Soms moet u de configuratie van uw knooppunt voor hybride databeveiliging wijzigen vanwege een bijvoorbeeld:
  • Machine-accountupdates

  • X.509-certificaten wijzigen vanwege vervaldatum of andere redenen.

    We ondersteunen het wijzigen van de CN-domeinnaam van een certificaat niet. Het domein moet overeenkomen met het oorspronkelijke domein dat is gebruikt om de cluster te registreren.

  • Database-instellingen bijwerken om te wijzigen in een kopie van de PostgreSQL- of Microsoft SQL Server-database.

    We ondersteunen het migreren van gegevens van PostgreSQL naar Microsoft SQL Server niet, of op de omgekeerde manier. Als u wilt schakelen tussen de databaseomgevingen, moet u een nieuwe implementatie van hybride databeveiliging starten.

  • Een nieuwe configuratie maken om een nieuw datacenter voor te bereiden.

Bovendien gebruikt Hybride databeveiliging voor beveiligingsdoeleinden wachtwoorden voor serviceaccounts die een levensduur van negen maanden hebben. Nadat de HDS-setuptool deze wachtwoorden heeft gegenereerd, implementeert u deze in uw HDS-knooppunten in het ISO-configuratiebestand. Wanneer de wachtwoorden van uw organisatie bijna verlopen, ontvangt u een melding van het Webex-team om het wachtwoord voor uw machineaccount opnieuw in te stellen. (Het e-mailbericht bevat de tekst: 'Gebruik het machineaccount API om het wachtwoord bij te werken.') Als uw wachtwoord nog niet is verlopen, geeft de tool u twee opties:

  • Soft reset: de oude en nieuwe wachtwoorden werken beide maximaal 10 dagen. Gebruik deze periode om het ISO-bestand op de knooppunten stapsgewijs te vervangen.

  • Harde reset: de oude wachtwoorden werken niet meer onmiddellijk.

Als uw wachtwoorden verlopen zonder opnieuw in te stellen, is dit van invloed op uw HDS-service, waarvoor onmiddellijke harde reset en vervanging van het ISO-bestand op alle knooppunten nodig is.

Gebruik deze procedure om een nieuw ISO-configuratiebestand te genereren en dit toe te passen op uw cluster.

Voordat u begint

  • De HDS-setuptool wordt als een Docker-container uitgevoerd op een lokale machine. Voer Docker op die machine uit om toegang tot de machine te krijgen. Voor het installatieproces zijn de aanmeldgegevens van een Control Hub-account met volledige beheerdersrechten voor uw organisatie vereist.

    Als de HDS-setuptool achter een proxy in uw omgeving wordt uitgevoerd, voert u bij het starten van de Docker-container de proxyinstellingen (server, poort, referenties) in. Deze tabel geeft een aantal mogelijke omgevingsvariabelen:

    De docker-repository die we gebruiken voor de HDS-setuptool is in december 2022 gewijzigd in ciscocitg (van ciscosparkhds voorheen)

    Beschrijving

    Variabele

    HTTP-proxy zonder verificatie

    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS-proxy zonder verificatie

    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    HTTP-proxy met verificatie

    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

    HTTPS-proxy met verificatie

    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

  • U moet een kopie van het huidige ISO-configuratiebestand hebben om een nieuwe configuratie te genereren. De ISO bevat de hoofdsleutel voor het versleutelen van de PostgreSQL- of Microsoft SQL Server-database. U hebt de ISO nodig wanneer u configuratiewijzigingen aan aanbrengen, waaronder databasereferenties, certificaatupdates of wijzigingen aan autorisatiebeleid.

1

Voer de HDS-setuptool uit als u Docker op een lokale machine gebruikt.

