Może się zdarzyć, że zawartość niektórych artykuł będzie wyświetlana w niespójny sposób. Przepraszamy — pracujemy nad aktualizacją naszej witryny.
cross icon
W tym artykule
dropdown icon
Przedmowa
    Nowe i zmienione informacje
    dropdown icon
    Rozpocznij pracę z Hybrid Data Security
      Przegląd zabezpieczeń danych hybrydowych
        dropdown icon
        Architektura domeny zabezpieczeń
          Realms of Separation (bez hybrydowego zabezpieczenia danych)
        Współpraca z innymi organizacjami
          Oczekiwania dotyczące wdrażania hybrydowych zabezpieczeń danych
            Proces konfiguracji na wysokim poziomie
              dropdown icon
              Hybrydowy model wdrażania zabezpieczeń danych
                Hybrydowy model wdrażania zabezpieczeń danych
              Tryb próbny zabezpieczeń danych hybrydowych
                dropdown icon
                Standby Data Center for Disaster Recovery
                  Konfiguracja Standby Data Center do odzyskiwania awarii
                Obsługa serwera proxy
                dropdown icon
                Przygotuj swoje środowisko
                  dropdown icon
                  Wymagania dotyczące hybrydowego bezpieczeństwa danych
                    Wymagania licencyjne Cisco Webex
                    Docker Wymagania pulpitowe
                    Wymagania dotyczące certyfikatu X.509
                    Wymagania dotyczące wirtualnego prowadzącego
                    Wymagania serwera bazy danych
                    Wymagania dotyczące połączeń zewnętrznych
                    Wymagania dotyczące serwera proxy
                  Wypełnij wymagania wstępne dla hybrydowego zabezpieczenia danych
                  dropdown icon
                  Konfigurowanie hybrydowego klastra bezpieczeństwa danych
                    Przepływ zadań związanych z wdrażaniem zabezpieczeń danych hybrydowych
                      Pobierz pliki instalacyjne
                        Tworzenie ISO konfiguracji dla prowadzących HDS
                          Instalowanie OVA hosta HDS
                            Skonfiguruj hybrydową maszynę wirtualną ds. bezpieczeństwa danych
                              Prześlij i zamontuj ISO konfiguracji HDS
                                Konfigurowanie węzła HDS do integracji z serwerem proxy
                                  Zarejestruj pierwszy węzeł w klastrze
                                    Tworzenie i rejestrowanie większej liczby węzłów
                                    dropdown icon
                                    Uruchom wersję próbną i przejdź do produkcji
                                      Przepływ próby do zadania produkcyjnego
                                        Aktywuj wersję próbną
                                          Przetestuj wdrożenie hybrydowego zabezpieczenia danych
                                            Monitorowanie stanu hybrydowego bezpieczeństwa danych
                                              Dodawanie lub usuwanie użytkowników z wersji próbnej
                                                Przeniesienie z wersji próbnej do produkcji
                                                  Zakończ wersję próbną bez przejścia do produkcji
                                                  dropdown icon
                                                  Zarządzanie wdrożeniem HDS
                                                    Zarządzanie wdrożeniem HDS
                                                      Ustaw harmonogram uaktualniania klastra
                                                        Zmień konfigurację węzła
                                                          Wyłączanie trybu zablokowanego zewnętrznego rozpoznawania DNS
                                                            Usuń węzeł
                                                              Odzyskiwanie po awarii za pomocą Standby Data Center
                                                                (Opcjonalnie) Odmontować ISO Po Konfiguracji HDS
                                                                dropdown icon
                                                                Rozwiązywanie problemów z hybrydowymi zabezpieczeniami danych
                                                                  Wyświetlanie alertów i rozwiązywania problemów
                                                                    dropdown icon
                                                                    Alerty
                                                                      Wspólne problemy i kroki mające na celu ich rozwiązanie
                                                                    Rozwiązywanie problemów z hybrydowymi zabezpieczeniami danych
                                                                    dropdown icon
                                                                    Inne uwagi
                                                                      Znane problemy dotyczące hybrydowych zabezpieczeń danych
                                                                        Użyj protokołu OpenSSL, aby wygenerować plik PKCS12
                                                                          Ruch między węzłami HDS a chmurą
                                                                            dropdown icon
                                                                            Konfigurowanie serwerów proxy Squid dla hybrydowych zabezpieczeń danych
                                                                              Websocket nie może połączyć się przez Squid Proxy
                                                                          W tym artykule
                                                                          cross icon
                                                                          dropdown icon
                                                                          Przedmowa
                                                                            Nowe i zmienione informacje
                                                                            dropdown icon
                                                                            Rozpocznij pracę z Hybrid Data Security
                                                                              Przegląd zabezpieczeń danych hybrydowych
                                                                                dropdown icon
                                                                                Architektura domeny zabezpieczeń
                                                                                  Realms of Separation (bez hybrydowego zabezpieczenia danych)
                                                                                Współpraca z innymi organizacjami
                                                                                  Oczekiwania dotyczące wdrażania hybrydowych zabezpieczeń danych
                                                                                    Proces konfiguracji na wysokim poziomie
                                                                                      dropdown icon
                                                                                      Hybrydowy model wdrażania zabezpieczeń danych
                                                                                        Hybrydowy model wdrażania zabezpieczeń danych
                                                                                      Tryb próbny zabezpieczeń danych hybrydowych
                                                                                        dropdown icon
                                                                                        Standby Data Center for Disaster Recovery
                                                                                          Konfiguracja Standby Data Center do odzyskiwania awarii
                                                                                        Obsługa serwera proxy
                                                                                        dropdown icon
                                                                                        Przygotuj swoje środowisko
                                                                                          dropdown icon
                                                                                          Wymagania dotyczące hybrydowego bezpieczeństwa danych
