대한 해결 방법은 없으며, HDS 서비스에서 활동 중인 사용자 계정을 처리하고 있는 경우에 해당 서비스를 종료하지 말 것을 강조합니다.

  • KMS에 대한 기존의 ECDH 연결이 있는 클라이언트는 특정 기간(1시간 정도) 동안 해당 연결을 유지합니다.

OpenSSL을 사용하여 PKCS12 파일 생성

시작하기 전에

  • OpenSSL은 HDS 설정 도구에서 로딩하기 위해 PKCS12 파일을 적합한 형식으로 만드는 데 사용할 수 있는 도구입니다. 이 작업을 실행할 수 있는 다른 방법이 있으며, 특정 방법을 더 지원하거나 홍보하지 않습니다.

  • OpenSSL을 사용하도록 선택한 경우, 이 절차를 X.509 인증서 요구 사항에서 X.509 인증서 요구 사항을 충족하는 파일을 만드는 데 도움이 되는 가이드라인으로 제공합니다. 진행하기 전에 다음 요구 사항을 숙지하십시오.

  • 지원되는 환경에서 OpenSSL을 설치합니다. 소프트웨어 및 문서에 대해서는 https://www.openssl.org을(를) 참조하십시오.

  • 비공개 키를 만듭니다.

  • 인증 기관(CA)으로부터 서버 인증서를 수신한 후에 이 절차를 시작하십시오.

1

인증 기관(CA)으로부터 서버 인증서를 수신한 후 hdsnode.pem으로 저장합니다.

2

인증서를 텍스트로 표시하고 세부 사항을 확인합니다.

openssl x509 -text -noout -in hdsnode.pem

3

텍스트 편집기를 사용하여 hdsnode-bundle.pem으로 칭하는 인증서 번들 파일을 만듭니다. 번들 파일에는 서버 인증서, 모든 중간 CA 인증서 및 루트 CA 인증서가 아래의 형식으로 포함되어야 합니다.

-----인증서 시작----- ### 서버 인증서. ### -----인증서 종료---- -----인증서 시작----- ### 중간 CA 인증서. ### -----인증서 종료---- -----인증서 시작----- ### 루트 ca 인증서. ### -----인증서 종료-----

4

쉽게 알 수 있는 이름인 kms-private-key로 .p12 파일을 만듭니다.

openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

5

서버 인증서 세부 사항을 확인합니다.

  1. openssl pkcs12 -in hdsnode.p12

  2. 안내에 따라 비밀번호를 입력하여 비공개 키를 암호화하고 출력에 표시되게 합니다. 그 후 비공개 키 및 첫 번째 인증서에 friendlyName: kms-private-key 줄이 포함되었는지 확인합니다.

    예:

    bash$ openssl pkcs12 -in hdsnode.p12 가져오기 비밀번호 입력: MAC이 다음 항목을 확인: OK Bag 속성 friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 키 속성:  PEM 암호 구문 입력: 확인 중 - PEM 암호 입력: -----암호화된 비공개 키 시작-----  -----암호화된 비공개 키 종료------ 백 속성 friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 SUBJECT=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt/CN=Let's Encrypt Authority X3 ------BEGIN CERTIFICATE-----  -----END CERTIFICATE------ Bag 속성 friendly이름: CN=Authority X3 암호화,O=Let's 암호화,C=US subject=/C=US/O=Let's Encrypt/CN=Authority X3 issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3 ------인증서 시작-----  -----인증서 종료------

다음에 수행할 작업

하이브리드 데이터 보안에 대한 전제 조건 완료로 돌아갑니다. hdsnode.p12 파일 및 해당 파일에 대해 설정한 비밀번호를 HDS 호스트에 대해 구성 ISO 만들기에서 사용합니다.

원래 인증서가 만료될 때 이러한 파일을 다시 사용하여 새 인증서를 요청할 수 있습니다.

HDS 노드 및 클라우드 간 트래픽

아웃바운드 메트릭 수집 트래픽

하이브리드 데이터 보안 노드는 특정 메트릭을 Webex 클라우드로 보냅니다. 여기에는 최대 힙, 사용된 힙, CPU 로드 및 스레드 수에 대한 시스템 메트릭이 포함됩니다. 또한 동기적 스레드 및 비동기적 스레드에 대한 메트릭, 암호화 연결, 대시 시간 또는 요청 대기열 길이의 임계값과 관련된 경고에 대한 메트릭, 데이터스토어 관련 메트릭 및 암호화 연결 메트릭도 포함됩니다. 노드는 대역 외(요청과 별개) 채널을 통해 암호화된 키 자료를 보냅니다.

인바운드 트래픽

하이브리드 데이터 보안 노드는 Webex 클라우드에서 다음 유형의 인바운드 트래픽을 수신합니다.

  • 클라이언트로부터 암호화 요청. 암호화 서비스에서 라우트됨

  • 노드 소프트웨어로 업그레이드

하이브리드 데이터 보안에 대해 Squid 프록시 구성

웹 소켓은 Squid 프록시를 통해 연결할 수 없음

HTTPS 트래픽을 검사하는 Squid 프록시는 하이브리드 데이터 보안에서 요구하는 웹소켓(wss:) 연결을 설정하는 데 방해가 될 수 있습니다. 다음 섹션에서는 서비스가 올바르게 작동하도록 다양한 버전의 Squid에서 wss: 트래픽을 무시하도록 구성하는 방법에 대한 안내를 제공합니다.

Squid 4 및 5

on_unsupported_protocolsquid.conf에 지시어를 추가합니다.

on_unsupported_protocol 모두 터널

Squid 3.5.27

squid.com에 추가된 다음 규칙으로 하이브리드 데이터 보안을 성공적으로 테스트했습니다. 이 규칙은 기능을 개발하고 Webex 클라우드를 업데이트 함에 따라 변경될 수도 있습니다.

acl wssMercuryConnection ssl::server_name_regex 수성 연결 ssl_bump 스플라이스 wssMercuryConnection acl step1 at_step SslBump1 acl step2 at_step SslBump2 acl step3 at_step SslBump3 ssl_bump 엿보기 step1 ssl_bump stare step2 ssl_bump bump step3 all

새 정보 및 변경된 정보

새 정보 및 변경된 정보

이 표는 새로운 기능 또는 기능, 기존의 콘텐츠에 대한 변경 사항 및 멀티 테넌트 하이브리드 데이터 보안의 배포 안내서에서 수정된 주요 오류를 설명합니다.

날짜

변경 사항 적용됨

2025년 1월 8일 목요일

초기 설정 실행 및 설치 파일 다운로드 에 Partner Hub에서 HDS 카드에서 설정 을 클릭하면 설치 프로세스의 중요한 단계임을 알리는 메모를 추가했습니다.

2025년 1월 7일 목요일

ESXi 7.0의 새로운 요구 사항을 표시하기 위해 가상 호스트 요구 사항, 하이브리드 데이터 보안 배포 작업 흐름HDS 호스트 OVA 설치 를 업데이트했습니다.

2024년 12월 13일 목요일

처음으로 공개되었습니다.

멀티 테넌트 하이브리드 데이터 보안 비활성화

멀티 테넌트 HDS 비활성화 작업 흐름

멀티 테넌트 HDS를 완전히 비활성화하려면 다음 단계를 따르십시오.

시작하기 전에

이 작업은 파트너 전체 관리자가 실행해야 합니다.
1

테넌트 조직 제거에서 언급한 대로 모든 클러스터에서 모든 고객을 제거합니다.

2

HDS에서 제거된 테넌트의 CMK 취소에서 언급한 대로 모든 고객의 CMK를 취소합니다.

3

노드 제거에서 언급한 대로 모든 클러스터에서 모든 노드를 제거합니다.

4

다음 두 가지 방법 중 하나를 사용하여 Partner Hub에서 모든 클러스터를 삭제합니다.

  • 삭제할 클러스터를 클릭하고 개요 페이지의 상단 오른쪽 모서리에서 이 클러스터 삭제 를 선택합니다.
  • 리소스 페이지에서 클러스터의 오른쪽에 있는 …을 클릭하고 클러스터 제거를 선택합니다.
5

하이브리드 데이터 보안 개요 페이지에서 설정 탭을 클릭하고 HDS 상태 카드에서 HDS 비활성화 를 클릭합니다.

멀티 테넌트 하이브리드 데이터 보안 시작하기

멀티 테넌트 하이브리드 데이터 보안 개요

처음부터 데이터 보안은 Webex 앱 설계에 있어 가장 중점적인 부분이었습니다. 이 보안의 토대는 KMS(Key Management Service)와 상호 작용하는 Webex 앱 클라이언트가 활성화하는 종단 간 콘텐츠 암호화입니다. KMS는 클라이언트가 메시지 및 파일을 동적으로 암호화하고 해독하는 데 사용하는 암호화 키를 만들고 관리합니다.

기본적으로 모든 Webex 앱 고객은 Cisco의 보안 영역에 있는 클라우드 KMS에 저장된 동적인 키로 종단 간 암호화를 사용합니다. 하이브리드 데이터 보안은 KMS 및 기타 보안 관련 기능을 기업의 데이터 센터로 이동시키기 때문에 암호화된 콘텐츠에는 귀하만 접근할 수 있습니다.

멀티 테넌트 하이브리드 데이터 보안 을 통해 조직은 신뢰할 수 있는 로컬 파트너를 통해 HDS를 활용할 수 있습니다. 이는 서비스 제공자 역할을 하고 온-프레미스 암호화 및 기타 보안 서비스를 관리할 수 있습니다. 이 설정을 통해 파트너 조직은 암호화 키의 배포 및 관리를 완전히 제어할 수 있으며, 고객 조직의 사용자 데이터가 외부 액세스로부터 안전한지 확인합니다. 파트너 조직은 필요에 따라 HDS 인스턴스를 설정하고 HDS 클러스터를 만듭니다. 각 인스턴스는 한 개의 조직으로 제한되는 일반 HDS 배포와 달리 다수의 고객 조직을 지원할 수 있습니다.

파트너 조직은 배포 및 관리를 제어할 수 있지만, 고객이 생성한 데이터 및 콘텐츠에 액세스할 수 없습니다. 이 액세스는 고객 조직 및 사용자로 제한됩니다.

또한 데이터 센터와 같은 주요 관리 서비스 및 보안 인프라가 신뢰할 수 있는 로컬 파트너가 소유하고 있기 때문에 소규모 조직이 HDS를 활용할 수도 있습니다.

멀티 테넌트 하이브리드 데이터 보안이 데이터 주권 및 데이터 제어를 제공하는 방법

  • 사용자가 생성한 콘텐츠는 클라우드 서비스 공급자와 같은 외부 액세스로부터 보호됩니다.
  • 로컬 신뢰할 수 있는 파트너는 이미 설정된 관계를 갖고 있는 고객의 암호화 키를 관리합니다.
  • 파트너가 제공하는 경우 로컬 기술 지원에 대한 옵션.
  • 미팅, 메시징 및 통화 콘텐츠를 지원합니다.

이 문서는 파트너 조직이 멀티 테넌트 하이브리드 데이터 보안 시스템에서 고객을 설정하고 관리할 수 있게 지원하기 위한 것입니다.

멀티 테넌트 하이브리드 데이터 보안의 역할

  • 파트너 전체 관리자 - 파트너가 관리하는 모든 고객에 대한 설정을 관리할 수 있습니다. 또한 조직의 기존 사용자에게 관리자 역할을 지정하고 파트너 관리자가 관리할 특정 고객을 지정할 수도 있습니다.
  • 파트너 관리자 - 관리자가 구축했거나 사용자에게 지정된 고객에 대한 설정을 관리할 수 있습니다.
  • 전체 관리자 - 조직 설정 수정, 라이센스 관리 및 역할 지정 등 작업을 수행할 수 있는 권한이 있는 파트너 조직의 관리자.
  • 모든 고객 조직의 종단 간 멀티 테넌트 HDS 설정 및 관리 - 파트너 전체 관리자 및 전체 관리자 권한이 필요합니다.
  • 지정된 테넌트 조직의 관리 - 파트너 관리자 및 전체 관리자 권한이 필요합니다.

보안 영역 아키텍처

Webex 클라우드 아키텍처는 아래와 같이 다른 유형의 서비스를 별도의 영역 또는 신뢰 도메인으로 구분합니다.

분리 영역 (하이브리드 데이터 보안 포함하지 않음)

하이브리드 데이터 보안을 더욱 잘 이해하기 위해 먼저 Cisco가 클라우드 영역에서 모든 기능을 제공하는 순수한 클라우드 사례를 살펴보겠습니다. 아이덴티티 서비스(사용자가 이메일 주소 등의 개인 정보와 직접 연관될 수 있는 유일한 장소)는 논리적, 물리적으로 데이터 센터 B에 있는 보안 영역과 분리됩니다. 따라서 두 부분 모두 데이터 센터 C에서 암호화된 콘텐츠가 궁극적으로 저장되는 영역과 분리됩니다.

이 다이어그램에서 클라이언트는 사용자의 노트북에서 실행되고 있는 Webex 앱이며, 아이덴티티 서비스로 인증되었습니다. 사용자가 스페이스에 보낼 메시지를 작성할 때 다음 단계가 실행됩니다.

  1. 클라이언트는 KMS(Key management service)를 사용하여 보안 연결을 설정한 후 메시지를 해독하기 위해 키를 요청합니다. 보안 연결은 ECDH를 사용하고, KMS는 AES-256 마스터 키를 사용하여 키를 암호화합니다.

  2. 메시지는 클라이언트에게 발송되기 전에 암호화됩니다. 클라이언트는 메시지를 인덱싱 서비스로 보내며, 여기에서 해당 콘텐츠에 대한 향후 검색에서 지원할 암호화된 검색 인덱스를 만듭니다.

  3. 암호화된 메시지는 규정 준수 확인을 위해 준수 서비스로 발송됩니다.

  4. 암호화된 메시지는 스토리지 영역에 저장됩니다.

하이브리드 데이터 보안을 배포할 때 보안 영역 기능(KMS, 인덱싱 및 규정 준수)을 온-프레미스 데이터 센터로 이동합니다. Webex를 구성하는 다른 클라우드 서비스(ID 및 콘텐츠 스토리지 포함)는 Cisco의 영역에 남아 있습니다.

다른 조직과 협업

조직에 있는 사용자는 정기적으로 Webex 앱을 사용하여 다른 조직에 있는 외부 참가자와 협업할 수도 있습니다. 해당 사용자가 귀하의 조직에서 소유하고 있는 스페이스에 대한 키를 요청하는 경우(귀사의 사용자 중의 한 명이 생성했기 때문), KMS는 ECDH 보안 채널을 통해 해당 클라이언트에게 키를 보냅니다. 단, 다른 조직에서 스페이스에 대한 키를 소유하고 있는 경우, KMS는 개별 ECDH 채널을 통해 요청을 WeBEX 클라우드로 라우트하여 적합한 KMS에서 키를 가져온 후 원래 채널에 있는 사용자에게 해당 키를 반환합니다.

조직 A에서 실행되고 있는 KMS 서비스는 X.509 PKI 인증서를 사용하여 다른 조직에서 KMS에 대한 연결을 검증합니다. 멀티 테넌트 하이브리드 데이터 보안 배포에서 사용할 x.509 인증서 생성에 대한 자세한 내용은 환경 준비 를 참조하십시오.

하이브리드 데이터 보안 배포에 대해 예상되는 부분

하이브리드 데이터 보안 배포에는 암호화 키를 소유하고 있는 위험성에 대한 확고한 약속과 인식이 필요합니다.

하이브리드 데이터 보안을 배포하려면 다음 항목을 제공해야 합니다.

하이브리드 데이터 보안에 대해 빌드하는 구성 ISO나 제공하는 데이터베이스를 완전히 잃으면 키를 잃게 됩니다. 키 손실은 사용자가 Webex 앱에서 스페이스 콘텐츠 및 기타 암호화된 데이터를 해독하지 못하게 합니다. 이러한 경우, 새로운 배포를 빌드할 수 있지만 새로운 콘텐츠만 표시됩니다. 데이터로의 액세스를 잃지 않으려면 다음을 실행하십시오.

  • 데이터베이스 및 구성 ISO의 백업 및 복구를 관리합니다.

  • 데이터베이스 디스크 오류 또는 데이터 센터 장애 등 재해가 발생할 경우 빠른 장애 복구를 수행할 수 있도록 준비하십시오.

HDS 배포 후 키를 다시 클라우드로 이동하는 메커니즘은 없습니다.

고급 설정 프로세스

이 문서는 멀티 테넌트 하이브리드 데이터 보안 배포의 설정 및 관리를 다룹니다.

  • 하이브리드 데이터 보안 설정—여기에는 필수 인프라 준비 및 하이브리드 데이터 보안 소프트웨어 설치, HDS 클러스터 만들기, 테넌트 조직을 클러스터에 추가 및 고객 기본 키(CMK) 관리 등이 포함됩니다. 이는 고객 조직의 모든 사용자가 보안 기능에 대해 하이브리드 데이터 보안 클러스터를 사용할 수 있게 합니다.

    설정, 활성화 및 관리 단계는 다음 세 장에서 자세히 다룹니다.

  • 하이브리드 데이터 보안 배포 유지—Webex 클라우드는 진행 중인 업그레이드를 자동으로 제공합니다. IT 부서는 이 배포에 대한 1단계 지원을 제공하고, 필요에 따라 Cisco 고객 지원과 작업할 수 있습니다. Partner Hub에서 화면에 알림을 사용하고 이메일 기반 경고를 설정할 수 있습니다.

  • 공통 경고, 문제 해결하기 단계 및 알려진 문제 이해하기—하이브리드 데이터 보안을 배포하거나 사용하는 데 문제가 발생하는 경우, 이 안내서의 마지막 장 및 알려진 문제 부록은 문제를 파악하고 수정하는 데 도움이 될 수 있습니다.

하이브리드 데이터 보안 배포 모델

기업 데이터 센터 내에서 개별 가상 호스트에 하이브리드 데이터 보안을 한 개의 노드로 배포합니다. 노드는 보안 웹소켓 및 보안 HTTP를 통해 Webex 클라우드와 통신합니다.

설치 과정 중에 귀하가 제공하는 VM에 가상 기기를 설정하기 위한 OVA 파일을 제공합니다. HDS Setup 도구를 사용하여 각 노드에서 마운트한 사용자 정의 클러스터 구성 ISO 파일을 만듭니다. 하이브리드 데이터 보안 클러스터는 제공된 Syslogd 서버 및 PostgreSQL 또는 Microsoft SQL Server 데이터베이스를 사용합니다. (HDS 설정 도구에서 Syslogd 및 데이터베이스 연결 세부 정보를 구성합니다.)

하이브리드 데이터 보안 배포 모델

한 개의 클러스터에 포함할 수 있는 최소한의 노드 수는 2개입니다. 클러스터당 최소한 세 개를 권장합니다. 여러 노드를 사용하면 노드에서 소프트웨어 업그레이드 또는 기타 유지관리 활동 중에 서비스가 중단되지 않도록 합니다. (Webex 클라우드는 한 번에 한 개의 노드만 업그레이드합니다.)

클러스터에 있는 모든 노드는 동일한 키 데이터스토어에 액세스하고, 동일한 시스로그 서버에 활동을 로그합니다. 노드 자체는 상태를 저장하지 않으며, 클라우드에서 디렉트된 대로 라운드 로빈 방법으로 키 요청을 처리합니다.

Partner Hub에서 노드를 등록하면 노드가 활성화됩니다. 개별 노드의 서비스를 중단시키려면 등록 해제하고 나중에 필요할 때 다시 등록할 수 있습니다.

재해 복구를 위한 대기 데이터 센터

배포 중에 보안 대기 데이터 센터를 설정합니다. 데이터 센터 장애 발생 시 대기 데이터 센터로 수동으로 배포를 실패할 수 있습니다.

장애 조치 전에 데이터 센터 A에 활성 HDS 노드 및 기본 PostgreSQL 또는 Microsoft SQL Server 데이터베이스가 있는 반면, B에 추가 구성이 포함된 ISO 파일의 사본, 조직에 등록된 VM 및 대기 데이터베이스가 있습니다. 장애 조치 후 데이터 센터 B에는 활성 HDS 노드 및 기본 데이터베이스가 있는 반면, A에 등록 해제된 VM 및 ISO 파일의 사본이 있으며, 데이터베이스는 대기 모드입니다.
대기 데이터 센터에 수동 장애 조치

활동 중 및 대기 데이터 센터의 데이터베이스가 서로 동기화되어 장애 조치를 수행하는 데 소요되는 시간을 최소화합니다.

활동 중인 하이브리드 데이터 보안 노드는 항상 활동 중인 데이터베이스 서버와 동일한 데이터 센터에 위치해야 합니다.

프록시 지원

하이브리드 데이터 보안은 명시적, 투명 검사 및 비-검사 프록시를 지원합니다. 해당 프록시를 배포에 연결하여 기업에서 클라우드로의 트래픽을 안전하게 보호하고 모니터링할 수 있습니다. 인증서 관리에 대해 노드에서 플랫폼 관리 인터페이스를 사용하고, 노드에서 프록시를 설정한 후 전반적인 연결 상태를 확인하기 위해 사용할 수 있습니다.

하이브리드 데이터 보안 노드는 다음 프록시 옵션을 지원합니다.

  • 프록시 없음—프록시를 통합하기 위해 HDS 노드 설정 신뢰 저장소 및 프록시 구성을 사용하지 않는 경우의 기본값입니다. 인증서를 업데이트하지 않아도 됩니다.

  • 투명 비-검사 프록시—노드가 특정 프록시 서버 주소를 사용하도록 구성되지 않았으며, 비-검사 프록시에서 작동하도록 변경하지 않아도 됩니다. 인증서를 업데이트하지 않아도 됩니다.

  • 투명 터널링 또는 검사 프록시—노드가 특정 프록시 서버 주소를 사용하도록 구성되지 않았습니다. 노드에서 HTTP 또는 HTTPS 구성을 변경하지 않아도 됩니다. 단, 노드에 루트 인증서가 있어야 프록시를 신뢰할 수 있습니다. 일반적으로 검사 프록시는 IT가 어떤 웹사이트를 방문할 수 있는지 및 어떤 유형의 콘텐츠가 허용되는지에 대한 정책을 적용하기 위해 사용됩니다. 이러한 유형의 프록시는 모든 트래픽(HTTPS 포함)을 해독합니다.

  • 명시적 프록시—명시적 프록시를 사용하여 HDS 노드에 어떤 프록시 서버 및 인증 체계를 사용하는지 알립니다. 명시적 프록시를 구성하려면 각 노드에 다음 정보를 입력해야 합니다.

    1. 프록시 IP/FQDN—프록시 머신에 연결하기 위해 사용될 수 있는 주소입니다.

    2. 프록시 포트—프록시가 프록시된 트래픽을 수신하기 위해 사용하는 포트 번호입니다.

    3. 프록시 프로토콜—프록시 서버에서 지원하는 내용에 따라 다음 프로토콜 중에서 선택합니다.

      • HTTP—클라이언트가 전송하는 모든 요청을 확인하고 제어합니다.

      • HTTPS—서버에 채널을 제공합니다. 클라이언트는 서버의 인증서를 수신하고 유효성을 검증합니다.

    4. 인증 유형—다음 인증 유형 중에서 선택합니다.

      • 없음—추가 인증이 필요하지 않습니다.

        HTTP 또는 HTTPS를 프록시 프로토콜로 선택하는 경우에 사용할 수 있습니다.

      • 기본—요청을 할 때 HTTP 사용자 에이전트가 사용자 이름 및 비밀번호를 제공하기 위해 사용됩니다. Base64 인코딩을 사용합니다.

        HTTP 또는 HTTPS를 프록시 프로토콜로 선택하는 경우에 사용할 수 있습니다.

        각 노드에서 사용자 이름 및 비밀번호를 입력하도록 요구합니다.

      • 다이제스트—민감한 정보를 보내기 전에 계정을 확인하기 위해 사용됩니다. 네트워크를 통해 전송하기 전에 사용자 이름 및 비밀번호에 해시 기능을 적용합니다.

        HTTPS를 프록시 프로토콜로 선택하는 경우에만 사용할 수 있습니다.

        각 노드에서 사용자 이름 및 비밀번호를 입력하도록 요구합니다.

하이브리드 데이터 보안 노드 및 프록시의 예제

이 다이어그램은 하이브리드 데이터 보안, 네트워크 및 프록시 간의 예제 연결을 표시합니다. 투명 검사 및 HTTPS 명시적 검사 프록시 옵션에 대해 프록시 및 하이브리드 데이터 보안 노드에 동일한 루트 인증서가 설치되어 있어야 합니다.

차단된 외부 DNS 확인 모드 끄기 (명시적 프록시 구성)

노드를 등록하거나 노드의 프록시 구성을 확인할 때 프로세스는 Cisco Webex 클라우드에 대한 DNS 조회 및 연결을 테스트합니다. 내부 클라이언트에 대해 외부 DNS 확인을 허용하지 않는 명시적인 프록시 구성이 포함된 배포에서 노드가 DNS 서버를 쿼리할 수 없는 경우, 이는 자동으로 차단된 외부 DNS 확인 모드로 지정됩니다. 이 모드에서 노드 등록 및 다른 프록시 연결 테스트를 진행할 수 있습니다.

환경 준비

멀티 테넌트 하이브리드 데이터 보안의 요구 사항

Cisco Webex 라이센스 요구 사항

멀티 테넌트 하이브리드 데이터 보안을 배포하려면:

  • 파트너 조직: Cisco 파트너 또는 계정 관리자에게 연락하고 멀티 테넌트 기능이 활성화되었는지 확인하십시오.

  • 테넌트 조직: Cisco Webex Control Hub용 Pro Pack을 사용해야 합니다. (참조: https://www.cisco.com/go/pro-pack)

Docker 데스크탑 요구 사항

HDS 노드를 설치하기 전에 설치 프로그램을 실행하려면 Docker 데스크탑이 필요합니다. Docker는 최근 라이센싱 모델을 업데이트했습니다. 조직에서 Docker 데스크탑에 대해 유료 가입을 요구할 수도 있습니다. 자세한 내용은 Docker 블로그 게시물 " Docker가 업데이트 중 및 제품 가입 연장하기를 참조합니다.

X.509 인증서 요구 사항

인증서 체인은 다음 요구 사항을 충족해야 합니다.

표 1. 하이브리드 데이터 보안 배포를 위한 X.509 인증서 요구 사항

요구 사항

세부 정보

  • 신뢰할 수 있는 인증 기관(CA)에서 서명함

기본적으로 Mozilla 목록에 있는 CA를 https://wiki.mozilla.org/CA:IncludedCAs에서 신뢰합니다(WoSign 및 StartCom 예외).

  • 하이브리드 데이터 보안 배포를 식별하는 CN(Common Name) 도메인 이름을 나타냅니다.

  • 와일드카드 인증서가 아님

CN은 연결되어야 하거나, 실시간 호스트일 필요가 없습니다. 조직을 반영하는 이름을 사용할 것을 권장합니다. 예: hds.company.com

CN에는 *(와일드카드)를 포함할 수 없습니다.

CN은 Webex 앱 클라이언트에 대해 하이브리드 데이터 보안 노드를 확인하기 위해 사용됩니다. 클러스터에 있는 모든 하이브리드 데이터 보안 노드는 동일한 인증서를 사용합니다. KMS는 x.509v3 SAN 필드에 정의된 도메인이 아닌 CN 도메인을 사용하여 자체적으로 식별합니다.

이 인증서를 사용하여 노드를 등록하면 CN 도메인 이름에 대한 변경을 지원하지 않습니다.

  • Non-SHA1 signature

KMS 소프트웨어는 다른 조직의 KMS에 연결을 확인하는 작업에 대해 SHA1 서명을 지원하지 않습니다.

  • 비밀번호로 보호된 PKCS #12 파일로 형식화됨

  • kms-private-key의 알기 쉬운 이름을 사용하여 인증서, 비공개 키 및 업로드할 중간 인증서에 태그를 지정합니다.

OpenSSL 등의 변환기를 사용하여 인증서 형식을 변경할 수 있습니다.

HDS 설정 도구를 실행할 때 비밀번호를 입력해야 합니다.

KMS 소프트웨어는 키 사용 또는 확장된 키 사용 제한을 강요하지 않습니다. 일부 인증 기관에서는 각 인증서에 서버 인증과 같은 확장된 키 사용 제한을 적용하도록 요구합니다. 서버 인증 또는 기타 설정을 사용해도 괜찮습니다.

가상 호스트 요구 사항

클러스터에서 하이브리드 데이터 보안 노드로 설정할 가상 호스트에는 다음 요구 사항이 있습니다.

  • 동일한 보안 데이터 센터에 최소한 두 개의 개별 호스트(3개 권장됨)가 배치됨

  • VMware ESXi 7.0(또는 이상)이 설치되고 실행 중입니다.

    이전 버전의 ESXi가 있는 경우 업그레이드해야 합니다.

  • 최소 4개 vCPU, 8GB 기본 메모리, 서버당 30GB 로컬 하드 디스크 공간

데이터베이스 서버 요구 사항

키 스토리지에 대한 새 데이터베이스를 만듭니다. 기본 데이터베이스를 사용하지 마십시오. HDS 응용프로그램을 설치하면 데이터베이스 스키마가 생성됩니다.

데이터베이스 서버에는 두 가지 옵션이 있습니다. 각 요구 사항은 다음과 같습니다.

표 2. 데이터베이스 유형별 데이터베이스 서버 요구 사항

PostgreSQL의

Microsoft SQL 서버

  • PostgreSQL 14, 15 또는 16 설치 및 실행.

  • SQL Server 2016, 2017 또는 2019(기업 또는 표준)이 설치되었습니다.

    SQL Server 2016에는 서비스 팩 2 및 누적 업데이트 2 이상이 필요합니다.

최소 8개 vCPU, 16GB 메인 메모리, 충분한 하드 디스크 공간 및 초과하지 않도록 모니터링(스토리지를 늘리지 않고도 장기간 데이터베이스를 실행하려는 경우 2TB 권장됨)

최소 8개 vCPU, 16GB 메인 메모리, 충분한 하드 디스크 공간 및 초과하지 않도록 모니터링(스토리지를 늘리지 않고도 장기간 데이터베이스를 실행하려는 경우 2TB 권장됨)

현재 HDS 소프트웨어는 데이터베이스 서버와의 통신을 위해 다음 드라이버 버전을 설치합니다.

PostgreSQL의

Microsoft SQL 서버

Postgres JDBC 드라이버 42.2.5

SQL 서버 JDBC 드라이버 4.6

이 드라이버 버전은 SQL Server 항상 켜기(페일오버 클러스터 인스턴스 항상 켜기가용성 그룹 항상 켜기)를 지원합니다.

Microsoft SQL Server에 대한 Windows 인증에 대한 추가 요구 사항

HDS 노드가 Windows 인증을 사용하여 Microsoft SQL Server에서 키 저장소 데이터베이스에 액세스하도록 하려는 경우, 환경에서 다음 구성이 필요합니다.

  • HDS 노드, Active Directory 인프라 및 MS SQL 서버는 모두 NTP와 동기화되어야 합니다.

  • HDS 노드에 제공하는 Windows 계정은 데이터베이스에 대한 읽기/쓰기 액세스 권한이 있어야 합니다.

  • HDS 노드에 제공하는 DNS 서버는 KDC(Key Distribution Center)를 확인할 수 있어야 합니다.

  • Microsoft SQL Server의 HDS 데이터베이스 인스턴스를 Active Directory의 SPN(Service Principal Name)으로 등록할 수 있습니다. Kerberos 연결에 대해 서비스 기본 이름 등록을 참조하십시오.

    HDS 설정 도구, HDS 실행기 및 로컬 KMS는 모두 Windows 인증을 사용하여 키 저장소 데이터베이스에 액세스해야 합니다. Kerberos 인증으로 액세스를 요청할 때 ISO 구성의 세부 정보를 사용하여 SPN을 구성합니다.

외부 연결 요구 사항

HDS 응용프로그램에 대해 다음 연결을 허용하도록 방화벽을 구성합니다.

응용프로그램

프로토콜

포트

앱에서 방향

대상

하이브리드 데이터 보안 노드

TCP

443

아웃바운드 HTTPS 및 WSS

  • Webex 서버:

    • *.wbx2.com

    • *.ciscospark.com

  • 모든 공통 ID 호스트

  • Webex 서비스의 네트워크 요구 사항Webex 하이브리드 서비스의 추가 URL 표에 하이브리드 데이터 보안에 나열된 기타 URL

HDS 설정 도구

TCP

443

아웃바운드 HTTPS

  • *.wbx2.com

  • 모든 공통 ID 호스트

  • hub.docker.com

NAT 또는 방화벽이 앞의 표에 있는 도메인 대상에 필요한 아웃바운드 연결을 허용하는 한, 하이브리드 데이터 보안 노드는 네트워크 액세스 변환(NAT) 또는 방화벽 내에서 작동합니다. 하이브리드 데이터 보안 노드로 인바운드되는 연결에 대해서는 인터넷에서 포트가 표시되지 말아야 합니다. 데이터 센터 내에서 클라이언트는 관리의 목적을 위해 TCP 포트 443 및 22에서 하이브리드 데이터 보안 노드에 액세스해야 합니다.

CI(공통 ID) 호스트에 대한 URL은 지역별로 다릅니다. 현재 CI 호스트는 다음과 같습니다.

지역

공통 ID 호스트 URL

미주

  • https://idbroker.webex.com

  • https://identity.webex.com

  • https://idbroker-b-us.webex.com

  • https://identity-b-us.webex.com

유럽 연합

  • https://idbroker-eu.webex.com

  • https://identity-eu.webex.com

캐나다

  • https://idbroker-ca.webex.com

  • https://identity-ca.webex.com

싱가포르

  • https://idbroker-sg.webex.com

  • https://identity-sg.webex.com

아랍에미리트

  • https://idbroker-ae.webex.com

  • https://identity-ae.webex.com

프록시 서버 요구 사항

  • 하이브리드 데이터 보안 노드에 통합할 수 있는 다음 프록시 솔루션을 공식적으로 지원합니다.

  • 명시적 프록시에 대해 다음 인증 유형 조합을 지원합니다.

    • HTTP 또는 HTTPS로 인증하지 않음

    • HTTP 또는 HTTPS로 기본 인증

    • HTTPS로만 다이제스트 인증

  • 투명 검사 프록시 또는 HTTPS 명시적 프록시에 대해 프록시 루트 인증서의 복사본이 있어야 합니다. 이 안내서의 배포 지시 사항은 하이브리드 데이터 보안 노드의 신뢰 저장소에 사본을 업로드하는 방법을 설명합니다.

  • HDS 노드를 호스트하는 네트워크는 포트 443의 아웃바운드 TCP 트래픽이 프록시를 통해 라우팅하도록 구성되어야 합니다.

  • 웹 트래픽을 검사하는 프록시는 웹 소켓 연결을 방해할 수도 있습니다. 이 문제가 발생하는 경우, wbx2.comciscospark.com에 대한 트래픽을 우회(검사하지 않음)하면 문제를 해결할 수 있습니다.

하이브리드 데이터 보안에 대한 전제 조건 완료

이 검사 목록을 사용하여 하이브리드 데이터 보안 클러스터를 설치하고 구성할 준비가 되었는지 확인하십시오.
1

파트너 조직에 멀티 테넌트 HDS 기능이 활성화되었는지 확인하고 파트너 전체 관리자 및 전체 관리자 권한이 있는 계정의 자격 증명을 확보하십시오. Webex 고객 조직이 Cisco Webex Control Hub용 Pro Pack에 대해 활성화되었는지 확인하십시오. 이 과정에 대해 지원을 받으려면 Cisco 파트너 또는 계정 관리자에게 연락하십시오.

고객 조직에는 기존의 HDS 배포가 없어야 합니다.

2

HDS 배포에 대한 도메인 이름(예: hds.company.com)을 선택하고 X.509 인증서, 비공개 키 및 중간 인증서를 포함하는 인증서 체인을 확보합니다. 인증서 체인은 X.509 인증서 요구 사항에 있는 요구 사항을 충족해야 합니다.

3

클러스터에서 하이브리드 데이터 보안 노드로 설정할 동일한 가상 호스트를 준비하십시오. 가상 호스트 요구 사항의 요구 사항을 충족하는 동일한 보안 데이터 센터에 최소한 두 개의 개별 호스트(권장되는 3개)가 있어야 합니다.

4

데이터베이스 서버 요구 사항에 따라 클러스터에 대한 키 데이터 저장소 역할을 할 데이터베이스 서버를 준비합니다. 데이터베이스 서버는 가상 호스트와 함께 보안 데이터 센터에 위치해야 합니다.

  1. 키 스토리지에 대한 데이터베이스를 생성합니다. (이 데이터베이스를 만들어야 합니다. 기본 데이터베이스를 사용하지 마십시오. HDS 응용프로그램을 설치하면 데이터베이스 스키마가 생성됩니다.)

  2. 노드가 데이터베이스 서버와 통신하는 데 사용할 세부 사항을 수집하십시오.

    • 호스트 이름 또는 IP 주소 (호스트) 및 포트

    • 키 스토리지에 대한 데이터베이스의 이름(dbname)

    • 키 스토리지 데이터베이스에서 모든 권한을 가진 사용자의 사용자이름 및 비밀번호

5

빠른 장애 복구를 위해 다른 데이터 센터에 백업 환경을 설정합니다. 백업 환경은 VM과 백업 데이터베이스 서버의 프로덕션 환경을 반영합니다. 예를 들어, 프로덕션에 HDS 노드를 실행하는 3개의 VM이 있으면 백업 환경에도 3개의 VM이 있어야 합니다.

6

클러스터에 있는 노드에서 로그를 수집하도록 시스로그 호스트를 설정하십시오. 네트워크 주소 및 시스로그 포트를 수집합니다(기본값은 UDP 514).

7

하이브리드 데이터 보안 노드, 데이터베이스 서버 및 syslog 호스트에 대한 보안 백업 정책을 만듭니다. 복구할 수 없는 데이터 손실을 방지하기 위해 하이브리드 데이터 보안 노드에 대해 생성된 데이터베이스 및 구성 ISO 파일을 백업해야 합니다.

하이브리드 데이터 보안 노드는 콘텐츠의 암호화 및 해독에 사용되는 키를 저장하기 때문에 운영 중인 배포를 유지하지 못하면 해당 콘텐츠의 복구할 수 없는 손실 으로 이어질 수 있습니다.

Webex 앱 클라이언트는 키를 캐시하므로 정전이 즉시 눈에 띄지 않지만 시간이 지남에 따라 눈에 띄게 됩니다. 일시적인 중단은 예방할 수 없지만, 복구는 가능합니다. 그러나 데이터베이스 또는 구성 ISO 파일을 완전한 유실하면(사용할 수 있는 백업 없음) 고객 데이터를 복구할 수 없게 됩니다. 하이브리드 데이터 보안 노드의 운영자는 데이터베이스 및 구성 ISO 파일의 빈번한 백업을 유지하고, 치명적인 오류가 발생할 경우 하이브리드 데이터 보안 데이터 센터를 다시 빌드할 준비가 되어야 합니다.

8

방화벽 구성에서 외부 연결 요구 사항에 설명된 대로 하이브리드 데이터 보안 노드에 대한 연결을 허용하는지 확인합니다.

9

지원되는 OS(Microsoft Windows 10 Professional 또는 Enterprise 64비트 또는 Mac OSX Yosemite 10.10.3 이상)를 실행하는 로컬 머신에 Docker( https://www.docker.com)를 http://127.0.0.1:8080.에서 액세스할 수 있는 웹 브라우저를 설치합니다.

Docker 인스턴스를 사용하여 모든 하이브리드 데이터 보안 노드에 대한 로컬 구성 정보를 빌드하는 HDS 설정 도구를 다운로드하고 실행합니다. Docker 데스크탑 라이센스가 필요할 수 있습니다. 자세한 정보는 Docker 데스크탑 요구 사항 을 참조하십시오.

HDS 설정 도구를 설치하고 실행하려면 로컬 머신에 외부 연결 요구 사항에 설명된 연결이 있어야 합니다.

10

하이브리드 데이터 보안에 프록시를 통합하는 경우, 프록시 서버 요구 사항을 충족하는지 확인하십시오.

하이브리드 데이터 보안 클러스터 설정

하이브리드 데이터 보안 배포 작업 흐름

시작하기 전에

1

초기 설정을 수행하고 설치 파일 다운로드

나중에 사용할 수 있도록 OVA 파일을 로컬 머신으로 다운로드합니다.

2

HDS 호스트에 대해 구성 ISO 만들기

HDS 설정 도구를 사용하여 하이브리드 데이터 보안 노드에 대한 ISO 구성 파일을 만듭니다.

3

HDS 호스트 OVA 설치

OVA 파일에서 가상 머신을 만들고 네트워크 설정과 같은 초기 구성을 수행합니다.

OVA 배포 중 네트워크 설정을 구성하는 옵션은 ESXi 7.0에서 테스트되었습니다. 이전 버전에서 해당 옵션을 사용하지 못할 수도 있습니다.

4

하이브리드 데이터 보안 VM 설정

VM 콘솔에 로그인하고 로그인 자격 증명을 설정합니다. OVA 배포 시 구성하지 않은 경우 노드에 대한 네트워크 설정을 구성합니다.

5

HDS 구성 ISO 업로드 및 마운트

HDS 설정 도구를 사용하여 만든 ISO 구성 파일에서 VM을 구성합니다.

6

프록시 통합에 대해 HDS 노드 구성

네트워크 환경에 프록시 구성이 필요한 경우 노드에 사용할 프록시의 유형을 지정하고 필요에 따라 프록시 인증서를 신뢰 저장소에 추가합니다.

7

클러스터에서 첫 번째 노드 등록

하이브리드 데이터 보안 노드로 Cisco Webex 클라우드에 VM을 등록합니다.

8

추가 노드를 만들고 등록

클러스터 설정을 완료하십시오.

9

Partner Hub에서 멀티 테넌트 HDS를 활성화합니다.

Partner Hub에서 HDS를 활성화하고 테넌트 조직을 관리합니다.

초기 설정을 수행하고 설치 파일 다운로드

이 작업에서 OVA 파일을 컴퓨터에 다운로드합니다(하이브리드 데이터 보안 노드로 설정한 서버가 아님). 나중에 이 파일을 설치 프로세스에서 사용합니다.

1

Partner Hub에 로그인한 후 서비스를 클릭합니다.

2

클라우드 서비스 섹션에서 하이브리드 데이터 보안 카드를 찾은 후 설정을 클릭합니다.

Partner Hub에서 설정 을 클릭하면 배포 프로세스에 매우 중요합니다. 이 단계를 완료하지 않고 설치를 진행하지 마십시오.

3

리소스 추가 를 클릭하고 소프트웨어 설치 및 구성 카드에서 .OVA 파일 다운로드 를 클릭합니다.

이전 버전의 소프트웨어 패키지(OVA)는 최신 하이브리드 데이터 보안 업그레이드와 호환되지 않습니다. 이는 응용프로그램을 업그레이드하는 동안 문제가 발생할 수 있습니다. 최신 버전의 OVA 파일을 다운로드했는지 확인하십시오.

도움말 섹션에서 언제든지 OVA를 다운로드할 수도 있습니다. 설정 > 도움말 > 하이브리드 데이터 보안 소프트웨어 다운로드를 클릭합니다.

OVA 파일이 자동으로 다운로드되기 시작합니다. 머신에 있는 위치에 파일을 저장합니다.
4

선택적으로, 하이브리드 데이터 보안 배포 안내서 보기 를 클릭하여 이 안내서의 이후 버전을 사용할 수 있는지 확인합니다.

HDS 호스트에 대해 구성 ISO 만들기

하이브리드 데이터 보안 설정 프로세스는 ISO 파일을 만듭니다. 그 후 ISO를 사용하여 하이브리드 데이터 보안 호스트를 구성합니다.

시작하기 전에
1

머신의 명령줄에 사용자 환경에 적합한 명령을 입력합니다.

일반 환경:

docker rmi ciscocitg/hds-setup:안정

FedRAMP 환경:

도커 rmi ciscocitg/hds-setup-fedramp:stable

이 단계에서는 이전 HDS 설정 도구 이미지를 정리합니다. 이전 이미지가 없는 경우 무시할 수 있는 오류를 반환합니다.

2

Docker 이미지 레지스트리에 로그인하려면 다음을 입력합니다.

도커 로그인 -u hdscustomersro
3

비밀번호 프롬프트에 이 해시를 입력합니다.

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo는
4

사용자 환경에 맞는 최신 안정 이미지를 다운로드합니다.

일반 환경:

docker pull ciscocitg/hds-setup:안정

FedRAMP 환경:

docker pull ciscocitg/hds-setup-fedramp:안정
5

풀이 완료되면 사용자 환경에 적합한 명령을 입력합니다.

  • 프록시가 없는 일반 환경:

    도커 실행 -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

  • HTTP 프록시가 있는 일반 환경:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • HTTPS 프록시가 있는 일반 환경에서는:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • 프록시가 없는 FedRAMP 환경:

    도커 실행 -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • HTTP 프록시가 있는 FedRAMP 환경:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • HTTPS 프록시가 있는 FedRAMP 환경:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

컨테이너가 실행 중일 때 "포트 8080에서 수신하는 Express 서버"가 표시됩니다.

6

설정 도구는 http://localhost:8080을 통해 localhost에 연결하는 것을 지원하지 않습니다. http://127.0.0.1:8080 을(를) 사용하여 로컬 호스트에 연결합니다.

웹 브라우저를 사용하여 localhost, http://127.0.0.1:8080(으)로 이동하고 프롬프트에 Partner Hub의 관리 사용자 이름을 입력합니다.

이 도구는 사용자 이름의 이 첫 번째 항목을 사용하여 해당 계정에 적합한 환경을 설정합니다. 그런 다음 도구는 표준 로그인 프롬프트를 표시합니다.

7

안내를 받으면 Partner Hub 관리자 로그인 자격 증명을 입력한 후 로그인 을 클릭하여 하이브리드 데이터 보안에 필요한 서비스에 대한 액세스를 허용합니다.

8

설정 도구 개요 페이지에서 시작하기를 클릭합니다.

9

ISO 가져오기 페이지에 다음 옵션이 있습니다.

  • 아니요—첫 번째 HDS 노드를 만드는 경우, 업로드할 ISO 파일이 없습니다.
  • —HDS 노드를 이미 만든 경우, 찾아보기에서 ISO 파일을 선택하고 업로드합니다.
10

X.509 인증서가 X.509 인증서 요구 사항의 요구 사항을 충족하는지 확인합니다.

  • 이전에 인증서를 업로드하지 않은 경우, X.509 인증서를 업로드하고 비밀번호를 입력한 후 계속을 클릭합니다.
  • 인증서가 올바른 경우, 계속을 클릭합니다.
  • 인증서가 만료되었거나 교체하려는 경우, 이전 ISO에서 HDS 인증서 체인 및 비공개 키를 계속 사용? 에 대해 아니요를 선택합니다. 새로운 X.509 인증서를 업로드하고 비밀번호를 입력한 후 계속을 클릭합니다.
11

키 데이터 저장소에 액세스하기 위해 HDS의 데이터베이스 주소 및 계정을 입력합니다.

  1. 데이터베이스 유형 (PostgreSQL 또는 Microsoft SQL Server)을 선택합니다.

    Microsoft SQL Server를 선택하는 경우, 인증 유형 필드가 나타납니다.

  2. (Microsoft SQL Server 전용) 인증 유형을 선택합니다.

    • 기본 인증: 사용자이름 필드에 로컬 SQL Server 계정 이름이 필요합니다.

    • Windows 인증: 사용자이름 필드에 username@DOMAIN 형식의 Windows 계정이 필요합니다.

  3. 데이터베이스 서버 주소를 : 또는 : 형식으로 입력합니다.

    예:
    dbhost.example.org:1433 또는 198.51.100.17:1433

    노드에서 DNS를 사용하여 호스트 이름을 확인할 수 없는 경우 기본 인증에 대해 IP 주소를 사용할 수 있습니다.

    Windows 인증을 사용하고 있는 경우, 정규화된 도메인 이름을 dbhost.example.org:1433 형식으로 입력해야 합니다.

  4. 데이터베이스 이름을 입력합니다.

  5. 키 스토리지 데이터베이스에서 모든 권한이 있는 사용자의 사용자이름비밀번호 를 입력합니다.

12

TLS 데이터베이스 연결 모드를 선택합니다.

모드

설명

TLS 선호 (기본 옵션)

HDS 노드에서 TLS가 데이터베이스 서버에 연결하도록 요구하지 않습니다. 데이터베이스 서버에서 TLS를 활성화하는 경우 노드는 암호화된 연결을 시도합니다.

TLS 필요

데이터베이스 서버에서 TLS를 협상할 수 있는 경우에만 HDS 노드를 연결합니다.

TLS 필요 및 인증서 서명자 확인

이 모드는 SQL Server 데이터베이스에는 적용되지 않습니다.

  • 데이터베이스 서버에서 TLS를 협상할 수 있는 경우에만 HDS 노드를 연결합니다.

  • TLS 연결을 설정한 후 노드는 데이터베이스 서버에서 인증서의 서명자를 데이터베이스 루트 인증서에 있는 인증 기관과 비교합니다. 해당 정보가 일치하지 않으면 노드는 연결을 끊습니다.

이 옵션에 대해 루트 인증서를 업로드하려면 드롭다운 아래에 있는 데이터베이스 루트 인증서 제어를 사용하십시오.

TLS 필요 및 인증서 서명자, 호스트 이름 확인

  • 데이터베이스 서버에서 TLS를 협상할 수 있는 경우에만 HDS 노드를 연결합니다.

  • TLS 연결을 설정한 후 노드는 데이터베이스 서버에서 인증서의 서명자를 데이터베이스 루트 인증서에 있는 인증 기관과 비교합니다. 해당 정보가 일치하지 않으면 노드는 연결을 끊습니다.

  • 노드는 서버 인증서의 호스트 이름이 데이터베이스 호스트 및 포트 필드에 있는 호스트 이름과 일치하는지 확인합니다. 이름은 정확히 일치해야 하며, 그렇지 않으면 노드가 연결을 끊습니다.

이 옵션에 대해 루트 인증서를 업로드하려면 드롭다운 아래에 있는 데이터베이스 루트 인증서 제어를 사용하십시오.

루트 인증서를 업로드하고(필요한 경우) 계속을 클릭하면 HDS 설정 도구는 데이터베이스 서버에 대한 TLS 연결을 테스트합니다. 해당 도구는 인증서 서명자 및 호스트 이름도 확인합니다(해당하는 경우). 테스트가 실패하면 도구에서 문제를 설명하는 오류 메시지를 표시합니다. 오류를 무시할지 선택하고 설정을 계속할 수 있습니다. (연결성 차이로 인해 HDS 설정 도구 머신에서 성공적으로 테스트할 수 없는 경우에도 HDS 노드는 TLS 연결을 설정할 수 있습니다.)

13

시스템 로그 페이지에서 Syslogd 서버를 구성합니다.

  1. syslog 서버 URL을 입력합니다.

    서버가 HDS 클러스터에 대한 노드에서 DNS를 확인할 수 없는 경우 URL에 있는 IP 주소를 사용합니다.

    예:
    udp://10.92.43.23:514 는 UDP 포트 514에서 Syslogd 호스트 10.92.43.23에 대한 로깅을 가리킵니다.

  2. TLS 암호화를 사용하도록 서버를 설정한 경우, SSL 암호화에 대해 syslog 서버가 구성되었습니까?를 체크합니다.

    이 확인란을 선택하는 경우, tcp://10.92.43.23:514와 같은 TCP URL을 입력해야 합니다.

  3. syslog 녹화 종료 선택 드롭다운에서 ISO 파일에 적합한 설정을 선택합니다. Graylog 및 Rsyslog TCP에 대해 선택하거나 새로 고침을 사용합니다.

    • Null 바이트 -- \x00

    • 새로 고침 -- \n—Graylog 및 Rsyslog TCP에 대해 이 옵션을 선택합니다.

  4. 계속을 클릭합니다.

14

(선택 사항) 고급 설정에서 일부 데이터베이스 연결 파라미터에 대한 기본값을 변경할 수 있습니다. 일반적으로 이 파라미터는 변경할 수 있는 유일한 파라미터입니다.

app_datasource_connection_pool_max크기: 10
15

서비스 계정 비밀번호 재설정 화면에서 계속 을 클릭합니다.

서비스 계정 비밀번호의 수명은 9개월입니다. 비밀번호가 곧 만료되거나 이전 ISO 파일을 무효화하도록 재설정하고자 할 때 이 화면을 사용합니다.

16

ISO 파일 다운로드를 클릭합니다. 쉽게 찾을 수 있는 위치에 파일을 저장합니다.

17

로컬 시스템에서 ISO 파일의 백업 복사본을 만듭니다.

백업 복사본을 안전하게 유지합니다. 이 파일에는 데이터베이스 콘텐츠에 대한 마스터 암호화 키가 포함됩니다. 구성을 변경해야 하는 하이브리드 데이터 보안 관리자에게만 액세스를 제한합니다.

18

설정 도구를 종료하려면 CTRL + C 조합을 입력합니다.

다음에 수행할 작업

구성 ISO 파일을 백업합니다. 복구를 위해 추가 노드를 만들거나 구성을 변경하려면 이 노드가 필요합니다. ISO 파일의 모든 복사본을 잃게 되면 마스터 키도 잃게 됩니다. PostgreSQL 또는 Microsoft SQL Server 데이터베이스에서 키를 복구할 수 없습니다.

이 키의 사본은 가지고 있지 않으며, 잃어버리는 경우엔 지원할 수 없습니다.

HDS 호스트 OVA 설치

OVA 파일에서 가상 머신을 만들려면 이 절차를 따르십시오.
1

컴퓨터에서 VMware vSphere 클라이언트를 사용하여 ESXi 가상 호스트에 로그인합니다.

2

파일 > OVF 템플릿 배포를 선택합니다.

3

마법사에서 이전에 다운로드한 OVA 파일의 위치를 지정한 후 다음을 클릭합니다.

4

이름 및 폴더 선택 페이지에서 노드에 대한 가상 머신 이름 (예: "HDS_Node_1")을 입력하고 가상 머신 노드 배포가 상주할 수 있는 위치를 선택한 후 다음을 클릭합니다.

5

계산 리소스 선택 페이지에서 대상 계산 리소스를 선택한 후 다음을 클릭합니다.

유효성 검사가 실행됩니다. 완료되면 템플릿 세부 사항이 나타납니다.

6

템플릿 세부 사항을 확인한 후 다음을 클릭합니다.

7

구성 페이지에서 리소스 구성을 선택하도록 요청받는 경우, 4 CPU 를 클릭한 후 다음을 클릭합니다.

8

스토리지 선택 페이지에서 다음 을 클릭하여 기본 디스크 형식 및 VM 스토리지 정책을 수락합니다.

9

네트워크 선택 페이지에서 입력값의 목록에서 네트워크 옵션을 선택하여 VM에 원하는 연결을 제공합니다.

10

템플릿 사용자 정의 페이지에서 다음 네트워크 설정을 구성합니다.

  • 호스트 이름—노드에 대한 FQDN(호스트 이름 및 도메인) 또는 한 단어 호스트 이름을 입력합니다.

    • X.509 인증서를 얻는 데 사용된 도메인과 일치하도록 도메인을 설정할 필요는 없습니다.

    • 클라우드에 성공적으로 등록하려면 노드에 대해 설정한 FQDN 또는 호스트 이름에서 소문자만 사용하십시오. 현재 대문자 사용은 지원되지 않습니다.

    • FQDN의 총 길이는 64자를 초과하지 말아야 합니다.

  • IP 주소— 노드의 내부 인터페이스에 대한 IP 주소를 입력합니다.

    노드에는 내부 IP 주소 및 DNS 이름이 있어야 합니다. DHCP는 지원되지 않습니다.

  • 마스크—점-소수 표기법으로 서브넷 마스크 주소를 입력합니다. 예: 255.255.255.0.
  • 게이트웨이—게이트웨이 IP 주소를 입력합니다. 게이트웨이는 다른 네트워크에 대한 액세스 포인트로 사용되는 네트워크 노드입니다.
  • DNS 서버—도메인 이름을 숫자 IP 주소로 변환하는 DNS 서버의 콤마로 구분된 목록을 입력합니다. (최대 4개의 DNS 항목이 허용됩니다.)
  • NTP 서버—조직의 NTP 서버 또는 조직에서 사용될 수 있는 다른 외부 NTP 서버를 입력합니다. 기본 NTP 서버는 모든 기업에 대해 작동하지 않을 수 있습니다. 콤마로 구분된 목록을 사용하여 여러 NTP 서버를 입력할 수도 있습니다.

  • 관리의 목적을 위해 네트워크의 클라이언트에서 클러스터의 모든 노드에 연결할 수 있도록 동일한 서브넷 또는 VLAN에 모든 노드를 배포합니다.

원하는 경우, 네트워크 설정 구성을 건너뛰고 하이브리드 데이터 보안 VM 설정 에 설명된 단계를 따라 노드 콘솔에서 설정을 구성할 수 있습니다.

OVA 배포 중 네트워크 설정을 구성하는 옵션은 ESXi 7.0에서 테스트되었습니다. 이전 버전에서 해당 옵션을 사용하지 못할 수도 있습니다.

11

노드 VM을 오른쪽 클릭한 후 전원 > 전원 켜기를 선택합니다.

하이브리드 데이터 보안 소프트웨어는 VM 호스트에 손님으로 설치됩니다. 이제 콘솔에 로그인하고 노드를 구성할 준비가 되었습니다.

문제 해결하기 추가 정보

노드 포함자가 시작되기 전에 몇 분 정도 지연이 발생할 수도 있습니다. 첫 번째 부팅 중에 콘솔에 브리지 방화벽 메시지가 나타나며, 로그인할 수 없습니다.

하이브리드 데이터 보안 VM 설정

이 절차를 사용하여 처음으로 하이브리드 데이터 보안 노드 VM 콘솔에 로그인하고 로그인 자격 증명을 설정합니다. OVA 배포 시 구성하지 않은 경우 콘솔을 사용하여 노드에 대한 네트워크 설정을 구성할 수도 있습니다.

1

VMware vSphere 클라이언트에서 하이브리드 데이터 보안 노드 VM을 선택하고 콘솔 탭을 선택합니다.

VM이 부팅되고 로그인 프롬프트가 나타납니다. 로그인 프롬프트가 표시되지 않는 경우엔 Enter를 누릅니다.
2

다음 기본 로그인 및 비밀번호를 사용하여 로그인하고 자격 증명을 변경합니다.

  1. 로그인: admin

  2. 비밀번호: cisco

VM에 처음으로 로그인하고 있기 때문에 관리자 비밀번호를 변경하도록 요구받습니다.

3

HDS 호스트 OVA 설치에서 이미 네트워크 설정을 구성한 경우, 이 절차의 나머지 부분은 건너뜁니다. 그렇지 않으면 기본 메뉴에서 구성 편집 옵션을 선택합니다.

4

IP 주소, 마스크, 게이트웨이 및 DNS 정보로 정적 구성을 설정합니다. 노드에는 내부 IP 주소 및 DNS 이름이 있어야 합니다. DHCP는 지원되지 않습니다.

5

(선택 사항) 필요한 경우, 네트워크 정책과 일치하도록 호스트이름, 도메인 또는 NTP 서버를 변경합니다.

X.509 인증서를 얻는 데 사용된 도메인과 일치하도록 도메인을 설정할 필요는 없습니다.

6

네트워크 구성을 저장하고 VM을 다시 부팅하여 변경 사항을 적용합니다.

HDS 구성 ISO 업로드 및 마운트

HDS 설정 도구로 생성한 ISO 파일에서 가상 머신을 구성하려면 이 절차를 따르십시오.

시작하기 전에

ISO 파일은 마스터 키를 갖고 있기 때문에 이는 하이브리드 데이터 보안 VM 및 변경해야 할 수 있는 관리자가 액세스하기 위해 "알아야 할 것"으로만 노출되어야 합니다. 해당 관리자만 데이터스토어에 액세스할 수 있는지 확인하십시오.

1

컴퓨터에서 ISO 파일을 업로드합니다.

  1. VMware vSphere 클라이언트의 왼쪽 네비게이션 분할 창에서 ESXi 서버를 클릭합니다.

  2. 구성 탭의 하드웨어 목록에서 스토리지를 클릭합니다.

  3. 데이터스토어 목록에서 VM용 데이터스토어를 오른쪽 클릭하고 데이터스토어 찾아보기를 클릭합니다.

  4. 파일 업로드 아이콘을 클릭한 후 파일 업로드을 클릭합니다.

  5. 컴퓨터에서 ISO 파일을 다운로드한 위치를 찾고 열기를 클릭합니다.

  6. 를 클릭하여 업로드/다운로드 작업 경고를 수락하고 데이터스토어 대화 상자를 닫습니다.

2

ISO 파일을 마운트합니다.

  1. VMware vSphere 클라이언트의 왼쪽 네비게이션 분할 창에서 VM을 오른쪽 클릭하고 설정 편집을 클릭합니다.

  2. 확인을 클릭하여 제한된 편집 옵션 경고를 수락합니다.

  3. CD/DVD 드라이브 1을 클릭하고 데이터스토어 ISO 파일에서 마운트하기 위한 옵션을 선택한 후 구성 ISO 파일을 업로드한 위치를 찾습니다.

  4. 연결됨시동될 때 연결을 체크합니다.

  5. 변경 내용을 저장하고 가상 머신을 재부팅합니다.

다음에 수행할 작업

IT 정책에서 요구하는 경우, 모든 노드에서 구성 변경 사항을 적용한 후에 선택적으로 ISO 파일을 마운트 해제할 수 있습니다. 자세한 내용은 (선택 사항) HDS 구성 후 ISO 마운트 해제 를 참조하십시오.

프록시 통합에 대해 HDS 노드 구성

네트워크 환경에 프록시가 필요한 경우, 이 절차를 사용하여 하이브리드 데이터 보안에 통합하고자 하는 프록시의 유형을 지정합니다. 투명 검사 프록시 또는 HTTPS 명시적 프록시를 선택하는 경우, 노드의 인터페이스를 사용하여 루트 인증서를 업로드하고 설치할 수 있습니다. 인터페이스에서 프록시 연결을 확인하고 잠재적인 문제를 해결할 수도 있습니다.

시작하기 전에

1

웹 브라우저에서 HDS 노드 설정 URL https://[HDS Node IP 또는 FQDN]/setup을 입력하고, 노드에 대해 설정한 관리 자격 증명을 입력한 후 로그인을 클릭합니다.

2

신뢰 저장소 및 프록시로 이동한 후 옵션을 선택합니다.

  • 프록시 없음—프록시를 통합하기 전에 기본 옵션입니다. 인증서를 업데이트하지 않아도 됩니다.
  • 투명 비-검사 프록시—노드가 특정 프록시 서버 주소를 사용하도록 구성되지 않았으며, 비-검사 프록시에서 작동하도록 변경하지 않아도 됩니다. 인증서를 업데이트하지 않아도 됩니다.
  • 투명 검사 프록시—노드가 특정 프록시 서버 주소를 사용하도록 구성되지 않았습니다. 하이브리드 데이터 보안 배포에서 HTTPS 구성을 변경하지 않아도 됩니다. 단, HDS 노드에 루트 인증서가 있어야 프록시를 신뢰할 수 있습니다. 일반적으로 검사 프록시는 IT가 어떤 웹사이트를 방문할 수 있는지 및 어떤 유형의 콘텐츠가 허용되는지에 대한 정책을 적용하기 위해 사용됩니다. 이러한 유형의 프록시는 모든 트래픽(HTTPS 포함)을 해독합니다.
  • 명시적 프록시—명시적 프록시를 사용하여 클라이언트(HDS 노드)에게 어떤 프록시 서버를 사용할지 알리고, 이 옵션은 다양한 인증 유형을 지원합니다. 이 옵션을 선택한 후 다음 정보를 입력해야 합니다.

    1. 프록시 IP/FQDN—프록시 머신에 연결하기 위해 사용될 수 있는 주소입니다.

    2. 프록시 포트—프록시가 프록시된 트래픽을 수신하기 위해 사용하는 포트 번호입니다.

    3. 프록시 프로토콜http (클라이언트로부터 수신된 모든 요청을 확인하고 제어) 또는 https (서버에 채널을 제공하고 클라이언트는 서버의 인증서를 수신 및 확인)를 선택합니다. 프록시 서버가 지원하는 내용에 따라 옵션을 선택합니다.

    4. 인증 유형—다음 인증 유형 중에서 선택합니다.

      • 없음—추가 인증이 필요하지 않습니다.

        HTTP 또는 HTTPS 프록시를 사용할 수 있습니다.

      • 기본—요청을 할 때 HTTP 사용자 에이전트가 사용자 이름 및 비밀번호를 제공하기 위해 사용됩니다. Base64 인코딩을 사용합니다.

        HTTP 또는 HTTPS 프록시를 사용할 수 있습니다.

        이 옵션을 선택하는 경우, 사용자 이름 및 비밀번호도 입력해야 합니다.

      • 다이제스트—민감한 정보를 보내기 전에 계정을 확인하기 위해 사용됩니다. 네트워크를 통해 전송하기 전에 사용자 이름 및 비밀번호에 해시 기능을 적용합니다.

        HTTPS 프록시에 대해서만 사용할 수 있습니다.

        이 옵션을 선택하는 경우, 사용자 이름 및 비밀번호도 입력해야 합니다.

투명 검사 프록시, 기본 인증이 포함된 HTTP 명시적 프록시 또는 HTTPS 명시적 프록시에 대해서는 다음 단계를 따르십시오.

3

루트 인증서 또는 최종 엔터티 인증서 업로드를 클릭한 후 탐색하여 프록시에 대한 루트 인증서를 선택합니다.

인증서가 업로드되었지만 아직 설치되지 않았습니다. 인증서를 설치하려면 노드를 재부팅해야 합니다. 인증서 발급자 이름 옆에 있는 갈매기 모양 화살표를 클릭하여 자세한 내용을 확인합니다. 실수가 있었거나 파일을 다시 업로드하려는 경우엔 삭제를 클릭합니다.

4

프록시 연결 확인을 클릭하여 노드와 프록시 간의 네트워크 연결을 테스트합니다.

연결 테스트에 실패하는 경우, 이유 및 문제를 해결할 수 있는 방법을 표시하는 오류 메시지가 나타납니다.

외부 DNS 확인에 실패했다는 메시지가 나타나면 노드가 DNS 서버에 연결하지 못한 것입니다. 이 조건은 다양한 명시적 프록시 구성에서 예상되는 작동입니다. 설정을 계속 진행할 수 있으며, 노드는 차단된 외부 DNS 확인 모드로 작동하게 됩니다. 이 작업이 오류라고 생각하시면 다음 단계를 완료한 후 차단된 외부 DNS 확인 모드 끄기를 참조하십시오.

5

연결 테스트를 통과한 후 https로만 설정된 명시적 프록시에 대해 설정을 토글하여 이 노드의 모든 포트 443/444 https 요청을 명시적 프록시를 통해 라우팅합니다. 이 설정이 적용될 때까지 15초 정도 소요됩니다.

6

모든 인증서를 신뢰 저장소에 설치(HTTPS 명시적 프록시 또는 투명 검사 프록시에 대해 나타남) 또는 재부팅(HTTP 명시적 프록시에 대해 나타남)을 클릭하고 안내를 읽은 후 준비되었을 때 설치를 클릭합니다.

노드는 몇 분 내에 재부팅됩니다.

7

노드가 재부팅되면 필요에 따라 다시 로그인한 후 개요 페이지를 열어 연결을 확인하고 모두 녹색 상태인지 확인합니다.

프록시 연결 확인은 webex.com의 하위 도메인만 테스트합니다. 연결에 문제가 있는 경우, 설치 지시 사항에 나열된 일부 클라우드 도메인이 프록시에서 차단되는 것은 일반적인 문제입니다.

클러스터에서 첫 번째 노드 등록

이 작업은 하이브리드 데이터 보안 VM 설정에서 생성한 일반적인 노드를 적용하고, Webex 클라우드에 노드를 등록한 후 하이브리드 데이터 보안 노드로 변경합니다.

첫 번째 노드를 등록할 때 해당 노드가 지정된 클러스터를 만듭니다. 클러스터에는 중복성을 제공하기 위해 배포된 한 개 이상의 노드가 포함되어 있습니다.

시작하기 전에

  • 노드의 등록을 시작하면 60분 이내에 완료해야 합니다. 그렇지 않으면 처음부터 다시 시작해야 합니다.

  • 브라우저에 팝업 차단기가 비활성화되었는지 또는 admin.webex.com에 대한 예외를 허용했는지 확인하십시오.

1

https://admin.webex.com에 로그인합니다.

2

화면의 왼쪽에 있는 메뉴에서 서비스를 선택합니다.

3

클라우드 서비스 섹션에서 하이브리드 데이터 보안 카드를 찾고 설정을 클릭합니다.

4

페이지가 열리면 리소스 추가를 클릭합니다.

5

노드 추가 카드의 첫 번째 필드에 하이브리드 데이터 보안 노드를 지정할 클러스터의 이름을 입력합니다.

지리적으로 클러스터의 노드가 위치한 장소에 기반하여 클러스터의 이름을 지정할 것을 권장합니다. 예: "San Francisco" 또는 "New York" 또는 "Dallas"

6

두 번째 필드에서 노드의 내부 IP 주소 또는 정규화된 도메인 이름(FQDN)을 입력하고 화면의 하단에서 추가 를 클릭합니다.

이 IP 주소 또는 FQDN은 하이브리드 데이터 보안 VM 설정에서 사용한 IP 주소 또는 호스트 이름 및 도메인과 일치해야 합니다.

Webex에 노드를 등록할 수 있음을 가리키는 메시지가 나타납니다.
7

노드로 이동을 클릭합니다.

잠시 후에 Webex 서비스에 대한 노드 연결 테스트로 리디렉션됩니다. 모든 테스트에 성공하면 하이브리드 데이터 보안 노드에 대한 액세스 허용 페이지가 나타납니다. 여기에서 Webex 조직에 노드에 액세스할 수 있는 권한을 부여하고자 함을 확인합니다.

8

하이브리드 데이터 보안 노드에 액세스 허용 체크 박스에 체크한 후 계속을 클릭합니다.

계정의 유효성이 검증되고 "등록 완료" 메시지는 이제 노드가 Webex 클라우드에 등록되었음을 가리킵니다.
9

링크를 클릭하거나 탭을 닫아 Partner Hub 하이브리드 데이터 보안 페이지로 다시 돌아갑니다.

하이브리드 데이터 보안 페이지에서 등록한 노드가 포함된 새로운 클러스터가 리소스 탭 아래에 표시됩니다. 노드는 클라우드에서 자동으로 최신 소프트웨어를 다운로드합니다.

추가 노드를 만들고 등록

클러스터에 노드를 추가하려면 추가 VM을 만들고 동일한 구성 ISO 파일을 마운트한 후 노드를 등록하기만 하면 됩니다. 최소한 3개의 노드를 구성할 것을 권장합니다.

시작하기 전에

  • 노드의 등록을 시작하면 60분 이내에 완료해야 합니다. 그렇지 않으면 처음부터 다시 시작해야 합니다.

  • 브라우저에 팝업 차단기가 비활성화되었는지 또는 admin.webex.com에 대한 예외를 허용했는지 확인하십시오.

1

OVA에서 새로운 가상 머신을 만들고 HDS 호스트 OVA 설치에 설명된 단계를 반복합니다.

2

새로운 VM에서 초기 구성을 설정하고 하이브리드 데이터 보안 VM 설정에 설명된 단계를 반복합니다.

3

새로운 VM에서 HDS 구성 ISO 업로드 및 설치에 설명된 단계를 반복합니다.

4

배포에 대해 프록시를 설정하고 있는 경우, 새로운 노드에 대해 필요에 따라 프록시 통합에 대해 HDS 노드 구성 에 설명된 단계를 반복합니다.

5

노드를 등록합니다.

  1. https://admin.webex.com에서 화면 왼쪽의 메뉴에 있는 서비스를 선택합니다.

  2. 클라우드 서비스 섹션에서 하이브리드 데이터 보안 카드를 찾고 모두 보기를 클릭합니다.

    하이브리드 데이터 보안 리소스 페이지가 나타납니다.

  3. 새롭게 생성된 클러스터는 리소스 페이지에 나타납니다.

  4. 클러스터에 할당된 노드를 확인하려면 클러스터를 클릭합니다.

  5. 화면의 오른쪽에서 노드 추가 를 클릭합니다.

  6. 노드의 내부 IP 주소 또는 정규화된 도메인 이름(FQDN)을 입력하고 추가를 클릭합니다.

    Webex 클라우드에 노드를 등록할 수 있음을 나타내는 메시지가 포함된 페이지가 열립니다. 잠시 후에 Webex 서비스에 대한 노드 연결 테스트로 리디렉션됩니다. 모든 테스트에 성공하면 하이브리드 데이터 보안 노드에 대한 액세스 허용 페이지가 나타납니다. 여기에서 조직에 노드에 액세스할 수 있는 권한을 부여하고자 함을 확인합니다.

  7. 하이브리드 데이터 보안 노드에 액세스 허용 체크 박스에 체크한 후 계속을 클릭합니다.

    계정의 유효성이 검증되고 "등록 완료" 메시지는 이제 노드가 Webex 클라우드에 등록되었음을 가리킵니다.

  8. 링크를 클릭하거나 탭을 닫아 Partner Hub 하이브리드 데이터 보안 페이지로 다시 돌아갑니다.

    노드 추가됨 팝업 메시지는 Partner Hub의 화면 하단에도 나타납니다.

    노드가 등록되었습니다.

멀티 테넌트 하이브리드 데이터 보안에서 테넌트 조직 관리

Partner Hub에서 멀티 테넌트 HDS 활성화

이 작업은 고객 조직의 모든 사용자가 온-프레미스 암호화 키 및 기타 보안 서비스에 대해 HDS를 사용하기 시작할 수 있게 합니다.

시작하기 전에

필요한 노드의 수로 멀티 테넌트 HDS 클러스터 설정을 완료했는지 확인합니다.

1

https://admin.webex.com에 로그인합니다.

2

화면의 왼쪽에 있는 메뉴에서 서비스를 선택합니다.

3

클라우드 서비스 섹션에서 하이브리드 데이터 보안을 찾고 설정 편집을 클릭합니다.

4

HDS 상태 카드에서 HDS 활성화 를 클릭합니다.

Partner Hub에서 테넌트 조직 추가

이 작업에서 하이브리드 데이터 보안 클러스터에 고객 조직을 지정합니다.

1

https://admin.webex.com에 로그인합니다.

2

화면의 왼쪽에 있는 메뉴에서 서비스를 선택합니다.

3

클라우드 서비스 섹션에서 하이브리드 데이터 보안을 찾고 모두 보기를 클릭합니다.

4

고객을 지정하고자 하는 클러스터를 클릭합니다.

5

지정된 고객 탭으로 이동합니다.

6

고객 추가를 클릭합니다.

7

드롭다운 메뉴에서 추가할 고객을 선택합니다.

8

추가를 클릭하면 고객이 클러스터에 추가됩니다.

9

6~8단계를 반복하여 여러 고객을 클러스터에 추가합니다.

10

고객을 추가한 후 화면의 하단에서 완료 를 클릭합니다.

다음에 수행할 작업

HDS 설정 도구를 사용하여 고객 기본 키(CMK) 만들기 에 설명된 대로 HDS 설정 도구를 실행하여 설치 과정을 완료합니다.

HDS 설정 도구를 사용하여 고객 기본 키(CMK) 만들기

시작하기 전에

Partner Hub에서 테넌트 조직 추가에 설명된 대로 고객을 적합한 클러스터에 지정합니다. HDS 설정 도구를 실행하여 새롭게 추가된 고객 조직에 대한 설정 과정을 완료합니다.

  • HDS 설정 도구는 로컬 머신에서 Docker 컨테이너로 실행됩니다. 액세스하려면 해당 머신에서 Docker를 실행합니다. 설치 과정에는 조직에 대한 전체 관리자 권한이 있는 Partner Hub 계정의 자격 증명이 필요합니다.

    HDS 설정 도구가 귀하의 환경에서 프록시 뒤에서 실행되는 경우, 5 단계에서 Docker 컨테이너를 가져올 때 Docker 환경 변수를 통해 프록시 설정(서버, 포트, 자격 증명)을 제공합니다. 이 표는 몇 가지 환경 변수를 제공합니다.

    설명

    변수

    인증되지 않은 HTTP 프록시

    글로벌_에이전트_HTTP_PROXY=http://SERVER_IP:PORT

    인증되지 않은 HTTPS 프록시

    글로벌_에이전트_HTTPS_PROXY=http://SERVER_IP:PORT

    인증된 HTTP 프록시

    글로벌_에이전트_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

    인증된 HTTPS 프록시

    글로벌_에이전트_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

  • 생성하는 구성 ISO 파일에는 PostgreSQL 또는 Microsoft SQL Server 데이터베이스를 암호화하는 마스터 키가 포함되어 있습니다. 다음과 같은 구성을 변경할 때마다 이 파일의 최신 복사본이 필요합니다.

    • 데이터베이스 자격 증명

    • 인증서 업데이트

    • 인증 정책에 대한 변경 사항

  • 데이터베이스 연결을 암호화하는 경우 TLS용 PostgreSQL 또는 SQL Server 배포를 설정합니다.

하이브리드 데이터 보안 설정 프로세스는 ISO 파일을 만듭니다. 그 후 ISO를 사용하여 하이브리드 데이터 보안 호스트를 구성합니다.

1

머신의 명령줄에 사용자 환경에 적합한 명령을 입력합니다.

일반 환경:

docker rmi ciscocitg/hds-setup:안정

FedRAMP 환경:

도커 rmi ciscocitg/hds-setup-fedramp:stable

이 단계에서는 이전 HDS 설정 도구 이미지를 정리합니다. 이전 이미지가 없는 경우 무시할 수 있는 오류를 반환합니다.

2

Docker 이미지 레지스트리에 로그인하려면 다음을 입력합니다.

도커 로그인 -u hdscustomersro
3

비밀번호 프롬프트에 이 해시를 입력합니다.

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo는
4

사용자 환경에 맞는 최신 안정 이미지를 다운로드합니다.

일반 환경:

docker pull ciscocitg/hds-setup:안정

FedRAMP 환경:

docker pull ciscocitg/hds-setup-fedramp:안정
5

풀이 완료되면 사용자 환경에 적합한 명령을 입력합니다.

  • 프록시가 없는 일반 환경:

    도커 실행 -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

  • HTTP 프록시가 있는 일반 환경:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • HTTPS 프록시가 있는 일반 환경에서는:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • 프록시가 없는 FedRAMP 환경:

    도커 실행 -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • HTTP 프록시가 있는 FedRAMP 환경:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • HTTPS 프록시가 있는 FedRAMP 환경:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

컨테이너가 실행 중일 때 "포트 8080에서 수신하는 Express 서버"가 표시됩니다.

6

설정 도구는 http://localhost:8080을 통해 localhost에 연결하는 것을 지원하지 않습니다. http://127.0.0.1:8080 을(를) 사용하여 로컬 호스트에 연결합니다.

웹 브라우저를 사용하여 localhost, http://127.0.0.1:8080(으)로 이동하고 프롬프트에 Partner Hub의 관리 사용자 이름을 입력합니다.

이 도구는 사용자 이름의 이 첫 번째 항목을 사용하여 해당 계정에 적합한 환경을 설정합니다. 그런 다음 도구는 표준 로그인 프롬프트를 표시합니다.

7

안내를 받으면 Partner Hub 관리자 로그인 자격 증명을 입력한 후 로그인 을 클릭하여 하이브리드 데이터 보안에 필요한 서비스에 대한 액세스를 허용합니다.

8

설정 도구 개요 페이지에서 시작하기를 클릭합니다.

9

ISO 가져오기 페이지에서 를 클릭합니다.

10

브라우저에서 ISO 파일을 선택하고 업로드합니다.

CMK 관리를 수행하려면 데이터베이스에 대한 연결을 확인하십시오.
11

테넌트 CMK 관리 탭으로 이동하여 다음 세 가지 방법으로 테넌트 CMK를 관리할 수 있습니다.

  • 모든 조직에 대해 CMK 만들기 또는 CMK 만들기 - 화면의 상단에 있는 배너에서 이 버튼을 클릭하여 새롭게 추가된 모든 조직에 대해 CMK를 만듭니다.
  • 화면의 오른쪽에서 CMK 관리 버튼을 클릭하고 CMK 만들기 를 클릭하여 새롭게 추가된 모든 조직에 대해 CMK를 만듭니다.
  • 표에서 특정 조직의 CMK 관리 보류 중 상태 근처에 있는 …를 클릭하고 CMK 만들기 를 클릭하여 해당 조직에 대해 CMK를 만듭니다.
12

CMK 만들기에 성공하면 표의 상태는 CMK 관리 보류 중 에서 CMK 관리로 변경됩니다.

13

CMK 만들기에 실패하면 오류가 표시됩니다.

테넌트 조직 제거

시작하기 전에

제거되면 고객 조직의 사용자는 암호화 요구에 대해 HDS를 활용할 수 없으며 기존의 모든 스페이스를 잃게 됩니다. 고객 조직을 제거하기 전에 Cisco 파트너 또는 계정 관리자에게 문의하십시오.

1

https://admin.webex.com에 로그인합니다.

2

화면의 왼쪽에 있는 메뉴에서 서비스를 선택합니다.

3

클라우드 서비스 섹션에서 하이브리드 데이터 보안을 찾고 모두 보기를 클릭합니다.

4

리소스 탭에서 고객 조직을 제거할 클러스터를 클릭합니다.

5

페이지가 열리면 지정된 고객을 클릭합니다.

6

표시되는 고객 조직의 목록에서 제거하고자 하는 고객 조직의 오른쪽에 있는 ... 을 클릭하고 클러스터에서 제거를 클릭합니다.

다음에 수행할 작업

HDS에서 제거된 테넌트의 CMK 취소에 설명된 대로 고객 조직의 CMK를 취소하여 제거 프로세스를 완료합니다.

HDS에서 제거된 테넌트의 CMK를 취소합니다.

시작하기 전에

테넌트 조직 제거에 설명된 대로 적합한 클러스터에서 고객을 제거합니다. 제거된 고객 조직에 대한 제거 과정을 완료하려면 HDS 설정 도구를 실행하십시오.

  • HDS 설정 도구는 로컬 머신에서 Docker 컨테이너로 실행됩니다. 액세스하려면 해당 머신에서 Docker를 실행합니다. 설치 과정에는 조직에 대한 전체 관리자 권한이 있는 Partner Hub 계정의 자격 증명이 필요합니다.

    HDS 설정 도구가 귀하의 환경에서 프록시 뒤에서 실행되는 경우, 5 단계에서 Docker 컨테이너를 가져올 때 Docker 환경 변수를 통해 프록시 설정(서버, 포트, 자격 증명)을 제공합니다. 이 표는 몇 가지 환경 변수를 제공합니다.

    설명

    변수

    인증되지 않은 HTTP 프록시

    글로벌_에이전트_HTTP_PROXY=http://SERVER_IP:PORT

    인증되지 않은 HTTPS 프록시

    글로벌_에이전트_HTTPS_PROXY=http://SERVER_IP:PORT

    인증된 HTTP 프록시

    글로벌_에이전트_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

    인증된 HTTPS 프록시

    글로벌_에이전트_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

  • 생성하는 구성 ISO 파일에는 PostgreSQL 또는 Microsoft SQL Server 데이터베이스를 암호화하는 마스터 키가 포함되어 있습니다. 다음과 같은 구성을 변경할 때마다 이 파일의 최신 복사본이 필요합니다.

    • 데이터베이스 자격 증명

    • 인증서 업데이트

    • 인증 정책에 대한 변경 사항

  • 데이터베이스 연결을 암호화하는 경우 TLS용 PostgreSQL 또는 SQL Server 배포를 설정합니다.

하이브리드 데이터 보안 설정 프로세스는 ISO 파일을 만듭니다. 그 후 ISO를 사용하여 하이브리드 데이터 보안 호스트를 구성합니다.

1

머신의 명령줄에 사용자 환경에 적합한 명령을 입력합니다.

일반 환경:

docker rmi ciscocitg/hds-setup:안정

FedRAMP 환경:

도커 rmi ciscocitg/hds-setup-fedramp:stable

이 단계에서는 이전 HDS 설정 도구 이미지를 정리합니다. 이전 이미지가 없는 경우 무시할 수 있는 오류를 반환합니다.

2

Docker 이미지 레지스트리에 로그인하려면 다음을 입력합니다.

도커 로그인 -u hdscustomersro
3

비밀번호 프롬프트에 이 해시를 입력합니다.

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo는
4

사용자 환경에 맞는 최신 안정 이미지를 다운로드합니다.

일반 환경:

docker pull ciscocitg/hds-setup:안정

FedRAMP 환경:

docker pull ciscocitg/hds-setup-fedramp:안정
5

풀이 완료되면 사용자 환경에 적합한 명령을 입력합니다.

  • 프록시가 없는 일반 환경:

    도커 실행 -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

  • HTTP 프록시가 있는 일반 환경:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • HTTPS 프록시가 있는 일반 환경에서는:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • 프록시가 없는 FedRAMP 환경:

    도커 실행 -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • HTTP 프록시가 있는 FedRAMP 환경:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • HTTPS 프록시가 있는 FedRAMP 환경:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

컨테이너가 실행 중일 때 "포트 8080에서 수신하는 Express 서버"가 표시됩니다.

6

설정 도구는 http://localhost:8080을 통해 localhost에 연결하는 것을 지원하지 않습니다. http://127.0.0.1:8080 을(를) 사용하여 로컬 호스트에 연결합니다.

웹 브라우저를 사용하여 localhost, http://127.0.0.1:8080(으)로 이동하고 프롬프트에 Partner Hub의 관리 사용자 이름을 입력합니다.

이 도구는 사용자 이름의 이 첫 번째 항목을 사용하여 해당 계정에 적합한 환경을 설정합니다. 그런 다음 도구는 표준 로그인 프롬프트를 표시합니다.

7

안내를 받으면 Partner Hub 관리자 로그인 자격 증명을 입력한 후 로그인 을 클릭하여 하이브리드 데이터 보안에 필요한 서비스에 대한 액세스를 허용합니다.

8

설정 도구 개요 페이지에서 시작하기를 클릭합니다.

9

ISO 가져오기 페이지에서 를 클릭합니다.

10

브라우저에서 ISO 파일을 선택하고 업로드합니다.

11

테넌트 CMK 관리 탭으로 이동하여 다음 세 가지 방법으로 테넌트 CMK를 관리할 수 있습니다.

  • 모든 조직에 대해 CMK 취소 또는 CMK 취소 - 화면 상단에 있는 배너에서 이 버튼을 클릭하여 제거된 모든 조직의 CMK를 취소합니다.
  • 화면의 오른쪽에서 CMK 관리 버튼을 클릭하고 CMK 취소 를 클릭하여 제거된 모든 조직의 CMK를 취소합니다.
  • 표에서 특정 조직의 취소될 CMK 상태 근처에서 을 클릭하고 CMK 취소 를 클릭하여 해당 특정 조직에 대한 CMK를 취소합니다.
12

CMK 해지 작업에 성공하면 고객 조직은 더 이상 표에 나타나지 않습니다.

13

CMK 해지 실패하면 오류가 표시됩니다.

하이브리드 데이터 보안 배포 테스트

하이브리드 데이터 보안 배포 테스트

멀티 테넌트 하이브리드 데이터 보안 암호화 시나리오를 테스트하려면 이 절차를 사용하십시오.

시작하기 전에

  • 멀티 테넌트 하이브리드 데이터 보안 배포를 설정합니다.

  • 키 요청이 멀티 테넌트 하이브리드 데이터 보안 배포에 전달되고 있는지 확인하려면 syslog에 액세스할 수 있는지 확인합니다.

1

특정 스페이스에 대한 키는 스페이스의 생성자가 설정합니다. 고객 조직 사용자 중 하나로 Webex 앱에 로그인한 후 스페이스를 만듭니다.

하이브리드 데이터 보안 배포를 비활성화하는 경우, 클라이언트 캐시된 암호화 키의 복사본이 교체되면 사용자가 생성하는 스페이스에 있는 콘텐츠에 더 이상 액세스할 수 없습니다.

2

새로운 스페이스로 메시지를 보내십시오.

3

syslog 출력을 확인하여 키 요청이 하이브리드 데이터 보안 배포에 전달되고 있는지 확인합니다.

  1. 사용자가 먼저 KMS에 보안 채널을 설정하는지 확인하려면 kms.data.method=createkms.data.type=EPHEMERAL_KEY_COLLECTION을 필터링합니다.

    다음과 같은 입력값을 검색해야 합니다(가독성을 위해 식별자는 짧게 표현됨).
    2020-07-21 17:35:34.562 (+0000) 정보 KMS [pool-14-thread-1] - [KMS:REQUEST] 수신됨, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

  2. KMS에서 기존의 키를 요청하는 사용자를 확인하려면 kms.data.method=retrievekms.data.type=KEY를 필터링합니다.

    다음과 같은 입력값을 검색해야 합니다.
    2020-07-21 17:44:19.889 (+0000) 정보 KMS [pool-14-thread-31] - [KMS:REQUEST] 수신됨, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

  3. 새로운 KMS 키 생성을 요청하는 사용자를 확인하려면 kms.data.method=createkms.data.type=KEY_COLLECTION에서 필터링합니다.

    다음과 같은 입력값을 검색해야 합니다.
    2020-07-21 17:44:21.975 (+0000) 정보 KMS [pool-14-thread-33] - [KMS:REQUEST] 수신됨, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

  4. 스페이스 또는 다른 보호된 리소스가 생성될 때 새로운 KMS 리소스 개체(KRO)의 만들기를 요청하는 사용자를 확인하려면 kms.data.method=createkms.data.type=RESOURCE_COLLECTION에서 필터링하십시오.

    다음과 같은 입력값을 검색해야 합니다. 
    2020-07-21 17:44:22.808 (+0000) 정보 KMS [pool-15-thread-1] - [KMS:REQUEST] 수신됨, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

하이브리드 데이터 보안 상태 모니터

Partner Hub 내의 상태 표시기는 멀티 테넌트 하이브리드 데이터 보안 배포가 모두 양호한지 여부를 표시합니다. 보다 적극적으로 경고를 받으려면 이메일 알림을 신청하십시오. 서비스에 영향을 미치는 경보 또는 소프트웨어 업그레이드가 있을 때 알림을 받습니다.
1

Partner Hub의 화면 왼쪽에 있는 메뉴에서 서비스 를 선택합니다.

2

클라우드 서비스 섹션에서 하이브리드 데이터 보안을 찾고 설정 편집을 클릭합니다.

하이브리드 데이터 보안 설정 페이지가 나타납니다.
3

이메일 알림 섹션에서 한 개 이상의 이메일 주소를 쉼표로 구분하여 입력하고 Enter를 누릅니다.

HDS 배포 관리

HDS 배포 관리

하이브리드 데이터 보안 배포를 관리하려면 여기에 설명된 작업을 사용하십시오.

클러스터 업그레이드 예약 설정

하이브리드 데이터 보안에 대한 소프트웨어 업그레이드는 클러스터 수준에서 자동으로 실행되며, 이는 모든 노드가 항상 동일한 소프트웨어 버전을 실행하게 합니다. 업그레이드는 클러스터에 대한 업그레이드 스케줄에 따라 실행됩니다. 소프트웨어 업그레이드가 사용 가능해지면 예약된 업그레이드 시간 전에 클러스터를 수동으로 업그레이드할 수 있는 옵션이 주어집니다. 특정 업그레이드 스케줄을 설정하거나 미국: 아메리카/로스앤젤레스 매일 3:00 AM 기본 스케줄을 사용할 수 있습니다. 필요에 따라 예정된 업그레이드를 연기하도록 선택할 수도 있습니다.

업그레이드 예약을 설정하려면:

1

Partner Hub에 로그인합니다.

2

화면의 왼쪽에 있는 메뉴에서 서비스를 선택합니다.

3

클라우드 서비스 섹션에서 하이브리드 데이터 보안을 찾고 설정을 클릭합니다.

4

하이브리드 데이터 보안 리소스 페이지에서 클러스터를 선택합니다.

5

클러스터 설정 탭을 클릭합니다.

6

클러스터 설정 페이지의 업그레이드 예약 아래에서 업그레이드 예약에 대한 시간 및 시간대를 선택합니다.

참고: 시간대 아래에 다음 사용 가능한 업그레이드 날짜 및 시간이 표시됩니다. 필요한 경우, 24시간 연기를 클릭하여 업그레이드를 다음 날로 연기할 수 있습니다.

노드 구성 변경

경우에 따라 다음과 같은 이유로 하이브리드 데이터 보안 노드의 구성을 변경해야 할 수도 있습니다.

  • 만료 또는 기타 이유로 인해 x.509 인증서 변경.

    인증서의 CN 도메인 이름 변경을 지원하지 않습니다. 도메인은 클러스터에 등록하기 위해 사용된 원래 도메인과 일치해야 합니다.

  • PostgreSQL 또는 Microsoft SQL Server 데이터베이스의 복제본으로 변경하도록 데이터베이스 설정 업데이트.

    PostgreSQL에서 Microsoft SQL Server로 또는 그 반대로 데이터 마이그레이션을 지원하지 않습니다. 데이터베이스 환경을 전환하려면 하이브리드 데이터 보안의 새로운 배포를 시작합니다.

  • 새 데이터 센터를 준비하기 위해 새 구성 생성.

또한 보안상의 이유로 하이브리드 데이터 보안은 수명이 9개월인 서비스 계정 비밀번호를 사용합니다. HDS 설정 도구가 이러한 비밀번호를 생성하면 이를 ISO 구성 파일의 각 HDS 노드에 배포합니다. 조직의 비밀번호 만료일이 가까워지면 Webex 팀으로부터 머신 계정의 비밀번호를 재설정하라는 통지를 받습니다. (이메일에는 "머신 계정 API를 사용하여 비밀번호를 업데이트합니다."라는 텍스트가 포함됩니다.) 비밀번호가 아직 만료되지 않은 경우 도구는 다음 두 가지 옵션을 제공합니다.

  • 소프트 재설정—이전 비밀번호 및 새로운 비밀번호 모두 최대 10일 동안 작동합니다. 이 기간을 사용하여 노드에서 ISO 파일을 점진적으로 교체합니다.

  • 하드 재설정—이전 비밀번호가 즉시 작동하지 않습니다.

비밀번호가 재설정 없이 만료되는 경우 HDS 서비스에 영향을 미치므로 즉시 하드 재설정을 수행하고 모든 노드에서 ISO 파일을 교체해야 합니다.

새 구성 ISO 파일을 생성하고 클러스터에 적용하려면 이 절차를 따르십시오.

시작하기 전에

  • HDS 설정 도구는 로컬 머신에서 Docker 컨테이너로 실행됩니다. 액세스하려면 해당 머신에서 Docker를 실행합니다. 설치 과정에는 파트너 전체 관리자 권한이 있는 Partner Hub 계정의 자격 증명이 필요합니다.

    HDS 설정 도구가 귀하의 환경에서 프록시 뒤에서 실행되는 경우, 1.e에서 Docker 컨테이너를 가져올 때 Docker 환경 변수를 통해 프록시 설정(서버, 포트, 자격 증명)을 제공합니다. 이 표는 몇 가지 환경 변수를 제공합니다.

    설명

    변수

    인증되지 않은 HTTP 프록시

    글로벌_에이전트_HTTP_PROXY=http://SERVER_IP:PORT

    인증되지 않은 HTTPS 프록시

    글로벌_에이전트_HTTPS_PROXY=http://SERVER_IP:PORT

    인증된 HTTP 프록시

    글로벌_에이전트_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

    인증된 HTTPS 프록시

    글로벌_에이전트_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

  • 새 구성을 생성하려면 현재 구성 ISO 파일의 사본이 필요합니다. ISO에는 PostgreSQL 또는 Microsoft SQL Server 데이터베이스를 암호화하는 마스터 키가 포함되어 있습니다. 데이터베이스 자격 증명, 인증서 업데이트 또는 인증 정책 변경을 포함하여 구성을 변경할 때 ISO가 필요합니다.

1

로컬 머신에서 Docker를 사용하여 HDS 설정 도구를 실행합니다.

  1. 머신의 명령줄에 사용자 환경에 적합한 명령을 입력합니다.

    일반 환경:

    docker rmi ciscocitg/hds-setup:안정

    FedRAMP 환경:

    도커 rmi ciscocitg/hds-setup-fedramp:stable

    이 단계에서는 이전 HDS 설정 도구 이미지를 정리합니다. 이전 이미지가 없는 경우 무시할 수 있는 오류를 반환합니다.

  2. Docker 이미지 레지스트리에 로그인하려면 다음을 입력합니다.

    도커 로그인 -u hdscustomersro

  3. 비밀번호 프롬프트에 이 해시를 입력합니다.

    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo는

  4. 사용자 환경에 맞는 최신 안정 이미지를 다운로드합니다.

    일반 환경:

    docker pull ciscocitg/hds-setup:안정

    FedRAMP 환경:

    docker pull ciscocitg/hds-setup-fedramp:안정

    이 절차에 대해 최신 설정 도구를 사용하고 있는지 확인하십시오. 2018년 2월 22일 이전에 생성된 도구의 버전에는 비밀번호 재설정 화면이 없습니다.

  5. 풀이 완료되면 사용자 환경에 적합한 명령을 입력합니다.

    • 프록시가 없는 일반 환경:

      도커 실행 -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

    • HTTP 프록시가 있는 일반 환경:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • HTTPS 프록시가 있는 일반 환경:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • 프록시가 없는 FedRAMP 환경:

      도커 실행 -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

    • HTTP 프록시가 있는 FedRAMP 환경:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    • HTTPS 프록시가 있는 FedRAMP 환경:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    컨테이너가 실행 중일 때 "포트 8080에서 수신하는 Express 서버"가 표시됩니다.

  6. 브라우저를 사용하여 로컬 호스트 http://127.0.0.1:8080에 연결합니다.

    설정 도구는 http://localhost:8080을 통해 localhost에 연결하는 것을 지원하지 않습니다. http://127.0.0.1:8080 을(를) 사용하여 로컬 호스트에 연결합니다.

  7. 안내를 받으면 Partner Hub 고객 로그인 자격 증명을 입력한 후 수락 을 클릭하여 계속합니다.

  8. 현재 구성 ISO 파일을 가져옵니다.

  9. 안내에 따라 도구를 완료하고 업데이트된 파일을 다운로드합니다.

    설정 도구를 종료하려면 CTRL + C 조합을 입력합니다.

  10. 다른 데이터 센터에서 업데이트된 파일의 백업 복사본을 만듭니다.

2

실행 중인 HDS 노드가 한 개만 있는 경우, 새로운 하이브리드 데이터 보안 노드 VM을 만들고 새로운 구성 ISO 파일을 사용하여 등록합니다. 자세한 안내는 추가 노드 만들기 및 등록을 참조하십시오.

  1. HDS 호스트 OVA를 설치합니다.

  2. HDS VM을 설정합니다.

  3. 업데이트된 구성 파일을 마운트합니다.

  4. Partner Hub에서 새로운 노드를 등록합니다.

3

이전 구성 파일을 실행하고 있는 기존 HDS 노드의 경우 ISO 파일을 탑재합니다. 각 노드에서 다음 절차를 차례로 수행하여 다음 노드를 끄기 전에 각 노드를 업데이트합니다.

  1. 가상 머신의 전원을 끕니다.

  2. VMware vSphere 클라이언트의 왼쪽 네비게이션 분할 창에서 VM을 오른쪽 클릭하고 설정 편집을 클릭합니다.

  3. CD/DVD 드라이브 1을 클릭하고 ISO 파일에서 마운트하기 위한 옵션을 선택한 후 새 구성 ISO 파일을 다운로드한 위치를 찾습니다.

  4. 시동될 때 연결을 체크합니다.

  5. 변경 사항을 저장하고 가상 머신의 전원을 켭니다.

4

이전 구성을 실행하고 있는 나머지 각 노드에서 구성을 바꾸려면 3 단계를 반복하십시오.

차단된 외부 DNS 확인 모드 끄기

노드를 등록하거나 노드의 프록시 구성을 확인할 때 프로세스는 Cisco Webex 클라우드에 대한 DNS 조회 및 연결을 테스트합니다. 노드의 DNS 서버에서 공용 DNS 이름을 확인할 수 없는 경우, 노드는 자동으로 차단된 외부 DNS 확인 모드로 지정됩니다.

노드에서 내부 DNS 서버를 통해 공용 DNS 이름을 확인할 수 있는 경우, 각 노드에서 프록시 연결 테스트를 다시 실행하여 이 모드를 끌 수 있습니다.

시작하기 전에

내부 DNS 서버가 공용 DNS 이름을 확인할 수 있으며, 노드가 해당 서버와 통신할 수 있는지 확인합니다.
1

웹 브라우저에서 하이브리드 데이터 보안 노드 인터페이스(IP 주소/설정을 엽니다. 예: https://192.0.2.0/setup), 노드에 대해 설정한 관리 자격 증명을 입력한 후 로그인을 클릭합니다.

2

개요 (기본 페이지)로 이동합니다.

활성화되면 차단된 외부 DNS 확인로 설정됩니다.

3

신뢰 저장소 및 프록시 페이지로 이동합니다.

4

프록시 연결 확인을 클릭합니다.

외부 DNS 확인에 실패했다는 메시지가 나타나면 노드가 DNS 서버에 연결하지 못한 것이며, 이 모드에서 유지됩니다. 그렇지 않은 경우, 노드를 재부팅하고 개요 페이지로 돌아가면 차단된 외부 DNS 확인은 아니요로 설정됩니다.

다음에 수행할 작업

하이브리드 데이터 보안 클러스터의 각 노드에서 프록시 연결 테스트를 반복합니다.

노드 제거

Webex 클라우드에서 하이브리드 데이터 보안 노드를 제거하려면 이 절차를 사용하십시오. 클러스터에서 노드를 제거한 후 가상 머신을 삭제하여 보안 데이터에 대한 추가 액세스를 방지합니다.
1

컴퓨터에서 VMware vSphere 클라이언트를 사용하여 ESXi 가상 호스트에 로그인하고 가상 머신의 전원을 끕니다.

2

노드를 제거합니다.

  1. Partner Hub에 로그인한 후 서비스를 선택합니다.

  2. 하이브리드 데이터 보안 카드에서 모두 보기 를 클릭하여 하이브리드 데이터 보안 리소스 페이지를 표시합니다.

  3. 클러스터를 선택하여 개요 목록을 표시합니다.

  4. 제거할 노드를 클릭합니다.

  5. 오른쪽에 나타나는 목록에서 이 노드 등록 해제 를 클릭합니다.

  6. 노드의 오른쪽에서…을 클릭하고 이 노드 제거를 선택하여 노드의 등록을 해제할 수도 있습니다.

3

vSphere 클라이언트에서 VM을 삭제합니다. (왼쪽 네비게이션 분할 창에서 VM을 오른쪽 클릭하고 삭제를 클릭합니다.)

VM을 삭제하지 않는 경우 구성 ISO 파일을 마운트 해제하십시오. ISO 파일이 없으면 VM을 사용하여 보안 데이터에 액세스할 수 없습니다.

대기 데이터 센터를 사용하여 장애 복구

하이브리드 데이터 보안 클러스터에서 제공하는 가장 중요한 서비스는 메시지 및 Webex 클라우드에 저장된 기타 콘텐츠를 암호화하는 데 사용되는 키를 만들고 저장하는 것입니다. 하이브리드 데이터 보안에 지정된 조직 내의 각 사용자에 대해 새로운 키 만들기 요청은 클러스터로 라우팅됩니다. 또한 클러스터는 생성된 키를 검색할 권한이 있는 모든 사용자(예: 대화 스페이스의 구성원)에게 해당 키를 반환해야 합니다.

클러스터는 이러한 키를 제공하는 중요한 기능을 수행하므로, 클러스터가 계속 실행되고 올바른 백업이 유지관리되어야 합니다. 하이브리드 데이터 보안 데이터베이스나 스키마에 대해 사용된 구성 ISO가 손실되면 고객 콘텐츠가 복구할 수 없게 됩니다. 다음 실행은 이러한 유실을 방지하기 위해 필수적입니다.

장애가 발생하여 기본 데이터 센터에서 HDS 배포를 사용할 수 없게 하는 경우, 이 절차를 따라 대기 데이터 센터로 수동으로 장애 조치하십시오.

시작하기 전에

노드 제거에서 언급한 대로 Partner Hub에서 모든 노드를 등록 해제합니다. 이전에 활성 상태였던 클러스터의 노드에 대해 구성된 최신 ISO 파일을 사용하여 아래에 언급한 장애 조치 절차를 수행합니다.
1

HDS 설정 도구를 시작하고 HDS 호스트에 대해 구성 ISO 만들기에서 언급한 단계를 따릅니다.

2

구성 프로세스를 완료하고 쉽게 찾을 수 있는 위치에 ISO 파일을 저장합니다.

3

로컬 시스템에서 ISO 파일의 백업 복사본을 만듭니다. 백업 복사본을 안전하게 유지합니다. 이 파일에는 데이터베이스 콘텐츠에 대한 마스터 암호화 키가 포함됩니다. 구성을 변경해야 하는 하이브리드 데이터 보안 관리자에게만 액세스를 제한합니다.

4

VMware vSphere 클라이언트의 왼쪽 네비게이션 분할 창에서 VM을 오른쪽 클릭하고 설정 편집을 클릭합니다.

5

설정 편집 > CD/DVD 드라이브 1 을 클릭하고 데이터스토어 ISO 파일을 선택합니다.

노드를 시작한 후에 업데이트된 구성 변경 사항이 적용될 수 있도록 연결됨시동 시 연결 이 체크되었는지 확인하십시오.

6

HDS 노드를 시동하고 최소한 15분 동안 경보가 없는지 확인하십시오.

7

Partner Hub에서 노드를 등록합니다. 클러스터에서 첫 번째 노드 등록을 참조하십시오.

8

대기 데이터 센터의 모든 노드에 대해 프로세스를 반복합니다.

다음에 수행할 작업

장애 조치 후 기본 데이터 센터가 다시 활성화되면 대기 데이터 센터의 노드를 등록 해제하고 상단에 언급한 대로 기본 데이터 센터의 노드 등록 및 ISO 구성 및 등록 과정을 반복합니다.

(선택 사항) HDS 구성 후 ISO 제거

표준 HDS 구성은 ISO가 장착된 상태에서 실행됩니다. 그러나 일부 고객은 ISO 파일을 계속 마운트하지 않는 것을 선호합니다. 모든 HDS 노드가 새로운 구성을 적용하면 ISO 파일을 마운트 해제할 수 있습니다.

여전히 ISO 파일을 사용하여 구성을 변경합니다. 설정 도구를 통해 새로운 ISO를 만들거나 ISO를 업데이트할 때 모든 HDS 노드에 업데이트된 ISO를 마운트해야 합니다. 모든 노드에서 구성 변경 사항을 적용하면 이 절차를 사용하여 ISO를 다시 마운트 해제할 수 있습니다.

시작하기 전에

모든 HDS 노드를 버전 2021.01.22.4720 이상으로 업그레이드하십시오.

1

HDS 노드 중 하나를 종료합니다.

2

vCenter Server Appliance에서 HDS 노드를 선택합니다.

3

설정 편집 > CD/DVD 드라이브 를 선택하고 데이터스토어 ISO 파일을 체크 해제합니다.

4

HDS 노드를 시동하고 20분 이상 알람이 없는지 확인합니다.

5

각 HDS 노드에 대해 차례로 반복합니다.

하이브리드 데이터 보안 문제 해결하기

경고 보기 및 문제 해결하기

클러스터의 모든 노드에 연결할 수 없거나 클러스터가 너무 느리게 작동하여 시간 초과를 요청하는 경우 하이브리드 데이터 보안 배포를 사용할 수 없는 것으로 간주됩니다. 사용자가 하이브리드 데이터 보안 클러스터에 연결할 수 없는 경우, 다음 증상을 경험합니다.

  • 새로운 스페이스가 생성되지 않음 (새 키를 만들 수 없음)

  • 다음 경우에 대해 메시지 및 스페이스 제목을 해독하지 못함:

    • 새로운 사용자가 스페이스에 추가됨 (키를 페치할 수 없음)

    • 스페이스에서 기존의 사용자가 새로운 클라이언트 사용 (키를 페치할 수 없음)

  • 스페이스에 있는 기존의 사용자는 클라이언트에 암호화 키의 캐시가 있는 한 계속 성공적으로 실행함

서비스가 중단되지 않게 하려면 하이브리드 데이터 보안 클러스터를 올바르게 모니터링하고 경고를 즉시 해결하는 것이 중요합니다.

경고

하이브리드 데이터 보안 설정에 문제가 있는 경우, Partner Hub는 조직 관리자에게 경고를 표시하고 구성된 이메일 주소로 이메일을 보냅니다. 경고는 여러 가지 일반적인 상황을 다룹니다.

표 1. 일반적인 문제 및 문제를 해결하기 위한 단계

경고

작업

로컬 데이터베이스 액세스 실패.

데이터베이스 오류 또는 로컬 네트워크 문제를 확인합니다.

로컬 데이터베이스 연결 실패.

데이터베이스 서버를 사용할 수 있는지, 노드 구성에서 올바른 서비스 계정 자격 증명이 사용되고 있는지 확인합니다.

클라우드 서비스 액세스 실패.

외부 연결 요구 사항에 지정된 대로 노드가 Webex 서버에 액세스할 수 있는지 확인합니다.

클라우드 서비스 등록을 갱신하는 중.

클라우드 서비스로의 등록이 중단됩니다. 현재 등록을 갱신하는 중.

클라우드 서비스 등록이 중단됩니다.

클라우드 서비스로의 등록이 종료됩니다. 서비스가 종료됩니다.

서비스가 아직 활성화되지 않았습니다.

Partner Hub에서 Hds를 활성화합니다.

구성된 도메인이 서버 인증서와 일치하지 않습니다.

서버 인증서가 구성된 서비스 활성화 도메인과 일치하는지 확인합니다.

원인은 최근에 인증서 CN이 변경되었으며 현재 초기 설정 중에 사용된 CN과 다른 CN이 사용되고 있기 때문일 가능성이 높습니다.

클라우드 서비스에 인증하지 못함.

정확성 및 서비스 계정 자격 증명의 만료일을 확인합니다.

로컬 키 저장소 파일을 열지 못함.

로컬 키 저장소 파일에서 무결성 및 비밀번호 정확성을 확인합니다.

로컬 서버 인증서가 유효하지 않습니다.

서버 인증서의 만료 날짜를 확인하고, 신뢰할 수 있는 인증 기관에서 발행한 것인지 확인합니다.

메트릭을 게시할 수 없음.

외부 클라우드 서비스로의 로컬 네트워크 액세스를 확인합니다.

/media/configdrive/hds 디렉토리가 존재하지 않습니다.

가상 호스트에서 ISO 마운트 구성을 확인합니다. ISO 파일이 존재하는지 확인하고, 해당 파일이 재부팅 시에 마운트하도록 구성되었는지, 성공적으로 마운트되는지를 확인합니다.

추가된 조직에 대해 테넌트 조직 설정이 완료되지 않음

HDS 설정 도구를 사용하여 새롭게 추가된 테넌트 조직에 대해 CMK를 생성하여 설정을 완료하십시오.

제거된 조직에 대해 테넌트 조직 설정이 완료되지 않음

HDS 설정 도구를 사용하여 제거된 테넌트 조직의 CMK를 취소하여 설정을 완료하십시오.

하이브리드 데이터 보안 문제 해결하기

하이브리드 데이터 보안의 문제를 해결할 때 다음 일반적인 안내를 사용하십시오.
1

Partner Hub를 확인하여 경고를 확인하고 여기에서 찾을 수 있는 항목을 수정하십시오. 참조에 대해서는 아래 이미지를 참조하십시오.

2

하이브리드 데이터 보안 배포에서 활동에 대한 syslog 서버 출력을 확인합니다. 문제 해결에 도움이 되도록 "경고" 및 "오류"와 같은 단어를 필터링합니다.

3

Cisco 고객 지원으로 연락합니다.

기타 메모

하이브리드 데이터 보안 알려진 문제

  • 하이브리드 데이터 보안 클러스터를 Partner Hub에서 삭제하거나 모든 노드를 종료하는 경우, 구성 ISO 파일을 잃거나 키 저장소 데이터베이스에 액세스할 수 없는 경우, 고객 조직의 WeBEX 앱 사용자는 더 이상 KMS의 키로 생성된 사용자 목록 아래에 있는 스페이스를 사용할 수 없습니다. 현재 이 문제에 대한 해결 방법은 없으며, HDS 서비스에서 활동 중인 사용자 계정을 처리하고 있는 경우에 해당 서비스를 종료하지 말 것을 강조합니다.

  • KMS에 대한 기존의 ECDH 연결이 있는 클라이언트는 특정 기간(1시간 정도) 동안 해당 연결을 유지합니다.

OpenSSL을 사용하여 PKCS12 파일 생성

시작하기 전에

  • OpenSSL은 HDS 설정 도구에서 로딩하기 위해 PKCS12 파일을 적합한 형식으로 만드는 데 사용할 수 있는 도구입니다. 이 작업을 실행할 수 있는 다른 방법이 있으며, 특정 방법을 더 지원하거나 홍보하지 않습니다.

  • OpenSSL을 사용하도록 선택한 경우, 이 절차를 X.509 인증서 요구 사항에서 X.509 인증서 요구 사항을 충족하는 파일을 만드는 데 도움이 되는 가이드라인으로 제공합니다. 진행하기 전에 다음 요구 사항을 숙지하십시오.

  • 지원되는 환경에서 OpenSSL을 설치합니다. 소프트웨어 및 문서에 대해서는 https://www.openssl.org을(를) 참조하십시오.

  • 비공개 키를 만듭니다.

  • 인증 기관(CA)으로부터 서버 인증서를 수신한 후에 이 절차를 시작하십시오.

1

인증 기관(CA)으로부터 서버 인증서를 수신한 후 hdsnode.pem으로 저장합니다.