  1. Voer op de opdrachtregel van uw machine de juiste opdracht voor uw omgeving in:

    In normale omgevingen:

    docker rmi ciscocitg/hds-setup:stabiel

    In FedRAMP-omgevingen:

    docker rmi ciscocitg/hds-setup-fedramp:stabiel

    Hiermee schoont u de vorige afbeeldingen van HDS-setuptools op. Als er geen eerdere afbeeldingen zijn, retourneert deze een fout die u kunt negeren.

  2. Als u zich wilt aanmelden bij het Docker image-register, voert u het volgende in:

    docker login -u hdscustomersro
  3. Voer bij de wachtwoordprompt deze hash in:

    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
  4. Download de nieuwste stabiele afbeelding voor uw omgeving:

    In normale omgevingen:

    docker pull ciscocitg/hds-setup:stabiel

    In FedRAMP-omgevingen:

    docker pull ciscocitg/hds-setup-fedramp:stable

    Zorg ervoor dat u de meest recente setuptool voor deze procedure ophaalt. Versies van de tool die zijn gemaakt vóór 22 februari 2018 hebben niet de schermen voor het opnieuw instellen van wachtwoorden.

  5. Als het binnen halen is voltooid, voert u de juiste opdracht voor uw omgeving in:

    • In normale omgevingen zonder proxy:

      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
    • In normale omgevingen met een HTTP-proxy:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
    • In normale omgevingen met een HTTPS-proxy:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
    • In FedRAMP-omgevingen zonder een proxy:

      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
    • In FedRAMP-omgevingen met een HTTP-proxy:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
    • In FedRAMP-omgevingen met een HTTPS-proxy:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    Wanneer de container wordt uitgevoerd, ziet u 'Express-server luisteren naar poort 8080'.

  6. Gebruik een browser om verbinding te maken met de localhost, http://127.0.0.1:8080.

    Het hulpprogramma Instellingen ondersteunt geen verbinding maken met de localhost via http://localhost:8080. Gebruik http://127.0.0.1:8080 om verbinding te maken met de localhost.

  7. Wanneer u hierom wordt gevraagd, voert u uw aanmeldgegevens voor de klant van Control Hub in en klikt u vervolgens op Accepteren om door te gaan.

  8. Importeer het huidige ISO-configuratiebestand.

  9. Volg de aanwijzingen om het hulpprogramma te voltooien en het bijgewerkte bestand te downloaden.

    Als u de setuptool wilt afsluiten, typt u CTRL+C.

  10. Maak een back-up van het bijgewerkte bestand in een ander datacenter.

2

Als er slechts één HDS-knooppunt wordt uitgevoerd, maakt u een nieuwe VM voor het knooppunt voor hybride databeveiliging en registreert u deze met het nieuwe ISO-configuratiebestand. Zie Meer knooppunten maken en registreren in de implementatiehandleiding voor meer gedetailleerde instructies.

  1. Installeer de HDS-host-OVA.

  2. Stel de HDS-VM in.

  3. Koppel het bijgewerkte configuratiebestand.

  4. Registreer het nieuwe knooppunt in Control Hub.

3

Voor bestaande HDS-knooppunten waar het oudere configuratiebestand op wordt uitgevoerd, moet u het ISO-bestand onder brengen. Voer de volgende procedure uit op elk knooppunt. Werk elk knooppunt bij voordat u het volgende knooppunt uit schakelen:

  1. Schakel de virtuele machine uit.

  2. Klik in het linkerdeelvenster van de VMware vSphere-client met de rechtermuisknop op de VM en klik op Instellingen bewerken.

  3. Klik op CD/DVD-station 1, selecteer de optie om te koppelen vanaf een ISO-bestand en blader naar de locatie waar u het nieuwe ISO-configuratiebestand hebt gedownload.

  4. Schakel het selectievakje Verbinding maken na inschakelen in.

  5. Sla uw wijzigingen op en schakel de virtuele machine in.

4

Herhaal stap 3 om de configuratie op elk resterende knooppunt waarop de oude configuratie wordt uitgevoerd te vervangen.