                                                                                            Wymagania licencyjne Cisco Webex
                                                                                            Docker Wymagania pulpitowe
                                                                                            Wymagania dotyczące certyfikatu X.509
                                                                                            Wymagania dotyczące wirtualnego prowadzącego
                                                                                            Wymagania serwera bazy danych
                                                                                            Wymagania dotyczące połączeń zewnętrznych
                                                                                            Wymagania dotyczące serwera proxy
                                                                                          Wypełnij wymagania wstępne dla hybrydowego zabezpieczenia danych
                                                                                          dropdown icon
                                                                                          Konfigurowanie hybrydowego klastra bezpieczeństwa danych
                                                                                            Przepływ zadań związanych z wdrażaniem zabezpieczeń danych hybrydowych
                                                                                              Pobierz pliki instalacyjne
                                                                                                Tworzenie ISO konfiguracji dla prowadzących HDS
                                                                                                  Instalowanie OVA hosta HDS
                                                                                                    Skonfiguruj hybrydową maszynę wirtualną ds. bezpieczeństwa danych
                                                                                                      Prześlij i zamontuj ISO konfiguracji HDS
                                                                                                        Konfigurowanie węzła HDS do integracji z serwerem proxy
                                                                                                          Zarejestruj pierwszy węzeł w klastrze
                                                                                                            Tworzenie i rejestrowanie większej liczby węzłów
                                                                                                            dropdown icon
                                                                                                            Uruchom wersję próbną i przejdź do produkcji
                                                                                                              Przepływ próby do zadania produkcyjnego
                                                                                                                Aktywuj wersję próbną
                                                                                                                  Przetestuj wdrożenie hybrydowego zabezpieczenia danych
                                                                                                                    Monitorowanie stanu hybrydowego bezpieczeństwa danych
                                                                                                                      Dodawanie lub usuwanie użytkowników z wersji próbnej
                                                                                                                        Przeniesienie z wersji próbnej do produkcji
                                                                                                                          Zakończ wersję próbną bez przejścia do produkcji
                                                                                                                          dropdown icon
                                                                                                                          Zarządzanie wdrożeniem HDS
                                                                                                                            Zarządzanie wdrożeniem HDS
                                                                                                                              Ustaw harmonogram uaktualniania klastra
                                                                                                                                Zmień konfigurację węzła
                                                                                                                                  Wyłączanie trybu zablokowanego zewnętrznego rozpoznawania DNS
                                                                                                                                    Usuń węzeł
                                                                                                                                      Odzyskiwanie po awarii za pomocą Standby Data Center
                                                                                                                                        (Opcjonalnie) Odmontować ISO Po Konfiguracji HDS
                                                                                                                                        dropdown icon
                                                                                                                                        Rozwiązywanie problemów z hybrydowymi zabezpieczeniami danych
                                                                                                                                          Wyświetlanie alertów i rozwiązywania problemów
                                                                                                                                            dropdown icon
                                                                                                                                            Alerty
                                                                                                                                              Wspólne problemy i kroki mające na celu ich rozwiązanie
                                                                                                                                            Rozwiązywanie problemów z hybrydowymi zabezpieczeniami danych
                                                                                                                                            dropdown icon
                                                                                                                                            Inne uwagi
                                                                                                                                              Znane problemy dotyczące hybrydowych zabezpieczeń danych
                                                                                                                                                Użyj protokołu OpenSSL, aby wygenerować plik PKCS12
                                                                                                                                                  Ruch między węzłami HDS a chmurą
                                                                                                                                                    dropdown icon
                                                                                                                                                    Konfigurowanie serwerów proxy Squid dla hybrydowych zabezpieczeń danych
                                                                                                                                                      Websocket nie może połączyć się przez Squid Proxy
                                                                                                                                                  Przewodnik wdrażania dla Webex Hybrid Data Security
                                                                                                                                                  list-menuW tym artykule
                                                                                                                                                  Przedmowa