2

인증서를 텍스트로 표시하고 세부 사항을 확인합니다.

openssl x509 -text -noout -in hdsnode.pem

3

텍스트 편집기를 사용하여 hdsnode-bundle.pem으로 칭하는 인증서 번들 파일을 만듭니다. 번들 파일에는 서버 인증서, 모든 중간 CA 인증서 및 루트 CA 인증서가 아래의 형식으로 포함되어야 합니다.

-----인증서 시작----- ### 서버 인증서. ### -----인증서 종료---- -----인증서 시작----- ### 중간 CA 인증서. ### -----인증서 종료---- -----인증서 시작----- ### 루트 ca 인증서. ### -----인증서 종료-----

4

쉽게 알 수 있는 이름인 kms-private-key로 .p12 파일을 만듭니다.

openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

5

서버 인증서 세부 사항을 확인합니다.

  1. openssl pkcs12 -in hdsnode.p12

  2. 안내에 따라 비밀번호를 입력하여 비공개 키를 암호화하고 출력에 표시되게 합니다. 그 후 비공개 키 및 첫 번째 인증서에 friendlyName: kms-private-key 줄이 포함되었는지 확인합니다.

    예:

    bash$ openssl pkcs12 -in hdsnode.p12 가져오기 비밀번호 입력: MAC이 다음 항목을 확인: OK Bag 속성 friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 키 속성:  PEM 암호 구문 입력: 확인 중 - PEM 암호 입력: -----암호화된 비공개 키 시작-----  -----암호화된 비공개 키 종료------ 백 속성 friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 SUBJECT=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt/CN=Let's Encrypt Authority X3 ------BEGIN CERTIFICATE-----  -----END CERTIFICATE------ Bag 속성 friendly이름: CN=Authority X3 암호화,O=Let's 암호화,C=US subject=/C=US/O=Let's Encrypt/CN=Authority X3 issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3 ------인증서 시작-----  -----인증서 종료------

다음에 수행할 작업

하이브리드 데이터 보안에 대한 전제 조건 완료로 돌아갑니다. hdsnode.p12 파일 및 해당 파일에 대해 설정한 비밀번호를 HDS 호스트에 대해 구성 ISO 만들기에서 사용합니다.

원래 인증서가 만료될 때 이러한 파일을 다시 사용하여 새 인증서를 요청할 수 있습니다.

HDS 노드 및 클라우드 간 트래픽

아웃바운드 메트릭 수집 트래픽

하이브리드 데이터 보안 노드는 특정 메트릭을 Webex 클라우드로 보냅니다. 여기에는 최대 힙, 사용된 힙, CPU 로드 및 스레드 수에 대한 시스템 메트릭이 포함됩니다. 또한 동기적 스레드 및 비동기적 스레드에 대한 메트릭, 암호화 연결, 대시 시간 또는 요청 대기열 길이의 임계값과 관련된 경고에 대한 메트릭, 데이터스토어 관련 메트릭 및 암호화 연결 메트릭도 포함됩니다. 노드는 대역 외(요청과 별개) 채널을 통해 암호화된 키 자료를 보냅니다.

인바운드 트래픽

하이브리드 데이터 보안 노드는 Webex 클라우드에서 다음 유형의 인바운드 트래픽을 수신합니다.

  • 클라이언트로부터 암호화 요청. 암호화 서비스에서 라우트됨

  • 노드 소프트웨어로 업그레이드

하이브리드 데이터 보안에 대해 Squid 프록시 구성

웹 소켓은 Squid 프록시를 통해 연결할 수 없음

HTTPS 트래픽을 검사하는 Squid 프록시는 하이브리드 데이터 보안에서 요구하는 웹소켓(wss:) 연결을 설정하는 데 방해가 될 수 있습니다. 다음 섹션에서는 서비스가 올바르게 작동하도록 다양한 버전의 Squid에서 wss: 트래픽을 무시하도록 구성하는 방법에 대한 안내를 제공합니다.

Squid 4 및 5

on_unsupported_protocolsquid.conf에 지시어를 추가합니다.

on_unsupported_protocol 모두 터널

Squid 3.5.27

squid.com에 추가된 다음 규칙으로 하이브리드 데이터 보안을 성공적으로 테스트했습니다. 이 규칙은 기능을 개발하고 Webex 클라우드를 업데이트 함에 따라 변경될 수도 있습니다.

acl wssMercuryConnection ssl::server_name_regex 수성 연결 ssl_bump 스플라이스 wssMercuryConnection acl step1 at_step SslBump1 acl step2 at_step SslBump2 acl step3 at_step SslBump3 ssl_bump 엿보기 step1 ssl_bump stare step2 ssl_bump bump step3 all

새 정보 및 변경된 정보

새 정보 및 변경된 정보

이 표는 새로운 기능 또는 기능, 기존의 콘텐츠에 대한 변경 사항 및 멀티 테넌트 하이브리드 데이터 보안의 배포 안내서에서 수정된 주요 오류를 설명합니다.

날짜

변경 사항 적용됨

2025년 1월 8일 목요일

초기 설정 실행 및 설치 파일 다운로드 에 Partner Hub에서 HDS 카드에서 설정 을 클릭하면 설치 프로세스의 중요한 단계임을 알리는 메모를 추가했습니다.

2025년 1월 7일 목요일

ESXi 7.0의 새로운 요구 사항을 표시하기 위해 가상 호스트 요구 사항, 하이브리드 데이터 보안 배포 작업 흐름HDS 호스트 OVA 설치 를 업데이트했습니다.

2024년 12월 13일 목요일

처음으로 공개되었습니다.

멀티 테넌트 하이브리드 데이터 보안 비활성화

멀티 테넌트 HDS 비활성화 작업 흐름

멀티 테넌트 HDS를 완전히 비활성화하려면 다음 단계를 따르십시오.

시작하기 전에

이 작업은 파트너 전체 관리자가 실행해야 합니다.
1

테넌트 조직 제거에서 언급한 대로 모든 클러스터에서 모든 고객을 제거합니다.

2

HDS에서 제거된 테넌트의 CMK 취소에서 언급한 대로 모든 고객의 CMK를 취소합니다.

3

노드 제거에서 언급한 대로 모든 클러스터에서 모든 노드를 제거합니다.

4

다음 두 가지 방법 중 하나를 사용하여 Partner Hub에서 모든 클러스터를 삭제합니다.

  • 삭제할 클러스터를 클릭하고 개요 페이지의 상단 오른쪽 모서리에서 이 클러스터 삭제 를 선택합니다.
  • 리소스 페이지에서 클러스터의 오른쪽에 있는 …을 클릭하고 클러스터 제거를 선택합니다.
5

하이브리드 데이터 보안 개요 페이지에서 설정 탭을 클릭하고 HDS 상태 카드에서 HDS 비활성화 를 클릭합니다.

멀티 테넌트 하이브리드 데이터 보안 시작하기

멀티 테넌트 하이브리드 데이터 보안 개요

처음부터 데이터 보안은 Webex 앱 설계에 있어 가장 중점적인 부분이었습니다. 이 보안의 토대는 KMS(Key Management Service)와 상호 작용하는 Webex 앱 클라이언트가 활성화하는 종단 간 콘텐츠 암호화입니다. KMS는 클라이언트가 메시지 및 파일을 동적으로 암호화하고 해독하는 데 사용하는 암호화 키를 만들고 관리합니다.

기본적으로 모든 Webex 앱 고객은 Cisco의 보안 영역에 있는 클라우드 KMS에 저장된 동적인 키로 종단 간 암호화를 사용합니다. 하이브리드 데이터 보안은 KMS 및 기타 보안 관련 기능을 기업의 데이터 센터로 이동시키기 때문에 암호화된 콘텐츠에는 귀하만 접근할 수 있습니다.

멀티 테넌트 하이브리드 데이터 보안 을 통해 조직은 신뢰할 수 있는 로컬 파트너를 통해 HDS를 활용할 수 있습니다. 이는 서비스 제공자 역할을 하고 온-프레미스 암호화 및 기타 보안 서비스를 관리할 수 있습니다. 이 설정을 통해 파트너 조직은 암호화 키의 배포 및 관리를 완전히 제어할 수 있으며, 고객 조직의 사용자 데이터가 외부 액세스로부터 안전한지 확인합니다. 파트너 조직은 필요에 따라 HDS 인스턴스를 설정하고 HDS 클러스터를 만듭니다. 각 인스턴스는 한 개의 조직으로 제한되는 일반 HDS 배포와 달리 다수의 고객 조직을 지원할 수 있습니다.

파트너 조직은 배포 및 관리를 제어할 수 있지만, 고객이 생성한 데이터 및 콘텐츠에 액세스할 수 없습니다. 이 액세스는 고객 조직 및 사용자로 제한됩니다.

또한 데이터 센터와 같은 주요 관리 서비스 및 보안 인프라가 신뢰할 수 있는 로컬 파트너가 소유하고 있기 때문에 소규모 조직이 HDS를 활용할 수도 있습니다.

멀티 테넌트 하이브리드 데이터 보안이 데이터 주권 및 데이터 제어를 제공하는 방법

  • 사용자가 생성한 콘텐츠는 클라우드 서비스 공급자와 같은 외부 액세스로부터 보호됩니다.
  • 로컬 신뢰할 수 있는 파트너는 이미 설정된 관계를 갖고 있는 고객의 암호화 키를 관리합니다.
  • 파트너가 제공하는 경우 로컬 기술 지원에 대한 옵션.
  • 미팅, 메시징 및 통화 콘텐츠를 지원합니다.

이 문서는 파트너 조직이 멀티 테넌트 하이브리드 데이터 보안 시스템에서 고객을 설정하고 관리할 수 있게 지원하기 위한 것입니다.

멀티 테넌트 하이브리드 데이터 보안의 역할

  • 파트너 전체 관리자 - 파트너가 관리하는 모든 고객에 대한 설정을 관리할 수 있습니다. 또한 조직의 기존 사용자에게 관리자 역할을 지정하고 파트너 관리자가 관리할 특정 고객을 지정할 수도 있습니다.
  • 파트너 관리자 - 관리자가 구축했거나 사용자에게 지정된 고객에 대한 설정을 관리할 수 있습니다.
  • 전체 관리자 - 조직 설정 수정, 라이센스 관리 및 역할 지정 등 작업을 수행할 수 있는 권한이 있는 파트너 조직의 관리자.
  • 모든 고객 조직의 종단 간 멀티 테넌트 HDS 설정 및 관리 - 파트너 전체 관리자 및 전체 관리자 권한이 필요합니다.
  • 지정된 테넌트 조직의 관리 - 파트너 관리자 및 전체 관리자 권한이 필요합니다.

보안 영역 아키텍처

Webex 클라우드 아키텍처는 아래와 같이 다른 유형의 서비스를 별도의 영역 또는 신뢰 도메인으로 구분합니다.

분리 영역 (하이브리드 데이터 보안 포함하지 않음)

하이브리드 데이터 보안을 더욱 잘 이해하기 위해 먼저 Cisco가 클라우드 영역에서 모든 기능을 제공하는 순수한 클라우드 사례를 살펴보겠습니다. 아이덴티티 서비스(사용자가 이메일 주소 등의 개인 정보와 직접 연관될 수 있는 유일한 장소)는 논리적, 물리적으로 데이터 센터 B에 있는 보안 영역과 분리됩니다. 따라서 두 부분 모두 데이터 센터 C에서 암호화된 콘텐츠가 궁극적으로 저장되는 영역과 분리됩니다.

이 다이어그램에서 클라이언트는 사용자의 노트북에서 실행되고 있는 Webex 앱이며, 아이덴티티 서비스로 인증되었습니다. 사용자가 스페이스에 보낼 메시지를 작성할 때 다음 단계가 실행됩니다.

  1. 클라이언트는 KMS(Key management service)를 사용하여 보안 연결을 설정한 후 메시지를 해독하기 위해 키를 요청합니다. 보안 연결은 ECDH를 사용하고, KMS는 AES-256 마스터 키를 사용하여 키를 암호화합니다.

  2. 메시지는 클라이언트에게 발송되기 전에 암호화됩니다. 클라이언트는 메시지를 인덱싱 서비스로 보내며, 여기에서 해당 콘텐츠에 대한 향후 검색에서 지원할 암호화된 검색 인덱스를 만듭니다.

  3. 암호화된 메시지는 규정 준수 확인을 위해 준수 서비스로 발송됩니다.

  4. 암호화된 메시지는 스토리지 영역에 저장됩니다.

하이브리드 데이터 보안을 배포할 때 보안 영역 기능(KMS, 인덱싱 및 규정 준수)을 온-프레미스 데이터 센터로 이동합니다. Webex를 구성하는 다른 클라우드 서비스(ID 및 콘텐츠 스토리지 포함)는 Cisco의 영역에 남아 있습니다.

다른 조직과 협업

조직에 있는 사용자는 정기적으로 Webex 앱을 사용하여 다른 조직에 있는 외부 참가자와 협업할 수도 있습니다. 해당 사용자가 귀하의 조직에서 소유하고 있는 스페이스에 대한 키를 요청하는 경우(귀사의 사용자 중의 한 명이 생성했기 때문), KMS는 ECDH 보안 채널을 통해 해당 클라이언트에게 키를 보냅니다. 단, 다른 조직에서 스페이스에 대한 키를 소유하고 있는 경우, KMS는 개별 ECDH 채널을 통해 요청을 WeBEX 클라우드로 라우트하여 적합한 KMS에서 키를 가져온 후 원래 채널에 있는 사용자에게 해당 키를 반환합니다.

조직 A에서 실행되고 있는 KMS 서비스는 X.509 PKI 인증서를 사용하여 다른 조직에서 KMS에 대한 연결을 검증합니다. 멀티 테넌트 하이브리드 데이터 보안 배포에서 사용할 x.509 인증서 생성에 대한 자세한 내용은 환경 준비 를 참조하십시오.

하이브리드 데이터 보안 배포에 대해 예상되는 부분

하이브리드 데이터 보안 배포에는 암호화 키를 소유하고 있는 위험성에 대한 확고한 약속과 인식이 필요합니다.

하이브리드 데이터 보안을 배포하려면 다음 항목을 제공해야 합니다.

하이브리드 데이터 보안에 대해 빌드하는 구성 ISO나 제공하는 데이터베이스를 완전히 잃으면 키를 잃게 됩니다. 키 손실은 사용자가 Webex 앱에서 스페이스 콘텐츠 및 기타 암호화된 데이터를 해독하지 못하게 합니다. 이러한 경우, 새로운 배포를 빌드할 수 있지만 새로운 콘텐츠만 표시됩니다. 데이터로의 액세스를 잃지 않으려면 다음을 실행하십시오.

  • 데이터베이스 및 구성 ISO의 백업 및 복구를 관리합니다.

  • 데이터베이스 디스크 오류 또는 데이터 센터 장애 등 재해가 발생할 경우 빠른 장애 복구를 수행할 수 있도록 준비하십시오.

HDS 배포 후 키를 다시 클라우드로 이동하는 메커니즘은 없습니다.

고급 설정 프로세스

이 문서는 멀티 테넌트 하이브리드 데이터 보안 배포의 설정 및 관리를 다룹니다.

  • 하이브리드 데이터 보안 설정—여기에는 필수 인프라 준비 및 하이브리드 데이터 보안 소프트웨어 설치, HDS 클러스터 만들기, 테넌트 조직을 클러스터에 추가 및 고객 기본 키(CMK) 관리 등이 포함됩니다. 이는 고객 조직의 모든 사용자가 보안 기능에 대해 하이브리드 데이터 보안 클러스터를 사용할 수 있게 합니다.

    설정, 활성화 및 관리 단계는 다음 세 장에서 자세히 다룹니다.

  • 하이브리드 데이터 보안 배포 유지—Webex 클라우드는 진행 중인 업그레이드를 자동으로 제공합니다. IT 부서는 이 배포에 대한 1단계 지원을 제공하고, 필요에 따라 Cisco 고객 지원과 작업할 수 있습니다. Partner Hub에서 화면에 알림을 사용하고 이메일 기반 경고를 설정할 수 있습니다.

  • 공통 경고, 문제 해결하기 단계 및 알려진 문제 이해하기—하이브리드 데이터 보안을 배포하거나 사용하는 데 문제가 발생하는 경우, 이 안내서의 마지막 장 및 알려진 문제 부록은 문제를 파악하고 수정하는 데 도움이 될 수 있습니다.

하이브리드 데이터 보안 배포 모델

기업 데이터 센터 내에서 개별 가상 호스트에 하이브리드 데이터 보안을 한 개의 노드로 배포합니다. 노드는 보안 웹소켓 및 보안 HTTP를 통해 Webex 클라우드와 통신합니다.

설치 과정 중에 귀하가 제공하는 VM에 가상 기기를 설정하기 위한 OVA 파일을 제공합니다. HDS Setup 도구를 사용하여 각 노드에서 마운트한 사용자 정의 클러스터 구성 ISO 파일을 만듭니다. 하이브리드 데이터 보안 클러스터는 제공된 Syslogd 서버 및 PostgreSQL 또는 Microsoft SQL Server 데이터베이스를 사용합니다. (HDS 설정 도구에서 Syslogd 및 데이터베이스 연결 세부 정보를 구성합니다.)

하이브리드 데이터 보안 배포 모델

한 개의 클러스터에 포함할 수 있는 최소한의 노드 수는 2개입니다. 클러스터당 최소한 세 개를 권장합니다. 여러 노드를 사용하면 노드에서 소프트웨어 업그레이드 또는 기타 유지관리 활동 중에 서비스가 중단되지 않도록 합니다. (Webex 클라우드는 한 번에 한 개의 노드만 업그레이드합니다.)

클러스터에 있는 모든 노드는 동일한 키 데이터스토어에 액세스하고, 동일한 시스로그 서버에 활동을 로그합니다. 노드 자체는 상태를 저장하지 않으며, 클라우드에서 디렉트된 대로 라운드 로빈 방법으로 키 요청을 처리합니다.

Partner Hub에서 노드를 등록하면 노드가 활성화됩니다. 개별 노드의 서비스를 중단시키려면 등록 해제하고 나중에 필요할 때 다시 등록할 수 있습니다.

재해 복구를 위한 대기 데이터 센터

배포 중에 보안 대기 데이터 센터를 설정합니다. 데이터 센터 장애 발생 시 대기 데이터 센터로 수동으로 배포를 실패할 수 있습니다.

장애 조치 전에 데이터 센터 A에 활성 HDS 노드 및 기본 PostgreSQL 또는 Microsoft SQL Server 데이터베이스가 있는 반면, B에 추가 구성이 포함된 ISO 파일의 사본, 조직에 등록된 VM 및 대기 데이터베이스가 있습니다. 장애 조치 후 데이터 센터 B에는 활성 HDS 노드 및 기본 데이터베이스가 있는 반면, A에 등록 해제된 VM 및 ISO 파일의 사본이 있으며, 데이터베이스는 대기 모드입니다.
대기 데이터 센터에 수동 장애 조치

활동 중 및 대기 데이터 센터의 데이터베이스가 서로 동기화되어 장애 조치를 수행하는 데 소요되는 시간을 최소화합니다.

활동 중인 하이브리드 데이터 보안 노드는 항상 활동 중인 데이터베이스 서버와 동일한 데이터 센터에 위치해야 합니다.

프록시 지원

하이브리드 데이터 보안은 명시적, 투명 검사 및 비-검사 프록시를 지원합니다. 해당 프록시를 배포에 연결하여 기업에서 클라우드로의 트래픽을 안전하게 보호하고 모니터링할 수 있습니다. 인증서 관리에 대해 노드에서 플랫폼 관리 인터페이스를 사용하고, 노드에서 프록시를 설정한 후 전반적인 연결 상태를 확인하기 위해 사용할 수 있습니다.

하이브리드 데이터 보안 노드는 다음 프록시 옵션을 지원합니다.

  • 프록시 없음—프록시를 통합하기 위해 HDS 노드 설정 신뢰 저장소 및 프록시 구성을 사용하지 않는 경우의 기본값입니다. 인증서를 업데이트하지 않아도 됩니다.

  • 투명 비-검사 프록시—노드가 특정 프록시 서버 주소를 사용하도록 구성되지 않았으며, 비-검사 프록시에서 작동하도록 변경하지 않아도 됩니다. 인증서를 업데이트하지 않아도 됩니다.

  • 투명 터널링 또는 검사 프록시—노드가 특정 프록시 서버 주소를 사용하도록 구성되지 않았습니다. 노드에서 HTTP 또는 HTTPS 구성을 변경하지 않아도 됩니다. 단, 노드에 루트 인증서가 있어야 프록시를 신뢰할 수 있습니다. 일반적으로 검사 프록시는 IT가 어떤 웹사이트를 방문할 수 있는지 및 어떤 유형의 콘텐츠가 허용되는지에 대한 정책을 적용하기 위해 사용됩니다. 이러한 유형의 프록시는 모든 트래픽(HTTPS 포함)을 해독합니다.

  • 명시적 프록시—명시적 프록시를 사용하여 HDS 노드에 어떤 프록시 서버 및 인증 체계를 사용하는지 알립니다. 명시적 프록시를 구성하려면 각 노드에 다음 정보를 입력해야 합니다.

    1. 프록시 IP/FQDN—프록시 머신에 연결하기 위해 사용될 수 있는 주소입니다.

    2. 프록시 포트—프록시가 프록시된 트래픽을 수신하기 위해 사용하는 포트 번호입니다.

    3. 프록시 프로토콜—프록시 서버에서 지원하는 내용에 따라 다음 프로토콜 중에서 선택합니다.

      • HTTP—클라이언트가 전송하는 모든 요청을 확인하고 제어합니다.

      • HTTPS—서버에 채널을 제공합니다. 클라이언트는 서버의 인증서를 수신하고 유효성을 검증합니다.

    4. 인증 유형—다음 인증 유형 중에서 선택합니다.

      • 없음—추가 인증이 필요하지 않습니다.

        HTTP 또는 HTTPS를 프록시 프로토콜로 선택하는 경우에 사용할 수 있습니다.

      • 기본—요청을 할 때 HTTP 사용자 에이전트가 사용자 이름 및 비밀번호를 제공하기 위해 사용됩니다. Base64 인코딩을 사용합니다.

        HTTP 또는 HTTPS를 프록시 프로토콜로 선택하는 경우에 사용할 수 있습니다.

        각 노드에서 사용자 이름 및 비밀번호를 입력하도록 요구합니다.

      • 다이제스트—민감한 정보를 보내기 전에 계정을 확인하기 위해 사용됩니다. 네트워크를 통해 전송하기 전에 사용자 이름 및 비밀번호에 해시 기능을 적용합니다.

        HTTPS를 프록시 프로토콜로 선택하는 경우에만 사용할 수 있습니다.

        각 노드에서 사용자 이름 및 비밀번호를 입력하도록 요구합니다.

하이브리드 데이터 보안 노드 및 프록시의 예제

이 다이어그램은 하이브리드 데이터 보안, 네트워크 및 프록시 간의 예제 연결을 표시합니다. 투명 검사 및 HTTPS 명시적 검사 프록시 옵션에 대해 프록시 및 하이브리드 데이터 보안 노드에 동일한 루트 인증서가 설치되어 있어야 합니다.

차단된 외부 DNS 확인 모드 끄기 (명시적 프록시 구성)

노드를 등록하거나 노드의 프록시 구성을 확인할 때 프로세스는 Cisco Webex 클라우드에 대한 DNS 조회 및 연결을 테스트합니다. 내부 클라이언트에 대해 외부 DNS 확인을 허용하지 않는 명시적인 프록시 구성이 포함된 배포에서 노드가 DNS 서버를 쿼리할 수 없는 경우, 이는 자동으로 차단된 외부 DNS 확인 모드로 지정됩니다. 이 모드에서 노드 등록 및 다른 프록시 연결 테스트를 진행할 수 있습니다.

환경 준비

멀티 테넌트 하이브리드 데이터 보안의 요구 사항

Cisco Webex 라이센스 요구 사항

멀티 테넌트 하이브리드 데이터 보안을 배포하려면:

  • 파트너 조직: Cisco 파트너 또는 계정 관리자에게 연락하고 멀티 테넌트 기능이 활성화되었는지 확인하십시오.

  • 테넌트 조직: Cisco Webex Control Hub용 Pro Pack을 사용해야 합니다. (참조: https://www.cisco.com/go/pro-pack)

Docker 데스크탑 요구 사항

HDS 노드를 설치하기 전에 설치 프로그램을 실행하려면 Docker 데스크탑이 필요합니다. Docker는 최근 라이센싱 모델을 업데이트했습니다. 조직에서 Docker 데스크탑에 대해 유료 가입을 요구할 수도 있습니다. 자세한 내용은 Docker 블로그 게시물 " Docker가 업데이트 중 및 제품 가입 연장하기를 참조합니다.

X.509 인증서 요구 사항

인증서 체인은 다음 요구 사항을 충족해야 합니다.

표 1. 하이브리드 데이터 보안 배포를 위한 X.509 인증서 요구 사항

요구 사항

세부 정보

  • 신뢰할 수 있는 인증 기관(CA)에서 서명함

기본적으로 Mozilla 목록에 있는 CA를 https://wiki.mozilla.org/CA:IncludedCAs에서 신뢰합니다(WoSign 및 StartCom 예외).

  • 하이브리드 데이터 보안 배포를 식별하는 CN(Common Name) 도메인 이름을 나타냅니다.

  • 와일드카드 인증서가 아님

CN은 연결되어야 하거나, 실시간 호스트일 필요가 없습니다. 조직을 반영하는 이름을 사용할 것을 권장합니다. 예: hds.company.com

CN에는 *(와일드카드)를 포함할 수 없습니다.

CN은 Webex 앱 클라이언트에 대해 하이브리드 데이터 보안 노드를 확인하기 위해 사용됩니다. 클러스터에 있는 모든 하이브리드 데이터 보안 노드는 동일한 인증서를 사용합니다. KMS는 x.509v3 SAN 필드에 정의된 도메인이 아닌 CN 도메인을 사용하여 자체적으로 식별합니다.

이 인증서를 사용하여 노드를 등록하면 CN 도메인 이름에 대한 변경을 지원하지 않습니다.

  • Non-SHA1 signature

KMS 소프트웨어는 다른 조직의 KMS에 연결을 확인하는 작업에 대해 SHA1 서명을 지원하지 않습니다.

  • 비밀번호로 보호된 PKCS #12 파일로 형식화됨

  • kms-private-key의 알기 쉬운 이름을 사용하여 인증서, 비공개 키 및 업로드할 중간 인증서에 태그를 지정합니다.

OpenSSL 등의 변환기를 사용하여 인증서 형식을 변경할 수 있습니다.

HDS 설정 도구를 실행할 때 비밀번호를 입력해야 합니다.

KMS 소프트웨어는 키 사용 또는 확장된 키 사용 제한을 강요하지 않습니다. 일부 인증 기관에서는 각 인증서에 서버 인증과 같은 확장된 키 사용 제한을 적용하도록 요구합니다. 서버 인증 또는 기타 설정을 사용해도 괜찮습니다.

가상 호스트 요구 사항

클러스터에서 하이브리드 데이터 보안 노드로 설정할 가상 호스트에는 다음 요구 사항이 있습니다.

  • 동일한 보안 데이터 센터에 최소한 두 개의 개별 호스트(3개 권장됨)가 배치됨

  • VMware ESXi 7.0(또는 이상)이 설치되고 실행 중입니다.

    이전 버전의 ESXi가 있는 경우 업그레이드해야 합니다.

  • 최소 4개 vCPU, 8GB 기본 메모리, 서버당 30GB 로컬 하드 디스크 공간

데이터베이스 서버 요구 사항

키 스토리지에 대한 새 데이터베이스를 만듭니다. 기본 데이터베이스를 사용하지 마십시오. HDS 응용프로그램을 설치하면 데이터베이스 스키마가 생성됩니다.

데이터베이스 서버에는 두 가지 옵션이 있습니다. 각 요구 사항은 다음과 같습니다.

표 2. 데이터베이스 유형별 데이터베이스 서버 요구 사항

PostgreSQL의

Microsoft SQL 서버

  • PostgreSQL 14, 15 또는 16 설치 및 실행.

  • SQL Server 2016, 2017 또는 2019(기업 또는 표준)이 설치되었습니다.

    SQL Server 2016에는 서비스 팩 2 및 누적 업데이트 2 이상이 필요합니다.

최소 8개 vCPU, 16GB 메인 메모리, 충분한 하드 디스크 공간 및 초과하지 않도록 모니터링(스토리지를 늘리지 않고도 장기간 데이터베이스를 실행하려는 경우 2TB 권장됨)

최소 8개 vCPU, 16GB 메인 메모리, 충분한 하드 디스크 공간 및 초과하지 않도록 모니터링(스토리지를 늘리지 않고도 장기간 데이터베이스를 실행하려는 경우 2TB 권장됨)

현재 HDS 소프트웨어는 데이터베이스 서버와의 통신을 위해 다음 드라이버 버전을 설치합니다.

PostgreSQL의

Microsoft SQL 서버

Postgres JDBC 드라이버 42.2.5

SQL 서버 JDBC 드라이버 4.6

이 드라이버 버전은 SQL Server 항상 켜기(페일오버 클러스터 인스턴스 항상 켜기가용성 그룹 항상 켜기)를 지원합니다.

Microsoft SQL Server에 대한 Windows 인증에 대한 추가 요구 사항

HDS 노드가 Windows 인증을 사용하여 Microsoft SQL Server에서 키 저장소 데이터베이스에 액세스하도록 하려는 경우, 환경에서 다음 구성이 필요합니다.

  • HDS 노드, Active Directory 인프라 및 MS SQL 서버는 모두 NTP와 동기화되어야 합니다.

  • HDS 노드에 제공하는 Windows 계정은 데이터베이스에 대한 읽기/쓰기 액세스 권한이 있어야 합니다.

  • HDS 노드에 제공하는 DNS 서버는 KDC(Key Distribution Center)를 확인할 수 있어야 합니다.

  • Microsoft SQL Server의 HDS 데이터베이스 인스턴스를 Active Directory의 SPN(Service Principal Name)으로 등록할 수 있습니다. Kerberos 연결에 대해 서비스 기본 이름 등록을 참조하십시오.

    HDS 설정 도구, HDS 실행기 및 로컬 KMS는 모두 Windows 인증을 사용하여 키 저장소 데이터베이스에 액세스해야 합니다. Kerberos 인증으로 액세스를 요청할 때 ISO 구성의 세부 정보를 사용하여 SPN을 구성합니다.

외부 연결 요구 사항

HDS 응용프로그램에 대해 다음 연결을 허용하도록 방화벽을 구성합니다.

응용프로그램

프로토콜

포트

앱에서 방향

대상

하이브리드 데이터 보안 노드

TCP

443

아웃바운드 HTTPS 및 WSS

  • Webex 서버:

    • *.wbx2.com

    • *.ciscospark.com

  • 모든 공통 ID 호스트

  • Webex 서비스의 네트워크 요구 사항Webex 하이브리드 서비스의 추가 URL 표에 하이브리드 데이터 보안에 나열된 기타 URL

HDS 설정 도구

TCP

443

아웃바운드 HTTPS

  • *.wbx2.com

  • 모든 공통 ID 호스트

  • hub.docker.com

NAT 또는 방화벽이 앞의 표에 있는 도메인 대상에 필요한 아웃바운드 연결을 허용하는 한, 하이브리드 데이터 보안 노드는 네트워크 액세스 변환(NAT) 또는 방화벽 내에서 작동합니다. 하이브리드 데이터 보안 노드로 인바운드되는 연결에 대해서는 인터넷에서 포트가 표시되지 말아야 합니다. 데이터 센터 내에서 클라이언트는 관리의 목적을 위해 TCP 포트 443 및 22에서 하이브리드 데이터 보안 노드에 액세스해야 합니다.

CI(공통 ID) 호스트에 대한 URL은 지역별로 다릅니다. 현재 CI 호스트는 다음과 같습니다.

지역

공통 ID 호스트 URL

미주

  • https://idbroker.webex.com

  • https://identity.webex.com

  • https://idbroker-b-us.webex.com

  • https://identity-b-us.webex.com

유럽 연합

  • https://idbroker-eu.webex.com

  • https://identity-eu.webex.com

캐나다

  • https://idbroker-ca.webex.com

  • https://identity-ca.webex.com

싱가포르

  • https://idbroker-sg.webex.com

  • https://identity-sg.webex.com

아랍에미리트

  • https://idbroker-ae.webex.com

  • https://identity-ae.webex.com

프록시 서버 요구 사항

  • 하이브리드 데이터 보안 노드에 통합할 수 있는 다음 프록시 솔루션을 공식적으로 지원합니다.

  • 명시적 프록시에 대해 다음 인증 유형 조합을 지원합니다.

    • HTTP 또는 HTTPS로 인증하지 않음

    • HTTP 또는 HTTPS로 기본 인증

    • HTTPS로만 다이제스트 인증

  • 투명 검사 프록시 또는 HTTPS 명시적 프록시에 대해 프록시 루트 인증서의 복사본이 있어야 합니다. 이 안내서의 배포 지시 사항은 하이브리드 데이터 보안 노드의 신뢰 저장소에 사본을 업로드하는 방법을 설명합니다.

  • HDS 노드를 호스트하는 네트워크는 포트 443의 아웃바운드 TCP 트래픽이 프록시를 통해 라우팅하도록 구성되어야 합니다.

  • 웹 트래픽을 검사하는 프록시는 웹 소켓 연결을 방해할 수도 있습니다. 이 문제가 발생하는 경우, wbx2.comciscospark.com에 대한 트래픽을 우회(검사하지 않음)하면 문제를 해결할 수 있습니다.

하이브리드 데이터 보안에 대한 전제 조건 완료

이 검사 목록을 사용하여 하이브리드 데이터 보안 클러스터를 설치하고 구성할 준비가 되었는지 확인하십시오.
1

파트너 조직에 멀티 테넌트 HDS 기능이 활성화되었는지 확인하고 파트너 전체 관리자 및 전체 관리자 권한이 있는 계정의 자격 증명을 확보하십시오. Webex 고객 조직이 Cisco Webex Control Hub용 Pro Pack에 대해 활성화되었는지 확인하십시오. 이 과정에 대해 지원을 받으려면 Cisco 파트너 또는 계정 관리자에게 연락하십시오.

고객 조직에는 기존의 HDS 배포가 없어야 합니다.

2

HDS 배포에 대한 도메인 이름(예: hds.company.com)을 선택하고 X.509 인증서, 비공개 키 및 중간 인증서를 포함하는 인증서 체인을 확보합니다. 인증서 체인은 X.509 인증서 요구 사항에 있는 요구 사항을 충족해야 합니다.

3

클러스터에서 하이브리드 데이터 보안 노드로 설정할 동일한 가상 호스트를 준비하십시오. 가상 호스트 요구 사항의 요구 사항을 충족하는 동일한 보안 데이터 센터에 최소한 두 개의 개별 호스트(권장되는 3개)가 있어야 합니다.

4

데이터베이스 서버 요구 사항에 따라 클러스터에 대한 키 데이터 저장소 역할을 할 데이터베이스 서버를 준비합니다. 데이터베이스 서버는 가상 호스트와 함께 보안 데이터 센터에 위치해야 합니다.

  1. 키 스토리지에 대한 데이터베이스를 생성합니다. (이 데이터베이스를 만들어야 합니다. 기본 데이터베이스를 사용하지 마십시오. HDS 응용프로그램을 설치하면 데이터베이스 스키마가 생성됩니다.)

  2. 노드가 데이터베이스 서버와 통신하는 데 사용할 세부 사항을 수집하십시오.

    • 호스트 이름 또는 IP 주소 (호스트) 및 포트

    • 키 스토리지에 대한 데이터베이스의 이름(dbname)

    • 키 스토리지 데이터베이스에서 모든 권한을 가진 사용자의 사용자이름 및 비밀번호

5

빠른 장애 복구를 위해 다른 데이터 센터에 백업 환경을 설정합니다. 백업 환경은 VM과 백업 데이터베이스 서버의 프로덕션 환경을 반영합니다. 예를 들어, 프로덕션에 HDS 노드를 실행하는 3개의 VM이 있으면 백업 환경에도 3개의 VM이 있어야 합니다.

6

클러스터에 있는 노드에서 로그를 수집하도록 시스로그 호스트를 설정하십시오. 네트워크 주소 및 시스로그 포트를 수집합니다(기본값은 UDP 514).

7

하이브리드 데이터 보안 노드, 데이터베이스 서버 및 syslog 호스트에 대한 보안 백업 정책을 만듭니다. 복구할 수 없는 데이터 손실을 방지하기 위해 하이브리드 데이터 보안 노드에 대해 생성된 데이터베이스 및 구성 ISO 파일을 백업해야 합니다.

하이브리드 데이터 보안 노드는 콘텐츠의 암호화 및 해독에 사용되는 키를 저장하기 때문에 운영 중인 배포를 유지하지 못하면 해당 콘텐츠의 복구할 수 없는 손실 으로 이어질 수 있습니다.

Webex 앱 클라이언트는 키를 캐시하므로 정전이 즉시 눈에 띄지 않지만 시간이 지남에 따라 눈에 띄게 됩니다. 일시적인 중단은 예방할 수 없지만, 복구는 가능합니다. 그러나 데이터베이스 또는 구성 ISO 파일을 완전한 유실하면(사용할 수 있는 백업 없음) 고객 데이터를 복구할 수 없게 됩니다. 하이브리드 데이터 보안 노드의 운영자는 데이터베이스 및 구성 ISO 파일의 빈번한 백업을 유지하고, 치명적인 오류가 발생할 경우 하이브리드 데이터 보안 데이터 센터를 다시 빌드할 준비가 되어야 합니다.

8

방화벽 구성에서 외부 연결 요구 사항에 설명된 대로 하이브리드 데이터 보안 노드에 대한 연결을 허용하는지 확인합니다.

9

지원되는 OS(Microsoft Windows 10 Professional 또는 Enterprise 64비트 또는 Mac OSX Yosemite 10.10.3 이상)를 실행하는 로컬 머신에 Docker( https://www.docker.com)를 http://127.0.0.1:8080.에서 액세스할 수 있는 웹 브라우저를 설치합니다.

Docker 인스턴스를 사용하여 모든 하이브리드 데이터 보안 노드에 대한 로컬 구성 정보를 빌드하는 HDS 설정 도구를 다운로드하고 실행합니다. Docker 데스크탑 라이센스가 필요할 수 있습니다. 자세한 정보는 Docker 데스크탑 요구 사항 을 참조하십시오.

HDS 설정 도구를 설치하고 실행하려면 로컬 머신에 외부 연결 요구 사항에 설명된 연결이 있어야 합니다.

10

하이브리드 데이터 보안에 프록시를 통합하는 경우, 프록시 서버 요구 사항을 충족하는지 확인하십시오.

하이브리드 데이터 보안 클러스터 설정

하이브리드 데이터 보안 배포 작업 흐름

시작하기 전에

1

초기 설정을 수행하고 설치 파일 다운로드

나중에 사용할 수 있도록 OVA 파일을 로컬 머신으로 다운로드합니다.

2

HDS 호스트에 대해 구성 ISO 만들기

HDS 설정 도구를 사용하여 하이브리드 데이터 보안 노드에 대한 ISO 구성 파일을 만듭니다.

3

HDS 호스트 OVA 설치

OVA 파일에서 가상 머신을 만들고 네트워크 설정과 같은 초기 구성을 수행합니다.

OVA 배포 중 네트워크 설정을 구성하는 옵션은 ESXi 7.0에서 테스트되었습니다. 이전 버전에서 해당 옵션을 사용하지 못할 수도 있습니다.

4

하이브리드 데이터 보안 VM 설정

VM 콘솔에 로그인하고 로그인 자격 증명을 설정합니다. OVA 배포 시 구성하지 않은 경우 노드에 대한 네트워크 설정을 구성합니다.

5

HDS 구성 ISO 업로드 및 마운트

HDS 설정 도구를 사용하여 만든 ISO 구성 파일에서 VM을 구성합니다.

6

프록시 통합에 대해 HDS 노드 구성

네트워크 환경에 프록시 구성이 필요한 경우 노드에 사용할 프록시의 유형을 지정하고 필요에 따라 프록시 인증서를 신뢰 저장소에 추가합니다.

7

클러스터에서 첫 번째 노드 등록

하이브리드 데이터 보안 노드로 Cisco Webex 클라우드에 VM을 등록합니다.

8

추가 노드를 만들고 등록

클러스터 설정을 완료하십시오.

9

Partner Hub에서 멀티 테넌트 HDS를 활성화합니다.

Partner Hub에서 HDS를 활성화하고 테넌트 조직을 관리합니다.

초기 설정을 수행하고 설치 파일 다운로드

이 작업에서 OVA 파일을 컴퓨터에 다운로드합니다(하이브리드 데이터 보안 노드로 설정한 서버가 아님). 나중에 이 파일을 설치 프로세스에서 사용합니다.

1

Partner Hub에 로그인한 후 서비스를 클릭합니다.

2

클라우드 서비스 섹션에서 하이브리드 데이터 보안 카드를 찾은 후 설정을 클릭합니다.

Partner Hub에서 설정 을 클릭하면 배포 프로세스에 매우 중요합니다. 이 단계를 완료하지 않고 설치를 진행하지 마십시오.

3

리소스 추가 를 클릭하고 소프트웨어 설치 및 구성 카드에서 .OVA 파일 다운로드 를 클릭합니다.

이전 버전의 소프트웨어 패키지(OVA)는 최신 하이브리드 데이터 보안 업그레이드와 호환되지 않습니다. 이는 응용프로그램을 업그레이드하는 동안 문제가 발생할 수 있습니다. 최신 버전의 OVA 파일을 다운로드했는지 확인하십시오.

도움말 섹션에서 언제든지 OVA를 다운로드할 수도 있습니다. 설정 > 도움말 > 하이브리드 데이터 보안 소프트웨어 다운로드를 클릭합니다.

OVA 파일이 자동으로 다운로드되기 시작합니다. 머신에 있는 위치에 파일을 저장합니다.
4

선택적으로, 하이브리드 데이터 보안 배포 안내서 보기 를 클릭하여 이 안내서의 이후 버전을 사용할 수 있는지 확인합니다.

HDS 호스트에 대해 구성 ISO 만들기

하이브리드 데이터 보안 설정 프로세스는 ISO 파일을 만듭니다. 그 후 ISO를 사용하여 하이브리드 데이터 보안 호스트를 구성합니다.

시작하기 전에
1

머신의 명령줄에 사용자 환경에 적합한 명령을 입력합니다.

일반 환경:

docker rmi ciscocitg/hds-setup:안정

FedRAMP 환경:

도커 rmi ciscocitg/hds-setup-fedramp:stable

이 단계에서는 이전 HDS 설정 도구 이미지를 정리합니다. 이전 이미지가 없는 경우 무시할 수 있는 오류를 반환합니다.

2

Docker 이미지 레지스트리에 로그인하려면 다음을 입력합니다.

도커 로그인 -u hdscustomersro
3

비밀번호 프롬프트에 이 해시를 입력합니다.

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo는
4

사용자 환경에 맞는 최신 안정 이미지를 다운로드합니다.

일반 환경:

docker pull ciscocitg/hds-setup:안정

FedRAMP 환경:

docker pull ciscocitg/hds-setup-fedramp:안정
5

풀이 완료되면 사용자 환경에 적합한 명령을 입력합니다.

  • 프록시가 없는 일반 환경:

    도커 실행 -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

  • HTTP 프록시가 있는 일반 환경:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • HTTPS 프록시가 있는 일반 환경에서는:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • 프록시가 없는 FedRAMP 환경:

    도커 실행 -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • HTTP 프록시가 있는 FedRAMP 환경:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • HTTPS 프록시가 있는 FedRAMP 환경:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

컨테이너가 실행 중일 때 "포트 8080에서 수신하는 Express 서버"가 표시됩니다.

6

설정 도구는 http://localhost:8080을 통해 localhost에 연결하는 것을 지원하지 않습니다. http://127.0.0.1:8080 을(를) 사용하여 로컬 호스트에 연결합니다.

웹 브라우저를 사용하여 localhost, http://127.0.0.1:8080(으)로 이동하고 프롬프트에 Partner Hub의 관리 사용자 이름을 입력합니다.

이 도구는 사용자 이름의 이 첫 번째 항목을 사용하여 해당 계정에 적합한 환경을 설정합니다. 그런 다음 도구는 표준 로그인 프롬프트를 표시합니다.

7

안내를 받으면 Partner Hub 관리자 로그인 자격 증명을 입력한 후 로그인 을 클릭하여 하이브리드 데이터 보안에 필요한 서비스에 대한 액세스를 허용합니다.

8

설정 도구 개요 페이지에서 시작하기를 클릭합니다.

9

ISO 가져오기 페이지에 다음 옵션이 있습니다.

  • 아니요—첫 번째 HDS 노드를 만드는 경우, 업로드할 ISO 파일이 없습니다.
  • —HDS 노드를 이미 만든 경우, 찾아보기에서 ISO 파일을 선택하고 업로드합니다.
10

X.509 인증서가 X.509 인증서 요구 사항의 요구 사항을 충족하는지 확인합니다.

  • 이전에 인증서를 업로드하지 않은 경우, X.509 인증서를 업로드하고 비밀번호를 입력한 후 계속을 클릭합니다.
  • 인증서가 올바른 경우, 계속을 클릭합니다.
  • 인증서가 만료되었거나 교체하려는 경우, 이전 ISO에서 HDS 인증서 체인 및 비공개 키를 계속 사용? 에 대해 아니요를 선택합니다. 새로운 X.509 인증서를 업로드하고 비밀번호를 입력한 후 계속을 클릭합니다.
11

키 데이터 저장소에 액세스하기 위해 HDS의 데이터베이스 주소 및 계정을 입력합니다.

  1. 데이터베이스 유형 (PostgreSQL 또는 Microsoft SQL Server)을 선택합니다.

    Microsoft SQL Server를 선택하는 경우, 인증 유형 필드가 나타납니다.

  2. (Microsoft SQL Server 전용) 인증 유형을 선택합니다.

    • 기본 인증: 사용자이름 필드에 로컬 SQL Server 계정 이름이 필요합니다.

    • Windows 인증: 사용자이름 필드에 username@DOMAIN 형식의 Windows 계정이 필요합니다.

  3. 데이터베이스 서버 주소를 : 또는 : 형식으로 입력합니다.

    예:
    dbhost.example.org:1433 또는 198.51.100.17:1433

    노드에서 DNS를 사용하여 호스트 이름을 확인할 수 없는 경우 기본 인증에 대해 IP 주소를 사용할 수 있습니다.

    Windows 인증을 사용하고 있는 경우, 정규화된 도메인 이름을 dbhost.example.org:1433 형식으로 입력해야 합니다.

  4. 데이터베이스 이름을 입력합니다.

  5. 키 스토리지 데이터베이스에서 모든 권한이 있는 사용자의 사용자이름비밀번호 를 입력합니다.

12

TLS 데이터베이스 연결 모드를 선택합니다.

모드

설명

TLS 선호 (기본 옵션)

HDS 노드에서 TLS가 데이터베이스 서버에 연결하도록 요구하지 않습니다. 데이터베이스 서버에서 TLS를 활성화하는 경우 노드는 암호화된 연결을 시도합니다.

TLS 필요

데이터베이스 서버에서 TLS를 협상할 수 있는 경우에만 HDS 노드를 연결합니다.

TLS 필요 및 인증서 서명자 확인

이 모드는 SQL Server 데이터베이스에는 적용되지 않습니다.

  • 데이터베이스 서버에서 TLS를 협상할 수 있는 경우에만 HDS 노드를 연결합니다.

  • TLS 연결을 설정한 후 노드는 데이터베이스 서버에서 인증서의 서명자를 데이터베이스 루트 인증서에 있는 인증 기관과 비교합니다. 해당 정보가 일치하지 않으면 노드는 연결을 끊습니다.

이 옵션에 대해 루트 인증서를 업로드하려면 드롭다운 아래에 있는 데이터베이스 루트 인증서 제어를 사용하십시오.

TLS 필요 및 인증서 서명자, 호스트 이름 확인

  • 데이터베이스 서버에서 TLS를 협상할 수 있는 경우에만 HDS 노드를 연결합니다.

  • TLS 연결을 설정한 후 노드는 데이터베이스 서버에서 인증서의 서명자를 데이터베이스 루트 인증서에 있는 인증 기관과 비교합니다. 해당 정보가 일치하지 않으면 노드는 연결을 끊습니다.

  • 노드는 서버 인증서의 호스트 이름이 데이터베이스 호스트 및 포트 필드에 있는 호스트 이름과 일치하는지 확인합니다. 이름은 정확히 일치해야 하며, 그렇지 않으면 노드가 연결을 끊습니다.

이 옵션에 대해 루트 인증서를 업로드하려면 드롭다운 아래에 있는 데이터베이스 루트 인증서 제어를 사용하십시오.

루트 인증서를 업로드하고(필요한 경우) 계속을 클릭하면 HDS 설정 도구는 데이터베이스 서버에 대한 TLS 연결을 테스트합니다. 해당 도구는 인증서 서명자 및 호스트 이름도 확인합니다(해당하는 경우). 테스트가 실패하면 도구에서 문제를 설명하는 오류 메시지를 표시합니다. 오류를 무시할지 선택하고 설정을 계속할 수 있습니다. (연결성 차이로 인해 HDS 설정 도구 머신에서 성공적으로 테스트할 수 없는 경우에도 HDS 노드는 TLS 연결을 설정할 수 있습니다.)

13

시스템 로그 페이지에서 Syslogd 서버를 구성합니다.

  1. syslog 서버 URL을 입력합니다.

    서버가 HDS 클러스터에 대한 노드에서 DNS를 확인할 수 없는 경우 URL에 있는 IP 주소를 사용합니다.

    예:
    udp://10.92.43.23:514 는 UDP 포트 514에서 Syslogd 호스트 10.92.43.23에 대한 로깅을 가리킵니다.

  2. TLS 암호화를 사용하도록 서버를 설정한 경우, SSL 암호화에 대해 syslog 서버가 구성되었습니까?를 체크합니다.

    이 확인란을 선택하는 경우, tcp://10.92.43.23:514와 같은 TCP URL을 입력해야 합니다.

  3. syslog 녹화 종료 선택 드롭다운에서 ISO 파일에 적합한 설정을 선택합니다. Graylog 및 Rsyslog TCP에 대해 선택하거나 새로 고침을 사용합니다.

    • Null 바이트 -- \x00

    • 새로 고침 -- \n—Graylog 및 Rsyslog TCP에 대해 이 옵션을 선택합니다.

  4. 계속을 클릭합니다.

14

(선택 사항) 고급 설정에서 일부 데이터베이스 연결 파라미터에 대한 기본값을 변경할 수 있습니다. 일반적으로 이 파라미터는 변경할 수 있는 유일한 파라미터입니다.

app_datasource_connection_pool_max크기: 10
15

서비스 계정 비밀번호 재설정 화면에서 계속 을 클릭합니다.

서비스 계정 비밀번호의 수명은 9개월입니다. 비밀번호가 곧 만료되거나 이전 ISO 파일을 무효화하도록 재설정하고자 할 때 이 화면을 사용합니다.

16

ISO 파일 다운로드를 클릭합니다. 쉽게 찾을 수 있는 위치에 파일을 저장합니다.

17

로컬 시스템에서 ISO 파일의 백업 복사본을 만듭니다.

백업 복사본을 안전하게 유지합니다. 이 파일에는 데이터베이스 콘텐츠에 대한 마스터 암호화 키가 포함됩니다. 구성을 변경해야 하는 하이브리드 데이터 보안 관리자에게만 액세스를 제한합니다.

18

설정 도구를 종료하려면 CTRL + C 조합을 입력합니다.

다음에 수행할 작업

구성 ISO 파일을 백업합니다. 복구를 위해 추가 노드를 만들거나 구성을 변경하려면 이 노드가 필요합니다. ISO 파일의 모든 복사본을 잃게 되면 마스터 키도 잃게 됩니다. PostgreSQL 또는 Microsoft SQL Server 데이터베이스에서 키를 복구할 수 없습니다.

이 키의 사본은 가지고 있지 않으며, 잃어버리는 경우엔 지원할 수 없습니다.

HDS 호스트 OVA 설치

OVA 파일에서 가상 머신을 만들려면 이 절차를 따르십시오.
1

컴퓨터에서 VMware vSphere 클라이언트를 사용하여 ESXi 가상 호스트에 로그인합니다.

2

파일 > OVF 템플릿 배포를 선택합니다.

3

마법사에서 이전에 다운로드한 OVA 파일의 위치를 지정한 후 다음을 클릭합니다.

4

이름 및 폴더 선택 페이지에서 노드에 대한 가상 머신 이름 (예: "HDS_Node_1")을 입력하고 가상 머신 노드 배포가 상주할 수 있는 위치를 선택한 후 다음을 클릭합니다.

5

계산 리소스 선택 페이지에서 대상 계산 리소스를 선택한 후 다음을 클릭합니다.

유효성 검사가 실행됩니다. 완료되면 템플릿 세부 사항이 나타납니다.

6

템플릿 세부 사항을 확인한 후 다음을 클릭합니다.

7

구성 페이지에서 리소스 구성을 선택하도록 요청받는 경우, 4 CPU 를 클릭한 후 다음을 클릭합니다.

8

스토리지 선택 페이지에서 다음 을 클릭하여 기본 디스크 형식 및 VM 스토리지 정책을 수락합니다.

9

네트워크 선택 페이지에서 입력값의 목록에서 네트워크 옵션을 선택하여 VM에 원하는 연결을 제공합니다.

10

템플릿 사용자 정의 페이지에서 다음 네트워크 설정을 구성합니다.

  • 호스트 이름—노드에 대한 FQDN(호스트 이름 및 도메인) 또는 한 단어 호스트 이름을 입력합니다.

    • X.509 인증서를 얻는 데 사용된 도메인과 일치하도록 도메인을 설정할 필요는 없습니다.

    • 클라우드에 성공적으로 등록하려면 노드에 대해 설정한 FQDN 또는 호스트 이름에서 소문자만 사용하십시오. 현재 대문자 사용은 지원되지 않습니다.

    • FQDN의 총 길이는 64자를 초과하지 말아야 합니다.

  • IP 주소— 노드의 내부 인터페이스에 대한 IP 주소를 입력합니다.

    노드에는 내부 IP 주소 및 DNS 이름이 있어야 합니다. DHCP는 지원되지 않습니다.

  • 마스크—점-소수 표기법으로 서브넷 마스크 주소를 입력합니다. 예: 255.255.255.0.
  • 게이트웨이—게이트웨이 IP 주소를 입력합니다. 게이트웨이는 다른 네트워크에 대한 액세스 포인트로 사용되는 네트워크 노드입니다.
  • DNS 서버—도메인 이름을 숫자 IP 주소로 변환하는 DNS 서버의 콤마로 구분된 목록을 입력합니다. (최대 4개의 DNS 항목이 허용됩니다.)
  • NTP 서버—조직의 NTP 서버 또는 조직에서 사용될 수 있는 다른 외부 NTP 서버를 입력합니다. 기본 NTP 서버는 모든 기업에 대해 작동하지 않을 수 있습니다. 콤마로 구분된 목록을 사용하여 여러 NTP 서버를 입력할 수도 있습니다.

  • 관리의 목적을 위해 네트워크의 클라이언트에서 클러스터의 모든 노드에 연결할 수 있도록 동일한 서브넷 또는 VLAN에 모든 노드를 배포합니다.

원하는 경우, 네트워크 설정 구성을 건너뛰고 하이브리드 데이터 보안 VM 설정 에 설명된 단계를 따라 노드 콘솔에서 설정을 구성할 수 있습니다.

OVA 배포 중 네트워크 설정을 구성하는 옵션은 ESXi 7.0에서 테스트되었습니다. 이전 버전에서 해당 옵션을 사용하지 못할 수도 있습니다.

11

노드 VM을 오른쪽 클릭한 후 전원 > 전원 켜기를 선택합니다.

하이브리드 데이터 보안 소프트웨어는 VM 호스트에 손님으로 설치됩니다. 이제 콘솔에 로그인하고 노드를 구성할 준비가 되었습니다.

문제 해결하기 추가 정보

노드 포함자가 시작되기 전에 몇 분 정도 지연이 발생할 수도 있습니다. 첫 번째 부팅 중에 콘솔에 브리지 방화벽 메시지가 나타나며, 로그인할 수 없습니다.

하이브리드 데이터 보안 VM 설정

이 절차를 사용하여 처음으로 하이브리드 데이터 보안 노드 VM 콘솔에 로그인하고 로그인 자격 증명을 설정합니다. OVA 배포 시 구성하지 않은 경우 콘솔을 사용하여 노드에 대한 네트워크 설정을 구성할 수도 있습니다.

1

VMware vSphere 클라이언트에서 하이브리드 데이터 보안 노드 VM을 선택하고 콘솔 탭을 선택합니다.

VM이 부팅되고 로그인 프롬프트가 나타납니다. 로그인 프롬프트가 표시되지 않는 경우엔 Enter를 누릅니다.
2

다음 기본 로그인 및 비밀번호를 사용하여 로그인하고 자격 증명을 변경합니다.

  1. 로그인: admin

  2. 비밀번호: cisco

VM에 처음으로 로그인하고 있기 때문에 관리자 비밀번호를 변경하도록 요구받습니다.

3

HDS 호스트 OVA 설치에서 이미 네트워크 설정을 구성한 경우, 이 절차의 나머지 부분은 건너뜁니다. 그렇지 않으면 기본 메뉴에서 구성 편집 옵션을 선택합니다.

4

IP 주소, 마스크, 게이트웨이 및 DNS 정보로 정적 구성을 설정합니다. 노드에는 내부 IP 주소 및 DNS 이름이 있어야 합니다. DHCP는 지원되지 않습니다.

5

(선택 사항) 필요한 경우, 네트워크 정책과 일치하도록 호스트이름, 도메인 또는 NTP 서버를 변경합니다.

X.509 인증서를 얻는 데 사용된 도메인과 일치하도록 도메인을 설정할 필요는 없습니다.

6

네트워크 구성을 저장하고 VM을 다시 부팅하여 변경 사항을 적용합니다.

HDS 구성 ISO 업로드 및 마운트

HDS 설정 도구로 생성한 ISO 파일에서 가상 머신을 구성하려면 이 절차를 따르십시오.

시작하기 전에

ISO 파일은 마스터 키를 갖고 있기 때문에 이는 하이브리드 데이터 보안 VM 및 변경해야 할 수 있는 관리자가 액세스하기 위해 "알아야 할 것"으로만 노출되어야 합니다. 해당 관리자만 데이터스토어에 액세스할 수 있는지 확인하십시오.

1

컴퓨터에서 ISO 파일을 업로드합니다.

  1. VMware vSphere 클라이언트의 왼쪽 네비게이션 분할 창에서 ESXi 서버를 클릭합니다.

  2. 구성 탭의 하드웨어 목록에서 스토리지를 클릭합니다.

  3. 데이터스토어 목록에서 VM용 데이터스토어를 오른쪽 클릭하고 데이터스토어 찾아보기를 클릭합니다.

  4. 파일 업로드 아이콘을 클릭한 후 파일 업로드을 클릭합니다.

  5. 컴퓨터에서 ISO 파일을 다운로드한 위치를 찾고 열기를 클릭합니다.

  6. 를 클릭하여 업로드/다운로드 작업 경고를 수락하고 데이터스토어 대화 상자를 닫습니다.

2

ISO 파일을 마운트합니다.

  1. VMware vSphere 클라이언트의 왼쪽 네비게이션 분할 창에서 VM을 오른쪽 클릭하고 설정 편집을 클릭합니다.

  2. 확인을 클릭하여 제한된 편집 옵션 경고를 수락합니다.

  3. CD/DVD 드라이브 1을 클릭하고 데이터스토어 ISO 파일에서 마운트하기 위한 옵션을 선택한 후 구성 ISO 파일을 업로드한 위치를 찾습니다.

  4. 연결됨시동될 때 연결을 체크합니다.

  5. 변경 내용을 저장하고 가상 머신을 재부팅합니다.

다음에 수행할 작업

IT 정책에서 요구하는 경우, 모든 노드에서 구성 변경 사항을 적용한 후에 선택적으로 ISO 파일을 마운트 해제할 수 있습니다. 자세한 내용은 (선택 사항) HDS 구성 후 ISO 마운트 해제 를 참조하십시오.

프록시 통합에 대해 HDS 노드 구성

네트워크 환경에 프록시가 필요한 경우, 이 절차를 사용하여 하이브리드 데이터 보안에 통합하고자 하는 프록시의 유형을 지정합니다. 투명 검사 프록시 또는 HTTPS 명시적 프록시를 선택하는 경우, 노드의 인터페이스를 사용하여 루트 인증서를 업로드하고 설치할 수 있습니다. 인터페이스에서 프록시 연결을 확인하고 잠재적인 문제를 해결할 수도 있습니다.

시작하기 전에

1

웹 브라우저에서 HDS 노드 설정 URL https://[HDS Node IP 또는 FQDN]/setup을 입력하고, 노드에 대해 설정한 관리 자격 증명을 입력한 후 로그인을 클릭합니다.

2

신뢰 저장소 및 프록시로 이동한 후 옵션을 선택합니다.

  • 프록시 없음—프록시를 통합하기 전에 기본 옵션입니다. 인증서를 업데이트하지 않아도 됩니다.
  • 투명 비-검사 프록시—노드가 특정 프록시 서버 주소를 사용하도록 구성되지 않았으며, 비-검사 프록시에서 작동하도록 변경하지 않아도 됩니다. 인증서를 업데이트하지 않아도 됩니다.
  • 투명 검사 프록시—노드가 특정 프록시 서버 주소를 사용하도록 구성되지 않았습니다. 하이브리드 데이터 보안 배포에서 HTTPS 구성을 변경하지 않아도 됩니다. 단, HDS 노드에 루트 인증서가 있어야 프록시를 신뢰할 수 있습니다. 일반적으로 검사 프록시는 IT가 어떤 웹사이트를 방문할 수 있는지 및 어떤 유형의 콘텐츠가 허용되는지에 대한 정책을 적용하기 위해 사용됩니다. 이러한 유형의 프록시는 모든 트래픽(HTTPS 포함)을 해독합니다.
  • 명시적 프록시—명시적 프록시를 사용하여 클라이언트(HDS 노드)에게 어떤 프록시 서버를 사용할지 알리고, 이 옵션은 다양한 인증 유형을 지원합니다. 이 옵션을 선택한 후 다음 정보를 입력해야 합니다.

    1. 프록시 IP/FQDN—프록시 머신에 연결하기 위해 사용될 수 있는 주소입니다.

    2. 프록시 포트—프록시가 프록시된 트래픽을 수신하기 위해 사용하는 포트 번호입니다.

    3. 프록시 프로토콜http (클라이언트로부터 수신된 모든 요청을 확인하고 제어) 또는 https (서버에 채널을 제공하고 클라이언트는 서버의 인증서를 수신 및 확인)를 선택합니다. 프록시 서버가 지원하는 내용에 따라 옵션을 선택합니다.

    4. 인증 유형—다음 인증 유형 중에서 선택합니다.

      • 없음—추가 인증이 필요하지 않습니다.

        HTTP 또는 HTTPS 프록시를 사용할 수 있습니다.

      • 기본—요청을 할 때 HTTP 사용자 에이전트가 사용자 이름 및 비밀번호를 제공하기 위해 사용됩니다. Base64 인코딩을 사용합니다.

        HTTP 또는 HTTPS 프록시를 사용할 수 있습니다.

        이 옵션을 선택하는 경우, 사용자 이름 및 비밀번호도 입력해야 합니다.

      • 다이제스트—민감한 정보를 보내기 전에 계정을 확인하기 위해 사용됩니다. 네트워크를 통해 전송하기 전에 사용자 이름 및 비밀번호에 해시 기능을 적용합니다.

        HTTPS 프록시에 대해서만 사용할 수 있습니다.

        이 옵션을 선택하는 경우, 사용자 이름 및 비밀번호도 입력해야 합니다.

투명 검사 프록시, 기본 인증이 포함된 HTTP 명시적 프록시 또는 HTTPS 명시적 프록시에 대해서는 다음 단계를 따르십시오.

3

루트 인증서 또는 최종 엔터티 인증서 업로드를 클릭한 후 탐색하여 프록시에 대한 루트 인증서를 선택합니다.

인증서가 업로드되었지만 아직 설치되지 않았습니다. 인증서를 설치하려면 노드를 재부팅해야 합니다. 인증서 발급자 이름 옆에 있는 갈매기 모양 화살표를 클릭하여 자세한 내용을 확인합니다. 실수가 있었거나 파일을 다시 업로드하려는 경우엔 삭제를 클릭합니다.

4

프록시 연결 확인을 클릭하여 노드와 프록시 간의 네트워크 연결을 테스트합니다.

연결 테스트에 실패하는 경우, 이유 및 문제를 해결할 수 있는 방법을 표시하는 오류 메시지가 나타납니다.

외부 DNS 확인에 실패했다는 메시지가 나타나면 노드가 DNS 서버에 연결하지 못한 것입니다. 이 조건은 다양한 명시적 프록시 구성에서 예상되는 작동입니다. 설정을 계속 진행할 수 있으며, 노드는 차단된 외부 DNS 확인 모드로 작동하게 됩니다. 이 작업이 오류라고 생각하시면 다음 단계를 완료한 후 차단된 외부 DNS 확인 모드 끄기를 참조하십시오.

5

연결 테스트를 통과한 후 https로만 설정된 명시적 프록시에 대해 설정을 토글하여 이 노드의 모든 포트 443/444 https 요청을 명시적 프록시를 통해 라우팅합니다. 이 설정이 적용될 때까지 15초 정도 소요됩니다.

6

모든 인증서를 신뢰 저장소에 설치(HTTPS 명시적 프록시 또는 투명 검사 프록시에 대해 나타남) 또는 재부팅(HTTP 명시적 프록시에 대해 나타남)을 클릭하고 안내를 읽은 후 준비되었을 때 설치를 클릭합니다.

노드는 몇 분 내에 재부팅됩니다.

7

노드가 재부팅되면 필요에 따라 다시 로그인한 후 개요 페이지를 열어 연결을 확인하고 모두 녹색 상태인지 확인합니다.

프록시 연결 확인은 webex.com의 하위 도메인만 테스트합니다. 연결에 문제가 있는 경우, 설치 지시 사항에 나열된 일부 클라우드 도메인이 프록시에서 차단되는 것은 일반적인 문제입니다.

클러스터에서 첫 번째 노드 등록

이 작업은 하이브리드 데이터 보안 VM 설정에서 생성한 일반적인 노드를 적용하고, Webex 클라우드에 노드를 등록한 후 하이브리드 데이터 보안 노드로 변경합니다.

첫 번째 노드를 등록할 때 해당 노드가 지정된 클러스터를 만듭니다. 클러스터에는 중복성을 제공하기 위해 배포된 한 개 이상의 노드가 포함되어 있습니다.

시작하기 전에

  • 노드의 등록을 시작하면 60분 이내에 완료해야 합니다. 그렇지 않으면 처음부터 다시 시작해야 합니다.

  • 브라우저에 팝업 차단기가 비활성화되었는지 또는 admin.webex.com에 대한 예외를 허용했는지 확인하십시오.

1

https://admin.webex.com에 로그인합니다.

2

화면의 왼쪽에 있는 메뉴에서 서비스를 선택합니다.

3

클라우드 서비스 섹션에서 하이브리드 데이터 보안 카드를 찾고 설정을 클릭합니다.

4

페이지가 열리면 리소스 추가를 클릭합니다.

5

노드 추가 카드의 첫 번째 필드에 하이브리드 데이터 보안 노드를 지정할 클러스터의 이름을 입력합니다.

지리적으로 클러스터의 노드가 위치한 장소에 기반하여 클러스터의 이름을 지정할 것을 권장합니다. 예: "San Francisco" 또는 "New York" 또는 "Dallas"

6

두 번째 필드에서 노드의 내부 IP 주소 또는 정규화된 도메인 이름(FQDN)을 입력하고 화면의 하단에서 추가 를 클릭합니다.

이 IP 주소 또는 FQDN은 하이브리드 데이터 보안 VM 설정에서 사용한 IP 주소 또는 호스트 이름 및 도메인과 일치해야 합니다.

Webex에 노드를 등록할 수 있음을 가리키는 메시지가 나타납니다.
7

노드로 이동을 클릭합니다.

잠시 후에 Webex 서비스에 대한 노드 연결 테스트로 리디렉션됩니다. 모든 테스트에 성공하면 하이브리드 데이터 보안 노드에 대한 액세스 허용 페이지가 나타납니다. 여기에서 Webex 조직에 노드에 액세스할 수 있는 권한을 부여하고자 함을 확인합니다.

8

하이브리드 데이터 보안 노드에 액세스 허용 체크 박스에 체크한 후 계속을 클릭합니다.

계정의 유효성이 검증되고 "등록 완료" 메시지는 이제 노드가 Webex 클라우드에 등록되었음을 가리킵니다.
9

링크를 클릭하거나 탭을 닫아 Partner Hub 하이브리드 데이터 보안 페이지로 다시 돌아갑니다.

하이브리드 데이터 보안 페이지에서 등록한 노드가 포함된 새로운 클러스터가 리소스 탭 아래에 표시됩니다. 노드는 클라우드에서 자동으로 최신 소프트웨어를 다운로드합니다.

추가 노드를 만들고 등록

클러스터에 노드를 추가하려면 추가 VM을 만들고 동일한 구성 ISO 파일을 마운트한 후 노드를 등록하기만 하면 됩니다. 최소한 3개의 노드를 구성할 것을 권장합니다.

시작하기 전에

  • 노드의 등록을 시작하면 60분 이내에 완료해야 합니다. 그렇지 않으면 처음부터 다시 시작해야 합니다.

  • 브라우저에 팝업 차단기가 비활성화되었는지 또는 admin.webex.com에 대한 예외를 허용했는지 확인하십시오.

1

OVA에서 새로운 가상 머신을 만들고 HDS 호스트 OVA 설치에 설명된 단계를 반복합니다.

2

새로운 VM에서 초기 구성을 설정하고 하이브리드 데이터 보안 VM 설정에 설명된 단계를 반복합니다.

3

새로운 VM에서 HDS 구성 ISO 업로드 및 설치에 설명된 단계를 반복합니다.

4

배포에 대해 프록시를 설정하고 있는 경우, 새로운 노드에 대해 필요에 따라 프록시 통합에 대해 HDS 노드 구성 에 설명된 단계를 반복합니다.

5

노드를 등록합니다.

  1. https://admin.webex.com에서 화면 왼쪽의 메뉴에 있는 서비스를 선택합니다.

  2. 클라우드 서비스 섹션에서 하이브리드 데이터 보안 카드를 찾고 모두 보기를 클릭합니다.

    하이브리드 데이터 보안 리소스 페이지가 나타납니다.

  3. 새롭게 생성된 클러스터는 리소스 페이지에 나타납니다.

  4. 클러스터에 할당된 노드를 확인하려면 클러스터를 클릭합니다.

  5. 화면의 오른쪽에서 노드 추가 를 클릭합니다.

  6. 노드의 내부 IP 주소 또는 정규화된 도메인 이름(FQDN)을 입력하고 추가를 클릭합니다.

    Webex 클라우드에 노드를 등록할 수 있음을 나타내는 메시지가 포함된 페이지가 열립니다. 잠시 후에 Webex 서비스에 대한 노드 연결 테스트로 리디렉션됩니다. 모든 테스트에 성공하면 하이브리드 데이터 보안 노드에 대한 액세스 허용 페이지가 나타납니다. 여기에서 조직에 노드에 액세스할 수 있는 권한을 부여하고자 함을 확인합니다.

  7. 하이브리드 데이터 보안 노드에 액세스 허용 체크 박스에 체크한 후 계속을 클릭합니다.

    계정의 유효성이 검증되고 "등록 완료" 메시지는 이제 노드가 Webex 클라우드에 등록되었음을 가리킵니다.

  8. 링크를 클릭하거나 탭을 닫아 Partner Hub 하이브리드 데이터 보안 페이지로 다시 돌아갑니다.

    노드 추가됨 팝업 메시지는 Partner Hub의 화면 하단에도 나타납니다.

    노드가 등록되었습니다.

멀티 테넌트 하이브리드 데이터 보안에서 테넌트 조직 관리

Partner Hub에서 멀티 테넌트 HDS 활성화

이 작업은 고객 조직의 모든 사용자가 온-프레미스 암호화 키 및 기타 보안 서비스에 대해 HDS를 사용하기 시작할 수 있게 합니다.

시작하기 전에

필요한 노드의 수로 멀티 테넌트 HDS 클러스터 설정을 완료했는지 확인합니다.

1

https://admin.webex.com에 로그인합니다.

2

화면의 왼쪽에 있는 메뉴에서 서비스를 선택합니다.

3

클라우드 서비스 섹션에서 하이브리드 데이터 보안을 찾고 설정 편집을 클릭합니다.

4

HDS 상태 카드에서 HDS 활성화 를 클릭합니다.

Partner Hub에서 테넌트 조직 추가

이 작업에서 하이브리드 데이터 보안 클러스터에 고객 조직을 지정합니다.

1

https://admin.webex.com에 로그인합니다.

2

화면의 왼쪽에 있는 메뉴에서 서비스를 선택합니다.

3

클라우드 서비스 섹션에서 하이브리드 데이터 보안을 찾고 모두 보기를 클릭합니다.

4

고객을 지정하고자 하는 클러스터를 클릭합니다.

5

지정된 고객 탭으로 이동합니다.

6

고객 추가를 클릭합니다.

7

드롭다운 메뉴에서 추가할 고객을 선택합니다.

8

추가를 클릭하면 고객이 클러스터에 추가됩니다.

9

6~8단계를 반복하여 여러 고객을 클러스터에 추가합니다.

10

고객을 추가한 후 화면의 하단에서 완료 를 클릭합니다.

다음에 수행할 작업

HDS 설정 도구를 사용하여 고객 기본 키(CMK) 만들기 에 설명된 대로 HDS 설정 도구를 실행하여 설치 과정을 완료합니다.

HDS 설정 도구를 사용하여 고객 기본 키(CMK) 만들기

시작하기 전에

Partner Hub에서 테넌트 조직 추가에 설명된 대로 고객을 적합한 클러스터에 지정합니다. HDS 설정 도구를 실행하여 새롭게 추가된 고객 조직에 대한 설정 과정을 완료합니다.

  • HDS 설정 도구는 로컬 머신에서 Docker 컨테이너로 실행됩니다. 액세스하려면 해당 머신에서 Docker를 실행합니다. 설치 과정에는 조직에 대한 전체 관리자 권한이 있는 Partner Hub 계정의 자격 증명이 필요합니다.

    HDS 설정 도구가 귀하의 환경에서 프록시 뒤에서 실행되는 경우, 5 단계에서 Docker 컨테이너를 가져올 때 Docker 환경 변수를 통해 프록시 설정(서버, 포트, 자격 증명)을 제공합니다. 이 표는 몇 가지 환경 변수를 제공합니다.

    설명

    변수

    인증되지 않은 HTTP 프록시

    글로벌_에이전트_HTTP_PROXY=http://SERVER_IP:PORT

    인증되지 않은 HTTPS 프록시

    글로벌_에이전트_HTTPS_PROXY=http://SERVER_IP:PORT

    인증된 HTTP 프록시

    글로벌_에이전트_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

    인증된 HTTPS 프록시

    글로벌_에이전트_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

  • 생성하는 구성 ISO 파일에는 PostgreSQL 또는 Microsoft SQL Server 데이터베이스를 암호화하는 마스터 키가 포함되어 있습니다. 다음과 같은 구성을 변경할 때마다 이 파일의 최신 복사본이 필요합니다.

    • 데이터베이스 자격 증명

    • 인증서 업데이트

    • 인증 정책에 대한 변경 사항

  • 데이터베이스 연결을 암호화하는 경우 TLS용 PostgreSQL 또는 SQL Server 배포를 설정합니다.

하이브리드 데이터 보안 설정 프로세스는 ISO 파일을 만듭니다. 그 후 ISO를 사용하여 하이브리드 데이터 보안 호스트를 구성합니다.

1

머신의 명령줄에 사용자 환경에 적합한 명령을 입력합니다.

일반 환경:

docker rmi ciscocitg/hds-setup:안정

FedRAMP 환경:

도커 rmi ciscocitg/hds-setup-fedramp:stable

이 단계에서는 이전 HDS 설정 도구 이미지를 정리합니다. 이전 이미지가 없는 경우 무시할 수 있는 오류를 반환합니다.

2

Docker 이미지 레지스트리에 로그인하려면 다음을 입력합니다.

도커 로그인 -u hdscustomersro
3

비밀번호 프롬프트에 이 해시를 입력합니다.

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo는
4

사용자 환경에 맞는 최신 안정 이미지를 다운로드합니다.

일반 환경:

docker pull ciscocitg/hds-setup:안정

FedRAMP 환경:

docker pull ciscocitg/hds-setup-fedramp:안정
5

풀이 완료되면 사용자 환경에 적합한 명령을 입력합니다.

  • 프록시가 없는 일반 환경:

    도커 실행 -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

  • HTTP 프록시가 있는 일반 환경:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • HTTPS 프록시가 있는 일반 환경에서는:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • 프록시가 없는 FedRAMP 환경:

    도커 실행 -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • HTTP 프록시가 있는 FedRAMP 환경:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • HTTPS 프록시가 있는 FedRAMP 환경:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

컨테이너가 실행 중일 때 "포트 8080에서 수신하는 Express 서버"가 표시됩니다.

6

설정 도구는 http://localhost:8080을 통해 localhost에 연결하는 것을 지원하지 않습니다. http://127.0.0.1:8080 을(를) 사용하여 로컬 호스트에 연결합니다.

웹 브라우저를 사용하여 localhost, http://127.0.0.1:8080(으)로 이동하고 프롬프트에 Partner Hub의 관리 사용자 이름을 입력합니다.

이 도구는 사용자 이름의 이 첫 번째 항목을 사용하여 해당 계정에 적합한 환경을 설정합니다. 그런 다음 도구는 표준 로그인 프롬프트를 표시합니다.

7

안내를 받으면 Partner Hub 관리자 로그인 자격 증명을 입력한 후 로그인 을 클릭하여 하이브리드 데이터 보안에 필요한 서비스에 대한 액세스를 허용합니다.

8

설정 도구 개요 페이지에서 시작하기를 클릭합니다.

9

ISO 가져오기 페이지에서 를 클릭합니다.

10

브라우저에서 ISO 파일을 선택하고 업로드합니다.

CMK 관리를 수행하려면 데이터베이스에 대한 연결을 확인하십시오.
11

테넌트 CMK 관리 탭으로 이동하여 다음 세 가지 방법으로 테넌트 CMK를 관리할 수 있습니다.

  • 모든 조직에 대해 CMK 만들기 또는 CMK 만들기 - 화면의 상단에 있는 배너에서 이 버튼을 클릭하여 새롭게 추가된 모든 조직에 대해 CMK를 만듭니다.
  • 화면의 오른쪽에서 CMK 관리 버튼을 클릭하고 CMK 만들기 를 클릭하여 새롭게 추가된 모든 조직에 대해 CMK를 만듭니다.
  • 표에서 특정 조직의 CMK 관리 보류 중 상태 근처에 있는 …를 클릭하고 CMK 만들기 를 클릭하여 해당 조직에 대해 CMK를 만듭니다.
12

CMK 만들기에 성공하면 표의 상태는 CMK 관리 보류 중 에서 CMK 관리로 변경됩니다.

13

CMK 만들기에 실패하면 오류가 표시됩니다.

테넌트 조직 제거

시작하기 전에

제거되면 고객 조직의 사용자는 암호화 요구에 대해 HDS를 활용할 수 없으며 기존의 모든 스페이스를 잃게 됩니다. 고객 조직을 제거하기 전에 Cisco 파트너 또는 계정 관리자에게 문의하십시오.

1

https://admin.webex.com에 로그인합니다.

2

화면의 왼쪽에 있는 메뉴에서 서비스를 선택합니다.

3

클라우드 서비스 섹션에서 하이브리드 데이터 보안을 찾고 모두 보기를 클릭합니다.

4

리소스 탭에서 고객 조직을 제거할 클러스터를 클릭합니다.

5

페이지가 열리면 지정된 고객을 클릭합니다.

6

표시되는 고객 조직의 목록에서 제거하고자 하는 고객 조직의 오른쪽에 있는 ... 을 클릭하고 클러스터에서 제거를 클릭합니다.

다음에 수행할 작업

HDS에서 제거된 테넌트의 CMK 취소에 설명된 대로 고객 조직의 CMK를 취소하여 제거 프로세스를 완료합니다.

HDS에서 제거된 테넌트의 CMK를 취소합니다.

시작하기 전에

테넌트 조직 제거에 설명된 대로 적합한 클러스터에서 고객을 제거합니다. 제거된 고객 조직에 대한 제거 과정을 완료하려면 HDS 설정 도구를 실행하십시오.

  • HDS 설정 도구는 로컬 머신에서 Docker 컨테이너로 실행됩니다. 액세스하려면 해당 머신에서 Docker를 실행합니다. 설치 과정에는 조직에 대한 전체 관리자 권한이 있는 Partner Hub 계정의 자격 증명이 필요합니다.

    HDS 설정 도구가 귀하의 환경에서 프록시 뒤에서 실행되는 경우, 5 단계에서 Docker 컨테이너를 가져올 때 Docker 환경 변수를 통해 프록시 설정(서버, 포트, 자격 증명)을 제공합니다. 이 표는 몇 가지 환경 변수를 제공합니다.

    설명

    변수

    인증되지 않은 HTTP 프록시

    글로벌_에이전트_HTTP_PROXY=http://SERVER_IP:PORT

    인증되지 않은 HTTPS 프록시

    글로벌_에이전트_HTTPS_PROXY=http://SERVER_IP:PORT

    인증된 HTTP 프록시

    글로벌_에이전트_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

    인증된 HTTPS 프록시

    글로벌_에이전트_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

  • 생성하는 구성 ISO 파일에는 PostgreSQL 또는 Microsoft SQL Server 데이터베이스를 암호화하는 마스터 키가 포함되어 있습니다. 다음과 같은 구성을 변경할 때마다 이 파일의 최신 복사본이 필요합니다.

    • 데이터베이스 자격 증명

    • 인증서 업데이트

    • 인증 정책에 대한 변경 사항

  • 데이터베이스 연결을 암호화하는 경우 TLS용 PostgreSQL 또는 SQL Server 배포를 설정합니다.

하이브리드 데이터 보안 설정 프로세스는 ISO 파일을 만듭니다. 그 후 ISO를 사용하여 하이브리드 데이터 보안 호스트를 구성합니다.

1

머신의 명령줄에 사용자 환경에 적합한 명령을 입력합니다.

일반 환경:

docker rmi ciscocitg/hds-setup:안정

FedRAMP 환경:

도커 rmi ciscocitg/hds-setup-fedramp:stable

이 단계에서는 이전 HDS 설정 도구 이미지를 정리합니다. 이전 이미지가 없는 경우 무시할 수 있는 오류를 반환합니다.

2

Docker 이미지 레지스트리에 로그인하려면 다음을 입력합니다.

도커 로그인 -u hdscustomersro
3

비밀번호 프롬프트에 이 해시를 입력합니다.

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo는
4

사용자 환경에 맞는 최신 안정 이미지를 다운로드합니다.

일반 환경:

docker pull ciscocitg/hds-setup:안정

FedRAMP 환경:

docker pull ciscocitg/hds-setup-fedramp:안정
5

풀이 완료되면 사용자 환경에 적합한 명령을 입력합니다.

  • 프록시가 없는 일반 환경:

    도커 실행 -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

  • HTTP 프록시가 있는 일반 환경:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • HTTPS 프록시가 있는 일반 환경에서는:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • 프록시가 없는 FedRAMP 환경:

    도커 실행 -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • HTTP 프록시가 있는 FedRAMP 환경:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • HTTPS 프록시가 있는 FedRAMP 환경:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

컨테이너가 실행 중일 때 "포트 8080에서 수신하는 Express 서버"가 표시됩니다.

6

설정 도구는 http://localhost:8080을 통해 localhost에 연결하는 것을 지원하지 않습니다. http://127.0.0.1:8080 을(를) 사용하여 로컬 호스트에 연결합니다.

웹 브라우저를 사용하여 localhost, http://127.0.0.1:8080(으)로 이동하고 프롬프트에 Partner Hub의 관리 사용자 이름을 입력합니다.

이 도구는 사용자 이름의 이 첫 번째 항목을 사용하여 해당 계정에 적합한 환경을 설정합니다. 그런 다음 도구는 표준 로그인 프롬프트를 표시합니다.

7

안내를 받으면 Partner Hub 관리자 로그인 자격 증명을 입력한 후 로그인 을 클릭하여 하이브리드 데이터 보안에 필요한 서비스에 대한 액세스를 허용합니다.

8

설정 도구 개요 페이지에서 시작하기를 클릭합니다.

9

ISO 가져오기 페이지에서 를 클릭합니다.

10

브라우저에서 ISO 파일을 선택하고 업로드합니다.

11

테넌트 CMK 관리 탭으로 이동하여 다음 세 가지 방법으로 테넌트 CMK를 관리할 수 있습니다.

  • 모든 조직에 대해 CMK 취소 또는 CMK 취소 - 화면 상단에 있는 배너에서 이 버튼을 클릭하여 제거된 모든 조직의 CMK를 취소합니다.
  • 화면의 오른쪽에서 CMK 관리 버튼을 클릭하고 CMK 취소 를 클릭하여 제거된 모든 조직의 CMK를 취소합니다.
  • 표에서 특정 조직의 취소될 CMK 상태 근처에서 을 클릭하고 CMK 취소 를 클릭하여 해당 특정 조직에 대한 CMK를 취소합니다.
12

CMK 해지 작업에 성공하면 고객 조직은 더 이상 표에 나타나지 않습니다.

13

CMK 해지 실패하면 오류가 표시됩니다.

하이브리드 데이터 보안 배포 테스트

하이브리드 데이터 보안 배포 테스트

멀티 테넌트 하이브리드 데이터 보안 암호화 시나리오를 테스트하려면 이 절차를 사용하십시오.

시작하기 전에

  • 멀티 테넌트 하이브리드 데이터 보안 배포를 설정합니다.

  • 키 요청이 멀티 테넌트 하이브리드 데이터 보안 배포에 전달되고 있는지 확인하려면 syslog에 액세스할 수 있는지 확인합니다.

1

특정 스페이스에 대한 키는 스페이스의 생성자가 설정합니다. 고객 조직 사용자 중 하나로 Webex 앱에 로그인한 후 스페이스를 만듭니다.

하이브리드 데이터 보안 배포를 비활성화하는 경우, 클라이언트 캐시된 암호화 키의 복사본이 교체되면 사용자가 생성하는 스페이스에 있는 콘텐츠에 더 이상 액세스할 수 없습니다.

2

새로운 스페이스로 메시지를 보내십시오.

3

syslog 출력을 확인하여 키 요청이 하이브리드 데이터 보안 배포에 전달되고 있는지 확인합니다.

  1. 사용자가 먼저 KMS에 보안 채널을 설정하는지 확인하려면 kms.data.method=createkms.data.type=EPHEMERAL_KEY_COLLECTION을 필터링합니다.

    다음과 같은 입력값을 검색해야 합니다(가독성을 위해 식별자는 짧게 표현됨).
    2020-07-21 17:35:34.562 (+0000) 정보 KMS [pool-14-thread-1] - [KMS:REQUEST] 수신됨, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

  2. KMS에서 기존의 키를 요청하는 사용자를 확인하려면 kms.data.method=retrievekms.data.type=KEY를 필터링합니다.

    다음과 같은 입력값을 검색해야 합니다.
    2020-07-21 17:44:19.889 (+0000) 정보 KMS [pool-14-thread-31] - [KMS:REQUEST] 수신됨, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

  3. 새로운 KMS 키 생성을 요청하는 사용자를 확인하려면 kms.data.method=createkms.data.type=KEY_COLLECTION에서 필터링합니다.

    다음과 같은 입력값을 검색해야 합니다.
    2020-07-21 17:44:21.975 (+0000) 정보 KMS [pool-14-thread-33] - [KMS:REQUEST] 수신됨, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

  4. 스페이스 또는 다른 보호된 리소스가 생성될 때 새로운 KMS 리소스 개체(KRO)의 만들기를 요청하는 사용자를 확인하려면 kms.data.method=createkms.data.type=RESOURCE_COLLECTION에서 필터링하십시오.

    다음과 같은 입력값을 검색해야 합니다. 
    2020-07-21 17:44:22.808 (+0000) 정보 KMS [pool-15-thread-1] - [KMS:REQUEST] 수신됨, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

하이브리드 데이터 보안 상태 모니터

Partner Hub 내의 상태 표시기는 멀티 테넌트 하이브리드 데이터 보안 배포가 모두 양호한지 여부를 표시합니다. 보다 적극적으로 경고를 받으려면 이메일 알림을 신청하십시오. 서비스에 영향을 미치는 경보 또는 소프트웨어 업그레이드가 있을 때 알림을 받습니다.
1

Partner Hub의 화면 왼쪽에 있는 메뉴에서 서비스 를 선택합니다.

2

클라우드 서비스 섹션에서 하이브리드 데이터 보안을 찾고 설정 편집을 클릭합니다.

하이브리드 데이터 보안 설정 페이지가 나타납니다.
3

이메일 알림 섹션에서 한 개 이상의 이메일 주소를 쉼표로 구분하여 입력하고 Enter를 누릅니다.

HDS 배포 관리

HDS 배포 관리

하이브리드 데이터 보안 배포를 관리하려면 여기에 설명된 작업을 사용하십시오.

클러스터 업그레이드 예약 설정

하이브리드 데이터 보안에 대한 소프트웨어 업그레이드는 클러스터 수준에서 자동으로 실행되며, 이는 모든 노드가 항상 동일한 소프트웨어 버전을 실행하게 합니다. 업그레이드는 클러스터에 대한 업그레이드 스케줄에 따라 실행됩니다. 소프트웨어 업그레이드가 사용 가능해지면 예약된 업그레이드 시간 전에 클러스터를 수동으로 업그레이드할 수 있는 옵션이 주어집니다. 특정 업그레이드 스케줄을 설정하거나 미국: 아메리카/로스앤젤레스 매일 3:00 AM 기본 스케줄을 사용할 수 있습니다. 필요에 따라 예정된 업그레이드를 연기하도록 선택할 수도 있습니다.

업그레이드 예약을 설정하려면:

1

Partner Hub에 로그인합니다.

2

화면의 왼쪽에 있는 메뉴에서 서비스를 선택합니다.

3

클라우드 서비스 섹션에서 하이브리드 데이터 보안을 찾고 설정을 클릭합니다.

4

하이브리드 데이터 보안 리소스 페이지에서 클러스터를 선택합니다.

5

클러스터 설정 탭을 클릭합니다.

6

클러스터 설정 페이지의 업그레이드 예약 아래에서 업그레이드 예약에 대한 시간 및 시간대를 선택합니다.

참고: 시간대 아래에 다음 사용 가능한 업그레이드 날짜 및 시간이 표시됩니다. 필요한 경우, 24시간 연기를 클릭하여 업그레이드를 다음 날로 연기할 수 있습니다.

노드 구성 변경

경우에 따라 다음과 같은 이유로 하이브리드 데이터 보안 노드의 구성을 변경해야 할 수도 있습니다.

  • 만료 또는 기타 이유로 인해 x.509 인증서 변경.

    인증서의 CN 도메인 이름 변경을 지원하지 않습니다. 도메인은 클러스터에 등록하기 위해 사용된 원래 도메인과 일치해야 합니다.

  • PostgreSQL 또는 Microsoft SQL Server 데이터베이스의 복제본으로 변경하도록 데이터베이스 설정 업데이트.

    PostgreSQL에서 Microsoft SQL Server로 또는 그 반대로 데이터 마이그레이션을 지원하지 않습니다. 데이터베이스 환경을 전환하려면 하이브리드 데이터 보안의 새로운 배포를 시작합니다.

  • 새 데이터 센터를 준비하기 위해 새 구성 생성.

또한 보안상의 이유로 하이브리드 데이터 보안은 수명이 9개월인 서비스 계정 비밀번호를 사용합니다. HDS 설정 도구가 이러한 비밀번호를 생성하면 이를 ISO 구성 파일의 각 HDS 노드에 배포합니다. 조직의 비밀번호 만료일이 가까워지면 Webex 팀으로부터 머신 계정의 비밀번호를 재설정하라는 통지를 받습니다. (이메일에는 "머신 계정 API를 사용하여 비밀번호를 업데이트합니다."라는 텍스트가 포함됩니다.) 비밀번호가 아직 만료되지 않은 경우 도구는 다음 두 가지 옵션을 제공합니다.

  • 소프트 재설정—이전 비밀번호 및 새로운 비밀번호 모두 최대 10일 동안 작동합니다. 이 기간을 사용하여 노드에서 ISO 파일을 점진적으로 교체합니다.

  • 하드 재설정—이전 비밀번호가 즉시 작동하지 않습니다.

비밀번호가 재설정 없이 만료되는 경우 HDS 서비스에 영향을 미치므로 즉시 하드 재설정을 수행하고 모든 노드에서 ISO 파일을 교체해야 합니다.

새 구성 ISO 파일을 생성하고 클러스터에 적용하려면 이 절차를 따르십시오.

시작하기 전에

  • HDS 설정 도구는 로컬 머신에서 Docker 컨테이너로 실행됩니다. 액세스하려면 해당 머신에서 Docker를 실행합니다. 설치 과정에는 파트너 전체 관리자 권한이 있는 Partner Hub 계정의 자격 증명이 필요합니다.

    HDS 설정 도구가 귀하의 환경에서 프록시 뒤에서 실행되는 경우, 1.e에서 Docker 컨테이너를 가져올 때 Docker 환경 변수를 통해 프록시 설정(서버, 포트, 자격 증명)을 제공합니다. 이 표는 몇 가지 환경 변수를 제공합니다.

    설명

    변수

    인증되지 않은 HTTP 프록시

    글로벌_에이전트_HTTP_PROXY=http://SERVER_IP:PORT

    인증되지 않은 HTTPS 프록시

    글로벌_에이전트_HTTPS_PROXY=http://SERVER_IP:PORT

    인증된 HTTP 프록시

    글로벌_에이전트_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

    인증된 HTTPS 프록시

    글로벌_에이전트_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

  • 새 구성을 생성하려면 현재 구성 ISO 파일의 사본이 필요합니다. ISO에는 PostgreSQL 또는 Microsoft SQL Server 데이터베이스를 암호화하는 마스터 키가 포함되어 있습니다. 데이터베이스 자격 증명, 인증서 업데이트 또는 인증 정책 변경을 포함하여 구성을 변경할 때 ISO가 필요합니다.

1

로컬 머신에서 Docker를 사용하여 HDS 설정 도구를 실행합니다.

  1. 머신의 명령줄에 사용자 환경에 적합한 명령을 입력합니다.

    일반 환경:

    docker rmi ciscocitg/hds-setup:안정

    FedRAMP 환경:

    도커 rmi ciscocitg/hds-setup-fedramp:stable

    이 단계에서는 이전 HDS 설정 도구 이미지를 정리합니다. 이전 이미지가 없는 경우 무시할 수 있는 오류를 반환합니다.

  2. Docker 이미지 레지스트리에 로그인하려면 다음을 입력합니다.

    도커 로그인 -u hdscustomersro

  3. 비밀번호 프롬프트에 이 해시를 입력합니다.

    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo는

  4. 사용자 환경에 맞는 최신 안정 이미지를 다운로드합니다.

    일반 환경:

    docker pull ciscocitg/hds-setup:안정

    FedRAMP 환경:

    docker pull ciscocitg/hds-setup-fedramp:안정

    이 절차에 대해 최신 설정 도구를 사용하고 있는지 확인하십시오. 2018년 2월 22일 이전에 생성된 도구의 버전에는 비밀번호 재설정 화면이 없습니다.

  5. 풀이 완료되면 사용자 환경에 적합한 명령을 입력합니다.

    • 프록시가 없는 일반 환경:

      도커 실행 -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

    • HTTP 프록시가 있는 일반 환경:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • HTTPS 프록시가 있는 일반 환경:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • 프록시가 없는 FedRAMP 환경:

      도커 실행 -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

    • HTTP 프록시가 있는 FedRAMP 환경:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    • HTTPS 프록시가 있는 FedRAMP 환경:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    컨테이너가 실행 중일 때 "포트 8080에서 수신하는 Express 서버"가 표시됩니다.

  6. 브라우저를 사용하여 로컬 호스트 http://127.0.0.1:8080에 연결합니다.

    설정 도구는 http://localhost:8080을 통해 localhost에 연결하는 것을 지원하지 않습니다. http://127.0.0.1:8080 을(를) 사용하여 로컬 호스트에 연결합니다.

  7. 안내를 받으면 Partner Hub 고객 로그인 자격 증명을 입력한 후 수락 을 클릭하여 계속합니다.

  8. 현재 구성 ISO 파일을 가져옵니다.

  9. 안내에 따라 도구를 완료하고 업데이트된 파일을 다운로드합니다.

    설정 도구를 종료하려면 CTRL + C 조합을 입력합니다.

  10. 다른 데이터 센터에서 업데이트된 파일의 백업 복사본을 만듭니다.

2

실행 중인 HDS 노드가 한 개만 있는 경우, 새로운 하이브리드 데이터 보안 노드 VM을 만들고 새로운 구성 ISO 파일을 사용하여 등록합니다. 자세한 안내는 추가 노드 만들기 및 등록을 참조하십시오.

  1. HDS 호스트 OVA를 설치합니다.

  2. HDS VM을 설정합니다.

  3. 업데이트된 구성 파일을 마운트합니다.

  4. Partner Hub에서 새로운 노드를 등록합니다.

3

이전 구성 파일을 실행하고 있는 기존 HDS 노드의 경우 ISO 파일을 탑재합니다. 각 노드에서 다음 절차를 차례로 수행하여 다음 노드를 끄기 전에 각 노드를 업데이트합니다.

  1. 가상 머신의 전원을 끕니다.

  2. VMware vSphere 클라이언트의 왼쪽 네비게이션 분할 창에서 VM을 오른쪽 클릭하고 설정 편집을 클릭합니다.

  3. CD/DVD 드라이브 1을 클릭하고 ISO 파일에서 마운트하기 위한 옵션을 선택한 후 새 구성 ISO 파일을 다운로드한 위치를 찾습니다.

  4. 시동될 때 연결을 체크합니다.

  5. 변경 사항을 저장하고 가상 머신의 전원을 켭니다.

4

이전 구성을 실행하고 있는 나머지 각 노드에서 구성을 바꾸려면 3 단계를 반복하십시오.

차단된 외부 DNS 확인 모드 끄기

노드를 등록하거나 노드의 프록시 구성을 확인할 때 프로세스는 Cisco Webex 클라우드에 대한 DNS 조회 및 연결을 테스트합니다. 노드의 DNS 서버에서 공용 DNS 이름을 확인할 수 없는 경우, 노드는 자동으로 차단된 외부 DNS 확인 모드로 지정됩니다.

노드에서 내부 DNS 서버를 통해 공용 DNS 이름을 확인할 수 있는 경우, 각 노드에서 프록시 연결 테스트를 다시 실행하여 이 모드를 끌 수 있습니다.

시작하기 전에

내부 DNS 서버가 공용 DNS 이름을 확인할 수 있으며, 노드가 해당 서버와 통신할 수 있는지 확인합니다.
1

웹 브라우저에서 하이브리드 데이터 보안 노드 인터페이스(IP 주소/설정을 엽니다. 예: https://192.0.2.0/setup), 노드에 대해 설정한 관리 자격 증명을 입력한 후 로그인을 클릭합니다.

2

개요 (기본 페이지)로 이동합니다.

활성화되면 차단된 외부 DNS 확인로 설정됩니다.

3

신뢰 저장소 및 프록시 페이지로 이동합니다.

4

프록시 연결 확인을 클릭합니다.

외부 DNS 확인에 실패했다는 메시지가 나타나면 노드가 DNS 서버에 연결하지 못한 것이며, 이 모드에서 유지됩니다. 그렇지 않은 경우, 노드를 재부팅하고 개요 페이지로 돌아가면 차단된 외부 DNS 확인은 아니요로 설정됩니다.

다음에 수행할 작업

하이브리드 데이터 보안 클러스터의 각 노드에서 프록시 연결 테스트를 반복합니다.

노드 제거

Webex 클라우드에서 하이브리드 데이터 보안 노드를 제거하려면 이 절차를 사용하십시오. 클러스터에서 노드를 제거한 후 가상 머신을 삭제하여 보안 데이터에 대한 추가 액세스를 방지합니다.
1

컴퓨터에서 VMware vSphere 클라이언트를 사용하여 ESXi 가상 호스트에 로그인하고 가상 머신의 전원을 끕니다.

2

노드를 제거합니다.

  1. Partner Hub에 로그인한 후 서비스를 선택합니다.

  2. 하이브리드 데이터 보안 카드에서 모두 보기 를 클릭하여 하이브리드 데이터 보안 리소스 페이지를 표시합니다.

  3. 클러스터를 선택하여 개요 목록을 표시합니다.

  4. 제거할 노드를 클릭합니다.

  5. 오른쪽에 나타나는 목록에서 이 노드 등록 해제 를 클릭합니다.

  6. 노드의 오른쪽에서…을 클릭하고 이 노드 제거를 선택하여 노드의 등록을 해제할 수도 있습니다.

3

vSphere 클라이언트에서 VM을 삭제합니다. (왼쪽 네비게이션 분할 창에서 VM을 오른쪽 클릭하고 삭제를 클릭합니다.)

VM을 삭제하지 않는 경우 구성 ISO 파일을 마운트 해제하십시오. ISO 파일이 없으면 VM을 사용하여 보안 데이터에 액세스할 수 없습니다.

대기 데이터 센터를 사용하여 장애 복구

하이브리드 데이터 보안 클러스터에서 제공하는 가장 중요한 서비스는 메시지 및 Webex 클라우드에 저장된 기타 콘텐츠를 암호화하는 데 사용되는 키를 만들고 저장하는 것입니다. 하이브리드 데이터 보안에 지정된 조직 내의 각 사용자에 대해 새로운 키 만들기 요청은 클러스터로 라우팅됩니다. 또한 클러스터는 생성된 키를 검색할 권한이 있는 모든 사용자(예: 대화 스페이스의 구성원)에게 해당 키를 반환해야 합니다.

클러스터는 이러한 키를 제공하는 중요한 기능을 수행하므로, 클러스터가 계속 실행되고 올바른 백업이 유지관리되어야 합니다. 하이브리드 데이터 보안 데이터베이스나 스키마에 대해 사용된 구성 ISO가 손실되면 고객 콘텐츠가 복구할 수 없게 됩니다. 다음 실행은 이러한 유실을 방지하기 위해 필수적입니다.

장애가 발생하여 기본 데이터 센터에서 HDS 배포를 사용할 수 없게 하는 경우, 이 절차를 따라 대기 데이터 센터로 수동으로 장애 조치하십시오.

시작하기 전에

노드 제거에서 언급한 대로 Partner Hub에서 모든 노드를 등록 해제합니다. 이전에 활성 상태였던 클러스터의 노드에 대해 구성된 최신 ISO 파일을 사용하여 아래에 언급한 장애 조치 절차를 수행합니다.
1

HDS 설정 도구를 시작하고 HDS 호스트에 대해 구성 ISO 만들기에서 언급한 단계를 따릅니다.

2

구성 프로세스를 완료하고 쉽게 찾을 수 있는 위치에 ISO 파일을 저장합니다.

3

로컬 시스템에서 ISO 파일의 백업 복사본을 만듭니다. 백업 복사본을 안전하게 유지합니다. 이 파일에는 데이터베이스 콘텐츠에 대한 마스터 암호화 키가 포함됩니다. 구성을 변경해야 하는 하이브리드 데이터 보안 관리자에게만 액세스를 제한합니다.

4

VMware vSphere 클라이언트의 왼쪽 네비게이션 분할 창에서 VM을 오른쪽 클릭하고 설정 편집을 클릭합니다.

5

설정 편집 > CD/DVD 드라이브 1 을 클릭하고 데이터스토어 ISO 파일을 선택합니다.

노드를 시작한 후에 업데이트된 구성 변경 사항이 적용될 수 있도록 연결됨시동 시 연결 이 체크되었는지 확인하십시오.

6

HDS 노드를 시동하고 최소한 15분 동안 경보가 없는지 확인하십시오.

7

Partner Hub에서 노드를 등록합니다. 클러스터에서 첫 번째 노드 등록을 참조하십시오.

8

대기 데이터 센터의 모든 노드에 대해 프로세스를 반복합니다.

다음에 수행할 작업

장애 조치 후 기본 데이터 센터가 다시 활성화되면 대기 데이터 센터의 노드를 등록 해제하고 상단에 언급한 대로 기본 데이터 센터의 노드 등록 및 ISO 구성 및 등록 과정을 반복합니다.

(선택 사항) HDS 구성 후 ISO 제거

표준 HDS 구성은 ISO가 장착된 상태에서 실행됩니다. 그러나 일부 고객은 ISO 파일을 계속 마운트하지 않는 것을 선호합니다. 모든 HDS 노드가 새로운 구성을 적용하면 ISO 파일을 마운트 해제할 수 있습니다.

여전히 ISO 파일을 사용하여 구성을 변경합니다. 설정 도구를 통해 새로운 ISO를 만들거나 ISO를 업데이트할 때 모든 HDS 노드에 업데이트된 ISO를 마운트해야 합니다. 모든 노드에서 구성 변경 사항을 적용하면 이 절차를 사용하여 ISO를 다시 마운트 해제할 수 있습니다.

시작하기 전에

모든 HDS 노드를 버전 2021.01.22.4720 이상으로 업그레이드하십시오.

1

HDS 노드 중 하나를 종료합니다.

2

vCenter Server Appliance에서 HDS 노드를 선택합니다.

3

설정 편집 > CD/DVD 드라이브 를 선택하고 데이터스토어 ISO 파일을 체크 해제합니다.

4

HDS 노드를 시동하고 20분 이상 알람이 없는지 확인합니다.

5

각 HDS 노드에 대해 차례로 반복합니다.

하이브리드 데이터 보안 문제 해결하기

경고 보기 및 문제 해결하기

클러스터의 모든 노드에 연결할 수 없거나 클러스터가 너무 느리게 작동하여 시간 초과를 요청하는 경우 하이브리드 데이터 보안 배포를 사용할 수 없는 것으로 간주됩니다. 사용자가 하이브리드 데이터 보안 클러스터에 연결할 수 없는 경우, 다음 증상을 경험합니다.

  • 새로운 스페이스가 생성되지 않음 (새 키를 만들 수 없음)

  • 다음 경우에 대해 메시지 및 스페이스 제목을 해독하지 못함:

    • 새로운 사용자가 스페이스에 추가됨 (키를 페치할 수 없음)

    • 스페이스에서 기존의 사용자가 새로운 클라이언트 사용 (키를 페치할 수 없음)

  • 스페이스에 있는 기존의 사용자는 클라이언트에 암호화 키의 캐시가 있는 한 계속 성공적으로 실행함

서비스가 중단되지 않게 하려면 하이브리드 데이터 보안 클러스터를 올바르게 모니터링하고 경고를 즉시 해결하는 것이 중요합니다.

경고

하이브리드 데이터 보안 설정에 문제가 있는 경우, Partner Hub는 조직 관리자에게 경고를 표시하고 구성된 이메일 주소로 이메일을 보냅니다. 경고는 여러 가지 일반적인 상황을 다룹니다.

표 1. 일반적인 문제 및 문제를 해결하기 위한 단계

경고

작업

로컬 데이터베이스 액세스 실패.

데이터베이스 오류 또는 로컬 네트워크 문제를 확인합니다.

로컬 데이터베이스 연결 실패.

데이터베이스 서버를 사용할 수 있는지, 노드 구성에서 올바른 서비스 계정 자격 증명이 사용되고 있는지 확인합니다.

클라우드 서비스 액세스 실패.

외부 연결 요구 사항에 지정된 대로 노드가 Webex 서버에 액세스할 수 있는지 확인합니다.

클라우드 서비스 등록을 갱신하는 중.

클라우드 서비스로의 등록이 중단됩니다. 현재 등록을 갱신하는 중.

클라우드 서비스 등록이 중단됩니다.

클라우드 서비스로의 등록이 종료됩니다. 서비스가 종료됩니다.

서비스가 아직 활성화되지 않았습니다.

Partner Hub에서 Hds를 활성화합니다.

구성된 도메인이 서버 인증서와 일치하지 않습니다.

서버 인증서가 구성된 서비스 활성화 도메인과 일치하는지 확인합니다.

원인은 최근에 인증서 CN이 변경되었으며 현재 초기 설정 중에 사용된 CN과 다른 CN이 사용되고 있기 때문일 가능성이 높습니다.

클라우드 서비스에 인증하지 못함.

정확성 및 서비스 계정 자격 증명의 만료일을 확인합니다.

로컬 키 저장소 파일을 열지 못함.

로컬 키 저장소 파일에서 무결성 및 비밀번호 정확성을 확인합니다.

로컬 서버 인증서가 유효하지 않습니다.

서버 인증서의 만료 날짜를 확인하고, 신뢰할 수 있는 인증 기관에서 발행한 것인지 확인합니다.

메트릭을 게시할 수 없음.

외부 클라우드 서비스로의 로컬 네트워크 액세스를 확인합니다.

/media/configdrive/hds 디렉토리가 존재하지 않습니다.

가상 호스트에서 ISO 마운트 구성을 확인합니다. ISO 파일이 존재하는지 확인하고, 해당 파일이 재부팅 시에 마운트하도록 구성되었는지, 성공적으로 마운트되는지를 확인합니다.

추가된 조직에 대해 테넌트 조직 설정이 완료되지 않음

HDS 설정 도구를 사용하여 새롭게 추가된 테넌트 조직에 대해 CMK를 생성하여 설정을 완료하십시오.

제거된 조직에 대해 테넌트 조직 설정이 완료되지 않음

HDS 설정 도구를 사용하여 제거된 테넌트 조직의 CMK를 취소하여 설정을 완료하십시오.

하이브리드 데이터 보안 문제 해결하기

하이브리드 데이터 보안의 문제를 해결할 때 다음 일반적인 안내를 사용하십시오.
1

Partner Hub를 확인하여 경고를 확인하고 여기에서 찾을 수 있는 항목을 수정하십시오. 참조에 대해서는 아래 이미지를 참조하십시오.

2

하이브리드 데이터 보안 배포에서 활동에 대한 syslog 서버 출력을 확인합니다. 문제 해결에 도움이 되도록 "경고" 및 "오류"와 같은 단어를 필터링합니다.

3

Cisco 고객 지원으로 연락합니다.

기타 메모

하이브리드 데이터 보안 알려진 문제

  • 하이브리드 데이터 보안 클러스터를 Partner Hub에서 삭제하거나 모든 노드를 종료하는 경우, 구성 ISO 파일을 잃거나 키 저장소 데이터베이스에 액세스할 수 없는 경우, 고객 조직의 WeBEX 앱 사용자는 더 이상 KMS의 키로 생성된 사용자 목록 아래에 있는 스페이스를 사용할 수 없습니다. 현재 이 문제에 대한 해결 방법은 없으며, HDS 서비스에서 활동 중인 사용자 계정을 처리하고 있는 경우에 해당 서비스를 종료하지 말 것을 강조합니다.

  • KMS에 대한 기존의 ECDH 연결이 있는 클라이언트는 특정 기간(1시간 정도) 동안 해당 연결을 유지합니다.

OpenSSL을 사용하여 PKCS12 파일 생성

시작하기 전에

  • OpenSSL은 HDS 설정 도구에서 로딩하기 위해 PKCS12 파일을 적합한 형식으로 만드는 데 사용할 수 있는 도구입니다. 이 작업을 실행할 수 있는 다른 방법이 있으며, 특정 방법을 더 지원하거나 홍보하지 않습니다.

  • OpenSSL을 사용하도록 선택한 경우, 이 절차를 X.509 인증서 요구 사항에서 X.509 인증서 요구 사항을 충족하는 파일을 만드는 데 도움이 되는 가이드라인으로 제공합니다. 진행하기 전에 다음 요구 사항을 숙지하십시오.

  • 지원되는 환경에서 OpenSSL을 설치합니다. 소프트웨어 및 문서에 대해서는 https://www.openssl.org을(를) 참조하십시오.

  • 비공개 키를 만듭니다.

  • 인증 기관(CA)으로부터 서버 인증서를 수신한 후에 이 절차를 시작하십시오.

1

인증 기관(CA)으로부터 서버 인증서를 수신한 후 hdsnode.pem으로 저장합니다.

2

인증서를 텍스트로 표시하고 세부 사항을 확인합니다.

openssl x509 -text -noout -in hdsnode.pem

3

텍스트 편집기를 사용하여 hdsnode-bundle.pem으로 칭하는 인증서 번들 파일을 만듭니다. 번들 파일에는 서버 인증서, 모든 중간 CA 인증서 및 루트 CA 인증서가 아래의 형식으로 포함되어야 합니다.

-----인증서 시작----- ### 서버 인증서. ### -----인증서 종료---- -----인증서 시작----- ### 중간 CA 인증서. ### -----인증서 종료---- -----인증서 시작----- ### 루트 ca 인증서. ### -----인증서 종료-----

4

쉽게 알 수 있는 이름인 kms-private-key로 .p12 파일을 만듭니다.

openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

5

서버 인증서 세부 사항을 확인합니다.

  1. openssl pkcs12 -in hdsnode.p12

  2. 안내에 따라 비밀번호를 입력하여 비공개 키를 암호화하고 출력에 표시되게 합니다. 그 후 비공개 키 및 첫 번째 인증서에 friendlyName: kms-private-key 줄이 포함되었는지 확인합니다.

    예:

    bash$ openssl pkcs12 -in hdsnode.p12 가져오기 비밀번호 입력: MAC이 다음 항목을 확인: OK Bag 속성 friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 키 속성:  PEM 암호 구문 입력: 확인 중 - PEM 암호 입력: -----암호화된 비공개 키 시작-----  -----암호화된 비공개 키 종료------ 백 속성 friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 SUBJECT=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt/CN=Let's Encrypt Authority X3 ------BEGIN CERTIFICATE-----  -----END CERTIFICATE------ Bag 속성 friendly이름: CN=Authority X3 암호화,O=Let's 암호화,C=US subject=/C=US/O=Let's Encrypt/CN=Authority X3 issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3 ------인증서 시작-----  -----인증서 종료------

다음에 수행할 작업

하이브리드 데이터 보안에 대한 전제 조건 완료로 돌아갑니다. hdsnode.p12 파일 및 해당 파일에 대해 설정한 비밀번호를 HDS 호스트에 대해 구성 ISO 만들기에서 사용합니다.

원래 인증서가 만료될 때 이러한 파일을 다시 사용하여 새 인증서를 요청할 수 있습니다.

HDS 노드 및 클라우드 간 트래픽

아웃바운드 메트릭 수집 트래픽

하이브리드 데이터 보안 노드는 특정 메트릭을 Webex 클라우드로 보냅니다. 여기에는 최대 힙, 사용된 힙, CPU 로드 및 스레드 수에 대한 시스템 메트릭이 포함됩니다. 또한 동기적 스레드 및 비동기적 스레드에 대한 메트릭, 암호화 연결, 대시 시간 또는 요청 대기열 길이의 임계값과 관련된 경고에 대한 메트릭, 데이터스토어 관련 메트릭 및 암호화 연결 메트릭도 포함됩니다. 노드는 대역 외(요청과 별개) 채널을 통해 암호화된 키 자료를 보냅니다.

인바운드 트래픽

하이브리드 데이터 보안 노드는 Webex 클라우드에서 다음 유형의 인바운드 트래픽을 수신합니다.

  • 클라이언트로부터 암호화 요청. 암호화 서비스에서 라우트됨

  • 노드 소프트웨어로 업그레이드

하이브리드 데이터 보안에 대해 Squid 프록시 구성

웹 소켓은 Squid 프록시를 통해 연결할 수 없음

HTTPS 트래픽을 검사하는 Squid 프록시는 하이브리드 데이터 보안에서 요구하는 웹소켓(wss:) 연결을 설정하는 데 방해가 될 수 있습니다. 다음 섹션에서는 서비스가 올바르게 작동하도록 다양한 버전의 Squid에서 wss: 트래픽을 무시하도록 구성하는 방법에 대한 안내를 제공합니다.

Squid 4 및 5

on_unsupported_protocolsquid.conf에 지시어를 추가합니다.

on_unsupported_protocol 모두 터널

Squid 3.5.27

squid.com에 추가된 다음 규칙으로 하이브리드 데이터 보안을 성공적으로 테스트했습니다. 이 규칙은 기능을 개발하고 Webex 클라우드를 업데이트 함에 따라 변경될 수도 있습니다.

acl wssMercuryConnection ssl::server_name_regex 수성 연결 ssl_bump 스플라이스 wssMercuryConnection acl step1 at_step SslBump1 acl step2 at_step SslBump2 acl step3 at_step SslBump3 ssl_bump 엿보기 step1 ssl_bump stare step2 ssl_bump bump step3 all

새 정보 및 변경된 정보

새 정보 및 변경된 정보

이 표는 새로운 기능 또는 기능, 기존의 콘텐츠에 대한 변경 사항 및 멀티 테넌트 하이브리드 데이터 보안의 배포 안내서에서 수정된 주요 오류를 설명합니다.

날짜

변경 사항 적용됨

2025년 1월 8일 목요일

초기 설정 실행 및 설치 파일 다운로드 에 Partner Hub에서 HDS 카드에서 설정 을 클릭하면 설치 프로세스의 중요한 단계임을 알리는 메모를 추가했습니다.

2025년 1월 7일 목요일

ESXi 7.0의 새로운 요구 사항을 표시하기 위해 가상 호스트 요구 사항, 하이브리드 데이터 보안 배포 작업 흐름HDS 호스트 OVA 설치 를 업데이트했습니다.

2024년 12월 13일 목요일

처음으로 공개되었습니다.

멀티 테넌트 하이브리드 데이터 보안 비활성화

멀티 테넌트 HDS 비활성화 작업 흐름

멀티 테넌트 HDS를 완전히 비활성화하려면 다음 단계를 따르십시오.

시작하기 전에

이 작업은 파트너 전체 관리자가 실행해야 합니다.
1

테넌트 조직 제거에서 언급한 대로 모든 클러스터에서 모든 고객을 제거합니다.

2

HDS에서 제거된 테넌트의 CMK 취소에서 언급한 대로 모든 고객의 CMK를 취소합니다.

3

노드 제거에서 언급한 대로 모든 클러스터에서 모든 노드를 제거합니다.

4

다음 두 가지 방법 중 하나를 사용하여 Partner Hub에서 모든 클러스터를 삭제합니다.

  • 삭제할 클러스터를 클릭하고 개요 페이지의 상단 오른쪽 모서리에서 이 클러스터 삭제 를 선택합니다.
  • 리소스 페이지에서 클러스터의 오른쪽에 있는 …을 클릭하고 클러스터 제거를 선택합니다.
5

하이브리드 데이터 보안 개요 페이지에서 설정 탭을 클릭하고 HDS 상태 카드에서 HDS 비활성화 를 클릭합니다.

멀티 테넌트 하이브리드 데이터 보안 시작하기

멀티 테넌트 하이브리드 데이터 보안 개요

처음부터 데이터 보안은 Webex 앱 설계에 있어 가장 중점적인 부분이었습니다. 이 보안의 토대는 KMS(Key Management Service)와 상호 작용하는 Webex 앱 클라이언트가 활성화하는 종단 간 콘텐츠 암호화입니다. KMS는 클라이언트가 메시지 및 파일을 동적으로 암호화하고 해독하는 데 사용하는 암호화 키를 만들고 관리합니다.

기본적으로 모든 Webex 앱 고객은 Cisco의 보안 영역에 있는 클라우드 KMS에 저장된 동적인 키로 종단 간 암호화를 사용합니다. 하이브리드 데이터 보안은 KMS 및 기타 보안 관련 기능을 기업의 데이터 센터로 이동시키기 때문에 암호화된 콘텐츠에는 귀하만 접근할 수 있습니다.

멀티 테넌트 하이브리드 데이터 보안 을 통해 조직은 신뢰할 수 있는 로컬 파트너를 통해 HDS를 활용할 수 있습니다. 이는 서비스 제공자 역할을 하고 온-프레미스 암호화 및 기타 보안 서비스를 관리할 수 있습니다. 이 설정을 통해 파트너 조직은 암호화 키의 배포 및 관리를 완전히 제어할 수 있으며, 고객 조직의 사용자 데이터가 외부 액세스로부터 안전한지 확인합니다. 파트너 조직은 필요에 따라 HDS 인스턴스를 설정하고 HDS 클러스터를 만듭니다. 각 인스턴스는 한 개의 조직으로 제한되는 일반 HDS 배포와 달리 다수의 고객 조직을 지원할 수 있습니다.

파트너 조직은 배포 및 관리를 제어할 수 있지만, 고객이 생성한 데이터 및 콘텐츠에 액세스할 수 없습니다. 이 액세스는 고객 조직 및 사용자로 제한됩니다.

또한 데이터 센터와 같은 주요 관리 서비스 및 보안 인프라가 신뢰할 수 있는 로컬 파트너가 소유하고 있기 때문에 소규모 조직이 HDS를 활용할 수도 있습니다.

멀티 테넌트 하이브리드 데이터 보안이 데이터 주권 및 데이터 제어를 제공하는 방법

  • 사용자가 생성한 콘텐츠는 클라우드 서비스 공급자와 같은 외부 액세스로부터 보호됩니다.
  • 로컬 신뢰할 수 있는 파트너는 이미 설정된 관계를 갖고 있는 고객의 암호화 키를 관리합니다.
  • 파트너가 제공하는 경우 로컬 기술 지원에 대한 옵션.
  • 미팅, 메시징 및 통화 콘텐츠를 지원합니다.

이 문서는 파트너 조직이 멀티 테넌트 하이브리드 데이터 보안 시스템에서 고객을 설정하고 관리할 수 있게 지원하기 위한 것입니다.

멀티 테넌트 하이브리드 데이터 보안의 역할

  • 파트너 전체 관리자 - 파트너가 관리하는 모든 고객에 대한 설정을 관리할 수 있습니다. 또한 조직의 기존 사용자에게 관리자 역할을 지정하고 파트너 관리자가 관리할 특정 고객을 지정할 수도 있습니다.
  • 파트너 관리자 - 관리자가 구축했거나 사용자에게 지정된 고객에 대한 설정을 관리할 수 있습니다.
  • 전체 관리자 - 조직 설정 수정, 라이센스 관리 및 역할 지정 등 작업을 수행할 수 있는 권한이 있는 파트너 조직의 관리자.
  • 모든 고객 조직의 종단 간 멀티 테넌트 HDS 설정 및 관리 - 파트너 전체 관리자 및 전체 관리자 권한이 필요합니다.
  • 지정된 테넌트 조직의 관리 - 파트너 관리자 및 전체 관리자 권한이 필요합니다.

보안 영역 아키텍처

Webex 클라우드 아키텍처는 아래와 같이 다른 유형의 서비스를 별도의 영역 또는 신뢰 도메인으로 구분합니다.

분리 영역 (하이브리드 데이터 보안 포함하지 않음)

하이브리드 데이터 보안을 더욱 잘 이해하기 위해 먼저 Cisco가 클라우드 영역에서 모든 기능을 제공하는 순수한 클라우드 사례를 살펴보겠습니다. 아이덴티티 서비스(사용자가 이메일 주소 등의 개인 정보와 직접 연관될 수 있는 유일한 장소)는 논리적, 물리적으로 데이터 센터 B에 있는 보안 영역과 분리됩니다. 따라서 두 부분 모두 데이터 센터 C에서 암호화된 콘텐츠가 궁극적으로 저장되는 영역과 분리됩니다.

이 다이어그램에서 클라이언트는 사용자의 노트북에서 실행되고 있는 Webex 앱이며, 아이덴티티 서비스로 인증되었습니다. 사용자가 스페이스에 보낼 메시지를 작성할 때 다음 단계가 실행됩니다.

  1. 클라이언트는 KMS(Key management service)를 사용하여 보안 연결을 설정한 후 메시지를 해독하기 위해 키를 요청합니다. 보안 연결은 ECDH를 사용하고, KMS는 AES-256 마스터 키를 사용하여 키를 암호화합니다.

  2. 메시지는 클라이언트에게 발송되기 전에 암호화됩니다. 클라이언트는 메시지를 인덱싱 서비스로 보내며, 여기에서 해당 콘텐츠에 대한 향후 검색에서 지원할 암호화된 검색 인덱스를 만듭니다.

  3. 암호화된 메시지는 규정 준수 확인을 위해 준수 서비스로 발송됩니다.

  4. 암호화된 메시지는 스토리지 영역에 저장됩니다.

하이브리드 데이터 보안을 배포할 때 보안 영역 기능(KMS, 인덱싱 및 규정 준수)을 온-프레미스 데이터 센터로 이동합니다. Webex를 구성하는 다른 클라우드 서비스(ID 및 콘텐츠 스토리지 포함)는 Cisco의 영역에 남아 있습니다.

다른 조직과 협업

조직에 있는 사용자는 정기적으로 Webex 앱을 사용하여 다른 조직에 있는 외부 참가자와 협업할 수도 있습니다. 해당 사용자가 귀하의 조직에서 소유하고 있는 스페이스에 대한 키를 요청하는 경우(귀사의 사용자 중의 한 명이 생성했기 때문), KMS는 ECDH 보안 채널을 통해 해당 클라이언트에게 키를 보냅니다. 단, 다른 조직에서 스페이스에 대한 키를 소유하고 있는 경우, KMS는 개별 ECDH 채널을 통해 요청을 WeBEX 클라우드로 라우트하여 적합한 KMS에서 키를 가져온 후 원래 채널에 있는 사용자에게 해당 키를 반환합니다.

조직 A에서 실행되고 있는 KMS 서비스는 X.509 PKI 인증서를 사용하여 다른 조직에서 KMS에 대한 연결을 검증합니다. 멀티 테넌트 하이브리드 데이터 보안 배포에서 사용할 x.509 인증서 생성에 대한 자세한 내용은 환경 준비 를 참조하십시오.

하이브리드 데이터 보안 배포에 대해 예상되는 부분

하이브리드 데이터 보안 배포에는 암호화 키를 소유하고 있는 위험성에 대한 확고한 약속과 인식이 필요합니다.

하이브리드 데이터 보안을 배포하려면 다음 항목을 제공해야 합니다.

하이브리드 데이터 보안에 대해 빌드하는 구성 ISO나 제공하는 데이터베이스를 완전히 잃으면 키를 잃게 됩니다. 키 손실은 사용자가 Webex 앱에서 스페이스 콘텐츠 및 기타 암호화된 데이터를 해독하지 못하게 합니다. 이러한 경우, 새로운 배포를 빌드할 수 있지만 새로운 콘텐츠만 표시됩니다. 데이터로의 액세스를 잃지 않으려면 다음을 실행하십시오.

  • 데이터베이스 및 구성 ISO의 백업 및 복구를 관리합니다.

  • 데이터베이스 디스크 오류 또는 데이터 센터 장애 등 재해가 발생할 경우 빠른 장애 복구를 수행할 수 있도록 준비하십시오.

HDS 배포 후 키를 다시 클라우드로 이동하는 메커니즘은 없습니다.

고급 설정 프로세스

이 문서는 멀티 테넌트 하이브리드 데이터 보안 배포의 설정 및 관리를 다룹니다.

  • 하이브리드 데이터 보안 설정—여기에는 필수 인프라 준비 및 하이브리드 데이터 보안 소프트웨어 설치, HDS 클러스터 만들기, 테넌트 조직을 클러스터에 추가 및 고객 기본 키(CMK) 관리 등이 포함됩니다. 이는 고객 조직의 모든 사용자가 보안 기능에 대해 하이브리드 데이터 보안 클러스터를 사용할 수 있게 합니다.

    설정, 활성화 및 관리 단계는 다음 세 장에서 자세히 다룹니다.

  • 하이브리드 데이터 보안 배포 유지—Webex 클라우드는 진행 중인 업그레이드를 자동으로 제공합니다. IT 부서는 이 배포에 대한 1단계 지원을 제공하고, 필요에 따라 Cisco 고객 지원과 작업할 수 있습니다. Partner Hub에서 화면에 알림을 사용하고 이메일 기반 경고를 설정할 수 있습니다.

  • 공통 경고, 문제 해결하기 단계 및 알려진 문제 이해하기—하이브리드 데이터 보안을 배포하거나 사용하는 데 문제가 발생하는 경우, 이 안내서의 마지막 장 및 알려진 문제 부록은 문제를 파악하고 수정하는 데 도움이 될 수 있습니다.

하이브리드 데이터 보안 배포 모델

기업 데이터 센터 내에서 개별 가상 호스트에 하이브리드 데이터 보안을 한 개의 노드로 배포합니다. 노드는 보안 웹소켓 및 보안 HTTP를 통해 Webex 클라우드와 통신합니다.

설치 과정 중에 귀하가 제공하는 VM에 가상 기기를 설정하기 위한 OVA 파일을 제공합니다. HDS Setup 도구를 사용하여 각 노드에서 마운트한 사용자 정의 클러스터 구성 ISO 파일을 만듭니다. 하이브리드 데이터 보안 클러스터는 제공된 Syslogd 서버 및 PostgreSQL 또는 Microsoft SQL Server 데이터베이스를 사용합니다. (HDS 설정 도구에서 Syslogd 및 데이터베이스 연결 세부 정보를 구성합니다.)

하이브리드 데이터 보안 배포 모델

한 개의 클러스터에 포함할 수 있는 최소한의 노드 수는 2개입니다. 클러스터당 최소한 세 개를 권장합니다. 여러 노드를 사용하면 노드에서 소프트웨어 업그레이드 또는 기타 유지관리 활동 중에 서비스가 중단되지 않도록 합니다. (Webex 클라우드는 한 번에 한 개의 노드만 업그레이드합니다.)

클러스터에 있는 모든 노드는 동일한 키 데이터스토어에 액세스하고, 동일한 시스로그 서버에 활동을 로그합니다. 노드 자체는 상태를 저장하지 않으며, 클라우드에서 디렉트된 대로 라운드 로빈 방법으로 키 요청을 처리합니다.

Partner Hub에서 노드를 등록하면 노드가 활성화됩니다. 개별 노드의 서비스를 중단시키려면 등록 해제하고 나중에 필요할 때 다시 등록할 수 있습니다.

재해 복구를 위한 대기 데이터 센터

배포 중에 보안 대기 데이터 센터를 설정합니다. 데이터 센터 장애 발생 시 대기 데이터 센터로 수동으로 배포를 실패할 수 있습니다.

장애 조치 전에 데이터 센터 A에 활성 HDS 노드 및 기본 PostgreSQL 또는 Microsoft SQL Server 데이터베이스가 있는 반면, B에 추가 구성이 포함된 ISO 파일의 사본, 조직에 등록된 VM 및 대기 데이터베이스가 있습니다. 장애 조치 후 데이터 센터 B에는 활성 HDS 노드 및 기본 데이터베이스가 있는 반면, A에 등록 해제된 VM 및 ISO 파일의 사본이 있으며, 데이터베이스는 대기 모드입니다.
대기 데이터 센터에 수동 장애 조치

활동 중 및 대기 데이터 센터의 데이터베이스가 서로 동기화되어 장애 조치를 수행하는 데 소요되는 시간을 최소화합니다.

활동 중인 하이브리드 데이터 보안 노드는 항상 활동 중인 데이터베이스 서버와 동일한 데이터 센터에 위치해야 합니다.

프록시 지원

하이브리드 데이터 보안은 명시적, 투명 검사 및 비-검사 프록시를 지원합니다. 해당 프록시를 배포에 연결하여 기업에서 클라우드로의 트래픽을 안전하게 보호하고 모니터링할 수 있습니다. 인증서 관리에 대해 노드에서 플랫폼 관리 인터페이스를 사용하고, 노드에서 프록시를 설정한 후 전반적인 연결 상태를 확인하기 위해 사용할 수 있습니다.

하이브리드 데이터 보안 노드는 다음 프록시 옵션을 지원합니다.

  • 프록시 없음—프록시를 통합하기 위해 HDS 노드 설정 신뢰 저장소 및 프록시 구성을 사용하지 않는 경우의 기본값입니다. 인증서를 업데이트하지 않아도 됩니다.

  • 투명 비-검사 프록시—노드가 특정 프록시 서버 주소를 사용하도록 구성되지 않았으며, 비-검사 프록시에서 작동하도록 변경하지 않아도 됩니다. 인증서를 업데이트하지 않아도 됩니다.

  • 투명 터널링 또는 검사 프록시—노드가 특정 프록시 서버 주소를 사용하도록 구성되지 않았습니다. 노드에서 HTTP 또는 HTTPS 구성을 변경하지 않아도 됩니다. 단, 노드에 루트 인증서가 있어야 프록시를 신뢰할 수 있습니다. 일반적으로 검사 프록시는 IT가 어떤 웹사이트를 방문할 수 있는지 및 어떤 유형의 콘텐츠가 허용되는지에 대한 정책을 적용하기 위해 사용됩니다. 이러한 유형의 프록시는 모든 트래픽(HTTPS 포함)을 해독합니다.

  • 명시적 프록시—명시적 프록시를 사용하여 HDS 노드에 어떤 프록시 서버 및 인증 체계를 사용하는지 알립니다. 명시적 프록시를 구성하려면 각 노드에 다음 정보를 입력해야 합니다.

    1. 프록시 IP/FQDN—프록시 머신에 연결하기 위해 사용될 수 있는 주소입니다.

    2. 프록시 포트—프록시가 프록시된 트래픽을 수신하기 위해 사용하는 포트 번호입니다.

    3. 프록시 프로토콜—프록시 서버에서 지원하는 내용에 따라 다음 프로토콜 중에서 선택합니다.

      • HTTP—클라이언트가 전송하는 모든 요청을 확인하고 제어합니다.

      • HTTPS—서버에 채널을 제공합니다. 클라이언트는 서버의 인증서를 수신하고 유효성을 검증합니다.

    4. 인증 유형—다음 인증 유형 중에서 선택합니다.

      • 없음—추가 인증이 필요하지 않습니다.

        HTTP 또는 HTTPS를 프록시 프로토콜로 선택하는 경우에 사용할 수 있습니다.

      • 기본—요청을 할 때 HTTP 사용자 에이전트가 사용자 이름 및 비밀번호를 제공하기 위해 사용됩니다. Base64 인코딩을 사용합니다.

        HTTP 또는 HTTPS를 프록시 프로토콜로 선택하는 경우에 사용할 수 있습니다.

        각 노드에서 사용자 이름 및 비밀번호를 입력하도록 요구합니다.

      • 다이제스트—민감한 정보를 보내기 전에 계정을 확인하기 위해 사용됩니다. 네트워크를 통해 전송하기 전에 사용자 이름 및 비밀번호에 해시 기능을 적용합니다.

        HTTPS를 프록시 프로토콜로 선택하는 경우에만 사용할 수 있습니다.

        각 노드에서 사용자 이름 및 비밀번호를 입력하도록 요구합니다.

하이브리드 데이터 보안 노드 및 프록시의 예제

이 다이어그램은 하이브리드 데이터 보안, 네트워크 및 프록시 간의 예제 연결을 표시합니다. 투명 검사 및 HTTPS 명시적 검사 프록시 옵션에 대해 프록시 및 하이브리드 데이터 보안 노드에 동일한 루트 인증서가 설치되어 있어야 합니다.

차단된 외부 DNS 확인 모드 끄기 (명시적 프록시 구성)

노드를 등록하거나 노드의 프록시 구성을 확인할 때 프로세스는 Cisco Webex 클라우드에 대한 DNS 조회 및 연결을 테스트합니다. 내부 클라이언트에 대해 외부 DNS 확인을 허용하지 않는 명시적인 프록시 구성이 포함된 배포에서 노드가 DNS 서버를 쿼리할 수 없는 경우, 이는 자동으로 차단된 외부 DNS 확인 모드로 지정됩니다. 이 모드에서 노드 등록 및 다른 프록시 연결 테스트를 진행할 수 있습니다.

환경 준비

멀티 테넌트 하이브리드 데이터 보안의 요구 사항

Cisco Webex 라이센스 요구 사항

멀티 테넌트 하이브리드 데이터 보안을 배포하려면:

  • 파트너 조직: Cisco 파트너 또는 계정 관리자에게 연락하고 멀티 테넌트 기능이 활성화되었는지 확인하십시오.

  • 테넌트 조직: Cisco Webex Control Hub용 Pro Pack을 사용해야 합니다. (참조: https://www.cisco.com/go/pro-pack)

Docker 데스크탑 요구 사항

HDS 노드를 설치하기 전에 설치 프로그램을 실행하려면 Docker 데스크탑이 필요합니다. Docker는 최근 라이센싱 모델을 업데이트했습니다. 조직에서 Docker 데스크탑에 대해 유료 가입을 요구할 수도 있습니다. 자세한 내용은 Docker 블로그 게시물 " Docker가 업데이트 중 및 제품 가입 연장하기를 참조합니다.

X.509 인증서 요구 사항

인증서 체인은 다음 요구 사항을 충족해야 합니다.

표 1. 하이브리드 데이터 보안 배포를 위한 X.509 인증서 요구 사항

요구 사항

세부 정보

  • 신뢰할 수 있는 인증 기관(CA)에서 서명함

기본적으로 Mozilla 목록에 있는 CA를 https://wiki.mozilla.org/CA:IncludedCAs에서 신뢰합니다(WoSign 및 StartCom 예외).

  • 하이브리드 데이터 보안 배포를 식별하는 CN(Common Name) 도메인 이름을 나타냅니다.

  • 와일드카드 인증서가 아님

CN은 연결되어야 하거나, 실시간 호스트일 필요가 없습니다. 조직을 반영하는 이름을 사용할 것을 권장합니다. 예: hds.company.com

CN에는 *(와일드카드)를 포함할 수 없습니다.

CN은 Webex 앱 클라이언트에 대해 하이브리드 데이터 보안 노드를 확인하기 위해 사용됩니다. 클러스터에 있는 모든 하이브리드 데이터 보안 노드는 동일한 인증서를 사용합니다. KMS는 x.509v3 SAN 필드에 정의된 도메인이 아닌 CN 도메인을 사용하여 자체적으로 식별합니다.

이 인증서를 사용하여 노드를 등록하면 CN 도메인 이름에 대한 변경을 지원하지 않습니다.

  • Non-SHA1 signature

KMS 소프트웨어는 다른 조직의 KMS에 연결을 확인하는 작업에 대해 SHA1 서명을 지원하지 않습니다.

  • 비밀번호로 보호된 PKCS #12 파일로 형식화됨

  • kms-private-key의 알기 쉬운 이름을 사용하여 인증서, 비공개 키 및 업로드할 중간 인증서에 태그를 지정합니다.

OpenSSL 등의 변환기를 사용하여 인증서 형식을 변경할 수 있습니다.

HDS 설정 도구를 실행할 때 비밀번호를 입력해야 합니다.

KMS 소프트웨어는 키 사용 또는 확장된 키 사용 제한을 강요하지 않습니다. 일부 인증 기관에서는 각 인증서에 서버 인증과 같은 확장된 키 사용 제한을 적용하도록 요구합니다. 서버 인증 또는 기타 설정을 사용해도 괜찮습니다.

가상 호스트 요구 사항

클러스터에서 하이브리드 데이터 보안 노드로 설정할 가상 호스트에는 다음 요구 사항이 있습니다.

  • 동일한 보안 데이터 센터에 최소한 두 개의 개별 호스트(3개 권장됨)가 배치됨

  • VMware ESXi 7.0(또는 이상)이 설치되고 실행 중입니다.

    이전 버전의 ESXi가 있는 경우 업그레이드해야 합니다.

  • 최소 4개 vCPU, 8GB 기본 메모리, 서버당 30GB 로컬 하드 디스크 공간

데이터베이스 서버 요구 사항

키 스토리지에 대한 새 데이터베이스를 만듭니다. 기본 데이터베이스를 사용하지 마십시오. HDS 응용프로그램을 설치하면 데이터베이스 스키마가 생성됩니다.

데이터베이스 서버에는 두 가지 옵션이 있습니다. 각 요구 사항은 다음과 같습니다.

표 2. 데이터베이스 유형별 데이터베이스 서버 요구 사항

PostgreSQL의

Microsoft SQL 서버

  • PostgreSQL 14, 15 또는 16 설치 및 실행.

  • SQL Server 2016, 2017 또는 2019(기업 또는 표준)이 설치되었습니다.

    SQL Server 2016에는 서비스 팩 2 및 누적 업데이트 2 이상이 필요합니다.

최소 8개 vCPU, 16GB 메인 메모리, 충분한 하드 디스크 공간 및 초과하지 않도록 모니터링(스토리지를 늘리지 않고도 장기간 데이터베이스를 실행하려는 경우 2TB 권장됨)

최소 8개 vCPU, 16GB 메인 메모리, 충분한 하드 디스크 공간 및 초과하지 않도록 모니터링(스토리지를 늘리지 않고도 장기간 데이터베이스를 실행하려는 경우 2TB 권장됨)

현재 HDS 소프트웨어는 데이터베이스 서버와의 통신을 위해 다음 드라이버 버전을 설치합니다.

PostgreSQL의

Microsoft SQL 서버

Postgres JDBC 드라이버 42.2.5

SQL 서버 JDBC 드라이버 4.6

이 드라이버 버전은 SQL Server 항상 켜기(페일오버 클러스터 인스턴스 항상 켜기가용성 그룹 항상 켜기)를 지원합니다.

Microsoft SQL Server에 대한 Windows 인증에 대한 추가 요구 사항

HDS 노드가 Windows 인증을 사용하여 Microsoft SQL Server에서 키 저장소 데이터베이스에 액세스하도록 하려는 경우, 환경에서 다음 구성이 필요합니다.

  • HDS 노드, Active Directory 인프라 및 MS SQL 서버는 모두 NTP와 동기화되어야 합니다.

  • HDS 노드에 제공하는 Windows 계정은 데이터베이스에 대한 읽기/쓰기 액세스 권한이 있어야 합니다.

  • HDS 노드에 제공하는 DNS 서버는 KDC(Key Distribution Center)를 확인할 수 있어야 합니다.

  • Microsoft SQL Server의 HDS 데이터베이스 인스턴스를 Active Directory의 SPN(Service Principal Name)으로 등록할 수 있습니다. Kerberos 연결에 대해 서비스 기본 이름 등록을 참조하십시오.

    HDS 설정 도구, HDS 실행기 및 로컬 KMS는 모두 Windows 인증을 사용하여 키 저장소 데이터베이스에 액세스해야 합니다. Kerberos 인증으로 액세스를 요청할 때 ISO 구성의 세부 정보를 사용하여 SPN을 구성합니다.

외부 연결 요구 사항

HDS 응용프로그램에 대해 다음 연결을 허용하도록 방화벽을 구성합니다.

응용프로그램

프로토콜

포트

앱에서 방향

대상

하이브리드 데이터 보안 노드

TCP

443

아웃바운드 HTTPS 및 WSS

  • Webex 서버:

    • *.wbx2.com

    • *.ciscospark.com

  • 모든 공통 ID 호스트

  • Webex 서비스의 네트워크 요구 사항Webex 하이브리드 서비스의 추가 URL 표에 하이브리드 데이터 보안에 나열된 기타 URL

HDS 설정 도구

TCP

443

아웃바운드 HTTPS

  • *.wbx2.com

  • 모든 공통 ID 호스트

  • hub.docker.com

NAT 또는 방화벽이 앞의 표에 있는 도메인 대상에 필요한 아웃바운드 연결을 허용하는 한, 하이브리드 데이터 보안 노드는 네트워크 액세스 변환(NAT) 또는 방화벽 내에서 작동합니다. 하이브리드 데이터 보안 노드로 인바운드되는 연결에 대해서는 인터넷에서 포트가 표시되지 말아야 합니다. 데이터 센터 내에서 클라이언트는 관리의 목적을 위해 TCP 포트 443 및 22에서 하이브리드 데이터 보안 노드에 액세스해야 합니다.

CI(공통 ID) 호스트에 대한 URL은 지역별로 다릅니다. 현재 CI 호스트는 다음과 같습니다.

지역

공통 ID 호스트 URL

미주

  • https://idbroker.webex.com

  • https://identity.webex.com

  • https://idbroker-b-us.webex.com

  • https://identity-b-us.webex.com

유럽 연합

  • https://idbroker-eu.webex.com

  • https://identity-eu.webex.com

캐나다

  • https://idbroker-ca.webex.com

  • https://identity-ca.webex.com

싱가포르

  • https://idbroker-sg.webex.com

  • https://identity-sg.webex.com

아랍에미리트

  • https://idbroker-ae.webex.com

  • https://identity-ae.webex.com

프록시 서버 요구 사항

  • 하이브리드 데이터 보안 노드에 통합할 수 있는 다음 프록시 솔루션을 공식적으로 지원합니다.

  • 명시적 프록시에 대해 다음 인증 유형 조합을 지원합니다.

    • HTTP 또는 HTTPS로 인증하지 않음

    • HTTP 또는 HTTPS로 기본 인증

    • HTTPS로만 다이제스트 인증

  • 투명 검사 프록시 또는 HTTPS 명시적 프록시에 대해 프록시 루트 인증서의 복사본이 있어야 합니다. 이 안내서의 배포 지시 사항은 하이브리드 데이터 보안 노드의 신뢰 저장소에 사본을 업로드하는 방법을 설명합니다.

  • HDS 노드를 호스트하는 네트워크는 포트 443의 아웃바운드 TCP 트래픽이 프록시를 통해 라우팅하도록 구성되어야 합니다.

  • 웹 트래픽을 검사하는 프록시는 웹 소켓 연결을 방해할 수도 있습니다. 이 문제가 발생하는 경우, wbx2.comciscospark.com에 대한 트래픽을 우회(검사하지 않음)하면 문제를 해결할 수 있습니다.

하이브리드 데이터 보안에 대한 전제 조건 완료

이 검사 목록을 사용하여 하이브리드 데이터 보안 클러스터를 설치하고 구성할 준비가 되었는지 확인하십시오.
1

파트너 조직에 멀티 테넌트 HDS 기능이 활성화되었는지 확인하고 파트너 전체 관리자 및 전체 관리자 권한이 있는 계정의 자격 증명을 확보하십시오. Webex 고객 조직이 Cisco Webex Control Hub용 Pro Pack에 대해 활성화되었는지 확인하십시오. 이 과정에 대해 지원을 받으려면 Cisco 파트너 또는 계정 관리자에게 연락하십시오.

고객 조직에는 기존의 HDS 배포가 없어야 합니다.

2

HDS 배포에 대한 도메인 이름(예: hds.company.com)을 선택하고 X.509 인증서, 비공개 키 및 중간 인증서를 포함하는 인증서 체인을 확보합니다. 인증서 체인은 X.509 인증서 요구 사항에 있는 요구 사항을 충족해야 합니다.

3

클러스터에서 하이브리드 데이터 보안 노드로 설정할 동일한 가상 호스트를 준비하십시오. 가상 호스트 요구 사항의 요구 사항을 충족하는 동일한 보안 데이터 센터에 최소한 두 개의 개별 호스트(권장되는 3개)가 있어야 합니다.

4

데이터베이스 서버 요구 사항에 따라 클러스터에 대한 키 데이터 저장소 역할을 할 데이터베이스 서버를 준비합니다. 데이터베이스 서버는 가상 호스트와 함께 보안 데이터 센터에 위치해야 합니다.

  1. 키 스토리지에 대한 데이터베이스를 생성합니다. (이 데이터베이스를 만들어야 합니다. 기본 데이터베이스를 사용하지 마십시오. HDS 응용프로그램을 설치하면 데이터베이스 스키마가 생성됩니다.)

  2. 노드가 데이터베이스 서버와 통신하는 데 사용할 세부 사항을 수집하십시오.

    • 호스트 이름 또는 IP 주소 (호스트) 및 포트

    • 키 스토리지에 대한 데이터베이스의 이름(dbname)

    • 키 스토리지 데이터베이스에서 모든 권한을 가진 사용자의 사용자이름 및 비밀번호

5

빠른 장애 복구를 위해 다른 데이터 센터에 백업 환경을 설정합니다. 백업 환경은 VM과 백업 데이터베이스 서버의 프로덕션 환경을 반영합니다. 예를 들어, 프로덕션에 HDS 노드를 실행하는 3개의 VM이 있으면 백업 환경에도 3개의 VM이 있어야 합니다.

6

클러스터에 있는 노드에서 로그를 수집하도록 시스로그 호스트를 설정하십시오. 네트워크 주소 및 시스로그 포트를 수집합니다(기본값은 UDP 514).

7

하이브리드 데이터 보안 노드, 데이터베이스 서버 및 syslog 호스트에 대한 보안 백업 정책을 만듭니다. 복구할 수 없는 데이터 손실을 방지하기 위해 하이브리드 데이터 보안 노드에 대해 생성된 데이터베이스 및 구성 ISO 파일을 백업해야 합니다.

하이브리드 데이터 보안 노드는 콘텐츠의 암호화 및 해독에 사용되는 키를 저장하기 때문에 운영 중인 배포를 유지하지 못하면 해당 콘텐츠의 복구할 수 없는 손실 으로 이어질 수 있습니다.

Webex 앱 클라이언트는 키를 캐시하므로 정전이 즉시 눈에 띄지 않지만 시간이 지남에 따라 눈에 띄게 됩니다. 일시적인 중단은 예방할 수 없지만, 복구는 가능합니다. 그러나 데이터베이스 또는 구성 ISO 파일을 완전한 유실하면(사용할 수 있는 백업 없음) 고객 데이터를 복구할 수 없게 됩니다. 하이브리드 데이터 보안 노드의 운영자는 데이터베이스 및 구성 ISO 파일의 빈번한 백업을 유지하고, 치명적인 오류가 발생할 경우 하이브리드 데이터 보안 데이터 센터를 다시 빌드할 준비가 되어야 합니다.

8

방화벽 구성에서 외부 연결 요구 사항에 설명된 대로 하이브리드 데이터 보안 노드에 대한 연결을 허용하는지 확인합니다.

9

지원되는 OS(Microsoft Windows 10 Professional 또는 Enterprise 64비트 또는 Mac OSX Yosemite 10.10.3 이상)를 실행하는 로컬 머신에 Docker( https://www.docker.com)를 http://127.0.0.1:8080.에서 액세스할 수 있는 웹 브라우저를 설치합니다.

Docker 인스턴스를 사용하여 모든 하이브리드 데이터 보안 노드에 대한 로컬 구성 정보를 빌드하는 HDS 설정 도구를 다운로드하고 실행합니다. Docker 데스크탑 라이센스가 필요할 수 있습니다. 자세한 정보는 Docker 데스크탑 요구 사항 을 참조하십시오.

HDS 설정 도구를 설치하고 실행하려면 로컬 머신에 외부 연결 요구 사항에 설명된 연결이 있어야 합니다.

10

하이브리드 데이터 보안에 프록시를 통합하는 경우, 프록시 서버 요구 사항을 충족하는지 확인하십시오.

하이브리드 데이터 보안 클러스터 설정

하이브리드 데이터 보안 배포 작업 흐름

시작하기 전에

1

초기 설정을 수행하고 설치 파일 다운로드

나중에 사용할 수 있도록 OVA 파일을 로컬 머신으로 다운로드합니다.

2

HDS 호스트에 대해 구성 ISO 만들기

HDS 설정 도구를 사용하여 하이브리드 데이터 보안 노드에 대한 ISO 구성 파일을 만듭니다.

3

HDS 호스트 OVA 설치

OVA 파일에서 가상 머신을 만들고 네트워크 설정과 같은 초기 구성을 수행합니다.

OVA 배포 중 네트워크 설정을 구성하는 옵션은 ESXi 7.0에서 테스트되었습니다. 이전 버전에서 해당 옵션을 사용하지 못할 수도 있습니다.

4

하이브리드 데이터 보안 VM 설정

VM 콘솔에 로그인하고 로그인 자격 증명을 설정합니다. OVA 배포 시 구성하지 않은 경우 노드에 대한 네트워크 설정을 구성합니다.

5

HDS 구성 ISO 업로드 및 마운트

HDS 설정 도구를 사용하여 만든 ISO 구성 파일에서 VM을 구성합니다.

6

프록시 통합에 대해 HDS 노드 구성

네트워크 환경에 프록시 구성이 필요한 경우 노드에 사용할 프록시의 유형을 지정하고 필요에 따라 프록시 인증서를 신뢰 저장소에 추가합니다.

7

클러스터에서 첫 번째 노드 등록

하이브리드 데이터 보안 노드로 Cisco Webex 클라우드에 VM을 등록합니다.

8

추가 노드를 만들고 등록

클러스터 설정을 완료하십시오.

9

Partner Hub에서 멀티 테넌트 HDS를 활성화합니다.

Partner Hub에서 HDS를 활성화하고 테넌트 조직을 관리합니다.

초기 설정을 수행하고 설치 파일 다운로드

이 작업에서 OVA 파일을 컴퓨터에 다운로드합니다(하이브리드 데이터 보안 노드로 설정한 서버가 아님). 나중에 이 파일을 설치 프로세스에서 사용합니다.

1

Partner Hub에 로그인한 후 서비스를 클릭합니다.

2

클라우드 서비스 섹션에서 하이브리드 데이터 보안 카드를 찾은 후 설정을 클릭합니다.

Partner Hub에서 설정 을 클릭하면 배포 프로세스에 매우 중요합니다. 이 단계를 완료하지 않고 설치를 진행하지 마십시오.

3

리소스 추가 를 클릭하고 소프트웨어 설치 및 구성 카드에서 .OVA 파일 다운로드 를 클릭합니다.

이전 버전의 소프트웨어 패키지(OVA)는 최신 하이브리드 데이터 보안 업그레이드와 호환되지 않습니다. 이는 응용프로그램을 업그레이드하는 동안 문제가 발생할 수 있습니다. 최신 버전의 OVA 파일을 다운로드했는지 확인하십시오.

도움말 섹션에서 언제든지 OVA를 다운로드할 수도 있습니다. 설정 > 도움말 > 하이브리드 데이터 보안 소프트웨어 다운로드를 클릭합니다.

OVA 파일이 자동으로 다운로드되기 시작합니다. 머신에 있는 위치에 파일을 저장합니다.
4

선택적으로, 하이브리드 데이터 보안 배포 안내서 보기 를 클릭하여 이 안내서의 이후 버전을 사용할 수 있는지 확인합니다.

HDS 호스트에 대해 구성 ISO 만들기

하이브리드 데이터 보안 설정 프로세스는 ISO 파일을 만듭니다. 그 후 ISO를 사용하여 하이브리드 데이터 보안 호스트를 구성합니다.

시작하기 전에
1

머신의 명령줄에 사용자 환경에 적합한 명령을 입력합니다.

일반 환경:

docker rmi ciscocitg/hds-setup:안정

FedRAMP 환경:

도커 rmi ciscocitg/hds-setup-fedramp:stable

이 단계에서는 이전 HDS 설정 도구 이미지를 정리합니다. 이전 이미지가 없는 경우 무시할 수 있는 오류를 반환합니다.

2

Docker 이미지 레지스트리에 로그인하려면 다음을 입력합니다.

도커 로그인 -u hdscustomersro
3

비밀번호 프롬프트에 이 해시를 입력합니다.

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo는
4

사용자 환경에 맞는 최신 안정 이미지를 다운로드합니다.

일반 환경:

docker pull ciscocitg/hds-setup:안정

FedRAMP 환경:

docker pull ciscocitg/hds-setup-fedramp:안정
5

풀이 완료되면 사용자 환경에 적합한 명령을 입력합니다.

  • 프록시가 없는 일반 환경:

    도커 실행 -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

  • HTTP 프록시가 있는 일반 환경:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • HTTPS 프록시가 있는 일반 환경에서는:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • 프록시가 없는 FedRAMP 환경:

    도커 실행 -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • HTTP 프록시가 있는 FedRAMP 환경:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • HTTPS 프록시가 있는 FedRAMP 환경:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

컨테이너가 실행 중일 때 "포트 8080에서 수신하는 Express 서버"가 표시됩니다.

6

설정 도구는 http://localhost:8080을 통해 localhost에 연결하는 것을 지원하지 않습니다. http://127.0.0.1:8080 을(를) 사용하여 로컬 호스트에 연결합니다.

웹 브라우저를 사용하여 localhost, http://127.0.0.1:8080(으)로 이동하고 프롬프트에 Partner Hub의 관리 사용자 이름을 입력합니다.

이 도구는 사용자 이름의 이 첫 번째 항목을 사용하여 해당 계정에 적합한 환경을 설정합니다. 그런 다음 도구는 표준 로그인 프롬프트를 표시합니다.

7

안내를 받으면 Partner Hub 관리자 로그인 자격 증명을 입력한 후 로그인 을 클릭하여 하이브리드 데이터 보안에 필요한 서비스에 대한 액세스를 허용합니다.

8

설정 도구 개요 페이지에서 시작하기를 클릭합니다.

9

ISO 가져오기 페이지에 다음 옵션이 있습니다.

  • 아니요—첫 번째 HDS 노드를 만드는 경우, 업로드할 ISO 파일이 없습니다.
  • —HDS 노드를 이미 만든 경우, 찾아보기에서 ISO 파일을 선택하고 업로드합니다.
10

X.509 인증서가 X.509 인증서 요구 사항의 요구 사항을 충족하는지 확인합니다.

  • 이전에 인증서를 업로드하지 않은 경우, X.509 인증서를 업로드하고 비밀번호를 입력한 후 계속을 클릭합니다.
  • 인증서가 올바른 경우, 계속을 클릭합니다.
  • 인증서가 만료되었거나 교체하려는 경우, 이전 ISO에서 HDS 인증서 체인 및 비공개 키를 계속 사용? 에 대해 아니요를 선택합니다. 새로운 X.509 인증서를 업로드하고 비밀번호를 입력한 후 계속을 클릭합니다.
11

키 데이터 저장소에 액세스하기 위해 HDS의 데이터베이스 주소 및 계정을 입력합니다.

  1. 데이터베이스 유형 (PostgreSQL 또는 Microsoft SQL Server)을 선택합니다.

    Microsoft SQL Server를 선택하는 경우, 인증 유형 필드가 나타납니다.

  2. (Microsoft SQL Server 전용) 인증 유형을 선택합니다.

    • 기본 인증: 사용자이름 필드에 로컬 SQL Server 계정 이름이 필요합니다.

    • Windows 인증: 사용자이름 필드에 username@DOMAIN 형식의 Windows 계정이 필요합니다.

  3. 데이터베이스 서버 주소를 : 또는 : 형식으로 입력합니다.

    예:
    dbhost.example.org:1433 또는 198.51.100.17:1433

    노드에서 DNS를 사용하여 호스트 이름을 확인할 수 없는 경우 기본 인증에 대해 IP 주소를 사용할 수 있습니다.

    Windows 인증을 사용하고 있는 경우, 정규화된 도메인 이름을 dbhost.example.org:1433 형식으로 입력해야 합니다.

  4. 데이터베이스 이름을 입력합니다.

  5. 키 스토리지 데이터베이스에서 모든 권한이 있는 사용자의 사용자이름비밀번호 를 입력합니다.

12

TLS 데이터베이스 연결 모드를 선택합니다.

모드

설명

TLS 선호 (기본 옵션)

HDS 노드에서 TLS가 데이터베이스 서버에 연결하도록 요구하지 않습니다. 데이터베이스 서버에서 TLS를 활성화하는 경우 노드는 암호화된 연결을 시도합니다.

TLS 필요

데이터베이스 서버에서 TLS를 협상할 수 있는 경우에만 HDS 노드를 연결합니다.

TLS 필요 및 인증서 서명자 확인

이 모드는 SQL Server 데이터베이스에는 적용되지 않습니다.

  • 데이터베이스 서버에서 TLS를 협상할 수 있는 경우에만 HDS 노드를 연결합니다.

  • TLS 연결을 설정한 후 노드는 데이터베이스 서버에서 인증서의 서명자를 데이터베이스 루트 인증서에 있는 인증 기관과 비교합니다. 해당 정보가 일치하지 않으면 노드는 연결을 끊습니다.

이 옵션에 대해 루트 인증서를 업로드하려면 드롭다운 아래에 있는 데이터베이스 루트 인증서 제어를 사용하십시오.

TLS 필요 및 인증서 서명자, 호스트 이름 확인

  • 데이터베이스 서버에서 TLS를 협상할 수 있는 경우에만 HDS 노드를 연결합니다.

  • TLS 연결을 설정한 후 노드는 데이터베이스 서버에서 인증서의 서명자를 데이터베이스 루트 인증서에 있는 인증 기관과 비교합니다. 해당 정보가 일치하지 않으면 노드는 연결을 끊습니다.

  • 노드는 서버 인증서의 호스트 이름이 데이터베이스 호스트 및 포트 필드에 있는 호스트 이름과 일치하는지 확인합니다. 이름은 정확히 일치해야 하며, 그렇지 않으면 노드가 연결을 끊습니다.

이 옵션에 대해 루트 인증서를 업로드하려면 드롭다운 아래에 있는 데이터베이스 루트 인증서 제어를 사용하십시오.

루트 인증서를 업로드하고(필요한 경우) 계속을 클릭하면 HDS 설정 도구는 데이터베이스 서버에 대한 TLS 연결을 테스트합니다. 해당 도구는 인증서 서명자 및 호스트 이름도 확인합니다(해당하는 경우). 테스트가 실패하면 도구에서 문제를 설명하는 오류 메시지를 표시합니다. 오류를 무시할지 선택하고 설정을 계속할 수 있습니다. (연결성 차이로 인해 HDS 설정 도구 머신에서 성공적으로 테스트할 수 없는 경우에도 HDS 노드는 TLS 연결을 설정할 수 있습니다.)

13

시스템 로그 페이지에서 Syslogd 서버를 구성합니다.

  1. syslog 서버 URL을 입력합니다.

    서버가 HDS 클러스터에 대한 노드에서 DNS를 확인할 수 없는 경우 URL에 있는 IP 주소를 사용합니다.

    예:
    udp://10.92.43.23:514 는 UDP 포트 514에서 Syslogd 호스트 10.92.43.23에 대한 로깅을 가리킵니다.

  2. TLS 암호화를 사용하도록 서버를 설정한 경우, SSL 암호화에 대해 syslog 서버가 구성되었습니까?를 체크합니다.

    이 확인란을 선택하는 경우, tcp://10.92.43.23:514와 같은 TCP URL을 입력해야 합니다.

  3. syslog 녹화 종료 선택 드롭다운에서 ISO 파일에 적합한 설정을 선택합니다. Graylog 및 Rsyslog TCP에 대해 선택하거나 새로 고침을 사용합니다.

    • Null 바이트 -- \x00

    • 새로 고침 -- \n—Graylog 및 Rsyslog TCP에 대해 이 옵션을 선택합니다.

  4. 계속을 클릭합니다.

14

(선택 사항) 고급 설정에서 일부 데이터베이스 연결 파라미터에 대한 기본값을 변경할 수 있습니다. 일반적으로 이 파라미터는 변경할 수 있는 유일한 파라미터입니다.

app_datasource_connection_pool_max크기: 10
15

서비스 계정 비밀번호 재설정 화면에서 계속 을 클릭합니다.

서비스 계정 비밀번호의 수명은 9개월입니다. 비밀번호가 곧 만료되거나 이전 ISO 파일을 무효화하도록 재설정하고자 할 때 이 화면을 사용합니다.

16

ISO 파일 다운로드를 클릭합니다. 쉽게 찾을 수 있는 위치에 파일을 저장합니다.

17

로컬 시스템에서 ISO 파일의 백업 복사본을 만듭니다.

백업 복사본을 안전하게 유지합니다. 이 파일에는 데이터베이스 콘텐츠에 대한 마스터 암호화 키가 포함됩니다. 구성을 변경해야 하는 하이브리드 데이터 보안 관리자에게만 액세스를 제한합니다.

18

설정 도구를 종료하려면 CTRL + C 조합을 입력합니다.

다음에 수행할 작업

구성 ISO 파일을 백업합니다. 복구를 위해 추가 노드를 만들거나 구성을 변경하려면 이 노드가 필요합니다. ISO 파일의 모든 복사본을 잃게 되면 마스터 키도 잃게 됩니다. PostgreSQL 또는 Microsoft SQL Server 데이터베이스에서 키를 복구할 수 없습니다.

이 키의 사본은 가지고 있지 않으며, 잃어버리는 경우엔 지원할 수 없습니다.

HDS 호스트 OVA 설치

OVA 파일에서 가상 머신을 만들려면 이 절차를 따르십시오.
1

컴퓨터에서 VMware vSphere 클라이언트를 사용하여 ESXi 가상 호스트에 로그인합니다.

2

파일 > OVF 템플릿 배포를 선택합니다.

3

마법사에서 이전에 다운로드한 OVA 파일의 위치를 지정한 후 다음을 클릭합니다.

4

이름 및 폴더 선택 페이지에서 노드에 대한 가상 머신 이름 (예: "HDS_Node_1")을 입력하고 가상 머신 노드 배포가 상주할 수 있는 위치를 선택한 후 다음을 클릭합니다.

5

계산 리소스 선택 페이지에서 대상 계산 리소스를 선택한 후 다음을 클릭합니다.

유효성 검사가 실행됩니다. 완료되면 템플릿 세부 사항이 나타납니다.

6

템플릿 세부 사항을 확인한 후 다음을 클릭합니다.

7

구성 페이지에서 리소스 구성을 선택하도록 요청받는 경우, 4 CPU 를 클릭한 후 다음을 클릭합니다.

8

스토리지 선택 페이지에서 다음 을 클릭하여 기본 디스크 형식 및 VM 스토리지 정책을 수락합니다.

9

네트워크 선택 페이지에서 입력값의 목록에서 네트워크 옵션을 선택하여 VM에 원하는 연결을 제공합니다.

10

템플릿 사용자 정의 페이지에서 다음 네트워크 설정을 구성합니다.

  • 호스트 이름—노드에 대한 FQDN(호스트 이름 및 도메인) 또는 한 단어 호스트 이름을 입력합니다.

    • X.509 인증서를 얻는 데 사용된 도메인과 일치하도록 도메인을 설정할 필요는 없습니다.

    • 클라우드에 성공적으로 등록하려면 노드에 대해 설정한 FQDN 또는 호스트 이름에서 소문자만 사용하십시오. 현재 대문자 사용은 지원되지 않습니다.

    • FQDN의 총 길이는 64자를 초과하지 말아야 합니다.

  • IP 주소— 노드의 내부 인터페이스에 대한 IP 주소를 입력합니다.

    노드에는 내부 IP 주소 및 DNS 이름이 있어야 합니다. DHCP는 지원되지 않습니다.

  • 마스크—점-소수 표기법으로 서브넷 마스크 주소를 입력합니다. 예: 255.255.255.0.
  • 게이트웨이—게이트웨이 IP 주소를 입력합니다. 게이트웨이는 다른 네트워크에 대한 액세스 포인트로 사용되는 네트워크 노드입니다.
  • DNS 서버—도메인 이름을 숫자 IP 주소로 변환하는 DNS 서버의 콤마로 구분된 목록을 입력합니다. (최대 4개의 DNS 항목이 허용됩니다.)
  • NTP 서버—조직의 NTP 서버 또는 조직에서 사용될 수 있는 다른 외부 NTP 서버를 입력합니다. 기본 NTP 서버는 모든 기업에 대해 작동하지 않을 수 있습니다. 콤마로 구분된 목록을 사용하여 여러 NTP 서버를 입력할 수도 있습니다.

  • 관리의 목적을 위해 네트워크의 클라이언트에서 클러스터의 모든 노드에 연결할 수 있도록 동일한 서브넷 또는 VLAN에 모든 노드를 배포합니다.

원하는 경우, 네트워크 설정 구성을 건너뛰고 하이브리드 데이터 보안 VM 설정 에 설명된 단계를 따라 노드 콘솔에서 설정을 구성할 수 있습니다.

OVA 배포 중 네트워크 설정을 구성하는 옵션은 ESXi 7.0에서 테스트되었습니다. 이전 버전에서 해당 옵션을 사용하지 못할 수도 있습니다.

11

노드 VM을 오른쪽 클릭한 후 전원 > 전원 켜기를 선택합니다.

하이브리드 데이터 보안 소프트웨어는 VM 호스트에 손님으로 설치됩니다. 이제 콘솔에 로그인하고 노드를 구성할 준비가 되었습니다.

문제 해결하기 추가 정보

노드 포함자가 시작되기 전에 몇 분 정도 지연이 발생할 수도 있습니다. 첫 번째 부팅 중에 콘솔에 브리지 방화벽 메시지가 나타나며, 로그인할 수 없습니다.

하이브리드 데이터 보안 VM 설정

이 절차를 사용하여 처음으로 하이브리드 데이터 보안 노드 VM 콘솔에 로그인하고 로그인 자격 증명을 설정합니다. OVA 배포 시 구성하지 않은 경우 콘솔을 사용하여 노드에 대한 네트워크 설정을 구성할 수도 있습니다.

1

VMware vSphere 클라이언트에서 하이브리드 데이터 보안 노드 VM을 선택하고 콘솔 탭을 선택합니다.

VM이 부팅되고 로그인 프롬프트가 나타납니다. 로그인 프롬프트가 표시되지 않는 경우엔 Enter를 누릅니다.
2

다음 기본 로그인 및 비밀번호를 사용하여 로그인하고 자격 증명을 변경합니다.

  1. 로그인: admin

  2. 비밀번호: cisco

VM에 처음으로 로그인하고 있기 때문에 관리자 비밀번호를 변경하도록 요구받습니다.

3

HDS 호스트 OVA 설치에서 이미 네트워크 설정을 구성한 경우, 이 절차의 나머지 부분은 건너뜁니다. 그렇지 않으면 기본 메뉴에서 구성 편집 옵션을 선택합니다.

4

IP 주소, 마스크, 게이트웨이 및 DNS 정보로 정적 구성을 설정합니다. 노드에는 내부 IP 주소 및 DNS 이름이 있어야 합니다. DHCP는 지원되지 않습니다.

5

(선택 사항) 필요한 경우, 네트워크 정책과 일치하도록 호스트이름, 도메인 또는 NTP 서버를 변경합니다.

X.509 인증서를 얻는 데 사용된 도메인과 일치하도록 도메인을 설정할 필요는 없습니다.

6

네트워크 구성을 저장하고 VM을 다시 부팅하여 변경 사항을 적용합니다.

HDS 구성 ISO 업로드 및 마운트

HDS 설정 도구로 생성한 ISO 파일에서 가상 머신을 구성하려면 이 절차를 따르십시오.

시작하기 전에

ISO 파일은 마스터 키를 갖고 있기 때문에 이는 하이브리드 데이터 보안 VM 및 변경해야 할 수 있는 관리자가 액세스하기 위해 "알아야 할 것"으로만 노출되어야 합니다. 해당 관리자만 데이터스토어에 액세스할 수 있는지 확인하십시오.

1

컴퓨터에서 ISO 파일을 업로드합니다.

  1. VMware vSphere 클라이언트의 왼쪽 네비게이션 분할 창에서 ESXi 서버를 클릭합니다.

  2. 구성 탭의 하드웨어 목록에서 스토리지를 클릭합니다.

  3. 데이터스토어 목록에서 VM용 데이터스토어를 오른쪽 클릭하고 데이터스토어 찾아보기를 클릭합니다.

  4. 파일 업로드 아이콘을 클릭한 후 파일 업로드을 클릭합니다.

  5. 컴퓨터에서 ISO 파일을 다운로드한 위치를 찾고 열기를 클릭합니다.

  6. 를 클릭하여 업로드/다운로드 작업 경고를 수락하고 데이터스토어 대화 상자를 닫습니다.

2

ISO 파일을 마운트합니다.

  1. VMware vSphere 클라이언트의 왼쪽 네비게이션 분할 창에서 VM을 오른쪽 클릭하고 설정 편집을 클릭합니다.

  2. 확인을 클릭하여 제한된 편집 옵션 경고를 수락합니다.

  3. CD/DVD 드라이브 1을 클릭하고 데이터스토어 ISO 파일에서 마운트하기 위한 옵션을 선택한 후 구성 ISO 파일을 업로드한 위치를 찾습니다.

  4. 연결됨시동될 때 연결을 체크합니다.

  5. 변경 내용을 저장하고 가상 머신을 재부팅합니다.

다음에 수행할 작업

IT 정책에서 요구하는 경우, 모든 노드에서 구성 변경 사항을 적용한 후에 선택적으로 ISO 파일을 마운트 해제할 수 있습니다. 자세한 내용은 (선택 사항) HDS 구성 후 ISO 마운트 해제 를 참조하십시오.

프록시 통합에 대해 HDS 노드 구성

네트워크 환경에 프록시가 필요한 경우, 이 절차를 사용하여 하이브리드 데이터 보안에 통합하고자 하는 프록시의 유형을 지정합니다. 투명 검사 프록시 또는 HTTPS 명시적 프록시를 선택하는 경우, 노드의 인터페이스를 사용하여 루트 인증서를 업로드하고 설치할 수 있습니다. 인터페이스에서 프록시 연결을 확인하고 잠재적인 문제를 해결할 수도 있습니다.

시작하기 전에

1

웹 브라우저에서 HDS 노드 설정 URL https://[HDS Node IP 또는 FQDN]/setup을 입력하고, 노드에 대해 설정한 관리 자격 증명을 입력한 후 로그인을 클릭합니다.

2

신뢰 저장소 및 프록시로 이동한 후 옵션을 선택합니다.

  • 프록시 없음—프록시를 통합하기 전에 기본 옵션입니다. 인증서를 업데이트하지 않아도 됩니다.
  • 투명 비-검사 프록시—노드가 특정 프록시 서버 주소를 사용하도록 구성되지 않았으며, 비-검사 프록시에서 작동하도록 변경하지 않아도 됩니다. 인증서를 업데이트하지 않아도 됩니다.
  • 투명 검사 프록시—노드가 특정 프록시 서버 주소를 사용하도록 구성되지 않았습니다. 하이브리드 데이터 보안 배포에서 HTTPS 구성을 변경하지 않아도 됩니다. 단, HDS 노드에 루트 인증서가 있어야 프록시를 신뢰할 수 있습니다. 일반적으로 검사 프록시는 IT가 어떤 웹사이트를 방문할 수 있는지 및 어떤 유형의 콘텐츠가 허용되는지에 대한 정책을 적용하기 위해 사용됩니다. 이러한 유형의 프록시는 모든 트래픽(HTTPS 포함)을 해독합니다.
  • 명시적 프록시—명시적 프록시를 사용하여 클라이언트(HDS 노드)에게 어떤 프록시 서버를 사용할지 알리고, 이 옵션은 다양한 인증 유형을 지원합니다. 이 옵션을 선택한 후 다음 정보를 입력해야 합니다.

    1. 프록시 IP/FQDN—프록시 머신에 연결하기 위해 사용될 수 있는 주소입니다.

    2. 프록시 포트—프록시가 프록시된 트래픽을 수신하기 위해 사용하는 포트 번호입니다.

    3. 프록시 프로토콜http (클라이언트로부터 수신된 모든 요청을 확인하고 제어) 또는 https (서버에 채널을 제공하고 클라이언트는 서버의 인증서를 수신 및 확인)를 선택합니다. 프록시 서버가 지원하는 내용에 따라 옵션을 선택합니다.

    4. 인증 유형—다음 인증 유형 중에서 선택합니다.

      • 없음—추가 인증이 필요하지 않습니다.

        HTTP 또는 HTTPS 프록시를 사용할 수 있습니다.

      • 기본—요청을 할 때 HTTP 사용자 에이전트가 사용자 이름 및 비밀번호를 제공하기 위해 사용됩니다. Base64 인코딩을 사용합니다.

        HTTP 또는 HTTPS 프록시를 사용할 수 있습니다.

        이 옵션을 선택하는 경우, 사용자 이름 및 비밀번호도 입력해야 합니다.

      • 다이제스트—민감한 정보를 보내기 전에 계정을 확인하기 위해 사용됩니다. 네트워크를 통해 전송하기 전에 사용자 이름 및 비밀번호에 해시 기능을 적용합니다.

        HTTPS 프록시에 대해서만 사용할 수 있습니다.

        이 옵션을 선택하는 경우, 사용자 이름 및 비밀번호도 입력해야 합니다.

투명 검사 프록시, 기본 인증이 포함된 HTTP 명시적 프록시 또는 HTTPS 명시적 프록시에 대해서는 다음 단계를 따르십시오.

3

루트 인증서 또는 최종 엔터티 인증서 업로드를 클릭한 후 탐색하여 프록시에 대한 루트 인증서를 선택합니다.

인증서가 업로드되었지만 아직 설치되지 않았습니다. 인증서를 설치하려면 노드를 재부팅해야 합니다. 인증서 발급자 이름 옆에 있는 갈매기 모양 화살표를 클릭하여 자세한 내용을 확인합니다. 실수가 있었거나 파일을 다시 업로드하려는 경우엔 삭제를 클릭합니다.

4

프록시 연결 확인을 클릭하여 노드와 프록시 간의 네트워크 연결을 테스트합니다.

연결 테스트에 실패하는 경우, 이유 및 문제를 해결할 수 있는 방법을 표시하는 오류 메시지가 나타납니다.

외부 DNS 확인에 실패했다는 메시지가 나타나면 노드가 DNS 서버에 연결하지 못한 것입니다. 이 조건은 다양한 명시적 프록시 구성에서 예상되는 작동입니다. 설정을 계속 진행할 수 있으며, 노드는 차단된 외부 DNS 확인 모드로 작동하게 됩니다. 이 작업이 오류라고 생각하시면 다음 단계를 완료한 후 차단된 외부 DNS 확인 모드 끄기를 참조하십시오.

5

연결 테스트를 통과한 후 https로만 설정된 명시적 프록시에 대해 설정을 토글하여 이 노드의 모든 포트 443/444 https 요청을 명시적 프록시를 통해 라우팅합니다. 이 설정이 적용될 때까지 15초 정도 소요됩니다.

6

모든 인증서를 신뢰 저장소에 설치(HTTPS 명시적 프록시 또는 투명 검사 프록시에 대해 나타남) 또는 재부팅(HTTP 명시적 프록시에 대해 나타남)을 클릭하고 안내를 읽은 후 준비되었을 때 설치를 클릭합니다.

노드는 몇 분 내에 재부팅됩니다.

7

노드가 재부팅되면 필요에 따라 다시 로그인한 후 개요 페이지를 열어 연결을 확인하고 모두 녹색 상태인지 확인합니다.

프록시 연결 확인은 webex.com의 하위 도메인만 테스트합니다. 연결에 문제가 있는 경우, 설치 지시 사항에 나열된 일부 클라우드 도메인이 프록시에서 차단되는 것은 일반적인 문제입니다.

클러스터에서 첫 번째 노드 등록

이 작업은 하이브리드 데이터 보안 VM 설정에서 생성한 일반적인 노드를 적용하고, Webex 클라우드에 노드를 등록한 후 하이브리드 데이터 보안 노드로 변경합니다.

첫 번째 노드를 등록할 때 해당 노드가 지정된 클러스터를 만듭니다. 클러스터에는 중복성을 제공하기 위해 배포된 한 개 이상의 노드가 포함되어 있습니다.

시작하기 전에

  • 노드의 등록을 시작하면 60분 이내에 완료해야 합니다. 그렇지 않으면 처음부터 다시 시작해야 합니다.

  • 브라우저에 팝업 차단기가 비활성화되었는지 또는 admin.webex.com에 대한 예외를 허용했는지 확인하십시오.

1

https://admin.webex.com에 로그인합니다.

2

화면의 왼쪽에 있는 메뉴에서 서비스를 선택합니다.

3

클라우드 서비스 섹션에서 하이브리드 데이터 보안 카드를 찾고 설정을 클릭합니다.

4

페이지가 열리면 리소스 추가를 클릭합니다.

5

노드 추가 카드의 첫 번째 필드에 하이브리드 데이터 보안 노드를 지정할 클러스터의 이름을 입력합니다.

지리적으로 클러스터의 노드가 위치한 장소에 기반하여 클러스터의 이름을 지정할 것을 권장합니다. 예: "San Francisco" 또는 "New York" 또는 "Dallas"

6

두 번째 필드에서 노드의 내부 IP 주소 또는 정규화된 도메인 이름(FQDN)을 입력하고 화면의 하단에서 추가 를 클릭합니다.

이 IP 주소 또는 FQDN은 하이브리드 데이터 보안 VM 설정에서 사용한 IP 주소 또는 호스트 이름 및 도메인과 일치해야 합니다.

Webex에 노드를 등록할 수 있음을 가리키는 메시지가 나타납니다.
7

노드로 이동을 클릭합니다.

잠시 후에 Webex 서비스에 대한 노드 연결 테스트로 리디렉션됩니다. 모든 테스트에 성공하면 하이브리드 데이터 보안 노드에 대한 액세스 허용 페이지가 나타납니다. 여기에서 Webex 조직에 노드에 액세스할 수 있는 권한을 부여하고자 함을 확인합니다.

8

하이브리드 데이터 보안 노드에 액세스 허용 체크 박스에 체크한 후 계속을 클릭합니다.

계정의 유효성이 검증되고 "등록 완료" 메시지는 이제 노드가 Webex 클라우드에 등록되었음을 가리킵니다.
9

링크를 클릭하거나 탭을 닫아 Partner Hub 하이브리드 데이터 보안 페이지로 다시 돌아갑니다.

하이브리드 데이터 보안 페이지에서 등록한 노드가 포함된 새로운 클러스터가 리소스 탭 아래에 표시됩니다. 노드는 클라우드에서 자동으로 최신 소프트웨어를 다운로드합니다.

추가 노드를 만들고 등록

클러스터에 노드를 추가하려면 추가 VM을 만들고 동일한 구성 ISO 파일을 마운트한 후 노드를 등록하기만 하면 됩니다. 최소한 3개의 노드를 구성할 것을 권장합니다.

시작하기 전에

  • 노드의 등록을 시작하면 60분 이내에 완료해야 합니다. 그렇지 않으면 처음부터 다시 시작해야 합니다.

  • 브라우저에 팝업 차단기가 비활성화되었는지 또는 admin.webex.com에 대한 예외를 허용했는지 확인하십시오.

1

OVA에서 새로운 가상 머신을 만들고 HDS 호스트 OVA 설치에 설명된 단계를 반복합니다.

2

새로운 VM에서 초기 구성을 설정하고 하이브리드 데이터 보안 VM 설정에 설명된 단계를 반복합니다.

3

새로운 VM에서 HDS 구성 ISO 업로드 및 설치에 설명된 단계를 반복합니다.

4

배포에 대해 프록시를 설정하고 있는 경우, 새로운 노드에 대해 필요에 따라 프록시 통합에 대해 HDS 노드 구성 에 설명된 단계를 반복합니다.

5

노드를 등록합니다.

  1. https://admin.webex.com에서 화면 왼쪽의 메뉴에 있는 서비스를 선택합니다.

  2. 클라우드 서비스 섹션에서 하이브리드 데이터 보안 카드를 찾고 모두 보기를 클릭합니다.

    하이브리드 데이터 보안 리소스 페이지가 나타납니다.

  3. 새롭게 생성된 클러스터는 리소스 페이지에 나타납니다.

  4. 클러스터에 할당된 노드를 확인하려면 클러스터를 클릭합니다.

  5. 화면의 오른쪽에서 노드 추가 를 클릭합니다.

  6. 노드의 내부 IP 주소 또는 정규화된 도메인 이름(FQDN)을 입력하고 추가를 클릭합니다.

    Webex 클라우드에 노드를 등록할 수 있음을 나타내는 메시지가 포함된 페이지가 열립니다. 잠시 후에 Webex 서비스에 대한 노드 연결 테스트로 리디렉션됩니다. 모든 테스트에 성공하면 하이브리드 데이터 보안 노드에 대한 액세스 허용 페이지가 나타납니다. 여기에서 조직에 노드에 액세스할 수 있는 권한을 부여하고자 함을 확인합니다.

  7. 하이브리드 데이터 보안 노드에 액세스 허용 체크 박스에 체크한 후 계속을 클릭합니다.

    계정의 유효성이 검증되고 "등록 완료" 메시지는 이제 노드가 Webex 클라우드에 등록되었음을 가리킵니다.

  8. 링크를 클릭하거나 탭을 닫아 Partner Hub 하이브리드 데이터 보안 페이지로 다시 돌아갑니다.

    노드 추가됨 팝업 메시지는 Partner Hub의 화면 하단에도 나타납니다.

    노드가 등록되었습니다.

멀티 테넌트 하이브리드 데이터 보안에서 테넌트 조직 관리

Partner Hub에서 멀티 테넌트 HDS 활성화

이 작업은 고객 조직의 모든 사용자가 온-프레미스 암호화 키 및 기타 보안 서비스에 대해 HDS를 사용하기 시작할 수 있게 합니다.

시작하기 전에

필요한 노드의 수로 멀티 테넌트 HDS 클러스터 설정을 완료했는지 확인합니다.

1

https://admin.webex.com에 로그인합니다.

2

화면의 왼쪽에 있는 메뉴에서 서비스를 선택합니다.

3

클라우드 서비스 섹션에서 하이브리드 데이터 보안을 찾고 설정 편집을 클릭합니다.

4

HDS 상태 카드에서 HDS 활성화 를 클릭합니다.

Partner Hub에서 테넌트 조직 추가

이 작업에서 하이브리드 데이터 보안 클러스터에 고객 조직을 지정합니다.

1

https://admin.webex.com에 로그인합니다.

2

화면의 왼쪽에 있는 메뉴에서 서비스를 선택합니다.

3

클라우드 서비스 섹션에서 하이브리드 데이터 보안을 찾고 모두 보기를 클릭합니다.

4

고객을 지정하고자 하는 클러스터를 클릭합니다.

5

지정된 고객 탭으로 이동합니다.

6

고객 추가를 클릭합니다.

7

드롭다운 메뉴에서 추가할 고객을 선택합니다.

8

추가를 클릭하면 고객이 클러스터에 추가됩니다.

9

6~8단계를 반복하여 여러 고객을 클러스터에 추가합니다.

10

고객을 추가한 후 화면의 하단에서 완료 를 클릭합니다.

다음에 수행할 작업

HDS 설정 도구를 사용하여 고객 기본 키(CMK) 만들기 에 설명된 대로 HDS 설정 도구를 실행하여 설치 과정을 완료합니다.

HDS 설정 도구를 사용하여 고객 기본 키(CMK) 만들기

시작하기 전에

Partner Hub에서 테넌트 조직 추가에 설명된 대로 고객을 적합한 클러스터에 지정합니다. HDS 설정 도구를 실행하여 새롭게 추가된 고객 조직에 대한 설정 과정을 완료합니다.

  • HDS 설정 도구는 로컬 머신에서 Docker 컨테이너로 실행됩니다. 액세스하려면 해당 머신에서 Docker를 실행합니다. 설치 과정에는 조직에 대한 전체 관리자 권한이 있는 Partner Hub 계정의 자격 증명이 필요합니다.

    HDS 설정 도구가 귀하의 환경에서 프록시 뒤에서 실행되는 경우, 5 단계에서 Docker 컨테이너를 가져올 때 Docker 환경 변수를 통해 프록시 설정(서버, 포트, 자격 증명)을 제공합니다. 이 표는 몇 가지 환경 변수를 제공합니다.

    설명

    변수

    인증되지 않은 HTTP 프록시

    글로벌_에이전트_HTTP_PROXY=http://SERVER_IP:PORT

    인증되지 않은 HTTPS 프록시

    글로벌_에이전트_HTTPS_PROXY=http://SERVER_IP:PORT

    인증된 HTTP 프록시

    글로벌_에이전트_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

    인증된 HTTPS 프록시

    글로벌_에이전트_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

  • 생성하는 구성 ISO 파일에는 PostgreSQL 또는 Microsoft SQL Server 데이터베이스를 암호화하는 마스터 키가 포함되어 있습니다. 다음과 같은 구성을 변경할 때마다 이 파일의 최신 복사본이 필요합니다.

    • 데이터베이스 자격 증명

    • 인증서 업데이트

    • 인증 정책에 대한 변경 사항

  • 데이터베이스 연결을 암호화하는 경우 TLS용 PostgreSQL 또는 SQL Server 배포를 설정합니다.

하이브리드 데이터 보안 설정 프로세스는 ISO 파일을 만듭니다. 그 후 ISO를 사용하여 하이브리드 데이터 보안 호스트를 구성합니다.

1

머신의 명령줄에 사용자 환경에 적합한 명령을 입력합니다.

일반 환경:

docker rmi ciscocitg/hds-setup:안정

FedRAMP 환경:

도커 rmi ciscocitg/hds-setup-fedramp:stable

이 단계에서는 이전 HDS 설정 도구 이미지를 정리합니다. 이전 이미지가 없는 경우 무시할 수 있는 오류를 반환합니다.

2

Docker 이미지 레지스트리에 로그인하려면 다음을 입력합니다.

도커 로그인 -u hdscustomersro
3

비밀번호 프롬프트에 이 해시를 입력합니다.

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo는
4

사용자 환경에 맞는 최신 안정 이미지를 다운로드합니다.

일반 환경:

docker pull ciscocitg/hds-setup:안정

FedRAMP 환경:

docker pull ciscocitg/hds-setup-fedramp:안정
5

풀이 완료되면 사용자 환경에 적합한 명령을 입력합니다.

  • 프록시가 없는 일반 환경:

    도커 실행 -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

  • HTTP 프록시가 있는 일반 환경:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • HTTPS 프록시가 있는 일반 환경에서는:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • 프록시가 없는 FedRAMP 환경:

    도커 실행 -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • HTTP 프록시가 있는 FedRAMP 환경:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • HTTPS 프록시가 있는 FedRAMP 환경:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

컨테이너가 실행 중일 때 "포트 8080에서 수신하는 Express 서버"가 표시됩니다.

6

설정 도구는 http://localhost:8080을 통해 localhost에 연결하는 것을 지원하지 않습니다. http://127.0.0.1:8080 을(를) 사용하여 로컬 호스트에 연결합니다.

웹 브라우저를 사용하여 localhost, http://127.0.0.1:8080(으)로 이동하고 프롬프트에 Partner Hub의 관리 사용자 이름을 입력합니다.

이 도구는 사용자 이름의 이 첫 번째 항목을 사용하여 해당 계정에 적합한 환경을 설정합니다. 그런 다음 도구는 표준 로그인 프롬프트를 표시합니다.

7

안내를 받으면 Partner Hub 관리자 로그인 자격 증명을 입력한 후 로그인 을 클릭하여 하이브리드 데이터 보안에 필요한 서비스에 대한 액세스를 허용합니다.

8

설정 도구 개요 페이지에서 시작하기를 클릭합니다.

9

ISO 가져오기 페이지에서 를 클릭합니다.

10

브라우저에서 ISO 파일을 선택하고 업로드합니다.

CMK 관리를 수행하려면 데이터베이스에 대한 연결을 확인하십시오.
11

테넌트 CMK 관리 탭으로 이동하여 다음 세 가지 방법으로 테넌트 CMK를 관리할 수 있습니다.

  • 모든 조직에 대해 CMK 만들기 또는 CMK 만들기 - 화면의 상단에 있는 배너에서 이 버튼을 클릭하여 새롭게 추가된 모든 조직에 대해 CMK를 만듭니다.
  • 화면의 오른쪽에서 CMK 관리 버튼을 클릭하고 CMK 만들기 를 클릭하여 새롭게 추가된 모든 조직에 대해 CMK를 만듭니다.
  • 표에서 특정 조직의 CMK 관리 보류 중 상태 근처에 있는 …를 클릭하고 CMK 만들기 를 클릭하여 해당 조직에 대해 CMK를 만듭니다.
12

CMK 만들기에 성공하면 표의 상태는 CMK 관리 보류 중 에서 CMK 관리로 변경됩니다.

13

CMK 만들기에 실패하면 오류가 표시됩니다.

테넌트 조직 제거

시작하기 전에

제거되면 고객 조직의 사용자는 암호화 요구에 대해 HDS를 활용할 수 없으며 기존의 모든 스페이스를 잃게 됩니다. 고객 조직을 제거하기 전에 Cisco 파트너 또는 계정 관리자에게 문의하십시오.

1

https://admin.webex.com에 로그인합니다.

2

화면의 왼쪽에 있는 메뉴에서 서비스를 선택합니다.

3

클라우드 서비스 섹션에서 하이브리드 데이터 보안을 찾고 모두 보기를 클릭합니다.

4

리소스 탭에서 고객 조직을 제거할 클러스터를 클릭합니다.

5

페이지가 열리면 지정된 고객을 클릭합니다.

6

표시되는 고객 조직의 목록에서 제거하고자 하는 고객 조직의 오른쪽에 있는 ... 을 클릭하고 클러스터에서 제거를 클릭합니다.

다음에 수행할 작업

HDS에서 제거된 테넌트의 CMK 취소에 설명된 대로 고객 조직의 CMK를 취소하여 제거 프로세스를 완료합니다.

HDS에서 제거된 테넌트의 CMK를 취소합니다.

시작하기 전에

테넌트 조직 제거에 설명된 대로 적합한 클러스터에서 고객을 제거합니다. 제거된 고객 조직에 대한 제거 과정을 완료하려면 HDS 설정 도구를 실행하십시오.

  • HDS 설정 도구는 로컬 머신에서 Docker 컨테이너로 실행됩니다. 액세스하려면 해당 머신에서 Docker를 실행합니다. 설치 과정에는 조직에 대한 전체 관리자 권한이 있는 Partner Hub 계정의 자격 증명이 필요합니다.

    HDS 설정 도구가 귀하의 환경에서 프록시 뒤에서 실행되는 경우, 5 단계에서 Docker 컨테이너를 가져올 때 Docker 환경 변수를 통해 프록시 설정(서버, 포트, 자격 증명)을 제공합니다. 이 표는 몇 가지 환경 변수를 제공합니다.

    설명

    변수

    인증되지 않은 HTTP 프록시

    글로벌_에이전트_HTTP_PROXY=http://SERVER_IP:PORT

    인증되지 않은 HTTPS 프록시

    글로벌_에이전트_HTTPS_PROXY=http://SERVER_IP:PORT

    인증된 HTTP 프록시

    글로벌_에이전트_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

    인증된 HTTPS 프록시

    글로벌_에이전트_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

  • 생성하는 구성 ISO 파일에는 PostgreSQL 또는 Microsoft SQL Server 데이터베이스를 암호화하는 마스터 키가 포함되어 있습니다. 다음과 같은 구성을 변경할 때마다 이 파일의 최신 복사본이 필요합니다.

    • 데이터베이스 자격 증명

    • 인증서 업데이트

    • 인증 정책에 대한 변경 사항

  • 데이터베이스 연결을 암호화하는 경우 TLS용 PostgreSQL 또는 SQL Server 배포를 설정합니다.

하이브리드 데이터 보안 설정 프로세스는 ISO 파일을 만듭니다. 그 후 ISO를 사용하여 하이브리드 데이터 보안 호스트를 구성합니다.

1

머신의 명령줄에 사용자 환경에 적합한 명령을 입력합니다.

일반 환경:

docker rmi ciscocitg/hds-setup:안정

FedRAMP 환경:

도커 rmi ciscocitg/hds-setup-fedramp:stable

이 단계에서는 이전 HDS 설정 도구 이미지를 정리합니다. 이전 이미지가 없는 경우 무시할 수 있는 오류를 반환합니다.

2

Docker 이미지 레지스트리에 로그인하려면 다음을 입력합니다.

도커 로그인 -u hdscustomersro
3

비밀번호 프롬프트에 이 해시를 입력합니다.

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo는
4

사용자 환경에 맞는 최신 안정 이미지를 다운로드합니다.

일반 환경:

docker pull ciscocitg/hds-setup:안정

FedRAMP 환경:

docker pull ciscocitg/hds-setup-fedramp:안정
5

풀이 완료되면 사용자 환경에 적합한 명령을 입력합니다.

  • 프록시가 없는 일반 환경:

    도커 실행 -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

  • HTTP 프록시가 있는 일반 환경:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • HTTPS 프록시가 있는 일반 환경에서는:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • 프록시가 없는 FedRAMP 환경:

    도커 실행 -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • HTTP 프록시가 있는 FedRAMP 환경:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • HTTPS 프록시가 있는 FedRAMP 환경:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

컨테이너가 실행 중일 때 "포트 8080에서 수신하는 Express 서버"가 표시됩니다.

6

설정 도구는 http://localhost:8080을 통해 localhost에 연결하는 것을 지원하지 않습니다. http://127.0.0.1:8080 을(를) 사용하여 로컬 호스트에 연결합니다.

웹 브라우저를 사용하여 localhost, http://127.0.0.1:8080(으)로 이동하고 프롬프트에 Partner Hub의 관리 사용자 이름을 입력합니다.

이 도구는 사용자 이름의 이 첫 번째 항목을 사용하여 해당 계정에 적합한 환경을 설정합니다. 그런 다음 도구는 표준 로그인 프롬프트를 표시합니다.

7

안내를 받으면 Partner Hub 관리자 로그인 자격 증명을 입력한 후 로그인 을 클릭하여 하이브리드 데이터 보안에 필요한 서비스에 대한 액세스를 허용합니다.

8

설정 도구 개요 페이지에서 시작하기를 클릭합니다.

9

ISO 가져오기 페이지에서 를 클릭합니다.

10

브라우저에서 ISO 파일을 선택하고 업로드합니다.

11

테넌트 CMK 관리 탭으로 이동하여 다음 세 가지 방법으로 테넌트 CMK를 관리할 수 있습니다.

  • 모든 조직에 대해 CMK 취소 또는 CMK 취소 - 화면 상단에 있는 배너에서 이 버튼을 클릭하여 제거된 모든 조직의 CMK를 취소합니다.
  • 화면의 오른쪽에서 CMK 관리 버튼을 클릭하고 CMK 취소 를 클릭하여 제거된 모든 조직의 CMK를 취소합니다.
  • 표에서 특정 조직의 취소될 CMK 상태 근처에서 을 클릭하고 CMK 취소 를 클릭하여 해당 특정 조직에 대한 CMK를 취소합니다.
12

CMK 해지 작업에 성공하면 고객 조직은 더 이상 표에 나타나지 않습니다.

13

CMK 해지 실패하면 오류가 표시됩니다.

하이브리드 데이터 보안 배포 테스트

하이브리드 데이터 보안 배포 테스트

멀티 테넌트 하이브리드 데이터 보안 암호화 시나리오를 테스트하려면 이 절차를 사용하십시오.

시작하기 전에

  • 멀티 테넌트 하이브리드 데이터 보안 배포를 설정합니다.

  • 키 요청이 멀티 테넌트 하이브리드 데이터 보안 배포에 전달되고 있는지 확인하려면 syslog에 액세스할 수 있는지 확인합니다.

1

특정 스페이스에 대한 키는 스페이스의 생성자가 설정합니다. 고객 조직 사용자 중 하나로 Webex 앱에 로그인한 후 스페이스를 만듭니다.

하이브리드 데이터 보안 배포를 비활성화하는 경우, 클라이언트 캐시된 암호화 키의 복사본이 교체되면 사용자가 생성하는 스페이스에 있는 콘텐츠에 더 이상 액세스할 수 없습니다.

2

새로운 스페이스로 메시지를 보내십시오.

3

syslog 출력을 확인하여 키 요청이 하이브리드 데이터 보안 배포에 전달되고 있는지 확인합니다.

  1. 사용자가 먼저 KMS에 보안 채널을 설정하는지 확인하려면 kms.data.method=createkms.data.type=EPHEMERAL_KEY_COLLECTION을 필터링합니다.

    다음과 같은 입력값을 검색해야 합니다(가독성을 위해 식별자는 짧게 표현됨).
    2020-07-21 17:35:34.562 (+0000) 정보 KMS [pool-14-thread-1] - [KMS:REQUEST] 수신됨, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

  2. KMS에서 기존의 키를 요청하는 사용자를 확인하려면 kms.data.method=retrievekms.data.type=KEY를 필터링합니다.

    다음과 같은 입력값을 검색해야 합니다.
    2020-07-21 17:44:19.889 (+0000) 정보 KMS [pool-14-thread-31] - [KMS:REQUEST] 수신됨, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

  3. 새로운 KMS 키 생성을 요청하는 사용자를 확인하려면 kms.data.method=createkms.data.type=KEY_COLLECTION에서 필터링합니다.

    다음과 같은 입력값을 검색해야 합니다.
    2020-07-21 17:44:21.975 (+0000) 정보 KMS [pool-14-thread-33] - [KMS:REQUEST] 수신됨, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

  4. 스페이스 또는 다른 보호된 리소스가 생성될 때 새로운 KMS 리소스 개체(KRO)의 만들기를 요청하는 사용자를 확인하려면 kms.data.method=createkms.data.type=RESOURCE_COLLECTION에서 필터링하십시오.

    다음과 같은 입력값을 검색해야 합니다. 
    2020-07-21 17:44:22.808 (+0000) 정보 KMS [pool-15-thread-1] - [KMS:REQUEST] 수신됨, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

하이브리드 데이터 보안 상태 모니터

Partner Hub 내의 상태 표시기는 멀티 테넌트 하이브리드 데이터 보안 배포가 모두 양호한지 여부를 표시합니다. 보다 적극적으로 경고를 받으려면 이메일 알림을 신청하십시오. 서비스에 영향을 미치는 경보 또는 소프트웨어 업그레이드가 있을 때 알림을 받습니다.
1

Partner Hub의 화면 왼쪽에 있는 메뉴에서 서비스 를 선택합니다.

2

클라우드 서비스 섹션에서 하이브리드 데이터 보안을 찾고 설정 편집을 클릭합니다.

하이브리드 데이터 보안 설정 페이지가 나타납니다.
3

이메일 알림 섹션에서 한 개 이상의 이메일 주소를 쉼표로 구분하여 입력하고 Enter를 누릅니다.

HDS 배포 관리

HDS 배포 관리

하이브리드 데이터 보안 배포를 관리하려면 여기에 설명된 작업을 사용하십시오.

클러스터 업그레이드 예약 설정

하이브리드 데이터 보안에 대한 소프트웨어 업그레이드는 클러스터 수준에서 자동으로 실행되며, 이는 모든 노드가 항상 동일한 소프트웨어 버전을 실행하게 합니다. 업그레이드는 클러스터에 대한 업그레이드 스케줄에 따라 실행됩니다. 소프트웨어 업그레이드가 사용 가능해지면 예약된 업그레이드 시간 전에 클러스터를 수동으로 업그레이드할 수 있는 옵션이 주어집니다. 특정 업그레이드 스케줄을 설정하거나 미국: 아메리카/로스앤젤레스 매일 3:00 AM 기본 스케줄을 사용할 수 있습니다. 필요에 따라 예정된 업그레이드를 연기하도록 선택할 수도 있습니다.

업그레이드 예약을 설정하려면:

1

Partner Hub에 로그인합니다.

2

화면의 왼쪽에 있는 메뉴에서 서비스를 선택합니다.

3

클라우드 서비스 섹션에서 하이브리드 데이터 보안을 찾고 설정을 클릭합니다.

4

하이브리드 데이터 보안 리소스 페이지에서 클러스터를 선택합니다.

5

클러스터 설정 탭을 클릭합니다.

6

클러스터 설정 페이지의 업그레이드 예약 아래에서 업그레이드 예약에 대한 시간 및 시간대를 선택합니다.

참고: 시간대 아래에 다음 사용 가능한 업그레이드 날짜 및 시간이 표시됩니다. 필요한 경우, 24시간 연기를 클릭하여 업그레이드를 다음 날로 연기할 수 있습니다.

노드 구성 변경

경우에 따라 다음과 같은 이유로 하이브리드 데이터 보안 노드의 구성을 변경해야 할 수도 있습니다.

  • 만료 또는 기타 이유로 인해 x.509 인증서 변경.

    인증서의 CN 도메인 이름 변경을 지원하지 않습니다. 도메인은 클러스터에 등록하기 위해 사용된 원래 도메인과 일치해야 합니다.

  • PostgreSQL 또는 Microsoft SQL Server 데이터베이스의 복제본으로 변경하도록 데이터베이스 설정 업데이트.

    PostgreSQL에서 Microsoft SQL Server로 또는 그 반대로 데이터 마이그레이션을 지원하지 않습니다. 데이터베이스 환경을 전환하려면 하이브리드 데이터 보안의 새로운 배포를 시작합니다.

  • 새 데이터 센터를 준비하기 위해 새 구성 생성.

또한 보안상의 이유로 하이브리드 데이터 보안은 수명이 9개월인 서비스 계정 비밀번호를 사용합니다. HDS 설정 도구가 이러한 비밀번호를 생성하면 이를 ISO 구성 파일의 각 HDS 노드에 배포합니다. 조직의 비밀번호 만료일이 가까워지면 Webex 팀으로부터 머신 계정의 비밀번호를 재설정하라는 통지를 받습니다. (이메일에는 "머신 계정 API를 사용하여 비밀번호를 업데이트합니다."라는 텍스트가 포함됩니다.) 비밀번호가 아직 만료되지 않은 경우 도구는 다음 두 가지 옵션을 제공합니다.

  • 소프트 재설정—이전 비밀번호 및 새로운 비밀번호 모두 최대 10일 동안 작동합니다. 이 기간을 사용하여 노드에서 ISO 파일을 점진적으로 교체합니다.

  • 하드 재설정—이전 비밀번호가 즉시 작동하지 않습니다.

비밀번호가 재설정 없이 만료되는 경우 HDS 서비스에 영향을 미치므로 즉시 하드 재설정을 수행하고 모든 노드에서 ISO 파일을 교체해야 합니다.

새 구성 ISO 파일을 생성하고 클러스터에 적용하려면 이 절차를 따르십시오.

시작하기 전에

  • HDS 설정 도구는 로컬 머신에서 Docker 컨테이너로 실행됩니다. 액세스하려면 해당 머신에서 Docker를 실행합니다. 설치 과정에는 파트너 전체 관리자 권한이 있는 Partner Hub 계정의 자격 증명이 필요합니다.

    HDS 설정 도구가 귀하의 환경에서 프록시 뒤에서 실행되는 경우, 1.e에서 Docker 컨테이너를 가져올 때 Docker 환경 변수를 통해 프록시 설정(서버, 포트, 자격 증명)을 제공합니다. 이 표는 몇 가지 환경 변수를 제공합니다.

    설명

    변수

    인증되지 않은 HTTP 프록시

    글로벌_에이전트_HTTP_PROXY=http://SERVER_IP:PORT

    인증되지 않은 HTTPS 프록시

    글로벌_에이전트_HTTPS_PROXY=http://SERVER_IP:PORT

    인증된 HTTP 프록시

    글로벌_에이전트_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

    인증된 HTTPS 프록시

    글로벌_에이전트_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

  • 새 구성을 생성하려면 현재 구성 ISO 파일의 사본이 필요합니다. ISO에는 PostgreSQL 또는 Microsoft SQL Server 데이터베이스를 암호화하는 마스터 키가 포함되어 있습니다. 데이터베이스 자격 증명, 인증서 업데이트 또는 인증 정책 변경을 포함하여 구성을 변경할 때 ISO가 필요합니다.

1

로컬 머신에서 Docker를 사용하여 HDS 설정 도구를 실행합니다.

  1. 머신의 명령줄에 사용자 환경에 적합한 명령을 입력합니다.

    일반 환경:

    docker rmi ciscocitg/hds-setup:안정

    FedRAMP 환경:

    도커 rmi ciscocitg/hds-setup-fedramp:stable

    이 단계에서는 이전 HDS 설정 도구 이미지를 정리합니다. 이전 이미지가 없는 경우 무시할 수 있는 오류를 반환합니다.

  2. Docker 이미지 레지스트리에 로그인하려면 다음을 입력합니다.

    도커 로그인 -u hdscustomersro

  3. 비밀번호 프롬프트에 이 해시를 입력합니다.

    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo는

  4. 사용자 환경에 맞는 최신 안정 이미지를 다운로드합니다.

    일반 환경:

    docker pull ciscocitg/hds-setup:안정

    FedRAMP 환경:

    docker pull ciscocitg/hds-setup-fedramp:안정

    이 절차에 대해 최신 설정 도구를 사용하고 있는지 확인하십시오. 2018년 2월 22일 이전에 생성된 도구의 버전에는 비밀번호 재설정 화면이 없습니다.

  5. 풀이 완료되면 사용자 환경에 적합한 명령을 입력합니다.

    • 프록시가 없는 일반 환경:

      도커 실행 -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

    • HTTP 프록시가 있는 일반 환경:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • HTTPS 프록시가 있는 일반 환경:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • 프록시가 없는 FedRAMP 환경:

      도커 실행 -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

    • HTTP 프록시가 있는 FedRAMP 환경:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    • HTTPS 프록시가 있는 FedRAMP 환경:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    컨테이너가 실행 중일 때 "포트 8080에서 수신하는 Express 서버"가 표시됩니다.

  6. 브라우저를 사용하여 로컬 호스트 http://127.0.0.1:8080에 연결합니다.

    설정 도구는 http://localhost:8080을 통해 localhost에 연결하는 것을 지원하지 않습니다. http://127.0.0.1:8080 을(를) 사용하여 로컬 호스트에 연결합니다.

  7. 안내를 받으면 Partner Hub 고객 로그인 자격 증명을 입력한 후 수락 을 클릭하여 계속합니다.

  8. 현재 구성 ISO 파일을 가져옵니다.

  9. 안내에 따라 도구를 완료하고 업데이트된 파일을 다운로드합니다.

    설정 도구를 종료하려면 CTRL + C 조합을 입력합니다.

  10. 다른 데이터 센터에서 업데이트된 파일의 백업 복사본을 만듭니다.

2

실행 중인 HDS 노드가 한 개만 있는 경우, 새로운 하이브리드 데이터 보안 노드 VM을 만들고 새로운 구성 ISO 파일을 사용하여 등록합니다. 자세한 안내는 추가 노드 만들기 및 등록을 참조하십시오.

  1. HDS 호스트 OVA를 설치합니다.

  2. HDS VM을 설정합니다.

  3. 업데이트된 구성 파일을 마운트합니다.

  4. Partner Hub에서 새로운 노드를 등록합니다.

3

이전 구성 파일을 실행하고 있는 기존 HDS 노드의 경우 ISO 파일을 탑재합니다. 각 노드에서 다음 절차를 차례로 수행하여 다음 노드를 끄기 전에 각 노드를 업데이트합니다.

  1. 가상 머신의 전원을 끕니다.

  2. VMware vSphere 클라이언트의 왼쪽 네비게이션 분할 창에서 VM을 오른쪽 클릭하고 설정 편집을 클릭합니다.

  3. CD/DVD 드라이브 1을 클릭하고 ISO 파일에서 마운트하기 위한 옵션을 선택한 후 새 구성 ISO 파일을 다운로드한 위치를 찾습니다.

  4. 시동될 때 연결을 체크합니다.

  5. 변경 사항을 저장하고 가상 머신의 전원을 켭니다.

4

이전 구성을 실행하고 있는 나머지 각 노드에서 구성을 바꾸려면 3 단계를 반복하십시오.

차단된 외부 DNS 확인 모드 끄기

노드를 등록하거나 노드의 프록시 구성을 확인할 때 프로세스는 Cisco Webex 클라우드에 대한 DNS 조회 및 연결을 테스트합니다. 노드의 DNS 서버에서 공용 DNS 이름을 확인할 수 없는 경우, 노드는 자동으로 차단된 외부 DNS 확인 모드로 지정됩니다.

노드에서 내부 DNS 서버를 통해 공용 DNS 이름을 확인할 수 있는 경우, 각 노드에서 프록시 연결 테스트를 다시 실행하여 이 모드를 끌 수 있습니다.

시작하기 전에

내부 DNS 서버가 공용 DNS 이름을 확인할 수 있으며, 노드가 해당 서버와 통신할 수 있는지 확인합니다.
1

웹 브라우저에서 하이브리드 데이터 보안 노드 인터페이스(IP 주소/설정을 엽니다. 예: https://192.0.2.0/setup), 노드에 대해 설정한 관리 자격 증명을 입력한 후 로그인을 클릭합니다.

2

개요 (기본 페이지)로 이동합니다.

활성화되면 차단된 외부 DNS 확인로 설정됩니다.

3

신뢰 저장소 및 프록시 페이지로 이동합니다.

4

프록시 연결 확인을 클릭합니다.

외부 DNS 확인에 실패했다는 메시지가 나타나면 노드가 DNS 서버에 연결하지 못한 것이며, 이 모드에서 유지됩니다. 그렇지 않은 경우, 노드를 재부팅하고 개요 페이지로 돌아가면 차단된 외부 DNS 확인은 아니요로 설정됩니다.

다음에 수행할 작업

하이브리드 데이터 보안 클러스터의 각 노드에서 프록시 연결 테스트를 반복합니다.

노드 제거

Webex 클라우드에서 하이브리드 데이터 보안 노드를 제거하려면 이 절차를 사용하십시오. 클러스터에서 노드를 제거한 후 가상 머신을 삭제하여 보안 데이터에 대한 추가 액세스를 방지합니다.
1

컴퓨터에서 VMware vSphere 클라이언트를 사용하여 ESXi 가상 호스트에 로그인하고 가상 머신의 전원을 끕니다.

2

노드를 제거합니다.

  1. Partner Hub에 로그인한 후 서비스를 선택합니다.

  2. 하이브리드 데이터 보안 카드에서 모두 보기 를 클릭하여 하이브리드 데이터 보안 리소스 페이지를 표시합니다.

  3. 클러스터를 선택하여 개요 목록을 표시합니다.

  4. 제거할 노드를 클릭합니다.

  5. 오른쪽에 나타나는 목록에서 이 노드 등록 해제 를 클릭합니다.

  6. 노드의 오른쪽에서…을 클릭하고 이 노드 제거를 선택하여 노드의 등록을 해제할 수도 있습니다.

3

vSphere 클라이언트에서 VM을 삭제합니다. (왼쪽 네비게이션 분할 창에서 VM을 오른쪽 클릭하고 삭제를 클릭합니다.)

VM을 삭제하지 않는 경우 구성 ISO 파일을 마운트 해제하십시오. ISO 파일이 없으면 VM을 사용하여 보안 데이터에 액세스할 수 없습니다.

대기 데이터 센터를 사용하여 장애 복구

하이브리드 데이터 보안 클러스터에서 제공하는 가장 중요한 서비스는 메시지 및 Webex 클라우드에 저장된 기타 콘텐츠를 암호화하는 데 사용되는 키를 만들고 저장하는 것입니다. 하이브리드 데이터 보안에 지정된 조직 내의 각 사용자에 대해 새로운 키 만들기 요청은 클러스터로 라우팅됩니다. 또한 클러스터는 생성된 키를 검색할 권한이 있는 모든 사용자(예: 대화 스페이스의 구성원)에게 해당 키를 반환해야 합니다.

클러스터는 이러한 키를 제공하는 중요한 기능을 수행하므로, 클러스터가 계속 실행되고 올바른 백업이 유지관리되어야 합니다. 하이브리드 데이터 보안 데이터베이스나 스키마에 대해 사용된 구성 ISO가 손실되면 고객 콘텐츠가 복구할 수 없게 됩니다. 다음 실행은 이러한 유실을 방지하기 위해 필수적입니다.

장애가 발생하여 기본 데이터 센터에서 HDS 배포를 사용할 수 없게 하는 경우, 이 절차를 따라 대기 데이터 센터로 수동으로 장애 조치하십시오.

시작하기 전에

노드 제거에서 언급한 대로 Partner Hub에서 모든 노드를 등록 해제합니다. 이전에 활성 상태였던 클러스터의 노드에 대해 구성된 최신 ISO 파일을 사용하여 아래에 언급한 장애 조치 절차를 수행합니다.
1

HDS 설정 도구를 시작하고 HDS 호스트에 대해 구성 ISO 만들기에서 언급한 단계를 따릅니다.

2

구성 프로세스를 완료하고 쉽게 찾을 수 있는 위치에 ISO 파일을 저장합니다.

3

로컬 시스템에서 ISO 파일의 백업 복사본을 만듭니다. 백업 복사본을 안전하게 유지합니다. 이 파일에는 데이터베이스 콘텐츠에 대한 마스터 암호화 키가 포함됩니다. 구성을 변경해야 하는 하이브리드 데이터 보안 관리자에게만 액세스를 제한합니다.

4

VMware vSphere 클라이언트의 왼쪽 네비게이션 분할 창에서 VM을 오른쪽 클릭하고 설정 편집을 클릭합니다.

5

설정 편집 > CD/DVD 드라이브 1 을 클릭하고 데이터스토어 ISO 파일을 선택합니다.

노드를 시작한 후에 업데이트된 구성 변경 사항이 적용될 수 있도록 연결됨시동 시 연결 이 체크되었는지 확인하십시오.

6

HDS 노드를 시동하고 최소한 15분 동안 경보가 없는지 확인하십시오.

7

Partner Hub에서 노드를 등록합니다. 클러스터에서 첫 번째 노드 등록을 참조하십시오.

8

대기 데이터 센터의 모든 노드에 대해 프로세스를 반복합니다.

다음에 수행할 작업

장애 조치 후 기본 데이터 센터가 다시 활성화되면 대기 데이터 센터의 노드를 등록 해제하고 상단에 언급한 대로 기본 데이터 센터의 노드 등록 및 ISO 구성 및 등록 과정을 반복합니다.

(선택 사항) HDS 구성 후 ISO 제거

표준 HDS 구성은 ISO가 장착된 상태에서 실행됩니다. 그러나 일부 고객은 ISO 파일을 계속 마운트하지 않는 것을 선호합니다. 모든 HDS 노드가 새로운 구성을 적용하면 ISO 파일을 마운트 해제할 수 있습니다.

여전히 ISO 파일을 사용하여 구성을 변경합니다. 설정 도구를 통해 새로운 ISO를 만들거나 ISO를 업데이트할 때 모든 HDS 노드에 업데이트된 ISO를 마운트해야 합니다. 모든 노드에서 구성 변경 사항을 적용하면 이 절차를 사용하여 ISO를 다시 마운트 해제할 수 있습니다.

시작하기 전에

모든 HDS 노드를 버전 2021.01.22.4720 이상으로 업그레이드하십시오.

1

HDS 노드 중 하나를 종료합니다.

2

vCenter Server Appliance에서 HDS 노드를 선택합니다.

3

설정 편집 > CD/DVD 드라이브 를 선택하고 데이터스토어 ISO 파일을 체크 해제합니다.

4

HDS 노드를 시동하고 20분 이상 알람이 없는지 확인합니다.

5

각 HDS 노드에 대해 차례로 반복합니다.

하이브리드 데이터 보안 문제 해결하기

경고 보기 및 문제 해결하기

클러스터의 모든 노드에 연결할 수 없거나 클러스터가 너무 느리게 작동하여 시간 초과를 요청하는 경우 하이브리드 데이터 보안 배포를 사용할 수 없는 것으로 간주됩니다. 사용자가 하이브리드 데이터 보안 클러스터에 연결할 수 없는 경우, 다음 증상을 경험합니다.

  • 새로운 스페이스가 생성되지 않음 (새 키를 만들 수 없음)

  • 다음 경우에 대해 메시지 및 스페이스 제목을 해독하지 못함:

    • 새로운 사용자가 스페이스에 추가됨 (키를 페치할 수 없음)

    • 스페이스에서 기존의 사용자가 새로운 클라이언트 사용 (키를 페치할 수 없음)

  • 스페이스에 있는 기존의 사용자는 클라이언트에 암호화 키의 캐시가 있는 한 계속 성공적으로 실행함

서비스가 중단되지 않게 하려면 하이브리드 데이터 보안 클러스터를 올바르게 모니터링하고 경고를 즉시 해결하는 것이 중요합니다.

경고

하이브리드 데이터 보안 설정에 문제가 있는 경우, Partner Hub는 조직 관리자에게 경고를 표시하고 구성된 이메일 주소로 이메일을 보냅니다. 경고는 여러 가지 일반적인 상황을 다룹니다.

표 1. 일반적인 문제 및 문제를 해결하기 위한 단계

경고

작업

로컬 데이터베이스 액세스 실패.

데이터베이스 오류 또는 로컬 네트워크 문제를 확인합니다.

로컬 데이터베이스 연결 실패.

데이터베이스 서버를 사용할 수 있는지, 노드 구성에서 올바른 서비스 계정 자격 증명이 사용되고 있는지 확인합니다.

클라우드 서비스 액세스 실패.

외부 연결 요구 사항에 지정된 대로 노드가 Webex 서버에 액세스할 수 있는지 확인합니다.

클라우드 서비스 등록을 갱신하는 중.

클라우드 서비스로의 등록이 중단됩니다. 현재 등록을 갱신하는 중.

클라우드 서비스 등록이 중단됩니다.

클라우드 서비스로의 등록이 종료됩니다. 서비스가 종료됩니다.

서비스가 아직 활성화되지 않았습니다.

Partner Hub에서 Hds를 활성화합니다.

구성된 도메인이 서버 인증서와 일치하지 않습니다.

서버 인증서가 구성된 서비스 활성화 도메인과 일치하는지 확인합니다.

원인은 최근에 인증서 CN이 변경되었으며 현재 초기 설정 중에 사용된 CN과 다른 CN이 사용되고 있기 때문일 가능성이 높습니다.

클라우드 서비스에 인증하지 못함.

정확성 및 서비스 계정 자격 증명의 만료일을 확인합니다.

로컬 키 저장소 파일을 열지 못함.

로컬 키 저장소 파일에서 무결성 및 비밀번호 정확성을 확인합니다.

로컬 서버 인증서가 유효하지 않습니다.

서버 인증서의 만료 날짜를 확인하고, 신뢰할 수 있는 인증 기관에서 발행한 것인지 확인합니다.

메트릭을 게시할 수 없음.

외부 클라우드 서비스로의 로컬 네트워크 액세스를 확인합니다.

/media/configdrive/hds 디렉토리가 존재하지 않습니다.

가상 호스트에서 ISO 마운트 구성을 확인합니다. ISO 파일이 존재하는지 확인하고, 해당 파일이 재부팅 시에 마운트하도록 구성되었는지, 성공적으로 마운트되는지를 확인합니다.

추가된 조직에 대해 테넌트 조직 설정이 완료되지 않음

HDS 설정 도구를 사용하여 새롭게 추가된 테넌트 조직에 대해 CMK를 생성하여 설정을 완료하십시오.

제거된 조직에 대해 테넌트 조직 설정이 완료되지 않음

HDS 설정 도구를 사용하여 제거된 테넌트 조직의 CMK를 취소하여 설정을 완료하십시오.

하이브리드 데이터 보안 문제 해결하기

하이브리드 데이터 보안의 문제를 해결할 때 다음 일반적인 안내를 사용하십시오.
1

Partner Hub를 확인하여 경고를 확인하고 여기에서 찾을 수 있는 항목을 수정하십시오. 참조에 대해서는 아래 이미지를 참조하십시오.

2

하이브리드 데이터 보안 배포에서 활동에 대한 syslog 서버 출력을 확인합니다. 문제 해결에 도움이 되도록 "경고" 및 "오류"와 같은 단어를 필터링합니다.

3

Cisco 고객 지원으로 연락합니다.

기타 메모

하이브리드 데이터 보안 알려진 문제

  • 하이브리드 데이터 보안 클러스터를 Partner Hub에서 삭제하거나 모든 노드를 종료하는 경우, 구성 ISO 파일을 잃거나 키 저장소 데이터베이스에 액세스할 수 없는 경우, 고객 조직의 WeBEX 앱 사용자는 더 이상 KMS의 키로 생성된 사용자 목록 아래에 있는 스페이스를 사용할 수 없습니다. 현재 이 문제에 대한 해결 방법은 없으며, HDS 서비스에서 활동 중인 사용자 계정을 처리하고 있는 경우에 해당 서비스를 종료하지 말 것을 강조합니다.

  • KMS에 대한 기존의 ECDH 연결이 있는 클라이언트는 특정 기간(1시간 정도) 동안 해당 연결을 유지합니다.

OpenSSL을 사용하여 PKCS12 파일 생성

시작하기 전에

  • OpenSSL은 HDS 설정 도구에서 로딩하기 위해 PKCS12 파일을 적합한 형식으로 만드는 데 사용할 수 있는 도구입니다. 이 작업을 실행할 수 있는 다른 방법이 있으며, 특정 방법을 더 지원하거나 홍보하지 않습니다.

  • OpenSSL을 사용하도록 선택한 경우, 이 절차를 X.509 인증서 요구 사항에서 X.509 인증서 요구 사항을 충족하는 파일을 만드는 데 도움이 되는 가이드라인으로 제공합니다. 진행하기 전에 다음 요구 사항을 숙지하십시오.

  • 지원되는 환경에서 OpenSSL을 설치합니다. 소프트웨어 및 문서에 대해서는 https://www.openssl.org을(를) 참조하십시오.

  • 비공개 키를 만듭니다.

  • 인증 기관(CA)으로부터 서버 인증서를 수신한 후에 이 절차를 시작하십시오.

1

인증 기관(CA)으로부터 서버 인증서를 수신한 후 hdsnode.pem으로 저장합니다.

2

인증서를 텍스트로 표시하고 세부 사항을 확인합니다.

openssl x509 -text -noout -in hdsnode.pem

3

텍스트 편집기를 사용하여 hdsnode-bundle.pem으로 칭하는 인증서 번들 파일을 만듭니다. 번들 파일에는 서버 인증서, 모든 중간 CA 인증서 및 루트 CA 인증서가 아래의 형식으로 포함되어야 합니다.

-----인증서 시작----- ### 서버 인증서. ### -----인증서 종료---- -----인증서 시작----- ### 중간 CA 인증서. ### -----인증서 종료---- -----인증서 시작----- ### 루트 ca 인증서. ### -----인증서 종료-----

4

쉽게 알 수 있는 이름인 kms-private-key로 .p12 파일을 만듭니다.

openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

5

서버 인증서 세부 사항을 확인합니다.

  1. openssl pkcs12 -in hdsnode.p12

  2. 안내에 따라 비밀번호를 입력하여 비공개 키를 암호화하고 출력에 표시되게 합니다. 그 후 비공개 키 및 첫 번째 인증서에 friendlyName: kms-private-key 줄이 포함되었는지 확인합니다.

    예:

    bash$ openssl pkcs12 -in hdsnode.p12 가져오기 비밀번호 입력: MAC이 다음 항목을 확인: OK Bag 속성 friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 키 속성:  PEM 암호 구문 입력: 확인 중 - PEM 암호 입력: -----암호화된 비공개 키 시작-----  -----암호화된 비공개 키 종료------ 백 속성 friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 SUBJECT=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt/CN=Let's Encrypt Authority X3 ------BEGIN CERTIFICATE-----  -----END CERTIFICATE------ Bag 속성 friendly이름: CN=Authority X3 암호화,O=Let's 암호화,C=US subject=/C=US/O=Let's Encrypt/CN=Authority X3 issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3 ------인증서 시작-----  -----인증서 종료------

다음에 수행할 작업

하이브리드 데이터 보안에 대한 전제 조건 완료로 돌아갑니다. hdsnode.p12 파일 및 해당 파일에 대해 설정한 비밀번호를 HDS 호스트에 대해 구성 ISO 만들기에서 사용합니다.

원래 인증서가 만료될 때 이러한 파일을 다시 사용하여 새 인증서를 요청할 수 있습니다.

HDS 노드 및 클라우드 간 트래픽

아웃바운드 메트릭 수집 트래픽

하이브리드 데이터 보안 노드는 특정 메트릭을 Webex 클라우드로 보냅니다. 여기에는 최대 힙, 사용된 힙, CPU 로드 및 스레드 수에 대한 시스템 메트릭이 포함됩니다. 또한 동기적 스레드 및 비동기적 스레드에 대한 메트릭, 암호화 연결, 대시 시간 또는 요청 대기열 길이의 임계값과 관련된 경고에 대한 메트릭, 데이터스토어 관련 메트릭 및 암호화 연결 메트릭도 포함됩니다. 노드는 대역 외(요청과 별개) 채널을 통해 암호화된 키 자료를 보냅니다.

인바운드 트래픽

하이브리드 데이터 보안 노드는 Webex 클라우드에서 다음 유형의 인바운드 트래픽을 수신합니다.