                                                                                                                                                  Nowe i zmienione informacje

                                                                                                                                                  Data

                                                                                                                                                  Zmiany

                                                                                                                                                  20 października 2023 r.

                                                                                                                                                  07 sierpnia 2023 r.

                                                                                                                                                  23 maja 2023 r.

                                                                                                                                                  06 grudnia 2022 r.

                                                                                                                                                  23 listopada 2022 r.

                                                                                                                                                  • Węzły HDS mogą teraz używać uwierzytelniania systemu Windows w usłudze Microsoft SQL Server.

                                                                                                                                                    Zaktualizowano temat wymagań serwera bazy danych z dodatkowymi wymaganiami dla tego trybu uwierzytelniania.

                                                                                                                                                    Zaktualizowano Utwórz ISO konfiguracji hostów HDS z procedurą konfigurowania uwierzytelniania systemu Windows w węzłach.

                                                                                                                                                  • Zaktualizowano temat wymagań serwera bazy danych o nowe minimalne wymagane wersje (PostgreSQL 10).

                                                                                                                                                  13 października 2021 r.

                                                                                                                                                  Docker Desktop musi uruchomić program konfiguracji przed zainstalowaniem węzłów HDS. Zobacz Wymagania Dotyczące Pulpitu Docker.

                                                                                                                                                  24 czerwca 2021 r.

                                                                                                                                                  Pamiętaj, że możesz ponownie użyć pliku klucza prywatnego i CSR, aby poprosić o inny certyfikat. Aby uzyskać szczegółowe informacje, zobacz Użyj OpenSSL, aby wygenerować plik PKCS12.

                                                                                                                                                  30 kwietnia 2021 r.

                                                                                                                                                  Zmieniono wymaganie VM dla lokalnego miejsca na dysku twardym na 30 GB. Szczegółowe informacje można znaleźć w sekcji Wymagania wirtualnego prowadzącego.

                                                                                                                                                  24 lutego 2021 r.

                                                                                                                                                  Narzędzie konfiguracji usługi HDS może teraz działać za serwerem proxy. Aby uzyskać szczegółowe informacje, zobacz Tworzenie ISO konfiguracji hostów HDS.

                                                                                                                                                  2 lutego 2021 r.

                                                                                                                                                  HDS może teraz działać bez zamontowanego pliku ISO. Aby uzyskać szczegółowe informacje, zobacz (Opcjonalnie) Odinstaluj ISO Po Konfiguracji HDS.

                                                                                                                                                  11 stycznia 2021 r.

                                                                                                                                                  Dodano informacje o narzędziu do konfiguracji HDS i pełnomocnikach, aby utworzyć ISO konfiguracji dla prowadzących HDS.

                                                                                                                                                  13 października 2020 r.

                                                                                                                                                  Zaktualizowano Pobierz pliki instalacyjne.

                                                                                                                                                  8 października 2020 r.

                                                                                                                                                  Zaktualizowano Utwórz ISO konfiguracji dla prowadzących HDS i zmień konfigurację węzła za pomocą poleceń dla środowisk FedRAMP.

                                                                                                                                                  14 sierpnia 2020 r.

                                                                                                                                                  Zaktualizowano Utwórz ISO konfiguracji dla prowadzących HDS i zmień konfigurację węzła ze zmianami w procesie logowania.

                                                                                                                                                  5 sierpnia 2020 r.

                                                                                                                                                  Zaktualizowano testowanie wdrażania hybrydowego zabezpieczenia danych pod kątem zmian w komunikatach dziennika.

                                                                                                                                                  Zaktualizowano wymagania hosta wirtualnego , aby usunąć maksymalną liczbę hostów.

                                                                                                                                                  16 czerwca 2020 r.

                                                                                                                                                  Zaktualizowano Usuwanie węzła pod kątem zmian w interfejsie interfejsu Control Hub.

                                                                                                                                                  4 czerwca 2020 r.

                                                                                                                                                  Zaktualizowano Tworzenie ISO konfiguracji dla hostów HDS w celu wprowadzenia zmian w ustawieniach zaawansowanych, które można ustawić.

                                                                                                                                                  29 maja 2020 r.

                                                                                                                                                  Zaktualizowano Utwórz ISO konfiguracji dla hostów HDS , aby pokazać, że można również używać TLS z bazami danych SQL Server, zmianami interfejsu użytkownika i innymi wyjaśnieniami.

                                                                                                                                                  5 maja 2020 r.