  • 클라이언트로부터 암호화 요청. 암호화 서비스에서 라우트됨

  • 노드 소프트웨어로 업그레이드

하이브리드 데이터 보안에 대해 Squid 프록시 구성

웹 소켓은 Squid 프록시를 통해 연결할 수 없음

HTTPS 트래픽을 검사하는 Squid 프록시는 하이브리드 데이터 보안에서 요구하는 웹소켓(wss:) 연결을 설정하는 데 방해가 될 수 있습니다. 다음 섹션에서는 서비스가 올바르게 작동하도록 다양한 버전의 Squid에서 wss: 트래픽을 무시하도록 구성하는 방법에 대한 안내를 제공합니다.

Squid 4 및 5

on_unsupported_protocolsquid.conf에 지시어를 추가합니다.

on_unsupported_protocol 모두 터널

Squid 3.5.27

squid.com에 추가된 다음 규칙으로 하이브리드 데이터 보안을 성공적으로 테스트했습니다. 이 규칙은 기능을 개발하고 Webex 클라우드를 업데이트 함에 따라 변경될 수도 있습니다.

acl wssMercuryConnection ssl::server_name_regex 수성 연결 ssl_bump 스플라이스 wssMercuryConnection acl step1 at_step SslBump1 acl step2 at_step SslBump2 acl step3 at_step SslBump3 ssl_bump 엿보기 step1 ssl_bump stare step2 ssl_bump bump step3 all

새 정보 및 변경된 정보

새 정보 및 변경된 정보

이 표는 새로운 기능 또는 기능, 기존의 콘텐츠에 대한 변경 사항 및 멀티 테넌트 하이브리드 데이터 보안의 배포 안내서에서 수정된 주요 오류를 설명합니다.

날짜

변경 사항 적용됨

2025년 1월 15일 목요일

멀티 테넌트 하이브리드 데이터 보안의 제한 사항을 추가했습니다.

2025년 1월 8일 목요일

초기 설정 실행 및 설치 파일 다운로드 에 Partner Hub에서 HDS 카드에서 설정 을 클릭하면 설치 프로세스의 중요한 단계임을 알리는 메모를 추가했습니다.

2025년 1월 7일 목요일

ESXi 7.0의 새로운 요구 사항을 표시하기 위해 가상 호스트 요구 사항, 하이브리드 데이터 보안 배포 작업 흐름HDS 호스트 OVA 설치 를 업데이트했습니다.

2024년 12월 13일 목요일

처음으로 공개되었습니다.

멀티 테넌트 하이브리드 데이터 보안 비활성화

멀티 테넌트 HDS 비활성화 작업 흐름

멀티 테넌트 HDS를 완전히 비활성화하려면 다음 단계를 따르십시오.

시작하기 전에

이 작업은 파트너 전체 관리자가 실행해야 합니다.
1

테넌트 조직 제거에서 언급한 대로 모든 클러스터에서 모든 고객을 제거합니다.

2

HDS에서 제거된 테넌트의 CMK 취소에서 언급한 대로 모든 고객의 CMK를 취소합니다.

3

노드 제거에서 언급한 대로 모든 클러스터에서 모든 노드를 제거합니다.

4

다음 두 가지 방법 중 하나를 사용하여 Partner Hub에서 모든 클러스터를 삭제합니다.

  • 삭제할 클러스터를 클릭하고 개요 페이지의 상단 오른쪽 모서리에서 이 클러스터 삭제 를 선택합니다.
  • 리소스 페이지에서 클러스터의 오른쪽에 있는 …을 클릭하고 클러스터 제거를 선택합니다.
5

하이브리드 데이터 보안 개요 페이지에서 설정 탭을 클릭하고 HDS 상태 카드에서 HDS 비활성화 를 클릭합니다.

멀티 테넌트 하이브리드 데이터 보안 시작하기

멀티 테넌트 하이브리드 데이터 보안 개요

처음부터 데이터 보안은 Webex 앱 설계에 있어 가장 중점적인 부분이었습니다. 이 보안의 토대는 KMS(Key Management Service)와 상호 작용하는 Webex 앱 클라이언트가 활성화하는 종단 간 콘텐츠 암호화입니다. KMS는 클라이언트가 메시지 및 파일을 동적으로 암호화하고 해독하는 데 사용하는 암호화 키를 만들고 관리합니다.

기본적으로 모든 Webex 앱 고객은 Cisco의 보안 영역에 있는 클라우드 KMS에 저장된 동적인 키로 종단 간 암호화를 사용합니다. 하이브리드 데이터 보안은 KMS 및 기타 보안 관련 기능을 기업의 데이터 센터로 이동시키기 때문에 암호화된 콘텐츠에는 귀하만 접근할 수 있습니다.

멀티 테넌트 하이브리드 데이터 보안 을 통해 조직은 신뢰할 수 있는 로컬 파트너를 통해 HDS를 활용할 수 있습니다. 이는 서비스 제공자 역할을 하고 온-프레미스 암호화 및 기타 보안 서비스를 관리할 수 있습니다. 이 설정을 통해 파트너 조직은 암호화 키의 배포 및 관리를 완전히 제어할 수 있으며, 고객 조직의 사용자 데이터가 외부 액세스로부터 안전한지 확인합니다. 파트너 조직은 필요에 따라 HDS 인스턴스를 설정하고 HDS 클러스터를 만듭니다. 각 인스턴스는 한 개의 조직으로 제한되는 일반 HDS 배포와 달리 다수의 고객 조직을 지원할 수 있습니다.

파트너 조직은 배포 및 관리를 제어할 수 있지만, 고객이 생성한 데이터 및 콘텐츠에 액세스할 수 없습니다. 이 액세스는 고객 조직 및 사용자로 제한됩니다.

또한 데이터 센터와 같은 주요 관리 서비스 및 보안 인프라가 신뢰할 수 있는 로컬 파트너가 소유하고 있기 때문에 소규모 조직이 HDS를 활용할 수도 있습니다.

멀티 테넌트 하이브리드 데이터 보안이 데이터 주권 및 데이터 제어를 제공하는 방법

  • 사용자가 생성한 콘텐츠는 클라우드 서비스 공급자와 같은 외부 액세스로부터 보호됩니다.
  • 로컬 신뢰할 수 있는 파트너는 이미 설정된 관계를 갖고 있는 고객의 암호화 키를 관리합니다.
  • 파트너가 제공하는 경우 로컬 기술 지원에 대한 옵션.
  • 미팅, 메시징 및 통화 콘텐츠를 지원합니다.

이 문서는 파트너 조직이 멀티 테넌트 하이브리드 데이터 보안 시스템에서 고객을 설정하고 관리할 수 있게 지원하기 위한 것입니다.

멀티 테넌트 하이브리드 데이터 보안의 제한 사항

  • 파트너 조직에는 Control Hub에서 활동 중인 기존의 HDS 배포가 없어야 합니다.
  • 파트너가 관리하고자 하는 테넌트 또는 고객 조직은 Control Hub에 기존의 HDS 배포를 갖고 있지 않아야 합니다.
  • 파트너가 멀티 테넌트 HDS를 배포하면 고객 조직의 모든 사용자 및 파트너 조직의 사용자가 암호화 서비스에 멀티 테넌트 HDS를 사용하기 시작합니다.

    관리하는 파트너 조직 및 고객 조직은 동일한 멀티 테넌트 HDS 배포에 위치합니다.

    멀티 테넌트 HDS가 배포된 후에 파트너 조직은 더 이상 클라우드 KMS를 사용하지 않습니다.

  • HDS 배포 후 키를 다시 클라우드 KMS로 이동하는 메커니즘은 없습니다.
  • 현재 각 멀티 테넌트 HDS 배포에는 여러 노드가 포함된 한 개의 클러스터만 포함할 수 있습니다.
  • 관리자 역할에는 특정 제한 사항이 있습니다. 자세한 내용은 아래 섹션을 참조하십시오.

멀티 테넌트 하이브리드 데이터 보안의 역할

  • 파트너 전체 관리자 - 파트너가 관리하는 모든 고객에 대한 설정을 관리할 수 있습니다. 또한 조직의 기존 사용자에게 관리자 역할을 지정하고 파트너 관리자가 관리할 특정 고객을 지정할 수도 있습니다.
  • 파트너 관리자 - 관리자가 구축했거나 사용자에게 지정된 고객에 대한 설정을 관리할 수 있습니다.
  • 전체 관리자 - 조직 설정 수정, 라이센스 관리 및 역할 지정 등 작업을 수행할 수 있는 권한이 있는 파트너 조직의 관리자.
  • 모든 고객 조직의 종단 간 멀티 테넌트 HDS 설정 및 관리 - 파트너 전체 관리자 및 전체 관리자 권한이 필요합니다.
  • 지정된 테넌트 조직의 관리 - 파트너 관리자 및 전체 관리자 권한이 필요합니다.

보안 영역 아키텍처

Webex 클라우드 아키텍처는 아래와 같이 다른 유형의 서비스를 별도의 영역 또는 신뢰 도메인으로 구분합니다.

분리 영역 (하이브리드 데이터 보안 포함하지 않음)

하이브리드 데이터 보안을 더욱 잘 이해하기 위해 먼저 Cisco가 클라우드 영역에서 모든 기능을 제공하는 순수한 클라우드 사례를 살펴보겠습니다. 아이덴티티 서비스(사용자가 이메일 주소 등의 개인 정보와 직접 연관될 수 있는 유일한 장소)는 논리적, 물리적으로 데이터 센터 B에 있는 보안 영역과 분리됩니다. 따라서 두 부분 모두 데이터 센터 C에서 암호화된 콘텐츠가 궁극적으로 저장되는 영역과 분리됩니다.

이 다이어그램에서 클라이언트는 사용자의 노트북에서 실행되고 있는 Webex 앱이며, 아이덴티티 서비스로 인증되었습니다. 사용자가 스페이스에 보낼 메시지를 작성할 때 다음 단계가 실행됩니다.

  1. 클라이언트는 KMS(Key management service)를 사용하여 보안 연결을 설정한 후 메시지를 해독하기 위해 키를 요청합니다. 보안 연결은 ECDH를 사용하고, KMS는 AES-256 마스터 키를 사용하여 키를 암호화합니다.

  2. 메시지는 클라이언트에게 발송되기 전에 암호화됩니다. 클라이언트는 메시지를 인덱싱 서비스로 보내며, 여기에서 해당 콘텐츠에 대한 향후 검색에서 지원할 암호화된 검색 인덱스를 만듭니다.

  3. 암호화된 메시지는 규정 준수 확인을 위해 준수 서비스로 발송됩니다.

  4. 암호화된 메시지는 스토리지 영역에 저장됩니다.

하이브리드 데이터 보안을 배포할 때 보안 영역 기능(KMS, 인덱싱 및 규정 준수)을 온-프레미스 데이터 센터로 이동합니다. Webex를 구성하는 다른 클라우드 서비스(ID 및 콘텐츠 스토리지 포함)는 Cisco의 영역에 남아 있습니다.

다른 조직과 협업

조직에 있는 사용자는 정기적으로 Webex 앱을 사용하여 다른 조직에 있는 외부 참가자와 협업할 수도 있습니다. 해당 사용자가 귀하의 조직에서 소유하고 있는 스페이스에 대한 키를 요청하는 경우(귀사의 사용자 중의 한 명이 생성했기 때문), KMS는 ECDH 보안 채널을 통해 해당 클라이언트에게 키를 보냅니다. 단, 다른 조직에서 스페이스에 대한 키를 소유하고 있는 경우, KMS는 개별 ECDH 채널을 통해 요청을 WeBEX 클라우드로 라우트하여 적합한 KMS에서 키를 가져온 후 원래 채널에 있는 사용자에게 해당 키를 반환합니다.

조직 A에서 실행되고 있는 KMS 서비스는 X.509 PKI 인증서를 사용하여 다른 조직에서 KMS에 대한 연결을 검증합니다. 멀티 테넌트 하이브리드 데이터 보안 배포에서 사용할 x.509 인증서 생성에 대한 자세한 내용은 환경 준비 를 참조하십시오.

하이브리드 데이터 보안 배포에 대해 예상되는 부분

하이브리드 데이터 보안 배포에는 암호화 키를 소유하고 있는 위험성에 대한 확고한 약속과 인식이 필요합니다.

하이브리드 데이터 보안을 배포하려면 다음 항목을 제공해야 합니다.

하이브리드 데이터 보안에 대해 빌드하는 구성 ISO나 제공하는 데이터베이스를 완전히 잃으면 키를 잃게 됩니다. 키 손실은 사용자가 Webex 앱에서 스페이스 콘텐츠 및 기타 암호화된 데이터를 해독하지 못하게 합니다. 이러한 경우, 새로운 배포를 빌드할 수 있지만 새로운 콘텐츠만 표시됩니다. 데이터로의 액세스를 잃지 않으려면 다음을 실행하십시오.

  • 데이터베이스 및 구성 ISO의 백업 및 복구를 관리합니다.

  • 데이터베이스 디스크 오류 또는 데이터 센터 장애 등 재해가 발생할 경우 빠른 장애 복구를 수행할 수 있도록 준비하십시오.

HDS 배포 후 키를 다시 클라우드로 이동하는 메커니즘은 없습니다.

고급 설정 프로세스

이 문서는 멀티 테넌트 하이브리드 데이터 보안 배포의 설정 및 관리를 다룹니다.

  • 하이브리드 데이터 보안 설정—여기에는 필수 인프라 준비 및 하이브리드 데이터 보안 소프트웨어 설치, HDS 클러스터 만들기, 테넌트 조직을 클러스터에 추가 및 고객 기본 키(CMK) 관리 등이 포함됩니다. 이는 고객 조직의 모든 사용자가 보안 기능에 대해 하이브리드 데이터 보안 클러스터를 사용할 수 있게 합니다.

    설정, 활성화 및 관리 단계는 다음 세 장에서 자세히 다룹니다.

  • 하이브리드 데이터 보안 배포 유지—Webex 클라우드는 진행 중인 업그레이드를 자동으로 제공합니다. IT 부서는 이 배포에 대한 1단계 지원을 제공하고, 필요에 따라 Cisco 고객 지원과 작업할 수 있습니다. Partner Hub에서 화면에 알림을 사용하고 이메일 기반 경고를 설정할 수 있습니다.

  • 공통 경고, 문제 해결하기 단계 및 알려진 문제 이해하기—하이브리드 데이터 보안을 배포하거나 사용하는 데 문제가 발생하는 경우, 이 안내서의 마지막 장 및 알려진 문제 부록은 문제를 파악하고 수정하는 데 도움이 될 수 있습니다.

하이브리드 데이터 보안 배포 모델

기업 데이터 센터 내에서 개별 가상 호스트에 하이브리드 데이터 보안을 한 개의 노드로 배포합니다. 노드는 보안 웹소켓 및 보안 HTTP를 통해 Webex 클라우드와 통신합니다.

설치 과정 중에 귀하가 제공하는 VM에 가상 기기를 설정하기 위한 OVA 파일을 제공합니다. HDS Setup 도구를 사용하여 각 노드에서 마운트한 사용자 정의 클러스터 구성 ISO 파일을 만듭니다. 하이브리드 데이터 보안 클러스터는 제공된 Syslogd 서버 및 PostgreSQL 또는 Microsoft SQL Server 데이터베이스를 사용합니다. (HDS 설정 도구에서 Syslogd 및 데이터베이스 연결 세부 정보를 구성합니다.)

하이브리드 데이터 보안 배포 모델

한 개의 클러스터에 포함할 수 있는 최소한의 노드 수는 2개입니다. 클러스터당 최소한 세 개를 권장합니다. 여러 노드를 사용하면 노드에서 소프트웨어 업그레이드 또는 기타 유지관리 활동 중에 서비스가 중단되지 않도록 합니다. (Webex 클라우드는 한 번에 한 개의 노드만 업그레이드합니다.)

클러스터에 있는 모든 노드는 동일한 키 데이터스토어에 액세스하고, 동일한 시스로그 서버에 활동을 로그합니다. 노드 자체는 상태를 저장하지 않으며, 클라우드에서 디렉트된 대로 라운드 로빈 방법으로 키 요청을 처리합니다.

Partner Hub에서 노드를 등록하면 노드가 활성화됩니다. 개별 노드의 서비스를 중단시키려면 등록 해제하고 나중에 필요할 때 다시 등록할 수 있습니다.

재해 복구를 위한 대기 데이터 센터

배포 중에 보안 대기 데이터 센터를 설정합니다. 데이터 센터 장애 발생 시 대기 데이터 센터로 수동으로 배포를 실패할 수 있습니다.

장애 조치 전에 데이터 센터 A에 활성 HDS 노드 및 기본 PostgreSQL 또는 Microsoft SQL Server 데이터베이스가 있는 반면, B에 추가 구성이 포함된 ISO 파일의 사본, 조직에 등록된 VM 및 대기 데이터베이스가 있습니다. 장애 조치 후 데이터 센터 B에는 활성 HDS 노드 및 기본 데이터베이스가 있는 반면, A에 등록 해제된 VM 및 ISO 파일의 사본이 있으며, 데이터베이스는 대기 모드입니다.
대기 데이터 센터에 수동 장애 조치

활동 중 및 대기 데이터 센터의 데이터베이스가 서로 동기화되어 장애 조치를 수행하는 데 소요되는 시간을 최소화합니다.

활동 중인 하이브리드 데이터 보안 노드는 항상 활동 중인 데이터베이스 서버와 동일한 데이터 센터에 위치해야 합니다.

프록시 지원

하이브리드 데이터 보안은 명시적, 투명 검사 및 비-검사 프록시를 지원합니다. 해당 프록시를 배포에 연결하여 기업에서 클라우드로의 트래픽을 안전하게 보호하고 모니터링할 수 있습니다. 인증서 관리에 대해 노드에서 플랫폼 관리 인터페이스를 사용하고, 노드에서 프록시를 설정한 후 전반적인 연결 상태를 확인하기 위해 사용할 수 있습니다.

하이브리드 데이터 보안 노드는 다음 프록시 옵션을 지원합니다.

  • 프록시 없음—프록시를 통합하기 위해 HDS 노드 설정 신뢰 저장소 및 프록시 구성을 사용하지 않는 경우의 기본값입니다. 인증서를 업데이트하지 않아도 됩니다.

  • 투명 비-검사 프록시—노드가 특정 프록시 서버 주소를 사용하도록 구성되지 않았으며, 비-검사 프록시에서 작동하도록 변경하지 않아도 됩니다. 인증서를 업데이트하지 않아도 됩니다.

  • 투명 터널링 또는 검사 프록시—노드가 특정 프록시 서버 주소를 사용하도록 구성되지 않았습니다. 노드에서 HTTP 또는 HTTPS 구성을 변경하지 않아도 됩니다. 단, 노드에 루트 인증서가 있어야 프록시를 신뢰할 수 있습니다. 일반적으로 검사 프록시는 IT가 어떤 웹사이트를 방문할 수 있는지 및 어떤 유형의 콘텐츠가 허용되는지에 대한 정책을 적용하기 위해 사용됩니다. 이러한 유형의 프록시는 모든 트래픽(HTTPS 포함)을 해독합니다.

  • 명시적 프록시—명시적 프록시를 사용하여 HDS 노드에 어떤 프록시 서버 및 인증 체계를 사용하는지 알립니다. 명시적 프록시를 구성하려면 각 노드에 다음 정보를 입력해야 합니다.

    1. 프록시 IP/FQDN—프록시 머신에 연결하기 위해 사용될 수 있는 주소입니다.

    2. 프록시 포트—프록시가 프록시된 트래픽을 수신하기 위해 사용하는 포트 번호입니다.

    3. 프록시 프로토콜—프록시 서버에서 지원하는 내용에 따라 다음 프로토콜 중에서 선택합니다.

      • HTTP—클라이언트가 전송하는 모든 요청을 확인하고 제어합니다.

      • HTTPS—서버에 채널을 제공합니다. 클라이언트는 서버의 인증서를 수신하고 유효성을 검증합니다.

    4. 인증 유형—다음 인증 유형 중에서 선택합니다.

      • 없음—추가 인증이 필요하지 않습니다.

        HTTP 또는 HTTPS를 프록시 프로토콜로 선택하는 경우에 사용할 수 있습니다.

      • 기본—요청을 할 때 HTTP 사용자 에이전트가 사용자 이름 및 비밀번호를 제공하기 위해 사용됩니다. Base64 인코딩을 사용합니다.

        HTTP 또는 HTTPS를 프록시 프로토콜로 선택하는 경우에 사용할 수 있습니다.

        각 노드에서 사용자 이름 및 비밀번호를 입력하도록 요구합니다.

      • 다이제스트—민감한 정보를 보내기 전에 계정을 확인하기 위해 사용됩니다. 네트워크를 통해 전송하기 전에 사용자 이름 및 비밀번호에 해시 기능을 적용합니다.

        HTTPS를 프록시 프로토콜로 선택하는 경우에만 사용할 수 있습니다.

        각 노드에서 사용자 이름 및 비밀번호를 입력하도록 요구합니다.

하이브리드 데이터 보안 노드 및 프록시의 예제

이 다이어그램은 하이브리드 데이터 보안, 네트워크 및 프록시 간의 예제 연결을 표시합니다. 투명 검사 및 HTTPS 명시적 검사 프록시 옵션에 대해 프록시 및 하이브리드 데이터 보안 노드에 동일한 루트 인증서가 설치되어 있어야 합니다.

차단된 외부 DNS 확인 모드 끄기 (명시적 프록시 구성)

노드를 등록하거나 노드의 프록시 구성을 확인할 때 프로세스는 Cisco Webex 클라우드에 대한 DNS 조회 및 연결을 테스트합니다. 내부 클라이언트에 대해 외부 DNS 확인을 허용하지 않는 명시적인 프록시 구성이 포함된 배포에서 노드가 DNS 서버를 쿼리할 수 없는 경우, 이는 자동으로 차단된 외부 DNS 확인 모드로 지정됩니다. 이 모드에서 노드 등록 및 다른 프록시 연결 테스트를 진행할 수 있습니다.

환경 준비

멀티 테넌트 하이브리드 데이터 보안의 요구 사항

Cisco Webex 라이센스 요구 사항

멀티 테넌트 하이브리드 데이터 보안을 배포하려면:

  • 파트너 조직: Cisco 파트너 또는 계정 관리자에게 연락하고 멀티 테넌트 기능이 활성화되었는지 확인하십시오.

  • 테넌트 조직: Cisco Webex Control Hub용 Pro Pack을 사용해야 합니다. (참조: https://www.cisco.com/go/pro-pack)

Docker 데스크탑 요구 사항

HDS 노드를 설치하기 전에 설치 프로그램을 실행하려면 Docker 데스크탑이 필요합니다. Docker는 최근 라이센싱 모델을 업데이트했습니다. 조직에서 Docker 데스크탑에 대해 유료 가입을 요구할 수도 있습니다. 자세한 내용은 Docker 블로그 게시물 " Docker가 업데이트 중 및 제품 가입 연장하기를 참조합니다.

X.509 인증서 요구 사항

인증서 체인은 다음 요구 사항을 충족해야 합니다.

표 1. 하이브리드 데이터 보안 배포를 위한 X.509 인증서 요구 사항

요구 사항

세부 정보

  • 신뢰할 수 있는 인증 기관(CA)에서 서명함

기본적으로 Mozilla 목록에 있는 CA를 https://wiki.mozilla.org/CA:IncludedCAs에서 신뢰합니다(WoSign 및 StartCom 예외).

  • 하이브리드 데이터 보안 배포를 식별하는 CN(Common Name) 도메인 이름을 나타냅니다.

  • 와일드카드 인증서가 아님

CN은 연결되어야 하거나, 실시간 호스트일 필요가 없습니다. 조직을 반영하는 이름을 사용할 것을 권장합니다. 예: hds.company.com

CN에는 *(와일드카드)를 포함할 수 없습니다.

CN은 Webex 앱 클라이언트에 대해 하이브리드 데이터 보안 노드를 확인하기 위해 사용됩니다. 클러스터에 있는 모든 하이브리드 데이터 보안 노드는 동일한 인증서를 사용합니다. KMS는 x.509v3 SAN 필드에 정의된 도메인이 아닌 CN 도메인을 사용하여 자체적으로 식별합니다.

이 인증서를 사용하여 노드를 등록하면 CN 도메인 이름에 대한 변경을 지원하지 않습니다.

  • Non-SHA1 signature

KMS 소프트웨어는 다른 조직의 KMS에 연결을 확인하는 작업에 대해 SHA1 서명을 지원하지 않습니다.

  • 비밀번호로 보호된 PKCS #12 파일로 형식화됨

  • kms-private-key의 알기 쉬운 이름을 사용하여 인증서, 비공개 키 및 업로드할 중간 인증서에 태그를 지정합니다.

OpenSSL 등의 변환기를 사용하여 인증서 형식을 변경할 수 있습니다.

HDS 설정 도구를 실행할 때 비밀번호를 입력해야 합니다.

KMS 소프트웨어는 키 사용 또는 확장된 키 사용 제한을 강요하지 않습니다. 일부 인증 기관에서는 각 인증서에 서버 인증과 같은 확장된 키 사용 제한을 적용하도록 요구합니다. 서버 인증 또는 기타 설정을 사용해도 괜찮습니다.

가상 호스트 요구 사항

클러스터에서 하이브리드 데이터 보안 노드로 설정할 가상 호스트에는 다음 요구 사항이 있습니다.

  • 동일한 보안 데이터 센터에 최소한 두 개의 개별 호스트(3개 권장됨)가 배치됨

  • VMware ESXi 7.0(또는 이상)이 설치되고 실행 중입니다.

    이전 버전의 ESXi가 있는 경우 업그레이드해야 합니다.

  • 최소 4개 vCPU, 8GB 기본 메모리, 서버당 30GB 로컬 하드 디스크 공간

데이터베이스 서버 요구 사항

키 스토리지에 대한 새 데이터베이스를 만듭니다. 기본 데이터베이스를 사용하지 마십시오. HDS 응용프로그램을 설치하면 데이터베이스 스키마가 생성됩니다.

데이터베이스 서버에는 두 가지 옵션이 있습니다. 각 요구 사항은 다음과 같습니다.

표 2. 데이터베이스 유형별 데이터베이스 서버 요구 사항

PostgreSQL의

Microsoft SQL 서버

  • PostgreSQL 14, 15 또는 16 설치 및 실행.

  • SQL Server 2016, 2017 또는 2019(기업 또는 표준)이 설치되었습니다.

    SQL Server 2016에는 서비스 팩 2 및 누적 업데이트 2 이상이 필요합니다.

최소 8개 vCPU, 16GB 메인 메모리, 충분한 하드 디스크 공간 및 초과하지 않도록 모니터링(스토리지를 늘리지 않고도 장기간 데이터베이스를 실행하려는 경우 2TB 권장됨)

최소 8개 vCPU, 16GB 메인 메모리, 충분한 하드 디스크 공간 및 초과하지 않도록 모니터링(스토리지를 늘리지 않고도 장기간 데이터베이스를 실행하려는 경우 2TB 권장됨)

현재 HDS 소프트웨어는 데이터베이스 서버와의 통신을 위해 다음 드라이버 버전을 설치합니다.

PostgreSQL의

Microsoft SQL 서버

Postgres JDBC 드라이버 42.2.5

SQL 서버 JDBC 드라이버 4.6

이 드라이버 버전은 SQL Server 항상 켜기(페일오버 클러스터 인스턴스 항상 켜기가용성 그룹 항상 켜기)를 지원합니다.

Microsoft SQL Server에 대한 Windows 인증에 대한 추가 요구 사항

HDS 노드가 Windows 인증을 사용하여 Microsoft SQL Server에서 키 저장소 데이터베이스에 액세스하도록 하려는 경우, 환경에서 다음 구성이 필요합니다.

  • HDS 노드, Active Directory 인프라 및 MS SQL 서버는 모두 NTP와 동기화되어야 합니다.

  • HDS 노드에 제공하는 Windows 계정은 데이터베이스에 대한 읽기/쓰기 액세스 권한이 있어야 합니다.

  • HDS 노드에 제공하는 DNS 서버는 KDC(Key Distribution Center)를 확인할 수 있어야 합니다.

  • Microsoft SQL Server의 HDS 데이터베이스 인스턴스를 Active Directory의 SPN(Service Principal Name)으로 등록할 수 있습니다. Kerberos 연결에 대해 서비스 기본 이름 등록을 참조하십시오.

    HDS 설정 도구, HDS 실행기 및 로컬 KMS는 모두 Windows 인증을 사용하여 키 저장소 데이터베이스에 액세스해야 합니다. Kerberos 인증으로 액세스를 요청할 때 ISO 구성의 세부 정보를 사용하여 SPN을 구성합니다.

외부 연결 요구 사항

HDS 응용프로그램에 대해 다음 연결을 허용하도록 방화벽을 구성합니다.

응용프로그램

프로토콜

포트

앱에서 방향

대상

하이브리드 데이터 보안 노드

TCP

443

아웃바운드 HTTPS 및 WSS

  • Webex 서버:

    • *.wbx2.com

    • *.ciscospark.com

  • 모든 공통 ID 호스트

  • Webex 서비스의 네트워크 요구 사항Webex 하이브리드 서비스의 추가 URL 표에 하이브리드 데이터 보안에 나열된 기타 URL

HDS 설정 도구

TCP

443

아웃바운드 HTTPS

  • *.wbx2.com

  • 모든 공통 ID 호스트

  • hub.docker.com

NAT 또는 방화벽이 앞의 표에 있는 도메인 대상에 필요한 아웃바운드 연결을 허용하는 한, 하이브리드 데이터 보안 노드는 네트워크 액세스 변환(NAT) 또는 방화벽 내에서 작동합니다. 하이브리드 데이터 보안 노드로 인바운드되는 연결에 대해서는 인터넷에서 포트가 표시되지 말아야 합니다. 데이터 센터 내에서 클라이언트는 관리의 목적을 위해 TCP 포트 443 및 22에서 하이브리드 데이터 보안 노드에 액세스해야 합니다.

CI(공통 ID) 호스트에 대한 URL은 지역별로 다릅니다. 현재 CI 호스트는 다음과 같습니다.

지역

공통 ID 호스트 URL

미주

  • https://idbroker.webex.com

  • https://identity.webex.com

  • https://idbroker-b-us.webex.com

  • https://identity-b-us.webex.com

유럽 연합

  • https://idbroker-eu.webex.com

  • https://identity-eu.webex.com

캐나다

  • https://idbroker-ca.webex.com

  • https://identity-ca.webex.com

싱가포르

  • https://idbroker-sg.webex.com

  • https://identity-sg.webex.com

아랍에미리트

  • https://idbroker-ae.webex.com

  • https://identity-ae.webex.com

프록시 서버 요구 사항

  • 하이브리드 데이터 보안 노드에 통합할 수 있는 다음 프록시 솔루션을 공식적으로 지원합니다.

  • 명시적 프록시에 대해 다음 인증 유형 조합을 지원합니다.

    • HTTP 또는 HTTPS로 인증하지 않음

    • HTTP 또는 HTTPS로 기본 인증

    • HTTPS로만 다이제스트 인증

  • 투명 검사 프록시 또는 HTTPS 명시적 프록시에 대해 프록시 루트 인증서의 복사본이 있어야 합니다. 이 안내서의 배포 지시 사항은 하이브리드 데이터 보안 노드의 신뢰 저장소에 사본을 업로드하는 방법을 설명합니다.

  • HDS 노드를 호스트하는 네트워크는 포트 443의 아웃바운드 TCP 트래픽이 프록시를 통해 라우팅하도록 구성되어야 합니다.

  • 웹 트래픽을 검사하는 프록시는 웹 소켓 연결을 방해할 수도 있습니다. 이 문제가 발생하는 경우, wbx2.comciscospark.com에 대한 트래픽을 우회(검사하지 않음)하면 문제를 해결할 수 있습니다.

하이브리드 데이터 보안에 대한 전제 조건 완료

이 검사 목록을 사용하여 하이브리드 데이터 보안 클러스터를 설치하고 구성할 준비가 되었는지 확인하십시오.
1

파트너 조직에 멀티 테넌트 HDS 기능이 활성화되었는지 확인하고 파트너 전체 관리자 및 전체 관리자 권한이 있는 계정의 자격 증명을 확보하십시오. Webex 고객 조직이 Cisco Webex Control Hub용 Pro Pack에 대해 활성화되었는지 확인하십시오. 이 과정에 대해 지원을 받으려면 Cisco 파트너 또는 계정 관리자에게 연락하십시오.

고객 조직에는 기존의 HDS 배포가 없어야 합니다.

2

HDS 배포에 대한 도메인 이름(예: hds.company.com)을 선택하고 X.509 인증서, 비공개 키 및 중간 인증서를 포함하는 인증서 체인을 확보합니다. 인증서 체인은 X.509 인증서 요구 사항에 있는 요구 사항을 충족해야 합니다.

3

클러스터에서 하이브리드 데이터 보안 노드로 설정할 동일한 가상 호스트를 준비하십시오. 가상 호스트 요구 사항의 요구 사항을 충족하는 동일한 보안 데이터 센터에 최소한 두 개의 개별 호스트(권장되는 3개)가 있어야 합니다.

4

데이터베이스 서버 요구 사항에 따라 클러스터에 대한 키 데이터 저장소 역할을 할 데이터베이스 서버를 준비합니다. 데이터베이스 서버는 가상 호스트와 함께 보안 데이터 센터에 위치해야 합니다.

  1. 키 스토리지에 대한 데이터베이스를 생성합니다. (이 데이터베이스를 만들어야 합니다. 기본 데이터베이스를 사용하지 마십시오. HDS 응용프로그램을 설치하면 데이터베이스 스키마가 생성됩니다.)

  2. 노드가 데이터베이스 서버와 통신하는 데 사용할 세부 사항을 수집하십시오.

    • 호스트 이름 또는 IP 주소 (호스트) 및 포트

    • 키 스토리지에 대한 데이터베이스의 이름(dbname)

    • 키 스토리지 데이터베이스에서 모든 권한을 가진 사용자의 사용자이름 및 비밀번호

5

빠른 장애 복구를 위해 다른 데이터 센터에 백업 환경을 설정합니다. 백업 환경은 VM과 백업 데이터베이스 서버의 프로덕션 환경을 반영합니다. 예를 들어, 프로덕션에 HDS 노드를 실행하는 3개의 VM이 있으면 백업 환경에도 3개의 VM이 있어야 합니다.

6

클러스터에 있는 노드에서 로그를 수집하도록 시스로그 호스트를 설정하십시오. 네트워크 주소 및 시스로그 포트를 수집합니다(기본값은 UDP 514).

7

하이브리드 데이터 보안 노드, 데이터베이스 서버 및 syslog 호스트에 대한 보안 백업 정책을 만듭니다. 복구할 수 없는 데이터 손실을 방지하기 위해 하이브리드 데이터 보안 노드에 대해 생성된 데이터베이스 및 구성 ISO 파일을 백업해야 합니다.

하이브리드 데이터 보안 노드는 콘텐츠의 암호화 및 해독에 사용되는 키를 저장하기 때문에 운영 중인 배포를 유지하지 못하면 해당 콘텐츠의 복구할 수 없는 손실 으로 이어질 수 있습니다.

Webex 앱 클라이언트는 키를 캐시하므로 정전이 즉시 눈에 띄지 않지만 시간이 지남에 따라 눈에 띄게 됩니다. 일시적인 중단은 예방할 수 없지만, 복구는 가능합니다. 그러나 데이터베이스 또는 구성 ISO 파일을 완전한 유실하면(사용할 수 있는 백업 없음) 고객 데이터를 복구할 수 없게 됩니다. 하이브리드 데이터 보안 노드의 운영자는 데이터베이스 및 구성 ISO 파일의 빈번한 백업을 유지하고, 치명적인 오류가 발생할 경우 하이브리드 데이터 보안 데이터 센터를 다시 빌드할 준비가 되어야 합니다.

8

방화벽 구성에서 외부 연결 요구 사항에 설명된 대로 하이브리드 데이터 보안 노드에 대한 연결을 허용하는지 확인합니다.

9

지원되는 OS(Microsoft Windows 10 Professional 또는 Enterprise 64비트 또는 Mac OSX Yosemite 10.10.3 이상)를 실행하는 로컬 머신에 Docker( https://www.docker.com)를 http://127.0.0.1:8080.에서 액세스할 수 있는 웹 브라우저를 설치합니다.

Docker 인스턴스를 사용하여 모든 하이브리드 데이터 보안 노드에 대한 로컬 구성 정보를 빌드하는 HDS 설정 도구를 다운로드하고 실행합니다. Docker 데스크탑 라이센스가 필요할 수 있습니다. 자세한 정보는 Docker 데스크탑 요구 사항 을 참조하십시오.

HDS 설정 도구를 설치하고 실행하려면 로컬 머신에 외부 연결 요구 사항에 설명된 연결이 있어야 합니다.

10

하이브리드 데이터 보안에 프록시를 통합하는 경우, 프록시 서버 요구 사항을 충족하는지 확인하십시오.

하이브리드 데이터 보안 클러스터 설정

하이브리드 데이터 보안 배포 작업 흐름

시작하기 전에

1

초기 설정을 수행하고 설치 파일 다운로드

나중에 사용할 수 있도록 OVA 파일을 로컬 머신으로 다운로드합니다.

2

HDS 호스트에 대해 구성 ISO 만들기

HDS 설정 도구를 사용하여 하이브리드 데이터 보안 노드에 대한 ISO 구성 파일을 만듭니다.

3

HDS 호스트 OVA 설치

OVA 파일에서 가상 머신을 만들고 네트워크 설정과 같은 초기 구성을 수행합니다.

OVA 배포 중 네트워크 설정을 구성하는 옵션은 ESXi 7.0에서 테스트되었습니다. 이전 버전에서 해당 옵션을 사용하지 못할 수도 있습니다.

4

하이브리드 데이터 보안 VM 설정

VM 콘솔에 로그인하고 로그인 자격 증명을 설정합니다. OVA 배포 시 구성하지 않은 경우 노드에 대한 네트워크 설정을 구성합니다.

5

HDS 구성 ISO 업로드 및 마운트

HDS 설정 도구를 사용하여 만든 ISO 구성 파일에서 VM을 구성합니다.

6

프록시 통합에 대해 HDS 노드 구성

네트워크 환경에 프록시 구성이 필요한 경우 노드에 사용할 프록시의 유형을 지정하고 필요에 따라 프록시 인증서를 신뢰 저장소에 추가합니다.

7

클러스터에서 첫 번째 노드 등록

하이브리드 데이터 보안 노드로 Cisco Webex 클라우드에 VM을 등록합니다.

8

추가 노드를 만들고 등록

클러스터 설정을 완료하십시오.

9

Partner Hub에서 멀티 테넌트 HDS를 활성화합니다.

Partner Hub에서 HDS를 활성화하고 테넌트 조직을 관리합니다.

초기 설정을 수행하고 설치 파일 다운로드

이 작업에서 OVA 파일을 컴퓨터에 다운로드합니다(하이브리드 데이터 보안 노드로 설정한 서버가 아님). 나중에 이 파일을 설치 프로세스에서 사용합니다.

1

Partner Hub에 로그인한 후 서비스를 클릭합니다.

2

클라우드 서비스 섹션에서 하이브리드 데이터 보안 카드를 찾은 후 설정을 클릭합니다.

Partner Hub에서 설정 을 클릭하면 배포 프로세스에 매우 중요합니다. 이 단계를 완료하지 않고 설치를 진행하지 마십시오.

3

리소스 추가 를 클릭하고 소프트웨어 설치 및 구성 카드에서 .OVA 파일 다운로드 를 클릭합니다.

이전 버전의 소프트웨어 패키지(OVA)는 최신 하이브리드 데이터 보안 업그레이드와 호환되지 않습니다. 이는 응용프로그램을 업그레이드하는 동안 문제가 발생할 수 있습니다. 최신 버전의 OVA 파일을 다운로드했는지 확인하십시오.

도움말 섹션에서 언제든지 OVA를 다운로드할 수도 있습니다. 설정 > 도움말 > 하이브리드 데이터 보안 소프트웨어 다운로드를 클릭합니다.

OVA 파일이 자동으로 다운로드되기 시작합니다. 머신에 있는 위치에 파일을 저장합니다.
4

선택적으로, 하이브리드 데이터 보안 배포 안내서 보기 를 클릭하여 이 안내서의 이후 버전을 사용할 수 있는지 확인합니다.

HDS 호스트에 대해 구성 ISO 만들기

하이브리드 데이터 보안 설정 프로세스는 ISO 파일을 만듭니다. 그 후 ISO를 사용하여 하이브리드 데이터 보안 호스트를 구성합니다.

시작하기 전에
1

머신의 명령줄에 사용자 환경에 적합한 명령을 입력합니다.

일반 환경:

docker rmi ciscocitg/hds-setup:안정

FedRAMP 환경:

도커 rmi ciscocitg/hds-setup-fedramp:stable

이 단계에서는 이전 HDS 설정 도구 이미지를 정리합니다. 이전 이미지가 없는 경우 무시할 수 있는 오류를 반환합니다.

2

Docker 이미지 레지스트리에 로그인하려면 다음을 입력합니다.

도커 로그인 -u hdscustomersro
3

비밀번호 프롬프트에 이 해시를 입력합니다.

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo는
4

사용자 환경에 맞는 최신 안정 이미지를 다운로드합니다.

일반 환경:

docker pull ciscocitg/hds-setup:안정

FedRAMP 환경:

docker pull ciscocitg/hds-setup-fedramp:안정
5

풀이 완료되면 사용자 환경에 적합한 명령을 입력합니다.

  • 프록시가 없는 일반 환경:

    도커 실행 -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

  • HTTP 프록시가 있는 일반 환경:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • HTTPS 프록시가 있는 일반 환경에서는:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • 프록시가 없는 FedRAMP 환경:

    도커 실행 -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • HTTP 프록시가 있는 FedRAMP 환경:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • HTTPS 프록시가 있는 FedRAMP 환경:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

컨테이너가 실행 중일 때 "포트 8080에서 수신하는 Express 서버"가 표시됩니다.

6

설정 도구는 http://localhost:8080을 통해 localhost에 연결하는 것을 지원하지 않습니다. http://127.0.0.1:8080 을(를) 사용하여 로컬 호스트에 연결합니다.

웹 브라우저를 사용하여 localhost, http://127.0.0.1:8080(으)로 이동하고 프롬프트에 Partner Hub의 관리 사용자 이름을 입력합니다.

이 도구는 사용자 이름의 이 첫 번째 항목을 사용하여 해당 계정에 적합한 환경을 설정합니다. 그런 다음 도구는 표준 로그인 프롬프트를 표시합니다.

7

안내를 받으면 Partner Hub 관리자 로그인 자격 증명을 입력한 후 로그인 을 클릭하여 하이브리드 데이터 보안에 필요한 서비스에 대한 액세스를 허용합니다.

8

설정 도구 개요 페이지에서 시작하기를 클릭합니다.

9

ISO 가져오기 페이지에 다음 옵션이 있습니다.

  • 아니요—첫 번째 HDS 노드를 만드는 경우, 업로드할 ISO 파일이 없습니다.
  • —HDS 노드를 이미 만든 경우, 찾아보기에서 ISO 파일을 선택하고 업로드합니다.
10

X.509 인증서가 X.509 인증서 요구 사항의 요구 사항을 충족하는지 확인합니다.

  • 이전에 인증서를 업로드하지 않은 경우, X.509 인증서를 업로드하고 비밀번호를 입력한 후 계속을 클릭합니다.
  • 인증서가 올바른 경우, 계속을 클릭합니다.
  • 인증서가 만료되었거나 교체하려는 경우, 이전 ISO에서 HDS 인증서 체인 및 비공개 키를 계속 사용? 에 대해 아니요를 선택합니다. 새로운 X.509 인증서를 업로드하고 비밀번호를 입력한 후 계속을 클릭합니다.
11

키 데이터 저장소에 액세스하기 위해 HDS의 데이터베이스 주소 및 계정을 입력합니다.

  1. 데이터베이스 유형 (PostgreSQL 또는 Microsoft SQL Server)을 선택합니다.

    Microsoft SQL Server를 선택하는 경우, 인증 유형 필드가 나타납니다.

  2. (Microsoft SQL Server 전용) 인증 유형을 선택합니다.

    • 기본 인증: 사용자이름 필드에 로컬 SQL Server 계정 이름이 필요합니다.

    • Windows 인증: 사용자이름 필드에 username@DOMAIN 형식의 Windows 계정이 필요합니다.

  3. 데이터베이스 서버 주소를 : 또는 : 형식으로 입력합니다.

    예:
    dbhost.example.org:1433 또는 198.51.100.17:1433

    노드에서 DNS를 사용하여 호스트 이름을 확인할 수 없는 경우 기본 인증에 대해 IP 주소를 사용할 수 있습니다.

    Windows 인증을 사용하고 있는 경우, 정규화된 도메인 이름을 dbhost.example.org:1433 형식으로 입력해야 합니다.

  4. 데이터베이스 이름을 입력합니다.

  5. 키 스토리지 데이터베이스에서 모든 권한이 있는 사용자의 사용자이름비밀번호 를 입력합니다.

12

TLS 데이터베이스 연결 모드를 선택합니다.

모드

설명

TLS 선호 (기본 옵션)

HDS 노드에서 TLS가 데이터베이스 서버에 연결하도록 요구하지 않습니다. 데이터베이스 서버에서 TLS를 활성화하는 경우 노드는 암호화된 연결을 시도합니다.

TLS 필요

데이터베이스 서버에서 TLS를 협상할 수 있는 경우에만 HDS 노드를 연결합니다.

TLS 필요 및 인증서 서명자 확인

이 모드는 SQL Server 데이터베이스에는 적용되지 않습니다.

  • 데이터베이스 서버에서 TLS를 협상할 수 있는 경우에만 HDS 노드를 연결합니다.

  • TLS 연결을 설정한 후 노드는 데이터베이스 서버에서 인증서의 서명자를 데이터베이스 루트 인증서에 있는 인증 기관과 비교합니다. 해당 정보가 일치하지 않으면 노드는 연결을 끊습니다.

이 옵션에 대해 루트 인증서를 업로드하려면 드롭다운 아래에 있는 데이터베이스 루트 인증서 제어를 사용하십시오.

TLS 필요 및 인증서 서명자, 호스트 이름 확인

  • 데이터베이스 서버에서 TLS를 협상할 수 있는 경우에만 HDS 노드를 연결합니다.

  • TLS 연결을 설정한 후 노드는 데이터베이스 서버에서 인증서의 서명자를 데이터베이스 루트 인증서에 있는 인증 기관과 비교합니다. 해당 정보가 일치하지 않으면 노드는 연결을 끊습니다.

  • 노드는 서버 인증서의 호스트 이름이 데이터베이스 호스트 및 포트 필드에 있는 호스트 이름과 일치하는지 확인합니다. 이름은 정확히 일치해야 하며, 그렇지 않으면 노드가 연결을 끊습니다.

이 옵션에 대해 루트 인증서를 업로드하려면 드롭다운 아래에 있는 데이터베이스 루트 인증서 제어를 사용하십시오.

루트 인증서를 업로드하고(필요한 경우) 계속을 클릭하면 HDS 설정 도구는 데이터베이스 서버에 대한 TLS 연결을 테스트합니다. 해당 도구는 인증서 서명자 및 호스트 이름도 확인합니다(해당하는 경우). 테스트가 실패하면 도구에서 문제를 설명하는 오류 메시지를 표시합니다. 오류를 무시할지 선택하고 설정을 계속할 수 있습니다. (연결성 차이로 인해 HDS 설정 도구 머신에서 성공적으로 테스트할 수 없는 경우에도 HDS 노드는 TLS 연결을 설정할 수 있습니다.)

13

시스템 로그 페이지에서 Syslogd 서버를 구성합니다.

  1. syslog 서버 URL을 입력합니다.

    서버가 HDS 클러스터에 대한 노드에서 DNS를 확인할 수 없는 경우 URL에 있는 IP 주소를 사용합니다.

    예:
    udp://10.92.43.23:514 는 UDP 포트 514에서 Syslogd 호스트 10.92.43.23에 대한 로깅을 가리킵니다.

  2. TLS 암호화를 사용하도록 서버를 설정한 경우, SSL 암호화에 대해 syslog 서버가 구성되었습니까?를 체크합니다.

    이 확인란을 선택하는 경우, tcp://10.92.43.23:514와 같은 TCP URL을 입력해야 합니다.

  3. syslog 녹화 종료 선택 드롭다운에서 ISO 파일에 적합한 설정을 선택합니다. Graylog 및 Rsyslog TCP에 대해 선택하거나 새로 고침을 사용합니다.

    • Null 바이트 -- \x00

    • 새로 고침 -- \n—Graylog 및 Rsyslog TCP에 대해 이 옵션을 선택합니다.

  4. 계속을 클릭합니다.

14

(선택 사항) 고급 설정에서 일부 데이터베이스 연결 파라미터에 대한 기본값을 변경할 수 있습니다. 일반적으로 이 파라미터는 변경할 수 있는 유일한 파라미터입니다.

app_datasource_connection_pool_max크기: 10
15

서비스 계정 비밀번호 재설정 화면에서 계속 을 클릭합니다.

서비스 계정 비밀번호의 수명은 9개월입니다. 비밀번호가 곧 만료되거나 이전 ISO 파일을 무효화하도록 재설정하고자 할 때 이 화면을 사용합니다.

16

ISO 파일 다운로드를 클릭합니다. 쉽게 찾을 수 있는 위치에 파일을 저장합니다.

17

로컬 시스템에서 ISO 파일의 백업 복사본을 만듭니다.

백업 복사본을 안전하게 유지합니다. 이 파일에는 데이터베이스 콘텐츠에 대한 마스터 암호화 키가 포함됩니다. 구성을 변경해야 하는 하이브리드 데이터 보안 관리자에게만 액세스를 제한합니다.

18

설정 도구를 종료하려면 CTRL + C 조합을 입력합니다.

다음에 수행할 작업

구성 ISO 파일을 백업합니다. 복구를 위해 추가 노드를 만들거나 구성을 변경하려면 이 노드가 필요합니다. ISO 파일의 모든 복사본을 잃게 되면 마스터 키도 잃게 됩니다. PostgreSQL 또는 Microsoft SQL Server 데이터베이스에서 키를 복구할 수 없습니다.

이 키의 사본은 가지고 있지 않으며, 잃어버리는 경우엔 지원할 수 없습니다.

HDS 호스트 OVA 설치

OVA 파일에서 가상 머신을 만들려면 이 절차를 따르십시오.
1

컴퓨터에서 VMware vSphere 클라이언트를 사용하여 ESXi 가상 호스트에 로그인합니다.

2

파일 > OVF 템플릿 배포를 선택합니다.

3

마법사에서 이전에 다운로드한 OVA 파일의 위치를 지정한 후 다음을 클릭합니다.

4

이름 및 폴더 선택 페이지에서 노드에 대한 가상 머신 이름 (예: "HDS_Node_1")을 입력하고 가상 머신 노드 배포가 상주할 수 있는 위치를 선택한 후 다음을 클릭합니다.

5

계산 리소스 선택 페이지에서 대상 계산 리소스를 선택한 후 다음을 클릭합니다.

유효성 검사가 실행됩니다. 완료되면 템플릿 세부 사항이 나타납니다.

6

템플릿 세부 사항을 확인한 후 다음을 클릭합니다.

7

구성 페이지에서 리소스 구성을 선택하도록 요청받는 경우, 4 CPU 를 클릭한 후 다음을 클릭합니다.

8

스토리지 선택 페이지에서 다음 을 클릭하여 기본 디스크 형식 및 VM 스토리지 정책을 수락합니다.

9

네트워크 선택 페이지에서 입력값의 목록에서 네트워크 옵션을 선택하여 VM에 원하는 연결을 제공합니다.

10

템플릿 사용자 정의 페이지에서 다음 네트워크 설정을 구성합니다.

  • 호스트 이름—노드에 대한 FQDN(호스트 이름 및 도메인) 또는 한 단어 호스트 이름을 입력합니다.

    • X.509 인증서를 얻는 데 사용된 도메인과 일치하도록 도메인을 설정할 필요는 없습니다.

    • 클라우드에 성공적으로 등록하려면 노드에 대해 설정한 FQDN 또는 호스트 이름에서 소문자만 사용하십시오. 현재 대문자 사용은 지원되지 않습니다.

    • FQDN의 총 길이는 64자를 초과하지 말아야 합니다.

  • IP 주소— 노드의 내부 인터페이스에 대한 IP 주소를 입력합니다.

    노드에는 내부 IP 주소 및 DNS 이름이 있어야 합니다. DHCP는 지원되지 않습니다.

  • 마스크—점-소수 표기법으로 서브넷 마스크 주소를 입력합니다. 예: 255.255.255.0.
  • 게이트웨이—게이트웨이 IP 주소를 입력합니다. 게이트웨이는 다른 네트워크에 대한 액세스 포인트로 사용되는 네트워크 노드입니다.
  • DNS 서버—도메인 이름을 숫자 IP 주소로 변환하는 DNS 서버의 콤마로 구분된 목록을 입력합니다. (최대 4개의 DNS 항목이 허용됩니다.)
  • NTP 서버—조직의 NTP 서버 또는 조직에서 사용될 수 있는 다른 외부 NTP 서버를 입력합니다. 기본 NTP 서버는 모든 기업에 대해 작동하지 않을 수 있습니다. 콤마로 구분된 목록을 사용하여 여러 NTP 서버를 입력할 수도 있습니다.

  • 관리의 목적을 위해 네트워크의 클라이언트에서 클러스터의 모든 노드에 연결할 수 있도록 동일한 서브넷 또는 VLAN에 모든 노드를 배포합니다.

원하는 경우, 네트워크 설정 구성을 건너뛰고 하이브리드 데이터 보안 VM 설정 에 설명된 단계를 따라 노드 콘솔에서 설정을 구성할 수 있습니다.

OVA 배포 중 네트워크 설정을 구성하는 옵션은 ESXi 7.0에서 테스트되었습니다. 이전 버전에서 해당 옵션을 사용하지 못할 수도 있습니다.

11

노드 VM을 오른쪽 클릭한 후 전원 > 전원 켜기를 선택합니다.

하이브리드 데이터 보안 소프트웨어는 VM 호스트에 손님으로 설치됩니다. 이제 콘솔에 로그인하고 노드를 구성할 준비가 되었습니다.

문제 해결하기 추가 정보

노드 포함자가 시작되기 전에 몇 분 정도 지연이 발생할 수도 있습니다. 첫 번째 부팅 중에 콘솔에 브리지 방화벽 메시지가 나타나며, 로그인할 수 없습니다.

하이브리드 데이터 보안 VM 설정

이 절차를 사용하여 처음으로 하이브리드 데이터 보안 노드 VM 콘솔에 로그인하고 로그인 자격 증명을 설정합니다. OVA 배포 시 구성하지 않은 경우 콘솔을 사용하여 노드에 대한 네트워크 설정을 구성할 수도 있습니다.

1

VMware vSphere 클라이언트에서 하이브리드 데이터 보안 노드 VM을 선택하고 콘솔 탭을 선택합니다.

VM이 부팅되고 로그인 프롬프트가 나타납니다. 로그인 프롬프트가 표시되지 않는 경우엔 Enter를 누릅니다.
2

다음 기본 로그인 및 비밀번호를 사용하여 로그인하고 자격 증명을 변경합니다.

  1. 로그인: admin

  2. 비밀번호: cisco

VM에 처음으로 로그인하고 있기 때문에 관리자 비밀번호를 변경하도록 요구받습니다.

3

HDS 호스트 OVA 설치에서 이미 네트워크 설정을 구성한 경우, 이 절차의 나머지 부분은 건너뜁니다. 그렇지 않으면 기본 메뉴에서 구성 편집 옵션을 선택합니다.

4

IP 주소, 마스크, 게이트웨이 및 DNS 정보로 정적 구성을 설정합니다. 노드에는 내부 IP 주소 및 DNS 이름이 있어야 합니다. DHCP는 지원되지 않습니다.

5

(선택 사항) 필요한 경우, 네트워크 정책과 일치하도록 호스트이름, 도메인 또는 NTP 서버를 변경합니다.

X.509 인증서를 얻는 데 사용된 도메인과 일치하도록 도메인을 설정할 필요는 없습니다.

6

네트워크 구성을 저장하고 VM을 다시 부팅하여 변경 사항을 적용합니다.

HDS 구성 ISO 업로드 및 마운트

HDS 설정 도구로 생성한 ISO 파일에서 가상 머신을 구성하려면 이 절차를 따르십시오.

시작하기 전에

ISO 파일은 마스터 키를 갖고 있기 때문에 이는 하이브리드 데이터 보안 VM 및 변경해야 할 수 있는 관리자가 액세스하기 위해 "알아야 할 것"으로만 노출되어야 합니다. 해당 관리자만 데이터스토어에 액세스할 수 있는지 확인하십시오.

1

컴퓨터에서 ISO 파일을 업로드합니다.

  1. VMware vSphere 클라이언트의 왼쪽 네비게이션 분할 창에서 ESXi 서버를 클릭합니다.

  2. 구성 탭의 하드웨어 목록에서 스토리지를 클릭합니다.

  3. 데이터스토어 목록에서 VM용 데이터스토어를 오른쪽 클릭하고 데이터스토어 찾아보기를 클릭합니다.

  4. 파일 업로드 아이콘을 클릭한 후 파일 업로드을 클릭합니다.

  5. 컴퓨터에서 ISO 파일을 다운로드한 위치를 찾고 열기를 클릭합니다.

  6. 를 클릭하여 업로드/다운로드 작업 경고를 수락하고 데이터스토어 대화 상자를 닫습니다.

2

ISO 파일을 마운트합니다.

  1. VMware vSphere 클라이언트의 왼쪽 네비게이션 분할 창에서 VM을 오른쪽 클릭하고 설정 편집을 클릭합니다.

  2. 확인을 클릭하여 제한된 편집 옵션 경고를 수락합니다.

  3. CD/DVD 드라이브 1을 클릭하고 데이터스토어 ISO 파일에서 마운트하기 위한 옵션을 선택한 후 구성 ISO 파일을 업로드한 위치를 찾습니다.

  4. 연결됨시동될 때 연결을 체크합니다.

  5. 변경 내용을 저장하고 가상 머신을 재부팅합니다.

다음에 수행할 작업

IT 정책에서 요구하는 경우, 모든 노드에서 구성 변경 사항을 적용한 후에 선택적으로 ISO 파일을 마운트 해제할 수 있습니다. 자세한 내용은 (선택 사항) HDS 구성 후 ISO 마운트 해제 를 참조하십시오.

프록시 통합에 대해 HDS 노드 구성

네트워크 환경에 프록시가 필요한 경우, 이 절차를 사용하여 하이브리드 데이터 보안에 통합하고자 하는 프록시의 유형을 지정합니다. 투명 검사 프록시 또는 HTTPS 명시적 프록시를 선택하는 경우, 노드의 인터페이스를 사용하여 루트 인증서를 업로드하고 설치할 수 있습니다. 인터페이스에서 프록시 연결을 확인하고 잠재적인 문제를 해결할 수도 있습니다.

시작하기 전에

1

웹 브라우저에서 HDS 노드 설정 URL https://[HDS Node IP 또는 FQDN]/setup을 입력하고, 노드에 대해 설정한 관리 자격 증명을 입력한 후 로그인을 클릭합니다.

2

신뢰 저장소 및 프록시로 이동한 후 옵션을 선택합니다.

  • 프록시 없음—프록시를 통합하기 전에 기본 옵션입니다. 인증서를 업데이트하지 않아도 됩니다.
  • 투명 비-검사 프록시—노드가 특정 프록시 서버 주소를 사용하도록 구성되지 않았으며, 비-검사 프록시에서 작동하도록 변경하지 않아도 됩니다. 인증서를 업데이트하지 않아도 됩니다.
  • 투명 검사 프록시—노드가 특정 프록시 서버 주소를 사용하도록 구성되지 않았습니다. 하이브리드 데이터 보안 배포에서 HTTPS 구성을 변경하지 않아도 됩니다. 단, HDS 노드에 루트 인증서가 있어야 프록시를 신뢰할 수 있습니다. 일반적으로 검사 프록시는 IT가 어떤 웹사이트를 방문할 수 있는지 및 어떤 유형의 콘텐츠가 허용되는지에 대한 정책을 적용하기 위해 사용됩니다. 이러한 유형의 프록시는 모든 트래픽(HTTPS 포함)을 해독합니다.
  • 명시적 프록시—명시적 프록시를 사용하여 클라이언트(HDS 노드)에게 어떤 프록시 서버를 사용할지 알리고, 이 옵션은 다양한 인증 유형을 지원합니다. 이 옵션을 선택한 후 다음 정보를 입력해야 합니다.

    1. 프록시 IP/FQDN—프록시 머신에 연결하기 위해 사용될 수 있는 주소입니다.

    2. 프록시 포트—프록시가 프록시된 트래픽을 수신하기 위해 사용하는 포트 번호입니다.

    3. 프록시 프로토콜http (클라이언트로부터 수신된 모든 요청을 확인하고 제어) 또는 https (서버에 채널을 제공하고 클라이언트는 서버의 인증서를 수신 및 확인)를 선택합니다. 프록시 서버가 지원하는 내용에 따라 옵션을 선택합니다.

    4. 인증 유형—다음 인증 유형 중에서 선택합니다.

      • 없음—추가 인증이 필요하지 않습니다.

        HTTP 또는 HTTPS 프록시를 사용할 수 있습니다.

      • 기본—요청을 할 때 HTTP 사용자 에이전트가 사용자 이름 및 비밀번호를 제공하기 위해 사용됩니다. Base64 인코딩을 사용합니다.

        HTTP 또는 HTTPS 프록시를 사용할 수 있습니다.

        이 옵션을 선택하는 경우, 사용자 이름 및 비밀번호도 입력해야 합니다.

      • 다이제스트—민감한 정보를 보내기 전에 계정을 확인하기 위해 사용됩니다. 네트워크를 통해 전송하기 전에 사용자 이름 및 비밀번호에 해시 기능을 적용합니다.

        HTTPS 프록시에 대해서만 사용할 수 있습니다.

        이 옵션을 선택하는 경우, 사용자 이름 및 비밀번호도 입력해야 합니다.

투명 검사 프록시, 기본 인증이 포함된 HTTP 명시적 프록시 또는 HTTPS 명시적 프록시에 대해서는 다음 단계를 따르십시오.

3

루트 인증서 또는 최종 엔터티 인증서 업로드를 클릭한 후 탐색하여 프록시에 대한 루트 인증서를 선택합니다.

인증서가 업로드되었지만 아직 설치되지 않았습니다. 인증서를 설치하려면 노드를 재부팅해야 합니다. 인증서 발급자 이름 옆에 있는 갈매기 모양 화살표를 클릭하여 자세한 내용을 확인합니다. 실수가 있었거나 파일을 다시 업로드하려는 경우엔 삭제를 클릭합니다.

4

프록시 연결 확인을 클릭하여 노드와 프록시 간의 네트워크 연결을 테스트합니다.

연결 테스트에 실패하는 경우, 이유 및 문제를 해결할 수 있는 방법을 표시하는 오류 메시지가 나타납니다.

외부 DNS 확인에 실패했다는 메시지가 나타나면 노드가 DNS 서버에 연결하지 못한 것입니다. 이 조건은 다양한 명시적 프록시 구성에서 예상되는 작동입니다. 설정을 계속 진행할 수 있으며, 노드는 차단된 외부 DNS 확인 모드로 작동하게 됩니다. 이 작업이 오류라고 생각하시면 다음 단계를 완료한 후 차단된 외부 DNS 확인 모드 끄기를 참조하십시오.

5

연결 테스트를 통과한 후 https로만 설정된 명시적 프록시에 대해 설정을 토글하여 이 노드의 모든 포트 443/444 https 요청을 명시적 프록시를 통해 라우팅합니다. 이 설정이 적용될 때까지 15초 정도 소요됩니다.

6

모든 인증서를 신뢰 저장소에 설치(HTTPS 명시적 프록시 또는 투명 검사 프록시에 대해 나타남) 또는 재부팅(HTTP 명시적 프록시에 대해 나타남)을 클릭하고 안내를 읽은 후 준비되었을 때 설치를 클릭합니다.

노드는 몇 분 내에 재부팅됩니다.

7

노드가 재부팅되면 필요에 따라 다시 로그인한 후 개요 페이지를 열어 연결을 확인하고 모두 녹색 상태인지 확인합니다.

프록시 연결 확인은 webex.com의 하위 도메인만 테스트합니다. 연결에 문제가 있는 경우, 설치 지시 사항에 나열된 일부 클라우드 도메인이 프록시에서 차단되는 것은 일반적인 문제입니다.

클러스터에서 첫 번째 노드 등록

이 작업은 하이브리드 데이터 보안 VM 설정에서 생성한 일반적인 노드를 적용하고, Webex 클라우드에 노드를 등록한 후 하이브리드 데이터 보안 노드로 변경합니다.

첫 번째 노드를 등록할 때 해당 노드가 지정된 클러스터를 만듭니다. 클러스터에는 중복성을 제공하기 위해 배포된 한 개 이상의 노드가 포함되어 있습니다.

시작하기 전에

  • 노드의 등록을 시작하면 60분 이내에 완료해야 합니다. 그렇지 않으면 처음부터 다시 시작해야 합니다.

  • 브라우저에 팝업 차단기가 비활성화되었는지 또는 admin.webex.com에 대한 예외를 허용했는지 확인하십시오.

1

https://admin.webex.com에 로그인합니다.

2

화면의 왼쪽에 있는 메뉴에서 서비스를 선택합니다.

3

클라우드 서비스 섹션에서 하이브리드 데이터 보안 카드를 찾고 설정을 클릭합니다.

4

페이지가 열리면 리소스 추가를 클릭합니다.

5

노드 추가 카드의 첫 번째 필드에 하이브리드 데이터 보안 노드를 지정할 클러스터의 이름을 입력합니다.

지리적으로 클러스터의 노드가 위치한 장소에 기반하여 클러스터의 이름을 지정할 것을 권장합니다. 예: "San Francisco" 또는 "New York" 또는 "Dallas"

6

두 번째 필드에서 노드의 내부 IP 주소 또는 정규화된 도메인 이름(FQDN)을 입력하고 화면의 하단에서 추가 를 클릭합니다.

이 IP 주소 또는 FQDN은 하이브리드 데이터 보안 VM 설정에서 사용한 IP 주소 또는 호스트 이름 및 도메인과 일치해야 합니다.

Webex에 노드를 등록할 수 있음을 가리키는 메시지가 나타납니다.
7

노드로 이동을 클릭합니다.

잠시 후에 Webex 서비스에 대한 노드 연결 테스트로 리디렉션됩니다. 모든 테스트에 성공하면 하이브리드 데이터 보안 노드에 대한 액세스 허용 페이지가 나타납니다. 여기에서 Webex 조직에 노드에 액세스할 수 있는 권한을 부여하고자 함을 확인합니다.

8

하이브리드 데이터 보안 노드에 액세스 허용 체크 박스에 체크한 후 계속을 클릭합니다.

계정의 유효성이 검증되고 "등록 완료" 메시지는 이제 노드가 Webex 클라우드에 등록되었음을 가리킵니다.
9

링크를 클릭하거나 탭을 닫아 Partner Hub 하이브리드 데이터 보안 페이지로 다시 돌아갑니다.

하이브리드 데이터 보안 페이지에서 등록한 노드가 포함된 새로운 클러스터가 리소스 탭 아래에 표시됩니다. 노드는 클라우드에서 자동으로 최신 소프트웨어를 다운로드합니다.

추가 노드를 만들고 등록

클러스터에 노드를 추가하려면 추가 VM을 만들고 동일한 구성 ISO 파일을 마운트한 후 노드를 등록하기만 하면 됩니다. 최소한 3개의 노드를 구성할 것을 권장합니다.

시작하기 전에

  • 노드의 등록을 시작하면 60분 이내에 완료해야 합니다. 그렇지 않으면 처음부터 다시 시작해야 합니다.

  • 브라우저에 팝업 차단기가 비활성화되었는지 또는 admin.webex.com에 대한 예외를 허용했는지 확인하십시오.

1

OVA에서 새로운 가상 머신을 만들고 HDS 호스트 OVA 설치에 설명된 단계를 반복합니다.

2

새로운 VM에서 초기 구성을 설정하고 하이브리드 데이터 보안 VM 설정에 설명된 단계를 반복합니다.

3

새로운 VM에서 HDS 구성 ISO 업로드 및 설치에 설명된 단계를 반복합니다.

4

배포에 대해 프록시를 설정하고 있는 경우, 새로운 노드에 대해 필요에 따라 프록시 통합에 대해 HDS 노드 구성 에 설명된 단계를 반복합니다.

5

노드를 등록합니다.

  1. https://admin.webex.com에서 화면 왼쪽의 메뉴에 있는 서비스를 선택합니다.

  2. 클라우드 서비스 섹션에서 하이브리드 데이터 보안 카드를 찾고 모두 보기를 클릭합니다.

    하이브리드 데이터 보안 리소스 페이지가 나타납니다.

  3. 새롭게 생성된 클러스터는 리소스 페이지에 나타납니다.

  4. 클러스터에 할당된 노드를 확인하려면 클러스터를 클릭합니다.

  5. 화면의 오른쪽에서 노드 추가 를 클릭합니다.

  6. 노드의 내부 IP 주소 또는 정규화된 도메인 이름(FQDN)을 입력하고 추가를 클릭합니다.

    Webex 클라우드에 노드를 등록할 수 있음을 나타내는 메시지가 포함된 페이지가 열립니다. 잠시 후에 Webex 서비스에 대한 노드 연결 테스트로 리디렉션됩니다. 모든 테스트에 성공하면 하이브리드 데이터 보안 노드에 대한 액세스 허용 페이지가 나타납니다. 여기에서 조직에 노드에 액세스할 수 있는 권한을 부여하고자 함을 확인합니다.

  7. 하이브리드 데이터 보안 노드에 액세스 허용 체크 박스에 체크한 후 계속을 클릭합니다.

    계정의 유효성이 검증되고 "등록 완료" 메시지는 이제 노드가 Webex 클라우드에 등록되었음을 가리킵니다.

  8. 링크를 클릭하거나 탭을 닫아 Partner Hub 하이브리드 데이터 보안 페이지로 다시 돌아갑니다.

    노드 추가됨 팝업 메시지는 Partner Hub의 화면 하단에도 나타납니다.

    노드가 등록되었습니다.

멀티 테넌트 하이브리드 데이터 보안에서 테넌트 조직 관리

Partner Hub에서 멀티 테넌트 HDS 활성화

이 작업은 고객 조직의 모든 사용자가 온-프레미스 암호화 키 및 기타 보안 서비스에 대해 HDS를 사용하기 시작할 수 있게 합니다.

시작하기 전에

필요한 노드의 수로 멀티 테넌트 HDS 클러스터 설정을 완료했는지 확인합니다.

1

https://admin.webex.com에 로그인합니다.

2

화면의 왼쪽에 있는 메뉴에서 서비스를 선택합니다.

3

클라우드 서비스 섹션에서 하이브리드 데이터 보안을 찾고 설정 편집을 클릭합니다.

4

HDS 상태 카드에서 HDS 활성화 를 클릭합니다.

Partner Hub에서 테넌트 조직 추가

이 작업에서 하이브리드 데이터 보안 클러스터에 고객 조직을 지정합니다.

1

https://admin.webex.com에 로그인합니다.

2

화면의 왼쪽에 있는 메뉴에서 서비스를 선택합니다.

3

클라우드 서비스 섹션에서 하이브리드 데이터 보안을 찾고 모두 보기를 클릭합니다.

4

고객을 지정하고자 하는 클러스터를 클릭합니다.

5

지정된 고객 탭으로 이동합니다.

6

고객 추가를 클릭합니다.

7

드롭다운 메뉴에서 추가할 고객을 선택합니다.

8

추가를 클릭하면 고객이 클러스터에 추가됩니다.

9

6~8단계를 반복하여 여러 고객을 클러스터에 추가합니다.

10

고객을 추가한 후 화면의 하단에서 완료 를 클릭합니다.

다음에 수행할 작업

HDS 설정 도구를 사용하여 고객 기본 키(CMK) 만들기 에 설명된 대로 HDS 설정 도구를 실행하여 설치 과정을 완료합니다.

HDS 설정 도구를 사용하여 고객 기본 키(CMK) 만들기

시작하기 전에

Partner Hub에서 테넌트 조직 추가에 설명된 대로 고객을 적합한 클러스터에 지정합니다. HDS 설정 도구를 실행하여 새롭게 추가된 고객 조직에 대한 설정 과정을 완료합니다.

  • HDS 설정 도구는 로컬 머신에서 Docker 컨테이너로 실행됩니다. 액세스하려면 해당 머신에서 Docker를 실행합니다. 설치 과정에는 조직에 대한 전체 관리자 권한이 있는 Partner Hub 계정의 자격 증명이 필요합니다.

    HDS 설정 도구가 귀하의 환경에서 프록시 뒤에서 실행되는 경우, 5 단계에서 Docker 컨테이너를 가져올 때 Docker 환경 변수를 통해 프록시 설정(서버, 포트, 자격 증명)을 제공합니다. 이 표는 몇 가지 환경 변수를 제공합니다.

    설명

    변수

    인증되지 않은 HTTP 프록시

    글로벌_에이전트_HTTP_PROXY=http://SERVER_IP:PORT

    인증되지 않은 HTTPS 프록시

    글로벌_에이전트_HTTPS_PROXY=http://SERVER_IP:PORT

    인증된 HTTP 프록시

    글로벌_에이전트_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

    인증된 HTTPS 프록시

    글로벌_에이전트_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

  • 생성하는 구성 ISO 파일에는 PostgreSQL 또는 Microsoft SQL Server 데이터베이스를 암호화하는 마스터 키가 포함되어 있습니다. 다음과 같은 구성을 변경할 때마다 이 파일의 최신 복사본이 필요합니다.

    • 데이터베이스 자격 증명

    • 인증서 업데이트

    • 인증 정책에 대한 변경 사항

  • 데이터베이스 연결을 암호화하는 경우 TLS용 PostgreSQL 또는 SQL Server 배포를 설정합니다.

하이브리드 데이터 보안 설정 프로세스는 ISO 파일을 만듭니다. 그 후 ISO를 사용하여 하이브리드 데이터 보안 호스트를 구성합니다.

1

머신의 명령줄에 사용자 환경에 적합한 명령을 입력합니다.

일반 환경:

docker rmi ciscocitg/hds-setup:안정

FedRAMP 환경:

도커 rmi ciscocitg/hds-setup-fedramp:stable

이 단계에서는 이전 HDS 설정 도구 이미지를 정리합니다. 이전 이미지가 없는 경우 무시할 수 있는 오류를 반환합니다.

2

Docker 이미지 레지스트리에 로그인하려면 다음을 입력합니다.

도커 로그인 -u hdscustomersro
3

비밀번호 프롬프트에 이 해시를 입력합니다.

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo는
4

사용자 환경에 맞는 최신 안정 이미지를 다운로드합니다.

일반 환경:

docker pull ciscocitg/hds-setup:안정

FedRAMP 환경:

docker pull ciscocitg/hds-setup-fedramp:안정
5

풀이 완료되면 사용자 환경에 적합한 명령을 입력합니다.

  • 프록시가 없는 일반 환경:

    도커 실행 -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

  • HTTP 프록시가 있는 일반 환경:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • HTTPS 프록시가 있는 일반 환경에서는:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • 프록시가 없는 FedRAMP 환경:

    도커 실행 -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • HTTP 프록시가 있는 FedRAMP 환경:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • HTTPS 프록시가 있는 FedRAMP 환경:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

컨테이너가 실행 중일 때 "포트 8080에서 수신하는 Express 서버"가 표시됩니다.

6

설정 도구는 http://localhost:8080을 통해 localhost에 연결하는 것을 지원하지 않습니다. http://127.0.0.1:8080 을(를) 사용하여 로컬 호스트에 연결합니다.

웹 브라우저를 사용하여 localhost, http://127.0.0.1:8080(으)로 이동하고 프롬프트에 Partner Hub의 관리 사용자 이름을 입력합니다.

이 도구는 사용자 이름의 이 첫 번째 항목을 사용하여 해당 계정에 적합한 환경을 설정합니다. 그런 다음 도구는 표준 로그인 프롬프트를 표시합니다.

7

안내를 받으면 Partner Hub 관리자 로그인 자격 증명을 입력한 후 로그인 을 클릭하여 하이브리드 데이터 보안에 필요한 서비스에 대한 액세스를 허용합니다.

8

설정 도구 개요 페이지에서 시작하기를 클릭합니다.

9

ISO 가져오기 페이지에서 를 클릭합니다.

10

브라우저에서 ISO 파일을 선택하고 업로드합니다.

CMK 관리를 수행하려면 데이터베이스에 대한 연결을 확인하십시오.
11

테넌트 CMK 관리 탭으로 이동하여 다음 세 가지 방법으로 테넌트 CMK를 관리할 수 있습니다.

  • 모든 조직에 대해 CMK 만들기 또는 CMK 만들기 - 화면의 상단에 있는 배너에서 이 버튼을 클릭하여 새롭게 추가된 모든 조직에 대해 CMK를 만듭니다.
  • 화면의 오른쪽에서 CMK 관리 버튼을 클릭하고 CMK 만들기 를 클릭하여 새롭게 추가된 모든 조직에 대해 CMK를 만듭니다.
  • 표에서 특정 조직의 CMK 관리 보류 중 상태 근처에 있는 …를 클릭하고 CMK 만들기 를 클릭하여 해당 조직에 대해 CMK를 만듭니다.
12

CMK 만들기에 성공하면 표의 상태는 CMK 관리 보류 중 에서 CMK 관리로 변경됩니다.

13

CMK 만들기에 실패하면 오류가 표시됩니다.

테넌트 조직 제거

시작하기 전에

제거되면 고객 조직의 사용자는 암호화 요구에 대해 HDS를 활용할 수 없으며 기존의 모든 스페이스를 잃게 됩니다. 고객 조직을 제거하기 전에 Cisco 파트너 또는 계정 관리자에게 문의하십시오.

1

https://admin.webex.com에 로그인합니다.

2

화면의 왼쪽에 있는 메뉴에서 서비스를 선택합니다.

3

클라우드 서비스 섹션에서 하이브리드 데이터 보안을 찾고 모두 보기를 클릭합니다.

4

리소스 탭에서 고객 조직을 제거할 클러스터를 클릭합니다.

5

페이지가 열리면 지정된 고객을 클릭합니다.

6

표시되는 고객 조직의 목록에서 제거하고자 하는 고객 조직의 오른쪽에 있는 ... 을 클릭하고 클러스터에서 제거를 클릭합니다.

다음에 수행할 작업

HDS에서 제거된 테넌트의 CMK 취소에 설명된 대로 고객 조직의 CMK를 취소하여 제거 프로세스를 완료합니다.

HDS에서 제거된 테넌트의 CMK를 취소합니다.

시작하기 전에

테넌트 조직 제거에 설명된 대로 적합한 클러스터에서 고객을 제거합니다. 제거된 고객 조직에 대한 제거 과정을 완료하려면 HDS 설정 도구를 실행하십시오.

  • HDS 설정 도구는 로컬 머신에서 Docker 컨테이너로 실행됩니다. 액세스하려면 해당 머신에서 Docker를 실행합니다. 설치 과정에는 조직에 대한 전체 관리자 권한이 있는 Partner Hub 계정의 자격 증명이 필요합니다.

    HDS 설정 도구가 귀하의 환경에서 프록시 뒤에서 실행되는 경우, 5 단계에서 Docker 컨테이너를 가져올 때 Docker 환경 변수를 통해 프록시 설정(서버, 포트, 자격 증명)을 제공합니다. 이 표는 몇 가지 환경 변수를 제공합니다.

    설명

    변수

    인증되지 않은 HTTP 프록시

    글로벌_에이전트_HTTP_PROXY=http://SERVER_IP:PORT

    인증되지 않은 HTTPS 프록시

    글로벌_에이전트_HTTPS_PROXY=http://SERVER_IP:PORT

    인증된 HTTP 프록시

    글로벌_에이전트_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

    인증된 HTTPS 프록시

    글로벌_에이전트_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

  • 생성하는 구성 ISO 파일에는 PostgreSQL 또는 Microsoft SQL Server 데이터베이스를 암호화하는 마스터 키가 포함되어 있습니다. 다음과 같은 구성을 변경할 때마다 이 파일의 최신 복사본이 필요합니다.

    • 데이터베이스 자격 증명

    • 인증서 업데이트

    • 인증 정책에 대한 변경 사항

  • 데이터베이스 연결을 암호화하는 경우 TLS용 PostgreSQL 또는 SQL Server 배포를 설정합니다.

하이브리드 데이터 보안 설정 프로세스는 ISO 파일을 만듭니다. 그 후 ISO를 사용하여 하이브리드 데이터 보안 호스트를 구성합니다.

1

머신의 명령줄에 사용자 환경에 적합한 명령을 입력합니다.

일반 환경:

docker rmi ciscocitg/hds-setup:안정

FedRAMP 환경:

도커 rmi ciscocitg/hds-setup-fedramp:stable

이 단계에서는 이전 HDS 설정 도구 이미지를 정리합니다. 이전 이미지가 없는 경우 무시할 수 있는 오류를 반환합니다.

2

Docker 이미지 레지스트리에 로그인하려면 다음을 입력합니다.

도커 로그인 -u hdscustomersro
3

비밀번호 프롬프트에 이 해시를 입력합니다.

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo는
4

사용자 환경에 맞는 최신 안정 이미지를 다운로드합니다.

일반 환경:

docker pull ciscocitg/hds-setup:안정

FedRAMP 환경:

docker pull ciscocitg/hds-setup-fedramp:안정
5

풀이 완료되면 사용자 환경에 적합한 명령을 입력합니다.

  • 프록시가 없는 일반 환경:

    도커 실행 -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

  • HTTP 프록시가 있는 일반 환경:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • HTTPS 프록시가 있는 일반 환경에서는:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • 프록시가 없는 FedRAMP 환경:

    도커 실행 -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • HTTP 프록시가 있는 FedRAMP 환경:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • HTTPS 프록시가 있는 FedRAMP 환경:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

컨테이너가 실행 중일 때 "포트 8080에서 수신하는 Express 서버"가 표시됩니다.

6

설정 도구는 http://localhost:8080을 통해 localhost에 연결하는 것을 지원하지 않습니다. http://127.0.0.1:8080 을(를) 사용하여 로컬 호스트에 연결합니다.

웹 브라우저를 사용하여 localhost, http://127.0.0.1:8080(으)로 이동하고 프롬프트에 Partner Hub의 관리 사용자 이름을 입력합니다.

이 도구는 사용자 이름의 이 첫 번째 항목을 사용하여 해당 계정에 적합한 환경을 설정합니다. 그런 다음 도구는 표준 로그인 프롬프트를 표시합니다.

7

안내를 받으면 Partner Hub 관리자 로그인 자격 증명을 입력한 후 로그인 을 클릭하여 하이브리드 데이터 보안에 필요한 서비스에 대한 액세스를 허용합니다.

8

설정 도구 개요 페이지에서 시작하기를 클릭합니다.

9

ISO 가져오기 페이지에서 를 클릭합니다.

10

브라우저에서 ISO 파일을 선택하고 업로드합니다.

11

테넌트 CMK 관리 탭으로 이동하여 다음 세 가지 방법으로 테넌트 CMK를 관리할 수 있습니다.

  • 모든 조직에 대해 CMK 취소 또는 CMK 취소 - 화면 상단에 있는 배너에서 이 버튼을 클릭하여 제거된 모든 조직의 CMK를 취소합니다.
  • 화면의 오른쪽에서 CMK 관리 버튼을 클릭하고 CMK 취소 를 클릭하여 제거된 모든 조직의 CMK를 취소합니다.
  • 표에서 특정 조직의 취소될 CMK 상태 근처에서 을 클릭하고 CMK 취소 를 클릭하여 해당 특정 조직에 대한 CMK를 취소합니다.
12

CMK 해지 작업에 성공하면 고객 조직은 더 이상 표에 나타나지 않습니다.

13

CMK 해지 실패하면 오류가 표시됩니다.

하이브리드 데이터 보안 배포 테스트

하이브리드 데이터 보안 배포 테스트

멀티 테넌트 하이브리드 데이터 보안 암호화 시나리오를 테스트하려면 이 절차를 사용하십시오.

시작하기 전에

  • 멀티 테넌트 하이브리드 데이터 보안 배포를 설정합니다.

  • 키 요청이 멀티 테넌트 하이브리드 데이터 보안 배포에 전달되고 있는지 확인하려면 syslog에 액세스할 수 있는지 확인합니다.

1

특정 스페이스에 대한 키는 스페이스의 생성자가 설정합니다. 고객 조직 사용자 중 하나로 Webex 앱에 로그인한 후 스페이스를 만듭니다.

하이브리드 데이터 보안 배포를 비활성화하는 경우, 클라이언트 캐시된 암호화 키의 복사본이 교체되면 사용자가 생성하는 스페이스에 있는 콘텐츠에 더 이상 액세스할 수 없습니다.

2

새로운 스페이스로 메시지를 보내십시오.

3

syslog 출력을 확인하여 키 요청이 하이브리드 데이터 보안 배포에 전달되고 있는지 확인합니다.

  1. 사용자가 먼저 KMS에 보안 채널을 설정하는지 확인하려면 kms.data.method=createkms.data.type=EPHEMERAL_KEY_COLLECTION을 필터링합니다.

    다음과 같은 입력값을 검색해야 합니다(가독성을 위해 식별자는 짧게 표현됨).
    2020-07-21 17:35:34.562 (+0000) 정보 KMS [pool-14-thread-1] - [KMS:REQUEST] 수신됨, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

  2. KMS에서 기존의 키를 요청하는 사용자를 확인하려면 kms.data.method=retrievekms.data.type=KEY를 필터링합니다.

    다음과 같은 입력값을 검색해야 합니다.
    2020-07-21 17:44:19.889 (+0000) 정보 KMS [pool-14-thread-31] - [KMS:REQUEST] 수신됨, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

  3. 새로운 KMS 키 생성을 요청하는 사용자를 확인하려면 kms.data.method=createkms.data.type=KEY_COLLECTION에서 필터링합니다.

    다음과 같은 입력값을 검색해야 합니다.
    2020-07-21 17:44:21.975 (+0000) 정보 KMS [pool-14-thread-33] - [KMS:REQUEST] 수신됨, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

  4. 스페이스 또는 다른 보호된 리소스가 생성될 때 새로운 KMS 리소스 개체(KRO)의 만들기를 요청하는 사용자를 확인하려면 kms.data.method=createkms.data.type=RESOURCE_COLLECTION에서 필터링하십시오.

    다음과 같은 입력값을 검색해야 합니다. 
    2020-07-21 17:44:22.808 (+0000) 정보 KMS [pool-15-thread-1] - [KMS:REQUEST] 수신됨, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

하이브리드 데이터 보안 상태 모니터

Partner Hub 내의 상태 표시기는 멀티 테넌트 하이브리드 데이터 보안 배포가 모두 양호한지 여부를 표시합니다. 보다 적극적으로 경고를 받으려면 이메일 알림을 신청하십시오. 서비스에 영향을 미치는 경보 또는 소프트웨어 업그레이드가 있을 때 알림을 받습니다.
1

Partner Hub의 화면 왼쪽에 있는 메뉴에서 서비스 를 선택합니다.

2

클라우드 서비스 섹션에서 하이브리드 데이터 보안을 찾고 설정 편집을 클릭합니다.

하이브리드 데이터 보안 설정 페이지가 나타납니다.
3

이메일 알림 섹션에서 한 개 이상의 이메일 주소를 쉼표로 구분하여 입력하고 Enter를 누릅니다.

HDS 배포 관리

HDS 배포 관리

하이브리드 데이터 보안 배포를 관리하려면 여기에 설명된 작업을 사용하십시오.

클러스터 업그레이드 예약 설정

하이브리드 데이터 보안에 대한 소프트웨어 업그레이드는 클러스터 수준에서 자동으로 실행되며, 이는 모든 노드가 항상 동일한 소프트웨어 버전을 실행하게 합니다. 업그레이드는 클러스터에 대한 업그레이드 스케줄에 따라 실행됩니다. 소프트웨어 업그레이드가 사용 가능해지면 예약된 업그레이드 시간 전에 클러스터를 수동으로 업그레이드할 수 있는 옵션이 주어집니다. 특정 업그레이드 스케줄을 설정하거나 미국: 아메리카/로스앤젤레스 매일 3:00 AM 기본 스케줄을 사용할 수 있습니다. 필요에 따라 예정된 업그레이드를 연기하도록 선택할 수도 있습니다.

업그레이드 예약을 설정하려면:

1

Partner Hub에 로그인합니다.

2

화면의 왼쪽에 있는 메뉴에서 서비스를 선택합니다.

3

클라우드 서비스 섹션에서 하이브리드 데이터 보안을 찾고 설정을 클릭합니다.

4

하이브리드 데이터 보안 리소스 페이지에서 클러스터를 선택합니다.

5

클러스터 설정 탭을 클릭합니다.

6

클러스터 설정 페이지의 업그레이드 예약 아래에서 업그레이드 예약에 대한 시간 및 시간대를 선택합니다.

참고: 시간대 아래에 다음 사용 가능한 업그레이드 날짜 및 시간이 표시됩니다. 필요한 경우, 24시간 연기를 클릭하여 업그레이드를 다음 날로 연기할 수 있습니다.

노드 구성 변경

경우에 따라 다음과 같은 이유로 하이브리드 데이터 보안 노드의 구성을 변경해야 할 수도 있습니다.

  • 만료 또는 기타 이유로 인해 x.509 인증서 변경.

    인증서의 CN 도메인 이름 변경을 지원하지 않습니다. 도메인은 클러스터에 등록하기 위해 사용된 원래 도메인과 일치해야 합니다.

  • PostgreSQL 또는 Microsoft SQL Server 데이터베이스의 복제본으로 변경하도록 데이터베이스 설정 업데이트.

    PostgreSQL에서 Microsoft SQL Server로 또는 그 반대로 데이터 마이그레이션을 지원하지 않습니다. 데이터베이스 환경을 전환하려면 하이브리드 데이터 보안의 새로운 배포를 시작합니다.

  • 새 데이터 센터를 준비하기 위해 새 구성 생성.

또한 보안상의 이유로 하이브리드 데이터 보안은 수명이 9개월인 서비스 계정 비밀번호를 사용합니다. HDS 설정 도구가 이러한 비밀번호를 생성하면 이를 ISO 구성 파일의 각 HDS 노드에 배포합니다. 조직의 비밀번호 만료일이 가까워지면 Webex 팀으로부터 머신 계정의 비밀번호를 재설정하라는 통지를 받습니다. (이메일에는 "머신 계정 API를 사용하여 비밀번호를 업데이트합니다."라는 텍스트가 포함됩니다.) 비밀번호가 아직 만료되지 않은 경우 도구는 다음 두 가지 옵션을 제공합니다.

  • 소프트 재설정—이전 비밀번호 및 새로운 비밀번호 모두 최대 10일 동안 작동합니다. 이 기간을 사용하여 노드에서 ISO 파일을 점진적으로 교체합니다.

  • 하드 재설정—이전 비밀번호가 즉시 작동하지 않습니다.

비밀번호가 재설정 없이 만료되는 경우 HDS 서비스에 영향을 미치므로 즉시 하드 재설정을 수행하고 모든 노드에서 ISO 파일을 교체해야 합니다.

새 구성 ISO 파일을 생성하고 클러스터에 적용하려면 이 절차를 따르십시오.

시작하기 전에

  • HDS 설정 도구는 로컬 머신에서 Docker 컨테이너로 실행됩니다. 액세스하려면 해당 머신에서 Docker를 실행합니다. 설치 과정에는 파트너 전체 관리자 권한이 있는 Partner Hub 계정의 자격 증명이 필요합니다.

    HDS 설정 도구가 귀하의 환경에서 프록시 뒤에서 실행되는 경우, 1.e에서 Docker 컨테이너를 가져올 때 Docker 환경 변수를 통해 프록시 설정(서버, 포트, 자격 증명)을 제공합니다. 이 표는 몇 가지 환경 변수를 제공합니다.

    설명

    변수

    인증되지 않은 HTTP 프록시

    글로벌_에이전트_HTTP_PROXY=http://SERVER_IP:PORT

    인증되지 않은 HTTPS 프록시

    글로벌_에이전트_HTTPS_PROXY=http://SERVER_IP:PORT

    인증된 HTTP 프록시

    글로벌_에이전트_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

    인증된 HTTPS 프록시

    글로벌_에이전트_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

  • 새 구성을 생성하려면 현재 구성 ISO 파일의 사본이 필요합니다. ISO에는 PostgreSQL 또는 Microsoft SQL Server 데이터베이스를 암호화하는 마스터 키가 포함되어 있습니다. 데이터베이스 자격 증명, 인증서 업데이트 또는 인증 정책 변경을 포함하여 구성을 변경할 때 ISO가 필요합니다.

1

로컬 머신에서 Docker를 사용하여 HDS 설정 도구를 실행합니다.

  1. 머신의 명령줄에 사용자 환경에 적합한 명령을 입력합니다.

    일반 환경:

    docker rmi ciscocitg/hds-setup:안정

    FedRAMP 환경:

    도커 rmi ciscocitg/hds-setup-fedramp:stable

    이 단계에서는 이전 HDS 설정 도구 이미지를 정리합니다. 이전 이미지가 없는 경우 무시할 수 있는 오류를 반환합니다.

  2. Docker 이미지 레지스트리에 로그인하려면 다음을 입력합니다.

    도커 로그인 -u hdscustomersro

  3. 비밀번호 프롬프트에 이 해시를 입력합니다.

    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo는

  4. 사용자 환경에 맞는 최신 안정 이미지를 다운로드합니다.

    일반 환경:

    docker pull ciscocitg/hds-setup:안정

    FedRAMP 환경:

    docker pull ciscocitg/hds-setup-fedramp:안정

    이 절차에 대해 최신 설정 도구를 사용하고 있는지 확인하십시오. 2018년 2월 22일 이전에 생성된 도구의 버전에는 비밀번호 재설정 화면이 없습니다.

  5. 풀이 완료되면 사용자 환경에 적합한 명령을 입력합니다.

    • 프록시가 없는 일반 환경:

      도커 실행 -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

    • HTTP 프록시가 있는 일반 환경:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • HTTPS 프록시가 있는 일반 환경:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • 프록시가 없는 FedRAMP 환경:

      도커 실행 -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

    • HTTP 프록시가 있는 FedRAMP 환경:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    • HTTPS 프록시가 있는 FedRAMP 환경:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    컨테이너가 실행 중일 때 "포트 8080에서 수신하는 Express 서버"가 표시됩니다.

  6. 브라우저를 사용하여 로컬 호스트 http://127.0.0.1:8080에 연결합니다.

    설정 도구는 http://localhost:8080을 통해 localhost에 연결하는 것을 지원하지 않습니다. http://127.0.0.1:8080 을(를) 사용하여 로컬 호스트에 연결합니다.

  7. 안내를 받으면 Partner Hub 고객 로그인 자격 증명을 입력한 후 수락 을 클릭하여 계속합니다.

  8. 현재 구성 ISO 파일을 가져옵니다.

  9. 안내에 따라 도구를 완료하고 업데이트된 파일을 다운로드합니다.

    설정 도구를 종료하려면 CTRL + C 조합을 입력합니다.

  10. 다른 데이터 센터에서 업데이트된 파일의 백업 복사본을 만듭니다.

2

실행 중인 HDS 노드가 한 개만 있는 경우, 새로운 하이브리드 데이터 보안 노드 VM을 만들고 새로운 구성 ISO 파일을 사용하여 등록합니다. 자세한 안내는 추가 노드 만들기 및 등록을 참조하십시오.

  1. HDS 호스트 OVA를 설치합니다.

  2. HDS VM을 설정합니다.

  3. 업데이트된 구성 파일을 마운트합니다.

  4. Partner Hub에서 새로운 노드를 등록합니다.

3

이전 구성 파일을 실행하고 있는 기존 HDS 노드의 경우 ISO 파일을 탑재합니다. 각 노드에서 다음 절차를 차례로 수행하여 다음 노드를 끄기 전에 각 노드를 업데이트합니다.

  1. 가상 머신의 전원을 끕니다.

  2. VMware vSphere 클라이언트의 왼쪽 네비게이션 분할 창에서 VM을 오른쪽 클릭하고 설정 편집을 클릭합니다.

  3. CD/DVD 드라이브 1을 클릭하고 ISO 파일에서 마운트하기 위한 옵션을 선택한 후 새 구성 ISO 파일을 다운로드한 위치를 찾습니다.

  4. 시동될 때 연결을 체크합니다.

  5. 변경 사항을 저장하고 가상 머신의 전원을 켭니다.

4

이전 구성을 실행하고 있는 나머지 각 노드에서 구성을 바꾸려면 3 단계를 반복하십시오.

차단된 외부 DNS 확인 모드 끄기

노드를 등록하거나 노드의 프록시 구성을 확인할 때 프로세스는 Cisco Webex 클라우드에 대한 DNS 조회 및 연결을 테스트합니다. 노드의 DNS 서버에서 공용 DNS 이름을 확인할 수 없는 경우, 노드는 자동으로 차단된 외부 DNS 확인 모드로 지정됩니다.

노드에서 내부 DNS 서버를 통해 공용 DNS 이름을 확인할 수 있는 경우, 각 노드에서 프록시 연결 테스트를 다시 실행하여 이 모드를 끌 수 있습니다.

시작하기 전에

내부 DNS 서버가 공용 DNS 이름을 확인할 수 있으며, 노드가 해당 서버와 통신할 수 있는지 확인합니다.
1

웹 브라우저에서 하이브리드 데이터 보안 노드 인터페이스(IP 주소/설정을 엽니다. 예: https://192.0.2.0/setup), 노드에 대해 설정한 관리 자격 증명을 입력한 후 로그인을 클릭합니다.

2

개요 (기본 페이지)로 이동합니다.

활성화되면 차단된 외부 DNS 확인로 설정됩니다.

3

신뢰 저장소 및 프록시 페이지로 이동합니다.

4

프록시 연결 확인을 클릭합니다.

외부 DNS 확인에 실패했다는 메시지가 나타나면 노드가 DNS 서버에 연결하지 못한 것이며, 이 모드에서 유지됩니다. 그렇지 않은 경우, 노드를 재부팅하고 개요 페이지로 돌아가면 차단된 외부 DNS 확인은 아니요로 설정됩니다.

다음에 수행할 작업

하이브리드 데이터 보안 클러스터의 각 노드에서 프록시 연결 테스트를 반복합니다.

노드 제거

Webex 클라우드에서 하이브리드 데이터 보안 노드를 제거하려면 이 절차를 사용하십시오. 클러스터에서 노드를 제거한 후 가상 머신을 삭제하여 보안 데이터에 대한 추가 액세스를 방지합니다.
1

컴퓨터에서 VMware vSphere 클라이언트를 사용하여 ESXi 가상 호스트에 로그인하고 가상 머신의 전원을 끕니다.

2

노드를 제거합니다.

  1. Partner Hub에 로그인한 후 서비스를 선택합니다.

  2. 하이브리드 데이터 보안 카드에서 모두 보기 를 클릭하여 하이브리드 데이터 보안 리소스 페이지를 표시합니다.

  3. 클러스터를 선택하여 개요 목록을 표시합니다.

  4. 제거할 노드를 클릭합니다.

  5. 오른쪽에 나타나는 목록에서 이 노드 등록 해제 를 클릭합니다.

  6. 노드의 오른쪽에서…을 클릭하고 이 노드 제거를 선택하여 노드의 등록을 해제할 수도 있습니다.

3

vSphere 클라이언트에서 VM을 삭제합니다. (왼쪽 네비게이션 분할 창에서 VM을 오른쪽 클릭하고 삭제를 클릭합니다.)

VM을 삭제하지 않는 경우 구성 ISO 파일을 마운트 해제하십시오. ISO 파일이 없으면 VM을 사용하여 보안 데이터에 액세스할 수 없습니다.

대기 데이터 센터를 사용하여 장애 복구

하이브리드 데이터 보안 클러스터에서 제공하는 가장 중요한 서비스는 메시지 및 Webex 클라우드에 저장된 기타 콘텐츠를 암호화하는 데 사용되는 키를 만들고 저장하는 것입니다. 하이브리드 데이터 보안에 지정된 조직 내의 각 사용자에 대해 새로운 키 만들기 요청은 클러스터로 라우팅됩니다. 또한 클러스터는 생성된 키를 검색할 권한이 있는 모든 사용자(예: 대화 스페이스의 구성원)에게 해당 키를 반환해야 합니다.

클러스터는 이러한 키를 제공하는 중요한 기능을 수행하므로, 클러스터가 계속 실행되고 올바른 백업이 유지관리되어야 합니다. 하이브리드 데이터 보안 데이터베이스나 스키마에 대해 사용된 구성 ISO가 손실되면 고객 콘텐츠가 복구할 수 없게 됩니다. 다음 실행은 이러한 유실을 방지하기 위해 필수적입니다.

장애가 발생하여 기본 데이터 센터에서 HDS 배포를 사용할 수 없게 하는 경우, 이 절차를 따라 대기 데이터 센터로 수동으로 장애 조치하십시오.

시작하기 전에

노드 제거에서 언급한 대로 Partner Hub에서 모든 노드를 등록 해제합니다. 이전에 활성 상태였던 클러스터의 노드에 대해 구성된 최신 ISO 파일을 사용하여 아래에 언급한 장애 조치 절차를 수행합니다.
1

HDS 설정 도구를 시작하고 HDS 호스트에 대해 구성 ISO 만들기에서 언급한 단계를 따릅니다.

2

구성 프로세스를 완료하고 쉽게 찾을 수 있는 위치에 ISO 파일을 저장합니다.

3

로컬 시스템에서 ISO 파일의 백업 복사본을 만듭니다. 백업 복사본을 안전하게 유지합니다. 이 파일에는 데이터베이스 콘텐츠에 대한 마스터 암호화 키가 포함됩니다. 구성을 변경해야 하는 하이브리드 데이터 보안 관리자에게만 액세스를 제한합니다.

4

VMware vSphere 클라이언트의 왼쪽 네비게이션 분할 창에서 VM을 오른쪽 클릭하고 설정 편집을 클릭합니다.

5

설정 편집 > CD/DVD 드라이브 1 을 클릭하고 데이터스토어 ISO 파일을 선택합니다.

노드를 시작한 후에 업데이트된 구성 변경 사항이 적용될 수 있도록 연결됨시동 시 연결 이 체크되었는지 확인하십시오.

6

HDS 노드를 시동하고 최소한 15분 동안 경보가 없는지 확인하십시오.

7

Partner Hub에서 노드를 등록합니다. 클러스터에서 첫 번째 노드 등록을 참조하십시오.

8

대기 데이터 센터의 모든 노드에 대해 프로세스를 반복합니다.

다음에 수행할 작업

장애 조치 후 기본 데이터 센터가 다시 활성화되면 대기 데이터 센터의 노드를 등록 해제하고 상단에 언급한 대로 기본 데이터 센터의 노드 등록 및 ISO 구성 및 등록 과정을 반복합니다.

(선택 사항) HDS 구성 후 ISO 제거

표준 HDS 구성은 ISO가 장착된 상태에서 실행됩니다. 그러나 일부 고객은 ISO 파일을 계속 마운트하지 않는 것을 선호합니다. 모든 HDS 노드가 새로운 구성을 적용하면 ISO 파일을 마운트 해제할 수 있습니다.

여전히 ISO 파일을 사용하여 구성을 변경합니다. 설정 도구를 통해 새로운 ISO를 만들거나 ISO를 업데이트할 때 모든 HDS 노드에 업데이트된 ISO를 마운트해야 합니다. 모든 노드에서 구성 변경 사항을 적용하면 이 절차를 사용하여 ISO를 다시 마운트 해제할 수 있습니다.

시작하기 전에

모든 HDS 노드를 버전 2021.01.22.4720 이상으로 업그레이드하십시오.

1

HDS 노드 중 하나를 종료합니다.

2

vCenter Server Appliance에서 HDS 노드를 선택합니다.

3

설정 편집 > CD/DVD 드라이브 를 선택하고 데이터스토어 ISO 파일을 체크 해제합니다.

4

HDS 노드를 시동하고 20분 이상 알람이 없는지 확인합니다.

5

각 HDS 노드에 대해 차례로 반복합니다.

하이브리드 데이터 보안 문제 해결하기

경고 보기 및 문제 해결하기

클러스터의 모든 노드에 연결할 수 없거나 클러스터가 너무 느리게 작동하여 시간 초과를 요청하는 경우 하이브리드 데이터 보안 배포를 사용할 수 없는 것으로 간주됩니다. 사용자가 하이브리드 데이터 보안 클러스터에 연결할 수 없는 경우, 다음 증상을 경험합니다.

  • 새로운 스페이스가 생성되지 않음 (새 키를 만들 수 없음)

  • 다음 경우에 대해 메시지 및 스페이스 제목을 해독하지 못함:

    • 새로운 사용자가 스페이스에 추가됨 (키를 페치할 수 없음)

    • 스페이스에서 기존의 사용자가 새로운 클라이언트 사용 (키를 페치할 수 없음)

  • 스페이스에 있는 기존의 사용자는 클라이언트에 암호화 키의 캐시가 있는 한 계속 성공적으로 실행함

서비스가 중단되지 않게 하려면 하이브리드 데이터 보안 클러스터를 올바르게 모니터링하고 경고를 즉시 해결하는 것이 중요합니다.

경고

하이브리드 데이터 보안 설정에 문제가 있는 경우, Partner Hub는 조직 관리자에게 경고를 표시하고 구성된 이메일 주소로 이메일을 보냅니다. 경고는 여러 가지 일반적인 상황을 다룹니다.

표 1. 일반적인 문제 및 문제를 해결하기 위한 단계

경고

작업

로컬 데이터베이스 액세스 실패.

데이터베이스 오류 또는 로컬 네트워크 문제를 확인합니다.

로컬 데이터베이스 연결 실패.

데이터베이스 서버를 사용할 수 있는지, 노드 구성에서 올바른 서비스 계정 자격 증명이 사용되고 있는지 확인합니다.

클라우드 서비스 액세스 실패.

외부 연결 요구 사항에 지정된 대로 노드가 Webex 서버에 액세스할 수 있는지 확인합니다.

클라우드 서비스 등록을 갱신하는 중.

클라우드 서비스로의 등록이 중단됩니다. 현재 등록을 갱신하는 중.

클라우드 서비스 등록이 중단됩니다.

클라우드 서비스로의 등록이 종료됩니다. 서비스가 종료됩니다.

서비스가 아직 활성화되지 않았습니다.

Partner Hub에서 Hds를 활성화합니다.

구성된 도메인이 서버 인증서와 일치하지 않습니다.

서버 인증서가 구성된 서비스 활성화 도메인과 일치하는지 확인합니다.

원인은 최근에 인증서 CN이 변경되었으며 현재 초기 설정 중에 사용된 CN과 다른 CN이 사용되고 있기 때문일 가능성이 높습니다.

클라우드 서비스에 인증하지 못함.

정확성 및 서비스 계정 자격 증명의 만료일을 확인합니다.

로컬 키 저장소 파일을 열지 못함.

로컬 키 저장소 파일에서 무결성 및 비밀번호 정확성을 확인합니다.

로컬 서버 인증서가 유효하지 않습니다.

서버 인증서의 만료 날짜를 확인하고, 신뢰할 수 있는 인증 기관에서 발행한 것인지 확인합니다.

메트릭을 게시할 수 없음.

외부 클라우드 서비스로의 로컬 네트워크 액세스를 확인합니다.

/media/configdrive/hds 디렉토리가 존재하지 않습니다.

가상 호스트에서 ISO 마운트 구성을 확인합니다. ISO 파일이 존재하는지 확인하고, 해당 파일이 재부팅 시에 마운트하도록 구성되었는지, 성공적으로 마운트되는지를 확인합니다.

추가된 조직에 대해 테넌트 조직 설정이 완료되지 않음

HDS 설정 도구를 사용하여 새롭게 추가된 테넌트 조직에 대해 CMK를 생성하여 설정을 완료하십시오.

제거된 조직에 대해 테넌트 조직 설정이 완료되지 않음

HDS 설정 도구를 사용하여 제거된 테넌트 조직의 CMK를 취소하여 설정을 완료하십시오.

하이브리드 데이터 보안 문제 해결하기

하이브리드 데이터 보안의 문제를 해결할 때 다음 일반적인 안내를 사용하십시오.
1

Partner Hub를 확인하여 경고를 확인하고 여기에서 찾을 수 있는 항목을 수정하십시오. 참조에 대해서는 아래 이미지를 참조하십시오.

2

하이브리드 데이터 보안 배포에서 활동에 대한 syslog 서버 출력을 확인합니다. 문제 해결에 도움이 되도록 "경고" 및 "오류"와 같은 단어를 필터링합니다.

3

Cisco 고객 지원으로 연락합니다.

기타 메모

하이브리드 데이터 보안 알려진 문제

  • 하이브리드 데이터 보안 클러스터를 Partner Hub에서 삭제하거나 모든 노드를 종료하는 경우, 구성 ISO 파일을 잃거나 키 저장소 데이터베이스에 액세스할 수 없는 경우, 고객 조직의 WeBEX 앱 사용자는 더 이상 KMS의 키로 생성된 사용자 목록 아래에 있는 스페이스를 사용할 수 없습니다. 현재 이 문제에 대한 해결 방법은 없으며, HDS 서비스에서 활동 중인 사용자 계정을 처리하고 있는 경우에 해당 서비스를 종료하지 말 것을 강조합니다.

  • KMS에 대한 기존의 ECDH 연결이 있는 클라이언트는 특정 기간(1시간 정도) 동안 해당 연결을 유지합니다.

OpenSSL을 사용하여 PKCS12 파일 생성

시작하기 전에

  • OpenSSL은 HDS 설정 도구에서 로딩하기 위해 PKCS12 파일을 적합한 형식으로 만드는 데 사용할 수 있는 도구입니다. 이 작업을 실행할 수 있는 다른 방법이 있으며, 특정 방법을 더 지원하거나 홍보하지 않습니다.

  • OpenSSL을 사용하도록 선택한 경우, 이 절차를 X.509 인증서 요구 사항에서 X.509 인증서 요구 사항을 충족하는 파일을 만드는 데 도움이 되는 가이드라인으로 제공합니다. 진행하기 전에 다음 요구 사항을 숙지하십시오.

  • 지원되는 환경에서 OpenSSL을 설치합니다. 소프트웨어 및 문서에 대해서는 https://www.openssl.org을(를) 참조하십시오.

  • 비공개 키를 만듭니다.

  • 인증 기관(CA)으로부터 서버 인증서를 수신한 후에 이 절차를 시작하십시오.

1

인증 기관(CA)으로부터 서버 인증서를 수신한 후 hdsnode.pem으로 저장합니다.

2

인증서를 텍스트로 표시하고 세부 사항을 확인합니다.

openssl x509 -text -noout -in hdsnode.pem

3

텍스트 편집기를 사용하여 hdsnode-bundle.pem으로 칭하는 인증서 번들 파일을 만듭니다. 번들 파일에는 서버 인증서, 모든 중간 CA 인증서 및 루트 CA 인증서가 아래의 형식으로 포함되어야 합니다.

-----인증서 시작----- ### 서버 인증서. ### -----인증서 종료---- -----인증서 시작----- ### 중간 CA 인증서. ### -----인증서 종료---- -----인증서 시작----- ### 루트 ca 인증서. ### -----인증서 종료-----

4

쉽게 알 수 있는 이름인 kms-private-key로 .p12 파일을 만듭니다.

openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

5

서버 인증서 세부 사항을 확인합니다.

  1. openssl pkcs12 -in hdsnode.p12

  2. 안내에 따라 비밀번호를 입력하여 비공개 키를 암호화하고 출력에 표시되게 합니다. 그 후 비공개 키 및 첫 번째 인증서에 friendlyName: kms-private-key 줄이 포함되었는지 확인합니다.

    예:

    bash$ openssl pkcs12 -in hdsnode.p12 가져오기 비밀번호 입력: MAC이 다음 항목을 확인: OK Bag 속성 friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 키 속성:  PEM 암호 구문 입력: 확인 중 - PEM 암호 입력: -----암호화된 비공개 키 시작-----  -----암호화된 비공개 키 종료------ 백 속성 friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 SUBJECT=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt/CN=Let's Encrypt Authority X3 ------BEGIN CERTIFICATE-----  -----END CERTIFICATE------ Bag 속성 friendly이름: CN=Authority X3 암호화,O=Let's 암호화,C=US subject=/C=US/O=Let's Encrypt/CN=Authority X3 issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3 ------인증서 시작-----  -----인증서 종료------

다음에 수행할 작업

하이브리드 데이터 보안에 대한 전제 조건 완료로 돌아갑니다. hdsnode.p12 파일 및 해당 파일에 대해 설정한 비밀번호를 HDS 호스트에 대해 구성 ISO 만들기에서 사용합니다.

원래 인증서가 만료될 때 이러한 파일을 다시 사용하여 새 인증서를 요청할 수 있습니다.

HDS 노드 및 클라우드 간 트래픽

아웃바운드 메트릭 수집 트래픽

하이브리드 데이터 보안 노드는 특정 메트릭을 Webex 클라우드로 보냅니다. 여기에는 최대 힙, 사용된 힙, CPU 로드 및 스레드 수에 대한 시스템 메트릭이 포함됩니다. 또한 동기적 스레드 및 비동기적 스레드에 대한 메트릭, 암호화 연결, 대시 시간 또는 요청 대기열 길이의 임계값과 관련된 경고에 대한 메트릭, 데이터스토어 관련 메트릭 및 암호화 연결 메트릭도 포함됩니다. 노드는 대역 외(요청과 별개) 채널을 통해 암호화된 키 자료를 보냅니다.

인바운드 트래픽

하이브리드 데이터 보안 노드는 Webex 클라우드에서 다음 유형의 인바운드 트래픽을 수신합니다.

  • 클라이언트로부터 암호화 요청. 암호화 서비스에서 라우트됨

  • 노드 소프트웨어로 업그레이드

하이브리드 데이터 보안에 대해 Squid 프록시 구성

웹 소켓은 Squid 프록시를 통해 연결할 수 없음

HTTPS 트래픽을 검사하는 Squid 프록시는 하이브리드 데이터 보안에서 요구하는 웹소켓(wss:) 연결을 설정하는 데 방해가 될 수 있습니다. 다음 섹션에서는 서비스가 올바르게 작동하도록 다양한 버전의 Squid에서 wss: 트래픽을 무시하도록 구성하는 방법에 대한 안내를 제공합니다.

Squid 4 및 5

on_unsupported_protocolsquid.conf에 지시어를 추가합니다.

on_unsupported_protocol 모두 터널

Squid 3.5.27

squid.com에 추가된 다음 규칙으로 하이브리드 데이터 보안을 성공적으로 테스트했습니다. 이 규칙은 기능을 개발하고 Webex 클라우드를 업데이트 함에 따라 변경될 수도 있습니다.

acl wssMercuryConnection ssl::server_name_regex 수성 연결 ssl_bump 스플라이스 wssMercuryConnection acl step1 at_step SslBump1 acl step2 at_step SslBump2 acl step3 at_step SslBump3 ssl_bump 엿보기 step1 ssl_bump stare step2 ssl_bump bump step3 all

새 정보 및 변경된 정보

새 정보 및 변경된 정보

이 표는 새로운 기능 또는 기능, 기존의 콘텐츠에 대한 변경 사항 및 멀티 테넌트 하이브리드 데이터 보안의 배포 안내서에서 수정된 주요 오류를 설명합니다.

날짜

변경 사항 적용됨

2025년 1월 30일

데이터베이스 서버 요구 사항에서 지원되는 SQL 서버의 목록에 SQL 서버 버전 2022을 추가했습니다.

2025년 1월 15일 목요일

멀티 테넌트 하이브리드 데이터 보안의 제한 사항을 추가했습니다.

2025년 1월 8일 목요일

초기 설정 실행 및 설치 파일 다운로드 에 Partner Hub에서 HDS 카드에서 설정 을 클릭하면 설치 프로세스의 중요한 단계임을 알리는 메모를 추가했습니다.

2025년 1월 7일 목요일

ESXi 7.0의 새로운 요구 사항을 표시하기 위해 가상 호스트 요구 사항, 하이브리드 데이터 보안 배포 작업 흐름HDS 호스트 OVA 설치 를 업데이트했습니다.

2024년 12월 13일 목요일

처음으로 공개되었습니다.

멀티 테넌트 하이브리드 데이터 보안 비활성화

멀티 테넌트 HDS 비활성화 작업 흐름

멀티 테넌트 HDS를 완전히 비활성화하려면 다음 단계를 따르십시오.

시작하기 전에

이 작업은 파트너 전체 관리자가 실행해야 합니다.
1

테넌트 조직 제거에서 언급한 대로 모든 클러스터에서 모든 고객을 제거합니다.

2

HDS에서 제거된 테넌트의 CMK 취소에서 언급한 대로 모든 고객의 CMK를 취소합니다.

3

노드 제거에서 언급한 대로 모든 클러스터에서 모든 노드를 제거합니다.

4

다음 두 가지 방법 중 하나를 사용하여 Partner Hub에서 모든 클러스터를 삭제합니다.

  • 삭제할 클러스터를 클릭하고 개요 페이지의 상단 오른쪽 모서리에서 이 클러스터 삭제 를 선택합니다.
  • 리소스 페이지에서 클러스터의 오른쪽에 있는 …을 클릭하고 클러스터 제거를 선택합니다.
5

하이브리드 데이터 보안 개요 페이지에서 설정 탭을 클릭하고 HDS 상태 카드에서 HDS 비활성화 를 클릭합니다.

멀티 테넌트 하이브리드 데이터 보안 시작하기

멀티 테넌트 하이브리드 데이터 보안 개요

처음부터 데이터 보안은 Webex 앱 설계에 있어 가장 중점적인 부분이었습니다. 이 보안의 토대는 KMS(Key Management Service)와 상호 작용하는 Webex 앱 클라이언트가 활성화하는 종단 간 콘텐츠 암호화입니다. KMS는 클라이언트가 메시지 및 파일을 동적으로 암호화하고 해독하는 데 사용하는 암호화 키를 만들고 관리합니다.

기본적으로 모든 Webex 앱 고객은 Cisco의 보안 영역에 있는 클라우드 KMS에 저장된 동적인 키로 종단 간 암호화를 사용합니다. 하이브리드 데이터 보안은 KMS 및 기타 보안 관련 기능을 기업의 데이터 센터로 이동시키기 때문에 암호화된 콘텐츠에는 귀하만 접근할 수 있습니다.

멀티 테넌트 하이브리드 데이터 보안 을 통해 조직은 신뢰할 수 있는 로컬 파트너를 통해 HDS를 활용할 수 있습니다. 이는 서비스 제공자 역할을 하고 온-프레미스 암호화 및 기타 보안 서비스를 관리할 수 있습니다. 이 설정을 통해 파트너 조직은 암호화 키의 배포 및 관리를 완전히 제어할 수 있으며, 고객 조직의 사용자 데이터가 외부 액세스로부터 안전한지 확인합니다. 파트너 조직은 필요에 따라 HDS 인스턴스를 설정하고 HDS 클러스터를 만듭니다. 각 인스턴스는 한 개의 조직으로 제한되는 일반 HDS 배포와 달리 다수의 고객 조직을 지원할 수 있습니다.

파트너 조직은 배포 및 관리를 제어할 수 있지만, 고객이 생성한 데이터 및 콘텐츠에 액세스할 수 없습니다. 이 액세스는 고객 조직 및 사용자로 제한됩니다.

또한 데이터 센터와 같은 주요 관리 서비스 및 보안 인프라가 신뢰할 수 있는 로컬 파트너가 소유하고 있기 때문에 소규모 조직이 HDS를 활용할 수도 있습니다.

멀티 테넌트 하이브리드 데이터 보안이 데이터 주권 및 데이터 제어를 제공하는 방법

  • 사용자가 생성한 콘텐츠는 클라우드 서비스 공급자와 같은 외부 액세스로부터 보호됩니다.
  • 로컬 신뢰할 수 있는 파트너는 이미 설정된 관계를 갖고 있는 고객의 암호화 키를 관리합니다.
  • 파트너가 제공하는 경우 로컬 기술 지원에 대한 옵션.
  • 미팅, 메시징 및 통화 콘텐츠를 지원합니다.

이 문서는 파트너 조직이 멀티 테넌트 하이브리드 데이터 보안 시스템에서 고객을 설정하고 관리할 수 있게 지원하기 위한 것입니다.

멀티 테넌트 하이브리드 데이터 보안의 제한 사항

  • 파트너 조직에는 Control Hub에서 활동 중인 기존의 HDS 배포가 없어야 합니다.
  • 파트너가 관리하고자 하는 테넌트 또는 고객 조직은 Control Hub에 기존의 HDS 배포를 갖고 있지 않아야 합니다.
  • 파트너가 멀티 테넌트 HDS를 배포하면 고객 조직의 모든 사용자 및 파트너 조직의 사용자가 암호화 서비스에 멀티 테넌트 HDS를 사용하기 시작합니다.

    관리하는 파트너 조직 및 고객 조직은 동일한 멀티 테넌트 HDS 배포에 위치합니다.

    멀티 테넌트 HDS가 배포된 후에 파트너 조직은 더 이상 클라우드 KMS를 사용하지 않습니다.

  • HDS 배포 후 키를 다시 클라우드 KMS로 이동하는 메커니즘은 없습니다.
  • 현재 각 멀티 테넌트 HDS 배포에는 여러 노드가 포함된 한 개의 클러스터만 포함할 수 있습니다.
  • 관리자 역할에는 특정 제한 사항이 있습니다. 자세한 내용은 아래 섹션을 참조하십시오.

멀티 테넌트 하이브리드 데이터 보안의 역할

  • 파트너 전체 관리자 - 파트너가 관리하는 모든 고객에 대한 설정을 관리할 수 있습니다. 또한 조직의 기존 사용자에게 관리자 역할을 지정하고 파트너 관리자가 관리할 특정 고객을 지정할 수도 있습니다.
  • 파트너 관리자 - 관리자가 구축했거나 사용자에게 지정된 고객에 대한 설정을 관리할 수 있습니다.
  • 전체 관리자 - 조직 설정 수정, 라이센스 관리 및 역할 지정 등 작업을 수행할 수 있는 권한이 있는 파트너 조직의 관리자.
  • 모든 고객 조직의 종단 간 멀티 테넌트 HDS 설정 및 관리 - 파트너 전체 관리자 및 전체 관리자 권한이 필요합니다.
  • 지정된 테넌트 조직의 관리 - 파트너 관리자 및 전체 관리자 권한이 필요합니다.

보안 영역 아키텍처

Webex 클라우드 아키텍처는 아래와 같이 다른 유형의 서비스를 별도의 영역 또는 신뢰 도메인으로 구분합니다.

분리 영역 (하이브리드 데이터 보안 포함하지 않음)

하이브리드 데이터 보안을 더욱 잘 이해하기 위해 먼저 Cisco가 클라우드 영역에서 모든 기능을 제공하는 순수한 클라우드 사례를 살펴보겠습니다. 아이덴티티 서비스(사용자가 이메일 주소 등의 개인 정보와 직접 연관될 수 있는 유일한 장소)는 논리적, 물리적으로 데이터 센터 B에 있는 보안 영역과 분리됩니다. 따라서 두 부분 모두 데이터 센터 C에서 암호화된 콘텐츠가 궁극적으로 저장되는 영역과 분리됩니다.

이 다이어그램에서 클라이언트는 사용자의 노트북에서 실행되고 있는 Webex 앱이며, 아이덴티티 서비스로 인증되었습니다. 사용자가 스페이스에 보낼 메시지를 작성할 때 다음 단계가 실행됩니다.

  1. 클라이언트는 KMS(Key management service)를 사용하여 보안 연결을 설정한 후 메시지를 해독하기 위해 키를 요청합니다. 보안 연결은 ECDH를 사용하고, KMS는 AES-256 마스터 키를 사용하여 키를 암호화합니다.

  2. 메시지는 클라이언트에게 발송되기 전에 암호화됩니다. 클라이언트는 메시지를 인덱싱 서비스로 보내며, 여기에서 해당 콘텐츠에 대한 향후 검색에서 지원할 암호화된 검색 인덱스를 만듭니다.

  3. 암호화된 메시지는 규정 준수 확인을 위해 준수 서비스로 발송됩니다.

  4. 암호화된 메시지는 스토리지 영역에 저장됩니다.

하이브리드 데이터 보안을 배포할 때 보안 영역 기능(KMS, 인덱싱 및 규정 준수)을 온-프레미스 데이터 센터로 이동합니다. Webex를 구성하는 다른 클라우드 서비스(ID 및 콘텐츠 스토리지 포함)는 Cisco의 영역에 남아 있습니다.

다른 조직과 협업

조직에 있는 사용자는 정기적으로 Webex 앱을 사용하여 다른 조직에 있는 외부 참가자와 협업할 수도 있습니다. 해당 사용자가 귀하의 조직에서 소유하고 있는 스페이스에 대한 키를 요청하는 경우(귀사의 사용자 중의 한 명이 생성했기 때문), KMS는 ECDH 보안 채널을 통해 해당 클라이언트에게 키를 보냅니다. 단, 다른 조직에서 스페이스에 대한 키를 소유하고 있는 경우, KMS는 개별 ECDH 채널을 통해 요청을 WeBEX 클라우드로 라우트하여 적합한 KMS에서 키를 가져온 후 원래 채널에 있는 사용자에게 해당 키를 반환합니다.

조직 A에서 실행되고 있는 KMS 서비스는 X.509 PKI 인증서를 사용하여 다른 조직에서 KMS에 대한 연결을 검증합니다. 멀티 테넌트 하이브리드 데이터 보안 배포에서 사용할 x.509 인증서 생성에 대한 자세한 내용은 환경 준비 를 참조하십시오.

하이브리드 데이터 보안 배포에 대해 예상되는 부분

하이브리드 데이터 보안 배포에는 암호화 키를 소유하고 있는 위험성에 대한 확고한 약속과 인식이 필요합니다.

하이브리드 데이터 보안을 배포하려면 다음 항목을 제공해야 합니다.

하이브리드 데이터 보안에 대해 빌드하는 구성 ISO나 제공하는 데이터베이스를 완전히 잃으면 키를 잃게 됩니다. 키 손실은 사용자가 Webex 앱에서 스페이스 콘텐츠 및 기타 암호화된 데이터를 해독하지 못하게 합니다. 이러한 경우, 새로운 배포를 빌드할 수 있지만 새로운 콘텐츠만 표시됩니다. 데이터로의 액세스를 잃지 않으려면 다음을 실행하십시오.

  • 데이터베이스 및 구성 ISO의 백업 및 복구를 관리합니다.

  • 데이터베이스 디스크 오류 또는 데이터 센터 장애 등 재해가 발생할 경우 빠른 장애 복구를 수행할 수 있도록 준비하십시오.

HDS 배포 후 키를 다시 클라우드로 이동하는 메커니즘은 없습니다.

고급 설정 프로세스

이 문서는 멀티 테넌트 하이브리드 데이터 보안 배포의 설정 및 관리를 다룹니다.

  • 하이브리드 데이터 보안 설정—여기에는 필수 인프라 준비 및 하이브리드 데이터 보안 소프트웨어 설치, HDS 클러스터 만들기, 테넌트 조직을 클러스터에 추가 및 고객 기본 키(CMK) 관리 등이 포함됩니다. 이는 고객 조직의 모든 사용자가 보안 기능에 대해 하이브리드 데이터 보안 클러스터를 사용할 수 있게 합니다.

    설정, 활성화 및 관리 단계는 다음 세 장에서 자세히 다룹니다.

  • 하이브리드 데이터 보안 배포 유지—Webex 클라우드는 진행 중인 업그레이드를 자동으로 제공합니다. IT 부서는 이 배포에 대한 1단계 지원을 제공하고, 필요에 따라 Cisco 고객 지원과 작업할 수 있습니다. Partner Hub에서 화면에 알림을 사용하고 이메일 기반 경고를 설정할 수 있습니다.

  • 공통 경고, 문제 해결하기 단계 및 알려진 문제 이해하기—하이브리드 데이터 보안을 배포하거나 사용하는 데 문제가 발생하는 경우, 이 안내서의 마지막 장 및 알려진 문제 부록은 문제를 파악하고 수정하는 데 도움이 될 수 있습니다.

하이브리드 데이터 보안 배포 모델

기업 데이터 센터 내에서 개별 가상 호스트에 하이브리드 데이터 보안을 한 개의 노드로 배포합니다. 노드는 보안 웹소켓 및 보안 HTTP를 통해 Webex 클라우드와 통신합니다.

설치 과정 중에 귀하가 제공하는 VM에 가상 기기를 설정하기 위한 OVA 파일을 제공합니다. HDS Setup 도구를 사용하여 각 노드에서 마운트한 사용자 정의 클러스터 구성 ISO 파일을 만듭니다. 하이브리드 데이터 보안 클러스터는 제공된 Syslogd 서버 및 PostgreSQL 또는 Microsoft SQL Server 데이터베이스를 사용합니다. (HDS 설정 도구에서 Syslogd 및 데이터베이스 연결 세부 정보를 구성합니다.)

하이브리드 데이터 보안 배포 모델

한 개의 클러스터에 포함할 수 있는 최소한의 노드 수는 2개입니다. 클러스터당 최소한 세 개를 권장합니다. 여러 노드를 사용하면 노드에서 소프트웨어 업그레이드 또는 기타 유지관리 활동 중에 서비스가 중단되지 않도록 합니다. (Webex 클라우드는 한 번에 한 개의 노드만 업그레이드합니다.)

클러스터에 있는 모든 노드는 동일한 키 데이터스토어에 액세스하고, 동일한 시스로그 서버에 활동을 로그합니다. 노드 자체는 상태를 저장하지 않으며, 클라우드에서 디렉트된 대로 라운드 로빈 방법으로 키 요청을 처리합니다.

Partner Hub에서 노드를 등록하면 노드가 활성화됩니다. 개별 노드의 서비스를 중단시키려면 등록 해제하고 나중에 필요할 때 다시 등록할 수 있습니다.

재해 복구를 위한 대기 데이터 센터

배포 중에 보안 대기 데이터 센터를 설정합니다. 데이터 센터 장애 발생 시 대기 데이터 센터로 수동으로 배포를 실패할 수 있습니다.

장애 조치 전에 데이터 센터 A에 활성 HDS 노드 및 기본 PostgreSQL 또는 Microsoft SQL Server 데이터베이스가 있는 반면, B에 추가 구성이 포함된 ISO 파일의 사본, 조직에 등록된 VM 및 대기 데이터베이스가 있습니다. 장애 조치 후 데이터 센터 B에는 활성 HDS 노드 및 기본 데이터베이스가 있는 반면, A에 등록 해제된 VM 및 ISO 파일의 사본이 있으며, 데이터베이스는 대기 모드입니다.
대기 데이터 센터에 수동 장애 조치

활동 중 및 대기 데이터 센터의 데이터베이스가 서로 동기화되어 장애 조치를 수행하는 데 소요되는 시간을 최소화합니다.

활동 중인 하이브리드 데이터 보안 노드는 항상 활동 중인 데이터베이스 서버와 동일한 데이터 센터에 위치해야 합니다.

프록시 지원

하이브리드 데이터 보안은 명시적, 투명 검사 및 비-검사 프록시를 지원합니다. 해당 프록시를 배포에 연결하여 기업에서 클라우드로의 트래픽을 안전하게 보호하고 모니터링할 수 있습니다. 인증서 관리에 대해 노드에서 플랫폼 관리 인터페이스를 사용하고, 노드에서 프록시를 설정한 후 전반적인 연결 상태를 확인하기 위해 사용할 수 있습니다.

하이브리드 데이터 보안 노드는 다음 프록시 옵션을 지원합니다.

  • 프록시 없음—프록시를 통합하기 위해 HDS 노드 설정 신뢰 저장소 및 프록시 구성을 사용하지 않는 경우의 기본값입니다. 인증서를 업데이트하지 않아도 됩니다.

  • 투명 비-검사 프록시—노드가 특정 프록시 서버 주소를 사용하도록 구성되지 않았으며, 비-검사 프록시에서 작동하도록 변경하지 않아도 됩니다. 인증서를 업데이트하지 않아도 됩니다.

  • 투명 터널링 또는 검사 프록시—노드가 특정 프록시 서버 주소를 사용하도록 구성되지 않았습니다. 노드에서 HTTP 또는 HTTPS 구성을 변경하지 않아도 됩니다. 단, 노드에 루트 인증서가 있어야 프록시를 신뢰할 수 있습니다. 일반적으로 검사 프록시는 IT가 어떤 웹사이트를 방문할 수 있는지 및 어떤 유형의 콘텐츠가 허용되는지에 대한 정책을 적용하기 위해 사용됩니다. 이러한 유형의 프록시는 모든 트래픽(HTTPS 포함)을 해독합니다.

  • 명시적 프록시—명시적 프록시를 사용하여 HDS 노드에 어떤 프록시 서버 및 인증 체계를 사용하는지 알립니다. 명시적 프록시를 구성하려면 각 노드에 다음 정보를 입력해야 합니다.

    1. 프록시 IP/FQDN—프록시 머신에 연결하기 위해 사용될 수 있는 주소입니다.

    2. 프록시 포트—프록시가 프록시된 트래픽을 수신하기 위해 사용하는 포트 번호입니다.

    3. 프록시 프로토콜—프록시 서버에서 지원하는 내용에 따라 다음 프로토콜 중에서 선택합니다.

      • HTTP—클라이언트가 전송하는 모든 요청을 확인하고 제어합니다.

      • HTTPS—서버에 채널을 제공합니다. 클라이언트는 서버의 인증서를 수신하고 유효성을 검증합니다.

    4. 인증 유형—다음 인증 유형 중에서 선택합니다.

      • 없음—추가 인증이 필요하지 않습니다.

        HTTP 또는 HTTPS를 프록시 프로토콜로 선택하는 경우에 사용할 수 있습니다.

      • 기본—요청을 할 때 HTTP 사용자 에이전트가 사용자 이름 및 비밀번호를 제공하기 위해 사용됩니다. Base64 인코딩을 사용합니다.

        HTTP 또는 HTTPS를 프록시 프로토콜로 선택하는 경우에 사용할 수 있습니다.

        각 노드에서 사용자 이름 및 비밀번호를 입력하도록 요구합니다.

      • 다이제스트—민감한 정보를 보내기 전에 계정을 확인하기 위해 사용됩니다. 네트워크를 통해 전송하기 전에 사용자 이름 및 비밀번호에 해시 기능을 적용합니다.

        HTTPS를 프록시 프로토콜로 선택하는 경우에만 사용할 수 있습니다.

        각 노드에서 사용자 이름 및 비밀번호를 입력하도록 요구합니다.

하이브리드 데이터 보안 노드 및 프록시의 예제

이 다이어그램은 하이브리드 데이터 보안, 네트워크 및 프록시 간의 예제 연결을 표시합니다. 투명 검사 및 HTTPS 명시적 검사 프록시 옵션에 대해 프록시 및 하이브리드 데이터 보안 노드에 동일한 루트 인증서가 설치되어 있어야 합니다.

차단된 외부 DNS 확인 모드 끄기 (명시적 프록시 구성)

노드를 등록하거나 노드의 프록시 구성을 확인할 때 프로세스는 Cisco Webex 클라우드에 대한 DNS 조회 및 연결을 테스트합니다. 내부 클라이언트에 대해 외부 DNS 확인을 허용하지 않는 명시적인 프록시 구성이 포함된 배포에서 노드가 DNS 서버를 쿼리할 수 없는 경우, 이는 자동으로 차단된 외부 DNS 확인 모드로 지정됩니다. 이 모드에서 노드 등록 및 다른 프록시 연결 테스트를 진행할 수 있습니다.

환경 준비

멀티 테넌트 하이브리드 데이터 보안의 요구 사항

Cisco Webex 라이센스 요구 사항

멀티 테넌트 하이브리드 데이터 보안을 배포하려면:

  • 파트너 조직: Cisco 파트너 또는 계정 관리자에게 연락하고 멀티 테넌트 기능이 활성화되었는지 확인하십시오.

  • 테넌트 조직: Cisco Webex Control Hub용 Pro Pack을 사용해야 합니다. (참조: https://www.cisco.com/go/pro-pack)

Docker 데스크탑 요구 사항

HDS 노드를 설치하기 전에 설치 프로그램을 실행하려면 Docker 데스크탑이 필요합니다. Docker는 최근 라이센싱 모델을 업데이트했습니다. 조직에서 Docker 데스크탑에 대해 유료 가입을 요구할 수도 있습니다. 자세한 내용은 Docker 블로그 게시물 " Docker가 업데이트 중 및 제품 가입 연장하기를 참조합니다.

X.509 인증서 요구 사항

인증서 체인은 다음 요구 사항을 충족해야 합니다.

표 1. 하이브리드 데이터 보안 배포를 위한 X.509 인증서 요구 사항

요구 사항

세부 정보

  • 신뢰할 수 있는 인증 기관(CA)에서 서명함

기본적으로 Mozilla 목록에 있는 CA를 https://wiki.mozilla.org/CA:IncludedCAs에서 신뢰합니다(WoSign 및 StartCom 예외).

  • 하이브리드 데이터 보안 배포를 식별하는 CN(Common Name) 도메인 이름을 나타냅니다.

  • 와일드카드 인증서가 아님

CN은 연결되어야 하거나, 실시간 호스트일 필요가 없습니다. 조직을 반영하는 이름을 사용할 것을 권장합니다. 예: hds.company.com

CN에는 *(와일드카드)를 포함할 수 없습니다.

CN은 Webex 앱 클라이언트에 대해 하이브리드 데이터 보안 노드를 확인하기 위해 사용됩니다. 클러스터에 있는 모든 하이브리드 데이터 보안 노드는 동일한 인증서를 사용합니다. KMS는 x.509v3 SAN 필드에 정의된 도메인이 아닌 CN 도메인을 사용하여 자체적으로 식별합니다.

이 인증서를 사용하여 노드를 등록하면 CN 도메인 이름에 대한 변경을 지원하지 않습니다.

  • Non-SHA1 signature

KMS 소프트웨어는 다른 조직의 KMS에 연결을 확인하는 작업에 대해 SHA1 서명을 지원하지 않습니다.

  • 비밀번호로 보호된 PKCS #12 파일로 형식화됨

  • kms-private-key의 알기 쉬운 이름을 사용하여 인증서, 비공개 키 및 업로드할 중간 인증서에 태그를 지정합니다.

OpenSSL 등의 변환기를 사용하여 인증서 형식을 변경할 수 있습니다.

HDS 설정 도구를 실행할 때 비밀번호를 입력해야 합니다.

KMS 소프트웨어는 키 사용 또는 확장된 키 사용 제한을 강요하지 않습니다. 일부 인증 기관에서는 각 인증서에 서버 인증과 같은 확장된 키 사용 제한을 적용하도록 요구합니다. 서버 인증 또는 기타 설정을 사용해도 괜찮습니다.

가상 호스트 요구 사항

클러스터에서 하이브리드 데이터 보안 노드로 설정할 가상 호스트에는 다음 요구 사항이 있습니다.

  • 동일한 보안 데이터 센터에 최소한 두 개의 개별 호스트(3개 권장됨)가 배치됨

  • VMware ESXi 7.0(또는 이상)이 설치되고 실행 중입니다.

    이전 버전의 ESXi가 있는 경우 업그레이드해야 합니다.

  • 최소 4개 vCPU, 8GB 기본 메모리, 서버당 30GB 로컬 하드 디스크 공간

데이터베이스 서버 요구 사항

키 스토리지에 대한 새 데이터베이스를 만듭니다. 기본 데이터베이스를 사용하지 마십시오. HDS 응용프로그램을 설치하면 데이터베이스 스키마가 생성됩니다.

데이터베이스 서버에는 두 가지 옵션이 있습니다. 각 요구 사항은 다음과 같습니다.

표 2. 데이터베이스 유형별 데이터베이스 서버 요구 사항

PostgreSQL의

Microsoft SQL 서버

  • PostgreSQL 14, 15 또는 16 설치 및 실행.

  • SQL Server 2016, 2017, 2019 또는 2022(기업 또는 표준)이 설치되었습니다.

    SQL Server 2016에는 서비스 팩 2 및 누적 업데이트 2 이상이 필요합니다.

최소 8개 vCPU, 16GB 메인 메모리, 충분한 하드 디스크 공간 및 초과하지 않도록 모니터링(스토리지를 늘리지 않고도 장기간 데이터베이스를 실행하려는 경우 2TB 권장됨)

최소 8개 vCPU, 16GB 메인 메모리, 충분한 하드 디스크 공간 및 초과하지 않도록 모니터링(스토리지를 늘리지 않고도 장기간 데이터베이스를 실행하려는 경우 2TB 권장됨)

현재 HDS 소프트웨어는 데이터베이스 서버와의 통신을 위해 다음 드라이버 버전을 설치합니다.

PostgreSQL의

Microsoft SQL 서버

Postgres JDBC 드라이버 42.2.5

SQL 서버 JDBC 드라이버 4.6

이 드라이버 버전은 SQL Server 항상 켜기(페일오버 클러스터 인스턴스 항상 켜기가용성 그룹 항상 켜기)를 지원합니다.

Microsoft SQL Server에 대한 Windows 인증에 대한 추가 요구 사항

HDS 노드가 Windows 인증을 사용하여 Microsoft SQL Server에서 키 저장소 데이터베이스에 액세스하도록 하려는 경우, 환경에서 다음 구성이 필요합니다.

  • HDS 노드, Active Directory 인프라 및 MS SQL 서버는 모두 NTP와 동기화되어야 합니다.

  • HDS 노드에 제공하는 Windows 계정은 데이터베이스에 대한 읽기/쓰기 액세스 권한이 있어야 합니다.

  • HDS 노드에 제공하는 DNS 서버는 KDC(Key Distribution Center)를 확인할 수 있어야 합니다.

  • Microsoft SQL Server의 HDS 데이터베이스 인스턴스를 Active Directory의 SPN(Service Principal Name)으로 등록할 수 있습니다. Kerberos 연결에 대해 서비스 기본 이름 등록을 참조하십시오.

    HDS 설정 도구, HDS 실행기 및 로컬 KMS는 모두 Windows 인증을 사용하여 키 저장소 데이터베이스에 액세스해야 합니다. Kerberos 인증으로 액세스를 요청할 때 ISO 구성의 세부 정보를 사용하여 SPN을 구성합니다.

외부 연결 요구 사항

HDS 응용프로그램에 대해 다음 연결을 허용하도록 방화벽을 구성합니다.

응용프로그램

프로토콜

포트

앱에서 방향

대상

하이브리드 데이터 보안 노드

TCP

443

아웃바운드 HTTPS 및 WSS

  • Webex 서버:

    • *.wbx2.com

    • *.ciscospark.com

  • 모든 공통 ID 호스트

  • Webex 서비스의 네트워크 요구 사항Webex 하이브리드 서비스의 추가 URL 표에 하이브리드 데이터 보안에 나열된 기타 URL

HDS 설정 도구

TCP

443

아웃바운드 HTTPS

  • *.wbx2.com

  • 모든 공통 ID 호스트

  • hub.docker.com

NAT 또는 방화벽이 앞의 표에 있는 도메인 대상에 필요한 아웃바운드 연결을 허용하는 한, 하이브리드 데이터 보안 노드는 네트워크 액세스 변환(NAT) 또는 방화벽 내에서 작동합니다. 하이브리드 데이터 보안 노드로 인바운드되는 연결에 대해서는 인터넷에서 포트가 표시되지 말아야 합니다. 데이터 센터 내에서 클라이언트는 관리의 목적을 위해 TCP 포트 443 및 22에서 하이브리드 데이터 보안 노드에 액세스해야 합니다.

CI(공통 ID) 호스트에 대한 URL은 지역별로 다릅니다. 현재 CI 호스트는 다음과 같습니다.

지역

공통 ID 호스트 URL

미주

  • https://idbroker.webex.com

  • https://identity.webex.com

  • https://idbroker-b-us.webex.com

  • https://identity-b-us.webex.com

유럽 연합

  • https://idbroker-eu.webex.com

  • https://identity-eu.webex.com

캐나다

  • https://idbroker-ca.webex.com

  • https://identity-ca.webex.com

싱가포르

  • https://idbroker-sg.webex.com

  • https://identity-sg.webex.com

아랍에미리트

  • https://idbroker-ae.webex.com

  • https://identity-ae.webex.com

프록시 서버 요구 사항

  • 하이브리드 데이터 보안 노드에 통합할 수 있는 다음 프록시 솔루션을 공식적으로 지원합니다.

  • 명시적 프록시에 대해 다음 인증 유형 조합을 지원합니다.

    • HTTP 또는 HTTPS로 인증하지 않음

    • HTTP 또는 HTTPS로 기본 인증

    • HTTPS로만 다이제스트 인증

  • 투명 검사 프록시 또는 HTTPS 명시적 프록시에 대해 프록시 루트 인증서의 복사본이 있어야 합니다. 이 안내서의 배포 지시 사항은 하이브리드 데이터 보안 노드의 신뢰 저장소에 사본을 업로드하는 방법을 설명합니다.

  • HDS 노드를 호스트하는 네트워크는 포트 443의 아웃바운드 TCP 트래픽이 프록시를 통해 라우팅하도록 구성되어야 합니다.

  • 웹 트래픽을 검사하는 프록시는 웹 소켓 연결을 방해할 수도 있습니다. 이 문제가 발생하는 경우, wbx2.comciscospark.com에 대한 트래픽을 우회(검사하지 않음)하면 문제를 해결할 수 있습니다.

하이브리드 데이터 보안에 대한 전제 조건 완료

이 검사 목록을 사용하여 하이브리드 데이터 보안 클러스터를 설치하고 구성할 준비가 되었는지 확인하십시오.
1

파트너 조직에 멀티 테넌트 HDS 기능이 활성화되었는지 확인하고 파트너 전체 관리자 및 전체 관리자 권한이 있는 계정의 자격 증명을 확보하십시오. Webex 고객 조직이 Cisco Webex Control Hub용 Pro Pack에 대해 활성화되었는지 확인하십시오. 이 과정에 대해 지원을 받으려면 Cisco 파트너 또는 계정 관리자에게 연락하십시오.

고객 조직에는 기존의 HDS 배포가 없어야 합니다.

2

HDS 배포에 대한 도메인 이름(예: hds.company.com)을 선택하고 X.509 인증서, 비공개 키 및 중간 인증서를 포함하는 인증서 체인을 확보합니다. 인증서 체인은 X.509 인증서 요구 사항에 있는 요구 사항을 충족해야 합니다.

3

클러스터에서 하이브리드 데이터 보안 노드로 설정할 동일한 가상 호스트를 준비하십시오. 가상 호스트 요구 사항의 요구 사항을 충족하는 동일한 보안 데이터 센터에 최소한 두 개의 개별 호스트(권장되는 3개)가 있어야 합니다.

4

데이터베이스 서버 요구 사항에 따라 클러스터에 대한 키 데이터 저장소 역할을 할 데이터베이스 서버를 준비합니다. 데이터베이스 서버는 가상 호스트와 함께 보안 데이터 센터에 위치해야 합니다.

  1. 키 스토리지에 대한 데이터베이스를 생성합니다. (이 데이터베이스를 만들어야 합니다. 기본 데이터베이스를 사용하지 마십시오. HDS 응용프로그램을 설치하면 데이터베이스 스키마가 생성됩니다.)

  2. 노드가 데이터베이스 서버와 통신하는 데 사용할 세부 사항을 수집하십시오.

    • 호스트 이름 또는 IP 주소 (호스트) 및 포트

    • 키 스토리지에 대한 데이터베이스의 이름(dbname)

    • 키 스토리지 데이터베이스에서 모든 권한을 가진 사용자의 사용자이름 및 비밀번호

5

빠른 장애 복구를 위해 다른 데이터 센터에 백업 환경을 설정합니다. 백업 환경은 VM과 백업 데이터베이스 서버의 프로덕션 환경을 반영합니다. 예를 들어, 프로덕션에 HDS 노드를 실행하는 3개의 VM이 있으면 백업 환경에도 3개의 VM이 있어야 합니다.

6

클러스터에 있는 노드에서 로그를 수집하도록 시스로그 호스트를 설정하십시오. 네트워크 주소 및 시스로그 포트를 수집합니다(기본값은 UDP 514).

7

하이브리드 데이터 보안 노드, 데이터베이스 서버 및 syslog 호스트에 대한 보안 백업 정책을 만듭니다. 복구할 수 없는 데이터 손실을 방지하기 위해 하이브리드 데이터 보안 노드에 대해 생성된 데이터베이스 및 구성 ISO 파일을 백업해야 합니다.

하이브리드 데이터 보안 노드는 콘텐츠의 암호화 및 해독에 사용되는 키를 저장하기 때문에 운영 중인 배포를 유지하지 못하면 해당 콘텐츠의 복구할 수 없는 손실 으로 이어질 수 있습니다.

Webex 앱 클라이언트는 키를 캐시하므로 정전이 즉시 눈에 띄지 않지만 시간이 지남에 따라 눈에 띄게 됩니다. 일시적인 중단은 예방할 수 없지만, 복구는 가능합니다. 그러나 데이터베이스 또는 구성 ISO 파일을 완전한 유실하면(사용할 수 있는 백업 없음) 고객 데이터를 복구할 수 없게 됩니다. 하이브리드 데이터 보안 노드의 운영자는 데이터베이스 및 구성 ISO 파일의 빈번한 백업을 유지하고, 치명적인 오류가 발생할 경우 하이브리드 데이터 보안 데이터 센터를 다시 빌드할 준비가 되어야 합니다.

8

방화벽 구성에서 외부 연결 요구 사항에 설명된 대로 하이브리드 데이터 보안 노드에 대한 연결을 허용하는지 확인합니다.

9

지원되는 OS(Microsoft Windows 10 Professional 또는 Enterprise 64비트 또는 Mac OSX Yosemite 10.10.3 이상)를 실행하는 로컬 머신에 Docker( https://www.docker.com)를 http://127.0.0.1:8080.에서 액세스할 수 있는 웹 브라우저를 설치합니다.

Docker 인스턴스를 사용하여 모든 하이브리드 데이터 보안 노드에 대한 로컬 구성 정보를 빌드하는 HDS 설정 도구를 다운로드하고 실행합니다. Docker 데스크탑 라이센스가 필요할 수 있습니다. 자세한 정보는 Docker 데스크탑 요구 사항 을 참조하십시오.

HDS 설정 도구를 설치하고 실행하려면 로컬 머신에 외부 연결 요구 사항에 설명된 연결이 있어야 합니다.

10

하이브리드 데이터 보안에 프록시를 통합하는 경우, 프록시 서버 요구 사항을 충족하는지 확인하십시오.

하이브리드 데이터 보안 클러스터 설정

하이브리드 데이터 보안 배포 작업 흐름

시작하기 전에

1

초기 설정을 수행하고 설치 파일 다운로드

나중에 사용할 수 있도록 OVA 파일을 로컬 머신으로 다운로드합니다.

2

HDS 호스트에 대해 구성 ISO 만들기

HDS 설정 도구를 사용하여 하이브리드 데이터 보안 노드에 대한 ISO 구성 파일을 만듭니다.

3

HDS 호스트 OVA 설치

OVA 파일에서 가상 머신을 만들고 네트워크 설정과 같은 초기 구성을 수행합니다.

OVA 배포 중 네트워크 설정을 구성하는 옵션은 ESXi 7.0에서 테스트되었습니다. 이전 버전에서 해당 옵션을 사용하지 못할 수도 있습니다.

4

하이브리드 데이터 보안 VM 설정

VM 콘솔에 로그인하고 로그인 자격 증명을 설정합니다. OVA 배포 시 구성하지 않은 경우 노드에 대한 네트워크 설정을 구성합니다.

5

HDS 구성 ISO 업로드 및 마운트

HDS 설정 도구를 사용하여 만든 ISO 구성 파일에서 VM을 구성합니다.

6

프록시 통합에 대해 HDS 노드 구성

네트워크 환경에 프록시 구성이 필요한 경우 노드에 사용할 프록시의 유형을 지정하고 필요에 따라 프록시 인증서를 신뢰 저장소에 추가합니다.

7

클러스터에서 첫 번째 노드 등록

하이브리드 데이터 보안 노드로 Cisco Webex 클라우드에 VM을 등록합니다.

8

추가 노드를 만들고 등록

클러스터 설정을 완료하십시오.

9

Partner Hub에서 멀티 테넌트 HDS를 활성화합니다.

Partner Hub에서 HDS를 활성화하고 테넌트 조직을 관리합니다.

초기 설정을 수행하고 설치 파일 다운로드

이 작업에서 OVA 파일을 컴퓨터에 다운로드합니다(하이브리드 데이터 보안 노드로 설정한 서버가 아님). 나중에 이 파일을 설치 프로세스에서 사용합니다.

1

Partner Hub에 로그인한 후 서비스를 클릭합니다.

2

클라우드 서비스 섹션에서 하이브리드 데이터 보안 카드를 찾은 후 설정을 클릭합니다.

Partner Hub에서 설정 을 클릭하면 배포 프로세스에 매우 중요합니다. 이 단계를 완료하지 않고 설치를 진행하지 마십시오.

3

리소스 추가 를 클릭하고 소프트웨어 설치 및 구성 카드에서 .OVA 파일 다운로드 를 클릭합니다.

이전 버전의 소프트웨어 패키지(OVA)는 최신 하이브리드 데이터 보안 업그레이드와 호환되지 않습니다. 이는 응용프로그램을 업그레이드하는 동안 문제가 발생할 수 있습니다. 최신 버전의 OVA 파일을 다운로드했는지 확인하십시오.

도움말 섹션에서 언제든지 OVA를 다운로드할 수도 있습니다. 설정 > 도움말 > 하이브리드 데이터 보안 소프트웨어 다운로드를 클릭합니다.

OVA 파일이 자동으로 다운로드되기 시작합니다. 머신에 있는 위치에 파일을 저장합니다.
4

선택적으로, 하이브리드 데이터 보안 배포 안내서 보기 를 클릭하여 이 안내서의 이후 버전을 사용할 수 있는지 확인합니다.

HDS 호스트에 대해 구성 ISO 만들기

하이브리드 데이터 보안 설정 프로세스는 ISO 파일을 만듭니다. 그 후 ISO를 사용하여 하이브리드 데이터 보안 호스트를 구성합니다.

시작하기 전에
1

머신의 명령줄에 사용자 환경에 적합한 명령을 입력합니다.

일반 환경:

docker rmi ciscocitg/hds-setup:안정

FedRAMP 환경:

도커 rmi ciscocitg/hds-setup-fedramp:stable

이 단계에서는 이전 HDS 설정 도구 이미지를 정리합니다. 이전 이미지가 없는 경우 무시할 수 있는 오류를 반환합니다.

2

Docker 이미지 레지스트리에 로그인하려면 다음을 입력합니다.

도커 로그인 -u hdscustomersro
3

비밀번호 프롬프트에 이 해시를 입력합니다.

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo는
4

사용자 환경에 맞는 최신 안정 이미지를 다운로드합니다.

일반 환경:

docker pull ciscocitg/hds-setup:안정

FedRAMP 환경:

docker pull ciscocitg/hds-setup-fedramp:안정
5

풀이 완료되면 사용자 환경에 적합한 명령을 입력합니다.

  • 프록시가 없는 일반 환경:

    도커 실행 -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

  • HTTP 프록시가 있는 일반 환경:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • HTTPS 프록시가 있는 일반 환경에서는:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • 프록시가 없는 FedRAMP 환경:

    도커 실행 -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • HTTP 프록시가 있는 FedRAMP 환경:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • HTTPS 프록시가 있는 FedRAMP 환경:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

컨테이너가 실행 중일 때 "포트 8080에서 수신하는 Express 서버"가 표시됩니다.

6

설정 도구는 http://localhost:8080을 통해 localhost에 연결하는 것을 지원하지 않습니다. http://127.0.0.1:8080 을(를) 사용하여 로컬 호스트에 연결합니다.

웹 브라우저를 사용하여 localhost, http://127.0.0.1:8080(으)로 이동하고 프롬프트에 Partner Hub의 관리 사용자 이름을 입력합니다.

이 도구는 사용자 이름의 이 첫 번째 항목을 사용하여 해당 계정에 적합한 환경을 설정합니다. 그런 다음 도구는 표준 로그인 프롬프트를 표시합니다.

7

안내를 받으면 Partner Hub 관리자 로그인 자격 증명을 입력한 후 로그인 을 클릭하여 하이브리드 데이터 보안에 필요한 서비스에 대한 액세스를 허용합니다.

8

설정 도구 개요 페이지에서 시작하기를 클릭합니다.

9

ISO 가져오기 페이지에 다음 옵션이 있습니다.

  • 아니요—첫 번째 HDS 노드를 만드는 경우, 업로드할 ISO 파일이 없습니다.
  • —HDS 노드를 이미 만든 경우, 찾아보기에서 ISO 파일을 선택하고 업로드합니다.
10

X.509 인증서가 X.509 인증서 요구 사항의 요구 사항을 충족하는지 확인합니다.

  • 이전에 인증서를 업로드하지 않은 경우, X.509 인증서를 업로드하고 비밀번호를 입력한 후 계속을 클릭합니다.
  • 인증서가 올바른 경우, 계속을 클릭합니다.
  • 인증서가 만료되었거나 교체하려는 경우, 이전 ISO에서 HDS 인증서 체인 및 비공개 키를 계속 사용? 에 대해 아니요를 선택합니다. 새로운 X.509 인증서를 업로드하고 비밀번호를 입력한 후 계속을 클릭합니다.
11

키 데이터 저장소에 액세스하기 위해 HDS의 데이터베이스 주소 및 계정을 입력합니다.

  1. 데이터베이스 유형 (PostgreSQL 또는 Microsoft SQL Server)을 선택합니다.

    Microsoft SQL Server를 선택하는 경우, 인증 유형 필드가 나타납니다.

  2. (Microsoft SQL Server 전용) 인증 유형을 선택합니다.

    • 기본 인증: 사용자이름 필드에 로컬 SQL Server 계정 이름이 필요합니다.

    • Windows 인증: 사용자이름 필드에 username@DOMAIN 형식의 Windows 계정이 필요합니다.

  3. 데이터베이스 서버 주소를 : 또는 : 형식으로 입력합니다.

    예:
    dbhost.example.org:1433 또는 198.51.100.17:1433

    노드에서 DNS를 사용하여 호스트 이름을 확인할 수 없는 경우 기본 인증에 대해 IP 주소를 사용할 수 있습니다.

    Windows 인증을 사용하고 있는 경우, 정규화된 도메인 이름을 dbhost.example.org:1433 형식으로 입력해야 합니다.

  4. 데이터베이스 이름을 입력합니다.

  5. 키 스토리지 데이터베이스에서 모든 권한이 있는 사용자의 사용자이름비밀번호 를 입력합니다.

12

TLS 데이터베이스 연결 모드를 선택합니다.

모드

설명

TLS 선호 (기본 옵션)

HDS 노드에서 TLS가 데이터베이스 서버에 연결하도록 요구하지 않습니다. 데이터베이스 서버에서 TLS를 활성화하는 경우 노드는 암호화된 연결을 시도합니다.

TLS 필요

데이터베이스 서버에서 TLS를 협상할 수 있는 경우에만 HDS 노드를 연결합니다.

TLS 필요 및 인증서 서명자 확인

이 모드는 SQL Server 데이터베이스에는 적용되지 않습니다.

  • 데이터베이스 서버에서 TLS를 협상할 수 있는 경우에만 HDS 노드를 연결합니다.

  • TLS 연결을 설정한 후 노드는 데이터베이스 서버에서 인증서의 서명자를 데이터베이스 루트 인증서에 있는 인증 기관과 비교합니다. 해당 정보가 일치하지 않으면 노드는 연결을 끊습니다.

이 옵션에 대해 루트 인증서를 업로드하려면 드롭다운 아래에 있는 데이터베이스 루트 인증서 제어를 사용하십시오.

TLS 필요 및 인증서 서명자, 호스트 이름 확인

  • 데이터베이스 서버에서 TLS를 협상할 수 있는 경우에만 HDS 노드를 연결합니다.

  • TLS 연결을 설정한 후 노드는 데이터베이스 서버에서 인증서의 서명자를 데이터베이스 루트 인증서에 있는 인증 기관과 비교합니다. 해당 정보가 일치하지 않으면 노드는 연결을 끊습니다.

  • 노드는 서버 인증서의 호스트 이름이 데이터베이스 호스트 및 포트 필드에 있는 호스트 이름과 일치하는지 확인합니다. 이름은 정확히 일치해야 하며, 그렇지 않으면 노드가 연결을 끊습니다.

이 옵션에 대해 루트 인증서를 업로드하려면 드롭다운 아래에 있는 데이터베이스 루트 인증서 제어를 사용하십시오.

루트 인증서를 업로드하고(필요한 경우) 계속을 클릭하면 HDS 설정 도구는 데이터베이스 서버에 대한 TLS 연결을 테스트합니다. 해당 도구는 인증서 서명자 및 호스트 이름도 확인합니다(해당하는 경우). 테스트가 실패하면 도구에서 문제를 설명하는 오류 메시지를 표시합니다. 오류를 무시할지 선택하고 설정을 계속할 수 있습니다. (연결성 차이로 인해 HDS 설정 도구 머신에서 성공적으로 테스트할 수 없는 경우에도 HDS 노드는 TLS 연결을 설정할 수 있습니다.)

13

시스템 로그 페이지에서 Syslogd 서버를 구성합니다.

  1. syslog 서버 URL을 입력합니다.

    서버가 HDS 클러스터에 대한 노드에서 DNS를 확인할 수 없는 경우 URL에 있는 IP 주소를 사용합니다.

    예:
    udp://10.92.43.23:514 는 UDP 포트 514에서 Syslogd 호스트 10.92.43.23에 대한 로깅을 가리킵니다.

  2. TLS 암호화를 사용하도록 서버를 설정한 경우, SSL 암호화에 대해 syslog 서버가 구성되었습니까?를 체크합니다.

    이 확인란을 선택하는 경우, tcp://10.92.43.23:514와 같은 TCP URL을 입력해야 합니다.

  3. syslog 녹화 종료 선택 드롭다운에서 ISO 파일에 적합한 설정을 선택합니다. Graylog 및 Rsyslog TCP에 대해 선택하거나 새로 고침을 사용합니다.

    • Null 바이트 -- \x00

    • 새로 고침 -- \n—Graylog 및 Rsyslog TCP에 대해 이 옵션을 선택합니다.

  4. 계속을 클릭합니다.

14

(선택 사항) 고급 설정에서 일부 데이터베이스 연결 파라미터에 대한 기본값을 변경할 수 있습니다. 일반적으로 이 파라미터는 변경할 수 있는 유일한 파라미터입니다.

app_datasource_connection_pool_max크기: 10
15

서비스 계정 비밀번호 재설정 화면에서 계속 을 클릭합니다.

서비스 계정 비밀번호의 수명은 9개월입니다. 비밀번호가 곧 만료되거나 이전 ISO 파일을 무효화하도록 재설정하고자 할 때 이 화면을 사용합니다.

16

ISO 파일 다운로드를 클릭합니다. 쉽게 찾을 수 있는 위치에 파일을 저장합니다.

17

로컬 시스템에서 ISO 파일의 백업 복사본을 만듭니다.

백업 복사본을 안전하게 유지합니다. 이 파일에는 데이터베이스 콘텐츠에 대한 마스터 암호화 키가 포함됩니다. 구성을 변경해야 하는 하이브리드 데이터 보안 관리자에게만 액세스를 제한합니다.

18

설정 도구를 종료하려면 CTRL + C 조합을 입력합니다.

다음에 수행할 작업

구성 ISO 파일을 백업합니다. 복구를 위해 추가 노드를 만들거나 구성을 변경하려면 이 노드가 필요합니다. ISO 파일의 모든 복사본을 잃게 되면 마스터 키도 잃게 됩니다. PostgreSQL 또는 Microsoft SQL Server 데이터베이스에서 키를 복구할 수 없습니다.

이 키의 사본은 가지고 있지 않으며, 잃어버리는 경우엔 지원할 수 없습니다.

HDS 호스트 OVA 설치

OVA 파일에서 가상 머신을 만들려면 이 절차를 따르십시오.
1

컴퓨터에서 VMware vSphere 클라이언트를 사용하여 ESXi 가상 호스트에 로그인합니다.

2

파일 > OVF 템플릿 배포를 선택합니다.

3

마법사에서 이전에 다운로드한 OVA 파일의 위치를 지정한 후 다음을 클릭합니다.

4

이름 및 폴더 선택 페이지에서 노드에 대한 가상 머신 이름 (예: "HDS_Node_1")을 입력하고 가상 머신 노드 배포가 상주할 수 있는 위치를 선택한 후 다음을 클릭합니다.

5

계산 리소스 선택 페이지에서 대상 계산 리소스를 선택한 후 다음을 클릭합니다.

유효성 검사가 실행됩니다. 완료되면 템플릿 세부 사항이 나타납니다.

6

템플릿 세부 사항을 확인한 후 다음을 클릭합니다.

7

구성 페이지에서 리소스 구성을 선택하도록 요청받는 경우, 4 CPU 를 클릭한 후 다음을 클릭합니다.

8

스토리지 선택 페이지에서 다음 을 클릭하여 기본 디스크 형식 및 VM 스토리지 정책을 수락합니다.

9

네트워크 선택 페이지에서 입력값의 목록에서 네트워크 옵션을 선택하여 VM에 원하는 연결을 제공합니다.

10

템플릿 사용자 정의 페이지에서 다음 네트워크 설정을 구성합니다.

  • 호스트 이름—노드에 대한 FQDN(호스트 이름 및 도메인) 또는 한 단어 호스트 이름을 입력합니다.

    • X.509 인증서를 얻는 데 사용된 도메인과 일치하도록 도메인을 설정할 필요는 없습니다.

    • 클라우드에 성공적으로 등록하려면 노드에 대해 설정한 FQDN 또는 호스트 이름에서 소문자만 사용하십시오. 현재 대문자 사용은 지원되지 않습니다.

    • FQDN의 총 길이는 64자를 초과하지 말아야 합니다.

  • IP 주소— 노드의 내부 인터페이스에 대한 IP 주소를 입력합니다.

    노드에는 내부 IP 주소 및 DNS 이름이 있어야 합니다. DHCP는 지원되지 않습니다.

  • 마스크—점-소수 표기법으로 서브넷 마스크 주소를 입력합니다. 예: 255.255.255.0.
  • 게이트웨이—게이트웨이 IP 주소를 입력합니다. 게이트웨이는 다른 네트워크에 대한 액세스 포인트로 사용되는 네트워크 노드입니다.
  • DNS 서버—도메인 이름을 숫자 IP 주소로 변환하는 DNS 서버의 콤마로 구분된 목록을 입력합니다. (최대 4개의 DNS 항목이 허용됩니다.)
  • NTP 서버—조직의 NTP 서버 또는 조직에서 사용될 수 있는 다른 외부 NTP 서버를 입력합니다. 기본 NTP 서버는 모든 기업에 대해 작동하지 않을 수 있습니다. 콤마로 구분된 목록을 사용하여 여러 NTP 서버를 입력할 수도 있습니다.

  • 관리의 목적을 위해 네트워크의 클라이언트에서 클러스터의 모든 노드에 연결할 수 있도록 동일한 서브넷 또는 VLAN에 모든 노드를 배포합니다.

원하는 경우, 네트워크 설정 구성을 건너뛰고 하이브리드 데이터 보안 VM 설정 에 설명된 단계를 따라 노드 콘솔에서 설정을 구성할 수 있습니다.

OVA 배포 중 네트워크 설정을 구성하는 옵션은 ESXi 7.0에서 테스트되었습니다. 이전 버전에서 해당 옵션을 사용하지 못할 수도 있습니다.

11

노드 VM을 오른쪽 클릭한 후 전원 > 전원 켜기를 선택합니다.

하이브리드 데이터 보안 소프트웨어는 VM 호스트에 손님으로 설치됩니다. 이제 콘솔에 로그인하고 노드를 구성할 준비가 되었습니다.

문제 해결하기 추가 정보

노드 포함자가 시작되기 전에 몇 분 정도 지연이 발생할 수도 있습니다. 첫 번째 부팅 중에 콘솔에 브리지 방화벽 메시지가 나타나며, 로그인할 수 없습니다.

하이브리드 데이터 보안 VM 설정

이 절차를 사용하여 처음으로 하이브리드 데이터 보안 노드 VM 콘솔에 로그인하고 로그인 자격 증명을 설정합니다. OVA 배포 시 구성하지 않은 경우 콘솔을 사용하여 노드에 대한 네트워크 설정을 구성할 수도 있습니다.

1

VMware vSphere 클라이언트에서 하이브리드 데이터 보안 노드 VM을 선택하고 콘솔 탭을 선택합니다.

VM이 부팅되고 로그인 프롬프트가 나타납니다. 로그인 프롬프트가 표시되지 않는 경우엔 Enter를 누릅니다.
2

다음 기본 로그인 및 비밀번호를 사용하여 로그인하고 자격 증명을 변경합니다.

  1. 로그인: admin

  2. 비밀번호: cisco

VM에 처음으로 로그인하고 있기 때문에 관리자 비밀번호를 변경하도록 요구받습니다.

3

HDS 호스트 OVA 설치에서 이미 네트워크 설정을 구성한 경우, 이 절차의 나머지 부분은 건너뜁니다. 그렇지 않으면 기본 메뉴에서 구성 편집 옵션을 선택합니다.

4

IP 주소, 마스크, 게이트웨이 및 DNS 정보로 정적 구성을 설정합니다. 노드에는 내부 IP 주소 및 DNS 이름이 있어야 합니다. DHCP는 지원되지 않습니다.

5

(선택 사항) 필요한 경우, 네트워크 정책과 일치하도록 호스트이름, 도메인 또는 NTP 서버를 변경합니다.

X.509 인증서를 얻는 데 사용된 도메인과 일치하도록 도메인을 설정할 필요는 없습니다.

6

네트워크 구성을 저장하고 VM을 다시 부팅하여 변경 사항을 적용합니다.

HDS 구성 ISO 업로드 및 마운트

HDS 설정 도구로 생성한 ISO 파일에서 가상 머신을 구성하려면 이 절차를 따르십시오.

시작하기 전에

ISO 파일은 마스터 키를 갖고 있기 때문에 이는 하이브리드 데이터 보안 VM 및 변경해야 할 수 있는 관리자가 액세스하기 위해 "알아야 할 것"으로만 노출되어야 합니다. 해당 관리자만 데이터스토어에 액세스할 수 있는지 확인하십시오.

1

컴퓨터에서 ISO 파일을 업로드합니다.

  1. VMware vSphere 클라이언트의 왼쪽 네비게이션 분할 창에서 ESXi 서버를 클릭합니다.

  2. 구성 탭의 하드웨어 목록에서 스토리지를 클릭합니다.

  3. 데이터스토어 목록에서 VM용 데이터스토어를 오른쪽 클릭하고 데이터스토어 찾아보기를 클릭합니다.

  4. 파일 업로드 아이콘을 클릭한 후 파일 업로드을 클릭합니다.

  5. 컴퓨터에서 ISO 파일을 다운로드한 위치를 찾고 열기를 클릭합니다.

  6. 를 클릭하여 업로드/다운로드 작업 경고를 수락하고 데이터스토어 대화 상자를 닫습니다.

2

ISO 파일을 마운트합니다.

  1. VMware vSphere 클라이언트의 왼쪽 네비게이션 분할 창에서 VM을 오른쪽 클릭하고 설정 편집을 클릭합니다.

  2. 확인을 클릭하여 제한된 편집 옵션 경고를 수락합니다.

  3. CD/DVD 드라이브 1을 클릭하고 데이터스토어 ISO 파일에서 마운트하기 위한 옵션을 선택한 후 구성 ISO 파일을 업로드한 위치를 찾습니다.

  4. 연결됨시동될 때 연결을 체크합니다.

  5. 변경 내용을 저장하고 가상 머신을 재부팅합니다.

다음에 수행할 작업

IT 정책에서 요구하는 경우, 모든 노드에서 구성 변경 사항을 적용한 후에 선택적으로 ISO 파일을 마운트 해제할 수 있습니다. 자세한 내용은 (선택 사항) HDS 구성 후 ISO 마운트 해제 를 참조하십시오.

프록시 통합에 대해 HDS 노드 구성

네트워크 환경에 프록시가 필요한 경우, 이 절차를 사용하여 하이브리드 데이터 보안에 통합하고자 하는 프록시의 유형을 지정합니다. 투명 검사 프록시 또는 HTTPS 명시적 프록시를 선택하는 경우, 노드의 인터페이스를 사용하여 루트 인증서를 업로드하고 설치할 수 있습니다. 인터페이스에서 프록시 연결을 확인하고 잠재적인 문제를 해결할 수도 있습니다.

시작하기 전에

1

웹 브라우저에서 HDS 노드 설정 URL https://[HDS Node IP 또는 FQDN]/setup을 입력하고, 노드에 대해 설정한 관리 자격 증명을 입력한 후 로그인을 클릭합니다.

2

신뢰 저장소 및 프록시로 이동한 후 옵션을 선택합니다.

  • 프록시 없음—프록시를 통합하기 전에 기본 옵션입니다. 인증서를 업데이트하지 않아도 됩니다.
  • 투명 비-검사 프록시—노드가 특정 프록시 서버 주소를 사용하도록 구성되지 않았으며, 비-검사 프록시에서 작동하도록 변경하지 않아도 됩니다. 인증서를 업데이트하지 않아도 됩니다.
  • 투명 검사 프록시—노드가 특정 프록시 서버 주소를 사용하도록 구성되지 않았습니다. 하이브리드 데이터 보안 배포에서 HTTPS 구성을 변경하지 않아도 됩니다. 단, HDS 노드에 루트 인증서가 있어야 프록시를 신뢰할 수 있습니다. 일반적으로 검사 프록시는 IT가 어떤 웹사이트를 방문할 수 있는지 및 어떤 유형의 콘텐츠가 허용되는지에 대한 정책을 적용하기 위해 사용됩니다. 이러한 유형의 프록시는 모든 트래픽(HTTPS 포함)을 해독합니다.
  • 명시적 프록시—명시적 프록시를 사용하여 클라이언트(HDS 노드)에게 어떤 프록시 서버를 사용할지 알리고, 이 옵션은 다양한 인증 유형을 지원합니다. 이 옵션을 선택한 후 다음 정보를 입력해야 합니다.

    1. 프록시 IP/FQDN—프록시 머신에 연결하기 위해 사용될 수 있는 주소입니다.

    2. 프록시 포트—프록시가 프록시된 트래픽을 수신하기 위해 사용하는 포트 번호입니다.

    3. 프록시 프로토콜http (클라이언트로부터 수신된 모든 요청을 확인하고 제어) 또는 https (서버에 채널을 제공하고 클라이언트는 서버의 인증서를 수신 및 확인)를 선택합니다. 프록시 서버가 지원하는 내용에 따라 옵션을 선택합니다.

    4. 인증 유형—다음 인증 유형 중에서 선택합니다.

      • 없음—추가 인증이 필요하지 않습니다.

        HTTP 또는 HTTPS 프록시를 사용할 수 있습니다.

      • 기본—요청을 할 때 HTTP 사용자 에이전트가 사용자 이름 및 비밀번호를 제공하기 위해 사용됩니다. Base64 인코딩을 사용합니다.

        HTTP 또는 HTTPS 프록시를 사용할 수 있습니다.

        이 옵션을 선택하는 경우, 사용자 이름 및 비밀번호도 입력해야 합니다.

      • 다이제스트—민감한 정보를 보내기 전에 계정을 확인하기 위해 사용됩니다. 네트워크를 통해 전송하기 전에 사용자 이름 및 비밀번호에 해시 기능을 적용합니다.

        HTTPS 프록시에 대해서만 사용할 수 있습니다.

        이 옵션을 선택하는 경우, 사용자 이름 및 비밀번호도 입력해야 합니다.

투명 검사 프록시, 기본 인증이 포함된 HTTP 명시적 프록시 또는 HTTPS 명시적 프록시에 대해서는 다음 단계를 따르십시오.

3

루트 인증서 또는 최종 엔터티 인증서 업로드를 클릭한 후 탐색하여 프록시에 대한 루트 인증서를 선택합니다.

인증서가 업로드되었지만 아직 설치되지 않았습니다. 인증서를 설치하려면 노드를 재부팅해야 합니다. 인증서 발급자 이름 옆에 있는 갈매기 모양 화살표를 클릭하여 자세한 내용을 확인합니다. 실수가 있었거나 파일을 다시 업로드하려는 경우엔 삭제를 클릭합니다.

4

프록시 연결 확인을 클릭하여 노드와 프록시 간의 네트워크 연결을 테스트합니다.

연결 테스트에 실패하는 경우, 이유 및 문제를 해결할 수 있는 방법을 표시하는 오류 메시지가 나타납니다.

외부 DNS 확인에 실패했다는 메시지가 나타나면 노드가 DNS 서버에 연결하지 못한 것입니다. 이 조건은 다양한 명시적 프록시 구성에서 예상되는 작동입니다. 설정을 계속 진행할 수 있으며, 노드는 차단된 외부 DNS 확인 모드로 작동하게 됩니다. 이 작업이 오류라고 생각하시면 다음 단계를 완료한 후 차단된 외부 DNS 확인 모드 끄기를 참조하십시오.

5

연결 테스트를 통과한 후 https로만 설정된 명시적 프록시에 대해 설정을 토글하여 이 노드의 모든 포트 443/444 https 요청을 명시적 프록시를 통해 라우팅합니다. 이 설정이 적용될 때까지 15초 정도 소요됩니다.

6

모든 인증서를 신뢰 저장소에 설치(HTTPS 명시적 프록시 또는 투명 검사 프록시에 대해 나타남) 또는 재부팅(HTTP 명시적 프록시에 대해 나타남)을 클릭하고 안내를 읽은 후 준비되었을 때 설치를 클릭합니다.

노드는 몇 분 내에 재부팅됩니다.

7

노드가 재부팅되면 필요에 따라 다시 로그인한 후 개요 페이지를 열어 연결을 확인하고 모두 녹색 상태인지 확인합니다.

프록시 연결 확인은 webex.com의 하위 도메인만 테스트합니다. 연결에 문제가 있는 경우, 설치 지시 사항에 나열된 일부 클라우드 도메인이 프록시에서 차단되는 것은 일반적인 문제입니다.

클러스터에서 첫 번째 노드 등록

이 작업은 하이브리드 데이터 보안 VM 설정에서 생성한 일반적인 노드를 적용하고, Webex 클라우드에 노드를 등록한 후 하이브리드 데이터 보안 노드로 변경합니다.

첫 번째 노드를 등록할 때 해당 노드가 지정된 클러스터를 만듭니다. 클러스터에는 중복성을 제공하기 위해 배포된 한 개 이상의 노드가 포함되어 있습니다.

시작하기 전에

  • 노드의 등록을 시작하면 60분 이내에 완료해야 합니다. 그렇지 않으면 처음부터 다시 시작해야 합니다.

  • 브라우저에 팝업 차단기가 비활성화되었는지 또는 admin.webex.com에 대한 예외를 허용했는지 확인하십시오.

1

https://admin.webex.com에 로그인합니다.

2

화면의 왼쪽에 있는 메뉴에서 서비스를 선택합니다.

3

클라우드 서비스 섹션에서 하이브리드 데이터 보안 카드를 찾고 설정을 클릭합니다.

4

페이지가 열리면 리소스 추가를 클릭합니다.

5

노드 추가 카드의 첫 번째 필드에 하이브리드 데이터 보안 노드를 지정할 클러스터의 이름을 입력합니다.

지리적으로 클러스터의 노드가 위치한 장소에 기반하여 클러스터의 이름을 지정할 것을 권장합니다. 예: "San Francisco" 또는 "New York" 또는 "Dallas"

6

두 번째 필드에서 노드의 내부 IP 주소 또는 정규화된 도메인 이름(FQDN)을 입력하고 화면의 하단에서 추가 를 클릭합니다.

이 IP 주소 또는 FQDN은 하이브리드 데이터 보안 VM 설정에서 사용한 IP 주소 또는 호스트 이름 및 도메인과 일치해야 합니다.

Webex에 노드를 등록할 수 있음을 가리키는 메시지가 나타납니다.
7

노드로 이동을 클릭합니다.

잠시 후에 Webex 서비스에 대한 노드 연결 테스트로 리디렉션됩니다. 모든 테스트에 성공하면 하이브리드 데이터 보안 노드에 대한 액세스 허용 페이지가 나타납니다. 여기에서 Webex 조직에 노드에 액세스할 수 있는 권한을 부여하고자 함을 확인합니다.

8

하이브리드 데이터 보안 노드에 액세스 허용 체크 박스에 체크한 후 계속을 클릭합니다.

계정의 유효성이 검증되고 "등록 완료" 메시지는 이제 노드가 Webex 클라우드에 등록되었음을 가리킵니다.
9

링크를 클릭하거나 탭을 닫아 Partner Hub 하이브리드 데이터 보안 페이지로 다시 돌아갑니다.

하이브리드 데이터 보안 페이지에서 등록한 노드가 포함된 새로운 클러스터가 리소스 탭 아래에 표시됩니다. 노드는 클라우드에서 자동으로 최신 소프트웨어를 다운로드합니다.

추가 노드를 만들고 등록

클러스터에 노드를 추가하려면 추가 VM을 만들고 동일한 구성 ISO 파일을 마운트한 후 노드를 등록하기만 하면 됩니다. 최소한 3개의 노드를 구성할 것을 권장합니다.

시작하기 전에

  • 노드의 등록을 시작하면 60분 이내에 완료해야 합니다. 그렇지 않으면 처음부터 다시 시작해야 합니다.

  • 브라우저에 팝업 차단기가 비활성화되었는지 또는 admin.webex.com에 대한 예외를 허용했는지 확인하십시오.

1

OVA에서 새로운 가상 머신을 만들고 HDS 호스트 OVA 설치에 설명된 단계를 반복합니다.

2

새로운 VM에서 초기 구성을 설정하고 하이브리드 데이터 보안 VM 설정에 설명된 단계를 반복합니다.

3

새로운 VM에서 HDS 구성 ISO 업로드 및 설치에 설명된 단계를 반복합니다.

4

배포에 대해 프록시를 설정하고 있는 경우, 새로운 노드에 대해 필요에 따라 프록시 통합에 대해 HDS 노드 구성 에 설명된 단계를 반복합니다.

5

노드를 등록합니다.

  1. https://admin.webex.com에서 화면 왼쪽의 메뉴에 있는 서비스를 선택합니다.

  2. 클라우드 서비스 섹션에서 하이브리드 데이터 보안 카드를 찾고 모두 보기를 클릭합니다.

    하이브리드 데이터 보안 리소스 페이지가 나타납니다.

  3. 새롭게 생성된 클러스터는 리소스 페이지에 나타납니다.

  4. 클러스터에 할당된 노드를 확인하려면 클러스터를 클릭합니다.

  5. 화면의 오른쪽에서 노드 추가 를 클릭합니다.

  6. 노드의 내부 IP 주소 또는 정규화된 도메인 이름(FQDN)을 입력하고 추가를 클릭합니다.

    Webex 클라우드에 노드를 등록할 수 있음을 나타내는 메시지가 포함된 페이지가 열립니다. 잠시 후에 Webex 서비스에 대한 노드 연결 테스트로 리디렉션됩니다. 모든 테스트에 성공하면 하이브리드 데이터 보안 노드에 대한 액세스 허용 페이지가 나타납니다. 여기에서 조직에 노드에 액세스할 수 있는 권한을 부여하고자 함을 확인합니다.

  7. 하이브리드 데이터 보안 노드에 액세스 허용 체크 박스에 체크한 후 계속을 클릭합니다.

    계정의 유효성이 검증되고 "등록 완료" 메시지는 이제 노드가 Webex 클라우드에 등록되었음을 가리킵니다.

  8. 링크를 클릭하거나 탭을 닫아 Partner Hub 하이브리드 데이터 보안 페이지로 다시 돌아갑니다.

    노드 추가됨 팝업 메시지는 Partner Hub의 화면 하단에도 나타납니다.

    노드가 등록되었습니다.

멀티 테넌트 하이브리드 데이터 보안에서 테넌트 조직 관리

Partner Hub에서 멀티 테넌트 HDS 활성화

이 작업은 고객 조직의 모든 사용자가 온-프레미스 암호화 키 및 기타 보안 서비스에 대해 HDS를 사용하기 시작할 수 있게 합니다.

시작하기 전에

필요한 노드의 수로 멀티 테넌트 HDS 클러스터 설정을 완료했는지 확인합니다.

1

https://admin.webex.com에 로그인합니다.

2

화면의 왼쪽에 있는 메뉴에서 서비스를 선택합니다.

3

클라우드 서비스 섹션에서 하이브리드 데이터 보안을 찾고 설정 편집을 클릭합니다.

4

HDS 상태 카드에서 HDS 활성화 를 클릭합니다.

Partner Hub에서 테넌트 조직 추가

이 작업에서 하이브리드 데이터 보안 클러스터에 고객 조직을 지정합니다.

1

https://admin.webex.com에 로그인합니다.

2

화면의 왼쪽에 있는 메뉴에서 서비스를 선택합니다.

3

클라우드 서비스 섹션에서 하이브리드 데이터 보안을 찾고 모두 보기를 클릭합니다.

4

고객을 지정하고자 하는 클러스터를 클릭합니다.

5

지정된 고객 탭으로 이동합니다.

6

고객 추가를 클릭합니다.

7

드롭다운 메뉴에서 추가할 고객을 선택합니다.

8

추가를 클릭하면 고객이 클러스터에 추가됩니다.

9

6~8단계를 반복하여 여러 고객을 클러스터에 추가합니다.

10

고객을 추가한 후 화면의 하단에서 완료 를 클릭합니다.

다음에 수행할 작업

HDS 설정 도구를 사용하여 고객 기본 키(CMK) 만들기 에 설명된 대로 HDS 설정 도구를 실행하여 설치 과정을 완료합니다.

HDS 설정 도구를 사용하여 고객 기본 키(CMK) 만들기

시작하기 전에

Partner Hub에서 테넌트 조직 추가에 설명된 대로 고객을 적합한 클러스터에 지정합니다. HDS 설정 도구를 실행하여 새롭게 추가된 고객 조직에 대한 설정 과정을 완료합니다.

  • HDS 설정 도구는 로컬 머신에서 Docker 컨테이너로 실행됩니다. 액세스하려면 해당 머신에서 Docker를 실행합니다. 설치 과정에는 조직에 대한 전체 관리자 권한이 있는 Partner Hub 계정의 자격 증명이 필요합니다.

    HDS 설정 도구가 귀하의 환경에서 프록시 뒤에서 실행되는 경우, 5 단계에서 Docker 컨테이너를 가져올 때 Docker 환경 변수를 통해 프록시 설정(서버, 포트, 자격 증명)을 제공합니다. 이 표는 몇 가지 환경 변수를 제공합니다.

    설명

    변수

    인증되지 않은 HTTP 프록시

    글로벌_에이전트_HTTP_PROXY=http://SERVER_IP:PORT

    인증되지 않은 HTTPS 프록시

    글로벌_에이전트_HTTPS_PROXY=http://SERVER_IP:PORT

    인증된 HTTP 프록시

    글로벌_에이전트_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

    인증된 HTTPS 프록시

    글로벌_에이전트_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

  • 생성하는 구성 ISO 파일에는 PostgreSQL 또는 Microsoft SQL Server 데이터베이스를 암호화하는 마스터 키가 포함되어 있습니다. 다음과 같은 구성을 변경할 때마다 이 파일의 최신 복사본이 필요합니다.

    • 데이터베이스 자격 증명

    • 인증서 업데이트

    • 인증 정책에 대한 변경 사항

  • 데이터베이스 연결을 암호화하는 경우 TLS용 PostgreSQL 또는 SQL Server 배포를 설정합니다.

하이브리드 데이터 보안 설정 프로세스는 ISO 파일을 만듭니다. 그 후 ISO를 사용하여 하이브리드 데이터 보안 호스트를 구성합니다.

1

머신의 명령줄에 사용자 환경에 적합한 명령을 입력합니다.

일반 환경:

docker rmi ciscocitg/hds-setup:안정

FedRAMP 환경:

도커 rmi ciscocitg/hds-setup-fedramp:stable

이 단계에서는 이전 HDS 설정 도구 이미지를 정리합니다. 이전 이미지가 없는 경우 무시할 수 있는 오류를 반환합니다.

2

Docker 이미지 레지스트리에 로그인하려면 다음을 입력합니다.

도커 로그인 -u hdscustomersro
3

비밀번호 프롬프트에 이 해시를 입력합니다.

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo는
4

사용자 환경에 맞는 최신 안정 이미지를 다운로드합니다.

일반 환경:

docker pull ciscocitg/hds-setup:안정

FedRAMP 환경:

docker pull ciscocitg/hds-setup-fedramp:안정
5

풀이 완료되면 사용자 환경에 적합한 명령을 입력합니다.

  • 프록시가 없는 일반 환경:

    도커 실행 -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

  • HTTP 프록시가 있는 일반 환경:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • HTTPS 프록시가 있는 일반 환경에서는:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • 프록시가 없는 FedRAMP 환경:

    도커 실행 -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • HTTP 프록시가 있는 FedRAMP 환경:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • HTTPS 프록시가 있는 FedRAMP 환경:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

컨테이너가 실행 중일 때 "포트 8080에서 수신하는 Express 서버"가 표시됩니다.

6

설정 도구는 http://localhost:8080을 통해 localhost에 연결하는 것을 지원하지 않습니다. http://127.0.0.1:8080 을(를) 사용하여 로컬 호스트에 연결합니다.

웹 브라우저를 사용하여 localhost, http://127.0.0.1:8080(으)로 이동하고 프롬프트에 Partner Hub의 관리 사용자 이름을 입력합니다.

이 도구는 사용자 이름의 이 첫 번째 항목을 사용하여 해당 계정에 적합한 환경을 설정합니다. 그런 다음 도구는 표준 로그인 프롬프트를 표시합니다.

7

안내를 받으면 Partner Hub 관리자 로그인 자격 증명을 입력한 후 로그인 을 클릭하여 하이브리드 데이터 보안에 필요한 서비스에 대한 액세스를 허용합니다.

8

설정 도구 개요 페이지에서 시작하기를 클릭합니다.

9

ISO 가져오기 페이지에서 를 클릭합니다.

10

브라우저에서 ISO 파일을 선택하고 업로드합니다.

CMK 관리를 수행하려면 데이터베이스에 대한 연결을 확인하십시오.
11

테넌트 CMK 관리 탭으로 이동하여 다음 세 가지 방법으로 테넌트 CMK를 관리할 수 있습니다.

  • 모든 조직에 대해 CMK 만들기 또는 CMK 만들기 - 화면의 상단에 있는 배너에서 이 버튼을 클릭하여 새롭게 추가된 모든 조직에 대해 CMK를 만듭니다.
  • 화면의 오른쪽에서 CMK 관리 버튼을 클릭하고 CMK 만들기 를 클릭하여 새롭게 추가된 모든 조직에 대해 CMK를 만듭니다.
  • 표에서 특정 조직의 CMK 관리 보류 중 상태 근처에 있는 …를 클릭하고 CMK 만들기 를 클릭하여 해당 조직에 대해 CMK를 만듭니다.
12

CMK 만들기에 성공하면 표의 상태는 CMK 관리 보류 중 에서 CMK 관리로 변경됩니다.

13

CMK 만들기에 실패하면 오류가 표시됩니다.

테넌트 조직 제거

시작하기 전에

제거되면 고객 조직의 사용자는 암호화 요구에 대해 HDS를 활용할 수 없으며 기존의 모든 스페이스를 잃게 됩니다. 고객 조직을 제거하기 전에 Cisco 파트너 또는 계정 관리자에게 문의하십시오.

1

https://admin.webex.com에 로그인합니다.

2

화면의 왼쪽에 있는 메뉴에서 서비스를 선택합니다.

3

클라우드 서비스 섹션에서 하이브리드 데이터 보안을 찾고 모두 보기를 클릭합니다.

4

리소스 탭에서 고객 조직을 제거할 클러스터를 클릭합니다.

5

페이지가 열리면 지정된 고객을 클릭합니다.

6

표시되는 고객 조직의 목록에서 제거하고자 하는 고객 조직의 오른쪽에 있는 ... 을 클릭하고 클러스터에서 제거를 클릭합니다.

다음에 수행할 작업

HDS에서 제거된 테넌트의 CMK 취소에 설명된 대로 고객 조직의 CMK를 취소하여 제거 프로세스를 완료합니다.

HDS에서 제거된 테넌트의 CMK를 취소합니다.

시작하기 전에

테넌트 조직 제거에 설명된 대로 적합한 클러스터에서 고객을 제거합니다. 제거된 고객 조직에 대한 제거 과정을 완료하려면 HDS 설정 도구를 실행하십시오.

  • HDS 설정 도구는 로컬 머신에서 Docker 컨테이너로 실행됩니다. 액세스하려면 해당 머신에서 Docker를 실행합니다. 설치 과정에는 조직에 대한 전체 관리자 권한이 있는 Partner Hub 계정의 자격 증명이 필요합니다.

    HDS 설정 도구가 귀하의 환경에서 프록시 뒤에서 실행되는 경우, 5 단계에서 Docker 컨테이너를 가져올 때 Docker 환경 변수를 통해 프록시 설정(서버, 포트, 자격 증명)을 제공합니다. 이 표는 몇 가지 환경 변수를 제공합니다.

    설명

    변수

    인증되지 않은 HTTP 프록시

    글로벌_에이전트_HTTP_PROXY=http://SERVER_IP:PORT

    인증되지 않은 HTTPS 프록시

    글로벌_에이전트_HTTPS_PROXY=http://SERVER_IP:PORT

    인증된 HTTP 프록시

    글로벌_에이전트_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

    인증된 HTTPS 프록시

    글로벌_에이전트_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

  • 생성하는 구성 ISO 파일에는 PostgreSQL 또는 Microsoft SQL Server 데이터베이스를 암호화하는 마스터 키가 포함되어 있습니다. 다음과 같은 구성을 변경할 때마다 이 파일의 최신 복사본이 필요합니다.

    • 데이터베이스 자격 증명

    • 인증서 업데이트

    • 인증 정책에 대한 변경 사항

  • 데이터베이스 연결을 암호화하는 경우 TLS용 PostgreSQL 또는 SQL Server 배포를 설정합니다.

하이브리드 데이터 보안 설정 프로세스는 ISO 파일을 만듭니다. 그 후 ISO를 사용하여 하이브리드 데이터 보안 호스트를 구성합니다.

1

머신의 명령줄에 사용자 환경에 적합한 명령을 입력합니다.

일반 환경:

docker rmi ciscocitg/hds-setup:안정

FedRAMP 환경:

도커 rmi ciscocitg/hds-setup-fedramp:stable

이 단계에서는 이전 HDS 설정 도구 이미지를 정리합니다. 이전 이미지가 없는 경우 무시할 수 있는 오류를 반환합니다.

2

Docker 이미지 레지스트리에 로그인하려면 다음을 입력합니다.

도커 로그인 -u hdscustomersro
3

비밀번호 프롬프트에 이 해시를 입력합니다.

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo는
4

사용자 환경에 맞는 최신 안정 이미지를 다운로드합니다.

일반 환경:

docker pull ciscocitg/hds-setup:안정

FedRAMP 환경:

docker pull ciscocitg/hds-setup-fedramp:안정
5

풀이 완료되면 사용자 환경에 적합한 명령을 입력합니다.

  • 프록시가 없는 일반 환경:

    도커 실행 -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

  • HTTP 프록시가 있는 일반 환경:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • HTTPS 프록시가 있는 일반 환경에서는:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • 프록시가 없는 FedRAMP 환경:

    도커 실행 -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • HTTP 프록시가 있는 FedRAMP 환경:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • HTTPS 프록시가 있는 FedRAMP 환경:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

컨테이너가 실행 중일 때 "포트 8080에서 수신하는 Express 서버"가 표시됩니다.

6

설정 도구는 http://localhost:8080을 통해 localhost에 연결하는 것을 지원하지 않습니다. http://127.0.0.1:8080 을(를) 사용하여 로컬 호스트에 연결합니다.

웹 브라우저를 사용하여 localhost, http://127.0.0.1:8080(으)로 이동하고 프롬프트에 Partner Hub의 관리 사용자 이름을 입력합니다.

이 도구는 사용자 이름의 이 첫 번째 항목을 사용하여 해당 계정에 적합한 환경을 설정합니다. 그런 다음 도구는 표준 로그인 프롬프트를 표시합니다.

7

안내를 받으면 Partner Hub 관리자 로그인 자격 증명을 입력한 후 로그인 을 클릭하여 하이브리드 데이터 보안에 필요한 서비스에 대한 액세스를 허용합니다.

8

설정 도구 개요 페이지에서 시작하기를 클릭합니다.

9

ISO 가져오기 페이지에서 를 클릭합니다.

10

브라우저에서 ISO 파일을 선택하고 업로드합니다.

11

테넌트 CMK 관리 탭으로 이동하여 다음 세 가지 방법으로 테넌트 CMK를 관리할 수 있습니다.

  • 모든 조직에 대해 CMK 취소 또는 CMK 취소 - 화면 상단에 있는 배너에서 이 버튼을 클릭하여 제거된 모든 조직의 CMK를 취소합니다.
  • 화면의 오른쪽에서 CMK 관리 버튼을 클릭하고 CMK 취소 를 클릭하여 제거된 모든 조직의 CMK를 취소합니다.
  • 표에서 특정 조직의 취소될 CMK 상태 근처에서 을 클릭하고 CMK 취소 를 클릭하여 해당 특정 조직에 대한 CMK를 취소합니다.
12

CMK 해지 작업에 성공하면 고객 조직은 더 이상 표에 나타나지 않습니다.

13

CMK 해지 실패하면 오류가 표시됩니다.

하이브리드 데이터 보안 배포 테스트

하이브리드 데이터 보안 배포 테스트

멀티 테넌트 하이브리드 데이터 보안 암호화 시나리오를 테스트하려면 이 절차를 사용하십시오.

시작하기 전에

  • 멀티 테넌트 하이브리드 데이터 보안 배포를 설정합니다.

  • 키 요청이 멀티 테넌트 하이브리드 데이터 보안 배포에 전달되고 있는지 확인하려면 syslog에 액세스할 수 있는지 확인합니다.

1

특정 스페이스에 대한 키는 스페이스의 생성자가 설정합니다. 고객 조직 사용자 중 하나로 Webex 앱에 로그인한 후 스페이스를 만듭니다.

하이브리드 데이터 보안 배포를 비활성화하는 경우, 클라이언트 캐시된 암호화 키의 복사본이 교체되면 사용자가 생성하는 스페이스에 있는 콘텐츠에 더 이상 액세스할 수 없습니다.

2

새로운 스페이스로 메시지를 보내십시오.

3

syslog 출력을 확인하여 키 요청이 하이브리드 데이터 보안 배포에 전달되고 있는지 확인합니다.

  1. 사용자가 먼저 KMS에 보안 채널을 설정하는지 확인하려면 kms.data.method=createkms.data.type=EPHEMERAL_KEY_COLLECTION을 필터링합니다.

    다음과 같은 입력값을 검색해야 합니다(가독성을 위해 식별자는 짧게 표현됨).
    2020-07-21 17:35:34.562 (+0000) 정보 KMS [pool-14-thread-1] - [KMS:REQUEST] 수신됨, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

  2. KMS에서 기존의 키를 요청하는 사용자를 확인하려면 kms.data.method=retrievekms.data.type=KEY를 필터링합니다.

    다음과 같은 입력값을 검색해야 합니다.
    2020-07-21 17:44:19.889 (+0000) 정보 KMS [pool-14-thread-31] - [KMS:REQUEST] 수신됨, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

  3. 새로운 KMS 키 생성을 요청하는 사용자를 확인하려면 kms.data.method=createkms.data.type=KEY_COLLECTION에서 필터링합니다.

    다음과 같은 입력값을 검색해야 합니다.
    2020-07-21 17:44:21.975 (+0000) 정보 KMS [pool-14-thread-33] - [KMS:REQUEST] 수신됨, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

  4. 스페이스 또는 다른 보호된 리소스가 생성될 때 새로운 KMS 리소스 개체(KRO)의 만들기를 요청하는 사용자를 확인하려면 kms.data.method=createkms.data.type=RESOURCE_COLLECTION에서 필터링하십시오.

    다음과 같은 입력값을 검색해야 합니다. 
    2020-07-21 17:44:22.808 (+0000) 정보 KMS [pool-15-thread-1] - [KMS:REQUEST] 수신됨, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

하이브리드 데이터 보안 상태 모니터

Partner Hub 내의 상태 표시기는 멀티 테넌트 하이브리드 데이터 보안 배포가 모두 양호한지 여부를 표시합니다. 보다 적극적으로 경고를 받으려면 이메일 알림을 신청하십시오. 서비스에 영향을 미치는 경보 또는 소프트웨어 업그레이드가 있을 때 알림을 받습니다.
1

Partner Hub의 화면 왼쪽에 있는 메뉴에서 서비스 를 선택합니다.

2

클라우드 서비스 섹션에서 하이브리드 데이터 보안을 찾고 설정 편집을 클릭합니다.

하이브리드 데이터 보안 설정 페이지가 나타납니다.
3

이메일 알림 섹션에서 한 개 이상의 이메일 주소를 쉼표로 구분하여 입력하고 Enter를 누릅니다.

HDS 배포 관리

HDS 배포 관리

하이브리드 데이터 보안 배포를 관리하려면 여기에 설명된 작업을 사용하십시오.

클러스터 업그레이드 예약 설정

하이브리드 데이터 보안에 대한 소프트웨어 업그레이드는 클러스터 수준에서 자동으로 실행되며, 이는 모든 노드가 항상 동일한 소프트웨어 버전을 실행하게 합니다. 업그레이드는 클러스터에 대한 업그레이드 스케줄에 따라 실행됩니다. 소프트웨어 업그레이드가 사용 가능해지면 예약된 업그레이드 시간 전에 클러스터를 수동으로 업그레이드할 수 있는 옵션이 주어집니다. 특정 업그레이드 스케줄을 설정하거나 미국: 아메리카/로스앤젤레스 매일 3:00 AM 기본 스케줄을 사용할 수 있습니다. 필요에 따라 예정된 업그레이드를 연기하도록 선택할 수도 있습니다.

업그레이드 예약을 설정하려면:

1

Partner Hub에 로그인합니다.

2

화면의 왼쪽에 있는 메뉴에서 서비스를 선택합니다.

3

클라우드 서비스 섹션에서 하이브리드 데이터 보안을 찾고 설정을 클릭합니다.

4

하이브리드 데이터 보안 리소스 페이지에서 클러스터를 선택합니다.

5

클러스터 설정 탭을 클릭합니다.

6

클러스터 설정 페이지의 업그레이드 예약 아래에서 업그레이드 예약에 대한 시간 및 시간대를 선택합니다.

참고: 시간대 아래에 다음 사용 가능한 업그레이드 날짜 및 시간이 표시됩니다. 필요한 경우, 24시간 연기를 클릭하여 업그레이드를 다음 날로 연기할 수 있습니다.

노드 구성 변경

경우에 따라 다음과 같은 이유로 하이브리드 데이터 보안 노드의 구성을 변경해야 할 수도 있습니다.

  • 만료 또는 기타 이유로 인해 x.509 인증서 변경.

    인증서의 CN 도메인 이름 변경을 지원하지 않습니다. 도메인은 클러스터에 등록하기 위해 사용된 원래 도메인과 일치해야 합니다.

  • PostgreSQL 또는 Microsoft SQL Server 데이터베이스의 복제본으로 변경하도록 데이터베이스 설정 업데이트.

    PostgreSQL에서 Microsoft SQL Server로 또는 그 반대로 데이터 마이그레이션을 지원하지 않습니다. 데이터베이스 환경을 전환하려면 하이브리드 데이터 보안의 새로운 배포를 시작합니다.

  • 새 데이터 센터를 준비하기 위해 새 구성 생성.

또한 보안상의 이유로 하이브리드 데이터 보안은 수명이 9개월인 서비스 계정 비밀번호를 사용합니다. HDS 설정 도구가 이러한 비밀번호를 생성하면 이를 ISO 구성 파일의 각 HDS 노드에 배포합니다. 조직의 비밀번호 만료일이 가까워지면 Webex 팀으로부터 머신 계정의 비밀번호를 재설정하라는 통지를 받습니다. (이메일에는 "머신 계정 API를 사용하여 비밀번호를 업데이트합니다."라는 텍스트가 포함됩니다.) 비밀번호가 아직 만료되지 않은 경우 도구는 다음 두 가지 옵션을 제공합니다.

  • 소프트 재설정—이전 비밀번호 및 새로운 비밀번호 모두 최대 10일 동안 작동합니다. 이 기간을 사용하여 노드에서 ISO 파일을 점진적으로 교체합니다.

  • 하드 재설정—이전 비밀번호가 즉시 작동하지 않습니다.

비밀번호가 재설정 없이 만료되는 경우 HDS 서비스에 영향을 미치므로 즉시 하드 재설정을 수행하고 모든 노드에서 ISO 파일을 교체해야 합니다.

새 구성 ISO 파일을 생성하고 클러스터에 적용하려면 이 절차를 따르십시오.

시작하기 전에

  • HDS 설정 도구는 로컬 머신에서 Docker 컨테이너로 실행됩니다. 액세스하려면 해당 머신에서 Docker를 실행합니다. 설치 과정에는 파트너 전체 관리자 권한이 있는 Partner Hub 계정의 자격 증명이 필요합니다.

    HDS 설정 도구가 귀하의 환경에서 프록시 뒤에서 실행되는 경우, 1.e에서 Docker 컨테이너를 가져올 때 Docker 환경 변수를 통해 프록시 설정(서버, 포트, 자격 증명)을 제공합니다. 이 표는 몇 가지 환경 변수를 제공합니다.

    설명

    변수

    인증되지 않은 HTTP 프록시

    글로벌_에이전트_HTTP_PROXY=http://SERVER_IP:PORT

    인증되지 않은 HTTPS 프록시

    글로벌_에이전트_HTTPS_PROXY=http://SERVER_IP:PORT

    인증된 HTTP 프록시

    글로벌_에이전트_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

    인증된 HTTPS 프록시

    글로벌_에이전트_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

  • 새 구성을 생성하려면 현재 구성 ISO 파일의 사본이 필요합니다. ISO에는 PostgreSQL 또는 Microsoft SQL Server 데이터베이스를 암호화하는 마스터 키가 포함되어 있습니다. 데이터베이스 자격 증명, 인증서 업데이트 또는 인증 정책 변경을 포함하여 구성을 변경할 때 ISO가 필요합니다.

1

로컬 머신에서 Docker를 사용하여 HDS 설정 도구를 실행합니다.

  1. 머신의 명령줄에 사용자 환경에 적합한 명령을 입력합니다.

    일반 환경:

    docker rmi ciscocitg/hds-setup:안정

    FedRAMP 환경:

    도커 rmi ciscocitg/hds-setup-fedramp:stable

    이 단계에서는 이전 HDS 설정 도구 이미지를 정리합니다. 이전 이미지가 없는 경우 무시할 수 있는 오류를 반환합니다.

  2. Docker 이미지 레지스트리에 로그인하려면 다음을 입력합니다.

    도커 로그인 -u hdscustomersro

  3. 비밀번호 프롬프트에 이 해시를 입력합니다.

    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo는

  4. 사용자 환경에 맞는 최신 안정 이미지를 다운로드합니다.

    일반 환경:

    docker pull ciscocitg/hds-setup:안정

    FedRAMP 환경:

    docker pull ciscocitg/hds-setup-fedramp:안정

    이 절차에 대해 최신 설정 도구를 사용하고 있는지 확인하십시오. 2018년 2월 22일 이전에 생성된 도구의 버전에는 비밀번호 재설정 화면이 없습니다.

  5. 풀이 완료되면 사용자 환경에 적합한 명령을 입력합니다.

    • 프록시가 없는 일반 환경:

      도커 실행 -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

    • HTTP 프록시가 있는 일반 환경:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • HTTPS 프록시가 있는 일반 환경:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • 프록시가 없는 FedRAMP 환경:

      도커 실행 -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

    • HTTP 프록시가 있는 FedRAMP 환경:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    • HTTPS 프록시가 있는 FedRAMP 환경:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    컨테이너가 실행 중일 때 "포트 8080에서 수신하는 Express 서버"가 표시됩니다.

  6. 브라우저를 사용하여 로컬 호스트 http://127.0.0.1:8080에 연결합니다.

    설정 도구는 http://localhost:8080을 통해 localhost에 연결하는 것을 지원하지 않습니다. http://127.0.0.1:8080 을(를) 사용하여 로컬 호스트에 연결합니다.

  7. 안내를 받으면 Partner Hub 고객 로그인 자격 증명을 입력한 후 수락 을 클릭하여 계속합니다.

  8. 현재 구성 ISO 파일을 가져옵니다.

  9. 안내에 따라 도구를 완료하고 업데이트된 파일을 다운로드합니다.

    설정 도구를 종료하려면 CTRL + C 조합을 입력합니다.

  10. 다른 데이터 센터에서 업데이트된 파일의 백업 복사본을 만듭니다.

2

실행 중인 HDS 노드가 한 개만 있는 경우, 새로운 하이브리드 데이터 보안 노드 VM을 만들고 새로운 구성 ISO 파일을 사용하여 등록합니다. 자세한 안내는 추가 노드 만들기 및 등록을 참조하십시오.

  1. HDS 호스트 OVA를 설치합니다.

  2. HDS VM을 설정합니다.

  3. 업데이트된 구성 파일을 마운트합니다.

  4. Partner Hub에서 새로운 노드를 등록합니다.

3

이전 구성 파일을 실행하고 있는 기존 HDS 노드의 경우 ISO 파일을 탑재합니다. 각 노드에서 다음 절차를 차례로 수행하여 다음 노드를 끄기 전에 각 노드를 업데이트합니다.

  1. 가상 머신의 전원을 끕니다.

  2. VMware vSphere 클라이언트의 왼쪽 네비게이션 분할 창에서 VM을 오른쪽 클릭하고 설정 편집을 클릭합니다.

  3. CD/DVD 드라이브 1을 클릭하고 ISO 파일에서 마운트하기 위한 옵션을 선택한 후 새 구성 ISO 파일을 다운로드한 위치를 찾습니다.

  4. 시동될 때 연결을 체크합니다.

  5. 변경 사항을 저장하고 가상 머신의 전원을 켭니다.

4

이전 구성을 실행하고 있는 나머지 각 노드에서 구성을 바꾸려면 3 단계를 반복하십시오.

차단된 외부 DNS 확인 모드 끄기

노드를 등록하거나 노드의 프록시 구성을 확인할 때 프로세스는 Cisco Webex 클라우드에 대한 DNS 조회 및 연결을 테스트합니다. 노드의 DNS 서버에서 공용 DNS 이름을 확인할 수 없는 경우, 노드는 자동으로 차단된 외부 DNS 확인 모드로 지정됩니다.

노드에서 내부 DNS 서버를 통해 공용 DNS 이름을 확인할 수 있는 경우, 각 노드에서 프록시 연결 테스트를 다시 실행하여 이 모드를 끌 수 있습니다.

시작하기 전에

내부 DNS 서버가 공용 DNS 이름을 확인할 수 있으며, 노드가 해당 서버와 통신할 수 있는지 확인합니다.
1

웹 브라우저에서 하이브리드 데이터 보안 노드 인터페이스(IP 주소/설정을 엽니다. 예: https://192.0.2.0/setup), 노드에 대해 설정한 관리 자격 증명을 입력한 후 로그인을 클릭합니다.

2

개요 (기본 페이지)로 이동합니다.

활성화되면 차단된 외부 DNS 확인로 설정됩니다.

3

신뢰 저장소 및 프록시 페이지로 이동합니다.

4

프록시 연결 확인을 클릭합니다.

외부 DNS 확인에 실패했다는 메시지가 나타나면 노드가 DNS 서버에 연결하지 못한 것이며, 이 모드에서 유지됩니다. 그렇지 않은 경우, 노드를 재부팅하고 개요 페이지로 돌아가면 차단된 외부 DNS 확인은 아니요로 설정됩니다.

다음에 수행할 작업

하이브리드 데이터 보안 클러스터의 각 노드에서 프록시 연결 테스트를 반복합니다.

노드 제거

Webex 클라우드에서 하이브리드 데이터 보안 노드를 제거하려면 이 절차를 사용하십시오. 클러스터에서 노드를 제거한 후 가상 머신을 삭제하여 보안 데이터에 대한 추가 액세스를 방지합니다.
1

컴퓨터에서 VMware vSphere 클라이언트를 사용하여 ESXi 가상 호스트에 로그인하고 가상 머신의 전원을 끕니다.

2

노드를 제거합니다.

  1. Partner Hub에 로그인한 후 서비스를 선택합니다.

  2. 하이브리드 데이터 보안 카드에서 모두 보기 를 클릭하여 하이브리드 데이터 보안 리소스 페이지를 표시합니다.

  3. 클러스터를 선택하여 개요 목록을 표시합니다.

  4. 제거할 노드를 클릭합니다.

  5. 오른쪽에 나타나는 목록에서 이 노드 등록 해제 를 클릭합니다.

  6. 노드의 오른쪽에서…을 클릭하고 이 노드 제거를 선택하여 노드의 등록을 해제할 수도 있습니다.

3

vSphere 클라이언트에서 VM을 삭제합니다. (왼쪽 네비게이션 분할 창에서 VM을 오른쪽 클릭하고 삭제를 클릭합니다.)

VM을 삭제하지 않는 경우 구성 ISO 파일을 마운트 해제하십시오. ISO 파일이 없으면 VM을 사용하여 보안 데이터에 액세스할 수 없습니다.

대기 데이터 센터를 사용하여 장애 복구

하이브리드 데이터 보안 클러스터에서 제공하는 가장 중요한 서비스는 메시지 및 Webex 클라우드에 저장된 기타 콘텐츠를 암호화하는 데 사용되는 키를 만들고 저장하는 것입니다. 하이브리드 데이터 보안에 지정된 조직 내의 각 사용자에 대해 새로운 키 만들기 요청은 클러스터로 라우팅됩니다. 또한 클러스터는 생성된 키를 검색할 권한이 있는 모든 사용자(예: 대화 스페이스의 구성원)에게 해당 키를 반환해야 합니다.

클러스터는 이러한 키를 제공하는 중요한 기능을 수행하므로, 클러스터가 계속 실행되고 올바른 백업이 유지관리되어야 합니다. 하이브리드 데이터 보안 데이터베이스나 스키마에 대해 사용된 구성 ISO가 손실되면 고객 콘텐츠가 복구할 수 없게 됩니다. 다음 실행은 이러한 유실을 방지하기 위해 필수적입니다.

장애가 발생하여 기본 데이터 센터에서 HDS 배포를 사용할 수 없게 하는 경우, 이 절차를 따라 대기 데이터 센터로 수동으로 장애 조치하십시오.

시작하기 전에

노드 제거에서 언급한 대로 Partner Hub에서 모든 노드를 등록 해제합니다. 이전에 활성 상태였던 클러스터의 노드에 대해 구성된 최신 ISO 파일을 사용하여 아래에 언급한 장애 조치 절차를 수행합니다.
1

HDS 설정 도구를 시작하고 HDS 호스트에 대해 구성 ISO 만들기에서 언급한 단계를 따릅니다.

2

구성 프로세스를 완료하고 쉽게 찾을 수 있는 위치에 ISO 파일을 저장합니다.

3

로컬 시스템에서 ISO 파일의 백업 복사본을 만듭니다. 백업 복사본을 안전하게 유지합니다. 이 파일에는 데이터베이스 콘텐츠에 대한 마스터 암호화 키가 포함됩니다. 구성을 변경해야 하는 하이브리드 데이터 보안 관리자에게만 액세스를 제한합니다.

4

VMware vSphere 클라이언트의 왼쪽 네비게이션 분할 창에서 VM을 오른쪽 클릭하고 설정 편집을 클릭합니다.

5

설정 편집 > CD/DVD 드라이브 1 을 클릭하고 데이터스토어 ISO 파일을 선택합니다.

노드를 시작한 후에 업데이트된 구성 변경 사항이 적용될 수 있도록 연결됨시동 시 연결 이 체크되었는지 확인하십시오.

6

HDS 노드를 시동하고 최소한 15분 동안 경보가 없는지 확인하십시오.

7

Partner Hub에서 노드를 등록합니다. 클러스터에서 첫 번째 노드 등록을 참조하십시오.

8

대기 데이터 센터의 모든 노드에 대해 프로세스를 반복합니다.

다음에 수행할 작업

장애 조치 후 기본 데이터 센터가 다시 활성화되면 대기 데이터 센터의 노드를 등록 해제하고 상단에 언급한 대로 기본 데이터 센터의 노드 등록 및 ISO 구성 및 등록 과정을 반복합니다.

(선택 사항) HDS 구성 후 ISO 제거

표준 HDS 구성은 ISO가 장착된 상태에서 실행됩니다. 그러나 일부 고객은 ISO 파일을 계속 마운트하지 않는 것을 선호합니다. 모든 HDS 노드가 새로운 구성을 적용하면 ISO 파일을 마운트 해제할 수 있습니다.

여전히 ISO 파일을 사용하여 구성을 변경합니다. 설정 도구를 통해 새로운 ISO를 만들거나 ISO를 업데이트할 때 모든 HDS 노드에 업데이트된 ISO를 마운트해야 합니다. 모든 노드에서 구성 변경 사항을 적용하면 이 절차를 사용하여 ISO를 다시 마운트 해제할 수 있습니다.

시작하기 전에

모든 HDS 노드를 버전 2021.01.22.4720 이상으로 업그레이드하십시오.

1

HDS 노드 중 하나를 종료합니다.

2

vCenter Server Appliance에서 HDS 노드를 선택합니다.

3

설정 편집 > CD/DVD 드라이브 를 선택하고 데이터스토어 ISO 파일을 체크 해제합니다.

4

HDS 노드를 시동하고 20분 이상 알람이 없는지 확인합니다.

5

각 HDS 노드에 대해 차례로 반복합니다.

하이브리드 데이터 보안 문제 해결하기

경고 보기 및 문제 해결하기

클러스터의 모든 노드에 연결할 수 없거나 클러스터가 너무 느리게 작동하여 시간 초과를 요청하는 경우 하이브리드 데이터 보안 배포를 사용할 수 없는 것으로 간주됩니다. 사용자가 하이브리드 데이터 보안 클러스터에 연결할 수 없는 경우, 다음 증상을 경험합니다.

  • 새로운 스페이스가 생성되지 않음 (새 키를 만들 수 없음)

  • 다음 경우에 대해 메시지 및 스페이스 제목을 해독하지 못함:

    • 새로운 사용자가 스페이스에 추가됨 (키를 페치할 수 없음)

    • 스페이스에서 기존의 사용자가 새로운 클라이언트 사용 (키를 페치할 수 없음)

  • 스페이스에 있는 기존의 사용자는 클라이언트에 암호화 키의 캐시가 있는 한 계속 성공적으로 실행함

서비스가 중단되지 않게 하려면 하이브리드 데이터 보안 클러스터를 올바르게 모니터링하고 경고를 즉시 해결하는 것이 중요합니다.

경고

하이브리드 데이터 보안 설정에 문제가 있는 경우, Partner Hub는 조직 관리자에게 경고를 표시하고 구성된 이메일 주소로 이메일을 보냅니다. 경고는 여러 가지 일반적인 상황을 다룹니다.

표 1. 일반적인 문제 및 문제를 해결하기 위한 단계

경고

작업

로컬 데이터베이스 액세스 실패.

데이터베이스 오류 또는 로컬 네트워크 문제를 확인합니다.

로컬 데이터베이스 연결 실패.

데이터베이스 서버를 사용할 수 있는지, 노드 구성에서 올바른 서비스 계정 자격 증명이 사용되고 있는지 확인합니다.

클라우드 서비스 액세스 실패.

외부 연결 요구 사항에 지정된 대로 노드가 Webex 서버에 액세스할 수 있는지 확인합니다.

클라우드 서비스 등록을 갱신하는 중.

클라우드 서비스로의 등록이 중단됩니다. 현재 등록을 갱신하는 중.

클라우드 서비스 등록이 중단됩니다.

클라우드 서비스로의 등록이 종료됩니다. 서비스가 종료됩니다.

서비스가 아직 활성화되지 않았습니다.

Partner Hub에서 Hds를 활성화합니다.

구성된 도메인이 서버 인증서와 일치하지 않습니다.

서버 인증서가 구성된 서비스 활성화 도메인과 일치하는지 확인합니다.

원인은 최근에 인증서 CN이 변경되었으며 현재 초기 설정 중에 사용된 CN과 다른 CN이 사용되고 있기 때문일 가능성이 높습니다.

클라우드 서비스에 인증하지 못함.

정확성 및 서비스 계정 자격 증명의 만료일을 확인합니다.

로컬 키 저장소 파일을 열지 못함.

로컬 키 저장소 파일에서 무결성 및 비밀번호 정확성을 확인합니다.

로컬 서버 인증서가 유효하지 않습니다.

서버 인증서의 만료 날짜를 확인하고, 신뢰할 수 있는 인증 기관에서 발행한 것인지 확인합니다.

메트릭을 게시할 수 없음.

외부 클라우드 서비스로의 로컬 네트워크 액세스를 확인합니다.

/media/configdrive/hds 디렉토리가 존재하지 않습니다.

가상 호스트에서 ISO 마운트 구성을 확인합니다. ISO 파일이 존재하는지 확인하고, 해당 파일이 재부팅 시에 마운트하도록 구성되었는지, 성공적으로 마운트되는지를 확인합니다.

추가된 조직에 대해 테넌트 조직 설정이 완료되지 않음

HDS 설정 도구를 사용하여 새롭게 추가된 테넌트 조직에 대해 CMK를 생성하여 설정을 완료하십시오.

제거된 조직에 대해 테넌트 조직 설정이 완료되지 않음

HDS 설정 도구를 사용하여 제거된 테넌트 조직의 CMK를 취소하여 설정을 완료하십시오.

하이브리드 데이터 보안 문제 해결하기

하이브리드 데이터 보안의 문제를 해결할 때 다음 일반적인 안내를 사용하십시오.
1

Partner Hub를 확인하여 경고를 확인하고 여기에서 찾을 수 있는 항목을 수정하십시오. 참조에 대해서는 아래 이미지를 참조하십시오.

2

하이브리드 데이터 보안 배포에서 활동에 대한 syslog 서버 출력을 확인합니다. 문제 해결에 도움이 되도록 "경고" 및 "오류"와 같은 단어를 필터링합니다.

3

Cisco 고객 지원으로 연락합니다.

기타 메모

하이브리드 데이터 보안 알려진 문제

  • 하이브리드 데이터 보안 클러스터를 Partner Hub에서 삭제하거나 모든 노드를 종료하는 경우, 구성 ISO 파일을 잃거나 키 저장소 데이터베이스에 액세스할 수 없는 경우, 고객 조직의 WeBEX 앱 사용자는 더 이상 KMS의 키로 생성된 사용자 목록 아래에 있는 스페이스를 사용할 수 없습니다. 현재 이 문제에 대한 해결 방법은 없으며, HDS 서비스에서 활동 중인 사용자 계정을 처리하고 있는 경우에 해당 서비스를 종료하지 말 것을 강조합니다.

  • KMS에 대한 기존의 ECDH 연결이 있는 클라이언트는 특정 기간(1시간 정도) 동안 해당 연결을 유지합니다.

OpenSSL을 사용하여 PKCS12 파일 생성

시작하기 전에

  • OpenSSL은 HDS 설정 도구에서 로딩하기 위해 PKCS12 파일을 적합한 형식으로 만드는 데 사용할 수 있는 도구입니다. 이 작업을 실행할 수 있는 다른 방법이 있으며, 특정 방법을 더 지원하거나 홍보하지 않습니다.

  • OpenSSL을 사용하도록 선택한 경우, 이 절차를 X.509 인증서 요구 사항에서 X.509 인증서 요구 사항을 충족하는 파일을 만드는 데 도움이 되는 가이드라인으로 제공합니다. 진행하기 전에 다음 요구 사항을 숙지하십시오.

  • 지원되는 환경에서 OpenSSL을 설치합니다. 소프트웨어 및 문서에 대해서는 https://www.openssl.org을(를) 참조하십시오.

  • 비공개 키를 만듭니다.

  • 인증 기관(CA)으로부터 서버 인증서를 수신한 후에 이 절차를 시작하십시오.

1

인증 기관(CA)으로부터 서버 인증서를 수신한 후 hdsnode.pem으로 저장합니다.

2

인증서를 텍스트로 표시하고 세부 사항을 확인합니다.

openssl x509 -text -noout -in hdsnode.pem

3

텍스트 편집기를 사용하여 hdsnode-bundle.pem으로 칭하는 인증서 번들 파일을 만듭니다. 번들 파일에는 서버 인증서, 모든 중간 CA 인증서 및 루트 CA 인증서가 아래의 형식으로 포함되어야 합니다.

-----인증서 시작----- ### 서버 인증서. ### -----인증서 종료---- -----인증서 시작----- ### 중간 CA 인증서. ### -----인증서 종료---- -----인증서 시작----- ### 루트 ca 인증서. ### -----인증서 종료-----

4

쉽게 알 수 있는 이름인 kms-private-key로 .p12 파일을 만듭니다.

openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

5

서버 인증서 세부 사항을 확인합니다.

  1. openssl pkcs12 -in hdsnode.p12

  2. 안내에 따라 비밀번호를 입력하여 비공개 키를 암호화하고 출력에 표시되게 합니다. 그 후 비공개 키 및 첫 번째 인증서에 friendlyName: kms-private-key 줄이 포함되었는지 확인합니다.

    예:

    bash$ openssl pkcs12 -in hdsnode.p12 가져오기 비밀번호 입력: MAC이 다음 항목을 확인: OK Bag 속성 friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 키 속성:  PEM 암호 구문 입력: 확인 중 - PEM 암호 입력: -----암호화된 비공개 키 시작-----  -----암호화된 비공개 키 종료------ 백 속성 friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 SUBJECT=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt/CN=Let's Encrypt Authority X3 ------BEGIN CERTIFICATE-----  -----END CERTIFICATE------ Bag 속성 friendly이름: CN=Authority X3 암호화,O=Let's 암호화,C=US subject=/C=US/O=Let's Encrypt/CN=Authority X3 issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3 ------인증서 시작-----  -----인증서 종료------

다음에 수행할 작업

하이브리드 데이터 보안에 대한 전제 조건 완료로 돌아갑니다. hdsnode.p12 파일 및 해당 파일에 대해 설정한 비밀번호를 HDS 호스트에 대해 구성 ISO 만들기에서 사용합니다.

원래 인증서가 만료될 때 이러한 파일을 다시 사용하여 새 인증서를 요청할 수 있습니다.

HDS 노드 및 클라우드 간 트래픽

아웃바운드 메트릭 수집 트래픽

하이브리드 데이터 보안 노드는 특정 메트릭을 Webex 클라우드로 보냅니다. 여기에는 최대 힙, 사용된 힙, CPU 로드 및 스레드 수에 대한 시스템 메트릭이 포함됩니다. 또한 동기적 스레드 및 비동기적 스레드에 대한 메트릭, 암호화 연결, 대시 시간 또는 요청 대기열 길이의 임계값과 관련된 경고에 대한 메트릭, 데이터스토어 관련 메트릭 및 암호화 연결 메트릭도 포함됩니다. 노드는 대역 외(요청과 별개) 채널을 통해 암호화된 키 자료를 보냅니다.

인바운드 트래픽

하이브리드 데이터 보안 노드는 Webex 클라우드에서 다음 유형의 인바운드 트래픽을 수신합니다.

  • 클라이언트로부터 암호화 요청. 암호화 서비스에서 라우트됨

  • 노드 소프트웨어로 업그레이드

하이브리드 데이터 보안에 대해 Squid 프록시 구성

웹 소켓은 Squid 프록시를 통해 연결할 수 없음

HTTPS 트래픽을 검사하는 Squid 프록시는 하이브리드 데이터 보안에서 요구하는 웹소켓(wss:) 연결을 설정하는 데 방해가 될 수 있습니다. 다음 섹션에서는 서비스가 올바르게 작동하도록 다양한 버전의 Squid에서 wss: 트래픽을 무시하도록 구성하는 방법에 대한 안내를 제공합니다.