                                                                                                                                                  Zaktualizowano wymagania hosta wirtualnego , aby pokazać nowe wymagania ESXi 6.5.

                                                                                                                                                  21 kwietnia 2020 r.

                                                                                                                                                  Zaktualizowane wymagania dotyczące łączności zewnętrznej z nowymi hostami CI Americas.

                                                                                                                                                  1 kwietnia 2020 r.

                                                                                                                                                  Zaktualizowane wymagania dotyczące łączności zewnętrznej z informacjami na temat regionalnych prowadzących CI.

                                                                                                                                                  20 lutego 2020 r.Zaktualizowano Utwórz ISO konfiguracji hostów HDS z informacjami na nowym opcjonalnym ekranie ustawień zaawansowanych w narzędziu do konfiguracji HDS.
                                                                                                                                                  4 lutego 2020 r.Zaktualizowano wymagania serwera proxy.
                                                                                                                                                  16 grudnia 2019 r.Wyjaśnione wymagania dotyczące zablokowanego zewnętrznego trybu rozdzielczości DNS do pracy w wymaganiach serwera proxy.
                                                                                                                                                  19 listopada 2019 r.

                                                                                                                                                  Dodano informacje o zablokowanym zewnętrznym trybie rozpoznawania DNS w następujących sekcjach:

                                                                                                                                                  8 listopada 2019 r.

                                                                                                                                                  Teraz można skonfigurować ustawienia sieciowe węzła podczas wdrażania OVA, a nie później.

                                                                                                                                                  Zaktualizowano odpowiednio następujące sekcje:


                                                                                                                                                   

                                                                                                                                                  Opcja konfigurowania ustawień sieciowych podczas wdrażania OVA została przetestowana z ESXi 6.5. Opcja może nie być dostępna we wcześniejszych wersjach.

                                                                                                                                                  6 września 2019 r.

                                                                                                                                                  Dodano SQL Server Standard do wymagań serwera bazy danych.

                                                                                                                                                  29 sierpnia 2019 r.Dodano Configure Squid Proxies for Hybrid Data Security appendix z wytycznymi dotyczącymi konfigurowania serwerów proxy Squid w celu zignorowania ruchu websocket w celu prawidłowej obsługi.
                                                                                                                                                  20 sierpnia 2019 r.

                                                                                                                                                  Dodano i zaktualizowano sekcje, aby objąć obsługę proxy komunikacji węzła hybrydowego bezpieczeństwa danych z chmurą Webex.

                                                                                                                                                  Aby uzyskać dostęp tylko do zawartości obsługi serwera proxy dla istniejącego wdrożenia, zobacz artykuł pomocy Proxy Support for Hybrid Data Security i Webex Video Mesh .

                                                                                                                                                  13 czerwca 2019 r.Zaktualizowano próbny do przepływu zadań produkcyjnych z przypomnieniem o synchronizacji HdsTrialGroup obiekt grupowy przed rozpoczęciem próby, jeśli Twoja organizacja korzysta z synchronizacji katalogu.
                                                                                                                                                  6 marca 2019 r.
                                                                                                                                                  28 lutego 2019 r.
                                                                                                                                                  • Skorygowano ilość lokalnego miejsca na dysku twardym na serwer, którą należy odłożyć podczas przygotowywania wirtualnych hostów, które stają się węzłami hybrydowego zabezpieczenia danych, z 50 GB do 20 GB, aby odzwierciedlić rozmiar dysku, który tworzy OVA.

                                                                                                                                                  26 lutego 2019 r.
                                                                                                                                                  • Węzły hybrydowego zabezpieczenia danych obsługują teraz szyfrowane połączenia z serwerami bazy danych PostgreSQL i szyfrowane połączenia rejestrowania z serwerem dziennika systemowego obsługującym protokół TLS. Zaktualizowano Tworzenie ISO konfiguracji dla prowadzących HDS z instrukcjami.

                                                                                                                                                  • Usunięto adresy URL docelowe z tabeli „Wymagania dotyczące łączności internetowej dla hybrydowych węzłów bezpieczeństwa danych”. Tabela odnosi się teraz do listy utrzymywanej w tabeli „Dodatkowe adresy URL usług hybrydowych Webex Teams” dotyczącej wymagań sieciowych dla usług Webex Teams.

                                                                                                                                                  24 stycznia 2019 r.

                                                                                                                                                  • Hybrid Data Security obsługuje teraz Microsoft SQL Server jako bazę danych. Serwer SQL Always On (Klastry Always On Failover i grupy Always On Availability) jest obsługiwany przez sterowniki JDBC używane w hybrydowych zabezpieczeniach danych. Dodano zawartość związaną z wdrożeniem z programem SQL Server.