Squid 4 및 5

on_unsupported_protocolsquid.conf에 지시어를 추가합니다.

on_unsupported_protocol 모두 터널

Squid 3.5.27

squid.com에 추가된 다음 규칙으로 하이브리드 데이터 보안을 성공적으로 테스트했습니다. 이 규칙은 기능을 개발하고 Webex 클라우드를 업데이트 함에 따라 변경될 수도 있습니다.

acl wssMercuryConnection ssl::server_name_regex 수성 연결 ssl_bump 스플라이스 wssMercuryConnection acl step1 at_step SslBump1 acl step2 at_step SslBump2 acl step3 at_step SslBump3 ssl_bump 엿보기 step1 ssl_bump stare step2 ssl_bump bump step3 all

새 정보 및 변경된 정보

새 정보 및 변경된 정보

이 표는 새로운 기능 또는 기능, 기존의 콘텐츠에 대한 변경 사항 및 멀티 테넌트 하이브리드 데이터 보안의 배포 안내서에서 수정된 주요 오류를 설명합니다.

날짜

변경 사항 적용됨

2025년 1월 30일

데이터베이스 서버 요구 사항에서 지원되는 SQL 서버의 목록에 SQL 서버 버전 2022을 추가했습니다.

2025년 1월 15일 목요일

멀티 테넌트 하이브리드 데이터 보안의 제한 사항을 추가했습니다.

2025년 1월 8일 목요일

초기 설정 실행 및 설치 파일 다운로드 에 Partner Hub에서 HDS 카드에서 설정 을 클릭하면 설치 프로세스의 중요한 단계임을 알리는 메모를 추가했습니다.

2025년 1월 7일 목요일

ESXi 7.0의 새로운 요구 사항을 표시하기 위해 가상 호스트 요구 사항, 하이브리드 데이터 보안 배포 작업 흐름HDS 호스트 OVA 설치 를 업데이트했습니다.

2024년 12월 13일 목요일

처음으로 공개되었습니다.

멀티 테넌트 하이브리드 데이터 보안 비활성화

멀티 테넌트 HDS 비활성화 작업 흐름

멀티 테넌트 HDS를 완전히 비활성화하려면 다음 단계를 따르십시오.

시작하기 전에

이 작업은 파트너 전체 관리자가 실행해야 합니다.
1

테넌트 조직 제거에서 언급한 대로 모든 클러스터에서 모든 고객을 제거합니다.

2

HDS에서 제거된 테넌트의 CMK 취소에서 언급한 대로 모든 고객의 CMK를 취소합니다.

3

노드 제거에서 언급한 대로 모든 클러스터에서 모든 노드를 제거합니다.

4

다음 두 가지 방법 중 하나를 사용하여 Partner Hub에서 모든 클러스터를 삭제합니다.

  • 삭제할 클러스터를 클릭하고 개요 페이지의 상단 오른쪽 모서리에서 이 클러스터 삭제 를 선택합니다.
  • 리소스 페이지에서 클러스터의 오른쪽에 있는 …을 클릭하고 클러스터 제거를 선택합니다.
5

하이브리드 데이터 보안 개요 페이지에서 설정 탭을 클릭하고 HDS 상태 카드에서 HDS 비활성화 를 클릭합니다.

멀티 테넌트 하이브리드 데이터 보안 시작하기

멀티 테넌트 하이브리드 데이터 보안 개요

처음부터 데이터 보안은 Webex 앱 설계에 있어 가장 중점적인 부분이었습니다. 이 보안의 토대는 KMS(Key Management Service)와 상호 작용하는 Webex 앱 클라이언트가 활성화하는 종단 간 콘텐츠 암호화입니다. KMS는 클라이언트가 메시지 및 파일을 동적으로 암호화하고 해독하는 데 사용하는 암호화 키를 만들고 관리합니다.

기본적으로 모든 Webex 앱 고객은 Cisco의 보안 영역에 있는 클라우드 KMS에 저장된 동적인 키로 종단 간 암호화를 사용합니다. 하이브리드 데이터 보안은 KMS 및 기타 보안 관련 기능을 기업의 데이터 센터로 이동시키기 때문에 암호화된 콘텐츠에는 귀하만 접근할 수 있습니다.

멀티 테넌트 하이브리드 데이터 보안 을 통해 조직은 신뢰할 수 있는 로컬 파트너를 통해 HDS를 활용할 수 있습니다. 이는 서비스 제공자 역할을 하고 온-프레미스 암호화 및 기타 보안 서비스를 관리할 수 있습니다. 이 설정을 통해 파트너 조직은 암호화 키의 배포 및 관리를 완전히 제어할 수 있으며, 고객 조직의 사용자 데이터가 외부 액세스로부터 안전한지 확인합니다. 파트너 조직은 필요에 따라 HDS 인스턴스를 설정하고 HDS 클러스터를 만듭니다. 각 인스턴스는 한 개의 조직으로 제한되는 일반 HDS 배포와 달리 다수의 고객 조직을 지원할 수 있습니다.

파트너 조직은 배포 및 관리를 제어할 수 있지만, 고객이 생성한 데이터 및 콘텐츠에 액세스할 수 없습니다. 이 액세스는 고객 조직 및 사용자로 제한됩니다.

또한 데이터 센터와 같은 주요 관리 서비스 및 보안 인프라가 신뢰할 수 있는 로컬 파트너가 소유하고 있기 때문에 소규모 조직이 HDS를 활용할 수도 있습니다.

멀티 테넌트 하이브리드 데이터 보안이 데이터 주권 및 데이터 제어를 제공하는 방법

  • 사용자가 생성한 콘텐츠는 클라우드 서비스 공급자와 같은 외부 액세스로부터 보호됩니다.
  • 로컬 신뢰할 수 있는 파트너는 이미 설정된 관계를 갖고 있는 고객의 암호화 키를 관리합니다.
  • 파트너가 제공하는 경우 로컬 기술 지원에 대한 옵션.
  • 미팅, 메시징 및 통화 콘텐츠를 지원합니다.

이 문서는 파트너 조직이 멀티 테넌트 하이브리드 데이터 보안 시스템에서 고객을 설정하고 관리할 수 있게 지원하기 위한 것입니다.

멀티 테넌트 하이브리드 데이터 보안의 제한 사항

  • 파트너 조직에는 Control Hub에서 활동 중인 기존의 HDS 배포가 없어야 합니다.
  • 파트너가 관리하고자 하는 테넌트 또는 고객 조직은 Control Hub에 기존의 HDS 배포를 갖고 있지 않아야 합니다.
  • 파트너가 멀티 테넌트 HDS를 배포하면 고객 조직의 모든 사용자 및 파트너 조직의 사용자가 암호화 서비스에 멀티 테넌트 HDS를 사용하기 시작합니다.

    관리하는 파트너 조직 및 고객 조직은 동일한 멀티 테넌트 HDS 배포에 위치합니다.

    멀티 테넌트 HDS가 배포된 후에 파트너 조직은 더 이상 클라우드 KMS를 사용하지 않습니다.

  • HDS 배포 후 키를 다시 클라우드 KMS로 이동하는 메커니즘은 없습니다.
  • 현재 각 멀티 테넌트 HDS 배포에는 여러 노드가 포함된 한 개의 클러스터만 포함할 수 있습니다.
  • 관리자 역할에는 특정 제한 사항이 있습니다. 자세한 내용은 아래 섹션을 참조하십시오.

멀티 테넌트 하이브리드 데이터 보안의 역할

  • 파트너 전체 관리자 - 파트너가 관리하는 모든 고객에 대한 설정을 관리할 수 있습니다. 또한 조직의 기존 사용자에게 관리자 역할을 지정하고 파트너 관리자가 관리할 특정 고객을 지정할 수도 있습니다.
  • 파트너 관리자 - 관리자가 구축했거나 사용자에게 지정된 고객에 대한 설정을 관리할 수 있습니다.
  • 전체 관리자 - 조직 설정 수정, 라이센스 관리 및 역할 지정 등 작업을 수행할 수 있는 권한이 있는 파트너 조직의 관리자.
  • 모든 고객 조직의 종단 간 멀티 테넌트 HDS 설정 및 관리 - 파트너 전체 관리자 및 전체 관리자 권한이 필요합니다.
  • 지정된 테넌트 조직의 관리 - 파트너 관리자 및 전체 관리자 권한이 필요합니다.

보안 영역 아키텍처

Webex 클라우드 아키텍처는 아래와 같이 다른 유형의 서비스를 별도의 영역 또는 신뢰 도메인으로 구분합니다.

분리 영역 (하이브리드 데이터 보안 포함하지 않음)

하이브리드 데이터 보안을 더욱 잘 이해하기 위해 먼저 Cisco가 클라우드 영역에서 모든 기능을 제공하는 순수한 클라우드 사례를 살펴보겠습니다. 아이덴티티 서비스(사용자가 이메일 주소 등의 개인 정보와 직접 연관될 수 있는 유일한 장소)는 논리적, 물리적으로 데이터 센터 B에 있는 보안 영역과 분리됩니다. 따라서 두 부분 모두 데이터 센터 C에서 암호화된 콘텐츠가 궁극적으로 저장되는 영역과 분리됩니다.

이 다이어그램에서 클라이언트는 사용자의 노트북에서 실행되고 있는 Webex 앱이며, 아이덴티티 서비스로 인증되었습니다. 사용자가 스페이스에 보낼 메시지를 작성할 때 다음 단계가 실행됩니다.

  1. 클라이언트는 KMS(Key management service)를 사용하여 보안 연결을 설정한 후 메시지를 해독하기 위해 키를 요청합니다. 보안 연결은 ECDH를 사용하고, KMS는 AES-256 마스터 키를 사용하여 키를 암호화합니다.

  2. 메시지는 클라이언트에게 발송되기 전에 암호화됩니다. 클라이언트는 메시지를 인덱싱 서비스로 보내며, 여기에서 해당 콘텐츠에 대한 향후 검색에서 지원할 암호화된 검색 인덱스를 만듭니다.

  3. 암호화된 메시지는 규정 준수 확인을 위해 준수 서비스로 발송됩니다.

  4. 암호화된 메시지는 스토리지 영역에 저장됩니다.

하이브리드 데이터 보안을 배포할 때 보안 영역 기능(KMS, 인덱싱 및 규정 준수)을 온-프레미스 데이터 센터로 이동합니다. Webex를 구성하는 다른 클라우드 서비스(ID 및 콘텐츠 스토리지 포함)는 Cisco의 영역에 남아 있습니다.

다른 조직과 협업

조직에 있는 사용자는 정기적으로 Webex 앱을 사용하여 다른 조직에 있는 외부 참가자와 협업할 수도 있습니다. 해당 사용자가 귀하의 조직에서 소유하고 있는 스페이스에 대한 키를 요청하는 경우(귀사의 사용자 중의 한 명이 생성했기 때문), KMS는 ECDH 보안 채널을 통해 해당 클라이언트에게 키를 보냅니다. 단, 다른 조직에서 스페이스에 대한 키를 소유하고 있는 경우, KMS는 개별 ECDH 채널을 통해 요청을 WeBEX 클라우드로 라우트하여 적합한 KMS에서 키를 가져온 후 원래 채널에 있는 사용자에게 해당 키를 반환합니다.

조직 A에서 실행되고 있는 KMS 서비스는 X.509 PKI 인증서를 사용하여 다른 조직에서 KMS에 대한 연결을 검증합니다. 멀티 테넌트 하이브리드 데이터 보안 배포에서 사용할 x.509 인증서 생성에 대한 자세한 내용은 환경 준비 를 참조하십시오.

하이브리드 데이터 보안 배포에 대해 예상되는 부분

하이브리드 데이터 보안 배포에는 암호화 키를 소유하고 있는 위험성에 대한 확고한 약속과 인식이 필요합니다.

하이브리드 데이터 보안을 배포하려면 다음 항목을 제공해야 합니다.

하이브리드 데이터 보안에 대해 빌드하는 구성 ISO나 제공하는 데이터베이스를 완전히 잃으면 키를 잃게 됩니다. 키 손실은 사용자가 Webex 앱에서 스페이스 콘텐츠 및 기타 암호화된 데이터를 해독하지 못하게 합니다. 이러한 경우, 새로운 배포를 빌드할 수 있지만 새로운 콘텐츠만 표시됩니다. 데이터로의 액세스를 잃지 않으려면 다음을 실행하십시오.

  • 데이터베이스 및 구성 ISO의 백업 및 복구를 관리합니다.

  • 데이터베이스 디스크 오류 또는 데이터 센터 장애 등 재해가 발생할 경우 빠른 장애 복구를 수행할 수 있도록 준비하십시오.

HDS 배포 후 키를 다시 클라우드로 이동하는 메커니즘은 없습니다.

고급 설정 프로세스

이 문서는 멀티 테넌트 하이브리드 데이터 보안 배포의 설정 및 관리를 다룹니다.

  • 하이브리드 데이터 보안 설정—여기에는 필수 인프라 준비 및 하이브리드 데이터 보안 소프트웨어 설치, HDS 클러스터 만들기, 테넌트 조직을 클러스터에 추가 및 고객 기본 키(CMK) 관리 등이 포함됩니다. 이는 고객 조직의 모든 사용자가 보안 기능에 대해 하이브리드 데이터 보안 클러스터를 사용할 수 있게 합니다.

    설정, 활성화 및 관리 단계는 다음 세 장에서 자세히 다룹니다.

  • 하이브리드 데이터 보안 배포 유지—Webex 클라우드는 진행 중인 업그레이드를 자동으로 제공합니다. IT 부서는 이 배포에 대한 1단계 지원을 제공하고, 필요에 따라 Cisco 고객 지원과 작업할 수 있습니다. Partner Hub에서 화면에 알림을 사용하고 이메일 기반 경고를 설정할 수 있습니다.

  • 공통 경고, 문제 해결하기 단계 및 알려진 문제 이해하기—하이브리드 데이터 보안을 배포하거나 사용하는 데 문제가 발생하는 경우, 이 안내서의 마지막 장 및 알려진 문제 부록은 문제를 파악하고 수정하는 데 도움이 될 수 있습니다.

하이브리드 데이터 보안 배포 모델

기업 데이터 센터 내에서 개별 가상 호스트에 하이브리드 데이터 보안을 한 개의 노드로 배포합니다. 노드는 보안 웹소켓 및 보안 HTTP를 통해 Webex 클라우드와 통신합니다.

설치 과정 중에 귀하가 제공하는 VM에 가상 기기를 설정하기 위한 OVA 파일을 제공합니다. HDS Setup 도구를 사용하여 각 노드에서 마운트한 사용자 정의 클러스터 구성 ISO 파일을 만듭니다. 하이브리드 데이터 보안 클러스터는 제공된 Syslogd 서버 및 PostgreSQL 또는 Microsoft SQL Server 데이터베이스를 사용합니다. (HDS 설정 도구에서 Syslogd 및 데이터베이스 연결 세부 정보를 구성합니다.)

하이브리드 데이터 보안 배포 모델

한 개의 클러스터에 포함할 수 있는 최소한의 노드 수는 2개입니다. 클러스터당 최소한 세 개를 권장합니다. 여러 노드를 사용하면 노드에서 소프트웨어 업그레이드 또는 기타 유지관리 활동 중에 서비스가 중단되지 않도록 합니다. (Webex 클라우드는 한 번에 한 개의 노드만 업그레이드합니다.)

클러스터에 있는 모든 노드는 동일한 키 데이터스토어에 액세스하고, 동일한 시스로그 서버에 활동을 로그합니다. 노드 자체는 상태를 저장하지 않으며, 클라우드에서 디렉트된 대로 라운드 로빈 방법으로 키 요청을 처리합니다.

Partner Hub에서 노드를 등록하면 노드가 활성화됩니다. 개별 노드의 서비스를 중단시키려면 등록 해제하고 나중에 필요할 때 다시 등록할 수 있습니다.

재해 복구를 위한 대기 데이터 센터

배포 중에 보안 대기 데이터 센터를 설정합니다. 데이터 센터 장애 발생 시 대기 데이터 센터로 수동으로 배포를 실패할 수 있습니다.

장애 조치 전에 데이터 센터 A에 활성 HDS 노드 및 기본 PostgreSQL 또는 Microsoft SQL Server 데이터베이스가 있는 반면, B에 추가 구성이 포함된 ISO 파일의 사본, 조직에 등록된 VM 및 대기 데이터베이스가 있습니다. 장애 조치 후 데이터 센터 B에는 활성 HDS 노드 및 기본 데이터베이스가 있는 반면, A에 등록 해제된 VM 및 ISO 파일의 사본이 있으며, 데이터베이스는 대기 모드입니다.
대기 데이터 센터에 수동 장애 조치

활동 중 및 대기 데이터 센터의 데이터베이스가 서로 동기화되어 장애 조치를 수행하는 데 소요되는 시간을 최소화합니다.

활동 중인 하이브리드 데이터 보안 노드는 항상 활동 중인 데이터베이스 서버와 동일한 데이터 센터에 위치해야 합니다.

프록시 지원

하이브리드 데이터 보안은 명시적, 투명 검사 및 비-검사 프록시를 지원합니다. 해당 프록시를 배포에 연결하여 기업에서 클라우드로의 트래픽을 안전하게 보호하고 모니터링할 수 있습니다. 인증서 관리에 대해 노드에서 플랫폼 관리 인터페이스를 사용하고, 노드에서 프록시를 설정한 후 전반적인 연결 상태를 확인하기 위해 사용할 수 있습니다.

하이브리드 데이터 보안 노드는 다음 프록시 옵션을 지원합니다.

  • 프록시 없음—프록시를 통합하기 위해 HDS 노드 설정 신뢰 저장소 및 프록시 구성을 사용하지 않는 경우의 기본값입니다. 인증서를 업데이트하지 않아도 됩니다.

  • 투명 비-검사 프록시—노드가 특정 프록시 서버 주소를 사용하도록 구성되지 않았으며, 비-검사 프록시에서 작동하도록 변경하지 않아도 됩니다. 인증서를 업데이트하지 않아도 됩니다.

  • 투명 터널링 또는 검사 프록시—노드가 특정 프록시 서버 주소를 사용하도록 구성되지 않았습니다. 노드에서 HTTP 또는 HTTPS 구성을 변경하지 않아도 됩니다. 단, 노드에 루트 인증서가 있어야 프록시를 신뢰할 수 있습니다. 일반적으로 검사 프록시는 IT가 어떤 웹사이트를 방문할 수 있는지 및 어떤 유형의 콘텐츠가 허용되는지에 대한 정책을 적용하기 위해 사용됩니다. 이러한 유형의 프록시는 모든 트래픽(HTTPS 포함)을 해독합니다.

  • 명시적 프록시—명시적 프록시를 사용하여 HDS 노드에 어떤 프록시 서버 및 인증 체계를 사용하는지 알립니다. 명시적 프록시를 구성하려면 각 노드에 다음 정보를 입력해야 합니다.

    1. 프록시 IP/FQDN—프록시 머신에 연결하기 위해 사용될 수 있는 주소입니다.

    2. 프록시 포트—프록시가 프록시된 트래픽을 수신하기 위해 사용하는 포트 번호입니다.

    3. 프록시 프로토콜—프록시 서버에서 지원하는 내용에 따라 다음 프로토콜 중에서 선택합니다.

      • HTTP—클라이언트가 전송하는 모든 요청을 확인하고 제어합니다.

      • HTTPS—서버에 채널을 제공합니다. 클라이언트는 서버의 인증서를 수신하고 유효성을 검증합니다.

    4. 인증 유형—다음 인증 유형 중에서 선택합니다.

      • 없음—추가 인증이 필요하지 않습니다.

        HTTP 또는 HTTPS를 프록시 프로토콜로 선택하는 경우에 사용할 수 있습니다.

      • 기본—요청을 할 때 HTTP 사용자 에이전트가 사용자 이름 및 비밀번호를 제공하기 위해 사용됩니다. Base64 인코딩을 사용합니다.

        HTTP 또는 HTTPS를 프록시 프로토콜로 선택하는 경우에 사용할 수 있습니다.

        각 노드에서 사용자 이름 및 비밀번호를 입력하도록 요구합니다.

      • 다이제스트—민감한 정보를 보내기 전에 계정을 확인하기 위해 사용됩니다. 네트워크를 통해 전송하기 전에 사용자 이름 및 비밀번호에 해시 기능을 적용합니다.

        HTTPS를 프록시 프로토콜로 선택하는 경우에만 사용할 수 있습니다.

        각 노드에서 사용자 이름 및 비밀번호를 입력하도록 요구합니다.

하이브리드 데이터 보안 노드 및 프록시의 예제

이 다이어그램은 하이브리드 데이터 보안, 네트워크 및 프록시 간의 예제 연결을 표시합니다. 투명 검사 및 HTTPS 명시적 검사 프록시 옵션에 대해 프록시 및 하이브리드 데이터 보안 노드에 동일한 루트 인증서가 설치되어 있어야 합니다.

차단된 외부 DNS 확인 모드 끄기 (명시적 프록시 구성)

노드를 등록하거나 노드의 프록시 구성을 확인할 때 프로세스는 Cisco Webex 클라우드에 대한 DNS 조회 및 연결을 테스트합니다. 내부 클라이언트에 대해 외부 DNS 확인을 허용하지 않는 명시적인 프록시 구성이 포함된 배포에서 노드가 DNS 서버를 쿼리할 수 없는 경우, 이는 자동으로 차단된 외부 DNS 확인 모드로 지정됩니다. 이 모드에서 노드 등록 및 다른 프록시 연결 테스트를 진행할 수 있습니다.

환경 준비

멀티 테넌트 하이브리드 데이터 보안의 요구 사항

Cisco Webex 라이센스 요구 사항

멀티 테넌트 하이브리드 데이터 보안을 배포하려면:

  • 파트너 조직: Cisco 파트너 또는 계정 관리자에게 연락하고 멀티 테넌트 기능이 활성화되었는지 확인하십시오.

  • 테넌트 조직: Cisco Webex Control Hub용 Pro Pack을 사용해야 합니다. (참조: https://www.cisco.com/go/pro-pack)

Docker 데스크탑 요구 사항

HDS 노드를 설치하기 전에 설치 프로그램을 실행하려면 Docker 데스크탑이 필요합니다. Docker는 최근 라이센싱 모델을 업데이트했습니다. 조직에서 Docker 데스크탑에 대해 유료 가입을 요구할 수도 있습니다. 자세한 내용은 Docker 블로그 게시물 " Docker가 업데이트 중 및 제품 가입 연장하기를 참조합니다.

X.509 인증서 요구 사항

인증서 체인은 다음 요구 사항을 충족해야 합니다.

표 1. 하이브리드 데이터 보안 배포를 위한 X.509 인증서 요구 사항

요구 사항

세부 정보

  • 신뢰할 수 있는 인증 기관(CA)에서 서명함

기본적으로 Mozilla 목록에 있는 CA를 https://wiki.mozilla.org/CA:IncludedCAs에서 신뢰합니다(WoSign 및 StartCom 예외).

  • 하이브리드 데이터 보안 배포를 식별하는 CN(Common Name) 도메인 이름을 나타냅니다.

  • 와일드카드 인증서가 아님

CN은 연결되어야 하거나, 실시간 호스트일 필요가 없습니다. 조직을 반영하는 이름을 사용할 것을 권장합니다. 예: hds.company.com

CN에는 *(와일드카드)를 포함할 수 없습니다.

CN은 Webex 앱 클라이언트에 대해 하이브리드 데이터 보안 노드를 확인하기 위해 사용됩니다. 클러스터에 있는 모든 하이브리드 데이터 보안 노드는 동일한 인증서를 사용합니다. KMS는 x.509v3 SAN 필드에 정의된 도메인이 아닌 CN 도메인을 사용하여 자체적으로 식별합니다.

이 인증서를 사용하여 노드를 등록하면 CN 도메인 이름에 대한 변경을 지원하지 않습니다.

  • Non-SHA1 signature

KMS 소프트웨어는 다른 조직의 KMS에 연결을 확인하는 작업에 대해 SHA1 서명을 지원하지 않습니다.

  • 비밀번호로 보호된 PKCS #12 파일로 형식화됨

  • kms-private-key의 알기 쉬운 이름을 사용하여 인증서, 비공개 키 및 업로드할 중간 인증서에 태그를 지정합니다.

OpenSSL 등의 변환기를 사용하여 인증서 형식을 변경할 수 있습니다.

HDS 설정 도구를 실행할 때 비밀번호를 입력해야 합니다.

KMS 소프트웨어는 키 사용 또는 확장된 키 사용 제한을 강요하지 않습니다. 일부 인증 기관에서는 각 인증서에 서버 인증과 같은 확장된 키 사용 제한을 적용하도록 요구합니다. 서버 인증 또는 기타 설정을 사용해도 괜찮습니다.

가상 호스트 요구 사항

클러스터에서 하이브리드 데이터 보안 노드로 설정할 가상 호스트에는 다음 요구 사항이 있습니다.

  • 동일한 보안 데이터 센터에 최소한 두 개의 개별 호스트(3개 권장됨)가 배치됨

  • VMware ESXi 7.0(또는 이상)이 설치되고 실행 중입니다.

    이전 버전의 ESXi가 있는 경우 업그레이드해야 합니다.

  • 최소 4개 vCPU, 8GB 기본 메모리, 서버당 30GB 로컬 하드 디스크 공간

데이터베이스 서버 요구 사항

키 스토리지에 대한 새 데이터베이스를 만듭니다. 기본 데이터베이스를 사용하지 마십시오. HDS 응용프로그램을 설치하면 데이터베이스 스키마가 생성됩니다.

데이터베이스 서버에는 두 가지 옵션이 있습니다. 각 요구 사항은 다음과 같습니다.

표 2. 데이터베이스 유형별 데이터베이스 서버 요구 사항

PostgreSQL의

Microsoft SQL 서버

  • PostgreSQL 14, 15 또는 16 설치 및 실행.

  • SQL Server 2016, 2017, 2019 또는 2022(기업 또는 표준)이 설치되었습니다.

    SQL Server 2016에는 서비스 팩 2 및 누적 업데이트 2 이상이 필요합니다.

최소 8개 vCPU, 16GB 메인 메모리, 충분한 하드 디스크 공간 및 초과하지 않도록 모니터링(스토리지를 늘리지 않고도 장기간 데이터베이스를 실행하려는 경우 2TB 권장됨)

최소 8개 vCPU, 16GB 메인 메모리, 충분한 하드 디스크 공간 및 초과하지 않도록 모니터링(스토리지를 늘리지 않고도 장기간 데이터베이스를 실행하려는 경우 2TB 권장됨)

현재 HDS 소프트웨어는 데이터베이스 서버와의 통신을 위해 다음 드라이버 버전을 설치합니다.

PostgreSQL의

Microsoft SQL 서버

Postgres JDBC 드라이버 42.2.5

SQL 서버 JDBC 드라이버 4.6

이 드라이버 버전은 SQL Server 항상 켜기(페일오버 클러스터 인스턴스 항상 켜기가용성 그룹 항상 켜기)를 지원합니다.

Microsoft SQL Server에 대한 Windows 인증에 대한 추가 요구 사항

HDS 노드가 Windows 인증을 사용하여 Microsoft SQL Server에서 키 저장소 데이터베이스에 액세스하도록 하려는 경우, 환경에서 다음 구성이 필요합니다.

  • HDS 노드, Active Directory 인프라 및 MS SQL 서버는 모두 NTP와 동기화되어야 합니다.

  • HDS 노드에 제공하는 Windows 계정은 데이터베이스에 대한 읽기/쓰기 액세스 권한이 있어야 합니다.

  • HDS 노드에 제공하는 DNS 서버는 KDC(Key Distribution Center)를 확인할 수 있어야 합니다.

  • Microsoft SQL Server의 HDS 데이터베이스 인스턴스를 Active Directory의 SPN(Service Principal Name)으로 등록할 수 있습니다. Kerberos 연결에 대해 서비스 기본 이름 등록을 참조하십시오.

    HDS 설정 도구, HDS 실행기 및 로컬 KMS는 모두 Windows 인증을 사용하여 키 저장소 데이터베이스에 액세스해야 합니다. Kerberos 인증으로 액세스를 요청할 때 ISO 구성의 세부 정보를 사용하여 SPN을 구성합니다.

외부 연결 요구 사항

HDS 응용프로그램에 대해 다음 연결을 허용하도록 방화벽을 구성합니다.

응용프로그램

프로토콜

포트

앱에서 방향

대상

하이브리드 데이터 보안 노드

TCP

443

아웃바운드 HTTPS 및 WSS

  • Webex 서버:

    • *.wbx2.com

    • *.ciscospark.com

  • 모든 공통 ID 호스트

  • Webex 서비스의 네트워크 요구 사항Webex 하이브리드 서비스의 추가 URL 표에 하이브리드 데이터 보안에 나열된 기타 URL

HDS 설정 도구

TCP

443

아웃바운드 HTTPS

  • *.wbx2.com

  • 모든 공통 ID 호스트

  • hub.docker.com

NAT 또는 방화벽이 앞의 표에 있는 도메인 대상에 필요한 아웃바운드 연결을 허용하는 한, 하이브리드 데이터 보안 노드는 네트워크 액세스 변환(NAT) 또는 방화벽 내에서 작동합니다. 하이브리드 데이터 보안 노드로 인바운드되는 연결에 대해서는 인터넷에서 포트가 표시되지 말아야 합니다. 데이터 센터 내에서 클라이언트는 관리의 목적을 위해 TCP 포트 443 및 22에서 하이브리드 데이터 보안 노드에 액세스해야 합니다.

CI(공통 ID) 호스트에 대한 URL은 지역별로 다릅니다. 현재 CI 호스트는 다음과 같습니다.

지역

공통 ID 호스트 URL

미주

  • https://idbroker.webex.com

  • https://identity.webex.com

  • https://idbroker-b-us.webex.com

  • https://identity-b-us.webex.com

유럽 연합

  • https://idbroker-eu.webex.com

  • https://identity-eu.webex.com

캐나다

  • https://idbroker-ca.webex.com

  • https://identity-ca.webex.com

싱가포르

  • https://idbroker-sg.webex.com

  • https://identity-sg.webex.com

아랍에미리트

  • https://idbroker-ae.webex.com

  • https://identity-ae.webex.com

프록시 서버 요구 사항

  • 하이브리드 데이터 보안 노드에 통합할 수 있는 다음 프록시 솔루션을 공식적으로 지원합니다.

  • 명시적 프록시에 대해 다음 인증 유형 조합을 지원합니다.

    • HTTP 또는 HTTPS로 인증하지 않음

    • HTTP 또는 HTTPS로 기본 인증

    • HTTPS로만 다이제스트 인증

  • 투명 검사 프록시 또는 HTTPS 명시적 프록시에 대해 프록시 루트 인증서의 복사본이 있어야 합니다. 이 안내서의 배포 지시 사항은 하이브리드 데이터 보안 노드의 신뢰 저장소에 사본을 업로드하는 방법을 설명합니다.

  • HDS 노드를 호스트하는 네트워크는 포트 443의 아웃바운드 TCP 트래픽이 프록시를 통해 라우팅하도록 구성되어야 합니다.

  • 웹 트래픽을 검사하는 프록시는 웹 소켓 연결을 방해할 수도 있습니다. 이 문제가 발생하는 경우, wbx2.comciscospark.com에 대한 트래픽을 우회(검사하지 않음)하면 문제를 해결할 수 있습니다.

하이브리드 데이터 보안에 대한 전제 조건 완료

이 검사 목록을 사용하여 하이브리드 데이터 보안 클러스터를 설치하고 구성할 준비가 되었는지 확인하십시오.
1

파트너 조직에 멀티 테넌트 HDS 기능이 활성화되었는지 확인하고 파트너 전체 관리자 및 전체 관리자 권한이 있는 계정의 자격 증명을 확보하십시오. Webex 고객 조직이 Cisco Webex Control Hub용 Pro Pack에 대해 활성화되었는지 확인하십시오. 이 과정에 대해 지원을 받으려면 Cisco 파트너 또는 계정 관리자에게 연락하십시오.

고객 조직에는 기존의 HDS 배포가 없어야 합니다.

2

HDS 배포에 대한 도메인 이름(예: hds.company.com)을 선택하고 X.509 인증서, 비공개 키 및 중간 인증서를 포함하는 인증서 체인을 확보합니다. 인증서 체인은 X.509 인증서 요구 사항에 있는 요구 사항을 충족해야 합니다.

3

클러스터에서 하이브리드 데이터 보안 노드로 설정할 동일한 가상 호스트를 준비하십시오. 가상 호스트 요구 사항의 요구 사항을 충족하는 동일한 보안 데이터 센터에 최소한 두 개의 개별 호스트(권장되는 3개)가 있어야 합니다.

4

데이터베이스 서버 요구 사항에 따라 클러스터에 대한 키 데이터 저장소 역할을 할 데이터베이스 서버를 준비합니다. 데이터베이스 서버는 가상 호스트와 함께 보안 데이터 센터에 위치해야 합니다.

  1. 키 스토리지에 대한 데이터베이스를 생성합니다. (이 데이터베이스를 만들어야 합니다. 기본 데이터베이스를 사용하지 마십시오. HDS 응용프로그램을 설치하면 데이터베이스 스키마가 생성됩니다.)

  2. 노드가 데이터베이스 서버와 통신하는 데 사용할 세부 사항을 수집하십시오.

    • 호스트 이름 또는 IP 주소 (호스트) 및 포트

    • 키 스토리지에 대한 데이터베이스의 이름(dbname)

    • 키 스토리지 데이터베이스에서 모든 권한을 가진 사용자의 사용자이름 및 비밀번호

5

빠른 장애 복구를 위해 다른 데이터 센터에 백업 환경을 설정합니다. 백업 환경은 VM과 백업 데이터베이스 서버의 프로덕션 환경을 반영합니다. 예를 들어, 프로덕션에 HDS 노드를 실행하는 3개의 VM이 있으면 백업 환경에도 3개의 VM이 있어야 합니다.

6

클러스터에 있는 노드에서 로그를 수집하도록 시스로그 호스트를 설정하십시오. 네트워크 주소 및 시스로그 포트를 수집합니다(기본값은 UDP 514).

7

하이브리드 데이터 보안 노드, 데이터베이스 서버 및 syslog 호스트에 대한 보안 백업 정책을 만듭니다. 복구할 수 없는 데이터 손실을 방지하기 위해 하이브리드 데이터 보안 노드에 대해 생성된 데이터베이스 및 구성 ISO 파일을 백업해야 합니다.

하이브리드 데이터 보안 노드는 콘텐츠의 암호화 및 해독에 사용되는 키를 저장하기 때문에 운영 중인 배포를 유지하지 못하면 해당 콘텐츠의 복구할 수 없는 손실 으로 이어질 수 있습니다.

Webex 앱 클라이언트는 키를 캐시하므로 정전이 즉시 눈에 띄지 않지만 시간이 지남에 따라 눈에 띄게 됩니다. 일시적인 중단은 예방할 수 없지만, 복구는 가능합니다. 그러나 데이터베이스 또는 구성 ISO 파일을 완전한 유실하면(사용할 수 있는 백업 없음) 고객 데이터를 복구할 수 없게 됩니다. 하이브리드 데이터 보안 노드의 운영자는 데이터베이스 및 구성 ISO 파일의 빈번한 백업을 유지하고, 치명적인 오류가 발생할 경우 하이브리드 데이터 보안 데이터 센터를 다시 빌드할 준비가 되어야 합니다.

8

방화벽 구성에서 외부 연결 요구 사항에 설명된 대로 하이브리드 데이터 보안 노드에 대한 연결을 허용하는지 확인합니다.

9

지원되는 OS(Microsoft Windows 10 Professional 또는 Enterprise 64비트 또는 Mac OSX Yosemite 10.10.3 이상)를 실행하는 로컬 머신에 Docker( https://www.docker.com)를 http://127.0.0.1:8080.에서 액세스할 수 있는 웹 브라우저를 설치합니다.

Docker 인스턴스를 사용하여 모든 하이브리드 데이터 보안 노드에 대한 로컬 구성 정보를 빌드하는 HDS 설정 도구를 다운로드하고 실행합니다. Docker 데스크탑 라이센스가 필요할 수 있습니다. 자세한 정보는 Docker 데스크탑 요구 사항 을 참조하십시오.

HDS 설정 도구를 설치하고 실행하려면 로컬 머신에 외부 연결 요구 사항에 설명된 연결이 있어야 합니다.

10

하이브리드 데이터 보안에 프록시를 통합하는 경우, 프록시 서버 요구 사항을 충족하는지 확인하십시오.

하이브리드 데이터 보안 클러스터 설정

하이브리드 데이터 보안 배포 작업 흐름

시작하기 전에

1

초기 설정을 수행하고 설치 파일 다운로드

나중에 사용할 수 있도록 OVA 파일을 로컬 머신으로 다운로드합니다.

2

HDS 호스트에 대해 구성 ISO 만들기

HDS 설정 도구를 사용하여 하이브리드 데이터 보안 노드에 대한 ISO 구성 파일을 만듭니다.

3

HDS 호스트 OVA 설치

OVA 파일에서 가상 머신을 만들고 네트워크 설정과 같은 초기 구성을 수행합니다.

OVA 배포 중 네트워크 설정을 구성하는 옵션은 ESXi 7.0에서 테스트되었습니다. 이전 버전에서 해당 옵션을 사용하지 못할 수도 있습니다.

4

하이브리드 데이터 보안 VM 설정

VM 콘솔에 로그인하고 로그인 자격 증명을 설정합니다. OVA 배포 시 구성하지 않은 경우 노드에 대한 네트워크 설정을 구성합니다.

5

HDS 구성 ISO 업로드 및 마운트

HDS 설정 도구를 사용하여 만든 ISO 구성 파일에서 VM을 구성합니다.

6

프록시 통합에 대해 HDS 노드 구성

네트워크 환경에 프록시 구성이 필요한 경우 노드에 사용할 프록시의 유형을 지정하고 필요에 따라 프록시 인증서를 신뢰 저장소에 추가합니다.

7

클러스터에서 첫 번째 노드 등록

하이브리드 데이터 보안 노드로 Cisco Webex 클라우드에 VM을 등록합니다.

8

추가 노드를 만들고 등록

클러스터 설정을 완료하십시오.

9

Partner Hub에서 멀티 테넌트 HDS를 활성화합니다.

Partner Hub에서 HDS를 활성화하고 테넌트 조직을 관리합니다.

초기 설정을 수행하고 설치 파일 다운로드

이 작업에서 OVA 파일을 컴퓨터에 다운로드합니다(하이브리드 데이터 보안 노드로 설정한 서버가 아님). 나중에 이 파일을 설치 프로세스에서 사용합니다.

1

Partner Hub에 로그인한 후 서비스를 클릭합니다.

2

클라우드 서비스 섹션에서 하이브리드 데이터 보안 카드를 찾은 후 설정을 클릭합니다.

Partner Hub에서 설정 을 클릭하면 배포 프로세스에 매우 중요합니다. 이 단계를 완료하지 않고 설치를 진행하지 마십시오.

3

리소스 추가 를 클릭하고 소프트웨어 설치 및 구성 카드에서 .OVA 파일 다운로드 를 클릭합니다.

이전 버전의 소프트웨어 패키지(OVA)는 최신 하이브리드 데이터 보안 업그레이드와 호환되지 않습니다. 이는 응용프로그램을 업그레이드하는 동안 문제가 발생할 수 있습니다. 최신 버전의 OVA 파일을 다운로드했는지 확인하십시오.

도움말 섹션에서 언제든지 OVA를 다운로드할 수도 있습니다. 설정 > 도움말 > 하이브리드 데이터 보안 소프트웨어 다운로드를 클릭합니다.

OVA 파일이 자동으로 다운로드되기 시작합니다. 머신에 있는 위치에 파일을 저장합니다.
4

선택적으로, 하이브리드 데이터 보안 배포 안내서 보기 를 클릭하여 이 안내서의 이후 버전을 사용할 수 있는지 확인합니다.

HDS 호스트에 대해 구성 ISO 만들기

하이브리드 데이터 보안 설정 프로세스는 ISO 파일을 만듭니다. 그 후 ISO를 사용하여 하이브리드 데이터 보안 호스트를 구성합니다.

시작하기 전에
1

머신의 명령줄에 사용자 환경에 적합한 명령을 입력합니다.

일반 환경:

docker rmi ciscocitg/hds-setup:안정

FedRAMP 환경:

도커 rmi ciscocitg/hds-setup-fedramp:stable

이 단계에서는 이전 HDS 설정 도구 이미지를 정리합니다. 이전 이미지가 없는 경우 무시할 수 있는 오류를 반환합니다.

2

Docker 이미지 레지스트리에 로그인하려면 다음을 입력합니다.

도커 로그인 -u hdscustomersro
3

비밀번호 프롬프트에 이 해시를 입력합니다.

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo는
4

사용자 환경에 맞는 최신 안정 이미지를 다운로드합니다.

일반 환경:

docker pull ciscocitg/hds-setup:안정

FedRAMP 환경:

docker pull ciscocitg/hds-setup-fedramp:안정
5

풀이 완료되면 사용자 환경에 적합한 명령을 입력합니다.

  • 프록시가 없는 일반 환경:

    도커 실행 -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

  • HTTP 프록시가 있는 일반 환경:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • HTTPS 프록시가 있는 일반 환경에서는:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • 프록시가 없는 FedRAMP 환경:

    도커 실행 -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • HTTP 프록시가 있는 FedRAMP 환경:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • HTTPS 프록시가 있는 FedRAMP 환경:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

컨테이너가 실행 중일 때 "포트 8080에서 수신하는 Express 서버"가 표시됩니다.

6

설정 도구는 http://localhost:8080을 통해 localhost에 연결하는 것을 지원하지 않습니다. http://127.0.0.1:8080 을(를) 사용하여 로컬 호스트에 연결합니다.

웹 브라우저를 사용하여 localhost, http://127.0.0.1:8080(으)로 이동하고 프롬프트에 Partner Hub의 관리 사용자 이름을 입력합니다.

이 도구는 사용자 이름의 이 첫 번째 항목을 사용하여 해당 계정에 적합한 환경을 설정합니다. 그런 다음 도구는 표준 로그인 프롬프트를 표시합니다.

7

안내를 받으면 Partner Hub 관리자 로그인 자격 증명을 입력한 후 로그인 을 클릭하여 하이브리드 데이터 보안에 필요한 서비스에 대한 액세스를 허용합니다.

8

설정 도구 개요 페이지에서 시작하기를 클릭합니다.

9

ISO 가져오기 페이지에 다음 옵션이 있습니다.

  • 아니요—첫 번째 HDS 노드를 만드는 경우, 업로드할 ISO 파일이 없습니다.
  • —HDS 노드를 이미 만든 경우, 찾아보기에서 ISO 파일을 선택하고 업로드합니다.
10

X.509 인증서가 X.509 인증서 요구 사항의 요구 사항을 충족하는지 확인합니다.

  • 이전에 인증서를 업로드하지 않은 경우, X.509 인증서를 업로드하고 비밀번호를 입력한 후 계속을 클릭합니다.
  • 인증서가 올바른 경우, 계속을 클릭합니다.
  • 인증서가 만료되었거나 교체하려는 경우, 이전 ISO에서 HDS 인증서 체인 및 비공개 키를 계속 사용? 에 대해 아니요를 선택합니다. 새로운 X.509 인증서를 업로드하고 비밀번호를 입력한 후 계속을 클릭합니다.
11

키 데이터 저장소에 액세스하기 위해 HDS의 데이터베이스 주소 및 계정을 입력합니다.

  1. 데이터베이스 유형 (PostgreSQL 또는 Microsoft SQL Server)을 선택합니다.

    Microsoft SQL Server를 선택하는 경우, 인증 유형 필드가 나타납니다.

  2. (Microsoft SQL Server 전용) 인증 유형을 선택합니다.

    • 기본 인증: 사용자이름 필드에 로컬 SQL Server 계정 이름이 필요합니다.

    • Windows 인증: 사용자이름 필드에 username@DOMAIN 형식의 Windows 계정이 필요합니다.

  3. 데이터베이스 서버 주소를 : 또는 : 형식으로 입력합니다.

    예:
    dbhost.example.org:1433 또는 198.51.100.17:1433

    노드에서 DNS를 사용하여 호스트 이름을 확인할 수 없는 경우 기본 인증에 대해 IP 주소를 사용할 수 있습니다.

    Windows 인증을 사용하고 있는 경우, 정규화된 도메인 이름을 dbhost.example.org:1433 형식으로 입력해야 합니다.

  4. 데이터베이스 이름을 입력합니다.

  5. 키 스토리지 데이터베이스에서 모든 권한이 있는 사용자의 사용자이름비밀번호 를 입력합니다.

12

TLS 데이터베이스 연결 모드를 선택합니다.

모드

설명

TLS 선호 (기본 옵션)

HDS 노드에서 TLS가 데이터베이스 서버에 연결하도록 요구하지 않습니다. 데이터베이스 서버에서 TLS를 활성화하는 경우 노드는 암호화된 연결을 시도합니다.

TLS 필요

데이터베이스 서버에서 TLS를 협상할 수 있는 경우에만 HDS 노드를 연결합니다.

TLS 필요 및 인증서 서명자 확인

이 모드는 SQL Server 데이터베이스에는 적용되지 않습니다.

  • 데이터베이스 서버에서 TLS를 협상할 수 있는 경우에만 HDS 노드를 연결합니다.

  • TLS 연결을 설정한 후 노드는 데이터베이스 서버에서 인증서의 서명자를 데이터베이스 루트 인증서에 있는 인증 기관과 비교합니다. 해당 정보가 일치하지 않으면 노드는 연결을 끊습니다.

이 옵션에 대해 루트 인증서를 업로드하려면 드롭다운 아래에 있는 데이터베이스 루트 인증서 제어를 사용하십시오.

TLS 필요 및 인증서 서명자, 호스트 이름 확인

  • 데이터베이스 서버에서 TLS를 협상할 수 있는 경우에만 HDS 노드를 연결합니다.

  • TLS 연결을 설정한 후 노드는 데이터베이스 서버에서 인증서의 서명자를 데이터베이스 루트 인증서에 있는 인증 기관과 비교합니다. 해당 정보가 일치하지 않으면 노드는 연결을 끊습니다.

  • 노드는 서버 인증서의 호스트 이름이 데이터베이스 호스트 및 포트 필드에 있는 호스트 이름과 일치하는지 확인합니다. 이름은 정확히 일치해야 하며, 그렇지 않으면 노드가 연결을 끊습니다.

이 옵션에 대해 루트 인증서를 업로드하려면 드롭다운 아래에 있는 데이터베이스 루트 인증서 제어를 사용하십시오.

루트 인증서를 업로드하고(필요한 경우) 계속을 클릭하면 HDS 설정 도구는 데이터베이스 서버에 대한 TLS 연결을 테스트합니다. 해당 도구는 인증서 서명자 및 호스트 이름도 확인합니다(해당하는 경우). 테스트가 실패하면 도구에서 문제를 설명하는 오류 메시지를 표시합니다. 오류를 무시할지 선택하고 설정을 계속할 수 있습니다. (연결성 차이로 인해 HDS 설정 도구 머신에서 성공적으로 테스트할 수 없는 경우에도 HDS 노드는 TLS 연결을 설정할 수 있습니다.)

13

시스템 로그 페이지에서 Syslogd 서버를 구성합니다.

  1. syslog 서버 URL을 입력합니다.

    서버가 HDS 클러스터에 대한 노드에서 DNS를 확인할 수 없는 경우 URL에 있는 IP 주소를 사용합니다.

    예:
    udp://10.92.43.23:514 는 UDP 포트 514에서 Syslogd 호스트 10.92.43.23에 대한 로깅을 가리킵니다.

  2. TLS 암호화를 사용하도록 서버를 설정한 경우, SSL 암호화에 대해 syslog 서버가 구성되었습니까?를 체크합니다.

    이 확인란을 선택하는 경우, tcp://10.92.43.23:514와 같은 TCP URL을 입력해야 합니다.

  3. syslog 녹화 종료 선택 드롭다운에서 ISO 파일에 적합한 설정을 선택합니다. Graylog 및 Rsyslog TCP에 대해 선택하거나 새로 고침을 사용합니다.

    • Null 바이트 -- \x00

    • 새로 고침 -- \n—Graylog 및 Rsyslog TCP에 대해 이 옵션을 선택합니다.

  4. 계속을 클릭합니다.

14

(선택 사항) 고급 설정에서 일부 데이터베이스 연결 파라미터에 대한 기본값을 변경할 수 있습니다. 일반적으로 이 파라미터는 변경할 수 있는 유일한 파라미터입니다.

app_datasource_connection_pool_max크기: 10
15

서비스 계정 비밀번호 재설정 화면에서 계속 을 클릭합니다.

서비스 계정 비밀번호의 수명은 9개월입니다. 비밀번호가 곧 만료되거나 이전 ISO 파일을 무효화하도록 재설정하고자 할 때 이 화면을 사용합니다.

16

ISO 파일 다운로드를 클릭합니다. 쉽게 찾을 수 있는 위치에 파일을 저장합니다.

17

로컬 시스템에서 ISO 파일의 백업 복사본을 만듭니다.

백업 복사본을 안전하게 유지합니다. 이 파일에는 데이터베이스 콘텐츠에 대한 마스터 암호화 키가 포함됩니다. 구성을 변경해야 하는 하이브리드 데이터 보안 관리자에게만 액세스를 제한합니다.

18

설정 도구를 종료하려면 CTRL + C 조합을 입력합니다.

다음에 수행할 작업

구성 ISO 파일을 백업합니다. 복구를 위해 추가 노드를 만들거나 구성을 변경하려면 이 노드가 필요합니다. ISO 파일의 모든 복사본을 잃게 되면 마스터 키도 잃게 됩니다. PostgreSQL 또는 Microsoft SQL Server 데이터베이스에서 키를 복구할 수 없습니다.

이 키의 사본은 가지고 있지 않으며, 잃어버리는 경우엔 지원할 수 없습니다.

HDS 호스트 OVA 설치

OVA 파일에서 가상 머신을 만들려면 이 절차를 따르십시오.
1

컴퓨터에서 VMware vSphere 클라이언트를 사용하여 ESXi 가상 호스트에 로그인합니다.

2

파일 > OVF 템플릿 배포를 선택합니다.

3

마법사에서 이전에 다운로드한 OVA 파일의 위치를 지정한 후 다음을 클릭합니다.

4

이름 및 폴더 선택 페이지에서 노드에 대한 가상 머신 이름 (예: "HDS_Node_1")을 입력하고 가상 머신 노드 배포가 상주할 수 있는 위치를 선택한 후 다음을 클릭합니다.

5

계산 리소스 선택 페이지에서 대상 계산 리소스를 선택한 후 다음을 클릭합니다.

유효성 검사가 실행됩니다. 완료되면 템플릿 세부 사항이 나타납니다.

6

템플릿 세부 사항을 확인한 후 다음을 클릭합니다.

7

구성 페이지에서 리소스 구성을 선택하도록 요청받는 경우, 4 CPU 를 클릭한 후 다음을 클릭합니다.

8

스토리지 선택 페이지에서 다음 을 클릭하여 기본 디스크 형식 및 VM 스토리지 정책을 수락합니다.

9

네트워크 선택 페이지에서 입력값의 목록에서 네트워크 옵션을 선택하여 VM에 원하는 연결을 제공합니다.

10

템플릿 사용자 정의 페이지에서 다음 네트워크 설정을 구성합니다.

  • 호스트 이름—노드에 대한 FQDN(호스트 이름 및 도메인) 또는 한 단어 호스트 이름을 입력합니다.

    • X.509 인증서를 얻는 데 사용된 도메인과 일치하도록 도메인을 설정할 필요는 없습니다.

    • 클라우드에 성공적으로 등록하려면 노드에 대해 설정한 FQDN 또는 호스트 이름에서 소문자만 사용하십시오. 현재 대문자 사용은 지원되지 않습니다.

    • FQDN의 총 길이는 64자를 초과하지 말아야 합니다.

  • IP 주소— 노드의 내부 인터페이스에 대한 IP 주소를 입력합니다.

    노드에는 내부 IP 주소 및 DNS 이름이 있어야 합니다. DHCP는 지원되지 않습니다.

  • 마스크—점-소수 표기법으로 서브넷 마스크 주소를 입력합니다. 예: 255.255.255.0.
  • 게이트웨이—게이트웨이 IP 주소를 입력합니다. 게이트웨이는 다른 네트워크에 대한 액세스 포인트로 사용되는 네트워크 노드입니다.
  • DNS 서버—도메인 이름을 숫자 IP 주소로 변환하는 DNS 서버의 콤마로 구분된 목록을 입력합니다. (최대 4개의 DNS 항목이 허용됩니다.)
  • NTP 서버—조직의 NTP 서버 또는 조직에서 사용될 수 있는 다른 외부 NTP 서버를 입력합니다. 기본 NTP 서버는 모든 기업에 대해 작동하지 않을 수 있습니다. 콤마로 구분된 목록을 사용하여 여러 NTP 서버를 입력할 수도 있습니다.

  • 관리의 목적을 위해 네트워크의 클라이언트에서 클러스터의 모든 노드에 연결할 수 있도록 동일한 서브넷 또는 VLAN에 모든 노드를 배포합니다.

원하는 경우, 네트워크 설정 구성을 건너뛰고 하이브리드 데이터 보안 VM 설정 에 설명된 단계를 따라 노드 콘솔에서 설정을 구성할 수 있습니다.

OVA 배포 중 네트워크 설정을 구성하는 옵션은 ESXi 7.0에서 테스트되었습니다. 이전 버전에서 해당 옵션을 사용하지 못할 수도 있습니다.

11

노드 VM을 오른쪽 클릭한 후 전원 > 전원 켜기를 선택합니다.

하이브리드 데이터 보안 소프트웨어는 VM 호스트에 손님으로 설치됩니다. 이제 콘솔에 로그인하고 노드를 구성할 준비가 되었습니다.

문제 해결하기 추가 정보

노드 포함자가 시작되기 전에 몇 분 정도 지연이 발생할 수도 있습니다. 첫 번째 부팅 중에 콘솔에 브리지 방화벽 메시지가 나타나며, 로그인할 수 없습니다.

하이브리드 데이터 보안 VM 설정

이 절차를 사용하여 처음으로 하이브리드 데이터 보안 노드 VM 콘솔에 로그인하고 로그인 자격 증명을 설정합니다. OVA 배포 시 구성하지 않은 경우 콘솔을 사용하여 노드에 대한 네트워크 설정을 구성할 수도 있습니다.

1

VMware vSphere 클라이언트에서 하이브리드 데이터 보안 노드 VM을 선택하고 콘솔 탭을 선택합니다.

VM이 부팅되고 로그인 프롬프트가 나타납니다. 로그인 프롬프트가 표시되지 않는 경우엔 Enter를 누릅니다.
2

다음 기본 로그인 및 비밀번호를 사용하여 로그인하고 자격 증명을 변경합니다.

  1. 로그인: admin

  2. 비밀번호: cisco

VM에 처음으로 로그인하고 있기 때문에 관리자 비밀번호를 변경하도록 요구받습니다.

3

HDS 호스트 OVA 설치에서 이미 네트워크 설정을 구성한 경우, 이 절차의 나머지 부분은 건너뜁니다. 그렇지 않으면 기본 메뉴에서 구성 편집 옵션을 선택합니다.

4

IP 주소, 마스크, 게이트웨이 및 DNS 정보로 정적 구성을 설정합니다. 노드에는 내부 IP 주소 및 DNS 이름이 있어야 합니다. DHCP는 지원되지 않습니다.

5

(선택 사항) 필요한 경우, 네트워크 정책과 일치하도록 호스트이름, 도메인 또는 NTP 서버를 변경합니다.

X.509 인증서를 얻는 데 사용된 도메인과 일치하도록 도메인을 설정할 필요는 없습니다.

6

네트워크 구성을 저장하고 VM을 다시 부팅하여 변경 사항을 적용합니다.

HDS 구성 ISO 업로드 및 마운트

HDS 설정 도구로 생성한 ISO 파일에서 가상 머신을 구성하려면 이 절차를 따르십시오.

시작하기 전에

ISO 파일은 마스터 키를 갖고 있기 때문에 이는 하이브리드 데이터 보안 VM 및 변경해야 할 수 있는 관리자가 액세스하기 위해 "알아야 할 것"으로만 노출되어야 합니다. 해당 관리자만 데이터스토어에 액세스할 수 있는지 확인하십시오.

1

컴퓨터에서 ISO 파일을 업로드합니다.

  1. VMware vSphere 클라이언트의 왼쪽 네비게이션 분할 창에서 ESXi 서버를 클릭합니다.

  2. 구성 탭의 하드웨어 목록에서 스토리지를 클릭합니다.

  3. 데이터스토어 목록에서 VM용 데이터스토어를 오른쪽 클릭하고 데이터스토어 찾아보기를 클릭합니다.

  4. 파일 업로드 아이콘을 클릭한 후 파일 업로드을 클릭합니다.

  5. 컴퓨터에서 ISO 파일을 다운로드한 위치를 찾고 열기를 클릭합니다.

  6. 를 클릭하여 업로드/다운로드 작업 경고를 수락하고 데이터스토어 대화 상자를 닫습니다.

2

ISO 파일을 마운트합니다.

  1. VMware vSphere 클라이언트의 왼쪽 네비게이션 분할 창에서 VM을 오른쪽 클릭하고 설정 편집을 클릭합니다.

  2. 확인을 클릭하여 제한된 편집 옵션 경고를 수락합니다.

  3. CD/DVD 드라이브 1을 클릭하고 데이터스토어 ISO 파일에서 마운트하기 위한 옵션을 선택한 후 구성 ISO 파일을 업로드한 위치를 찾습니다.

  4. 연결됨시동될 때 연결을 체크합니다.

  5. 변경 내용을 저장하고 가상 머신을 재부팅합니다.

다음에 수행할 작업

IT 정책에서 요구하는 경우, 모든 노드에서 구성 변경 사항을 적용한 후에 선택적으로 ISO 파일을 마운트 해제할 수 있습니다. 자세한 내용은 (선택 사항) HDS 구성 후 ISO 마운트 해제 를 참조하십시오.

프록시 통합에 대해 HDS 노드 구성

네트워크 환경에 프록시가 필요한 경우, 이 절차를 사용하여 하이브리드 데이터 보안에 통합하고자 하는 프록시의 유형을 지정합니다. 투명 검사 프록시 또는 HTTPS 명시적 프록시를 선택하는 경우, 노드의 인터페이스를 사용하여 루트 인증서를 업로드하고 설치할 수 있습니다. 인터페이스에서 프록시 연결을 확인하고 잠재적인 문제를 해결할 수도 있습니다.

시작하기 전에

1

웹 브라우저에서 HDS 노드 설정 URL https://[HDS Node IP 또는 FQDN]/setup을 입력하고, 노드에 대해 설정한 관리 자격 증명을 입력한 후 로그인을 클릭합니다.

2

신뢰 저장소 및 프록시로 이동한 후 옵션을 선택합니다.

  • 프록시 없음—프록시를 통합하기 전에 기본 옵션입니다. 인증서를 업데이트하지 않아도 됩니다.
  • 투명 비-검사 프록시—노드가 특정 프록시 서버 주소를 사용하도록 구성되지 않았으며, 비-검사 프록시에서 작동하도록 변경하지 않아도 됩니다. 인증서를 업데이트하지 않아도 됩니다.
  • 투명 검사 프록시—노드가 특정 프록시 서버 주소를 사용하도록 구성되지 않았습니다. 하이브리드 데이터 보안 배포에서 HTTPS 구성을 변경하지 않아도 됩니다. 단, HDS 노드에 루트 인증서가 있어야 프록시를 신뢰할 수 있습니다. 일반적으로 검사 프록시는 IT가 어떤 웹사이트를 방문할 수 있는지 및 어떤 유형의 콘텐츠가 허용되는지에 대한 정책을 적용하기 위해 사용됩니다. 이러한 유형의 프록시는 모든 트래픽(HTTPS 포함)을 해독합니다.
  • 명시적 프록시—명시적 프록시를 사용하여 클라이언트(HDS 노드)에게 어떤 프록시 서버를 사용할지 알리고, 이 옵션은 다양한 인증 유형을 지원합니다. 이 옵션을 선택한 후 다음 정보를 입력해야 합니다.

    1. 프록시 IP/FQDN—프록시 머신에 연결하기 위해 사용될 수 있는 주소입니다.

    2. 프록시 포트—프록시가 프록시된 트래픽을 수신하기 위해 사용하는 포트 번호입니다.

    3. 프록시 프로토콜http (클라이언트로부터 수신된 모든 요청을 확인하고 제어) 또는 https (서버에 채널을 제공하고 클라이언트는 서버의 인증서를 수신 및 확인)를 선택합니다. 프록시 서버가 지원하는 내용에 따라 옵션을 선택합니다.

    4. 인증 유형—다음 인증 유형 중에서 선택합니다.

      • 없음—추가 인증이 필요하지 않습니다.

        HTTP 또는 HTTPS 프록시를 사용할 수 있습니다.

      • 기본—요청을 할 때 HTTP 사용자 에이전트가 사용자 이름 및 비밀번호를 제공하기 위해 사용됩니다. Base64 인코딩을 사용합니다.

        HTTP 또는 HTTPS 프록시를 사용할 수 있습니다.

        이 옵션을 선택하는 경우, 사용자 이름 및 비밀번호도 입력해야 합니다.

      • 다이제스트—민감한 정보를 보내기 전에 계정을 확인하기 위해 사용됩니다. 네트워크를 통해 전송하기 전에 사용자 이름 및 비밀번호에 해시 기능을 적용합니다.

        HTTPS 프록시에 대해서만 사용할 수 있습니다.

        이 옵션을 선택하는 경우, 사용자 이름 및 비밀번호도 입력해야 합니다.

투명 검사 프록시, 기본 인증이 포함된 HTTP 명시적 프록시 또는 HTTPS 명시적 프록시에 대해서는 다음 단계를 따르십시오.

3

루트 인증서 또는 최종 엔터티 인증서 업로드를 클릭한 후 탐색하여 프록시에 대한 루트 인증서를 선택합니다.

인증서가 업로드되었지만 아직 설치되지 않았습니다. 인증서를 설치하려면 노드를 재부팅해야 합니다. 인증서 발급자 이름 옆에 있는 갈매기 모양 화살표를 클릭하여 자세한 내용을 확인합니다. 실수가 있었거나 파일을 다시 업로드하려는 경우엔 삭제를 클릭합니다.

4

프록시 연결 확인을 클릭하여 노드와 프록시 간의 네트워크 연결을 테스트합니다.

연결 테스트에 실패하는 경우, 이유 및 문제를 해결할 수 있는 방법을 표시하는 오류 메시지가 나타납니다.

외부 DNS 확인에 실패했다는 메시지가 나타나면 노드가 DNS 서버에 연결하지 못한 것입니다. 이 조건은 다양한 명시적 프록시 구성에서 예상되는 작동입니다. 설정을 계속 진행할 수 있으며, 노드는 차단된 외부 DNS 확인 모드로 작동하게 됩니다. 이 작업이 오류라고 생각하시면 다음 단계를 완료한 후 차단된 외부 DNS 확인 모드 끄기를 참조하십시오.

5

연결 테스트를 통과한 후 https로만 설정된 명시적 프록시에 대해 설정을 토글하여 이 노드의 모든 포트 443/444 https 요청을 명시적 프록시를 통해 라우팅합니다. 이 설정이 적용될 때까지 15초 정도 소요됩니다.

6

모든 인증서를 신뢰 저장소에 설치(HTTPS 명시적 프록시 또는 투명 검사 프록시에 대해 나타남) 또는 재부팅(HTTP 명시적 프록시에 대해 나타남)을 클릭하고 안내를 읽은 후 준비되었을 때 설치를 클릭합니다.

노드는 몇 분 내에 재부팅됩니다.

7

노드가 재부팅되면 필요에 따라 다시 로그인한 후 개요 페이지를 열어 연결을 확인하고 모두 녹색 상태인지 확인합니다.

프록시 연결 확인은 webex.com의 하위 도메인만 테스트합니다. 연결에 문제가 있는 경우, 설치 지시 사항에 나열된 일부 클라우드 도메인이 프록시에서 차단되는 것은 일반적인 문제입니다.

클러스터에서 첫 번째 노드 등록

이 작업은 하이브리드 데이터 보안 VM 설정에서 생성한 일반적인 노드를 적용하고, Webex 클라우드에 노드를 등록한 후 하이브리드 데이터 보안 노드로 변경합니다.

첫 번째 노드를 등록할 때 해당 노드가 지정된 클러스터를 만듭니다. 클러스터에는 중복성을 제공하기 위해 배포된 한 개 이상의 노드가 포함되어 있습니다.

시작하기 전에

  • 노드의 등록을 시작하면 60분 이내에 완료해야 합니다. 그렇지 않으면 처음부터 다시 시작해야 합니다.

  • 브라우저에 팝업 차단기가 비활성화되었는지 또는 admin.webex.com에 대한 예외를 허용했는지 확인하십시오.

1

https://admin.webex.com에 로그인합니다.

2

화면의 왼쪽에 있는 메뉴에서 서비스를 선택합니다.

3

클라우드 서비스 섹션에서 하이브리드 데이터 보안 카드를 찾고 설정을 클릭합니다.

4

페이지가 열리면 리소스 추가를 클릭합니다.

5

노드 추가 카드의 첫 번째 필드에 하이브리드 데이터 보안 노드를 지정할 클러스터의 이름을 입력합니다.

지리적으로 클러스터의 노드가 위치한 장소에 기반하여 클러스터의 이름을 지정할 것을 권장합니다. 예: "San Francisco" 또는 "New York" 또는 "Dallas"

6

두 번째 필드에서 노드의 내부 IP 주소 또는 정규화된 도메인 이름(FQDN)을 입력하고 화면의 하단에서 추가 를 클릭합니다.

이 IP 주소 또는 FQDN은 하이브리드 데이터 보안 VM 설정에서 사용한 IP 주소 또는 호스트 이름 및 도메인과 일치해야 합니다.

Webex에 노드를 등록할 수 있음을 가리키는 메시지가 나타납니다.
7

노드로 이동을 클릭합니다.

잠시 후에 Webex 서비스에 대한 노드 연결 테스트로 리디렉션됩니다. 모든 테스트에 성공하면 하이브리드 데이터 보안 노드에 대한 액세스 허용 페이지가 나타납니다. 여기에서 Webex 조직에 노드에 액세스할 수 있는 권한을 부여하고자 함을 확인합니다.

8

하이브리드 데이터 보안 노드에 액세스 허용 체크 박스에 체크한 후 계속을 클릭합니다.

계정의 유효성이 검증되고 "등록 완료" 메시지는 이제 노드가 Webex 클라우드에 등록되었음을 가리킵니다.
9

링크를 클릭하거나 탭을 닫아 Partner Hub 하이브리드 데이터 보안 페이지로 다시 돌아갑니다.

하이브리드 데이터 보안 페이지에서 등록한 노드가 포함된 새로운 클러스터가 리소스 탭 아래에 표시됩니다. 노드는 클라우드에서 자동으로 최신 소프트웨어를 다운로드합니다.

추가 노드를 만들고 등록

클러스터에 노드를 추가하려면 추가 VM을 만들고 동일한 구성 ISO 파일을 마운트한 후 노드를 등록하기만 하면 됩니다. 최소한 3개의 노드를 구성할 것을 권장합니다.

시작하기 전에

  • 노드의 등록을 시작하면 60분 이내에 완료해야 합니다. 그렇지 않으면 처음부터 다시 시작해야 합니다.

  • 브라우저에 팝업 차단기가 비활성화되었는지 또는 admin.webex.com에 대한 예외를 허용했는지 확인하십시오.

1

OVA에서 새로운 가상 머신을 만들고 HDS 호스트 OVA 설치에 설명된 단계를 반복합니다.

2

새로운 VM에서 초기 구성을 설정하고 하이브리드 데이터 보안 VM 설정에 설명된 단계를 반복합니다.

3

새로운 VM에서 HDS 구성 ISO 업로드 및 설치에 설명된 단계를 반복합니다.

4

배포에 대해 프록시를 설정하고 있는 경우, 새로운 노드에 대해 필요에 따라 프록시 통합에 대해 HDS 노드 구성 에 설명된 단계를 반복합니다.

5

노드를 등록합니다.

  1. https://admin.webex.com에서 화면 왼쪽의 메뉴에 있는 서비스를 선택합니다.

  2. 클라우드 서비스 섹션에서 하이브리드 데이터 보안 카드를 찾고 모두 보기를 클릭합니다.

    하이브리드 데이터 보안 리소스 페이지가 나타납니다.

  3. 새롭게 생성된 클러스터는 리소스 페이지에 나타납니다.

  4. 클러스터에 할당된 노드를 확인하려면 클러스터를 클릭합니다.

  5. 화면의 오른쪽에서 노드 추가 를 클릭합니다.

  6. 노드의 내부 IP 주소 또는 정규화된 도메인 이름(FQDN)을 입력하고 추가를 클릭합니다.

    Webex 클라우드에 노드를 등록할 수 있음을 나타내는 메시지가 포함된 페이지가 열립니다. 잠시 후에 Webex 서비스에 대한 노드 연결 테스트로 리디렉션됩니다. 모든 테스트에 성공하면 하이브리드 데이터 보안 노드에 대한 액세스 허용 페이지가 나타납니다. 여기에서 조직에 노드에 액세스할 수 있는 권한을 부여하고자 함을 확인합니다.

  7. 하이브리드 데이터 보안 노드에 액세스 허용 체크 박스에 체크한 후 계속을 클릭합니다.

    계정의 유효성이 검증되고 "등록 완료" 메시지는 이제 노드가 Webex 클라우드에 등록되었음을 가리킵니다.

  8. 링크를 클릭하거나 탭을 닫아 Partner Hub 하이브리드 데이터 보안 페이지로 다시 돌아갑니다.

    노드 추가됨 팝업 메시지는 Partner Hub의 화면 하단에도 나타납니다.

    노드가 등록되었습니다.

멀티 테넌트 하이브리드 데이터 보안에서 테넌트 조직 관리

Partner Hub에서 멀티 테넌트 HDS 활성화

이 작업은 고객 조직의 모든 사용자가 온-프레미스 암호화 키 및 기타 보안 서비스에 대해 HDS를 사용하기 시작할 수 있게 합니다.

시작하기 전에

필요한 노드의 수로 멀티 테넌트 HDS 클러스터 설정을 완료했는지 확인합니다.

1

https://admin.webex.com에 로그인합니다.

2

화면의 왼쪽에 있는 메뉴에서 서비스를 선택합니다.

3

클라우드 서비스 섹션에서 하이브리드 데이터 보안을 찾고 설정 편집을 클릭합니다.

4

HDS 상태 카드에서 HDS 활성화 를 클릭합니다.

Partner Hub에서 테넌트 조직 추가

이 작업에서 하이브리드 데이터 보안 클러스터에 고객 조직을 지정합니다.

1

https://admin.webex.com에 로그인합니다.

2

화면의 왼쪽에 있는 메뉴에서 서비스를 선택합니다.

3

클라우드 서비스 섹션에서 하이브리드 데이터 보안을 찾고 모두 보기를 클릭합니다.

4

고객을 지정하고자 하는 클러스터를 클릭합니다.

5

지정된 고객 탭으로 이동합니다.

6

고객 추가를 클릭합니다.

7

드롭다운 메뉴에서 추가할 고객을 선택합니다.

8

추가를 클릭하면 고객이 클러스터에 추가됩니다.

9

6~8단계를 반복하여 여러 고객을 클러스터에 추가합니다.

10

고객을 추가한 후 화면의 하단에서 완료 를 클릭합니다.

다음에 수행할 작업

HDS 설정 도구를 사용하여 고객 기본 키(CMK) 만들기 에 설명된 대로 HDS 설정 도구를 실행하여 설치 과정을 완료합니다.

HDS 설정 도구를 사용하여 고객 기본 키(CMK) 만들기

시작하기 전에

Partner Hub에서 테넌트 조직 추가에 설명된 대로 고객을 적합한 클러스터에 지정합니다. HDS 설정 도구를 실행하여 새롭게 추가된 고객 조직에 대한 설정 과정을 완료합니다.

  • HDS 설정 도구는 로컬 머신에서 Docker 컨테이너로 실행됩니다. 액세스하려면 해당 머신에서 Docker를 실행합니다. 설치 과정에는 조직에 대한 전체 관리자 권한이 있는 Partner Hub 계정의 자격 증명이 필요합니다.

    HDS 설정 도구가 귀하의 환경에서 프록시 뒤에서 실행되는 경우, 5 단계에서 Docker 컨테이너를 가져올 때 Docker 환경 변수를 통해 프록시 설정(서버, 포트, 자격 증명)을 제공합니다. 이 표는 몇 가지 환경 변수를 제공합니다.

    설명

    변수

    인증되지 않은 HTTP 프록시

    글로벌_에이전트_HTTP_PROXY=http://SERVER_IP:PORT

    인증되지 않은 HTTPS 프록시

    글로벌_에이전트_HTTPS_PROXY=http://SERVER_IP:PORT

    인증된 HTTP 프록시

    글로벌_에이전트_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

    인증된 HTTPS 프록시

    글로벌_에이전트_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

  • 생성하는 구성 ISO 파일에는 PostgreSQL 또는 Microsoft SQL Server 데이터베이스를 암호화하는 마스터 키가 포함되어 있습니다. 다음과 같은 구성을 변경할 때마다 이 파일의 최신 복사본이 필요합니다.

    • 데이터베이스 자격 증명

    • 인증서 업데이트

    • 인증 정책에 대한 변경 사항

  • 데이터베이스 연결을 암호화하는 경우 TLS용 PostgreSQL 또는 SQL Server 배포를 설정합니다.

하이브리드 데이터 보안 설정 프로세스는 ISO 파일을 만듭니다. 그 후 ISO를 사용하여 하이브리드 데이터 보안 호스트를 구성합니다.

1

머신의 명령줄에 사용자 환경에 적합한 명령을 입력합니다.

일반 환경:

docker rmi ciscocitg/hds-setup:안정

FedRAMP 환경:

도커 rmi ciscocitg/hds-setup-fedramp:stable

이 단계에서는 이전 HDS 설정 도구 이미지를 정리합니다. 이전 이미지가 없는 경우 무시할 수 있는 오류를 반환합니다.

2

Docker 이미지 레지스트리에 로그인하려면 다음을 입력합니다.

도커 로그인 -u hdscustomersro
3

비밀번호 프롬프트에 이 해시를 입력합니다.

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo는
4

사용자 환경에 맞는 최신 안정 이미지를 다운로드합니다.

일반 환경:

docker pull ciscocitg/hds-setup:안정

FedRAMP 환경:

docker pull ciscocitg/hds-setup-fedramp:안정
5

풀이 완료되면 사용자 환경에 적합한 명령을 입력합니다.

  • 프록시가 없는 일반 환경:

    도커 실행 -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

  • HTTP 프록시가 있는 일반 환경:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • HTTPS 프록시가 있는 일반 환경에서는:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • 프록시가 없는 FedRAMP 환경:

    도커 실행 -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • HTTP 프록시가 있는 FedRAMP 환경:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • HTTPS 프록시가 있는 FedRAMP 환경:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

컨테이너가 실행 중일 때 "포트 8080에서 수신하는 Express 서버"가 표시됩니다.

6

설정 도구는 http://localhost:8080을 통해 localhost에 연결하는 것을 지원하지 않습니다. http://127.0.0.1:8080 을(를) 사용하여 로컬 호스트에 연결합니다.

웹 브라우저를 사용하여 localhost, http://127.0.0.1:8080(으)로 이동하고 프롬프트에 Partner Hub의 관리 사용자 이름을 입력합니다.

이 도구는 사용자 이름의 이 첫 번째 항목을 사용하여 해당 계정에 적합한 환경을 설정합니다. 그런 다음 도구는 표준 로그인 프롬프트를 표시합니다.

7

안내를 받으면 Partner Hub 관리자 로그인 자격 증명을 입력한 후 로그인 을 클릭하여 하이브리드 데이터 보안에 필요한 서비스에 대한 액세스를 허용합니다.

8

설정 도구 개요 페이지에서 시작하기를 클릭합니다.

9

ISO 가져오기 페이지에서 를 클릭합니다.

10

브라우저에서 ISO 파일을 선택하고 업로드합니다.

CMK 관리를 수행하려면 데이터베이스에 대한 연결을 확인하십시오.
11

테넌트 CMK 관리 탭으로 이동하여 다음 세 가지 방법으로 테넌트 CMK를 관리할 수 있습니다.

  • 모든 조직에 대해 CMK 만들기 또는 CMK 만들기 - 화면의 상단에 있는 배너에서 이 버튼을 클릭하여 새롭게 추가된 모든 조직에 대해 CMK를 만듭니다.
  • 화면의 오른쪽에서 CMK 관리 버튼을 클릭하고 CMK 만들기 를 클릭하여 새롭게 추가된 모든 조직에 대해 CMK를 만듭니다.
  • 표에서 특정 조직의 CMK 관리 보류 중 상태 근처에 있는 …를 클릭하고 CMK 만들기 를 클릭하여 해당 조직에 대해 CMK를 만듭니다.
12

CMK 만들기에 성공하면 표의 상태는 CMK 관리 보류 중 에서 CMK 관리로 변경됩니다.

13

CMK 만들기에 실패하면 오류가 표시됩니다.

테넌트 조직 제거

시작하기 전에

제거되면 고객 조직의 사용자는 암호화 요구에 대해 HDS를 활용할 수 없으며 기존의 모든 스페이스를 잃게 됩니다. 고객 조직을 제거하기 전에 Cisco 파트너 또는 계정 관리자에게 문의하십시오.

1

https://admin.webex.com에 로그인합니다.

2

화면의 왼쪽에 있는 메뉴에서 서비스를 선택합니다.

3

클라우드 서비스 섹션에서 하이브리드 데이터 보안을 찾고 모두 보기를 클릭합니다.

4

리소스 탭에서 고객 조직을 제거할 클러스터를 클릭합니다.

5

페이지가 열리면 지정된 고객을 클릭합니다.

6

표시되는 고객 조직의 목록에서 제거하고자 하는 고객 조직의 오른쪽에 있는 ... 을 클릭하고 클러스터에서 제거를 클릭합니다.

다음에 수행할 작업

HDS에서 제거된 테넌트의 CMK 취소에 설명된 대로 고객 조직의 CMK를 취소하여 제거 프로세스를 완료합니다.

HDS에서 제거된 테넌트의 CMK를 취소합니다.

시작하기 전에

테넌트 조직 제거에 설명된 대로 적합한 클러스터에서 고객을 제거합니다. 제거된 고객 조직에 대한 제거 과정을 완료하려면 HDS 설정 도구를 실행하십시오.

  • HDS 설정 도구는 로컬 머신에서 Docker 컨테이너로 실행됩니다. 액세스하려면 해당 머신에서 Docker를 실행합니다. 설치 과정에는 조직에 대한 전체 관리자 권한이 있는 Partner Hub 계정의 자격 증명이 필요합니다.

    HDS 설정 도구가 귀하의 환경에서 프록시 뒤에서 실행되는 경우, 5 단계에서 Docker 컨테이너를 가져올 때 Docker 환경 변수를 통해 프록시 설정(서버, 포트, 자격 증명)을 제공합니다. 이 표는 몇 가지 환경 변수를 제공합니다.

    설명

    변수

    인증되지 않은 HTTP 프록시

    글로벌_에이전트_HTTP_PROXY=http://SERVER_IP:PORT

    인증되지 않은 HTTPS 프록시

    글로벌_에이전트_HTTPS_PROXY=http://SERVER_IP:PORT

    인증된 HTTP 프록시

    글로벌_에이전트_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

    인증된 HTTPS 프록시

    글로벌_에이전트_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

  • 생성하는 구성 ISO 파일에는 PostgreSQL 또는 Microsoft SQL Server 데이터베이스를 암호화하는 마스터 키가 포함되어 있습니다. 다음과 같은 구성을 변경할 때마다 이 파일의 최신 복사본이 필요합니다.

    • 데이터베이스 자격 증명

    • 인증서 업데이트

    • 인증 정책에 대한 변경 사항

  • 데이터베이스 연결을 암호화하는 경우 TLS용 PostgreSQL 또는 SQL Server 배포를 설정합니다.

하이브리드 데이터 보안 설정 프로세스는 ISO 파일을 만듭니다. 그 후 ISO를 사용하여 하이브리드 데이터 보안 호스트를 구성합니다.

1

머신의 명령줄에 사용자 환경에 적합한 명령을 입력합니다.

일반 환경:

docker rmi ciscocitg/hds-setup:안정

FedRAMP 환경:

도커 rmi ciscocitg/hds-setup-fedramp:stable

이 단계에서는 이전 HDS 설정 도구 이미지를 정리합니다. 이전 이미지가 없는 경우 무시할 수 있는 오류를 반환합니다.

2

Docker 이미지 레지스트리에 로그인하려면 다음을 입력합니다.

도커 로그인 -u hdscustomersro
3

비밀번호 프롬프트에 이 해시를 입력합니다.

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo는
4

사용자 환경에 맞는 최신 안정 이미지를 다운로드합니다.

일반 환경:

docker pull ciscocitg/hds-setup:안정

FedRAMP 환경:

docker pull ciscocitg/hds-setup-fedramp:안정
5

풀이 완료되면 사용자 환경에 적합한 명령을 입력합니다.

  • 프록시가 없는 일반 환경:

    도커 실행 -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

  • HTTP 프록시가 있는 일반 환경:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • HTTPS 프록시가 있는 일반 환경에서는:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • 프록시가 없는 FedRAMP 환경:

    도커 실행 -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • HTTP 프록시가 있는 FedRAMP 환경:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • HTTPS 프록시가 있는 FedRAMP 환경:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

컨테이너가 실행 중일 때 "포트 8080에서 수신하는 Express 서버"가 표시됩니다.

6

설정 도구는 http://localhost:8080을 통해 localhost에 연결하는 것을 지원하지 않습니다. http://127.0.0.1:8080 을(를) 사용하여 로컬 호스트에 연결합니다.

웹 브라우저를 사용하여 localhost, http://127.0.0.1:8080(으)로 이동하고 프롬프트에 Partner Hub의 관리 사용자 이름을 입력합니다.

이 도구는 사용자 이름의 이 첫 번째 항목을 사용하여 해당 계정에 적합한 환경을 설정합니다. 그런 다음 도구는 표준 로그인 프롬프트를 표시합니다.

7

안내를 받으면 Partner Hub 관리자 로그인 자격 증명을 입력한 후 로그인 을 클릭하여 하이브리드 데이터 보안에 필요한 서비스에 대한 액세스를 허용합니다.

8

설정 도구 개요 페이지에서 시작하기를 클릭합니다.

9

ISO 가져오기 페이지에서 를 클릭합니다.

10

브라우저에서 ISO 파일을 선택하고 업로드합니다.

11

테넌트 CMK 관리 탭으로 이동하여 다음 세 가지 방법으로 테넌트 CMK를 관리할 수 있습니다.

  • 모든 조직에 대해 CMK 취소 또는 CMK 취소 - 화면 상단에 있는 배너에서 이 버튼을 클릭하여 제거된 모든 조직의 CMK를 취소합니다.
  • 화면의 오른쪽에서 CMK 관리 버튼을 클릭하고 CMK 취소 를 클릭하여 제거된 모든 조직의 CMK를 취소합니다.
  • 표에서 특정 조직의 취소될 CMK 상태 근처에서 을 클릭하고 CMK 취소 를 클릭하여 해당 특정 조직에 대한 CMK를 취소합니다.
12

CMK 해지 작업에 성공하면 고객 조직은 더 이상 표에 나타나지 않습니다.

13

CMK 해지 실패하면 오류가 표시됩니다.

하이브리드 데이터 보안 배포 테스트

하이브리드 데이터 보안 배포 테스트

멀티 테넌트 하이브리드 데이터 보안 암호화 시나리오를 테스트하려면 이 절차를 사용하십시오.

시작하기 전에

  • 멀티 테넌트 하이브리드 데이터 보안 배포를 설정합니다.

  • 키 요청이 멀티 테넌트 하이브리드 데이터 보안 배포에 전달되고 있는지 확인하려면 syslog에 액세스할 수 있는지 확인합니다.

1

특정 스페이스에 대한 키는 스페이스의 생성자가 설정합니다. 고객 조직 사용자 중 하나로 Webex 앱에 로그인한 후 스페이스를 만듭니다.

하이브리드 데이터 보안 배포를 비활성화하는 경우, 클라이언트 캐시된 암호화 키의 복사본이 교체되면 사용자가 생성하는 스페이스에 있는 콘텐츠에 더 이상 액세스할 수 없습니다.

2

새로운 스페이스로 메시지를 보내십시오.

3

syslog 출력을 확인하여 키 요청이 하이브리드 데이터 보안 배포에 전달되고 있는지 확인합니다.

  1. 사용자가 먼저 KMS에 보안 채널을 설정하는지 확인하려면 kms.data.method=createkms.data.type=EPHEMERAL_KEY_COLLECTION을 필터링합니다.

    다음과 같은 입력값을 검색해야 합니다(가독성을 위해 식별자는 짧게 표현됨).
    2020-07-21 17:35:34.562 (+0000) 정보 KMS [pool-14-thread-1] - [KMS:REQUEST] 수신됨, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

  2. KMS에서 기존의 키를 요청하는 사용자를 확인하려면 kms.data.method=retrievekms.data.type=KEY를 필터링합니다.

    다음과 같은 입력값을 검색해야 합니다.
    2020-07-21 17:44:19.889 (+0000) 정보 KMS [pool-14-thread-31] - [KMS:REQUEST] 수신됨, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

  3. 새로운 KMS 키 생성을 요청하는 사용자를 확인하려면 kms.data.method=createkms.data.type=KEY_COLLECTION에서 필터링합니다.

    다음과 같은 입력값을 검색해야 합니다.
    2020-07-21 17:44:21.975 (+0000) 정보 KMS [pool-14-thread-33] - [KMS:REQUEST] 수신됨, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

  4. 스페이스 또는 다른 보호된 리소스가 생성될 때 새로운 KMS 리소스 개체(KRO)의 만들기를 요청하는 사용자를 확인하려면 kms.data.method=createkms.data.type=RESOURCE_COLLECTION에서 필터링하십시오.

    다음과 같은 입력값을 검색해야 합니다. 
    2020-07-21 17:44:22.808 (+0000) 정보 KMS [pool-15-thread-1] - [KMS:REQUEST] 수신됨, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

하이브리드 데이터 보안 상태 모니터

Partner Hub 내의 상태 표시기는 멀티 테넌트 하이브리드 데이터 보안 배포가 모두 양호한지 여부를 표시합니다. 보다 적극적으로 경고를 받으려면 이메일 알림을 신청하십시오. 서비스에 영향을 미치는 경보 또는 소프트웨어 업그레이드가 있을 때 알림을 받습니다.
1

Partner Hub의 화면 왼쪽에 있는 메뉴에서 서비스 를 선택합니다.

2

클라우드 서비스 섹션에서 하이브리드 데이터 보안을 찾고 설정 편집을 클릭합니다.

하이브리드 데이터 보안 설정 페이지가 나타납니다.
3

이메일 알림 섹션에서 한 개 이상의 이메일 주소를 쉼표로 구분하여 입력하고 Enter를 누릅니다.

HDS 배포 관리

HDS 배포 관리

하이브리드 데이터 보안 배포를 관리하려면 여기에 설명된 작업을 사용하십시오.

클러스터 업그레이드 예약 설정

하이브리드 데이터 보안에 대한 소프트웨어 업그레이드는 클러스터 수준에서 자동으로 실행되며, 이는 모든 노드가 항상 동일한 소프트웨어 버전을 실행하게 합니다. 업그레이드는 클러스터에 대한 업그레이드 스케줄에 따라 실행됩니다. 소프트웨어 업그레이드가 사용 가능해지면 예약된 업그레이드 시간 전에 클러스터를 수동으로 업그레이드할 수 있는 옵션이 주어집니다. 특정 업그레이드 스케줄을 설정하거나 미국: 아메리카/로스앤젤레스 매일 3:00 AM 기본 스케줄을 사용할 수 있습니다. 필요에 따라 예정된 업그레이드를 연기하도록 선택할 수도 있습니다.

업그레이드 예약을 설정하려면:

1

Partner Hub에 로그인합니다.

2

화면의 왼쪽에 있는 메뉴에서 서비스를 선택합니다.

3

클라우드 서비스 섹션에서 하이브리드 데이터 보안을 찾고 설정을 클릭합니다.

4

하이브리드 데이터 보안 리소스 페이지에서 클러스터를 선택합니다.

5

클러스터 설정 탭을 클릭합니다.

6

클러스터 설정 페이지의 업그레이드 예약 아래에서 업그레이드 예약에 대한 시간 및 시간대를 선택합니다.

참고: 시간대 아래에 다음 사용 가능한 업그레이드 날짜 및 시간이 표시됩니다. 필요한 경우, 24시간 연기를 클릭하여 업그레이드를 다음 날로 연기할 수 있습니다.

노드 구성 변경

경우에 따라 다음과 같은 이유로 하이브리드 데이터 보안 노드의 구성을 변경해야 할 수도 있습니다.

  • 만료 또는 기타 이유로 인해 x.509 인증서 변경.

    인증서의 CN 도메인 이름 변경을 지원하지 않습니다. 도메인은 클러스터에 등록하기 위해 사용된 원래 도메인과 일치해야 합니다.

  • PostgreSQL 또는 Microsoft SQL Server 데이터베이스의 복제본으로 변경하도록 데이터베이스 설정 업데이트.

    PostgreSQL에서 Microsoft SQL Server로 또는 그 반대로 데이터 마이그레이션을 지원하지 않습니다. 데이터베이스 환경을 전환하려면 하이브리드 데이터 보안의 새로운 배포를 시작합니다.

  • 새 데이터 센터를 준비하기 위해 새 구성 생성.

또한 보안상의 이유로 하이브리드 데이터 보안은 수명이 9개월인 서비스 계정 비밀번호를 사용합니다. HDS 설정 도구가 이러한 비밀번호를 생성하면 이를 ISO 구성 파일의 각 HDS 노드에 배포합니다. 조직의 비밀번호 만료일이 가까워지면 Webex 팀으로부터 머신 계정의 비밀번호를 재설정하라는 통지를 받습니다. (이메일에는 "머신 계정 API를 사용하여 비밀번호를 업데이트합니다."라는 텍스트가 포함됩니다.) 비밀번호가 아직 만료되지 않은 경우 도구는 다음 두 가지 옵션을 제공합니다.

  • 소프트 재설정—이전 비밀번호 및 새로운 비밀번호 모두 최대 10일 동안 작동합니다. 이 기간을 사용하여 노드에서 ISO 파일을 점진적으로 교체합니다.

  • 하드 재설정—이전 비밀번호가 즉시 작동하지 않습니다.

비밀번호가 재설정 없이 만료되는 경우 HDS 서비스에 영향을 미치므로 즉시 하드 재설정을 수행하고 모든 노드에서 ISO 파일을 교체해야 합니다.

새 구성 ISO 파일을 생성하고 클러스터에 적용하려면 이 절차를 따르십시오.

시작하기 전에

  • HDS 설정 도구는 로컬 머신에서 Docker 컨테이너로 실행됩니다. 액세스하려면 해당 머신에서 Docker를 실행합니다. 설치 과정에는 파트너 전체 관리자 권한이 있는 Partner Hub 계정의 자격 증명이 필요합니다.

    HDS 설정 도구가 귀하의 환경에서 프록시 뒤에서 실행되는 경우, 1.e에서 Docker 컨테이너를 가져올 때 Docker 환경 변수를 통해 프록시 설정(서버, 포트, 자격 증명)을 제공합니다. 이 표는 몇 가지 환경 변수를 제공합니다.

    설명

    변수

    인증되지 않은 HTTP 프록시

    글로벌_에이전트_HTTP_PROXY=http://SERVER_IP:PORT

    인증되지 않은 HTTPS 프록시

    글로벌_에이전트_HTTPS_PROXY=http://SERVER_IP:PORT

    인증된 HTTP 프록시

    글로벌_에이전트_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

    인증된 HTTPS 프록시

    글로벌_에이전트_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

  • 새 구성을 생성하려면 현재 구성 ISO 파일의 사본이 필요합니다. ISO에는 PostgreSQL 또는 Microsoft SQL Server 데이터베이스를 암호화하는 마스터 키가 포함되어 있습니다. 데이터베이스 자격 증명, 인증서 업데이트 또는 인증 정책 변경을 포함하여 구성을 변경할 때 ISO가 필요합니다.

1

로컬 머신에서 Docker를 사용하여 HDS 설정 도구를 실행합니다.

  1. 머신의 명령줄에 사용자 환경에 적합한 명령을 입력합니다.

    일반 환경:

    docker rmi ciscocitg/hds-setup:안정

    FedRAMP 환경:

    도커 rmi ciscocitg/hds-setup-fedramp:stable

    이 단계에서는 이전 HDS 설정 도구 이미지를 정리합니다. 이전 이미지가 없는 경우 무시할 수 있는 오류를 반환합니다.

  2. Docker 이미지 레지스트리에 로그인하려면 다음을 입력합니다.

    도커 로그인 -u hdscustomersro

  3. 비밀번호 프롬프트에 이 해시를 입력합니다.

    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo는

  4. 사용자 환경에 맞는 최신 안정 이미지를 다운로드합니다.

    일반 환경:

    docker pull ciscocitg/hds-setup:안정

    FedRAMP 환경:

    docker pull ciscocitg/hds-setup-fedramp:안정

    이 절차에 대해 최신 설정 도구를 사용하고 있는지 확인하십시오. 2018년 2월 22일 이전에 생성된 도구의 버전에는 비밀번호 재설정 화면이 없습니다.

  5. 풀이 완료되면 사용자 환경에 적합한 명령을 입력합니다.

    • 프록시가 없는 일반 환경:

      도커 실행 -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

    • HTTP 프록시가 있는 일반 환경:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • HTTPS 프록시가 있는 일반 환경:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • 프록시가 없는 FedRAMP 환경:

      도커 실행 -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

    • HTTP 프록시가 있는 FedRAMP 환경:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    • HTTPS 프록시가 있는 FedRAMP 환경:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    컨테이너가 실행 중일 때 "포트 8080에서 수신하는 Express 서버"가 표시됩니다.

  6. 브라우저를 사용하여 로컬 호스트 http://127.0.0.1:8080에 연결합니다.

    설정 도구는 http://localhost:8080을 통해 localhost에 연결하는 것을 지원하지 않습니다. http://127.0.0.1:8080 을(를) 사용하여 로컬 호스트에 연결합니다.

  7. 안내를 받으면 Partner Hub 고객 로그인 자격 증명을 입력한 후 수락 을 클릭하여 계속합니다.

  8. 현재 구성 ISO 파일을 가져옵니다.

  9. 안내에 따라 도구를 완료하고 업데이트된 파일을 다운로드합니다.

    설정 도구를 종료하려면 CTRL + C 조합을 입력합니다.

  10. 다른 데이터 센터에서 업데이트된 파일의 백업 복사본을 만듭니다.

2

실행 중인 HDS 노드가 한 개만 있는 경우, 새로운 하이브리드 데이터 보안 노드 VM을 만들고 새로운 구성 ISO 파일을 사용하여 등록합니다. 자세한 안내는 추가 노드 만들기 및 등록을 참조하십시오.

  1. HDS 호스트 OVA를 설치합니다.

  2. HDS VM을 설정합니다.

  3. 업데이트된 구성 파일을 마운트합니다.

  4. Partner Hub에서 새로운 노드를 등록합니다.

3

이전 구성 파일을 실행하고 있는 기존 HDS 노드의 경우 ISO 파일을 탑재합니다. 각 노드에서 다음 절차를 차례로 수행하여 다음 노드를 끄기 전에 각 노드를 업데이트합니다.

  1. 가상 머신의 전원을 끕니다.

  2. VMware vSphere 클라이언트의 왼쪽 네비게이션 분할 창에서 VM을 오른쪽 클릭하고 설정 편집을 클릭합니다.

  3. CD/DVD 드라이브 1을 클릭하고 ISO 파일에서 마운트하기 위한 옵션을 선택한 후 새 구성 ISO 파일을 다운로드한 위치를 찾습니다.

  4. 시동될 때 연결을 체크합니다.

  5. 변경 사항을 저장하고 가상 머신의 전원을 켭니다.

4

이전 구성을 실행하고 있는 나머지 각 노드에서 구성을 바꾸려면 3 단계를 반복하십시오.

차단된 외부 DNS 확인 모드 끄기

노드를 등록하거나 노드의 프록시 구성을 확인할 때 프로세스는 Cisco Webex 클라우드에 대한 DNS 조회 및 연결을 테스트합니다. 노드의 DNS 서버에서 공용 DNS 이름을 확인할 수 없는 경우, 노드는 자동으로 차단된 외부 DNS 확인 모드로 지정됩니다.

노드에서 내부 DNS 서버를 통해 공용 DNS 이름을 확인할 수 있는 경우, 각 노드에서 프록시 연결 테스트를 다시 실행하여 이 모드를 끌 수 있습니다.

시작하기 전에

내부 DNS 서버가 공용 DNS 이름을 확인할 수 있으며, 노드가 해당 서버와 통신할 수 있는지 확인합니다.
1

웹 브라우저에서 하이브리드 데이터 보안 노드 인터페이스(IP 주소/설정을 엽니다. 예: https://192.0.2.0/setup), 노드에 대해 설정한 관리 자격 증명을 입력한 후 로그인을 클릭합니다.

2

개요 (기본 페이지)로 이동합니다.

활성화되면 차단된 외부 DNS 확인로 설정됩니다.

3

신뢰 저장소 및 프록시 페이지로 이동합니다.

4

프록시 연결 확인을 클릭합니다.

외부 DNS 확인에 실패했다는 메시지가 나타나면 노드가 DNS 서버에 연결하지 못한 것이며, 이 모드에서 유지됩니다. 그렇지 않은 경우, 노드를 재부팅하고 개요 페이지로 돌아가면 차단된 외부 DNS 확인은 아니요로 설정됩니다.

다음에 수행할 작업

하이브리드 데이터 보안 클러스터의 각 노드에서 프록시 연결 테스트를 반복합니다.

노드 제거

Webex 클라우드에서 하이브리드 데이터 보안 노드를 제거하려면 이 절차를 사용하십시오. 클러스터에서 노드를 제거한 후 가상 머신을 삭제하여 보안 데이터에 대한 추가 액세스를 방지합니다.
1

컴퓨터에서 VMware vSphere 클라이언트를 사용하여 ESXi 가상 호스트에 로그인하고 가상 머신의 전원을 끕니다.

2

노드를 제거합니다.

  1. Partner Hub에 로그인한 후 서비스를 선택합니다.

  2. 하이브리드 데이터 보안 카드에서 모두 보기 를 클릭하여 하이브리드 데이터 보안 리소스 페이지를 표시합니다.

  3. 클러스터를 선택하여 개요 목록을 표시합니다.

  4. 제거할 노드를 클릭합니다.

  5. 오른쪽에 나타나는 목록에서 이 노드 등록 해제 를 클릭합니다.

  6. 노드의 오른쪽에서…을 클릭하고 이 노드 제거를 선택하여 노드의 등록을 해제할 수도 있습니다.

3

vSphere 클라이언트에서 VM을 삭제합니다. (왼쪽 네비게이션 분할 창에서 VM을 오른쪽 클릭하고 삭제를 클릭합니다.)

VM을 삭제하지 않는 경우 구성 ISO 파일을 마운트 해제하십시오. ISO 파일이 없으면 VM을 사용하여 보안 데이터에 액세스할 수 없습니다.

대기 데이터 센터를 사용하여 장애 복구

하이브리드 데이터 보안 클러스터에서 제공하는 가장 중요한 서비스는 메시지 및 Webex 클라우드에 저장된 기타 콘텐츠를 암호화하는 데 사용되는 키를 만들고 저장하는 것입니다. 하이브리드 데이터 보안에 지정된 조직 내의 각 사용자에 대해 새로운 키 만들기 요청은 클러스터로 라우팅됩니다. 또한 클러스터는 생성된 키를 검색할 권한이 있는 모든 사용자(예: 대화 스페이스의 구성원)에게 해당 키를 반환해야 합니다.

클러스터는 이러한 키를 제공하는 중요한 기능을 수행하므로, 클러스터가 계속 실행되고 올바른 백업이 유지관리되어야 합니다. 하이브리드 데이터 보안 데이터베이스나 스키마에 대해 사용된 구성 ISO가 손실되면 고객 콘텐츠가 복구할 수 없게 됩니다. 다음 실행은 이러한 유실을 방지하기 위해 필수적입니다.

장애가 발생하여 기본 데이터 센터에서 HDS 배포를 사용할 수 없게 하는 경우, 이 절차를 따라 대기 데이터 센터로 수동으로 장애 조치하십시오.

시작하기 전에

노드 제거에서 언급한 대로 Partner Hub에서 모든 노드를 등록 해제합니다. 이전에 활성 상태였던 클러스터의 노드에 대해 구성된 최신 ISO 파일을 사용하여 아래에 언급한 장애 조치 절차를 수행합니다.
1

HDS 설정 도구를 시작하고 HDS 호스트에 대해 구성 ISO 만들기에서 언급한 단계를 따릅니다.

2

구성 프로세스를 완료하고 쉽게 찾을 수 있는 위치에 ISO 파일을 저장합니다.

3

로컬 시스템에서 ISO 파일의 백업 복사본을 만듭니다. 백업 복사본을 안전하게 유지합니다. 이 파일에는 데이터베이스 콘텐츠에 대한 마스터 암호화 키가 포함됩니다. 구성을 변경해야 하는 하이브리드 데이터 보안 관리자에게만 액세스를 제한합니다.

4

VMware vSphere 클라이언트의 왼쪽 네비게이션 분할 창에서 VM을 오른쪽 클릭하고 설정 편집을 클릭합니다.

5

설정 편집 > CD/DVD 드라이브 1 을 클릭하고 데이터스토어 ISO 파일을 선택합니다.

노드를 시작한 후에 업데이트된 구성 변경 사항이 적용될 수 있도록 연결됨시동 시 연결 이 체크되었는지 확인하십시오.

6

HDS 노드를 시동하고 최소한 15분 동안 경보가 없는지 확인하십시오.

7

Partner Hub에서 노드를 등록합니다. 클러스터에서 첫 번째 노드 등록을 참조하십시오.

8

대기 데이터 센터의 모든 노드에 대해 프로세스를 반복합니다.

다음에 수행할 작업

장애 조치 후 기본 데이터 센터가 다시 활성화되면 대기 데이터 센터의 노드를 등록 해제하고 상단에 언급한 대로 기본 데이터 센터의 노드 등록 및 ISO 구성 및 등록 과정을 반복합니다.

(선택 사항) HDS 구성 후 ISO 제거

표준 HDS 구성은 ISO가 장착된 상태에서 실행됩니다. 그러나 일부 고객은 ISO 파일을 계속 마운트하지 않는 것을 선호합니다. 모든 HDS 노드가 새로운 구성을 적용하면 ISO 파일을 마운트 해제할 수 있습니다.

여전히 ISO 파일을 사용하여 구성을 변경합니다. 설정 도구를 통해 새로운 ISO를 만들거나 ISO를 업데이트할 때 모든 HDS 노드에 업데이트된 ISO를 마운트해야 합니다. 모든 노드에서 구성 변경 사항을 적용하면 이 절차를 사용하여 ISO를 다시 마운트 해제할 수 있습니다.

시작하기 전에

모든 HDS 노드를 버전 2021.01.22.4720 이상으로 업그레이드하십시오.

1

HDS 노드 중 하나를 종료합니다.

2

vCenter Server Appliance에서 HDS 노드를 선택합니다.

3

설정 편집 > CD/DVD 드라이브 를 선택하고 데이터스토어 ISO 파일을 체크 해제합니다.

4

HDS 노드를 시동하고 20분 이상 알람이 없는지 확인합니다.

5

각 HDS 노드에 대해 차례로 반복합니다.

하이브리드 데이터 보안 문제 해결하기

경고 보기 및 문제 해결하기

클러스터의 모든 노드에 연결할 수 없거나 클러스터가 너무 느리게 작동하여 시간 초과를 요청하는 경우 하이브리드 데이터 보안 배포를 사용할 수 없는 것으로 간주됩니다. 사용자가 하이브리드 데이터 보안 클러스터에 연결할 수 없는 경우, 다음 증상을 경험합니다.

  • 새로운 스페이스가 생성되지 않음 (새 키를 만들 수 없음)

  • 다음 경우에 대해 메시지 및 스페이스 제목을 해독하지 못함:

    • 새로운 사용자가 스페이스에 추가됨 (키를 페치할 수 없음)

    • 스페이스에서 기존의 사용자가 새로운 클라이언트 사용 (키를 페치할 수 없음)

  • 스페이스에 있는 기존의 사용자는 클라이언트에 암호화 키의 캐시가 있는 한 계속 성공적으로 실행함

서비스가 중단되지 않게 하려면 하이브리드 데이터 보안 클러스터를 올바르게 모니터링하고 경고를 즉시 해결하는 것이 중요합니다.

경고

하이브리드 데이터 보안 설정에 문제가 있는 경우, Partner Hub는 조직 관리자에게 경고를 표시하고 구성된 이메일 주소로 이메일을 보냅니다. 경고는 여러 가지 일반적인 상황을 다룹니다.

표 1. 일반적인 문제 및 문제를 해결하기 위한 단계

경고

작업

로컬 데이터베이스 액세스 실패.

데이터베이스 오류 또는 로컬 네트워크 문제를 확인합니다.

로컬 데이터베이스 연결 실패.

데이터베이스 서버를 사용할 수 있는지, 노드 구성에서 올바른 서비스 계정 자격 증명이 사용되고 있는지 확인합니다.

클라우드 서비스 액세스 실패.

외부 연결 요구 사항에 지정된 대로 노드가 Webex 서버에 액세스할 수 있는지 확인합니다.

클라우드 서비스 등록을 갱신하는 중.

클라우드 서비스로의 등록이 중단됩니다. 현재 등록을 갱신하는 중.

클라우드 서비스 등록이 중단됩니다.

클라우드 서비스로의 등록이 종료됩니다. 서비스가 종료됩니다.

서비스가 아직 활성화되지 않았습니다.

Partner Hub에서 Hds를 활성화합니다.

구성된 도메인이 서버 인증서와 일치하지 않습니다.

서버 인증서가 구성된 서비스 활성화 도메인과 일치하는지 확인합니다.

원인은 최근에 인증서 CN이 변경되었으며 현재 초기 설정 중에 사용된 CN과 다른 CN이 사용되고 있기 때문일 가능성이 높습니다.

클라우드 서비스에 인증하지 못함.

정확성 및 서비스 계정 자격 증명의 만료일을 확인합니다.

로컬 키 저장소 파일을 열지 못함.

로컬 키 저장소 파일에서 무결성 및 비밀번호 정확성을 확인합니다.

로컬 서버 인증서가 유효하지 않습니다.

서버 인증서의 만료 날짜를 확인하고, 신뢰할 수 있는 인증 기관에서 발행한 것인지 확인합니다.

메트릭을 게시할 수 없음.

외부 클라우드 서비스로의 로컬 네트워크 액세스를 확인합니다.

/media/configdrive/hds 디렉토리가 존재하지 않습니다.

가상 호스트에서 ISO 마운트 구성을 확인합니다. ISO 파일이 존재하는지 확인하고, 해당 파일이 재부팅 시에 마운트하도록 구성되었는지, 성공적으로 마운트되는지를 확인합니다.

추가된 조직에 대해 테넌트 조직 설정이 완료되지 않음

HDS 설정 도구를 사용하여 새롭게 추가된 테넌트 조직에 대해 CMK를 생성하여 설정을 완료하십시오.

제거된 조직에 대해 테넌트 조직 설정이 완료되지 않음

HDS 설정 도구를 사용하여 제거된 테넌트 조직의 CMK를 취소하여 설정을 완료하십시오.

하이브리드 데이터 보안 문제 해결하기

하이브리드 데이터 보안의 문제를 해결할 때 다음 일반적인 안내를 사용하십시오.
1

Partner Hub를 확인하여 경고를 확인하고 여기에서 찾을 수 있는 항목을 수정하십시오. 참조에 대해서는 아래 이미지를 참조하십시오.

2

하이브리드 데이터 보안 배포에서 활동에 대한 syslog 서버 출력을 확인합니다. 문제 해결에 도움이 되도록 "경고" 및 "오류"와 같은 단어를 필터링합니다.

3

Cisco 고객 지원으로 연락합니다.

기타 메모

하이브리드 데이터 보안 알려진 문제

  • 하이브리드 데이터 보안 클러스터를 Partner Hub에서 삭제하거나 모든 노드를 종료하는 경우, 구성 ISO 파일을 잃거나 키 저장소 데이터베이스에 액세스할 수 없는 경우, 고객 조직의 WeBEX 앱 사용자는 더 이상 KMS의 키로 생성된 사용자 목록 아래에 있는 스페이스를 사용할 수 없습니다. 현재 이 문제에 대한 해결 방법은 없으며, HDS 서비스에서 활동 중인 사용자 계정을 처리하고 있는 경우에 해당 서비스를 종료하지 말 것을 강조합니다.

  • KMS에 대한 기존의 ECDH 연결이 있는 클라이언트는 특정 기간(1시간 정도) 동안 해당 연결을 유지합니다.

OpenSSL을 사용하여 PKCS12 파일 생성

시작하기 전에

  • OpenSSL은 HDS 설정 도구에서 로딩하기 위해 PKCS12 파일을 적합한 형식으로 만드는 데 사용할 수 있는 도구입니다. 이 작업을 실행할 수 있는 다른 방법이 있으며, 특정 방법을 더 지원하거나 홍보하지 않습니다.

  • OpenSSL을 사용하도록 선택한 경우, 이 절차를 X.509 인증서 요구 사항에서 X.509 인증서 요구 사항을 충족하는 파일을 만드는 데 도움이 되는 가이드라인으로 제공합니다. 진행하기 전에 다음 요구 사항을 숙지하십시오.

  • 지원되는 환경에서 OpenSSL을 설치합니다. 소프트웨어 및 문서에 대해서는 https://www.openssl.org을(를) 참조하십시오.

  • 비공개 키를 만듭니다.

  • 인증 기관(CA)으로부터 서버 인증서를 수신한 후에 이 절차를 시작하십시오.

1

인증 기관(CA)으로부터 서버 인증서를 수신한 후 hdsnode.pem으로 저장합니다.

2

인증서를 텍스트로 표시하고 세부 사항을 확인합니다.

openssl x509 -text -noout -in hdsnode.pem

3

텍스트 편집기를 사용하여 hdsnode-bundle.pem으로 칭하는 인증서 번들 파일을 만듭니다. 번들 파일에는 서버 인증서, 모든 중간 CA 인증서 및 루트 CA 인증서가 아래의 형식으로 포함되어야 합니다.

-----인증서 시작----- ### 서버 인증서. ### -----인증서 종료---- -----인증서 시작----- ### 중간 CA 인증서. ### -----인증서 종료---- -----인증서 시작----- ### 루트 ca 인증서. ### -----인증서 종료-----

4

쉽게 알 수 있는 이름인 kms-private-key로 .p12 파일을 만듭니다.

openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

5

서버 인증서 세부 사항을 확인합니다.

  1. openssl pkcs12 -in hdsnode.p12

  2. 안내에 따라 비밀번호를 입력하여 비공개 키를 암호화하고 출력에 표시되게 합니다. 그 후 비공개 키 및 첫 번째 인증서에 friendlyName: kms-private-key 줄이 포함되었는지 확인합니다.

    예:

    bash$ openssl pkcs12 -in hdsnode.p12 가져오기 비밀번호 입력: MAC이 다음 항목을 확인: OK Bag 속성 friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 키 속성:  PEM 암호 구문 입력: 확인 중 - PEM 암호 입력: -----암호화된 비공개 키 시작-----  -----암호화된 비공개 키 종료------ 백 속성 friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 SUBJECT=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt/CN=Let's Encrypt Authority X3 ------BEGIN CERTIFICATE-----  -----END CERTIFICATE------ Bag 속성 friendly이름: CN=Authority X3 암호화,O=Let's 암호화,C=US subject=/C=US/O=Let's Encrypt/CN=Authority X3 issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3 ------인증서 시작-----  -----인증서 종료------

다음에 수행할 작업

하이브리드 데이터 보안에 대한 전제 조건 완료로 돌아갑니다. hdsnode.p12 파일 및 해당 파일에 대해 설정한 비밀번호를 HDS 호스트에 대해 구성 ISO 만들기에서 사용합니다.

원래 인증서가 만료될 때 이러한 파일을 다시 사용하여 새 인증서를 요청할 수 있습니다.

HDS 노드 및 클라우드 간 트래픽

아웃바운드 메트릭 수집 트래픽

하이브리드 데이터 보안 노드는 특정 메트릭을 Webex 클라우드로 보냅니다. 여기에는 최대 힙, 사용된 힙, CPU 로드 및 스레드 수에 대한 시스템 메트릭이 포함됩니다. 또한 동기적 스레드 및 비동기적 스레드에 대한 메트릭, 암호화 연결, 대시 시간 또는 요청 대기열 길이의 임계값과 관련된 경고에 대한 메트릭, 데이터스토어 관련 메트릭 및 암호화 연결 메트릭도 포함됩니다. 노드는 대역 외(요청과 별개) 채널을 통해 암호화된 키 자료를 보냅니다.

인바운드 트래픽

하이브리드 데이터 보안 노드는 Webex 클라우드에서 다음 유형의 인바운드 트래픽을 수신합니다.

  • 클라이언트로부터 암호화 요청. 암호화 서비스에서 라우트됨

  • 노드 소프트웨어로 업그레이드

하이브리드 데이터 보안에 대해 Squid 프록시 구성

웹 소켓은 Squid 프록시를 통해 연결할 수 없음

HTTPS 트래픽을 검사하는 Squid 프록시는 하이브리드 데이터 보안에서 요구하는 웹소켓(wss:) 연결을 설정하는 데 방해가 될 수 있습니다. 다음 섹션에서는 서비스가 올바르게 작동하도록 다양한 버전의 Squid에서 wss: 트래픽을 무시하도록 구성하는 방법에 대한 안내를 제공합니다.

Squid 4 및 5

on_unsupported_protocolsquid.conf에 지시어를 추가합니다.

on_unsupported_protocol 모두 터널

Squid 3.5.27

squid.com에 추가된 다음 규칙으로 하이브리드 데이터 보안을 성공적으로 테스트했습니다. 이 규칙은 기능을 개발하고 Webex 클라우드를 업데이트 함에 따라 변경될 수도 있습니다.

acl wssMercuryConnection ssl::server_name_regex 수성 연결 ssl_bump 스플라이스 wssMercuryConnection acl step1 at_step SslBump1 acl step2 at_step SslBump2 acl step3 at_step SslBump3 ssl_bump 엿보기 step1 ssl_bump stare step2 ssl_bump bump step3 all

새 정보 및 변경된 정보

새 정보 및 변경된 정보

이 표는 새로운 기능 또는 기능, 기존의 콘텐츠에 대한 변경 사항 및 멀티 테넌트 하이브리드 데이터 보안의 배포 안내서에서 수정된 주요 오류를 설명합니다.

날짜

변경 사항 적용됨

2025년 3월 4일 목요일

2025년 1월 30일

데이터베이스 서버 요구 사항에서 지원되는 SQL 서버의 목록에 SQL 서버 버전 2022을 추가했습니다.

2025년 1월 15일 목요일

멀티 테넌트 하이브리드 데이터 보안의 제한 사항을 추가했습니다.

2025년 1월 8일 목요일

초기 설정 실행 및 설치 파일 다운로드 에 Partner Hub에서 HDS 카드에서 설정 을 클릭하면 설치 프로세스의 중요한 단계임을 알리는 메모를 추가했습니다.

2025년 1월 7일 목요일

ESXi 7.0의 새로운 요구 사항을 표시하기 위해 가상 호스트 요구 사항, 하이브리드 데이터 보안 배포 작업 흐름HDS 호스트 OVA 설치 를 업데이트했습니다.

2024년 12월 13일 목요일

처음으로 공개되었습니다.

멀티 테넌트 하이브리드 데이터 보안 비활성화

멀티 테넌트 HDS 비활성화 작업 흐름

멀티 테넌트 HDS를 완전히 비활성화하려면 다음 단계를 따르십시오.

시작하기 전에

이 작업은 파트너 전체 관리자가 실행해야 합니다.
1

테넌트 조직 제거에서 언급한 대로 모든 클러스터에서 모든 고객을 제거합니다.

2

HDS에서 제거된 테넌트의 CMK 취소에서 언급한 대로 모든 고객의 CMK를 취소합니다.

3

노드 제거에서 언급한 대로 모든 클러스터에서 모든 노드를 제거합니다.

4

다음 두 가지 방법 중 하나를 사용하여 Partner Hub에서 모든 클러스터를 삭제합니다.

  • 삭제할 클러스터를 클릭하고 개요 페이지의 상단 오른쪽 모서리에서 이 클러스터 삭제 를 선택합니다.
  • 리소스 페이지에서 클러스터의 오른쪽에 있는 …을 클릭하고 클러스터 제거를 선택합니다.
5

하이브리드 데이터 보안 개요 페이지에서 설정 탭을 클릭하고 HDS 상태 카드에서 HDS 비활성화 를 클릭합니다.

멀티 테넌트 하이브리드 데이터 보안 시작하기

멀티 테넌트 하이브리드 데이터 보안 개요

처음부터 데이터 보안은 Webex 앱 설계에 있어 가장 중점적인 부분이었습니다. 이 보안의 토대는 KMS(Key Management Service)와 상호 작용하는 Webex 앱 클라이언트가 활성화하는 종단 간 콘텐츠 암호화입니다. KMS는 클라이언트가 메시지 및 파일을 동적으로 암호화하고 해독하는 데 사용하는 암호화 키를 만들고 관리합니다.

기본적으로 모든 Webex 앱 고객은 Cisco의 보안 영역에 있는 클라우드 KMS에 저장된 동적인 키로 종단 간 암호화를 사용합니다. 하이브리드 데이터 보안은 KMS 및 기타 보안 관련 기능을 기업의 데이터 센터로 이동시키기 때문에 암호화된 콘텐츠에는 귀하만 접근할 수 있습니다.

멀티 테넌트 하이브리드 데이터 보안 을 통해 조직은 신뢰할 수 있는 로컬 파트너를 통해 HDS를 활용할 수 있습니다. 이는 서비스 제공자 역할을 하고 온-프레미스 암호화 및 기타 보안 서비스를 관리할 수 있습니다. 이 설정을 통해 파트너 조직은 암호화 키의 배포 및 관리를 완전히 제어할 수 있으며, 고객 조직의 사용자 데이터가 외부 액세스로부터 안전한지 확인합니다. 파트너 조직은 필요에 따라 HDS 인스턴스를 설정하고 HDS 클러스터를 만듭니다. 각 인스턴스는 한 개의 조직으로 제한되는 일반 HDS 배포와 달리 다수의 고객 조직을 지원할 수 있습니다.

파트너 조직은 배포 및 관리를 제어할 수 있지만, 고객이 생성한 데이터 및 콘텐츠에 액세스할 수 없습니다. 이 액세스는 고객 조직 및 사용자로 제한됩니다.

또한 데이터 센터와 같은 주요 관리 서비스 및 보안 인프라가 신뢰할 수 있는 로컬 파트너가 소유하고 있기 때문에 소규모 조직이 HDS를 활용할 수도 있습니다.

멀티 테넌트 하이브리드 데이터 보안이 데이터 주권 및 데이터 제어를 제공하는 방법

  • 사용자가 생성한 콘텐츠는 클라우드 서비스 공급자와 같은 외부 액세스로부터 보호됩니다.
  • 로컬 신뢰할 수 있는 파트너는 이미 설정된 관계를 갖고 있는 고객의 암호화 키를 관리합니다.
  • 파트너가 제공하는 경우 로컬 기술 지원에 대한 옵션.
  • 미팅, 메시징 및 통화 콘텐츠를 지원합니다.

이 문서는 파트너 조직이 멀티 테넌트 하이브리드 데이터 보안 시스템에서 고객을 설정하고 관리할 수 있게 지원하기 위한 것입니다.

멀티 테넌트 하이브리드 데이터 보안의 제한 사항

  • 파트너 조직에는 Control Hub에서 활동 중인 기존의 HDS 배포가 없어야 합니다.
  • 파트너가 관리하고자 하는 테넌트 또는 고객 조직은 Control Hub에 기존의 HDS 배포를 갖고 있지 않아야 합니다.
  • 파트너가 멀티 테넌트 HDS를 배포하면 고객 조직의 모든 사용자 및 파트너 조직의 사용자가 암호화 서비스에 멀티 테넌트 HDS를 사용하기 시작합니다.

    관리하는 파트너 조직 및 고객 조직은 동일한 멀티 테넌트 HDS 배포에 위치합니다.

    멀티 테넌트 HDS가 배포된 후에 파트너 조직은 더 이상 클라우드 KMS를 사용하지 않습니다.

  • HDS 배포 후 키를 다시 클라우드 KMS로 이동하는 메커니즘은 없습니다.
  • 현재 각 멀티 테넌트 HDS 배포에는 여러 노드가 포함된 한 개의 클러스터만 포함할 수 있습니다.
  • 관리자 역할에는 특정 제한 사항이 있습니다. 자세한 내용은 아래 섹션을 참조하십시오.

멀티 테넌트 하이브리드 데이터 보안의 역할

  • 파트너 전체 관리자 - 파트너가 관리하는 모든 고객에 대한 설정을 관리할 수 있습니다. 또한 조직의 기존 사용자에게 관리자 역할을 지정하고 파트너 관리자가 관리할 특정 고객을 지정할 수도 있습니다.
  • 파트너 관리자 - 관리자가 구축했거나 사용자에게 지정된 고객에 대한 설정을 관리할 수 있습니다.
  • 전체 관리자 - 조직 설정 수정, 라이센스 관리 및 역할 지정 등 작업을 수행할 수 있는 권한이 있는 파트너 조직의 관리자.
  • 모든 고객 조직의 종단 간 멀티 테넌트 HDS 설정 및 관리 - 파트너 전체 관리자 및 전체 관리자 권한이 필요합니다.
  • 지정된 테넌트 조직의 관리 - 파트너 관리자 및 전체 관리자 권한이 필요합니다.

보안 영역 아키텍처

Webex 클라우드 아키텍처는 아래와 같이 다른 유형의 서비스를 별도의 영역 또는 신뢰 도메인으로 구분합니다.

분리 영역 (하이브리드 데이터 보안 포함하지 않음)

하이브리드 데이터 보안을 더욱 잘 이해하기 위해 먼저 Cisco가 클라우드 영역에서 모든 기능을 제공하는 순수한 클라우드 사례를 살펴보겠습니다. 아이덴티티 서비스(사용자가 이메일 주소 등의 개인 정보와 직접 연관될 수 있는 유일한 장소)는 논리적, 물리적으로 데이터 센터 B에 있는 보안 영역과 분리됩니다. 따라서 두 부분 모두 데이터 센터 C에서 암호화된 콘텐츠가 궁극적으로 저장되는 영역과 분리됩니다.

이 다이어그램에서 클라이언트는 사용자의 노트북에서 실행되고 있는 Webex 앱이며, 아이덴티티 서비스로 인증되었습니다. 사용자가 스페이스에 보낼 메시지를 작성할 때 다음 단계가 실행됩니다.

  1. 클라이언트는 KMS(Key management service)를 사용하여 보안 연결을 설정한 후 메시지를 해독하기 위해 키를 요청합니다. 보안 연결은 ECDH를 사용하고, KMS는 AES-256 마스터 키를 사용하여 키를 암호화합니다.

  2. 메시지는 클라이언트에게 발송되기 전에 암호화됩니다. 클라이언트는 메시지를 인덱싱 서비스로 보내며, 여기에서 해당 콘텐츠에 대한 향후 검색에서 지원할 암호화된 검색 인덱스를 만듭니다.

  3. 암호화된 메시지는 규정 준수 확인을 위해 준수 서비스로 발송됩니다.

  4. 암호화된 메시지는 스토리지 영역에 저장됩니다.

하이브리드 데이터 보안을 배포할 때 보안 영역 기능(KMS, 인덱싱 및 규정 준수)을 온-프레미스 데이터 센터로 이동합니다. Webex를 구성하는 다른 클라우드 서비스(ID 및 콘텐츠 스토리지 포함)는 Cisco의 영역에 남아 있습니다.

다른 조직과 협업

조직에 있는 사용자는 정기적으로 Webex 앱을 사용하여 다른 조직에 있는 외부 참가자와 협업할 수도 있습니다. 해당 사용자가 귀하의 조직에서 소유하고 있는 스페이스에 대한 키를 요청하는 경우(귀사의 사용자 중의 한 명이 생성했기 때문), KMS는 ECDH 보안 채널을 통해 해당 클라이언트에게 키를 보냅니다. 단, 다른 조직에서 스페이스에 대한 키를 소유하고 있는 경우, KMS는 개별 ECDH 채널을 통해 요청을 WeBEX 클라우드로 라우트하여 적합한 KMS에서 키를 가져온 후 원래 채널에 있는 사용자에게 해당 키를 반환합니다.

조직 A에서 실행되고 있는 KMS 서비스는 X.509 PKI 인증서를 사용하여 다른 조직에서 KMS에 대한 연결을 검증합니다. 멀티 테넌트 하이브리드 데이터 보안 배포에서 사용할 x.509 인증서 생성에 대한 자세한 내용은 환경 준비 를 참조하십시오.

하이브리드 데이터 보안 배포에 대해 예상되는 부분

하이브리드 데이터 보안 배포에는 암호화 키를 소유하고 있는 위험성에 대한 확고한 약속과 인식이 필요합니다.

하이브리드 데이터 보안을 배포하려면 다음 항목을 제공해야 합니다.

하이브리드 데이터 보안에 대해 빌드하는 구성 ISO나 제공하는 데이터베이스를 완전히 잃으면 키를 잃게 됩니다. 키 손실은 사용자가 Webex 앱에서 스페이스 콘텐츠 및 기타 암호화된 데이터를 해독하지 못하게 합니다. 이러한 경우, 새로운 배포를 빌드할 수 있지만 새로운 콘텐츠만 표시됩니다. 데이터로의 액세스를 잃지 않으려면 다음을 실행하십시오.

  • 데이터베이스 및 구성 ISO의 백업 및 복구를 관리합니다.

  • 데이터베이스 디스크 오류 또는 데이터 센터 장애 등 재해가 발생할 경우 빠른 장애 복구를 수행할 수 있도록 준비하십시오.

HDS 배포 후 키를 다시 클라우드로 이동하는 메커니즘은 없습니다.

고급 설정 프로세스

이 문서는 멀티 테넌트 하이브리드 데이터 보안 배포의 설정 및 관리를 다룹니다.

  • 하이브리드 데이터 보안 설정—여기에는 필수 인프라 준비 및 하이브리드 데이터 보안 소프트웨어 설치, HDS 클러스터 만들기, 테넌트 조직을 클러스터에 추가 및 고객 기본 키(CMK) 관리 등이 포함됩니다. 이는 고객 조직의 모든 사용자가 보안 기능에 대해 하이브리드 데이터 보안 클러스터를 사용할 수 있게 합니다.

    설정, 활성화 및 관리 단계는 다음 세 장에서 자세히 다룹니다.

  • 하이브리드 데이터 보안 배포 유지—Webex 클라우드는 진행 중인 업그레이드를 자동으로 제공합니다. IT 부서는 이 배포에 대한 1단계 지원을 제공하고, 필요에 따라 Cisco 고객 지원과 작업할 수 있습니다. Partner Hub에서 화면에 알림을 사용하고 이메일 기반 경고를 설정할 수 있습니다.

  • 공통 경고, 문제 해결하기 단계 및 알려진 문제 이해하기—하이브리드 데이터 보안을 배포하거나 사용하는 데 문제가 발생하는 경우, 이 안내서의 마지막 장 및 알려진 문제 부록은 문제를 파악하고 수정하는 데 도움이 될 수 있습니다.

하이브리드 데이터 보안 배포 모델

기업 데이터 센터 내에서 개별 가상 호스트에 하이브리드 데이터 보안을 한 개의 노드로 배포합니다. 노드는 보안 웹소켓 및 보안 HTTP를 통해 Webex 클라우드와 통신합니다.

설치 과정 중에 귀하가 제공하는 VM에 가상 기기를 설정하기 위한 OVA 파일을 제공합니다. HDS Setup 도구를 사용하여 각 노드에서 마운트한 사용자 정의 클러스터 구성 ISO 파일을 만듭니다. 하이브리드 데이터 보안 클러스터는 제공된 Syslogd 서버 및 PostgreSQL 또는 Microsoft SQL Server 데이터베이스를 사용합니다. (HDS 설정 도구에서 Syslogd 및 데이터베이스 연결 세부 정보를 구성합니다.)

하이브리드 데이터 보안 배포 모델

한 개의 클러스터에 포함할 수 있는 최소한의 노드 수는 2개입니다. 클러스터당 최소한 세 개를 권장합니다. 여러 노드를 사용하면 노드에서 소프트웨어 업그레이드 또는 기타 유지관리 활동 중에 서비스가 중단되지 않도록 합니다. (Webex 클라우드는 한 번에 한 개의 노드만 업그레이드합니다.)

클러스터에 있는 모든 노드는 동일한 키 데이터스토어에 액세스하고, 동일한 시스로그 서버에 활동을 로그합니다. 노드 자체는 상태를 저장하지 않으며, 클라우드에서 디렉트된 대로 라운드 로빈 방법으로 키 요청을 처리합니다.

Partner Hub에서 노드를 등록하면 노드가 활성화됩니다. 개별 노드의 서비스를 중단시키려면 등록 해제하고 나중에 필요할 때 다시 등록할 수 있습니다.

재해 복구를 위한 대기 데이터 센터

배포 중에 보안 대기 데이터 센터를 설정합니다. 데이터 센터 장애 발생 시 대기 데이터 센터로 수동으로 배포를 실패할 수 있습니다.

장애 조치 전에 데이터 센터 A에 활성 HDS 노드 및 기본 PostgreSQL 또는 Microsoft SQL Server 데이터베이스가 있는 반면, B에 추가 구성이 포함된 ISO 파일의 사본, 조직에 등록된 VM 및 대기 데이터베이스가 있습니다. 장애 조치 후 데이터 센터 B에는 활성 HDS 노드 및 기본 데이터베이스가 있는 반면, A에 등록 해제된 VM 및 ISO 파일의 사본이 있으며, 데이터베이스는 대기 모드입니다.
대기 데이터 센터에 수동 장애 조치

활동 중 및 대기 데이터 센터의 데이터베이스가 서로 동기화되어 장애 조치를 수행하는 데 소요되는 시간을 최소화합니다.

활동 중인 하이브리드 데이터 보안 노드는 항상 활동 중인 데이터베이스 서버와 동일한 데이터 센터에 위치해야 합니다.

프록시 지원

하이브리드 데이터 보안은 명시적, 투명 검사 및 비-검사 프록시를 지원합니다. 해당 프록시를 배포에 연결하여 기업에서 클라우드로의 트래픽을 안전하게 보호하고 모니터링할 수 있습니다. 인증서 관리에 대해 노드에서 플랫폼 관리 인터페이스를 사용하고, 노드에서 프록시를 설정한 후 전반적인 연결 상태를 확인하기 위해 사용할 수 있습니다.

하이브리드 데이터 보안 노드는 다음 프록시 옵션을 지원합니다.

  • 프록시 없음—프록시를 통합하기 위해 HDS 노드 설정 신뢰 저장소 및 프록시 구성을 사용하지 않는 경우의 기본값입니다. 인증서를 업데이트하지 않아도 됩니다.

  • 투명 비-검사 프록시—노드가 특정 프록시 서버 주소를 사용하도록 구성되지 않았으며, 비-검사 프록시에서 작동하도록 변경하지 않아도 됩니다. 인증서를 업데이트하지 않아도 됩니다.

  • 투명 터널링 또는 검사 프록시—노드가 특정 프록시 서버 주소를 사용하도록 구성되지 않았습니다. 노드에서 HTTP 또는 HTTPS 구성을 변경하지 않아도 됩니다. 단, 노드에 루트 인증서가 있어야 프록시를 신뢰할 수 있습니다. 일반적으로 검사 프록시는 IT가 어떤 웹사이트를 방문할 수 있는지 및 어떤 유형의 콘텐츠가 허용되는지에 대한 정책을 적용하기 위해 사용됩니다. 이러한 유형의 프록시는 모든 트래픽(HTTPS 포함)을 해독합니다.

  • 명시적 프록시—명시적 프록시를 사용하여 HDS 노드에 어떤 프록시 서버 및 인증 체계를 사용하는지 알립니다. 명시적 프록시를 구성하려면 각 노드에 다음 정보를 입력해야 합니다.

    1. 프록시 IP/FQDN—프록시 머신에 연결하기 위해 사용될 수 있는 주소입니다.

    2. 프록시 포트—프록시가 프록시된 트래픽을 수신하기 위해 사용하는 포트 번호입니다.

    3. 프록시 프로토콜—프록시 서버에서 지원하는 내용에 따라 다음 프로토콜 중에서 선택합니다.

      • HTTP—클라이언트가 전송하는 모든 요청을 확인하고 제어합니다.

      • HTTPS—서버에 채널을 제공합니다. 클라이언트는 서버의 인증서를 수신하고 유효성을 검증합니다.

    4. 인증 유형—다음 인증 유형 중에서 선택합니다.

      • 없음—추가 인증이 필요하지 않습니다.

        HTTP 또는 HTTPS를 프록시 프로토콜로 선택하는 경우에 사용할 수 있습니다.

      • 기본—요청을 할 때 HTTP 사용자 에이전트가 사용자 이름 및 비밀번호를 제공하기 위해 사용됩니다. Base64 인코딩을 사용합니다.

        HTTP 또는 HTTPS를 프록시 프로토콜로 선택하는 경우에 사용할 수 있습니다.

        각 노드에서 사용자 이름 및 비밀번호를 입력하도록 요구합니다.

      • 다이제스트—민감한 정보를 보내기 전에 계정을 확인하기 위해 사용됩니다. 네트워크를 통해 전송하기 전에 사용자 이름 및 비밀번호에 해시 기능을 적용합니다.

        HTTPS를 프록시 프로토콜로 선택하는 경우에만 사용할 수 있습니다.

        각 노드에서 사용자 이름 및 비밀번호를 입력하도록 요구합니다.

하이브리드 데이터 보안 노드 및 프록시의 예제

이 다이어그램은 하이브리드 데이터 보안, 네트워크 및 프록시 간의 예제 연결을 표시합니다. 투명 검사 및 HTTPS 명시적 검사 프록시 옵션에 대해 프록시 및 하이브리드 데이터 보안 노드에 동일한 루트 인증서가 설치되어 있어야 합니다.

차단된 외부 DNS 확인 모드 끄기 (명시적 프록시 구성)

노드를 등록하거나 노드의 프록시 구성을 확인할 때 프로세스는 Cisco Webex 클라우드에 대한 DNS 조회 및 연결을 테스트합니다. 내부 클라이언트에 대해 외부 DNS 확인을 허용하지 않는 명시적인 프록시 구성이 포함된 배포에서 노드가 DNS 서버를 쿼리할 수 없는 경우, 이는 자동으로 차단된 외부 DNS 확인 모드로 지정됩니다. 이 모드에서 노드 등록 및 다른 프록시 연결 테스트를 진행할 수 있습니다.

환경 준비

멀티 테넌트 하이브리드 데이터 보안의 요구 사항

Cisco Webex 라이센스 요구 사항

멀티 테넌트 하이브리드 데이터 보안을 배포하려면:

  • 파트너 조직: Cisco 파트너 또는 계정 관리자에게 연락하고 멀티 테넌트 기능이 활성화되었는지 확인하십시오.

  • 테넌트 조직: Cisco Webex Control Hub용 Pro Pack을 사용해야 합니다. (참조: https://www.cisco.com/go/pro-pack)

Docker 데스크탑 요구 사항

HDS 노드를 설치하기 전에 설치 프로그램을 실행하려면 Docker 데스크탑이 필요합니다. Docker는 최근 라이센싱 모델을 업데이트했습니다. 조직에서 Docker 데스크탑에 대해 유료 가입을 요구할 수도 있습니다. 자세한 내용은 Docker 블로그 게시물 " Docker가 업데이트 중 및 제품 가입 연장하기를 참조합니다.

Docker 데스크탑 라이센스가 없는 고객은 Podman 데스크탑과 같은 오픈 소스 컨테이너 관리 도구를 사용하여 컨테이너를 실행, 관리 및 생성할 수 있습니다. 자세한 내용은 Podman 데스크탑을 사용하여 HDS 설정 도구 실행 을 참조하십시오.

X.509 인증서 요구 사항

인증서 체인은 다음 요구 사항을 충족해야 합니다.

표 1. 하이브리드 데이터 보안 배포를 위한 X.509 인증서 요구 사항

요구 사항

세부 정보

  • 신뢰할 수 있는 인증 기관(CA)에서 서명함

기본적으로 Mozilla 목록에 있는 CA를 https://wiki.mozilla.org/CA:IncludedCAs에서 신뢰합니다(WoSign 및 StartCom 예외).

  • 하이브리드 데이터 보안 배포를 식별하는 CN(Common Name) 도메인 이름을 나타냅니다.

  • 와일드카드 인증서가 아님

CN은 연결되어야 하거나, 실시간 호스트일 필요가 없습니다. 귀하의 조직을 반영하는 이름을 사용할 것을 권장합니다. 예: hds.company.com.

CN에는 *(와일드카드)를 포함할 수 없습니다.

CN은 Webex 앱 클라이언트에 대해 하이브리드 데이터 보안 노드를 확인하기 위해 사용됩니다. 클러스터에 있는 모든 하이브리드 데이터 보안 노드는 동일한 인증서를 사용합니다. KMS는 x.509v3 SAN 필드에 정의된 도메인이 아닌 CN 도메인을 사용하여 자체적으로 식별합니다.

이 인증서를 사용하여 노드를 등록하면 CN 도메인 이름에 대한 변경을 지원하지 않습니다.

  • Non-SHA1 signature

KMS 소프트웨어는 다른 조직의 KMS에 연결을 확인하는 작업에 대해 SHA1 서명을 지원하지 않습니다.

  • 비밀번호로 보호된 PKCS #12 파일로 형식화됨

  • kms-private-key 의 친숙한 이름을 사용하여 인증서, 비공개 키 및 업로드할 중간 인증서를 태그합니다.

OpenSSL 등의 변환기를 사용하여 인증서 형식을 변경할 수 있습니다.

HDS 설정 도구를 실행할 때 비밀번호를 입력해야 합니다.

KMS 소프트웨어는 키 사용 또는 확장된 키 사용 제한을 강요하지 않습니다. 일부 인증 기관에서는 각 인증서에 서버 인증과 같은 확장된 키 사용 제한을 적용하도록 요구합니다. 서버 인증 또는 기타 설정을 사용해도 괜찮습니다.

가상 호스트 요구 사항

클러스터에서 하이브리드 데이터 보안 노드로 설정할 가상 호스트에는 다음 요구 사항이 있습니다.

  • 동일한 보안 데이터 센터에 최소한 두 개의 개별 호스트(3개 권장됨)가 배치됨

  • VMware ESXi 7.0(또는 이상)이 설치되고 실행 중입니다.

    이전 버전의 ESXi가 있는 경우 업그레이드해야 합니다.

  • 최소 4개 vCPU, 8GB 기본 메모리, 서버당 30GB 로컬 하드 디스크 공간

데이터베이스 서버 요구 사항

키 스토리지에 대한 새 데이터베이스를 만듭니다. 기본 데이터베이스를 사용하지 마십시오. HDS 응용프로그램을 설치하면 데이터베이스 스키마가 생성됩니다.

데이터베이스 서버에는 두 가지 옵션이 있습니다. 각 요구 사항은 다음과 같습니다.

표 2. 데이터베이스 유형별 데이터베이스 서버 요구 사항

PostgreSQL의

Microsoft SQL 서버

  • PostgreSQL 14, 15 또는 16 설치 및 실행.

  • SQL Server 2016, 2017, 2019 또는 2022(기업 또는 표준)이 설치되었습니다.

    SQL Server 2016에는 서비스 팩 2 및 누적 업데이트 2 이상이 필요합니다.

최소 8개 vCPU, 16GB 메인 메모리, 충분한 하드 디스크 공간 및 초과하지 않도록 모니터링(스토리지를 늘리지 않고도 장기간 데이터베이스를 실행하려는 경우 2TB 권장됨)

최소 8개 vCPU, 16GB 메인 메모리, 충분한 하드 디스크 공간 및 초과하지 않도록 모니터링(스토리지를 늘리지 않고도 장기간 데이터베이스를 실행하려는 경우 2TB 권장됨)

현재 HDS 소프트웨어는 데이터베이스 서버와의 통신을 위해 다음 드라이버 버전을 설치합니다.

PostgreSQL의

Microsoft SQL 서버

Postgres JDBC 드라이버 42.2.5

SQL 서버 JDBC 드라이버 4.6

이 드라이버 버전은 SQL Server 항상 켜기(페일오버 클러스터 인스턴스 항상 켜기가용성 그룹 항상 켜기)를 지원합니다.

Microsoft SQL Server에 대한 Windows 인증에 대한 추가 요구 사항

HDS 노드가 Windows 인증을 사용하여 Microsoft SQL Server에서 키 저장소 데이터베이스에 액세스하도록 하려는 경우, 환경에서 다음 구성이 필요합니다.

  • HDS 노드, Active Directory 인프라 및 MS SQL 서버는 모두 NTP와 동기화되어야 합니다.

  • HDS 노드에 제공하는 Windows 계정은 데이터베이스에 대한 읽기/쓰기 액세스 권한이 있어야 합니다.

  • HDS 노드에 제공하는 DNS 서버는 KDC(Key Distribution Center)를 확인할 수 있어야 합니다.

  • Microsoft SQL Server의 HDS 데이터베이스 인스턴스를 Active Directory의 SPN(Service Principal Name)으로 등록할 수 있습니다. Kerberos 연결에 대해 서비스 기본 이름 등록을 참조하십시오.

    HDS 설정 도구, HDS 실행기 및 로컬 KMS는 모두 Windows 인증을 사용하여 키 저장소 데이터베이스에 액세스해야 합니다. Kerberos 인증으로 액세스를 요청할 때 ISO 구성의 세부 정보를 사용하여 SPN을 구성합니다.

외부 연결 요구 사항

HDS 응용프로그램에 대해 다음 연결을 허용하도록 방화벽을 구성합니다.

응용프로그램

프로토콜

포트

앱에서 방향

대상

하이브리드 데이터 보안 노드

TCP

443

아웃바운드 HTTPS 및 WSS

  • Webex 서버:

    • *.wbx2.com

    • *.ciscospark.com

  • 모든 공통 ID 호스트

  • Webex 서비스의 네트워크 요구 사항Webex 하이브리드 서비스의 추가 URL 표에 하이브리드 데이터 보안에 나열된 기타 URL

HDS 설정 도구

TCP

443

아웃바운드 HTTPS

  • *.wbx2.com

  • 모든 공통 ID 호스트

  • hub.docker.com

NAT 또는 방화벽이 앞의 표에 있는 도메인 대상에 필요한 아웃바운드 연결을 허용하는 한, 하이브리드 데이터 보안 노드는 네트워크 액세스 변환(NAT) 또는 방화벽 내에서 작동합니다. 하이브리드 데이터 보안 노드로 인바운드되는 연결에 대해서는 인터넷에서 포트가 표시되지 말아야 합니다. 데이터 센터 내에서 클라이언트는 관리의 목적을 위해 TCP 포트 443 및 22에서 하이브리드 데이터 보안 노드에 액세스해야 합니다.

CI(공통 ID) 호스트에 대한 URL은 지역별로 다릅니다. 현재 CI 호스트는 다음과 같습니다.

지역

공통 ID 호스트 URL

미주

  • https://idbroker.webex.com

  • https://identity.webex.com

  • https://idbroker-b-us.webex.com

  • https://identity-b-us.webex.com

유럽 연합

  • https://idbroker-eu.webex.com

  • https://identity-eu.webex.com

캐나다

  • https://idbroker-ca.webex.com

  • https://identity-ca.webex.com

싱가포르

  • https://idbroker-sg.webex.com

  • https://identity-sg.webex.com

아랍에미리트

  • https://idbroker-ae.webex.com

  • https://identity-ae.webex.com

프록시 서버 요구 사항

  • 하이브리드 데이터 보안 노드에 통합할 수 있는 다음 프록시 솔루션을 공식적으로 지원합니다.

  • 명시적 프록시에 대해 다음 인증 유형 조합을 지원합니다.

    • HTTP 또는 HTTPS로 인증하지 않음

    • HTTP 또는 HTTPS로 기본 인증

    • HTTPS로만 다이제스트 인증

  • 투명 검사 프록시 또는 HTTPS 명시적 프록시에 대해 프록시 루트 인증서의 복사본이 있어야 합니다. 이 안내서의 배포 지시 사항은 하이브리드 데이터 보안 노드의 신뢰 저장소에 사본을 업로드하는 방법을 설명합니다.

  • HDS 노드를 호스트하는 네트워크는 포트 443의 아웃바운드 TCP 트래픽이 프록시를 통해 라우팅하도록 구성되어야 합니다.

  • 웹 트래픽을 검사하는 프록시는 웹 소켓 연결을 방해할 수도 있습니다. 이 문제가 발생하면 트래픽을 wbx2.com 검사하지 않고ciscospark.com 문제를 해결합니다.

하이브리드 데이터 보안에 대한 전제 조건 완료

이 검사 목록을 사용하여 하이브리드 데이터 보안 클러스터를 설치하고 구성할 준비가 되었는지 확인하십시오.
1

파트너 조직에 멀티 테넌트 HDS 기능이 활성화되었는지 확인하고 파트너 전체 관리자 및 전체 관리자 권한이 있는 계정의 자격 증명을 확보하십시오. Webex 고객 조직이 Cisco Webex Control Hub용 Pro Pack에 대해 활성화되었는지 확인하십시오. 이 과정에 대해 지원을 받으려면 Cisco 파트너 또는 계정 관리자에게 연락하십시오.

고객 조직에는 기존의 HDS 배포가 없어야 합니다.

2

HDS 배포에 대한 도메인 이름(예: hds.company.com)을 선택하고 X.509 인증서, 비공개 키 및 중간 인증서를 포함하는 인증서 체인을 확보합니다. 인증서 체인은 X.509 인증서 요구 사항에 있는 요구 사항을 충족해야 합니다.

3

클러스터에서 하이브리드 데이터 보안 노드로 설정할 동일한 가상 호스트를 준비하십시오. 가상 호스트 요구 사항의 요구 사항을 충족하는 동일한 보안 데이터 센터에 최소한 두 개의 개별 호스트(권장되는 3개)가 있어야 합니다.

4

데이터베이스 서버 요구 사항에 따라 클러스터에 대한 키 데이터 저장소 역할을 할 데이터베이스 서버를 준비합니다. 데이터베이스 서버는 가상 호스트와 함께 보안 데이터 센터에 위치해야 합니다.

  1. 키 스토리지에 대한 데이터베이스를 생성합니다. (이 데이터베이스를 만들어야 합니다. 기본 데이터베이스를 사용하지 마십시오. HDS 응용프로그램을 설치하면 데이터베이스 스키마가 생성됩니다.)

  2. 노드가 데이터베이스 서버와 통신하는 데 사용할 세부 사항을 수집하십시오.

    • 호스트 이름 또는 IP 주소 (호스트) 및 포트

    • 키 스토리지에 대한 데이터베이스의 이름(dbname)

    • 키 스토리지 데이터베이스에서 모든 권한을 가진 사용자의 사용자이름 및 비밀번호

5

빠른 장애 복구를 위해 다른 데이터 센터에 백업 환경을 설정합니다. 백업 환경은 VM과 백업 데이터베이스 서버의 프로덕션 환경을 반영합니다. 예를 들어, 프로덕션에 HDS 노드를 실행하는 3개의 VM이 있으면 백업 환경에도 3개의 VM이 있어야 합니다.

6

클러스터에 있는 노드에서 로그를 수집하도록 시스로그 호스트를 설정하십시오. 네트워크 주소 및 시스로그 포트를 수집합니다(기본값은 UDP 514).

7

하이브리드 데이터 보안 노드, 데이터베이스 서버 및 syslog 호스트에 대한 보안 백업 정책을 만듭니다. 복구할 수 없는 데이터 손실을 방지하기 위해 하이브리드 데이터 보안 노드에 대해 생성된 데이터베이스 및 구성 ISO 파일을 백업해야 합니다.

하이브리드 데이터 보안 노드는 콘텐츠의 암호화 및 해독에 사용되는 키를 저장하기 때문에 운영 중인 배포를 유지하지 못하면 해당 콘텐츠의 복구할 수 없는 손실 으로 이어질 수 있습니다.

Webex 앱 클라이언트는 키를 캐시하므로 정전이 즉시 눈에 띄지 않지만 시간이 지남에 따라 눈에 띄게 됩니다. 일시적인 중단은 예방할 수 없지만, 복구는 가능합니다. 그러나 데이터베이스 또는 구성 ISO 파일을 완전한 유실하면(사용할 수 있는 백업 없음) 고객 데이터를 복구할 수 없게 됩니다. 하이브리드 데이터 보안 노드의 운영자는 데이터베이스 및 구성 ISO 파일의 빈번한 백업을 유지하고, 치명적인 오류가 발생할 경우 하이브리드 데이터 보안 데이터 센터를 다시 빌드할 준비가 되어야 합니다.

8

방화벽 구성에서 외부 연결 요구 사항에 설명된 대로 하이브리드 데이터 보안 노드에 대한 연결을 허용하는지 확인합니다.

9

지원되는 OS(Microsoft Windows 10 Professional 또는 Enterprise 64비트 또는 Mac OSX Yosemite 10.10.3 이상)를 실행하는 로컬 머신에 Docker( https://www.docker.com)를 http://127.0.0.1:8080.에서 액세스할 수 있는 웹 브라우저를 설치합니다.

Docker 인스턴스를 사용하여 모든 하이브리드 데이터 보안 노드에 대한 로컬 구성 정보를 빌드하는 HDS 설정 도구를 다운로드하고 실행합니다. Docker 데스크탑 라이센스가 필요할 수 있습니다. 자세한 정보는 Docker 데스크탑 요구 사항 을 참조하십시오.

HDS 설정 도구를 설치하고 실행하려면 로컬 머신에 외부 연결 요구 사항에 설명된 연결이 있어야 합니다.

10

하이브리드 데이터 보안에 프록시를 통합하는 경우, 프록시 서버 요구 사항을 충족하는지 확인하십시오.

하이브리드 데이터 보안 클러스터 설정

하이브리드 데이터 보안 배포 작업 흐름

시작하기 전에

1

초기 설정을 수행하고 설치 파일 다운로드

나중에 사용할 수 있도록 OVA 파일을 로컬 머신으로 다운로드합니다.

2

HDS 호스트에 대해 구성 ISO 만들기

HDS 설정 도구를 사용하여 하이브리드 데이터 보안 노드에 대한 ISO 구성 파일을 만듭니다.

3

HDS 호스트 OVA 설치

OVA 파일에서 가상 머신을 만들고 네트워크 설정과 같은 초기 구성을 수행합니다.

OVA 배포 중 네트워크 설정을 구성하는 옵션은 ESXi 7.0에서 테스트되었습니다. 이전 버전에서 해당 옵션을 사용하지 못할 수도 있습니다.

4

하이브리드 데이터 보안 VM 설정

VM 콘솔에 로그인하고 로그인 자격 증명을 설정합니다. OVA 배포 시 구성하지 않은 경우 노드에 대한 네트워크 설정을 구성합니다.

5

HDS 구성 ISO 업로드 및 마운트

HDS 설정 도구를 사용하여 만든 ISO 구성 파일에서 VM을 구성합니다.

6

프록시 통합에 대해 HDS 노드 구성

네트워크 환경에 프록시 구성이 필요한 경우 노드에 사용할 프록시의 유형을 지정하고 필요에 따라 프록시 인증서를 신뢰 저장소에 추가합니다.

7

클러스터에서 첫 번째 노드 등록

하이브리드 데이터 보안 노드로 Cisco Webex 클라우드에 VM을 등록합니다.

8

추가 노드를 만들고 등록

클러스터 설정을 완료하십시오.

9

Partner Hub에서 멀티 테넌트 HDS를 활성화합니다.

Partner Hub에서 HDS를 활성화하고 테넌트 조직을 관리합니다.

초기 설정을 수행하고 설치 파일 다운로드

이 작업에서 OVA 파일을 컴퓨터에 다운로드합니다(하이브리드 데이터 보안 노드로 설정한 서버가 아님). 나중에 이 파일을 설치 프로세스에서 사용합니다.

1

Partner Hub에 로그인한 후 서비스를 클릭합니다.

2

클라우드 서비스 섹션에서 하이브리드 데이터 보안 카드를 찾은 후 설정을 클릭합니다.

Partner Hub에서 설정 을 클릭하면 배포 프로세스에 매우 중요합니다. 이 단계를 완료하지 않고 설치를 진행하지 마십시오.

3

리소스 추가 를 클릭하고 소프트웨어 설치 및 구성 카드에서 .OVA 파일 다운로드 를 클릭합니다.

이전 버전의 소프트웨어 패키지(OVA)는 최신 하이브리드 데이터 보안 업그레이드와 호환되지 않습니다. 이는 응용프로그램을 업그레이드하는 동안 문제가 발생할 수 있습니다. 최신 버전의 OVA 파일을 다운로드했는지 확인하십시오.

도움말 섹션에서 언제든지 OVA를 다운로드할 수도 있습니다. 설정 > 도움말 > 하이브리드 데이터 보안 소프트웨어 다운로드를 클릭합니다.

OVA 파일이 자동으로 다운로드되기 시작합니다. 머신에 있는 위치에 파일을 저장합니다.
4

선택적으로, 하이브리드 데이터 보안 배포 안내서 보기 를 클릭하여 이 안내서의 이후 버전을 사용할 수 있는지 확인합니다.

HDS 호스트에 대해 구성 ISO 만들기

하이브리드 데이터 보안 설정 프로세스는 ISO 파일을 만듭니다. 그 후 ISO를 사용하여 하이브리드 데이터 보안 호스트를 구성합니다.

시작하기 전에
1

머신의 명령줄에 사용자 환경에 적합한 명령을 입력합니다.

일반 환경:

docker rmi ciscocitg/hds-setup:stable

FedRAMP 환경:

docker rmi ciscocitg/hds-setup-fedramp:stable

이 단계에서는 이전 HDS 설정 도구 이미지를 정리합니다. 이전 이미지가 없는 경우 무시할 수 있는 오류를 반환합니다.

2

Docker 이미지 레지스트리에 로그인하려면 다음을 입력합니다.

docker login -u hdscustomersro
3

비밀번호 프롬프트에 이 해시를 입력합니다.

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

사용자 환경에 맞는 최신 안정 이미지를 다운로드합니다.

일반 환경:

docker pull ciscocitg/hds-setup:stable

FedRAMP 환경:

docker pull ciscocitg/hds-setup-fedramp:stable
5

풀이 완료되면 사용자 환경에 적합한 명령을 입력합니다.

  • 프록시가 없는 일반 환경:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

  • HTTP 프록시가 있는 일반 환경:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • HTTPS 프록시가 있는 일반 환경에서는:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • 프록시가 없는 FedRAMP 환경:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • HTTP 프록시가 있는 FedRAMP 환경:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • HTTPS 프록시가 있는 FedRAMP 환경:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

컨테이너가 실행 중일 때 "포트 8080에서 수신하는 Express 서버"가 표시됩니다.

6

설정 도구는 http://localhost:8080을 통해 localhost에 연결하는 것을 지원하지 않습니다. http://127.0.0.1:8080 을(를) 사용하여 로컬 호스트에 연결합니다.

웹 브라우저를 사용하여 localhost, http://127.0.0.1:8080(으)로 이동하고 프롬프트에 Partner Hub의 관리 사용자 이름을 입력합니다.

이 도구는 사용자 이름의 이 첫 번째 항목을 사용하여 해당 계정에 적합한 환경을 설정합니다. 그런 다음 도구는 표준 로그인 프롬프트를 표시합니다.

7

안내를 받으면 Partner Hub 관리자 로그인 자격 증명을 입력한 후 로그인 을 클릭하여 하이브리드 데이터 보안에 필요한 서비스에 대한 액세스를 허용합니다.

8

설정 도구 개요 페이지에서 시작하기를 클릭합니다.

9

ISO 가져오기 페이지에 다음 옵션이 있습니다.

  • 아니요—첫 번째 HDS 노드를 만드는 경우, 업로드할 ISO 파일이 없습니다.
  • —HDS 노드를 이미 만든 경우, 찾아보기에서 ISO 파일을 선택하고 업로드합니다.
10

X.509 인증서가 X.509 인증서 요구 사항의 요구 사항을 충족하는지 확인합니다.

  • 이전에 인증서를 업로드하지 않은 경우, X.509 인증서를 업로드하고 비밀번호를 입력한 후 계속을 클릭합니다.
  • 인증서가 올바른 경우, 계속을 클릭합니다.
  • 인증서가 만료되었거나 교체하려는 경우, 이전 ISO에서 HDS 인증서 체인 및 비공개 키를 계속 사용? 에 대해 아니요를 선택합니다. 새로운 X.509 인증서를 업로드하고 비밀번호를 입력한 후 계속을 클릭합니다.
11

키 데이터 저장소에 액세스하기 위해 HDS의 데이터베이스 주소 및 계정을 입력합니다.

  1. 데이터베이스 유형 (PostgreSQL 또는 Microsoft SQL Server)을 선택합니다.

    Microsoft SQL Server를 선택하는 경우, 인증 유형 필드가 나타납니다.

  2. (Microsoft SQL Server 전용) 인증 유형을 선택합니다.

    • 기본 인증: 사용자이름 필드에 로컬 SQL Server 계정 이름이 필요합니다.

    • Windows 인증: username@DOMAIN사용자이름 필드에 Windows 계정이 있어야 합니다.

  3. : 또는 : 형식으로 데이터베이스 서버 주소를 입력합니다.

    예:
    dbhost.example.org:1433 또는 198.51.100.17:1433

    노드에서 DNS를 사용하여 호스트 이름을 확인할 수 없는 경우 기본 인증에 대해 IP 주소를 사용할 수 있습니다.

    Windows 인증을 사용하는 경우, 정규화된 도메인 이름을 다음 형식으로 입력해야 합니다. dbhost.example.org:1433

  4. 데이터베이스 이름을 입력합니다.

  5. 키 스토리지 데이터베이스에서 모든 권한이 있는 사용자의 사용자이름비밀번호 를 입력합니다.

12

TLS 데이터베이스 연결 모드를 선택합니다.

모드

설명

TLS 선호 (기본 옵션)

HDS 노드에서 TLS가 데이터베이스 서버에 연결하도록 요구하지 않습니다. 데이터베이스 서버에서 TLS를 활성화하는 경우 노드는 암호화된 연결을 시도합니다.

TLS 필요

데이터베이스 서버에서 TLS를 협상할 수 있는 경우에만 HDS 노드를 연결합니다.

TLS 필요 및 인증서 서명자 확인

이 모드는 SQL Server 데이터베이스에는 적용되지 않습니다.

  • 데이터베이스 서버에서 TLS를 협상할 수 있는 경우에만 HDS 노드를 연결합니다.

  • TLS 연결을 설정한 후 노드는 데이터베이스 서버에서 인증서의 서명자를 데이터베이스 루트 인증서에 있는 인증 기관과 비교합니다. 해당 정보가 일치하지 않으면 노드는 연결을 끊습니다.

이 옵션에 대해 루트 인증서를 업로드하려면 드롭다운 아래에 있는 데이터베이스 루트 인증서 제어를 사용하십시오.

TLS 필요 및 인증서 서명자, 호스트 이름 확인

  • 데이터베이스 서버에서 TLS를 협상할 수 있는 경우에만 HDS 노드를 연결합니다.

  • TLS 연결을 설정한 후 노드는 데이터베이스 서버에서 인증서의 서명자를 데이터베이스 루트 인증서에 있는 인증 기관과 비교합니다. 해당 정보가 일치하지 않으면 노드는 연결을 끊습니다.

  • 노드는 서버 인증서의 호스트 이름이 데이터베이스 호스트 및 포트 필드에 있는 호스트 이름과 일치하는지 확인합니다. 이름은 정확히 일치해야 하며, 그렇지 않으면 노드가 연결을 끊습니다.

이 옵션에 대해 루트 인증서를 업로드하려면 드롭다운 아래에 있는 데이터베이스 루트 인증서 제어를 사용하십시오.

루트 인증서를 업로드하고(필요한 경우) 계속을 클릭하면 HDS 설정 도구는 데이터베이스 서버에 대한 TLS 연결을 테스트합니다. 해당 도구는 인증서 서명자 및 호스트 이름도 확인합니다(해당하는 경우). 테스트가 실패하면 도구에서 문제를 설명하는 오류 메시지를 표시합니다. 오류를 무시할지 선택하고 설정을 계속할 수 있습니다. (연결성 차이로 인해 HDS 설정 도구 머신에서 성공적으로 테스트할 수 없는 경우에도 HDS 노드는 TLS 연결을 설정할 수 있습니다.)

13

시스템 로그 페이지에서 Syslogd 서버를 구성합니다.

  1. syslog 서버 URL을 입력합니다.

    서버가 HDS 클러스터에 대한 노드에서 DNS를 확인할 수 없는 경우 URL에 있는 IP 주소를 사용합니다.

    예:
    udp://10.92.43.23:514 UDP 포트 514에서 Syslogd 호스트 10.92.43.23에 대한 로깅을 나타냅니다.

  2. TLS 암호화를 사용하도록 서버를 설정한 경우, SSL 암호화에 대해 syslog 서버가 구성되었습니까?를 체크합니다.

    이 체크 박스를 체크하는 경우, tcp://10.92.43.23:514 등의 TCP URL을 입력했는지 확인합니다.

  3. syslog 녹화 종료 선택 드롭다운에서 ISO 파일에 적합한 설정을 선택합니다. Graylog 및 Rsyslog TCP에 대해 선택하거나 새로 고침을 사용합니다.

    • Null 바이트 -- \x00

    • 새로 고침 -- \n—Graylog 및 Rsyslog TCP에 대해 이 옵션을 선택합니다.

  4. 계속을 클릭합니다.

14

(선택 사항) 고급 설정에서 일부 데이터베이스 연결 파라미터에 대한 기본값을 변경할 수 있습니다. 일반적으로 이 파라미터는 변경할 수 있는 유일한 파라미터입니다.

app_datasource_connection_pool_maxSize: 10
15

서비스 계정 비밀번호 재설정 화면에서 계속 을 클릭합니다.

서비스 계정 비밀번호의 수명은 9개월입니다. 비밀번호가 곧 만료되거나 이전 ISO 파일을 무효화하도록 재설정하고자 할 때 이 화면을 사용합니다.

16

ISO 파일 다운로드를 클릭합니다. 쉽게 찾을 수 있는 위치에 파일을 저장합니다.

17

로컬 시스템에서 ISO 파일의 백업 복사본을 만듭니다.

백업 복사본을 안전하게 유지합니다. 이 파일에는 데이터베이스 콘텐츠에 대한 마스터 암호화 키가 포함됩니다. 구성을 변경해야 하는 하이브리드 데이터 보안 관리자에게만 액세스를 제한합니다.

18

설정 도구를 종료하려면 CTRL+C을(를) 입력합니다.

다음에 수행할 작업

구성 ISO 파일을 백업합니다. 복구를 위해 추가 노드를 만들거나 구성을 변경하려면 이 노드가 필요합니다. ISO 파일의 모든 복사본을 잃게 되면 마스터 키도 잃게 됩니다. PostgreSQL 또는 Microsoft SQL Server 데이터베이스에서 키를 복구할 수 없습니다.

이 키의 사본은 가지고 있지 않으며, 잃어버리는 경우엔 지원할 수 없습니다.

HDS 호스트 OVA 설치

OVA 파일에서 가상 머신을 만들려면 이 절차를 따르십시오.
1

컴퓨터에서 VMware vSphere 클라이언트를 사용하여 ESXi 가상 호스트에 로그인합니다.

2

파일 > OVF 템플릿 배포를 선택합니다.

3

마법사에서 이전에 다운로드한 OVA 파일의 위치를 지정한 후 다음을 클릭합니다.

4

이름 및 폴더 선택 페이지에서 노드에 대한 가상 머신 이름 (예: "HDS_Node_1")을 입력하고 가상 머신 노드 배포가 상주할 수 있는 위치를 선택한 후 다음을 클릭합니다.

5

계산 리소스 선택 페이지에서 대상 계산 리소스를 선택한 후 다음을 클릭합니다.

유효성 검사가 실행됩니다. 완료되면 템플릿 세부 사항이 나타납니다.

6

템플릿 세부 사항을 확인한 후 다음을 클릭합니다.

7

구성 페이지에서 리소스 구성을 선택하도록 요청받는 경우, 4 CPU 를 클릭한 후 다음을 클릭합니다.

8

스토리지 선택 페이지에서 다음 을 클릭하여 기본 디스크 형식 및 VM 스토리지 정책을 수락합니다.

9

네트워크 선택 페이지에서 입력값의 목록에서 네트워크 옵션을 선택하여 VM에 원하는 연결을 제공합니다.

10

템플릿 사용자 정의 페이지에서 다음 네트워크 설정을 구성합니다.

  • 호스트 이름—노드에 대한 FQDN(호스트 이름 및 도메인) 또는 한 단어 호스트 이름을 입력합니다.

    • X.509 인증서를 얻는 데 사용된 도메인과 일치하도록 도메인을 설정할 필요는 없습니다.

    • 클라우드에 성공적으로 등록하려면 노드에 대해 설정한 FQDN 또는 호스트 이름에서 소문자만 사용하십시오. 현재 대문자 사용은 지원되지 않습니다.

    • FQDN의 총 길이는 64자를 초과하지 말아야 합니다.

  • IP 주소— 노드의 내부 인터페이스에 대한 IP 주소를 입력합니다.

    노드에는 내부 IP 주소 및 DNS 이름이 있어야 합니다. DHCP는 지원되지 않습니다.

  • 마스크—점-소수 표기법으로 서브넷 마스크 주소를 입력합니다. 예: 255.255.255.0.
  • 게이트웨이—게이트웨이 IP 주소를 입력합니다. 게이트웨이는 다른 네트워크에 대한 액세스 포인트로 사용되는 네트워크 노드입니다.
  • DNS 서버—도메인 이름을 숫자 IP 주소로 변환하는 DNS 서버의 콤마로 구분된 목록을 입력합니다. (최대 4개의 DNS 항목이 허용됩니다.)
  • NTP 서버—조직의 NTP 서버 또는 조직에서 사용될 수 있는 다른 외부 NTP 서버를 입력합니다. 기본 NTP 서버는 모든 기업에 대해 작동하지 않을 수 있습니다. 콤마로 구분된 목록을 사용하여 여러 NTP 서버를 입력할 수도 있습니다.

  • 관리의 목적을 위해 네트워크의 클라이언트에서 클러스터의 모든 노드에 연결할 수 있도록 동일한 서브넷 또는 VLAN에 모든 노드를 배포합니다.

원하는 경우, 네트워크 설정 구성을 건너뛰고 하이브리드 데이터 보안 VM 설정 에 설명된 단계를 따라 노드 콘솔에서 설정을 구성할 수 있습니다.

OVA 배포 중 네트워크 설정을 구성하는 옵션은 ESXi 7.0에서 테스트되었습니다. 이전 버전에서 해당 옵션을 사용하지 못할 수도 있습니다.

11

노드 VM을 오른쪽 클릭한 후 전원 > 전원 켜기를 선택합니다.

하이브리드 데이터 보안 소프트웨어는 VM 호스트에 손님으로 설치됩니다. 이제 콘솔에 로그인하고 노드를 구성할 준비가 되었습니다.

문제 해결하기 추가 정보

노드 포함자가 시작되기 전에 몇 분 정도 지연이 발생할 수도 있습니다. 첫 번째 부팅 중에 콘솔에 브리지 방화벽 메시지가 나타나며, 로그인할 수 없습니다.

하이브리드 데이터 보안 VM 설정

이 절차를 사용하여 처음으로 하이브리드 데이터 보안 노드 VM 콘솔에 로그인하고 로그인 자격 증명을 설정합니다. OVA 배포 시 구성하지 않은 경우 콘솔을 사용하여 노드에 대한 네트워크 설정을 구성할 수도 있습니다.

1

VMware vSphere 클라이언트에서 하이브리드 데이터 보안 노드 VM을 선택하고 콘솔 탭을 선택합니다.

VM이 부팅되고 로그인 프롬프트가 나타납니다. 로그인 프롬프트가 표시되지 않는 경우엔 Enter를 누릅니다.
2

다음 기본 로그인 및 비밀번호를 사용하여 로그인하고 자격 증명을 변경합니다.

  1. 로그인: admin

  2. 비밀번호: cisco

VM에 처음으로 로그인하고 있기 때문에 관리자 비밀번호를 변경하도록 요구받습니다.

3

HDS 호스트 OVA 설치에서 이미 네트워크 설정을 구성한 경우, 이 절차의 나머지 부분은 건너뜁니다. 그렇지 않으면 기본 메뉴에서 구성 편집 옵션을 선택합니다.

4

IP 주소, 마스크, 게이트웨이 및 DNS 정보로 정적 구성을 설정합니다. 노드에는 내부 IP 주소 및 DNS 이름이 있어야 합니다. DHCP는 지원되지 않습니다.

5

(선택 사항) 필요한 경우, 네트워크 정책과 일치하도록 호스트이름, 도메인 또는 NTP 서버를 변경합니다.

X.509 인증서를 얻는 데 사용된 도메인과 일치하도록 도메인을 설정할 필요는 없습니다.

6

네트워크 구성을 저장하고 VM을 다시 부팅하여 변경 사항을 적용합니다.

HDS 구성 ISO 업로드 및 마운트

HDS 설정 도구로 생성한 ISO 파일에서 가상 머신을 구성하려면 이 절차를 따르십시오.

시작하기 전에

ISO 파일은 마스터 키를 갖고 있기 때문에 이는 하이브리드 데이터 보안 VM 및 변경해야 할 수 있는 관리자가 액세스하기 위해 "알아야 할 것"으로만 노출되어야 합니다. 해당 관리자만 데이터스토어에 액세스할 수 있는지 확인하십시오.

1

컴퓨터에서 ISO 파일을 업로드합니다.

  1. VMware vSphere 클라이언트의 왼쪽 네비게이션 분할 창에서 ESXi 서버를 클릭합니다.

  2. 구성 탭의 하드웨어 목록에서 스토리지를 클릭합니다.

  3. 데이터스토어 목록에서 VM용 데이터스토어를 오른쪽 클릭하고 데이터스토어 찾아보기를 클릭합니다.

  4. 파일 업로드 아이콘을 클릭한 후 파일 업로드을 클릭합니다.

  5. 컴퓨터에서 ISO 파일을 다운로드한 위치를 찾고 열기를 클릭합니다.

  6. 를 클릭하여 업로드/다운로드 작업 경고를 수락하고 데이터스토어 대화 상자를 닫습니다.

2

ISO 파일을 마운트합니다.

  1. VMware vSphere 클라이언트의 왼쪽 네비게이션 분할 창에서 VM을 오른쪽 클릭하고 설정 편집을 클릭합니다.

  2. 확인을 클릭하여 제한된 편집 옵션 경고를 수락합니다.

  3. CD/DVD Drive 1을(를) 클릭하고 데이터스토어 ISO 파일에서 마운트 옵션을 선택한 후 구성 ISO 파일을 업로드한 위치를 찾습니다.

  4. 연결됨시동될 때 연결을 체크합니다.

  5. 변경 내용을 저장하고 가상 머신을 재부팅합니다.

다음에 수행할 작업

IT 정책에서 요구하는 경우, 모든 노드에서 구성 변경 사항을 적용한 후에 선택적으로 ISO 파일을 마운트 해제할 수 있습니다. 자세한 내용은 (선택 사항) HDS 구성 후 ISO 마운트 해제 를 참조하십시오.

프록시 통합에 대해 HDS 노드 구성

네트워크 환경에 프록시가 필요한 경우, 이 절차를 사용하여 하이브리드 데이터 보안에 통합하고자 하는 프록시의 유형을 지정합니다. 투명 검사 프록시 또는 HTTPS 명시적 프록시를 선택하는 경우, 노드의 인터페이스를 사용하여 루트 인증서를 업로드하고 설치할 수 있습니다. 인터페이스에서 프록시 연결을 확인하고 잠재적인 문제를 해결할 수도 있습니다.

시작하기 전에

1

웹 브라우저에서 HDS 노드 설정 URLhttps://[HDS Node IP or FQDN]/setup 을 입력하고 노드에 대해 설정한 관리 자격 증명을 입력한 후 로그인을 클릭합니다.

2

신뢰 저장소 및 프록시로 이동한 후 옵션을 선택합니다.

  • 프록시 없음—프록시를 통합하기 전에 기본 옵션입니다. 인증서를 업데이트하지 않아도 됩니다.
  • 투명 비-검사 프록시—노드가 특정 프록시 서버 주소를 사용하도록 구성되지 않았으며, 비-검사 프록시에서 작동하도록 변경하지 않아도 됩니다. 인증서를 업데이트하지 않아도 됩니다.
  • 투명 검사 프록시—노드가 특정 프록시 서버 주소를 사용하도록 구성되지 않았습니다. 하이브리드 데이터 보안 배포에서 HTTPS 구성을 변경하지 않아도 됩니다. 단, HDS 노드에 루트 인증서가 있어야 프록시를 신뢰할 수 있습니다. 일반적으로 검사 프록시는 IT가 어떤 웹사이트를 방문할 수 있는지 및 어떤 유형의 콘텐츠가 허용되는지에 대한 정책을 적용하기 위해 사용됩니다. 이러한 유형의 프록시는 모든 트래픽(HTTPS 포함)을 해독합니다.
  • 명시적 프록시—명시적 프록시를 사용하여 클라이언트(HDS 노드)에게 어떤 프록시 서버를 사용할지 알리고, 이 옵션은 다양한 인증 유형을 지원합니다. 이 옵션을 선택한 후 다음 정보를 입력해야 합니다.

    1. 프록시 IP/FQDN—프록시 머신에 연결하기 위해 사용될 수 있는 주소입니다.

    2. 프록시 포트—프록시가 프록시된 트래픽을 수신하기 위해 사용하는 포트 번호입니다.

    3. 프록시 프로토콜http (클라이언트로부터 수신된 모든 요청을 확인하고 제어) 또는 https (서버에 채널을 제공하고 클라이언트는 서버의 인증서를 수신 및 확인)를 선택합니다. 프록시 서버가 지원하는 내용에 따라 옵션을 선택합니다.

    4. 인증 유형—다음 인증 유형 중에서 선택합니다.

      • 없음—추가 인증이 필요하지 않습니다.

        HTTP 또는 HTTPS 프록시를 사용할 수 있습니다.

      • 기본—요청을 할 때 HTTP 사용자 에이전트가 사용자 이름 및 비밀번호를 제공하기 위해 사용됩니다. Base64 인코딩을 사용합니다.

        HTTP 또는 HTTPS 프록시를 사용할 수 있습니다.

        이 옵션을 선택하는 경우, 사용자 이름 및 비밀번호도 입력해야 합니다.

      • 다이제스트—민감한 정보를 보내기 전에 계정을 확인하기 위해 사용됩니다. 네트워크를 통해 전송하기 전에 사용자 이름 및 비밀번호에 해시 기능을 적용합니다.

        HTTPS 프록시에 대해서만 사용할 수 있습니다.

        이 옵션을 선택하는 경우, 사용자 이름 및 비밀번호도 입력해야 합니다.

투명 검사 프록시, 기본 인증이 포함된 HTTP 명시적 프록시 또는 HTTPS 명시적 프록시에 대해서는 다음 단계를 따르십시오.

3

루트 인증서 또는 최종 엔터티 인증서 업로드를 클릭한 후 탐색하여 프록시에 대한 루트 인증서를 선택합니다.

인증서가 업로드되었지만 아직 설치되지 않았습니다. 인증서를 설치하려면 노드를 재부팅해야 합니다. 인증서 발급자 이름 옆에 있는 갈매기 모양 화살표를 클릭하여 자세한 내용을 확인합니다. 실수가 있었거나 파일을 다시 업로드하려는 경우엔 삭제를 클릭합니다.

4

프록시 연결 확인을 클릭하여 노드와 프록시 간의 네트워크 연결을 테스트합니다.

연결 테스트에 실패하는 경우, 이유 및 문제를 해결할 수 있는 방법을 표시하는 오류 메시지가 나타납니다.

외부 DNS 확인에 실패했다는 메시지가 나타나면 노드가 DNS 서버에 연결하지 못한 것입니다. 이 조건은 다양한 명시적 프록시 구성에서 예상되는 작동입니다. 설정을 계속 진행할 수 있으며, 노드는 차단된 외부 DNS 확인 모드로 작동하게 됩니다. 이 작업이 오류라고 생각하시면 다음 단계를 완료한 후 차단된 외부 DNS 확인 모드 끄기를 참조하십시오.

5

연결 테스트를 통과한 후 https로만 설정된 명시적 프록시에 대해 설정을 토글하여 이 노드의 모든 포트 443/444 https 요청을 명시적 프록시를 통해 라우팅합니다. 이 설정이 적용될 때까지 15초 정도 소요됩니다.

6

모든 인증서를 신뢰 저장소에 설치(HTTPS 명시적 프록시 또는 투명 검사 프록시에 대해 나타남) 또는 재부팅(HTTP 명시적 프록시에 대해 나타남)을 클릭하고 안내를 읽은 후 준비되었을 때 설치를 클릭합니다.

노드는 몇 분 내에 재부팅됩니다.

7

노드가 재부팅되면 필요에 따라 다시 로그인한 후 개요 페이지를 열어 연결을 확인하고 모두 녹색 상태인지 확인합니다.

프록시 연결 확인은 webex.com의 하위 도메인만 테스트합니다. 연결에 문제가 있는 경우, 설치 지시 사항에 나열된 일부 클라우드 도메인이 프록시에서 차단되는 것은 일반적인 문제입니다.

클러스터에서 첫 번째 노드 등록

이 작업은 하이브리드 데이터 보안 VM 설정에서 생성한 일반적인 노드를 적용하고, Webex 클라우드에 노드를 등록한 후 하이브리드 데이터 보안 노드로 변경합니다.

첫 번째 노드를 등록할 때 해당 노드가 지정된 클러스터를 만듭니다. 클러스터에는 중복성을 제공하기 위해 배포된 한 개 이상의 노드가 포함되어 있습니다.

시작하기 전에

  • 노드의 등록을 시작하면 60분 이내에 완료해야 합니다. 그렇지 않으면 처음부터 다시 시작해야 합니다.

  • 브라우저에 팝업 차단기가 비활성화되었는지 또는 admin.webex.com에 대한 예외를 허용했는지 확인하십시오.

1

https://admin.webex.com에 로그인합니다.

2

화면의 왼쪽에 있는 메뉴에서 서비스를 선택합니다.

3

클라우드 서비스 섹션에서 하이브리드 데이터 보안 카드를 찾고 설정을 클릭합니다.

4

페이지가 열리면 리소스 추가를 클릭합니다.

5

노드 추가 카드의 첫 번째 필드에 하이브리드 데이터 보안 노드를 지정할 클러스터의 이름을 입력합니다.

지리적으로 클러스터의 노드가 위치한 장소에 기반하여 클러스터의 이름을 지정할 것을 권장합니다. 예: "San Francisco" 또는 "New York" 또는 "Dallas"

6

두 번째 필드에서 노드의 내부 IP 주소 또는 정규화된 도메인 이름(FQDN)을 입력하고 화면의 하단에서 추가 를 클릭합니다.

이 IP 주소 또는 FQDN은 하이브리드 데이터 보안 VM 설정에서 사용한 IP 주소 또는 호스트 이름 및 도메인과 일치해야 합니다.

Webex에 노드를 등록할 수 있음을 가리키는 메시지가 나타납니다.
7

노드로 이동을 클릭합니다.

잠시 후에 Webex 서비스에 대한 노드 연결 테스트로 리디렉션됩니다. 모든 테스트에 성공하면 하이브리드 데이터 보안 노드에 대한 액세스 허용 페이지가 나타납니다. 여기에서 Webex 조직에 노드에 액세스할 수 있는 권한을 부여하고자 함을 확인합니다.

8

하이브리드 데이터 보안 노드에 액세스 허용 체크 박스에 체크한 후 계속을 클릭합니다.

계정의 유효성이 검증되고 "등록 완료" 메시지는 이제 노드가 Webex 클라우드에 등록되었음을 가리킵니다.
9

링크를 클릭하거나 탭을 닫아 Partner Hub 하이브리드 데이터 보안 페이지로 다시 돌아갑니다.

하이브리드 데이터 보안 페이지에서 등록한 노드가 포함된 새로운 클러스터가 리소스 탭 아래에 표시됩니다. 노드는 클라우드에서 자동으로 최신 소프트웨어를 다운로드합니다.

추가 노드를 만들고 등록

클러스터에 노드를 추가하려면 추가 VM을 만들고 동일한 구성 ISO 파일을 마운트한 후 노드를 등록하기만 하면 됩니다. 최소한 3개의 노드를 구성할 것을 권장합니다.

시작하기 전에

  • 노드의 등록을 시작하면 60분 이내에 완료해야 합니다. 그렇지 않으면 처음부터 다시 시작해야 합니다.

  • 브라우저에 팝업 차단기가 비활성화되었는지 또는 admin.webex.com에 대한 예외를 허용했는지 확인하십시오.

1

OVA에서 새로운 가상 머신을 만들고 HDS 호스트 OVA 설치에 설명된 단계를 반복합니다.

2

새로운 VM에서 초기 구성을 설정하고 하이브리드 데이터 보안 VM 설정에 설명된 단계를 반복합니다.

3

새로운 VM에서 HDS 구성 ISO 업로드 및 설치에 설명된 단계를 반복합니다.

4

배포에 대해 프록시를 설정하고 있는 경우, 새로운 노드에 대해 필요에 따라 프록시 통합에 대해 HDS 노드 구성 에 설명된 단계를 반복합니다.

5

노드를 등록합니다.

  1. https://admin.webex.com에서 화면 왼쪽의 메뉴에 있는 서비스를 선택합니다.

  2. 클라우드 서비스 섹션에서 하이브리드 데이터 보안 카드를 찾고 모두 보기를 클릭합니다.

    하이브리드 데이터 보안 리소스 페이지가 나타납니다.

  3. 새롭게 생성된 클러스터는 리소스 페이지에 나타납니다.

  4. 클러스터에 할당된 노드를 확인하려면 클러스터를 클릭합니다.

  5. 화면의 오른쪽에서 노드 추가 를 클릭합니다.

  6. 노드의 내부 IP 주소 또는 정규화된 도메인 이름(FQDN)을 입력하고 추가를 클릭합니다.

    Webex 클라우드에 노드를 등록할 수 있음을 나타내는 메시지가 포함된 페이지가 열립니다. 잠시 후에 Webex 서비스에 대한 노드 연결 테스트로 리디렉션됩니다. 모든 테스트에 성공하면 하이브리드 데이터 보안 노드에 대한 액세스 허용 페이지가 나타납니다. 여기에서 조직에 노드에 액세스할 수 있는 권한을 부여하고자 함을 확인합니다.

  7. 하이브리드 데이터 보안 노드에 액세스 허용 체크 박스에 체크한 후 계속을 클릭합니다.

    계정의 유효성이 검증되고 "등록 완료" 메시지는 이제 노드가 Webex 클라우드에 등록되었음을 가리킵니다.

  8. 링크를 클릭하거나 탭을 닫아 Partner Hub 하이브리드 데이터 보안 페이지로 다시 돌아갑니다.

    노드 추가됨 팝업 메시지는 Partner Hub의 화면 하단에도 나타납니다.

    노드가 등록되었습니다.

멀티 테넌트 하이브리드 데이터 보안에서 테넌트 조직 관리

Partner Hub에서 멀티 테넌트 HDS 활성화

이 작업은 고객 조직의 모든 사용자가 온-프레미스 암호화 키 및 기타 보안 서비스에 대해 HDS를 사용하기 시작할 수 있게 합니다.

시작하기 전에

필요한 노드의 수로 멀티 테넌트 HDS 클러스터 설정을 완료했는지 확인합니다.

1

https://admin.webex.com에 로그인합니다.

2

화면의 왼쪽에 있는 메뉴에서 서비스를 선택합니다.

3

클라우드 서비스 섹션에서 하이브리드 데이터 보안을 찾고 설정 편집을 클릭합니다.

4

HDS 상태 카드에서 HDS 활성화 를 클릭합니다.

Partner Hub에서 테넌트 조직 추가

이 작업에서 하이브리드 데이터 보안 클러스터에 고객 조직을 지정합니다.

1

https://admin.webex.com에 로그인합니다.

2

화면의 왼쪽에 있는 메뉴에서 서비스를 선택합니다.

3

클라우드 서비스 섹션에서 하이브리드 데이터 보안을 찾고 모두 보기를 클릭합니다.

4

고객을 지정하고자 하는 클러스터를 클릭합니다.

5

지정된 고객 탭으로 이동합니다.

6

고객 추가를 클릭합니다.

7

드롭다운 메뉴에서 추가할 고객을 선택합니다.

8

추가를 클릭하면 고객이 클러스터에 추가됩니다.

9

6~8단계를 반복하여 여러 고객을 클러스터에 추가합니다.

10

고객을 추가한 후 화면의 하단에서 완료 를 클릭합니다.

다음에 수행할 작업

HDS 설정 도구를 사용하여 고객 기본 키(CMK) 만들기 에 설명된 대로 HDS 설정 도구를 실행하여 설치 과정을 완료합니다.

HDS 설정 도구를 사용하여 고객 기본 키(CMK) 만들기

시작하기 전에

Partner Hub에서 테넌트 조직 추가에 설명된 대로 고객을 적합한 클러스터에 지정합니다. HDS 설정 도구를 실행하여 새롭게 추가된 고객 조직에 대한 설정 과정을 완료합니다.

  • HDS 설정 도구는 로컬 머신에서 Docker 컨테이너로 실행됩니다. 액세스하려면 해당 머신에서 Docker를 실행합니다. 설치 과정에는 조직에 대한 전체 관리자 권한이 있는 Partner Hub 계정의 자격 증명이 필요합니다.

    HDS 설정 도구가 귀하의 환경에서 프록시 뒤에서 실행되는 경우, 5 단계에서 Docker 컨테이너를 가져올 때 Docker 환경 변수를 통해 프록시 설정(서버, 포트, 자격 증명)을 제공합니다. 이 표는 몇 가지 환경 변수를 제공합니다.

    설명

    변수

    인증되지 않은 HTTP 프록시

    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    인증되지 않은 HTTPS 프록시

    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    인증된 HTTP 프록시

    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

    인증된 HTTPS 프록시

    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

  • 생성하는 구성 ISO 파일에는 PostgreSQL 또는 Microsoft SQL Server 데이터베이스를 암호화하는 마스터 키가 포함되어 있습니다. 다음과 같은 구성을 변경할 때마다 이 파일의 최신 복사본이 필요합니다.

    • 데이터베이스 자격 증명

    • 인증서 업데이트

    • 인증 정책에 대한 변경 사항

  • 데이터베이스 연결을 암호화하는 경우 TLS용 PostgreSQL 또는 SQL Server 배포를 설정합니다.

하이브리드 데이터 보안 설정 프로세스는 ISO 파일을 만듭니다. 그 후 ISO를 사용하여 하이브리드 데이터 보안 호스트를 구성합니다.

1

머신의 명령줄에 사용자 환경에 적합한 명령을 입력합니다.

일반 환경:

docker rmi ciscocitg/hds-setup:stable

FedRAMP 환경:

docker rmi ciscocitg/hds-setup-fedramp:stable

이 단계에서는 이전 HDS 설정 도구 이미지를 정리합니다. 이전 이미지가 없는 경우 무시할 수 있는 오류를 반환합니다.

2

Docker 이미지 레지스트리에 로그인하려면 다음을 입력합니다.

docker login -u hdscustomersro
3

비밀번호 프롬프트에 이 해시를 입력합니다.

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

사용자 환경에 맞는 최신 안정 이미지를 다운로드합니다.

일반 환경:

docker pull ciscocitg/hds-setup:stable

FedRAMP 환경:

docker pull ciscocitg/hds-setup-fedramp:stable
5

풀이 완료되면 사용자 환경에 적합한 명령을 입력합니다.

  • 프록시가 없는 일반 환경:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

  • HTTP 프록시가 있는 일반 환경:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • HTTPS 프록시가 있는 일반 환경에서는:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • 프록시가 없는 FedRAMP 환경:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • HTTP 프록시가 있는 FedRAMP 환경:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • HTTPS 프록시가 있는 FedRAMP 환경:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

컨테이너가 실행 중일 때 "포트 8080에서 수신하는 Express 서버"가 표시됩니다.

6

설정 도구는 http://localhost:8080을 통해 localhost에 연결하는 것을 지원하지 않습니다. http://127.0.0.1:8080 을(를) 사용하여 로컬 호스트에 연결합니다.

웹 브라우저를 사용하여 localhost, http://127.0.0.1:8080(으)로 이동하고 프롬프트에 Partner Hub의 관리 사용자 이름을 입력합니다.

이 도구는 사용자 이름의 이 첫 번째 항목을 사용하여 해당 계정에 적합한 환경을 설정합니다. 그런 다음 도구는 표준 로그인 프롬프트를 표시합니다.

7

안내를 받으면 Partner Hub 관리자 로그인 자격 증명을 입력한 후 로그인 을 클릭하여 하이브리드 데이터 보안에 필요한 서비스에 대한 액세스를 허용합니다.

8

설정 도구 개요 페이지에서 시작하기를 클릭합니다.

9

ISO 가져오기 페이지에서 를 클릭합니다.

10

브라우저에서 ISO 파일을 선택하고 업로드합니다.

CMK 관리를 수행하려면 데이터베이스에 대한 연결을 확인하십시오.
11

테넌트 CMK 관리 탭으로 이동하여 다음 세 가지 방법으로 테넌트 CMK를 관리할 수 있습니다.

  • 모든 조직에 대해 CMK 만들기 또는 CMK 만들기 - 화면의 상단에 있는 배너에서 이 버튼을 클릭하여 새롭게 추가된 모든 조직에 대해 CMK를 만듭니다.
  • 화면의 오른쪽에서 CMK 관리 버튼을 클릭하고 CMK 만들기 를 클릭하여 새롭게 추가된 모든 조직에 대해 CMK를 만듭니다.
  • 표에서 특정 조직의 CMK 관리 보류 중 상태 근처에 있는 …를 클릭하고 CMK 만들기 를 클릭하여 해당 조직에 대해 CMK를 만듭니다.
12

CMK 만들기에 성공하면 표의 상태는 CMK 관리 보류 중 에서 CMK 관리로 변경됩니다.

13

CMK 만들기에 실패하면 오류가 표시됩니다.

테넌트 조직 제거

시작하기 전에

제거되면 고객 조직의 사용자는 암호화 요구에 대해 HDS를 활용할 수 없으며 기존의 모든 스페이스를 잃게 됩니다. 고객 조직을 제거하기 전에 Cisco 파트너 또는 계정 관리자에게 문의하십시오.

1

https://admin.webex.com에 로그인합니다.

2

화면의 왼쪽에 있는 메뉴에서 서비스를 선택합니다.

3

클라우드 서비스 섹션에서 하이브리드 데이터 보안을 찾고 모두 보기를 클릭합니다.

4

리소스 탭에서 고객 조직을 제거할 클러스터를 클릭합니다.

5

페이지가 열리면 지정된 고객을 클릭합니다.

6

표시되는 고객 조직의 목록에서 제거하고자 하는 고객 조직의 오른쪽에 있는 ... 을 클릭하고 클러스터에서 제거를 클릭합니다.

다음에 수행할 작업

HDS에서 제거된 테넌트의 CMK 취소에 설명된 대로 고객 조직의 CMK를 취소하여 제거 프로세스를 완료합니다.

HDS에서 제거된 테넌트의 CMK를 취소합니다.

시작하기 전에

테넌트 조직 제거에 설명된 대로 적합한 클러스터에서 고객을 제거합니다. 제거된 고객 조직에 대한 제거 과정을 완료하려면 HDS 설정 도구를 실행하십시오.

  • HDS 설정 도구는 로컬 머신에서 Docker 컨테이너로 실행됩니다. 액세스하려면 해당 머신에서 Docker를 실행합니다. 설치 과정에는 조직에 대한 전체 관리자 권한이 있는 Partner Hub 계정의 자격 증명이 필요합니다.

    HDS 설정 도구가 귀하의 환경에서 프록시 뒤에서 실행되는 경우, 5 단계에서 Docker 컨테이너를 가져올 때 Docker 환경 변수를 통해 프록시 설정(서버, 포트, 자격 증명)을 제공합니다. 이 표는 몇 가지 환경 변수를 제공합니다.

    설명

    변수

    인증되지 않은 HTTP 프록시

    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    인증되지 않은 HTTPS 프록시

    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    인증된 HTTP 프록시

    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

    인증된 HTTPS 프록시

    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

  • 생성하는 구성 ISO 파일에는 PostgreSQL 또는 Microsoft SQL Server 데이터베이스를 암호화하는 마스터 키가 포함되어 있습니다. 다음과 같은 구성을 변경할 때마다 이 파일의 최신 복사본이 필요합니다.

    • 데이터베이스 자격 증명

    • 인증서 업데이트

    • 인증 정책에 대한 변경 사항

  • 데이터베이스 연결을 암호화하는 경우 TLS용 PostgreSQL 또는 SQL Server 배포를 설정합니다.

하이브리드 데이터 보안 설정 프로세스는 ISO 파일을 만듭니다. 그 후 ISO를 사용하여 하이브리드 데이터 보안 호스트를 구성합니다.

1

머신의 명령줄에 사용자 환경에 적합한 명령을 입력합니다.

일반 환경:

docker rmi ciscocitg/hds-setup:stable

FedRAMP 환경:

docker rmi ciscocitg/hds-setup-fedramp:stable

이 단계에서는 이전 HDS 설정 도구 이미지를 정리합니다. 이전 이미지가 없는 경우 무시할 수 있는 오류를 반환합니다.

2

Docker 이미지 레지스트리에 로그인하려면 다음을 입력합니다.

docker login -u hdscustomersro
3

비밀번호 프롬프트에 이 해시를 입력합니다.

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

사용자 환경에 맞는 최신 안정 이미지를 다운로드합니다.

일반 환경:

docker pull ciscocitg/hds-setup:stable

FedRAMP 환경:

docker pull ciscocitg/hds-setup-fedramp:stable
5

풀이 완료되면 사용자 환경에 적합한 명령을 입력합니다.

  • 프록시가 없는 일반 환경:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

  • HTTP 프록시가 있는 일반 환경:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • HTTPS 프록시가 있는 일반 환경에서는:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • 프록시가 없는 FedRAMP 환경:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • HTTP 프록시가 있는 FedRAMP 환경:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • HTTPS 프록시가 있는 FedRAMP 환경:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

컨테이너가 실행 중일 때 "포트 8080에서 수신하는 Express 서버"가 표시됩니다.

6

설정 도구는 http://localhost:8080을 통해 localhost에 연결하는 것을 지원하지 않습니다. http://127.0.0.1:8080 을(를) 사용하여 로컬 호스트에 연결합니다.

웹 브라우저를 사용하여 localhost, http://127.0.0.1:8080(으)로 이동하고 프롬프트에 Partner Hub의 관리 사용자 이름을 입력합니다.

이 도구는 사용자 이름의 이 첫 번째 항목을 사용하여 해당 계정에 적합한 환경을 설정합니다. 그런 다음 도구는 표준 로그인 프롬프트를 표시합니다.

7

안내를 받으면 Partner Hub 관리자 로그인 자격 증명을 입력한 후 로그인 을 클릭하여 하이브리드 데이터 보안에 필요한 서비스에 대한 액세스를 허용합니다.

8

설정 도구 개요 페이지에서 시작하기를 클릭합니다.

9

ISO 가져오기 페이지에서 를 클릭합니다.

10

브라우저에서 ISO 파일을 선택하고 업로드합니다.

11

테넌트 CMK 관리 탭으로 이동하여 다음 세 가지 방법으로 테넌트 CMK를 관리할 수 있습니다.

  • 모든 조직에 대해 CMK 취소 또는 CMK 취소 - 화면 상단에 있는 배너에서 이 버튼을 클릭하여 제거된 모든 조직의 CMK를 취소합니다.
  • 화면의 오른쪽에서 CMK 관리 버튼을 클릭하고 CMK 취소 를 클릭하여 제거된 모든 조직의 CMK를 취소합니다.
  • 표에서 특정 조직의 취소될 CMK 상태 근처에서 을 클릭하고 CMK 취소 를 클릭하여 해당 특정 조직에 대한 CMK를 취소합니다.
12

CMK 해지 작업에 성공하면 고객 조직은 더 이상 표에 나타나지 않습니다.

13

CMK 해지 실패하면 오류가 표시됩니다.

하이브리드 데이터 보안 배포 테스트

하이브리드 데이터 보안 배포 테스트

멀티 테넌트 하이브리드 데이터 보안 암호화 시나리오를 테스트하려면 이 절차를 사용하십시오.

시작하기 전에

  • 멀티 테넌트 하이브리드 데이터 보안 배포를 설정합니다.

  • 키 요청이 멀티 테넌트 하이브리드 데이터 보안 배포에 전달되고 있는지 확인하려면 syslog에 액세스할 수 있는지 확인합니다.

1

특정 스페이스에 대한 키는 스페이스의 생성자가 설정합니다. 고객 조직 사용자 중 하나로 Webex 앱에 로그인한 후 스페이스를 만듭니다.

하이브리드 데이터 보안 배포를 비활성화하는 경우, 클라이언트 캐시된 암호화 키의 복사본이 교체되면 사용자가 생성하는 스페이스에 있는 콘텐츠에 더 이상 액세스할 수 없습니다.

2

새로운 스페이스로 메시지를 보내십시오.

3

syslog 출력을 확인하여 키 요청이 하이브리드 데이터 보안 배포에 전달되고 있는지 확인합니다.

  1. 먼저 KMS에 보안 채널을 설정하는 사용자를 확인하려면 kms.data.method=createkms.data.type=EPHEMERAL_KEY_COLLECTION에서 필터링합니다.

    다음과 같은 입력값을 검색해야 합니다(가독성을 위해 식별자는 짧게 표현됨).
    2020-07-21 17:35:34.562 (+0000) INFO  KMS [pool-14-thread-1] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, 
kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

  2. KMS에서 기존의 키를 요청하는 사용자를 확인하려면 kms.data.method=retrievekms.data.type=KEY을(를) 필터링합니다.

    다음과 같은 입력값을 검색해야 합니다.
    2020-07-21 17:44:19.889 (+0000) INFO  KMS [pool-14-thread-31] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, 
kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, 
kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

  3. 새로운 KMS 키 생성을 요청하는 사용자를 확인하려면 kms.data.method=createkms.data.type=KEY_COLLECTION에서 필터링합니다.

    다음과 같은 입력값을 검색해야 합니다.
    2020-07-21 17:44:21.975 (+0000) INFO  KMS [pool-14-thread-33] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, 
kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, 
kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

  4. 스페이스 또는 다른 보호된 리소스가 생성될 때 새로운 KMS 리소스 개체(KRO)의 만들기를 요청하는 사용자를 확인하려면 kms.data.method=createkms.data.type=RESOURCE_COLLECTION에서 필터링합니다.

    다음과 같은 입력값을 검색해야 합니다. 
    2020-07-21 17:44:22.808 (+0000) INFO  KMS [pool-15-thread-1] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

하이브리드 데이터 보안 상태 모니터

Partner Hub 내의 상태 표시기는 멀티 테넌트 하이브리드 데이터 보안 배포가 모두 양호한지 여부를 표시합니다. 보다 적극적으로 경고를 받으려면 이메일 알림을 신청하십시오. 서비스에 영향을 미치는 경보 또는 소프트웨어 업그레이드가 있을 때 알림을 받습니다.
1

Partner Hub의 화면 왼쪽에 있는 메뉴에서 서비스 를 선택합니다.

2

클라우드 서비스 섹션에서 하이브리드 데이터 보안을 찾고 설정 편집을 클릭합니다.

하이브리드 데이터 보안 설정 페이지가 나타납니다.
3

이메일 알림 섹션에서 한 개 이상의 이메일 주소를 쉼표로 구분하여 입력하고 Enter를 누릅니다.

HDS 배포 관리

HDS 배포 관리

하이브리드 데이터 보안 배포를 관리하려면 여기에 설명된 작업을 사용하십시오.

클러스터 업그레이드 예약 설정

하이브리드 데이터 보안에 대한 소프트웨어 업그레이드는 클러스터 수준에서 자동으로 실행되며, 이는 모든 노드가 항상 동일한 소프트웨어 버전을 실행하게 합니다. 업그레이드는 클러스터에 대한 업그레이드 스케줄에 따라 실행됩니다. 소프트웨어 업그레이드가 사용 가능해지면 예약된 업그레이드 시간 전에 클러스터를 수동으로 업그레이드할 수 있는 옵션이 주어집니다. 특정 업그레이드 스케줄을 설정하거나 미국: 아메리카/로스앤젤레스 매일 3:00 AM 기본 스케줄을 사용할 수 있습니다. 필요에 따라 예정된 업그레이드를 연기하도록 선택할 수도 있습니다.

업그레이드 예약을 설정하려면:

1

Partner Hub에 로그인합니다.

2

화면의 왼쪽에 있는 메뉴에서 서비스를 선택합니다.

3

클라우드 서비스 섹션에서 하이브리드 데이터 보안을 찾고 설정을 클릭합니다.

4

하이브리드 데이터 보안 리소스 페이지에서 클러스터를 선택합니다.

5

클러스터 설정 탭을 클릭합니다.

6

클러스터 설정 페이지의 업그레이드 예약 아래에서 업그레이드 예약에 대한 시간 및 시간대를 선택합니다.

참고: 시간대 아래에 다음 사용 가능한 업그레이드 날짜 및 시간이 표시됩니다. 필요한 경우, 24시간 연기를 클릭하여 업그레이드를 다음 날로 연기할 수 있습니다.

노드 구성 변경

경우에 따라 다음과 같은 이유로 하이브리드 데이터 보안 노드의 구성을 변경해야 할 수도 있습니다.

  • 만료 또는 기타 이유로 인해 x.509 인증서 변경.

    인증서의 CN 도메인 이름 변경을 지원하지 않습니다. 도메인은 클러스터에 등록하기 위해 사용된 원래 도메인과 일치해야 합니다.

  • PostgreSQL 또는 Microsoft SQL Server 데이터베이스의 복제본으로 변경하도록 데이터베이스 설정 업데이트.

    PostgreSQL에서 Microsoft SQL Server로 또는 그 반대로 데이터 마이그레이션을 지원하지 않습니다. 데이터베이스 환경을 전환하려면 하이브리드 데이터 보안의 새로운 배포를 시작합니다.

  • 새 데이터 센터를 준비하기 위해 새 구성 생성.

또한 보안상의 이유로 하이브리드 데이터 보안은 수명이 9개월인 서비스 계정 비밀번호를 사용합니다. HDS 설정 도구가 이러한 비밀번호를 생성하면 이를 ISO 구성 파일의 각 HDS 노드에 배포합니다. 조직의 비밀번호 만료일이 가까워지면 Webex 팀으로부터 머신 계정의 비밀번호를 재설정하라는 통지를 받습니다. (이메일에는 "머신 계정 API를 사용하여 비밀번호를 업데이트합니다."라는 텍스트가 포함됩니다.) 비밀번호가 아직 만료되지 않은 경우 도구는 다음 두 가지 옵션을 제공합니다.

  • 소프트 재설정—이전 비밀번호 및 새로운 비밀번호 모두 최대 10일 동안 작동합니다. 이 기간을 사용하여 노드에서 ISO 파일을 점진적으로 교체합니다.

  • 하드 재설정—이전 비밀번호가 즉시 작동하지 않습니다.

비밀번호가 재설정 없이 만료되는 경우 HDS 서비스에 영향을 미치므로 즉시 하드 재설정을 수행하고 모든 노드에서 ISO 파일을 교체해야 합니다.

새 구성 ISO 파일을 생성하고 클러스터에 적용하려면 이 절차를 따르십시오.

시작하기 전에

  • HDS 설정 도구는 로컬 머신에서 Docker 컨테이너로 실행됩니다. 액세스하려면 해당 머신에서 Docker를 실행합니다. 설치 과정에는 파트너 전체 관리자 권한이 있는 Partner Hub 계정의 자격 증명이 필요합니다.

    Docker 데스크탑 라이센스가 없는 경우, Podman 데스크탑을 사용하여 아래 절차에서 1.a ~ 1.e 단계에 대한 HDS 설정 도구를 실행할 수 있습니다. 자세한 내용은 Podman 데스크탑을 사용하여 HDS 설정 도구 실행 을 참조하십시오.

    HDS 설정 도구가 귀하의 환경에서 프록시 뒤에서 실행되는 경우, 1.e에서 Docker 컨테이너를 가져올 때 Docker 환경 변수를 통해 프록시 설정(서버, 포트, 자격 증명)을 제공합니다. 이 표는 몇 가지 환경 변수를 제공합니다.

    설명

    변수

    인증되지 않은 HTTP 프록시

    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    인증되지 않은 HTTPS 프록시

    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    인증된 HTTP 프록시

    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

    인증된 HTTPS 프록시

    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

  • 새 구성을 생성하려면 현재 구성 ISO 파일의 사본이 필요합니다. ISO에는 PostgreSQL 또는 Microsoft SQL Server 데이터베이스를 암호화하는 마스터 키가 포함되어 있습니다. 데이터베이스 자격 증명, 인증서 업데이트 또는 인증 정책 변경을 포함하여 구성을 변경할 때 ISO가 필요합니다.

1

로컬 머신에서 Docker를 사용하여 HDS 설정 도구를 실행합니다.

  1. 머신의 명령줄에 사용자 환경에 적합한 명령을 입력합니다.

    일반 환경:

    docker rmi ciscocitg/hds-setup:stable

    FedRAMP 환경:

    docker rmi ciscocitg/hds-setup-fedramp:stable

    이 단계에서는 이전 HDS 설정 도구 이미지를 정리합니다. 이전 이미지가 없는 경우 무시할 수 있는 오류를 반환합니다.

  2. Docker 이미지 레지스트리에 로그인하려면 다음을 입력합니다.

    docker login -u hdscustomersro

  3. 비밀번호 프롬프트에 이 해시를 입력합니다.

    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

  4. 사용자 환경에 맞는 최신 안정 이미지를 다운로드합니다.

    일반 환경:

    docker pull ciscocitg/hds-setup:stable

    FedRAMP 환경:

    docker pull ciscocitg/hds-setup-fedramp:stable

    이 절차에 대해 최신 설정 도구를 사용하고 있는지 확인하십시오. 2018년 2월 22일 이전에 생성된 도구의 버전에는 비밀번호 재설정 화면이 없습니다.

  5. 풀이 완료되면 사용자 환경에 적합한 명령을 입력합니다.

    • 프록시가 없는 일반 환경:

      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

    • HTTP 프록시가 있는 일반 환경:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • HTTPS 프록시가 있는 일반 환경:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • 프록시가 없는 FedRAMP 환경:

      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

    • HTTP 프록시가 있는 FedRAMP 환경:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    • HTTPS 프록시가 있는 FedRAMP 환경:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    컨테이너가 실행 중일 때 "포트 8080에서 수신하는 Express 서버"가 표시됩니다.

  6. 브라우저를 사용하여 로컬 호스트 http://127.0.0.1:8080에 연결합니다.

    설정 도구는 http://localhost:8080을 통해 localhost에 연결하는 것을 지원하지 않습니다. http://127.0.0.1:8080 을(를) 사용하여 로컬 호스트에 연결합니다.

  7. 안내를 받으면 Partner Hub 고객 로그인 자격 증명을 입력한 후 수락 을 클릭하여 계속합니다.

  8. 현재 구성 ISO 파일을 가져옵니다.

  9. 안내에 따라 도구를 완료하고 업데이트된 파일을 다운로드합니다.

    설정 도구를 종료하려면 CTRL+C을(를) 입력합니다.

  10. 다른 데이터 센터에서 업데이트된 파일의 백업 복사본을 만듭니다.

2

실행 중인 HDS 노드가 한 개만 있는 경우, 새로운 하이브리드 데이터 보안 노드 VM을 만들고 새로운 구성 ISO 파일을 사용하여 등록합니다. 자세한 안내는 추가 노드 만들기 및 등록을 참조하십시오.

  1. HDS 호스트 OVA를 설치합니다.

  2. HDS VM을 설정합니다.

  3. 업데이트된 구성 파일을 마운트합니다.

  4. Partner Hub에서 새로운 노드를 등록합니다.

3

이전 구성 파일을 실행하고 있는 기존 HDS 노드의 경우 ISO 파일을 탑재합니다. 각 노드에서 다음 절차를 차례로 수행하여 다음 노드를 끄기 전에 각 노드를 업데이트합니다.

  1. 가상 머신의 전원을 끕니다.

  2. VMware vSphere 클라이언트의 왼쪽 네비게이션 분할 창에서 VM을 오른쪽 클릭하고 설정 편집을 클릭합니다.

  3. CD/DVD Drive 1을(를) 클릭하고 ISO 파일에서 마운트할 옵션을 선택한 후 새로운 구성 ISO 파일을 다운로드한 위치를 찾습니다.

  4. 시동될 때 연결을 체크합니다.

  5. 변경 사항을 저장하고 가상 머신의 전원을 켭니다.

4

이전 구성을 실행하고 있는 나머지 각 노드에서 구성을 바꾸려면 3 단계를 반복하십시오.

차단된 외부 DNS 확인 모드 끄기

노드를 등록하거나 노드의 프록시 구성을 확인할 때 프로세스는 Cisco Webex 클라우드에 대한 DNS 조회 및 연결을 테스트합니다. 노드의 DNS 서버에서 공용 DNS 이름을 확인할 수 없는 경우, 노드는 자동으로 차단된 외부 DNS 확인 모드로 지정됩니다.

노드에서 내부 DNS 서버를 통해 공용 DNS 이름을 확인할 수 있는 경우, 각 노드에서 프록시 연결 테스트를 다시 실행하여 이 모드를 끌 수 있습니다.

시작하기 전에

내부 DNS 서버가 공용 DNS 이름을 확인할 수 있으며, 노드가 해당 서버와 통신할 수 있는지 확인합니다.
1

웹 브라우저에서 하이브리드 데이터 보안 노드 인터페이스(IP 주소/설정을 엽니다. 예: https://192.0.2.0/setup), 노드에 대해 설정한 관리 자격 증명을 입력한 후 로그인을 클릭합니다.

2

개요 (기본 페이지)로 이동합니다.

활성화되면 차단된 외부 DNS 확인로 설정됩니다.

3

신뢰 저장소 및 프록시 페이지로 이동합니다.

4

프록시 연결 확인을 클릭합니다.

외부 DNS 확인에 실패했다는 메시지가 나타나면 노드가 DNS 서버에 연결하지 못한 것이며, 이 모드에서 유지됩니다. 그렇지 않은 경우, 노드를 재부팅하고 개요 페이지로 돌아가면 차단된 외부 DNS 확인은 아니요로 설정됩니다.

다음에 수행할 작업

하이브리드 데이터 보안 클러스터의 각 노드에서 프록시 연결 테스트를 반복합니다.

노드 제거

Webex 클라우드에서 하이브리드 데이터 보안 노드를 제거하려면 이 절차를 사용하십시오. 클러스터에서 노드를 제거한 후 가상 머신을 삭제하여 보안 데이터에 대한 추가 액세스를 방지합니다.
1

컴퓨터에서 VMware vSphere 클라이언트를 사용하여 ESXi 가상 호스트에 로그인하고 가상 머신의 전원을 끕니다.

2

노드를 제거합니다.

  1. Partner Hub에 로그인한 후 서비스를 선택합니다.

  2. 하이브리드 데이터 보안 카드에서 모두 보기 를 클릭하여 하이브리드 데이터 보안 리소스 페이지를 표시합니다.

  3. 클러스터를 선택하여 개요 목록을 표시합니다.

  4. 제거할 노드를 클릭합니다.

  5. 오른쪽에 나타나는 목록에서 이 노드 등록 해제 를 클릭합니다.

  6. 노드의 오른쪽에서…을 클릭하고 이 노드 제거를 선택하여 노드의 등록을 해제할 수도 있습니다.

3

vSphere 클라이언트에서 VM을 삭제합니다. (왼쪽 네비게이션 분할 창에서 VM을 오른쪽 클릭하고 삭제를 클릭합니다.)

VM을 삭제하지 않는 경우 구성 ISO 파일을 마운트 해제하십시오. ISO 파일이 없으면 VM을 사용하여 보안 데이터에 액세스할 수 없습니다.

대기 데이터 센터를 사용하여 장애 복구

하이브리드 데이터 보안 클러스터에서 제공하는 가장 중요한 서비스는 메시지 및 Webex 클라우드에 저장된 기타 콘텐츠를 암호화하는 데 사용되는 키를 만들고 저장하는 것입니다. 하이브리드 데이터 보안에 지정된 조직 내의 각 사용자에 대해 새로운 키 만들기 요청은 클러스터로 라우팅됩니다. 또한 클러스터는 생성된 키를 검색할 권한이 있는 모든 사용자(예: 대화 스페이스의 구성원)에게 해당 키를 반환해야 합니다.

클러스터는 이러한 키를 제공하는 중요한 기능을 수행하므로, 클러스터가 계속 실행되고 올바른 백업이 유지관리되어야 합니다. 하이브리드 데이터 보안 데이터베이스나 스키마에 대해 사용된 구성 ISO가 손실되면 고객 콘텐츠가 복구할 수 없게 됩니다. 다음 실행은 이러한 유실을 방지하기 위해 필수적입니다.

장애가 발생하여 기본 데이터 센터에서 HDS 배포를 사용할 수 없게 하는 경우, 이 절차를 따라 대기 데이터 센터로 수동으로 장애 조치하십시오.

시작하기 전에

노드 제거에서 언급한 대로 Partner Hub에서 모든 노드를 등록 해제합니다. 이전에 활성 상태였던 클러스터의 노드에 대해 구성된 최신 ISO 파일을 사용하여 아래에 언급한 장애 조치 절차를 수행합니다.
1

HDS 설정 도구를 시작하고 HDS 호스트에 대해 구성 ISO 만들기에서 언급한 단계를 따릅니다.

2

구성 프로세스를 완료하고 쉽게 찾을 수 있는 위치에 ISO 파일을 저장합니다.

3

로컬 시스템에서 ISO 파일의 백업 복사본을 만듭니다. 백업 복사본을 안전하게 유지합니다. 이 파일에는 데이터베이스 콘텐츠에 대한 마스터 암호화 키가 포함됩니다. 구성을 변경해야 하는 하이브리드 데이터 보안 관리자에게만 액세스를 제한합니다.

4

VMware vSphere 클라이언트의 왼쪽 네비게이션 분할 창에서 VM을 오른쪽 클릭하고 설정 편집을 클릭합니다.

5

설정 편집 > CD/DVD 드라이브 1 을 클릭하고 데이터스토어 ISO 파일을 선택합니다.

노드를 시작한 후에 업데이트된 구성 변경 사항이 적용될 수 있도록 연결됨시동 시 연결 이 체크되었는지 확인하십시오.

6

HDS 노드를 시동하고 최소한 15분 동안 경보가 없는지 확인하십시오.

7

Partner Hub에서 노드를 등록합니다. 클러스터에서 첫 번째 노드 등록을 참조하십시오.

8

대기 데이터 센터의 모든 노드에 대해 프로세스를 반복합니다.

다음에 수행할 작업

장애 조치 후 기본 데이터 센터가 다시 활성화되면 대기 데이터 센터의 노드를 등록 해제하고 상단에 언급한 대로 기본 데이터 센터의 노드 등록 및 ISO 구성 및 등록 과정을 반복합니다.

(선택 사항) HDS 구성 후 ISO 제거

표준 HDS 구성은 ISO가 장착된 상태에서 실행됩니다. 그러나 일부 고객은 ISO 파일을 계속 마운트하지 않는 것을 선호합니다. 모든 HDS 노드가 새로운 구성을 적용하면 ISO 파일을 마운트 해제할 수 있습니다.

여전히 ISO 파일을 사용하여 구성을 변경합니다. 설정 도구를 통해 새로운 ISO를 만들거나 ISO를 업데이트할 때 모든 HDS 노드에 업데이트된 ISO를 마운트해야 합니다. 모든 노드에서 구성 변경 사항을 적용하면 이 절차를 사용하여 ISO를 다시 마운트 해제할 수 있습니다.

시작하기 전에

모든 HDS 노드를 버전 2021.01.22.4720 이상으로 업그레이드하십시오.

1

HDS 노드 중 하나를 종료합니다.

2

vCenter Server Appliance에서 HDS 노드를 선택합니다.

3

설정 편집 > CD/DVD 드라이브 를 선택하고 데이터스토어 ISO 파일을 체크 해제합니다.

4

HDS 노드를 시동하고 20분 이상 알람이 없는지 확인합니다.

5

각 HDS 노드에 대해 차례로 반복합니다.

하이브리드 데이터 보안 문제 해결하기

경고 보기 및 문제 해결하기

클러스터의 모든 노드에 연결할 수 없거나 클러스터가 너무 느리게 작동하여 시간 초과를 요청하는 경우 하이브리드 데이터 보안 배포를 사용할 수 없는 것으로 간주됩니다. 사용자가 하이브리드 데이터 보안 클러스터에 연결할 수 없는 경우, 다음 증상을 경험합니다.

  • 새로운 스페이스가 생성되지 않음 (새 키를 만들 수 없음)

  • 다음 경우에 대해 메시지 및 스페이스 제목을 해독하지 못함:

    • 새로운 사용자가 스페이스에 추가됨 (키를 페치할 수 없음)

    • 스페이스에서 기존의 사용자가 새로운 클라이언트 사용 (키를 페치할 수 없음)

  • 스페이스에 있는 기존의 사용자는 클라이언트에 암호화 키의 캐시가 있는 한 계속 성공적으로 실행함

서비스가 중단되지 않게 하려면 하이브리드 데이터 보안 클러스터를 올바르게 모니터링하고 경고를 즉시 해결하는 것이 중요합니다.

경고

하이브리드 데이터 보안 설정에 문제가 있는 경우, Partner Hub는 조직 관리자에게 경고를 표시하고 구성된 이메일 주소로 이메일을 보냅니다. 경고는 여러 가지 일반적인 상황을 다룹니다.

표 1. 일반적인 문제 및 문제를 해결하기 위한 단계

경고

작업

로컬 데이터베이스 액세스 실패.

데이터베이스 오류 또는 로컬 네트워크 문제를 확인합니다.

로컬 데이터베이스 연결 실패.

데이터베이스 서버를 사용할 수 있는지, 노드 구성에서 올바른 서비스 계정 자격 증명이 사용되고 있는지 확인합니다.

클라우드 서비스 액세스 실패.

외부 연결 요구 사항에 지정된 대로 노드가 Webex 서버에 액세스할 수 있는지 확인합니다.

클라우드 서비스 등록을 갱신하는 중.

클라우드 서비스로의 등록이 중단됩니다. 현재 등록을 갱신하는 중.

클라우드 서비스 등록이 중단됩니다.

클라우드 서비스로의 등록이 종료됩니다. 서비스가 종료됩니다.

서비스가 아직 활성화되지 않았습니다.

Partner Hub에서 Hds를 활성화합니다.

구성된 도메인이 서버 인증서와 일치하지 않습니다.

서버 인증서가 구성된 서비스 활성화 도메인과 일치하는지 확인합니다.

원인은 최근에 인증서 CN이 변경되었으며 현재 초기 설정 중에 사용된 CN과 다른 CN이 사용되고 있기 때문일 가능성이 높습니다.

클라우드 서비스에 인증하지 못함.

정확성 및 서비스 계정 자격 증명의 만료일을 확인합니다.

로컬 키 저장소 파일을 열지 못함.

로컬 키 저장소 파일에서 무결성 및 비밀번호 정확성을 확인합니다.

로컬 서버 인증서가 유효하지 않습니다.

서버 인증서의 만료 날짜를 확인하고, 신뢰할 수 있는 인증 기관에서 발행한 것인지 확인합니다.

메트릭을 게시할 수 없음.

외부 클라우드 서비스로의 로컬 네트워크 액세스를 확인합니다.

/media/configdrive/hds 디렉토리가 존재하지 않습니다.

가상 호스트에서 ISO 마운트 구성을 확인합니다. ISO 파일이 존재하는지 확인하고, 해당 파일이 재부팅 시에 마운트하도록 구성되었는지, 성공적으로 마운트되는지를 확인합니다.

추가된 조직에 대해 테넌트 조직 설정이 완료되지 않음

HDS 설정 도구를 사용하여 새롭게 추가된 테넌트 조직에 대해 CMK를 생성하여 설정을 완료하십시오.

제거된 조직에 대해 테넌트 조직 설정이 완료되지 않음

HDS 설정 도구를 사용하여 제거된 테넌트 조직의 CMK를 취소하여 설정을 완료하십시오.

하이브리드 데이터 보안 문제 해결하기

하이브리드 데이터 보안의 문제를 해결할 때 다음 일반적인 안내를 사용하십시오.
1

Partner Hub를 확인하여 경고를 확인하고 여기에서 찾을 수 있는 항목을 수정하십시오. 참조에 대해서는 아래 이미지를 참조하십시오.

2

하이브리드 데이터 보안 배포에서 활동에 대한 syslog 서버 출력을 확인합니다. 문제 해결에 도움이 되도록 "경고" 및 "오류"와 같은 단어를 필터링합니다.

3

Cisco 고객 지원으로 연락합니다.

기타 메모

하이브리드 데이터 보안 알려진 문제

  • 하이브리드 데이터 보안 클러스터를 Partner Hub에서 삭제하거나 모든 노드를 종료하는 경우, 구성 ISO 파일을 잃거나 키 저장소 데이터베이스에 액세스할 수 없는 경우, 고객 조직의 WeBEX 앱 사용자는 더 이상 KMS의 키로 생성된 사용자 목록 아래에 있는 스페이스를 사용할 수 없습니다. 현재 이 문제에 대한 해결 방법은 없으며, HDS 서비스에서 활동 중인 사용자 계정을 처리하고 있는 경우에 해당 서비스를 종료하지 말 것을 강조합니다.

  • KMS에 대한 기존의 ECDH 연결이 있는 클라이언트는 특정 기간(1시간 정도) 동안 해당 연결을 유지합니다.

Podman 데스크탑을 사용하여 HDS 설정 도구 실행

Podman은 컨테이너를 실행, 관리 및 생성하는 방법을 제공하는 무료 오픈 소스 컨테이너 관리 도구입니다. Podman 데스크탑은 https://podman-desktop.io/downloads에서 다운로드할 수 있습니다.

  • HDS 설정 도구는 로컬 머신에서 Docker 컨테이너로 실행됩니다. 액세스하려면 해당 머신에서 Podman을 다운로드하고 실행합니다. 설정 프로세스를 수행하려면 조직에 대한 전체 관리자 권한이 있는 Control Hub 계정의 자격 증명이 필요합니다.

    HDS 설정 도구가 귀하의 환경에서 프록시 뒤에서 실행되는 경우, 5 단계에서 Docker 컨테이너를 가져올 때 Docker 환경 변수를 통해 프록시 설정(서버, 포트, 자격 증명)을 제공합니다. 이 표는 몇 가지 환경 변수를 제공합니다.

    설명

    변수

    인증되지 않은 HTTP 프록시

    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    인증되지 않은 HTTPS 프록시

    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    인증된 HTTP 프록시

    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

    인증된 HTTPS 프록시

    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

  • 생성하는 구성 ISO 파일에는 PostgreSQL 또는 Microsoft SQL Server 데이터베이스를 암호화하는 마스터 키가 포함되어 있습니다. 다음과 같은 구성을 변경할 때마다 이 파일의 최신 복사본이 필요합니다.

    • 데이터베이스 자격 증명

    • 인증서 업데이트

    • 인증 정책에 대한 변경 사항

  • 데이터베이스 연결을 암호화하는 경우 TLS용 PostgreSQL 또는 SQL Server 배포를 설정합니다.

하이브리드 데이터 보안 설정 프로세스는 ISO 파일을 만듭니다. 그 후 ISO를 사용하여 하이브리드 데이터 보안 호스트를 구성합니다.

1

머신의 명령줄에 사용자 환경에 적합한 명령을 입력합니다.

일반 환경:

podman rmi ciscocitg/hds-setup:stable

FedRAMP 환경:

podman rmi ciscocitg/hds-setup-fedramp:stable

이 단계에서는 이전 HDS 설정 도구 이미지를 정리합니다. 이전 이미지가 없는 경우 무시할 수 있는 오류를 반환합니다.

2

Docker 이미지 레지스트리에 로그인하려면 다음을 입력합니다.

podman login docker.io -u hdscustomersro
3

비밀번호 프롬프트에 이 해시를 입력합니다.

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

사용자 환경에 맞는 최신 안정 이미지를 다운로드합니다.

일반 환경:

podman pull ciscocitg/hds-setup:stable

FedRAMP 환경:

podman pull ciscocitg/hds-setup-fedramp:stable
5

풀이 완료되면 사용자 환경에 적합한 명령을 입력합니다.

  • 프록시가 없는 일반 환경:

    podman run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

  • HTTP 프록시가 있는 일반 환경:

    podman run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • HTTPS 프록시가 있는 일반 환경에서는:

    podman run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • 프록시가 없는 FedRAMP 환경:

    podman run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • HTTP 프록시가 있는 FedRAMP 환경:

    podman run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • HTTPS 프록시가 있는 FedRAMP 환경:

    podman run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

컨테이너가 실행 중일 때 "포트 8080에서 수신하는 Express 서버"가 표시됩니다.

다음에 수행할 작업

HDS 호스트에 대해 구성 ISO 만들기 또는 노드 구성 변경 에 설명된 나머지 단계를 따라 ISO 구성을 만들거나 변경합니다.

OpenSSL을 사용하여 PKCS12 파일 생성

시작하기 전에

  • OpenSSL은 HDS 설정 도구에서 로딩하기 위해 PKCS12 파일을 적합한 형식으로 만드는 데 사용할 수 있는 도구입니다. 이 작업을 실행할 수 있는 다른 방법이 있으며, 특정 방법을 더 지원하거나 홍보하지 않습니다.

  • OpenSSL을 사용하도록 선택한 경우, 이 절차를 X.509 인증서 요구 사항에서 X.509 인증서 요구 사항을 충족하는 파일을 만드는 데 도움이 되는 가이드라인으로 제공합니다. 진행하기 전에 다음 요구 사항을 숙지하십시오.

  • 지원되는 환경에서 OpenSSL을 설치합니다. 소프트웨어 및 문서에 대해서는 https://www.openssl.org을(를) 참조하십시오.

  • 비공개 키를 만듭니다.

  • 인증 기관(CA)으로부터 서버 인증서를 수신한 후에 이 절차를 시작하십시오.

1

CA에서 서버 인증서를 수신하면 hdsnode.pem(으)로 저장합니다.

2

인증서를 텍스트로 표시하고 세부 사항을 확인합니다.

openssl x509 -text -noout -in hdsnode.pem

3

텍스트 편집기를 사용하여 hdsnode-bundle.pem이라는 인증서 번들 파일을 만듭니다. 번들 파일에는 서버 인증서, 모든 중간 CA 인증서 및 루트 CA 인증서가 아래의 형식으로 포함되어야 합니다.

-----BEGIN CERTIFICATE-----
### Server certificate. ###
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
###  Intermediate CA certificate. ###
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
###  Root CA certificate. ###
-----END CERTIFICATE-----

4

적합한 이름 kms-private-key으로 .p12 파일을 만듭니다.

openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

5

서버 인증서 세부 사항을 확인합니다.

  1. openssl pkcs12 -in hdsnode.p12

  2. 안내에 따라 비밀번호를 입력하여 비공개 키를 암호화하고 출력에 표시되게 합니다. 그 후 비공개 키 및 첫 번째 인증서에 라인 friendlyName: kms-private-key이(가) 포함되어 있는지 확인합니다.