                                                                                                                                                     

                                                                                                                                                    Obsługa rozwiązania Microsoft SQL Server jest przeznaczona tylko dla nowych wdrożeń hybrydowych zabezpieczeń danych. Obecnie nie obsługujemy migracji danych z serwera PostgreSQL na serwer Microsoft SQL Server w istniejącym wdrożeniu.

                                                                                                                                                  5 listopada 2018 r.
                                                                                                                                                  19 października 2018 r.

                                                                                                                                                  31 lipca 2018 r.

                                                                                                                                                  21 maja 2018 r.

                                                                                                                                                  Zmieniona terminologia odzwierciedlająca zmianę marki Cisco Spark:

                                                                                                                                                  • Cisco Spark Hybrid Data Security jest teraz Hybrid Data Security.

                                                                                                                                                  • Aplikacja Cisco Spark jest teraz aplikacją Webex.

                                                                                                                                                  • Cisco Collaboraton Cloud jest teraz chmurą Webex.

                                                                                                                                                  11 kwietnia 2018 r.
                                                                                                                                                  22 lutego 2018 r.
                                                                                                                                                  Luty 15, 2018
                                                                                                                                                  • W tabeli Wymagania dotyczące certyfikatów X.509 określono, że certyfikat nie może być certyfikatem z wieloznacznymi kartami i że KMS używa domeny CN, a nie żadnej domeny zdefiniowanej w polach SAN x.509v3.

                                                                                                                                                  Styczeń 18, 2018

                                                                                                                                                  2 listopada 2017 r.

                                                                                                                                                  • Skrócona synchronizacja katalogu grupy HdsTrialGroup.

                                                                                                                                                  • Stałe instrukcje dotyczące przesyłania pliku konfiguracyjnego ISO w celu montażu w węzłach VM.

                                                                                                                                                  18 sierpnia 2017 r.

                                                                                                                                                  Pierwsza publikacja

                                                                                                                                                  Rozpocznij pracę z Hybrid Data Security

                                                                                                                                                  Przegląd zabezpieczeń danych hybrydowych

                                                                                                                                                  Od pierwszego dnia bezpieczeństwo danych było głównym celem projektowania aplikacji Webex. Podstawą tych zabezpieczeń jest kompleksowe szyfrowanie zawartości, włączane przez klientów aplikacji Webex , którzy wchodzą w interakcję z usługą zarządzania kluczami (KMS). Usługa KMS jest odpowiedzialna za tworzenie kluczy kryptograficznych używanych przez klientów do dynamicznego szyfrowania i odszyfrowywania wiadomości i plików oraz zarządzanie nimi.

                                                                                                                                                  Domyślnie wszyscy klienci aplikacji Webex otrzymują kompleksowe szyfrowanie za pomocą kluczy dynamicznych przechowywanych w chmurze KMS w obszarze bezpieczeństwa firmy Cisco. Hybrid Data Security przenosi usługę KMS i inne funkcje związane z bezpieczeństwem do centrum danych przedsiębiorstwa, dzięki czemu nikt poza Tobą nie ma kluczy do zaszyfrowanej zawartości.

                                                                                                                                                  Architektura domeny zabezpieczeń

                                                                                                                                                  Architektura chmury Webex oddziela różne rodzaje usług od osobnych domen lub domen zaufania, jak przedstawiono poniżej.

                                                                                                                                                  Realms of Separation (bez hybrydowego zabezpieczenia danych)

                                                                                                                                                  Aby lepiej zrozumieć hybrydowe zabezpieczenia danych, spójrzmy najpierw na ten przypadek czystej chmury, w którym firma Cisco zapewnia wszystkie funkcje w swoich domenach w chmurze. Usługa tożsamości, jedyne miejsce, w którym użytkownicy mogą być bezpośrednio skorelowani ze swoimi danymi osobowymi, takimi jak adres e-mail, jest logicznie i fizycznie oddzielona od domeny bezpieczeństwa w centrum danych B. Oba są z kolei oddzielone od domeny, w której ostatecznie przechowywana jest zaszyfrowana zawartość, w centrum danych C.

                                                                                                                                                  Na tym schemacie klient to aplikacja Webex działająca na laptopie użytkownika i uwierzytelniona za pomocą usługi tożsamości. Gdy użytkownik komponuje wiadomość do wysłania do obszaru, wykonywane są następujące czynności:

                                                                                                                                                  1. Klient ustanawia bezpieczne połączenie z usługą zarządzania kluczami (KMS), a następnie prosi o klucz do szyfrowania wiadomości. Bezpieczne połączenie korzysta z ECDH, a KMS szyfruje klucz przy użyciu klucza głównego AES-256.

                                                                                                                                                  2. Wiadomość jest szyfrowana przed opuszczeniem klienta. Klient wysyła go do usługi indeksowania, która tworzy zaszyfrowane indeksy wyszukiwania, aby pomóc w przyszłych wyszukiwaniach zawartości.

                                                                                                                                                  3. Zaszyfrowana wiadomość jest wysyłana do usługi zgodności w celu sprawdzenia zgodności.

                                                                                                                                                  4. Zaszyfrowana wiadomość jest przechowywana w domenie przechowywania.

                                                                                                                                                  Podczas wdrażania hybrydowego zabezpieczenia danych funkcje domeny zabezpieczeń (KMS, indeksowanie i zgodność) są przenoszone do lokalnego centrum danych. Inne usługi w chmurze, które składają się na usługę Webex (w tym pamięć masowa tożsamości i zawartości), pozostają w domenach Cisco.

                                                                                                                                                  Współpraca z innymi organizacjami

                                                                                                                                                  Użytkownicy w organizacji mogą regularnie korzystać z aplikacji Webex do współpracy z uczestnikami zewnętrznymi w innych organizacjach. Gdy jeden z użytkowników prosi o klucz do obszaru należącego do organizacji (ponieważ został on utworzony przez jednego z użytkowników), KMS wysyła klucz do klienta za pośrednictwem kanału zabezpieczonego ECDH. Jednak gdy inna organizacja jest właścicielem klucza dla obszaru, system KMS kieruje żądanie do chmury Webex przez osobny kanał ECDH, aby uzyskać klucz z odpowiedniego systemu KMS, a następnie zwraca go do użytkownika na oryginalnym kanale.

                                                                                                                                                  Usługa KMS działająca na Org A weryfikuje połączenia z KMSs w innych organizacjach za pomocą certyfikatów PKI x.509. Aby uzyskać szczegółowe informacje na temat generowania certyfikatu x.509 do użytku z wdrożeniem hybrydowego zabezpieczenia danych, zobacz Prepare Your Environment (Przygotowanie środowiska).

                                                                                                                                                  Oczekiwania dotyczące wdrażania hybrydowych zabezpieczeń danych

                                                                                                                                                  Wdrożenie hybrydowego zabezpieczenia danych wymaga znacznego zaangażowania klienta i świadomości ryzyka związanego z posiadaniem kluczy szyfrowania.

                                                                                                                                                  Aby wdrożyć hybrydowe zabezpieczenia danych, należy zapewnić:

                                                                                                                                                  Kompletna utrata konfiguracji ISO utworzonej dla hybrydowego zabezpieczenia danych lub dostarczonej bazy danych spowoduje utratę kluczy. Utrata klucza uniemożliwia użytkownikom odszyfrowanie zawartości obszaru i innych zaszyfrowanych danych w aplikacji Webex. Jeśli tak się stanie, możesz zbudować nowe wdrożenie, ale widoczna będzie tylko nowa zawartość. Aby uniknąć utraty dostępu do danych, należy:

                                                                                                                                                  • Zarządzanie kopią zapasową i odzyskiwaniem bazy danych oraz konfiguracją ISO.

                                                                                                                                                  • Przygotuj się do szybkiego odzyskiwania awaryjnego w przypadku wystąpienia katastrofy, takiej jak awaria dysku bazy danych lub awaria centrum danych.


                                                                                                                                                   

                                                                                                                                                  Nie ma mechanizmu przenoszenia kluczy z powrotem do chmury po wdrożeniu HDS.

                                                                                                                                                  Proces konfiguracji na wysokim poziomie

                                                                                                                                                  Niniejszy dokument obejmuje konfigurację i zarządzanie wdrożeniem hybrydowego zabezpieczenia danych:

                                                                                                                                                  • Skonfiguruj hybrydowe zabezpieczenia danych— obejmuje to przygotowanie wymaganej infrastruktury i zainstalowanie oprogramowania hybrydowego zabezpieczenia danych, testowanie wdrożenia z podzbiorem użytkowników w trybie próbnym oraz, po zakończeniu testów, przejście do produkcji. Spowoduje to konwertowanie całej organizacji do używania klastra Hybrid Data Security dla funkcji zabezpieczeń.

                                                                                                                                                    Etapy konfiguracji, prób i produkcji zostały szczegółowo omówione w kolejnych trzech rozdziałach.

                                                                                                                                                  • Utrzymuj wdrożenie hybrydowego zabezpieczenia danych— chmura Webex automatycznie zapewnia trwające uaktualnienia. Dział IT może zapewnić wsparcie poziomu pierwszego dla tego wdrożenia i zaangażować wsparcie Cisco w razie potrzeby. Możesz korzystać z powiadomień na ekranie i konfigurować alerty oparte na wiadomościach e-mail w Control Hub.