    예:

    bash$ openssl pkcs12 -in hdsnode.p12
Enter Import Password:
MAC verified OK
Bag Attributes
    friendlyName: kms-private-key
    localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
Key Attributes: 
Enter PEM pass phrase:
Verifying - Enter PEM pass phrase:
-----BEGIN ENCRYPTED PRIVATE KEY-----

-----END ENCRYPTED PRIVATE KEY-----
Bag Attributes
    friendlyName: kms-private-key
    localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
subject=/CN=hds1.org6.portun.us
issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
-----BEGIN CERTIFICATE-----

-----END CERTIFICATE-----
Bag Attributes
    friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US
subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3
-----BEGIN CERTIFICATE-----

-----END CERTIFICATE-----

다음에 수행할 작업

하이브리드 데이터 보안에 대한 전제 조건 완료로 돌아갑니다. hdsnode.p12 파일 및 해당 파일에 대해 설정한 비밀번호를 HDS 호스트에 대해 구성 ISO 만들기에서 사용합니다.

원래 인증서가 만료될 때 이러한 파일을 다시 사용하여 새 인증서를 요청할 수 있습니다.

HDS 노드 및 클라우드 간 트래픽

아웃바운드 메트릭 수집 트래픽

하이브리드 데이터 보안 노드는 특정 메트릭을 Webex 클라우드로 보냅니다. 여기에는 최대 힙, 사용된 힙, CPU 로드 및 스레드 수에 대한 시스템 메트릭이 포함됩니다. 또한 동기적 스레드 및 비동기적 스레드에 대한 메트릭, 암호화 연결, 대시 시간 또는 요청 대기열 길이의 임계값과 관련된 경고에 대한 메트릭, 데이터스토어 관련 메트릭 및 암호화 연결 메트릭도 포함됩니다. 노드는 대역 외(요청과 별개) 채널을 통해 암호화된 키 자료를 보냅니다.

인바운드 트래픽

하이브리드 데이터 보안 노드는 Webex 클라우드에서 다음 유형의 인바운드 트래픽을 수신합니다.

  • 클라이언트로부터 암호화 요청. 암호화 서비스에서 라우트됨

  • 노드 소프트웨어로 업그레이드

하이브리드 데이터 보안에 대해 Squid 프록시 구성

웹 소켓은 Squid 프록시를 통해 연결할 수 없음

HTTPS 트래픽을 검사하는 Squid 프록시는 하이브리드 데이터 보안에 필요한 웹소켓(wss:) 연결을 설정하는 데 방해가 될 수 있습니다. 다음 섹션에서는 서비스의 적절한 작동을 위해 트래픽을 무시하도록 다양한 버전의 wss: Squid를 구성하는 방법에 대한 안내를 제공합니다.

Squid 4 및 5

on_unsupported_protocol 지시 사항을 squid.conf에 추가합니다.

on_unsupported_protocol tunnel all

Squid 3.5.27

squid.conf에 추가된 다음 규칙으로 하이브리드 데이터 보안을 성공적으로 테스트했습니다. 이 규칙은 기능을 개발하고 Webex 클라우드를 업데이트 함에 따라 변경될 수도 있습니다.

acl wssMercuryConnection ssl::server_name_regex mercury-connection

ssl_bump splice wssMercuryConnection

acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all

새로운 정보와 변경된 정보

새로운 정보와 변경된 정보

이 표에서는 멀티 테넌트 하이브리드 데이터 보안 배포 가이드에서 수정된 새로운 기능이나 기능, 기존 콘텐츠의 변경 사항 및 주요 오류를 다룹니다.

날짜

변경 사항

2025년 5월 8일
2025년 3월 4일

2025년 1월 30일

데이터베이스 서버 요구 사항에서 지원되는 SQL 서버 목록에 SQL 서버 버전 2022가 추가되었습니다.

2025년 1월 15일

다중 테넌트 하이브리드 데이터 보안의 제한 사항을 추가했습니다.

2025년 1월 8일

Partner Hub의 HDS 카드에서 설정 을 클릭하는 것이 설치 프로세스의 중요한 단계라는 내용을 초기 설정 수행 및 설치 파일 다운로드 에 추가했습니다.

2025년 1월 7일

ESXi 7.0의 새로운 요구 사항을 보여주기 위해 가상 호스트 요구 사항, 하이브리드 데이터 보안 배포 작업 흐름HDS 호스트 OVA 설치 가 업데이트되었습니다.

2024년 12월 13일

최초 출판.

멀티 테넌트 하이브리드 데이터 보안 비활성화

다중 테넌트 HDS 비활성화 작업 흐름

다음 단계에 따라 멀티 테넌트 HDS를 완전히 비활성화하세요.

시작하기 전에

이 작업은 파트너 전체 관리자만 수행해야 합니다.
1

테넌트 조직 제거에서 언급한 대로 모든 클러스터에서 모든 고객을 제거합니다.

2

HDS에서 제거된 테넌트의 CMK 취소에서 언급한 대로 모든 고객의 CMK를 취소합니다.

3

노드 제거에서 언급한 대로 모든 클러스터에서 모든 노드를 제거합니다.

4

다음 두 가지 방법 중 하나를 사용하여 Partner Hub에서 모든 클러스터를 삭제하세요.

  • 삭제하려는 클러스터를 클릭하고 개요 페이지의 오른쪽 상단에 있는 이 클러스터 삭제 를 선택합니다.
  • 리소스 페이지에서 클러스터 오른쪽에 있는 …를 클릭하고 클러스터 제거를 선택합니다.
5

하이브리드 데이터 보안 개요 페이지에서 설정 탭을 클릭하고 HDS 상태 카드에서 HDS 비활성화 를 클릭합니다.

멀티 테넌트 하이브리드 데이터 보안 시작하기

멀티 테넌트 하이브리드 데이터 보안 개요

Webex 앱 설계에서는 처음부터 데이터 보안에 중점을 두었습니다. 이러한 보안의 초석은 Webex 앱 클라이언트가 키 관리 서비스(KMS)와 상호 작용하여 구현되는 종단 간 콘텐츠 암호화입니다. KMS는 클라이언트가 메시지 및 파일을 동적으로 암호화하고 해독하는 데 사용하는 암호화 키를 만들고 관리합니다.

기본적으로 모든 Webex 앱 고객은 Cisco 보안 영역의 클라우드 KMS에 저장된 동적 키를 통해 종단 간 암호화를 받습니다. 하이브리드 데이터 보안은 KMS 및 기타 보안 관련 기능을 기업의 데이터 센터로 이동시키기 때문에 암호화된 콘텐츠에는 귀하만 접근할 수 있습니다.

멀티 테넌트 하이브리드 데이터 보안 을 통해 조직은 신뢰할 수 있는 로컬 파트너를 통해 HDS를 활용할 수 있으며, 이 파트너는 서비스 공급자 역할을 하고 온프레미스 암호화 및 기타 보안 서비스를 관리할 수 있습니다. 이러한 설정을 통해 파트너 조직은 암호화 키의 배포 및 관리를 완벽하게 제어할 수 있으며 고객 조직의 사용자 데이터가 외부 액세스로부터 안전하게 보호됩니다. 파트너 조직은 필요에 따라 HDS 인스턴스를 설정하고 HDS 클러스터를 만듭니다. 일반 HDS 배포가 단일 조직으로 제한되는 것과 달리 각 인스턴스는 여러 고객 조직을 지원할 수 있습니다.

파트너 조직은 배포 및 관리를 제어할 수 있지만, 고객이 생성한 데이터와 콘텐츠에는 액세스할 수 없습니다. 이러한 접근은 고객 조직과 해당 사용자에게만 제한됩니다.

신뢰할 수 있는 현지 파트너가 키 관리 서비스와 데이터 센터와 같은 보안 인프라를 소유하므로, 이를 통해 소규모 조직도 HDS를 활용할 수 있습니다.

멀티 테넌트 하이브리드 데이터 보안이 데이터 주권과 데이터 제어를 제공하는 방식

  • 사용자가 생성한 콘텐츠는 클라우드 서비스 제공업체와 마찬가지로 외부 액세스로부터 보호됩니다.
  • 신뢰할 수 있는 현지 파트너는 이미 관계를 구축한 고객의 암호화 키를 관리합니다.
  • 파트너가 제공하는 경우 현지 기술 지원 옵션입니다.
  • 회의, 메시징, 통화 콘텐츠를 지원합니다.

이 문서는 파트너 조직이 멀티 테넌트 하이브리드 데이터 보안 시스템에서 고객을 설정하고 관리하는 데 도움을 주는 것을 목표로 합니다.

멀티 테넌트 하이브리드 데이터 보안의 한계

  • 파트너 조직에는 Control Hub에서 활성화된 기존 HDS 배포가 없어야 합니다.
  • 파트너의 관리를 받고자 하는 테넌트 또는 고객 조직에는 Control Hub에 기존 HDS 배포가 없어야 합니다.
  • 파트너가 멀티 테넌트 HDS를 배포하면 고객 조직의 모든 사용자와 파트너 조직의 사용자는 암호화 서비스에 멀티 테넌트 HDS를 활용하기 시작합니다.

    파트너 조직과 이들이 관리하는 고객 조직은 동일한 멀티 테넌트 HDS 배포에 포함됩니다.

    멀티 테넌트 HDS가 배포된 후에는 파트너 조직에서 더 이상 클라우드 KMS를 사용하지 않습니다.

  • HDS 배포 후에는 키를 Cloud KMS로 다시 이동할 수 있는 메커니즘이 없습니다.
  • 현재 각 멀티 테넌트 HDS 배포에는 여러 노드가 있는 클러스터가 하나만 있을 수 있습니다.
  • 관리자 역할에는 특정한 제한이 있습니다. 자세한 내용은 아래 섹션을 참조하세요.

멀티 테넌트 하이브리드 데이터 보안의 역할

  • 파트너 전체 관리자 - 파트너가 관리하는 모든 고객에 대한 설정을 관리할 수 있습니다. 또한 조직의 기존 사용자에게 관리자 역할을 지정하고 파트너 관리자가 관리할 특정 고객을 지정할 수도 있습니다.
  • 파트너 관리자 - 관리자가 프로비저닝하거나 사용자에게 할당된 고객에 대한 설정을 관리할 수 있습니다.
  • 전체 관리자 - 조직 설정 수정, 라이선스 관리, 역할 할당 등의 작업을 수행할 권한이 있는 파트너 조직의 관리자입니다.
  • 모든 고객 조직의 엔드 투 엔드 멀티 테넌트 HDS 설정 및 관리 - 파트너 전체 관리자 및 전체 관리자 권한이 필요합니다.
  • 할당된 테넌트 조직 관리 - 파트너 관리자 및 전체 관리자 권한이 필요합니다.

보안 영역 아키텍처

Webex 클라우드 아키텍처는 아래에 나와 있는 것처럼 다양한 유형의 서비스를 별도의 영역 또는 신뢰 도메인으로 구분합니다.

분리 영역(하이브리드 데이터 보안 없음)

하이브리드 데이터 보안을 더 잘 이해하기 위해 먼저 Cisco가 클라우드 영역에서 모든 기능을 제공하는 순수 클라우드 사례를 살펴보겠습니다. 아이덴티티 서비스(사용자가 이메일 주소 등의 개인 정보와 직접 연관될 수 있는 유일한 장소)는 논리적, 물리적으로 데이터 센터 B에 있는 보안 영역과 분리됩니다. 따라서 두 부분 모두 데이터 센터 C에서 암호화된 콘텐츠가 궁극적으로 저장되는 영역과 분리됩니다.

이 다이어그램에서 클라이언트는 사용자의 노트북에서 실행되는 Webex 앱이며, ID 서비스로 인증을 받았습니다. 사용자가 스페이스에 보낼 메시지를 작성할 때 다음 단계가 실행됩니다.

  1. 클라이언트는 KMS(Key management service)를 사용하여 보안 연결을 설정한 후 메시지를 해독하기 위해 키를 요청합니다. 보안 연결은 ECDH를 사용하고, KMS는 AES-256 마스터 키를 사용하여 키를 암호화합니다.

  2. 메시지는 클라이언트에게 발송되기 전에 암호화됩니다. 클라이언트는 메시지를 인덱싱 서비스로 보내며, 여기에서 해당 콘텐츠에 대한 향후 검색에서 지원할 암호화된 검색 인덱스를 만듭니다.

  3. 암호화된 메시지는 규정 준수 확인을 위해 준수 서비스로 발송됩니다.

  4. 암호화된 메시지는 스토리지 영역에 저장됩니다.

하이브리드 데이터 보안을 배포하면 보안 영역 기능(KMS, 인덱싱, 규정 준수)이 온프레미스 데이터 센터로 이동합니다. Webex를 구성하는 다른 클라우드 서비스(ID 및 콘텐츠 저장 포함)는 여전히 Cisco의 영역에 속합니다.

다른 조직과 협업

조직의 사용자는 Webex 앱을 정기적으로 사용하여 다른 조직의 외부 참여자와 협업할 수 있습니다. 해당 사용자가 귀하의 조직에서 소유하고 있는 스페이스에 대한 키를 요청하는 경우(귀사의 사용자 중의 한 명이 생성했기 때문), KMS는 ECDH 보안 채널을 통해 해당 클라이언트에게 키를 보냅니다. 하지만 다른 조직이 해당 공간에 대한 키를 소유하고 있는 경우 KMS는 별도의 ECDH 채널을 통해 Webex 클라우드로 요청을 라우팅하여 해당 KMS에서 키를 가져온 다음 원래 채널을 통해 사용자에게 키를 반환합니다.

Org A에서 실행되는 KMS 서비스는 x.509 PKI 인증서를 사용하여 다른 조직의 KMS에 대한 연결을 검증합니다. 다중 테넌트 하이브리드 데이터 보안 배포에 사용할 x.509 인증서를 생성하는 방법에 대한 자세한 내용은 환경 준비 를 참조하세요.

하이브리드 데이터 보안 배포에 대해 예상되는 부분

하이브리드 데이터 보안을 구축하려면 상당한 투자와 암호화 키 소유에 따른 위험에 대한 인식이 필요합니다.

하이브리드 데이터 보안을 배포하려면 다음을 제공해야 합니다.

  • Cisco Webex Teams 플랜에 대해 지원되는 위치인 국가에 있는 보안 데이터 센터입니다.

  • 환경 준비에 설명된 장비, 소프트웨어 및 네트워크 액세스.

하이브리드 데이터 보안을 위해 구축한 구성 ISO나 제공한 데이터베이스가 완전히 손실되면 키가 손실됩니다. 키가 손실되면 사용자는 Webex 앱에서 공간 콘텐츠 및 기타 암호화된 데이터를 해독할 수 없습니다. 이러한 경우, 새로운 배포를 빌드할 수 있지만 새로운 콘텐츠만 표시됩니다. 데이터로의 액세스를 잃지 않으려면 다음을 실행하십시오.

  • 데이터베이스 및 구성 ISO의 백업 및 복구를 관리합니다.

  • 데이터베이스 디스크 장애나 데이터 센터 재해 등의 재난이 발생할 경우 신속한 재해 복구를 수행할 준비를 하세요.

HDS 배포 후에는 키를 클라우드로 다시 옮길 수 있는 메커니즘이 없습니다.

고급 설정 프로세스

이 문서에서는 멀티 테넌트 하이브리드 데이터 보안 배포의 설정 및 관리에 대해 설명합니다.

  • 하이브리드 데이터 보안 설정—여기에는 필요한 인프라 준비 및 하이브리드 데이터 보안 소프트웨어 설치, HDS 클러스터 구축, 클러스터에 테넌트 조직 추가 및 해당 고객 기본 키(CMK) 관리가 포함됩니다. 이를 통해 고객 조직의 모든 사용자가 보안 기능을 위해 하이브리드 데이터 보안 클러스터를 사용할 수 있습니다.

    다음 세 장에서는 설정, 활성화, 관리 단계에 대해 자세히 설명합니다.

  • 하이브리드 데이터 보안 배포 유지—Webex 클라우드는 지속적인 업그레이드를 자동으로 제공합니다. IT 부서는 이 배포에 대한 1단계 지원을 제공하고, 필요에 따라 Cisco 고객 지원과 작업할 수 있습니다. 파트너 허브에서 화면 알림을 사용하고 이메일 기반 알림을 설정할 수 있습니다.

  • 일반적인 경고, 문제 해결 단계 및 알려진 문제 이해— 하이브리드 데이터 보안을 배포하거나 사용하는 데 문제가 발생하는 경우 이 가이드의 마지막 장과 알려진 문제 부록이 문제를 확인하고 해결하는 데 도움이 될 수 있습니다.

하이브리드 데이터 보안 배포 모델

기업 데이터 센터 내에서는 별도의 가상 호스트에 단일 노드 클러스터로 하이브리드 데이터 보안을 배포합니다. 노드는 보안 웹소켓과 보안 HTTP를 통해 Webex 클라우드와 통신합니다.

설치 과정 중에 귀하가 제공하는 VM에 가상 기기를 설정하기 위한 OVA 파일을 제공합니다. HDS Setup 도구를 사용하여 각 노드에서 마운트한 사용자 정의 클러스터 구성 ISO 파일을 만듭니다. 하이브리드 데이터 보안 클러스터는 제공된 Syslogd 서버와 PostgreSQL 또는 Microsoft SQL Server 데이터베이스를 사용합니다. (Syslogd 및 데이터베이스 연결 세부 정보는 HDS 설치 도구에서 구성합니다.)

하이브리드 데이터 보안 배포 모델

한 개의 클러스터에 포함할 수 있는 최소한의 노드 수는 2개입니다. 클러스터당 최소 3개를 권장합니다. 여러 노드가 있으면 노드에서 소프트웨어 업그레이드나 기타 유지 관리 활동 중에 서비스가 중단되지 않습니다. (Webex 클라우드는 한 번에 하나의 노드만 업그레이드합니다.)

클러스터에 있는 모든 노드는 동일한 키 데이터스토어에 액세스하고, 동일한 시스로그 서버에 활동을 로그합니다. 노드 자체는 상태를 저장하지 않으며, 클라우드에서 디렉트된 대로 라운드 로빈 방법으로 키 요청을 처리합니다.

노드는 파트너 허브에 등록하면 활성화됩니다. 개별 노드의 서비스를 중단시키려면 등록 해제하고 나중에 필요할 때 다시 등록할 수 있습니다.

재해 복구를 위한 대기 데이터 센터

배포하는 동안 안전한 대기 데이터 센터를 설정합니다. 데이터 센터 재해가 발생하는 경우 배포를 수동으로 대기 데이터 센터로 장애 조치할 수 있습니다.

장애 조치 전에 데이터 센터 A에는 활성 HDS 노드와 기본 PostgreSQL 또는 Microsoft SQL Server 데이터베이스가 있는 반면, B에는 추가 구성이 포함된 ISO 파일 사본, 조직에 등록된 VM 및 대기 데이터베이스가 있습니다. 장애 조치 후, 데이터 센터 B에는 활성 HDS 노드와 기본 데이터베이스가 있는 반면, 데이터 센터 A에는 등록되지 않은 VM과 ISO 파일 복사본이 있으며, 데이터베이스는 대기 모드에 있습니다.
대기 데이터 센터로의 수동 장애 조치

활성 및 대기 데이터 센터의 데이터베이스는 서로 동기화되므로 장애 조치를 수행하는 데 걸리는 시간이 최소화됩니다.

활성화된 하이브리드 데이터 보안 노드는 항상 활성화된 데이터베이스 서버와 동일한 데이터 센터에 있어야 합니다.

프록시 지원

하이브리드 데이터 보안은 명시적, 투명 검사 및 비-검사 프록시를 지원합니다. 해당 프록시를 배포에 연결하여 기업에서 클라우드로의 트래픽을 안전하게 보호하고 모니터링할 수 있습니다. 인증서 관리에 대해 노드에서 플랫폼 관리 인터페이스를 사용하고, 노드에서 프록시를 설정한 후 전반적인 연결 상태를 확인하기 위해 사용할 수 있습니다.

하이브리드 데이터 보안 노드는 다음 프록시 옵션을 지원합니다.

  • 프록시 없음—HDS 노드 설정 신뢰 저장소를 사용하지 않는 경우 기본값입니다. & 프록시를 통합하기 위한 프록시 구성. 인증서를 업데이트하지 않아도 됩니다.

  • 투명 비검사 프록시— 노드는 특정 프록시 서버 주소를 사용하도록 구성되지 않았으며 비검사 프록시와 함께 작동하기 위해 어떠한 변경도 필요하지 않습니다. 인증서를 업데이트하지 않아도 됩니다.

  • 투명 터널링 또는 검사 프록시—노드가 특정 프록시 서버 주소를 사용하도록 구성되지 않았습니다. 노드에서 HTTP 또는 HTTPS 구성을 변경하지 않아도 됩니다. 단, 노드에 루트 인증서가 있어야 프록시를 신뢰할 수 있습니다. 일반적으로 검사 프록시는 IT가 어떤 웹사이트를 방문할 수 있는지 및 어떤 유형의 콘텐츠가 허용되는지에 대한 정책을 적용하기 위해 사용됩니다. 이러한 유형의 프록시는 모든 트래픽(HTTPS 포함)을 해독합니다.

  • 명시적 프록시—명시적 프록시를 사용하면 HDS 노드에 사용할 프록시 서버와 인증 체계를 알려줍니다. 명시적 프록시를 구성하려면 각 노드에 다음 정보를 입력해야 합니다.

    1. 프록시 IP/FQDN—프록시 머신에 접근하는 데 사용할 수 있는 주소입니다.

    2. 프록시 포트— 프록시가 프록시 트래픽을 수신하는 데 사용하는 포트 번호입니다.

    3. 프록시 프로토콜—프록시 서버가 지원하는 내용에 따라 다음 프로토콜 중에서 선택하세요.

      • HTTP—클라이언트가 전송하는 모든 요청을 확인하고 제어합니다.

      • HTTPS—서버에 채널을 제공합니다. 클라이언트는 서버의 인증서를 수신하고 유효성을 검증합니다.

    4. 인증 유형- 다음 인증 유형 중에서 선택하세요.

      • 없음—추가 인증이 필요하지 않습니다.

        HTTP 또는 HTTPS를 프록시 프로토콜로 선택하는 경우에 사용할 수 있습니다.

      • 기본—HTTP 사용자 에이전트가 요청을 할 때 사용자 이름과 비밀번호를 제공하는 데 사용됩니다. Base64 인코딩을 사용합니다.

        HTTP 또는 HTTPS를 프록시 프로토콜로 선택하는 경우에 사용할 수 있습니다.

        각 노드에서 사용자 이름 및 비밀번호를 입력하도록 요구합니다.

      • 다이제스트— 민감한 정보를 보내기 전에 계정을 확인하는 데 사용됩니다. 네트워크를 통해 전송하기 전에 사용자 이름 및 비밀번호에 해시 기능을 적용합니다.

        HTTPS를 프록시 프로토콜로 선택하는 경우에만 사용할 수 있습니다.

        각 노드에서 사용자 이름 및 비밀번호를 입력하도록 요구합니다.

하이브리드 데이터 보안 노드 및 프록시의 예제

이 다이어그램은 하이브리드 데이터 보안, 네트워크 및 프록시 간의 예제 연결을 표시합니다. 투명 검사 및 HTTPS 명시적 검사 프록시 옵션에 대해 프록시 및 하이브리드 데이터 보안 노드에 동일한 루트 인증서가 설치되어 있어야 합니다.

차단된 외부 DNS 확인 모드 끄기 (명시적 프록시 구성)

노드를 등록하거나 노드의 프록시 구성을 확인할 때 프로세스는 Cisco Webex 클라우드에 대한 DNS 조회 및 연결을 테스트합니다. 내부 클라이언트에 대해 외부 DNS 확인을 허용하지 않는 명시적인 프록시 구성이 포함된 배포에서 노드가 DNS 서버를 쿼리할 수 없는 경우, 이는 자동으로 차단된 외부 DNS 확인 모드로 지정됩니다. 이 모드에서 노드 등록 및 다른 프록시 연결 테스트를 진행할 수 있습니다.

하이브리드 데이터 보안 클러스터 설정

하이브리드 데이터 보안 배포 작업 흐름

시작하기 전에

1

초기 설정을 수행하고 설치 파일을 다운로드합니다.

나중에 사용하려면 OVA 파일을 로컬 컴퓨터에 다운로드하세요.

2

HDS 호스트에 대해 구성 ISO 만들기

HDS 설치 도구를 사용하여 하이브리드 데이터 보안 노드에 대한 ISO 구성 파일을 만듭니다.

3

HDS 호스트 OVA 설치

OVA 파일에서 가상 머신을 만들고 네트워크 설정 등의 초기 구성을 수행합니다.

OVA 배포 중에 네트워크 설정을 구성하는 옵션은 ESXi 7.0 및 8.0에서 테스트되었습니다. 이전 버전에서는 해당 옵션을 사용할 수 없습니다.

4

하이브리드 데이터 보안 VM 설정

VM 콘솔에 로그인하고 로그인 자격 증명을 설정합니다. OVA 배포 시점에 네트워크 설정을 구성하지 않았다면 노드의 네트워크 설정을 구성합니다.

5

HDS 구성 ISO 업로드 및 마운트

HDS 설치 도구로 만든 ISO 구성 파일에서 VM을 구성합니다.

6

프록시 통합에 대해 HDS 노드 구성

네트워크 환경에 프록시 구성이 필요한 경우 노드에 사용할 프록시 유형을 지정하고 필요한 경우 프록시 인증서를 신뢰 저장소에 추가합니다.

7

클러스터의 첫 번째 노드를 등록합니다

Cisco Webex 클라우드에 VM을 하이브리드 데이터 보안 노드로 등록합니다.

8

더 많은 노드를 생성하고 등록하세요

클러스터 설정을 완료합니다.

9

파트너 허브에서 멀티 테넌트 HDS를 활성화합니다.

HDS를 활성화하고 Partner Hub에서 테넌트 조직을 관리하세요.

초기 설정을 수행하고 설치 파일을 다운로드합니다.

이 작업에서는 OVA 파일을 사용자의 컴퓨터(하이브리드 데이터 보안 노드로 설정한 서버가 아님)에 다운로드합니다. 나중에 이 파일을 설치 프로세스에서 사용합니다.

1

파트너 허브에 로그인한 다음 서비스를 클릭합니다.

2

클라우드 서비스 섹션에서 하이브리드 데이터 보안 카드를 찾은 다음 설정을 클릭합니다.

파트너 허브에서 설정 을 클릭하는 것은 배포 프로세스에 중요합니다. 이 단계를 완료하지 않고 설치를 진행하지 마세요.

3

리소스 추가 를 클릭하고 소프트웨어 설치 및 구성 카드에서 .OVA 파일 다운로드 를 클릭합니다.

이전 버전의 소프트웨어 패키지(OVA)는 최신 하이브리드 데이터 보안 업그레이드와 호환되지 않습니다. 이로 인해 애플리케이션을 업그레이드하는 동안 문제가 발생할 수 있습니다. OVA 파일의 최신 버전을 다운로드하세요.

도움말 섹션에서 언제든지 OVA를 다운로드할 수도 있습니다. 설정 을 클릭하세요 > 돕다 > 하이브리드 데이터 보안 소프트웨어를 다운로드하세요.

OVA 파일이 자동으로 다운로드되기 시작합니다. 머신에 있는 위치에 파일을 저장합니다.
4

선택적으로 하이브리드 데이터 보안 배포 가이드 보기 를 클릭하여 이 가이드의 최신 버전이 있는지 확인하세요.

HDS 호스트에 대해 구성 ISO 만들기

하이브리드 데이터 보안 설정 프로세스에서는 ISO 파일이 생성됩니다. 그런 다음 ISO를 사용하여 하이브리드 데이터 보안 호스트를 구성합니다.

시작하기 전에
1

머신의 명령줄에 사용자 환경에 적합한 명령을 입력합니다.

일반 환경:

docker rmi ciscocitg/hds-setup:stable

FedRAMP 환경:

docker rmi ciscocitg/hds-setup-fedramp:stable

이 단계에서는 이전 HDS 설정 도구 이미지를 정리합니다. 이전 이미지가 없는 경우 무시할 수 있는 오류를 반환합니다.

2

Docker 이미지 레지스트리에 로그인하려면 다음을 입력합니다.

docker login -u hdscustomersro
3

비밀번호 프롬프트에 이 해시를 입력합니다.

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

사용자 환경에 맞는 최신 안정 이미지를 다운로드합니다.

일반 환경:

docker pull ciscocitg/hds-setup:stable

FedRAMP 환경:

docker pull ciscocitg/hds-setup-fedramp:stable
5

풀이 완료되면 사용자 환경에 적합한 명령을 입력합니다.

  • 프록시가 없는 일반 환경:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

  • HTTP 프록시가 있는 일반 환경:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • HTTPS 프록시가 있는 일반 환경에서:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • 프록시가 없는 FedRAMP 환경:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • HTTP 프록시가 있는 FedRAMP 환경:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • HTTPS 프록시가 있는 FedRAMP 환경:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

컨테이너가 실행 중일 때 "포트 8080에서 수신하는 Express 서버"가 표시됩니다.

6

설치 도구는 를 통해 localhost에 연결하는 것을 지원하지 않습니다. http://localhost:8080. http://127.0.0.1:8080 를 사용하여 localhost에 연결합니다.

웹 브라우저를 사용하여 로컬호스트 http://127.0.0.1:8080로 이동하고 프롬프트에 Partner Hub의 admin 사용자 이름을 입력합니다.

이 도구는 사용자 이름의 첫 번째 항목을 사용하여 해당 계정에 적합한 환경을 설정합니다. 그러면 도구에서 표준 로그인 프롬프트가 표시됩니다.

7

메시지가 표시되면 Partner Hub 관리자 로그인 자격 증명을 입력한 다음 로그인 을 클릭하여 하이브리드 데이터 보안에 필요한 서비스에 대한 액세스를 허용합니다.

8

설정 도구 개요 페이지에서 시작하기를 클릭합니다.

9

ISO 가져오기 페이지에는 다음 옵션이 있습니다.

  • 아니요—첫 번째 HDS 노드를 생성하는 경우 업로드할 ISO 파일이 없습니다.
  • —이미 HDS 노드를 생성한 경우 찾아보기에서 ISO 파일을 선택하여 업로드합니다.
10

X.509 인증서가 X.509 인증서 요구 사항의 요구 사항을 충족하는지 확인하세요.

  • 이전에 인증서를 업로드한 적이 없다면 X.509 인증서를 업로드하고 비밀번호를 입력한 후 계속을 클릭하세요.
  • 인증서가 정상이면 계속을 클릭하세요.
  • 인증서가 만료되었거나 인증서를 교체하려는 경우 이전 ISO의 HDS 인증서 체인 및 개인 키를 계속 사용하시겠습니까?]에 대해 아니요 ]를 선택하세요. 새로운 X.509 인증서를 업로드하고 비밀번호를 입력한 후 계속을 클릭합니다.
11

HDS가 키 데이터 저장소에 액세스하려면 데이터베이스 주소와 계정을 입력하세요.

  1. 데이터베이스 유형 (PostgreSQL 또는 Microsoft SQL Server)을 선택하세요.

    Microsoft SQL Server를 선택하면 인증 유형 필드가 표시됩니다.

  2. (Microsoft SQL Server 전용) 인증 유형을 선택하십시오. :

    • 기본 인증: 사용자 이름 필드에 로컬 SQL Server 계정 이름이 필요합니다.

    • Windows 인증: username@DOMAIN 사용자 이름 [] 필드에 형식의 Windows 계정이 필요합니다.

  3. : 또는 :형식으로 데이터베이스 서버 주소를 입력하세요.

    예:
    dbhost.example.org:1433 또는 198.51.100.17:1433

    노드가 DNS를 사용하여 호스트 이름을 확인할 수 없는 경우 기본 인증에 IP 주소를 사용할 수 있습니다.

    Windows 인증을 사용하는 경우 다음 형식으로 정규화된 도메인 이름을 입력해야 합니다. dbhost.example.org:1433

  4. 데이터베이스 이름을 입력하세요.

  5. 키 저장 데이터베이스에 대한 모든 권한이 있는 사용자의 사용자 이름비밀번호 를 입력하세요.

12

TLS 데이터베이스 연결 모드를 선택하세요 :

모드

설명

TLS 선호 (기본 옵션)

HDS 노드에서 TLS가 데이터베이스 서버에 연결하도록 요구하지 않습니다. 데이터베이스 서버에서 TLS를 활성화하면 노드는 암호화된 연결을 시도합니다.

TLS 필요

데이터베이스 서버에서 TLS를 협상할 수 있는 경우에만 HDS 노드를 연결합니다.

TLS 필요 및 인증서 서명자 확인

이 모드는 SQL Server 데이터베이스에는 적용할 수 없습니다.

  • 데이터베이스 서버에서 TLS를 협상할 수 있는 경우에만 HDS 노드를 연결합니다.

  • TLS 연결을 설정한 후 노드는 데이터베이스 서버의 인증서 서명자를 데이터베이스 루트 인증서의 인증 기관과 비교합니다. 해당 정보가 일치하지 않으면 노드는 연결을 끊습니다.

이 옵션에 대해 루트 인증서를 업로드하려면 드롭다운 아래에 있는 데이터베이스 루트 인증서 제어를 사용하십시오.

TLS 필요 및 인증서 서명자, 호스트 이름 확인

  • 데이터베이스 서버에서 TLS를 협상할 수 있는 경우에만 HDS 노드를 연결합니다.

  • TLS 연결을 설정한 후 노드는 데이터베이스 서버의 인증서 서명자를 데이터베이스 루트 인증서의 인증 기관과 비교합니다. 해당 정보가 일치하지 않으면 노드는 연결을 끊습니다.

  • 노드는 또한 서버 인증서의 호스트 이름이 데이터베이스 호스트 및 포트 필드의 호스트 이름과 일치하는지 확인합니다. 이름은 정확히 일치해야 하며, 그렇지 않으면 노드가 연결을 끊습니다.

이 옵션에 대해 루트 인증서를 업로드하려면 드롭다운 아래에 있는 데이터베이스 루트 인증서 제어를 사용하십시오.

루트 인증서를 업로드하고 계속을 클릭하면 HDS 설치 도구가 데이터베이스 서버에 대한 TLS 연결을 테스트합니다. 해당 도구는 인증서 서명자 및 호스트 이름도 확인합니다(해당하는 경우). 테스트가 실패하면 도구에서 문제를 설명하는 오류 메시지를 표시합니다. 오류를 무시할지 선택하고 설정을 계속할 수 있습니다. (연결성 차이로 인해 HDS 설치 도구 컴퓨터에서 TLS 연결을 성공적으로 테스트하지 못하더라도 HDS 노드는 TLS 연결을 설정할 수 있습니다.)

13

시스템 로그 페이지에서 Syslogd 서버를 구성합니다.

  1. Syslog 서버 URL을 입력하세요.

    HDS 클러스터의 노드에서 서버를 DNS로 확인할 수 없는 경우 URL에 IP 주소를 사용하세요.

    예:
    udp://10.92.43.23:514 UDP 포트 514에서 Syslogd 호스트 10.92.43.23에 로깅을 나타냅니다.

  2. TLS 암호화를 사용하도록 서버를 설정한 경우 시스템 로그 서버가 SSL 암호화를 위해 구성되어 있습니까?를 선택하십시오.

    이 확인란을 선택하는 경우 tcp://10.92.43.23:514와 같은 TCP URL을 입력해야 합니다.

  3. syslog 레코드 종료 선택 드롭다운에서 ISO 파일에 적합한 설정을 선택하세요. Graylog 및 Rsyslog TCP에서는 Choose 또는 Newline이 사용됩니다.

    • 널 바이트 -- \x00

    • 줄바꿈 -- \n—Graylog 및 Rsyslog TCP의 경우 이 옵션을 선택하세요.

  4. 계속을 클릭합니다.

14

(선택 사항) 고급 설정에서 일부 데이터베이스 연결 매개변수의 기본값을 변경할 수 있습니다. 일반적으로 이 매개변수는 변경하고 싶을 수 있는 유일한 매개변수입니다.

app_datasource_connection_pool_maxSize: 10
15

서비스 계정 비밀번호 재설정 화면에서 계속 을 클릭합니다.

서비스 계정 비밀번호의 유효 기간은 9개월입니다. 비밀번호 만료가 다가오거나 이전 ISO 파일을 무효화하기 위해 비밀번호를 재설정하려는 경우 이 화면을 사용하세요.

16

ISO 파일 다운로드를 클릭합니다. 찾기 쉬운 위치에 파일을 저장하세요.

17

로컬 시스템에 ISO 파일의 백업 사본을 만듭니다.

백업 사본을 안전하게 보관하세요. 이 파일에는 데이터베이스 콘텐츠에 대한 마스터 암호화 키가 포함됩니다. 구성을 변경해야 하는 하이브리드 데이터 보안 관리자에게만 액세스를 제한합니다.

18

설치 도구를 종료하려면 CTRL+C를 입력하세요.

다음에 수행할 작업

구성 ISO 파일을 백업합니다. 복구를 위해 더 많은 노드를 생성하거나 구성을 변경하려면 이것이 필요합니다. ISO 파일의 모든 사본을 잃어버리면 마스터 키도 잃어버리게 됩니다. PostgreSQL 또는 Microsoft SQL Server 데이터베이스에서 키를 복구하는 것은 불가능합니다.

우리는 이 열쇠의 사본을 보관하지 않으며, 열쇠를 분실하더라도 도움을 드릴 수 없습니다.

HDS 호스트 OVA 설치

OVA 파일에서 가상 머신을 만들려면 이 절차를 따르십시오.
1

컴퓨터에서 VMware vSphere 클라이언트를 사용하여 ESXi 가상 호스트에 로그인합니다.

2

파일 > OVF 템플릿 배포를 선택합니다.

3

마법사에서 앞서 다운로드한 OVA 파일의 위치를 지정한 후 다음을 클릭합니다.

4

이름 및 폴더 선택 페이지에서 노드의 가상 머신 이름 을 입력하고(예: "HDS_Node_1"), 가상 머신 노드 배포가 상주할 수 있는 위치를 선택한 다음 다음을 클릭합니다.

5

컴퓨트 리소스 선택 페이지에서 대상 컴퓨팅 리소스를 선택한 후 다음을 클릭합니다.

유효성 검사를 실행합니다. 완료되면 템플릿 세부 정보가 나타납니다.

6

템플릿 세부 정보를 확인한 후 다음을 클릭합니다.

7

구성 페이지에서 리소스 구성을 선택하라는 메시지가 표시되면 4 CPU 를 클릭한 후 다음을 클릭합니다.

8

저장소 선택 페이지에서 다음 을 클릭하여 기본 디스크 형식과 VM 저장소 정책을 수락합니다.

9

네트워크 선택 페이지에서 항목 목록에서 네트워크 옵션을 선택하여 VM에 원하는 연결을 제공합니다.

10

템플릿 사용자 정의 페이지에서 다음 네트워크 설정을 구성합니다.

  • 호스트 이름— 노드의 FQDN(호스트 이름 및 도메인) 또는 단일 단어 호스트 이름을 입력합니다.

    • X.509 인증서를 얻는 데 사용된 도메인과 일치하도록 도메인을 설정할 필요는 없습니다.

    • 클라우드에 성공적으로 등록하려면 노드에 설정하는 FQDN이나 호스트 이름에 소문자만 사용하세요. 현재 대문자 사용은 지원되지 않습니다.

    • FQDN의 총 길이는 64자를 초과하지 말아야 합니다.

  • IP 주소— 노드의 내부 인터페이스에 대한 IP 주소를 입력하세요.

    노드에는 내부 IP 주소 및 DNS 이름이 있어야 합니다. DHCP가 지원되지 않습니다.

  • 마스크—점-십진수 표기법으로 서브넷 마스크 주소를 입력합니다. 예를 들어, 255.255.255.0.
  • 게이트웨이—게이트웨이 IP 주소를 입력하세요. 게이트웨이는 다른 네트워크에 대한 액세스 포인트 역할을 하는 네트워크 노드입니다.
  • DNS 서버— 도메인 이름을 숫자 IP 주소로 변환하는 DNS 서버의 쉼표로 구분된 목록을 입력합니다. (최대 4개의 DNS 항목이 허용됩니다.)
  • NTP 서버— 조직의 NTP 서버 또는 조직에서 사용할 수 있는 다른 외부 NTP 서버를 입력하세요. 기본 NTP 서버는 모든 기업에서 작동하지 않을 수 있습니다. 쉼표로 구분된 목록을 사용하여 여러 NTP 서버를 입력할 수도 있습니다.

  • 관리 목적으로 네트워크의 클라이언트가 클러스터의 모든 노드에 접근할 수 있도록 모든 노드를 동일한 서브넷이나 VLAN에 배포합니다.

원하는 경우 네트워크 설정 구성을 건너뛰고 하이브리드 데이터 보안 VM 설정 의 단계에 따라 노드 콘솔에서 설정을 구성할 수 있습니다.

OVA 배포 중에 네트워크 설정을 구성하는 옵션은 ESXi 7.0 및 8.0에서 테스트되었습니다. 이전 버전에서는 해당 옵션을 사용할 수 없습니다.

11

노드 VM을 마우스 오른쪽 버튼으로 클릭한 후 전원 을 선택합니다. > 전원 켜기.

하이브리드 데이터 보안 소프트웨어는 VM 호스트에 게스트로 설치됩니다. 이제 콘솔에 로그인하고 노드를 구성할 준비가 되었습니다.

문제 해결하기 추가 정보

노드 포함자가 시작되기 전에 몇 분 정도 지연이 발생할 수도 있습니다. 첫 번째 부팅 중에 콘솔에 브리지 방화벽 메시지가 나타나며, 로그인할 수 없습니다.

하이브리드 데이터 보안 VM 설정

이 절차를 사용하여 처음으로 하이브리드 데이터 보안 노드 VM 콘솔에 로그인하고 로그인 자격 증명을 설정하세요. OVA 배포 시점에 네트워크 설정을 구성하지 않은 경우 콘솔을 사용하여 노드의 네트워크 설정을 구성할 수도 있습니다.

1

VMware vSphere 클라이언트에서 하이브리드 데이터 보안 노드 VM을 선택하고 콘솔 탭을 선택합니다.

VM이 부팅되고 로그인 프롬프트가 나타납니다. 로그인 프롬프트가 표시되지 않는 경우엔 Enter를 누릅니다.
2

다음 기본 로그인 및 비밀번호를 사용하여 로그인하고 자격 증명을 변경합니다.

  1. 로그인: admin

  2. 비밀번호: cisco

VM에 처음으로 로그인하고 있기 때문에 관리자 비밀번호를 변경하도록 요구받습니다.

3

HDS 호스트 OVA 설치에서 네트워크 설정을 이미 구성한 경우 이 절차의 나머지 부분을 건너뜁니다. 그렇지 않으면 메인 메뉴에서 구성 편집 옵션을 선택하세요.

4

IP 주소, 마스크, 게이트웨이 및 DNS 정보로 정적 구성을 설정합니다. 노드에는 내부 IP 주소 및 DNS 이름이 있어야 합니다. DHCP가 지원되지 않습니다.

5

(선택 사항) 필요한 경우, 네트워크 정책과 일치하도록 호스트이름, 도메인 또는 NTP 서버를 변경합니다.

X.509 인증서를 얻는 데 사용된 도메인과 일치하도록 도메인을 설정할 필요는 없습니다.

6

네트워크 구성을 저장하고 VM을 다시 부팅하여 변경 사항을 적용합니다.

HDS 구성 ISO 업로드 및 마운트

HDS 설정 도구로 생성한 ISO 파일에서 가상 머신을 구성하려면 이 절차를 따르십시오.

시작하기 전에

ISO 파일에는 마스터 키가 들어 있으므로, 하이브리드 데이터 보안 VM과 변경이 필요한 관리자가 액세스할 수 있도록 "필요에 따라"만 공개해야 합니다. 해당 관리자만 데이터스토어에 액세스할 수 있는지 확인하십시오.

1

컴퓨터에서 ISO 파일을 업로드합니다.

  1. VMware vSphere 클라이언트의 왼쪽 네비게이션 분할 창에서 ESXi 서버를 클릭합니다.

  2. 구성 탭의 하드웨어 목록에서 스토리지를 클릭합니다.

  3. 데이터스토어 목록에서 VM용 데이터스토어를 오른쪽 클릭하고 데이터스토어 찾아보기를 클릭합니다.

  4. 파일 업로드 아이콘을 클릭한 후 파일 업로드을 클릭합니다.

  5. 컴퓨터에서 ISO 파일을 다운로드한 위치를 찾고 열기를 클릭합니다.

  6. 를 클릭하여 업로드/다운로드 작업 경고를 수락하고 데이터스토어 대화 상자를 닫습니다.

2

ISO 파일을 마운트합니다.

  1. VMware vSphere 클라이언트의 왼쪽 네비게이션 분할 창에서 VM을 오른쪽 클릭하고 설정 편집을 클릭합니다.

  2. 확인을 클릭하여 제한된 편집 옵션 경고를 수락합니다.

  3. CD/DVD Drive 1을 클릭하고 데이터 저장소 ISO 파일에서 마운트하는 옵션을 선택한 다음 구성 ISO 파일을 업로드한 위치를 찾습니다.

  4. 연결됨시동될 때 연결을 체크합니다.

  5. 변경 내용을 저장하고 가상 머신을 재부팅합니다.

다음에 수행할 작업

IT 정책에 따라 모든 노드가 구성 변경 사항을 적용한 후 선택적으로 ISO 파일을 마운트 해제할 수 있습니다. 자세한 내용은 (선택 사항) HDS 구성 후 ISO 마운트 해제 를 참조하세요.

프록시 통합에 대해 HDS 노드 구성

네트워크 환경에 프록시가 필요한 경우, 이 절차를 사용하여 하이브리드 데이터 보안에 통합하고자 하는 프록시의 유형을 지정합니다. 투명 검사 프록시 또는 HTTPS 명시적 프록시를 선택하는 경우, 노드의 인터페이스를 사용하여 루트 인증서를 업로드하고 설치할 수 있습니다. 인터페이스에서 프록시 연결을 확인하고 잠재적인 문제를 해결할 수도 있습니다.

시작하기 전에

1

웹 브라우저에 HDS 노드 설정 URL https://[HDS Node IP or FQDN]/setup 을 입력하고, 노드에 대해 설정한 관리자 자격 증명을 입력한 다음 로그인을 클릭합니다.

2

신뢰 저장소 및 프록시로 이동한 후 옵션을 선택합니다.

  • 프록시 없음— 프록시를 통합하기 전의 기본 옵션입니다. 인증서를 업데이트하지 않아도 됩니다.
  • 투명 비검사 프록시—노드는 특정 프록시 서버 주소를 사용하도록 구성되지 않으며 비검사 프록시와 함께 작동하기 위해 어떠한 변경도 요구하지 않습니다. 인증서를 업데이트하지 않아도 됩니다.
  • 투명 검사 프록시—노드는 특정 프록시 서버 주소를 사용하도록 구성되지 않았습니다. 하이브리드 데이터 보안 배포에서 HTTPS 구성을 변경하지 않아도 됩니다. 단, HDS 노드에 루트 인증서가 있어야 프록시를 신뢰할 수 있습니다. 일반적으로 검사 프록시는 IT가 어떤 웹사이트를 방문할 수 있는지 및 어떤 유형의 콘텐츠가 허용되는지에 대한 정책을 적용하기 위해 사용됩니다. 이러한 유형의 프록시는 모든 트래픽(HTTPS 포함)을 해독합니다.
  • 명시적 프록시—명시적 프록시를 사용하면 클라이언트(HDS 노드)에 사용할 프록시 서버를 알려주고 이 옵션은 여러 인증 유형을 지원합니다. 이 옵션을 선택한 후 다음 정보를 입력해야 합니다.

    1. 프록시 IP/FQDN—프록시 머신에 접근하는 데 사용할 수 있는 주소입니다.

    2. 프록시 포트— 프록시가 프록시 트래픽을 수신하는 데 사용하는 포트 번호입니다.

    3. 프록시 프로토콜http (클라이언트에서 수신한 모든 요청을 보고 제어) 또는 https (서버에 채널을 제공하고 클라이언트가 서버의 인증서를 수신하고 검증)를 선택합니다. 프록시 서버가 지원하는 내용에 따라 옵션을 선택합니다.

    4. 인증 유형- 다음 인증 유형 중에서 선택하세요.

      • 없음—추가 인증이 필요하지 않습니다.

        HTTP 또는 HTTPS 프록시를 사용할 수 있습니다.

      • 기본—HTTP 사용자 에이전트가 요청을 할 때 사용자 이름과 비밀번호를 제공하는 데 사용됩니다. Base64 인코딩을 사용합니다.

        HTTP 또는 HTTPS 프록시를 사용할 수 있습니다.

        이 옵션을 선택하는 경우, 사용자 이름 및 비밀번호도 입력해야 합니다.

      • 다이제스트— 민감한 정보를 보내기 전에 계정을 확인하는 데 사용됩니다. 네트워크를 통해 전송하기 전에 사용자 이름 및 비밀번호에 해시 기능을 적용합니다.

        HTTPS 프록시에 대해서만 사용할 수 있습니다.

        이 옵션을 선택하는 경우, 사용자 이름 및 비밀번호도 입력해야 합니다.

투명 검사 프록시, 기본 인증이 포함된 HTTP 명시적 프록시 또는 HTTPS 명시적 프록시에 대해서는 다음 단계를 따르십시오.

3

루트 인증서 또는 최종 엔터티 인증서 업로드를 클릭한 후 탐색하여 프록시에 대한 루트 인증서를 선택합니다.

인증서가 업로드되었지만 아직 설치되지 않았습니다. 인증서를 설치하려면 노드를 재부팅해야 합니다. 인증서 발급자 이름 옆에 있는 갈매기 모양 화살표를 클릭하여 자세한 내용을 확인합니다. 실수가 있었거나 파일을 다시 업로드하려는 경우엔 삭제를 클릭합니다.

4

프록시 연결 확인을 클릭하여 노드와 프록시 간의 네트워크 연결을 테스트합니다.

연결 테스트에 실패하는 경우, 이유 및 문제를 해결할 수 있는 방법을 표시하는 오류 메시지가 나타납니다.

외부 DNS 확인에 실패했다는 메시지가 나타나면 노드가 DNS 서버에 연결하지 못한 것입니다. 이 조건은 다양한 명시적 프록시 구성에서 예상되는 작동입니다. 설정을 계속 진행할 수 있으며, 노드는 차단된 외부 DNS 확인 모드로 작동하게 됩니다. 이것이 오류라고 생각되면 다음 단계를 완료한 다음 차단된 외부 DNS 확인 모드 해제를 참조하세요.

5

연결 테스트를 통과한 후 https로만 설정된 명시적 프록시에 대해 설정을 토글하여 이 노드의 모든 포트 443/444 https 요청을 명시적 프록시를 통해 라우팅합니다. 이 설정이 적용될 때까지 15초 정도 소요됩니다.

6

모든 인증서를 신뢰 저장소에 설치(HTTPS 명시적 프록시 또는 투명 검사 프록시에 대해 나타남) 또는 재부팅(HTTP 명시적 프록시에 대해 나타남)을 클릭하고 안내를 읽은 후 준비되었을 때 설치를 클릭합니다.

노드는 몇 분 내에 재부팅됩니다.

7

노드가 재부팅되면 필요에 따라 다시 로그인한 후 개요 페이지를 열어 연결을 확인하고 모두 녹색 상태인지 확인합니다.

프록시 연결 확인은 webex.com의 하위 도메인만 테스트합니다. 연결에 문제가 있는 경우, 설치 지시 사항에 나열된 일부 클라우드 도메인이 프록시에서 차단되는 것은 일반적인 문제입니다.

클러스터의 첫 번째 노드를 등록합니다

이 작업은 하이브리드 데이터 보안 VM 설정에서 생성한 일반 노드를 가져와서 Webex 클라우드에 노드를 등록하고 하이브리드 데이터 보안 노드로 전환합니다.

첫 번째 노드를 등록할 때 해당 노드가 지정된 클러스터를 만듭니다. 클러스터에는 중복성을 제공하기 위해 배포된 한 개 이상의 노드가 포함되어 있습니다.

시작하기 전에

  • 노드의 등록을 시작하면 60분 이내에 완료해야 합니다. 그렇지 않으면 처음부터 다시 시작해야 합니다.

  • 브라우저의 팝업 차단 기능이 비활성화되어 있는지, 아니면 admin.webex.com에 대한 예외를 허용했는지 확인하세요.

1

https://admin.webex.com에 로그인합니다.

2

화면의 왼쪽에 있는 메뉴에서 서비스를 선택합니다.

3

클라우드 서비스 섹션에서 하이브리드 데이터 보안 카드를 찾아 설정을 클릭합니다.

4

열리는 페이지에서 리소스 추가를 클릭합니다.

5

노드 추가 카드의 첫 번째 필드에 하이브리드 데이터 보안 노드를 할당할 클러스터의 이름을 입력합니다.

지리적으로 클러스터의 노드가 위치한 장소에 기반하여 클러스터의 이름을 지정할 것을 권장합니다. 예: "샌프란시스코" 또는 "뉴욕" 또는 "댈러스"

6

두 번째 필드에 노드의 내부 IP 주소 또는 정규화된 도메인 이름(FQDN)을 입력하고 화면 하단의 추가 를 클릭합니다.

이 IP 주소 또는 FQDN은 하이브리드 데이터 보안 VM 설정에서 사용한 IP 주소 또는 호스트 이름 및 도메인과 일치해야 합니다.

Webex에 노드를 등록할 수 있다는 메시지가 나타납니다.
7

노드로 이동을 클릭합니다.

잠시 후 Webex 서비스에 대한 노드 연결 테스트로 리디렉션됩니다. 모든 테스트에 성공하면 하이브리드 데이터 보안 노드에 대한 액세스 허용 페이지가 나타납니다. 여기에서 Webex 조직에 노드에 대한 액세스 권한을 부여할 것인지 확인합니다.

8

하이브리드 데이터 보안 노드에 액세스 허용 체크 박스에 체크한 후 계속을 클릭합니다.

귀하의 계정이 검증되었으며, "등록 완료" 메시지는 귀하의 노드가 이제 Webex 클라우드에 등록되었음을 나타냅니다.
9

링크를 클릭하거나 탭을 닫아 파트너 허브 하이브리드 데이터 보안 페이지로 돌아가세요.

하이브리드 데이터 보안 페이지에서 등록한 노드가 포함된 새 클러스터가 리소스 탭에 표시됩니다. 노드는 클라우드에서 자동으로 최신 소프트웨어를 다운로드합니다.

더 많은 노드를 생성하고 등록하세요

클러스터에 노드를 추가하려면 추가 VM을 만들고 동일한 구성 ISO 파일을 마운트한 후 노드를 등록하기만 하면 됩니다. 최소한 3개의 노드를 구성할 것을 권장합니다.

시작하기 전에

  • 노드의 등록을 시작하면 60분 이내에 완료해야 합니다. 그렇지 않으면 처음부터 다시 시작해야 합니다.

  • 브라우저의 팝업 차단 기능이 비활성화되어 있는지, 아니면 admin.webex.com에 대한 예외를 허용했는지 확인하세요.

1

HDS 호스트 OVA 설치의 단계를 반복하여 OVA에서 새 가상 머신을 만듭니다.

2

하이브리드 데이터 보안 VM 설정의 단계를 반복하여 새 VM에서 초기 구성을 설정합니다.

3

새 VM에서 HDS 구성 ISO 업로드 및 마운트의 단계를 반복합니다.

4

배포에 대한 프록시를 설정하는 경우 새 노드에 대해 필요에 따라 프록시 통합을 위한 HDS 노드 구성 의 단계를 반복합니다.

5

노드를 등록합니다.

  1. https://admin.webex.com에서 화면 왼쪽의 메뉴에 있는 서비스를 선택합니다.

  2. 클라우드 서비스 섹션에서 하이브리드 데이터 보안 카드를 찾아 모두 보기를 클릭합니다.

    하이브리드 데이터 보안 리소스 페이지가 나타납니다.

  3. 새로 생성된 클러스터는 리소스 페이지에 나타납니다.

  4. 클러스터를 클릭하면 클러스터에 할당된 노드를 볼 수 있습니다.

  5. 화면 오른쪽의 노드 추가 를 클릭하세요.

  6. 노드의 내부 IP 주소 또는 정규화된 도메인 이름(FQDN)을 입력하고 추가를 클릭합니다.

    Webex 클라우드에 노드를 등록할 수 있다는 메시지가 있는 페이지가 열립니다. 잠시 후 Webex 서비스에 대한 노드 연결 테스트로 리디렉션됩니다. 모든 테스트에 성공하면 하이브리드 데이터 보안 노드에 대한 액세스 허용 페이지가 나타납니다. 여기에서 귀하의 조직에 노드에 대한 액세스 권한을 부여할 것인지 확인합니다.

  7. 하이브리드 데이터 보안 노드에 액세스 허용 체크 박스에 체크한 후 계속을 클릭합니다.

    귀하의 계정이 검증되었으며, "등록 완료" 메시지는 귀하의 노드가 이제 Webex 클라우드에 등록되었음을 나타냅니다.

  8. 링크를 클릭하거나 탭을 닫아 파트너 허브 하이브리드 데이터 보안 페이지로 돌아가세요.

    노드 추가됨 팝업 메시지가 파트너 허브 화면 하단에도 나타납니다.

    노드가 등록되었습니다.

멀티 테넌트 하이브리드 데이터 보안에서 테넌트 조직 관리

파트너 허브에서 멀티 테넌트 HDS 활성화

이 작업을 통해 고객 조직의 모든 사용자가 온프레미스 암호화 키 및 기타 보안 서비스를 위해 HDS를 활용할 수 있습니다.

시작하기 전에

필요한 수의 노드로 멀티 테넌트 HDS 클러스터를 설정했는지 확인하세요.

1

https://admin.webex.com에 로그인합니다.

2

화면의 왼쪽에 있는 메뉴에서 서비스를 선택합니다.

3

클라우드 서비스 섹션에서 하이브리드 데이터 보안을 찾아 설정 편집을 클릭합니다.

4

HDS 상태 카드에서 HDS 활성화 를 클릭합니다.

파트너 허브에 테넌트 조직 추가

이 작업에서는 고객 조직을 하이브리드 데이터 보안 클러스터에 할당합니다.

1

https://admin.webex.com에 로그인합니다.

2

화면의 왼쪽에 있는 메뉴에서 서비스를 선택합니다.

3

클라우드 서비스 섹션에서 하이브리드 데이터 보안을 찾아 모두 보기를 클릭합니다.

4

고객을 할당할 클러스터를 클릭합니다.

5

지정된 고객 탭으로 이동합니다.

6

고객 추가를 클릭하세요.

7

드롭다운 메뉴에서 추가하려는 고객을 선택하세요.

8

추가를 클릭하면 고객이 클러스터에 추가됩니다.

9

클러스터에 여러 고객을 추가하려면 6~8단계를 반복합니다.

10

고객을 추가한 후 화면 하단의 완료 를 클릭하세요.

다음에 수행할 작업

HDS 설치 도구를 사용하여 고객 기본 키(CMK) 만들기 에 자세히 설명된 대로 HDS 설치 도구를 실행하여 설치 프로세스를 완료합니다.

HDS 설정 도구를 사용하여 고객 기본 키(CMK) 생성

시작하기 전에

파트너 허브에 테넌트 조직 추가에 자세히 설명된 대로 적절한 클러스터에 고객을 할당합니다. HDS 설치 도구를 실행하여 새로 추가된 고객 조직에 대한 설정 프로세스를 완료합니다.

  • HDS 설정 도구는 로컬 머신에서 Docker 컨테이너로 실행됩니다. 액세스하려면 해당 머신에서 Docker를 실행합니다. 설정 과정에는 귀하의 조직에 대한 전체 관리자 권한이 있는 Partner Hub 계정의 자격 증명이 필요합니다.

    HDS 설치 도구가 사용자 환경의 프록시 뒤에서 실행되는 경우 5단계에서 Docker 컨테이너를 시작할 때 Docker 환경 변수를 통해 프록시 설정(서버, 포트, 자격 증명)을 제공합니다. 이 표는 몇 가지 환경 변수를 제공합니다.

    설명

    변수

    인증되지 않은 HTTP 프록시

    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    인증되지 않은 HTTPS 프록시

    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    인증된 HTTP 프록시

    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

    인증된 HTTPS 프록시

    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

  • 생성한 구성 ISO 파일에는 PostgreSQL 또는 Microsoft SQL Server 데이터베이스를 암호화하는 마스터 키가 포함되어 있습니다. 다음과 같이 구성을 변경할 때마다 이 파일의 최신 사본이 필요합니다.

    • 데이터베이스 자격 증명

    • 인증서 업데이트

    • 권한 정책 변경

  • 데이터베이스 연결을 암호화하려는 경우 TLS에 맞게 PostgreSQL 또는 SQL Server 배포를 설정하세요.

하이브리드 데이터 보안 설정 프로세스에서는 ISO 파일이 생성됩니다. 그런 다음 ISO를 사용하여 하이브리드 데이터 보안 호스트를 구성합니다.

1

머신의 명령줄에 사용자 환경에 적합한 명령을 입력합니다.

일반 환경:

docker rmi ciscocitg/hds-setup:stable

FedRAMP 환경:

docker rmi ciscocitg/hds-setup-fedramp:stable

이 단계에서는 이전 HDS 설정 도구 이미지를 정리합니다. 이전 이미지가 없는 경우 무시할 수 있는 오류를 반환합니다.

2

Docker 이미지 레지스트리에 로그인하려면 다음을 입력합니다.

docker login -u hdscustomersro
3

비밀번호 프롬프트에 이 해시를 입력합니다.

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

사용자 환경에 맞는 최신 안정 이미지를 다운로드합니다.

일반 환경:

docker pull ciscocitg/hds-setup:stable

FedRAMP 환경:

docker pull ciscocitg/hds-setup-fedramp:stable
5

풀이 완료되면 사용자 환경에 적합한 명령을 입력합니다.

  • 프록시가 없는 일반 환경:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

  • HTTP 프록시가 있는 일반 환경:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • HTTPS 프록시가 있는 일반 환경에서:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • 프록시가 없는 FedRAMP 환경:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • HTTP 프록시가 있는 FedRAMP 환경:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • HTTPS 프록시가 있는 FedRAMP 환경:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

컨테이너가 실행 중일 때 "포트 8080에서 수신하는 Express 서버"가 표시됩니다.

6

설치 도구는 를 통해 localhost에 연결하는 것을 지원하지 않습니다. http://localhost:8080. http://127.0.0.1:8080 를 사용하여 localhost에 연결합니다.

웹 브라우저를 사용하여 로컬호스트 http://127.0.0.1:8080로 이동하고 프롬프트에 Partner Hub의 admin 사용자 이름을 입력합니다.

이 도구는 사용자 이름의 첫 번째 항목을 사용하여 해당 계정에 적합한 환경을 설정합니다. 그러면 도구에서 표준 로그인 프롬프트가 표시됩니다.

7

메시지가 표시되면 Partner Hub 관리자 로그인 자격 증명을 입력한 다음 로그인 을 클릭하여 하이브리드 데이터 보안에 필요한 서비스에 대한 액세스를 허용합니다.

8

설정 도구 개요 페이지에서 시작하기를 클릭합니다.

9

ISO 가져오기 페이지에서 를 클릭합니다.

10

브라우저에서 ISO 파일을 선택하여 업로드하세요.

CMK 관리를 수행하려면 데이터베이스에 대한 연결을 확보하세요.
11

테넌트 CMK 관리 탭으로 이동하면 테넌트 CMK를 관리하는 세 가지 방법을 찾을 수 있습니다.

  • 모든 조직에 대한 CMK 생성 또는 CMK 생성 - 화면 상단 배너에서 이 버튼을 클릭하면 새로 추가된 모든 조직에 대한 CMK를 생성할 수 있습니다.
  • 화면 오른쪽의 CMK 관리 버튼을 클릭하고 CMK 생성 을 클릭하여 새로 추가된 모든 조직에 대한 CMK를 생성합니다.
  • 표에서 특정 조직의 CMK 관리 보류 상태 근처에 있는 …를 클릭하고 CMK 생성 을 클릭하여 해당 조직에 대한 CMK를 생성합니다.
12

CMK 생성이 성공하면 테이블의 상태가 CMK 관리 보류 에서 CMK 관리됨으로 변경됩니다.

13

CMK 생성에 실패하면 오류가 표시됩니다.

테넌트 조직 제거

시작하기 전에

제거되면 고객 조직의 사용자는 암호화 요구 사항을 충족하기 위해 HDS를 활용할 수 없으며 기존 공간을 모두 잃게 됩니다. 고객 조직을 제거하기 전에 Cisco 파트너나 계정 관리자에게 문의하세요.

1

https://admin.webex.com에 로그인합니다.

2

화면의 왼쪽에 있는 메뉴에서 서비스를 선택합니다.

3

클라우드 서비스 섹션에서 하이브리드 데이터 보안을 찾아 모두 보기를 클릭합니다.

4

리소스 탭에서 고객 조직을 제거하려는 클러스터를 클릭합니다.

5

열리는 페이지에서 할당된 고객을 클릭합니다.

6

표시된 고객 조직 목록에서 제거하려는 고객 조직의 오른쪽에 있는 ... 을 클릭하고 클러스터에서 제거를 클릭합니다.

다음에 수행할 작업

[ HDS에서 제거된 테넌트의 CMK 취소에 자세히 설명된 대로 고객 조직의 CMK를 취소하여 제거 프로세스를 완료합니다.

HDS에서 제거된 테넌트의 CMK를 취소합니다.

시작하기 전에

테넌트 조직 제거에 자세히 설명된 대로 해당 클러스터에서 고객을 제거합니다. HDS 설치 도구를 실행하여 제거된 고객 조직에 대한 제거 프로세스를 완료합니다.

  • HDS 설정 도구는 로컬 머신에서 Docker 컨테이너로 실행됩니다. 액세스하려면 해당 머신에서 Docker를 실행합니다. 설정 과정에는 귀하의 조직에 대한 전체 관리자 권한이 있는 Partner Hub 계정의 자격 증명이 필요합니다.

    HDS 설치 도구가 사용자 환경의 프록시 뒤에서 실행되는 경우 5단계에서 Docker 컨테이너를 시작할 때 Docker 환경 변수를 통해 프록시 설정(서버, 포트, 자격 증명)을 제공합니다. 이 표는 몇 가지 환경 변수를 제공합니다.

    설명

    변수

    인증되지 않은 HTTP 프록시

    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    인증되지 않은 HTTPS 프록시

    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    인증된 HTTP 프록시

    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

    인증된 HTTPS 프록시

    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

  • 생성한 구성 ISO 파일에는 PostgreSQL 또는 Microsoft SQL Server 데이터베이스를 암호화하는 마스터 키가 포함되어 있습니다. 다음과 같이 구성을 변경할 때마다 이 파일의 최신 사본이 필요합니다.

    • 데이터베이스 자격 증명

    • 인증서 업데이트

    • 권한 정책 변경

  • 데이터베이스 연결을 암호화하려는 경우 TLS에 맞게 PostgreSQL 또는 SQL Server 배포를 설정하세요.

하이브리드 데이터 보안 설정 프로세스에서는 ISO 파일이 생성됩니다. 그런 다음 ISO를 사용하여 하이브리드 데이터 보안 호스트를 구성합니다.

1

머신의 명령줄에 사용자 환경에 적합한 명령을 입력합니다.

일반 환경:

docker rmi ciscocitg/hds-setup:stable

FedRAMP 환경:

docker rmi ciscocitg/hds-setup-fedramp:stable

이 단계에서는 이전 HDS 설정 도구 이미지를 정리합니다. 이전 이미지가 없는 경우 무시할 수 있는 오류를 반환합니다.

2

Docker 이미지 레지스트리에 로그인하려면 다음을 입력합니다.

docker login -u hdscustomersro
3

비밀번호 프롬프트에 이 해시를 입력합니다.

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

사용자 환경에 맞는 최신 안정 이미지를 다운로드합니다.

일반 환경:

docker pull ciscocitg/hds-setup:stable

FedRAMP 환경:

docker pull ciscocitg/hds-setup-fedramp:stable
5

풀이 완료되면 사용자 환경에 적합한 명령을 입력합니다.

  • 프록시가 없는 일반 환경:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

  • HTTP 프록시가 있는 일반 환경:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • HTTPS 프록시가 있는 일반 환경에서:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • 프록시가 없는 FedRAMP 환경:

    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • HTTP 프록시가 있는 FedRAMP 환경:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • HTTPS 프록시가 있는 FedRAMP 환경:

    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

컨테이너가 실행 중일 때 "포트 8080에서 수신하는 Express 서버"가 표시됩니다.

6

설치 도구는 를 통해 localhost에 연결하는 것을 지원하지 않습니다. http://localhost:8080. http://127.0.0.1:8080 를 사용하여 localhost에 연결합니다.

웹 브라우저를 사용하여 로컬호스트 http://127.0.0.1:8080로 이동하고 프롬프트에 Partner Hub의 admin 사용자 이름을 입력합니다.

이 도구는 사용자 이름의 첫 번째 항목을 사용하여 해당 계정에 적합한 환경을 설정합니다. 그러면 도구에서 표준 로그인 프롬프트가 표시됩니다.

7

메시지가 표시되면 Partner Hub 관리자 로그인 자격 증명을 입력한 다음 로그인 을 클릭하여 하이브리드 데이터 보안에 필요한 서비스에 대한 액세스를 허용합니다.

8

설정 도구 개요 페이지에서 시작하기를 클릭합니다.

9

ISO 가져오기 페이지에서 를 클릭합니다.

10

브라우저에서 ISO 파일을 선택하여 업로드하세요.

11

테넌트 CMK 관리 탭으로 이동하면 테넌트 CMK를 관리하는 세 가지 방법을 찾을 수 있습니다.

  • 모든 조직에 대한 CMK 취소 또는 CMK 취소 - 화면 상단 배너의 이 버튼을 클릭하면 제거된 모든 조직의 CMK를 취소할 수 있습니다.
  • 화면 오른쪽의 CMK 관리 버튼을 클릭하고 CMK 취소 를 클릭하면 제거된 모든 조직의 CMK가 취소됩니다.
  • 표에서 특정 조직의 CMK 취소 상태 근처의 를 클릭하고 CMK 취소 를 클릭하여 해당 특정 조직의 CMK를 취소합니다.
12

CMK 취소가 성공적으로 완료되면 고객 조직이 더 이상 표에 나타나지 않습니다.

13

CMK 취소에 실패하면 오류가 표시됩니다.

하이브리드 데이터 보안 배포 테스트

하이브리드 데이터 보안 배포 테스트

이 절차를 사용하여 다중 테넌트 하이브리드 데이터 보안 암호화 시나리오를 테스트합니다.

시작하기 전에

  • 멀티 테넌트 하이브리드 데이터 보안 배포를 설정하세요.

  • 다중 테넌트 하이브리드 데이터 보안 배포에 주요 요청이 전달되는지 확인하려면 syslog에 액세스할 수 있는지 확인하세요.

1

특정 스페이스에 대한 키는 스페이스의 생성자가 설정합니다. 고객 조직 사용자 중 한 명으로 Webex 앱에 로그인한 다음 공간을 만듭니다.

하이브리드 데이터 보안 배포를 비활성화하면 암호화 키의 클라이언트 캐시 사본이 교체된 후에는 사용자가 만든 공간의 콘텐츠에 더 이상 액세스할 수 없습니다.

2

새로운 스페이스로 메시지를 보내십시오.

3

Syslog 출력을 확인하여 주요 요청이 Hybrid Data Security 배포에 전달되는지 확인하세요.

새로 추가된 고객 조직의 사용자가 어떤 작업을 수행하면 해당 조직의 조직 ID가 로그에 나타나고, 이를 사용하여 해당 조직이 멀티 테넌트 HDS를 활용하고 있는지 확인할 수 있습니다. syslog에서 kms.data.orgId 값을 확인하세요.

  1. KMS에 대한 보안 채널을 먼저 설정한 사용자를 확인하려면 kms.data.method=createkms.data.type=EPHEMERAL_KEY_COLLECTION를 필터링합니다. :

    다음과 같은 입력값을 검색해야 합니다(가독성을 위해 식별자는 짧게 표현됨).
    2025-04-10 04:38:20.208 (+0000) INFO  KMS [pool-19-thread-13] - [KMS:REQUEST] received, deviceId: 
https://wdm-a.wbx2.com/wdm/api/v1/devices/4[~]5 ecdheKid: kms://collabdemoorg.cisco.com/statickeys/8[~]3 
clusterConnection: prodachm::0 orgId: 2[~]b (EncryptionKmsMessageHandler.java:558) WEBEX_TRACKINGID=webex-web-client_0[~]6,
 kms.data.method=create, kms.merc.id=d[~]7, kms.merc.sync=false, kms.data.uriHost=collabdemoorg.cisco.com, 
kms.data.type=EPHEMERAL_KEY_COLLECTION, kms.data.requestId=1[~]f, kms.data.orgId=2[~]b,
 kms.data.uri=kms://collabdemoorg.cisco.com/ecdhe, kms.data.userId=1[~]f, kms.data.httpUserAgent=[~]

  2. KMS에서 기존 키를 요청하는 사용자를 확인하려면 kms.data.method=retrievekms.data.type=KEY를 필터링합니다. :

    다음과 같은 입력값을 검색해야 합니다.
    2025-04-10 04:38:24.144 (+0000) INFO  KMS [pool-19-thread-26] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/4[~]5
 ecdheKid: kms://collabdemoorg.cisco.com/ecdhe/b[~]9 clusterConnection: prodachm::0 orgId: 2[~]b (EncryptionKmsMessageHandler.java:558)
 WEBEX_TRACKINGID=webex-web-client_0[~]0, kms.data.method=retrieve, kms.merc.id=5[~]3, kms.merc.sync=false,
 kms.data.uriHost=collabdemoorg.cisco.com, kms.data.type=KEY, kms.data.requestId=4[~]7, kms.data.orgId=2[~]b,
 kms.data.uri=kms://collabdemoorg.cisco.com/keys/2[~]e, kms.data.userId=1[~]f, kms.data.httpUserAgent=[~]

  3. 새 KMS 키 생성을 요청하는 사용자를 확인하려면 kms.data.method=createkms.data.type=KEY_COLLECTION를 필터링하세요. :

    다음과 같은 입력값을 검색해야 합니다.
    2025-04-10 04:42:22.739 (+0000) INFO  KMS [pool-19-thread-29] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/4[~]5
 ecdheKid: kms://collabdemoorg.cisco.com/ecdhe/b[~]9 clusterConnection: prodachm::7 orgId: 2[~]b
 (EncryptionKmsMessageHandler.java:558) WEBEX_TRACKINGID=webex-web-client_0[~]3, kms.data.method=create, 
kms.merc.id=6[~]4, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, kms.data.requestId=6[~]4, 
kms.data.orgId=2[~]b, kms.data.uri=/keys, kms.data.userId=1[~]f, kms.data.httpUserAgent=[~]

  4. 공간 또는 기타 보호 리소스가 생성될 때 새 KMS 리소스 개체(KRO) 생성을 요청하는 사용자를 확인하려면 kms.data.method=createkms.data.type=RESOURCE_COLLECTION를 필터링합니다. :

    다음과 같은 입력값을 검색해야 합니다. 
    2025-04-10 04:42:23.690 (+0000) INFO  KMS [pool-19-thread-31] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/3[~]6 ecdheKid: kms://collabdemoorg.cisco.com/ecdhe/b[~]9 
clusterConnection: prodachm::1 orgId: 2[~]b (EncryptionKmsMessageHandler.java:558) WEBEX_TRACKINGID=webex-web-client_0[~]2,
 kms.data.method=create, kms.merc.id=3[~]0, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
kms.data.requestId=5[~]8, kms.data.orgId=2[~]b, kms.data.uri=/resources, kms.data.userId=1[~]f, kms.data.httpUserAgent=conversation

하이브리드 데이터 보안 상태 모니터

파트너 허브의 상태 표시기는 멀티 테넌트 하이브리드 데이터 보안 배포가 정상적으로 진행되고 있는지 여부를 보여줍니다. 보다 적극적으로 경고를 받으려면 이메일 알림을 신청하십시오. 서비스에 영향을 미치는 경보 또는 소프트웨어 업그레이드가 있을 때 알림을 받습니다.
1

파트너 허브에서 화면 왼쪽 메뉴에서 서비스 를 선택하세요.

2

클라우드 서비스 섹션에서 하이브리드 데이터 보안을 찾아 설정 편집을 클릭합니다.

하이브리드 데이터 보안 설정 페이지가 나타납니다.
3

이메일 알림 섹션에서 한 개 이상의 이메일 주소를 쉼표로 구분하여 입력하고 Enter를 누릅니다.

HDS 배포 관리

HDS 배포 관리

여기에 설명된 작업을 사용하여 하이브리드 데이터 보안 배포를 관리하세요.

클러스터 업그레이드 예약 설정

하이브리드 데이터 보안을 위한 소프트웨어 업그레이드는 클러스터 수준에서 자동으로 수행되므로 모든 노드가 항상 동일한 소프트웨어 버전을 실행하도록 보장합니다. 업그레이드는 클러스터에 대한 업그레이드 스케줄에 따라 실행됩니다. 소프트웨어 업그레이드가 사용 가능해지면 예약된 업그레이드 시간 전에 클러스터를 수동으로 업그레이드할 수 있는 옵션이 주어집니다. 특정 업그레이드 스케줄을 설정하거나 미국: 아메리카/로스앤젤레스 매일 3:00 AM 기본 스케줄을 사용할 수 있습니다. 필요에 따라 예정된 업그레이드를 연기하도록 선택할 수도 있습니다.

업그레이드 예약을 설정하려면:

1

Partner Hub에 로그인합니다.

2

화면의 왼쪽에 있는 메뉴에서 서비스를 선택합니다.

3

클라우드 서비스 섹션에서 하이브리드 데이터 보안을 찾아 설정을 클릭합니다.

4

하이브리드 데이터 보안 리소스 페이지에서 클러스터를 선택합니다.

5

클러스터 설정 탭을 클릭합니다.

6

클러스터 설정 페이지의 업그레이드 일정에서 업그레이드 일정에 대한 시간과 시간대를 선택합니다.

참고: 시간대 아래에 다음 사용 가능한 업그레이드 날짜 및 시간이 표시됩니다. 필요한 경우 24시간 연기를 클릭하여 업그레이드를 다음 날로 연기할 수 있습니다.

노드 구성 변경

경우에 따라 다음과 같은 이유로 하이브리드 데이터 보안 노드의 구성을 변경해야 할 수도 있습니다.

  • 만료 또는 기타 이유로 인해 x.509 인증서 변경.

    인증서의 CN 도메인 이름 변경을 지원하지 않습니다. 도메인은 클러스터에 등록하기 위해 사용된 원래 도메인과 일치해야 합니다.

  • PostgreSQL 또는 Microsoft SQL Server 데이터베이스의 복제본으로 변경하도록 데이터베이스 설정 업데이트.

    PostgreSQL에서 Microsoft SQL Server로 또는 그 반대로 데이터 마이그레이션을 지원하지 않습니다. 데이터베이스 환경을 전환하려면 하이브리드 데이터 보안의 새로운 배포를 시작합니다.

  • 새 데이터 센터를 준비하기 위해 새 구성 생성.

또한 보안상의 이유로 하이브리드 데이터 보안은 수명이 9개월인 서비스 계정 비밀번호를 사용합니다. HDS 설정 도구가 이러한 비밀번호를 생성하면 이를 ISO 구성 파일의 각 HDS 노드에 배포합니다. 조직의 비밀번호 만료일이 가까워지면 Webex 팀으로부터 머신 계정의 비밀번호를 재설정하라는 통지를 받습니다. (이메일에는 "머신 계정 API를 사용하여 비밀번호를 업데이트합니다."라는 텍스트가 포함됩니다.) 비밀번호가 아직 만료되지 않은 경우 도구는 다음 두 가지 옵션을 제공합니다.

  • 소프트 리셋—기존 비밀번호와 새 비밀번호는 모두 최대 10일 동안 유효합니다. 이 기간을 사용하여 노드에서 ISO 파일을 점진적으로 교체합니다.

  • 하드 리셋—이전 비밀번호가 즉시 작동하지 않습니다.

비밀번호가 재설정 없이 만료되는 경우 HDS 서비스에 영향을 미치므로 즉시 하드 재설정을 수행하고 모든 노드에서 ISO 파일을 교체해야 합니다.

새 구성 ISO 파일을 생성하고 클러스터에 적용하려면 이 절차를 따르십시오.

시작하기 전에

  • HDS 설정 도구는 로컬 머신에서 Docker 컨테이너로 실행됩니다. 액세스하려면 해당 머신에서 Docker를 실행합니다. 설정 프로세스에는 파트너 전체 관리자 권한이 있는 Partner Hub 계정의 자격 증명이 필요합니다.

    Docker Desktop 라이선스가 없으면 Podman Desktop을 사용하여 아래 절차의 1.a~1.e 단계에 대한 HDS 설치 도구를 실행할 수 있습니다. 자세한 내용은 Podman Desktop을 사용하여 HDS 설치 도구 실행 을 참조하세요.

    HDS 설치 도구가 사용자 환경의 프록시 뒤에서 실행되는 경우 1.e에서 Docker 컨테이너를 시작할 때 Docker 환경 변수를 통해 프록시 설정(서버, 포트, 자격 증명)을 제공합니다. 이 표는 몇 가지 환경 변수를 제공합니다.

    설명

    변수

    인증되지 않은 HTTP 프록시

    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    인증되지 않은 HTTPS 프록시

    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    인증된 HTTP 프록시

    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

    인증된 HTTPS 프록시

    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

  • 새 구성을 생성하려면 현재 구성 ISO 파일의 사본이 필요합니다. ISO에는 PostgreSQL 또는 Microsoft SQL Server 데이터베이스를 암호화하는 마스터 키가 포함되어 있습니다. 데이터베이스 자격 증명, 인증서 업데이트 또는 인증 정책 변경을 포함하여 구성을 변경할 때 ISO가 필요합니다.

1

로컬 머신에서 Docker를 사용하여 HDS 설정 도구를 실행합니다.

  1. 머신의 명령줄에 사용자 환경에 적합한 명령을 입력합니다.

    일반 환경:

    docker rmi ciscocitg/hds-setup:stable

    FedRAMP 환경:

    docker rmi ciscocitg/hds-setup-fedramp:stable

    이 단계에서는 이전 HDS 설정 도구 이미지를 정리합니다. 이전 이미지가 없는 경우 무시할 수 있는 오류를 반환합니다.

  2. Docker 이미지 레지스트리에 로그인하려면 다음을 입력합니다.

    docker login -u hdscustomersro

  3. 비밀번호 프롬프트에 이 해시를 입력합니다.

    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

  4. 사용자 환경에 맞는 최신 안정 이미지를 다운로드합니다.

    일반 환경:

    docker pull ciscocitg/hds-setup:stable

    FedRAMP 환경:

    docker pull ciscocitg/hds-setup-fedramp:stable

    이 절차에 대해 최신 설정 도구를 사용하고 있는지 확인하십시오. 2018년 2월 22일 이전에 생성된 도구의 버전에는 비밀번호 재설정 화면이 없습니다.

  5. 풀이 완료되면 사용자 환경에 적합한 명령을 입력합니다.

    • 프록시가 없는 일반 환경:

      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

    • HTTP 프록시가 있는 일반 환경:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • HTTPS 프록시가 있는 일반 환경:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • 프록시가 없는 FedRAMP 환경:

      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

    • HTTP 프록시가 있는 FedRAMP 환경:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    • HTTPS 프록시가 있는 FedRAMP 환경:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    컨테이너가 실행 중일 때 "포트 8080에서 수신하는 Express 서버"가 표시됩니다.

  6. 브라우저를 사용하여 로컬 호스트 http://127.0.0.1:8080에 연결합니다.

    설치 도구는 를 통해 localhost에 연결하는 것을 지원하지 않습니다. http://localhost:8080. http://127.0.0.1:8080 를 사용하여 localhost에 연결합니다.

  7. 메시지가 표시되면 Partner Hub 고객 로그인 자격 증명을 입력한 다음 수락 을 클릭하여 계속하세요.

  8. 현재 구성 ISO 파일을 가져옵니다.

  9. 안내에 따라 도구를 완료하고 업데이트된 파일을 다운로드합니다.

    설치 도구를 종료하려면 CTRL+C를 입력하세요.

  10. 다른 데이터 센터에서 업데이트된 파일의 백업 복사본을 만듭니다.

2

HDS 노드가 하나만 실행 중이면새 Hybrid Data Security 노드 VM을 만들고 새 구성 ISO 파일을 사용하여 등록합니다. 자세한 지침은 추가 노드 생성 및 등록을 참조하세요.

  1. HDS 호스트 OVA를 설치합니다.

  2. HDS VM을 설정합니다.

  3. 업데이트된 구성 파일을 마운트합니다.

  4. 파트너 허브에 새로운 노드를 등록합니다.

3

이전 구성 파일을 실행하고 있는 기존 HDS 노드의 경우 ISO 파일을 탑재합니다. 각 노드에서 다음 절차를 차례로 수행하여 다음 노드를 끄기 전에 각 노드를 업데이트합니다.

  1. 가상 머신의 전원을 끕니다.

  2. VMware vSphere 클라이언트의 왼쪽 네비게이션 분할 창에서 VM을 오른쪽 클릭하고 설정 편집을 클릭합니다.

  3. CD/DVD Drive 1을 클릭하고 ISO 파일에서 마운트하는 옵션을 선택한 다음 새 구성 ISO 파일을 다운로드한 위치를 찾습니다.

  4. 시동될 때 연결을 체크합니다.

  5. 변경 사항을 저장하고 가상 머신의 전원을 켭니다.

4

이전 구성을 실행하고 있는 나머지 각 노드에서 구성을 바꾸려면 3 단계를 반복하십시오.

차단된 외부 DNS 확인 모드 끄기

노드를 등록하거나 노드의 프록시 구성을 확인할 때 프로세스는 Cisco Webex 클라우드에 대한 DNS 조회 및 연결을 테스트합니다. 노드의 DNS 서버에서 공용 DNS 이름을 확인할 수 없는 경우, 노드는 자동으로 차단된 외부 DNS 확인 모드로 지정됩니다.

노드에서 내부 DNS 서버를 통해 공용 DNS 이름을 확인할 수 있는 경우, 각 노드에서 프록시 연결 테스트를 다시 실행하여 이 모드를 끌 수 있습니다.

시작하기 전에

내부 DNS 서버가 공용 DNS 이름을 확인할 수 있으며, 노드가 해당 서버와 통신할 수 있는지 확인합니다.
1

웹 브라우저에서 하이브리드 데이터 보안 노드 인터페이스(IP)를 엽니다. address/setup, 예를 들어, https://192.0.2.0/setup), 노드에 대해 설정한 관리자 자격 증명을 입력한 다음 로그인을 클릭합니다.

2

개요 (기본 페이지)로 이동합니다.

활성화되면 차단된 외부 DNS 확인로 설정됩니다.

3

신뢰 저장소 및 프록시 페이지로 이동합니다.

4

프록시 연결 확인을 클릭합니다.

외부 DNS 확인에 실패했다는 메시지가 나타나면 노드가 DNS 서버에 연결하지 못한 것이며, 이 모드에서 유지됩니다. 그렇지 않은 경우, 노드를 재부팅하고 개요 페이지로 돌아가면 차단된 외부 DNS 확인은 아니요로 설정됩니다.

다음에 수행할 작업

하이브리드 데이터 보안 클러스터의 각 노드에서 프록시 연결 테스트를 반복합니다.

노드 제거

이 절차를 사용하여 Webex 클라우드에서 하이브리드 데이터 보안 노드를 제거하세요. 클러스터에서 노드를 제거한 후에는 가상 머신을 삭제하여 보안 데이터에 더 이상 액세스하지 못하도록 하세요.
1

컴퓨터에서 VMware vSphere 클라이언트를 사용하여 ESXi 가상 호스트에 로그인하고 가상 머신의 전원을 끕니다.

2

노드를 제거합니다.

  1. 파트너 허브에 로그인한 다음 서비스를 선택하세요.

  2. 하이브리드 데이터 보안 카드에서 모두 보기 를 클릭하여 하이브리드 데이터 보안 리소스 페이지를 표시합니다.

  3. 클러스터를 선택하면 개요 패널이 표시됩니다.

  4. 제거할 노드를 클릭합니다.

  5. 오른쪽에 나타나는 패널에서 이 노드 등록 취소 를 클릭하세요.

  6. 노드 오른쪽에 있는 …를 클릭하고 이 노드 제거를 선택하여 노드 등록을 취소할 수도 있습니다.

3

vSphere 클라이언트에서 VM을 삭제합니다. (왼쪽 탐색 창에서 VM을 마우스 오른쪽 버튼으로 클릭하고 삭제를 클릭합니다.)

VM을 삭제하지 않으면 구성 ISO 파일을 마운트 해제하는 것을 잊지 마세요. ISO 파일이 없으면 VM을 사용하여 보안 데이터에 액세스할 수 없습니다.

대기 데이터 센터를 사용한 재해 복구

하이브리드 데이터 보안 클러스터가 제공하는 가장 중요한 서비스는 Webex 클라우드에 저장된 메시지 및 기타 콘텐츠를 암호화하는 데 사용되는 키를 생성하고 저장하는 것입니다. 조직 내에서 하이브리드 데이터 보안에 할당된 각 사용자에 대해 새로운 키 생성 요청이 클러스터로 라우팅됩니다. 또한 클러스터는 생성된 키를 검색할 권한이 있는 모든 사용자(예: 대화 스페이스의 구성원)에게 해당 키를 반환해야 합니다.

클러스터는 이러한 키를 제공하는 중요한 기능을 수행하므로, 클러스터가 계속 실행되고 올바른 백업이 유지관리되어야 합니다. 하이브리드 데이터 보안 데이터베이스가 손실되거나 스키마에 사용된 구성 ISO가 손실되면 고객 콘텐츠가 복구 불가능한 상태로 손실됩니다. 다음 실행은 이러한 유실을 방지하기 위해 필수적입니다.

재해로 인해 기본 데이터 센터에 배포된 HDS를 사용할 수 없게 되면 이 절차에 따라 수동으로 대기 데이터 센터로 장애 조치를 취합니다.

시작하기 전에

노드 제거에 언급된 대로 파트너 허브에서 모든 노드를 등록 해제합니다. 이전에 활성화되었던 클러스터의 노드에 대해 구성된 최신 ISO 파일을 사용하여 아래에 언급된 장애 조치 절차를 수행합니다.
1

HDS 설치 도구를 시작하고 HDS 호스트에 대한 구성 ISO 만들기에 언급된 단계를 따르세요.

2

구성 과정을 완료하고 찾기 쉬운 위치에 ISO 파일을 저장합니다.

3

로컬 시스템에 ISO 파일의 백업 사본을 만듭니다. 백업 사본을 안전하게 보관하세요. 이 파일에는 데이터베이스 콘텐츠에 대한 마스터 암호화 키가 포함됩니다. 구성을 변경해야 하는 하이브리드 데이터 보안 관리자에게만 액세스를 제한합니다.

4

VMware vSphere 클라이언트의 왼쪽 네비게이션 분할 창에서 VM을 오른쪽 클릭하고 설정 편집을 클릭합니다.

5

설정 편집을 클릭하세요 >CD/DVD 드라이브 1 을 선택하고 데이터 저장소 ISO 파일을 선택합니다.

노드를 시작한 후 업데이트된 구성 변경 사항을 적용할 수 있도록 연결됨전원 켜짐 시 연결 이 선택되어 있는지 확인하세요.

6

HDS 노드의 전원을 켜고 최소 15분 동안 알람이 발생하지 않는지 확인하세요.

7

파트너 허브에 노드를 등록합니다. 클러스터의 첫 번째 노드를 등록합니다.

8

대기 데이터 센터의 모든 노드에 대해 이 과정을 반복합니다.

다음에 수행할 작업

장애 조치 후 기본 데이터 센터가 다시 활성화되면 대기 데이터 센터의 노드 등록을 해제하고 위에서 언급한 대로 ISO 구성 및 기본 데이터 센터의 노드 등록 프로세스를 반복합니다.

(선택 사항) HDS 구성 후 ISO 마운트 해제

표준 HDS 구성은 ISO가 마운트된 상태로 실행됩니다. 하지만 일부 고객은 ISO 파일을 계속해서 마운트하는 것을 선호하지 않습니다. 모든 HDS 노드가 새로운 구성을 선택한 후에 ISO 파일을 마운트 해제할 수 있습니다.

구성을 변경하려면 여전히 ISO 파일을 사용합니다. 설치 도구를 통해 새 ISO를 생성하거나 ISO를 업데이트하는 경우 모든 HDS 노드에 업데이트된 ISO를 마운트해야 합니다. 모든 노드가 구성 변경 사항을 적용하면 이 절차를 통해 ISO를 다시 마운트 해제할 수 있습니다.

시작하기 전에

모든 HDS 노드를 2021.01.22.4720 이상으로 업그레이드하세요.

1

HDS 노드 중 하나를 종료합니다.

2

vCenter Server Appliance에서 HDS 노드를 선택합니다.

3

설정 편집 을 선택하세요 > CD/DVD 드라이브선택 하고 데이터 저장소 ISO 파일의 선택을 취소합니다.

4

HDS 노드의 전원을 켜고 최소 20분 동안 알람이 발생하지 않는지 확인하세요.

5

각 HDS 노드에 대해 차례로 반복합니다.

하이브리드 데이터 보안 문제 해결하기

경고 보기 및 문제 해결하기

클러스터의 모든 노드에 접근할 수 없거나 클러스터가 너무 느리게 작동하여 요청 시간이 초과되는 경우 하이브리드 데이터 보안 배포는 사용할 수 없는 것으로 간주됩니다. 사용자가 하이브리드 데이터 보안 클러스터에 접속할 수 없는 경우 다음과 같은 증상이 나타납니다.

  • 새로운 스페이스가 생성되지 않음 (새 키를 만들 수 없음)

  • 다음 경우에 대해 메시지 및 스페이스 제목을 해독하지 못함:

    • 새로운 사용자가 스페이스에 추가됨 (키를 페치할 수 없음)

    • 스페이스에서 기존의 사용자가 새로운 클라이언트 사용 (키를 페치할 수 없음)

  • 스페이스에 있는 기존의 사용자는 클라이언트에 암호화 키의 캐시가 있는 한 계속 성공적으로 실행함

서비스 중단을 방지하려면 하이브리드 데이터 보안 클러스터를 적절히 모니터링하고 모든 알림을 즉시 처리하는 것이 중요합니다.

경고

하이브리드 데이터 보안 설정에 문제가 있는 경우 Partner Hub는 조직 관리자에게 알림을 표시하고 구성된 이메일 주소로 이메일을 보냅니다. 경고는 여러 가지 일반적인 상황을 다룹니다.

표 1. 일반적인 문제 및 문제를 해결하기 위한 단계

경고

작업

로컬 데이터베이스 액세스 실패.

데이터베이스 오류 또는 로컬 네트워크 문제를 확인합니다.

로컬 데이터베이스 연결 실패.

데이터베이스 서버를 사용할 수 있는지, 노드 구성에서 올바른 서비스 계정 자격 증명이 사용되고 있는지 확인합니다.

클라우드 서비스 액세스 실패.

외부 연결 요구 사항에 지정된 대로 노드가 Webex 서버에 액세스할 수 있는지 확인하세요.

클라우드 서비스 등록을 갱신하는 중.

클라우드 서비스로의 등록이 중단됩니다. 현재 등록을 갱신하는 중.

클라우드 서비스 등록이 중단됩니다.

클라우드 서비스로의 등록이 종료됩니다. 서비스가 종료됩니다.

서비스가 아직 활성화되지 않았습니다.

파트너 허브에서 HDS를 활성화하세요.

구성된 도메인이 서버 인증서와 일치하지 않습니다.

서버 인증서가 구성된 서비스 활성화 도메인과 일치하는지 확인합니다.

원인은 최근에 인증서 CN이 변경되었으며 현재 초기 설정 중에 사용된 CN과 다른 CN이 사용되고 있기 때문일 가능성이 높습니다.

클라우드 서비스에 인증하지 못함.

정확성 및 서비스 계정 자격 증명의 만료일을 확인합니다.

로컬 키 저장소 파일을 열지 못함.

로컬 키 저장소 파일에서 무결성 및 비밀번호 정확성을 확인합니다.

로컬 서버 인증서가 유효하지 않습니다.

서버 인증서의 만료 날짜를 확인하고, 신뢰할 수 있는 인증 기관에서 발행한 것인지 확인합니다.

메트릭을 게시할 수 없음.

외부 클라우드 서비스로의 로컬 네트워크 액세스를 확인합니다.

/media/configdrive/hds 디렉토리가 존재하지 않습니다.

가상 호스트에서 ISO 마운트 구성을 확인합니다. ISO 파일이 존재하는지 확인하고, 해당 파일이 재부팅 시에 마운트하도록 구성되었는지, 성공적으로 마운트되는지를 확인합니다.

추가된 조직에 대한 테넌트 조직 설정이 완료되지 않았습니다.

HDS 설치 도구를 사용하여 새로 추가된 테넌트 조직에 대한 CMK를 만들어 설치를 완료합니다.

제거된 조직에 대한 테넌트 조직 설정이 완료되지 않았습니다.

HDS 설치 도구를 사용하여 제거된 테넌트 조직의 CMK를 취소하여 설치를 완료합니다.

하이브리드 데이터 보안 문제 해결하기

하이브리드 데이터 보안 문제를 해결할 때 다음의 일반 지침을 따르세요.
1

알림이 있는지 파트너 허브를 검토하고, 발견된 항목을 수정하세요. 참고로 아래 이미지를 참조하세요.

2

하이브리드 데이터 보안 배포 활동에 대한 syslog 서버 출력을 검토합니다. "경고" 및 "오류"와 같은 단어를 필터링하여 문제 해결에 도움을 줍니다.

3

Cisco 고객 지원으로 연락합니다.

기타 참고사항

하이브리드 데이터 보안 알려진 문제

  • 하이브리드 데이터 보안 클러스터를 종료(파트너 허브에서 삭제하거나 모든 노드를 종료)하거나, 구성 ISO 파일을 잃거나, 키 저장소 데이터베이스에 대한 액세스 권한을 잃은 경우, 고객 조직의 Webex 앱 사용자는 KMS의 키로 생성된 사람 목록 아래의 공간을 더 이상 사용할 수 없습니다. 현재 이 문제에 대한 해결 방법은 없으며, HDS 서비스에서 활동 중인 사용자 계정을 처리하고 있는 경우에 해당 서비스를 종료하지 말 것을 강조합니다.

  • KMS에 대한 기존의 ECDH 연결이 있는 클라이언트는 특정 기간(1시간 정도) 동안 해당 연결을 유지합니다.

Podman Desktop을 사용하여 HDS 설치 도구 실행

Podman은 컨테이너를 실행, 관리, 생성하는 방법을 제공하는 무료 오픈 소스 컨테이너 관리 도구입니다. Podman Desktop은 https://podman-desktop.io/downloads에서 다운로드할 수 있습니다.

  • HDS 설정 도구는 로컬 머신에서 Docker 컨테이너로 실행됩니다. 이에 액세스하려면 해당 컴퓨터에서 Podman을 다운로드하여 실행하세요. 설정 프로세스를 수행하려면 조직에 대한 전체 관리자 권한이 있는 Control Hub 계정의 자격 증명이 필요합니다.

    HDS 설치 도구가 사용자 환경의 프록시 뒤에서 실행되는 경우 5단계에서 Docker 컨테이너를 시작할 때 Docker 환경 변수를 통해 프록시 설정(서버, 포트, 자격 증명)을 제공합니다. 이 표는 몇 가지 환경 변수를 제공합니다.

    설명

    변수

    인증되지 않은 HTTP 프록시

    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    인증되지 않은 HTTPS 프록시

    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    인증된 HTTP 프록시

    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

    인증된 HTTPS 프록시

    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

  • 생성한 구성 ISO 파일에는 PostgreSQL 또는 Microsoft SQL Server 데이터베이스를 암호화하는 마스터 키가 포함되어 있습니다. 다음과 같이 구성을 변경할 때마다 이 파일의 최신 사본이 필요합니다.

    • 데이터베이스 자격 증명

    • 인증서 업데이트

    • 권한 정책 변경

  • 데이터베이스 연결을 암호화하려는 경우 TLS에 맞게 PostgreSQL 또는 SQL Server 배포를 설정하세요.

하이브리드 데이터 보안 설정 프로세스에서는 ISO 파일이 생성됩니다. 그런 다음 ISO를 사용하여 하이브리드 데이터 보안 호스트를 구성합니다.

1

머신의 명령줄에 사용자 환경에 적합한 명령을 입력합니다.

일반 환경:

podman rmi ciscocitg/hds-setup:stable

FedRAMP 환경:

podman rmi ciscocitg/hds-setup-fedramp:stable

이 단계에서는 이전 HDS 설정 도구 이미지를 정리합니다. 이전 이미지가 없는 경우 무시할 수 있는 오류를 반환합니다.

2

Docker 이미지 레지스트리에 로그인하려면 다음을 입력합니다.

podman login docker.io -u hdscustomersro
3

비밀번호 프롬프트에 이 해시를 입력합니다.

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
4

사용자 환경에 맞는 최신 안정 이미지를 다운로드합니다.

일반 환경:

podman pull ciscocitg/hds-setup:stable

FedRAMP 환경:

podman pull ciscocitg/hds-setup-fedramp:stable
5

풀이 완료되면 사용자 환경에 적합한 명령을 입력합니다.

  • 프록시가 없는 일반 환경:

    podman run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

  • HTTP 프록시가 있는 일반 환경:

    podman run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • HTTPS 프록시가 있는 일반 환경에서:

    podman run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

  • 프록시가 없는 FedRAMP 환경:

    podman run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

  • HTTP 프록시가 있는 FedRAMP 환경:

    podman run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

  • HTTPS 프록시가 있는 FedRAMP 환경:

    podman run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

컨테이너가 실행 중일 때 "포트 8080에서 수신하는 Express 서버"가 표시됩니다.

다음에 수행할 작업

HDS 호스트에 대한 구성 ISO 만들기 또는 노드 구성 변경 의 나머지 단계를 따라 ISO 구성을 만들거나 변경하세요.

Control Hub의 파트너 조직의 기존 단일 테넌트 HDS 배포를 Partner Hub의 다중 테넌트 HDS 설정으로 이동합니다.

Control Hub에서 관리되는 파트너 조직의 기존 단일 테넌트 HDS 배포를 Partner Hub에서 관리되는 다중 테넌트 HDS 배포로 변환하는 작업은 주로 Control Hub에서 HDS 서비스를 비활성화하고, 노드를 등록 해제하고, 클러스터를 삭제하는 작업으로 구성됩니다. 그런 다음 파트너 허브에 로그인하여 노드를 등록하고 멀티 테넌트 HDS를 활성화하고 클러스터에 고객을 추가할 수 있습니다.

"단일 테넌트"라는 용어는 단순히 Control Hub에 구축된 기존 HDS를 의미합니다.

Control Hub에서 HDS 비활성화, 노드 등록 해제 및 클러스터 삭제

1

Control Hub에 로그인하세요. 왼쪽 창에서 하이브리드를 클릭합니다. 하이브리드 데이터 보안 카드에서 설정 편집을 클릭합니다.

2

설정 페이지에서 비활성화 섹션까지 아래로 스크롤하여 비활성화를 클릭합니다.

3

비활성화 후 리소스 탭을 클릭하세요.

4

리소스 페이지에는 HDS 배포에 있는 클러스터가 나열되어 있습니다. 클러스터를 클릭하면 해당 클러스터에 속한 모든 노드가 표시된 페이지가 열립니다.

5

오른쪽의 ... 을 클릭하고 노드 등록 취소를 클릭합니다. 클러스터의 모든 노드에 대해 이 과정을 반복합니다.

6

배포에 여러 클러스터가 있는 경우 모든 노드의 등록이 해제될 때까지 4단계와 5단계를 반복합니다.

7

클러스터 설정을 클릭하세요 > 제거하다.

8

클러스터 등록을 해제하려면 제거 확인 을 클릭하세요.

9

HDS 배포의 모든 클러스터에 대해 이 프로세스를 반복합니다.

HDS 비활성화, 노드 등록 해제 및 클러스터 제거 후 Control Hub의 Hybrid Data Service 카드 하단에 설치가 완료되지 않았습니다 가 표시됩니다.

Partner Hub에서 파트너 조직에 대한 다중 테넌트 HDS를 활성화하고 고객을 추가합니다.

시작하기 전에

다중 테넌트 하이브리드 데이터 보안 요구 사항 에 언급된 모든 사전 요구 사항이 여기에 적용됩니다. 또한, Multi-Tenant HDS로 이동하는 동안 동일한 데이터베이스와 인증서를 사용해야 합니다.

1

파트너 허브에 로그인하세요. 왼쪽 창에서 서비스 를 클릭합니다.

이전 HDS 배포에서 사용한 동일한 ISO를 사용하여 노드를 구성합니다. 이를 통해 기존 HDS 배포에서 사용자가 생성한 메시지와 콘텐츠를 새로운 멀티 테넌트 설정에서도 계속 액세스할 수 있습니다.

2

클라우드 서비스 섹션에서 하이브리드 데이터 보안 카드를 찾아 설정을 클릭합니다.

3

열리는 페이지에서 리소스 추가를 클릭합니다.

4

노드 추가 카드의 첫 번째 필드에 하이브리드 데이터 보안 노드를 할당할 클러스터의 이름을 입력합니다.

지리적으로 클러스터의 노드가 위치한 장소에 기반하여 클러스터의 이름을 지정할 것을 권장합니다. 예: "샌프란시스코" 또는 "뉴욕" 또는 "댈러스"

5

두 번째 필드에 노드의 내부 IP 주소 또는 정규화된 도메인 이름(FQDN)을 입력하고 화면 하단의 추가 를 클릭합니다.

이 IP 주소 또는 FQDN은 하이브리드 데이터 보안 VM 설정에서 사용한 IP 주소 또는 호스트 이름 및 도메인과 일치해야 합니다.

Webex에 노드를 등록할 수 있다는 메시지가 나타납니다.
6

노드로 이동을 클릭합니다.

잠시 후 Webex 서비스에 대한 노드 연결 테스트로 리디렉션됩니다. 모든 테스트에 성공하면 하이브리드 데이터 보안 노드에 대한 액세스 허용 페이지가 나타납니다. 여기에서 Webex 조직에 노드에 대한 액세스 권한을 부여할 것인지 확인합니다.

7

하이브리드 데이터 보안 노드에 액세스 허용 체크 박스에 체크한 후 계속을 클릭합니다.

귀하의 계정이 검증되었으며, "등록 완료" 메시지는 귀하의 노드가 이제 Webex 클라우드에 등록되었음을 나타냅니다. 하이브리드 데이터 보안 페이지에서 등록한 노드가 포함된 새 클러스터가 리소스 탭에 표시됩니다. 노드는 클라우드에서 자동으로 최신 소프트웨어를 다운로드합니다.
8

설정 탭으로 이동하여 HDS 상태 카드에서 활성화 를 클릭합니다.

HDS 활성화 메시지가 화면 하단에 나타납니다.
9

Resouces에서 새로 생성된 클러스터를 클릭합니다.

10

열리는 페이지에서 지정된 고객 탭을 클릭합니다.

11

고객 추가를 클릭하세요.

12

드롭다운 메뉴에서 추가하려는 고객을 선택하세요.

13

추가를 클릭하면 고객이 클러스터에 추가됩니다.

14

클러스터에 여러 고객을 추가하려면 11~13단계를 반복합니다.

15

고객을 추가한 후 화면 하단의 완료 를 클릭하세요.

다음에 수행할 작업

HDS 설치 도구를 사용하여 고객 기본 키(CMK) 만들기 에 자세히 설명된 대로 HDS 설치 도구를 실행하여 설치 프로세스를 완료합니다.

OpenSSL을 사용하여 PKCS12 파일 생성

시작하기 전에

  • OpenSSL은 HDS 설정 도구에서 로딩하기 위해 PKCS12 파일을 적합한 형식으로 만드는 데 사용할 수 있는 도구입니다. 이 작업을 실행할 수 있는 다른 방법이 있으며, 특정 방법을 더 지원하거나 홍보하지 않습니다.

  • OpenSSL을 사용하기로 선택한 경우 X.509 인증서 요구 사항에서 X.509 인증서 요구 사항을 충족하는 파일을 만드는 데 도움이 되는 지침으로 이 절차를 제공합니다. 진행하기 전에 다음 요구 사항을 숙지하십시오.

  • 지원되는 환경에서 OpenSSL을 설치합니다. 소프트웨어 및 문서에 대해서는 https://www.openssl.org을(를) 참조하십시오.

  • 비공개 키를 만듭니다.

  • 인증 기관(CA)으로부터 서버 인증서를 수신한 후에 이 절차를 시작하십시오.

1

CA에서 서버 인증서를 받으면 hdsnode.pem로 저장합니다.

2

인증서를 텍스트로 표시하고 세부 사항을 확인합니다.

openssl x509 -text -noout -in hdsnode.pem

3

텍스트 편집기를 사용하여 hdsnode-bundle.pem라는 인증서 번들 파일을 만듭니다. 번들 파일에는 서버 인증서, 모든 중간 CA 인증서 및 루트 CA 인증서가 아래의 형식으로 포함되어야 합니다.

-----BEGIN CERTIFICATE-----
### Server certificate. ###
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
###  Intermediate CA certificate. ###
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
###  Root CA certificate. ###
-----END CERTIFICATE-----

4

친근한 이름 kms-private-key으로 .p12 파일을 만듭니다.

openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

5

서버 인증서 세부 사항을 확인합니다.

  1. openssl pkcs12 -in hdsnode.p12

  2. 안내에 따라 비밀번호를 입력하여 비공개 키를 암호화하고 출력에 표시되게 합니다. 그런 다음 개인 키와 첫 번째 인증서에 friendlyName: kms-private-key줄이 포함되어 있는지 확인합니다.

    예:

    bash$ openssl pkcs12 -in hdsnode.p12
Enter Import Password:
MAC verified OK
Bag Attributes
    friendlyName: kms-private-key
    localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
Key Attributes: 
Enter PEM pass phrase:
Verifying - Enter PEM pass phrase:
-----BEGIN ENCRYPTED PRIVATE KEY-----

-----END ENCRYPTED PRIVATE KEY-----
Bag Attributes
    friendlyName: kms-private-key
    localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
subject=/CN=hds1.org6.portun.us
issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
-----BEGIN CERTIFICATE-----

-----END CERTIFICATE-----
Bag Attributes
    friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US
subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3
-----BEGIN CERTIFICATE-----

-----END CERTIFICATE-----

다음에 수행할 작업

하이브리드 데이터 보안을 위한 전제 조건 완료로 돌아가세요. HDS 호스트에 대한 구성 ISO 만들기에서 hdsnode.p12 파일과 해당 파일에 대해 설정한 비밀번호를 사용합니다.

원래 인증서가 만료되면 이러한 파일을 재사용하여 새 인증서를 요청할 수 있습니다.

HDS 노드 및 클라우드 간 트래픽

아웃바운드 메트릭 수집 트래픽

하이브리드 데이터 보안 노드는 특정 메트릭을 Webex 클라우드로 전송합니다. 여기에는 최대 힙, 사용된 힙, CPU 로드 및 스레드 수에 대한 시스템 메트릭이 포함됩니다. 또한 동기적 스레드 및 비동기적 스레드에 대한 메트릭, 암호화 연결, 대시 시간 또는 요청 대기열 길이의 임계값과 관련된 경고에 대한 메트릭, 데이터스토어 관련 메트릭 및 암호화 연결 메트릭도 포함됩니다. 노드는 대역 외(요청과 별개) 채널을 통해 암호화된 키 자료를 보냅니다.

인바운드 트래픽

하이브리드 데이터 보안 노드는 Webex 클라우드에서 다음과 같은 유형의 인바운드 트래픽을 수신합니다.

  • 클라이언트로부터 암호화 요청. 암호화 서비스에서 라우트됨

  • 노드 소프트웨어로 업그레이드

하이브리드 데이터 보안에 대해 Squid 프록시 구성

웹 소켓은 Squid 프록시를 통해 연결할 수 없음

HTTPS 트래픽을 검사하는 Squid 프록시는 Hybrid Data Security에 필요한 웹소켓(wss:) 연결 설정을 방해할 수 있습니다. 이 섹션에서는 서비스의 적절한 작동을 위해 다양한 버전의 Squid가 wss: 트래픽을 무시하도록 구성하는 방법에 대한 지침을 제공합니다.

Squid 4 및 5

[ squid.confon_unsupported_protocol 지시어를 추가합니다. :

on_unsupported_protocol tunnel all

Squid 3.5.27

squid.conf에 다음 규칙을 추가하여 하이브리드 데이터 보안을 성공적으로 테스트했습니다. 이 규칙은 기능을 개발하고 Webex 클라우드를 업데이트 함에 따라 변경될 수도 있습니다.

acl wssMercuryConnection ssl::server_name_regex mercury-connection

ssl_bump splice wssMercuryConnection

acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all
이 문서가 도움이 되었습니까?
이 문서가 도움이 되었습니까?
가격Webex 앱MeetingsCalling메시징화면 공유
Webex SuiteCallingMeetings메시징SlidoWebinars이벤트Contact CenterCPaaS보안Control Hub
헤드셋카메라Desk 시리즈Room 시리즈Board 시리즈전화 시리즈보조 프로그램
교육의료 서비스정부재무스포츠 및 엔터테인먼트최전선비영리스타트업하이브리드 작업
다운로드테스트 미팅 참여하기온라인 학습통합접근성포용성실시간 및 주문형 웨비나Webex 커뮤니티Webex 개발자뉴스 및 혁신
Cisco지원 연락처영업팀에 문의Webex BlogWebex 사고적 리더십Webex Merch 스토어경력
  • X
  • LinkedIn
  • Facebook
  • Youtube
  • Instagram
약관 및 조건개인 정보 보호 정책쿠키등록 상표
©2025 Cisco 및/또는 관련 제휴. All rights reserved.
약관 및 조건개인 정보 보호 정책쿠키등록 상표