                                                                                                                                                  • Zrozumienie wspólnych alertów, kroków rozwiązywania problemów i znanych problemów— w przypadku wystąpienia problemów z wdrożeniem lub użyciem hybrydowego zabezpieczenia danych ostatni rozdział niniejszego przewodnika i dodatku do Znanych problemów może pomóc w określeniu i rozwiązaniu problemu.

                                                                                                                                                  Hybrydowy model wdrażania zabezpieczeń danych

                                                                                                                                                  W centrum danych przedsiębiorstwa wdrażasz hybrydowe zabezpieczenia danych jako jeden klaster węzłów na osobnych hostach wirtualnych. Węzły komunikują się z chmurą Webex za pośrednictwem bezpiecznych websocketów i bezpiecznego protokołu HTTP.

                                                                                                                                                  Podczas procesu instalacji dostarczamy Ci plik OVA do skonfigurowania urządzenia wirtualnego na dostarczonych maszynach wirtualnych. Narzędzie konfiguracyjne HDS służy do tworzenia niestandardowego pliku ISO konfiguracji klastra, który jest montowany w każdym węźle. Klaster Hybrid Data Security korzysta z dostarczonego serwera Syslogd i bazy danych PostgreSQL lub Microsoft SQL Server. (Szczegóły połączenia Syslogd i bazy danych można skonfigurować w narzędziu konfiguracji HDS).

                                                                                                                                                  Hybrydowy model wdrażania zabezpieczeń danych

                                                                                                                                                  Minimalna liczba węzłów w klastrze to dwa. Zalecamy co najmniej trzy, a możesz mieć do pięciu. Posiadanie wielu węzłów zapewnia, że usługa nie zostanie przerwana podczas uaktualniania oprogramowania lub innej czynności konserwacyjnej w węźle. (Chmura Webex aktualizuje tylko jeden węzeł naraz).

                                                                                                                                                  Wszystkie węzły w klastrze mają dostęp do tego samego rekordu danych klucza i aktywności dziennika na tym samym serwerze dziennika systemowego. Same węzły są bezpaństwowe i obsługują żądania kluczy w sposób okrągły, zgodnie z zaleceniami chmury.

                                                                                                                                                  Węzły stają się aktywne po zarejestrowaniu ich w Control Hub. Aby usunąć pojedynczy węzeł z usługi, można go wyrejestrować, a następnie ponownie wyrejestrować w razie potrzeby.

                                                                                                                                                  Obsługujemy tylko jeden klaster na organizację.

                                                                                                                                                  Tryb próbny zabezpieczeń danych hybrydowych

                                                                                                                                                  Po skonfigurowaniu wdrożenia hybrydowego zabezpieczenia danych spróbuj go najpierw z zestawem użytkowników pilotażowych. W okresie próbnym użytkownicy ci wykorzystują lokalną domenę hybrydowego zabezpieczenia danych do szyfrowania kluczy i innych usług domeny zabezpieczeń. Inni użytkownicy nadal korzystają ze sfery zabezpieczeń w chmurze.

                                                                                                                                                  Jeśli zdecydujesz się nie kontynuować wdrażania podczas wersji próbnej i dezaktywować usługi, użytkownicy pilotażowi i wszyscy użytkownicy, z którymi współpracowali, tworząc nowe obszary w okresie próbnym, utracą dostęp do wiadomości i treści. Zostanie wyświetlony komunikat „Nie można odszyfrować tej wiadomości” w aplikacji Webex.

                                                                                                                                                  Jeśli jesteś zadowolony, że wdrożenie działa dobrze dla użytkowników próbnych i jesteś gotowy do rozszerzenia hybrydowego zabezpieczenia danych na wszystkich użytkowników, przenosisz wdrożenie do produkcji. Użytkownicy pilotażowi nadal mają dostęp do kluczy, które były używane podczas próby. Nie można jednak poruszać się w tę i z powrotem między trybem produkcji a oryginalnym testem. Jeśli musisz dezaktywować usługę, na przykład w celu przeprowadzenia odzyskiwania po awarii, po ponownej aktywacji musisz rozpocząć nową wersję próbną i skonfigurować zestaw użytkowników pilotażowych dla nowej wersji próbnej przed powrotem do trybu produkcji. To, czy użytkownicy zachowują w tym momencie dostęp do danych, zależy od tego, czy udało się zachować kopie zapasowe kluczowego magazynu danych i pliku konfiguracyjnego ISO dla węzłów hybrydowych zabezpieczeń danych w klastrze.

                                                                                                                                                  Standby Data Center for Disaster Recovery

                                                                                                                                                  Podczas wdrażania skonfigurowano bezpieczne centrum danych w trybie gotowości. W przypadku awarii centrum danych można ręcznie anulować wdrożenie do centrum danych w trybie gotowości.

                                                                                                                                                  Before failover, Data Center A has active HDS nodes and the primary PostgreSQL or Microsoft SQL Server database, while B has a copy of the ISO file with additional configurations, VMs that are registered to the organization, and a standby database. After failover, Data Center B has active HDS nodes and the primary database, while A has unregistered VMs and a copy of the ISO file, and the database is in standby mode.
                                                                                                                                                  Ręczne przełączanie awaryjne do Standby Data Center

                                                                                                                                                  Bazy danych aktywnych i standby centrów danych są ze sobą zsynchronizowane, co zminimalizuje czas potrzebny na wykonanie przełącznika awaryjnego. Plik ISO centrum danych w trybie gotowości jest aktualizowany o dodatkowe konfiguracje, które zapewniają rejestrację węzłów w organizacji, ale nie obsługują ruchu. Stąd węzły standby data center zawsze pozostają aktualne z najnowszą wersją oprogramowania HDS.


                                                                                                                                                   

                                                                                                                                                  Aktywne węzły hybrydowego zabezpieczenia danych muszą zawsze znajdować się w tym samym centrum danych, co aktywny serwer bazy danych.

                                                                                                                                                  Konfiguracja Standby Data Center do odzyskiwania awarii

                                                                                                                                                  Wykonaj poniższe czynności, aby skonfigurować plik ISO centrum danych w trybie gotowości:

                                                                                                                                                  Przed rozpoczęciem

                                                                                                                                                  • Centrum danych w stanie gotowości powinno odzwierciedlać środowisko produkcyjne maszyn wirtualnych oraz zapasową bazę danych PostgreSQL lub Microsoft SQL Server. Na przykład, jeśli produkcja ma 3 maszyny wirtualne z węzłami HDS, środowisko tworzenia kopii zapasowych powinno mieć 3 maszyny wirtualne (zobacz Standby Data Center for Disaster Recovery , aby zapoznać się z tym modelem failover).

                                                                                                                                                  • Upewnij się, że synchronizacja bazy danych jest włączona między bazą danych aktywnych i pasywnych węzłów klastra.

                                                                                                                                                  1

                                                                                                                                                  Uruchom narzędzie do konfiguracji HDS i wykonaj czynności opisane w dokumencie Create a Configuration ISO for the HDS Hosts.


                                                                                                                                                   

                                                                                                                                                  Plik ISO musi być kopią oryginalnego pliku ISO głównego centrum danych, na którym mają być dokonywane następujące aktualizacje konfiguracji.

                                                                                                                                                  2

                                                                                                                                                  Po skonfigurowaniu serwera Syslogd kliknij Ustawienia zaawansowane

                                                                                                                                                  3

                                                                                                                                                  Na stronie Ustawienia zaawansowane dodaj poniższą konfigurację, aby umieścić węzeł w trybie pasywnym. W tym trybie węzeł zostanie zarejestrowany w organizacji i połączony z chmurą, ale nie będzie obsługiwał żadnego ruchu.

                                                                                                                                                  
                                                                                                                                                  passiveMode: 'true'
                                                                                                                                                  
                                                                                                                                                  4

                                                                                                                                                  Zakończ proces konfiguracji i zapisz plik ISO w lokalizacji, która jest łatwa do znalezienia.

                                                                                                                                                  5

                                                                                                                                                  Wykonaj kopię zapasową pliku ISO w lokalnym systemie. Kopia zapasowa powinna być zabezpieczona. Ten plik zawiera główny klucz szyfrowania zawartości bazy danych. Ogranicz dostęp tylko do tych administratorów hybrydowych zabezpieczeń danych, którzy powinni wprowadzać zmiany w konfiguracji.

                                                                                                                                                  6

                                                                                                                                                  W lewym okienku nawigacyjnym klienta VMware vSphere kliknij prawym przyciskiem myszy maszynę wirtualną i kliknij opcję Edytuj ustawienia..

                                                                                                                                                  7

                                                                                                                                                  Kliknij opcję Edytuj ustawienia >Napęd CD/DVD 1 i wybierz Plik ISO Datastore.


                                                                                                                                                   

                                                                                                                                                  Upewnij się, że Connected and Connect at power on (Podłączono) są zaznaczone, aby zaktualizowane zmiany konfiguracji mogły wejść w życie po uruchomieniu węzłów.

                                                                                                                                                  8

                                                                                                                                                  Włącz węzeł HDS i upewnij się, że nie ma alarmów przez co najmniej 15 minut.

                                                                                                                                                  9

                                                                                                                                                  Powtórz proces dla każdego węzła w centrum danych standby.


                                                                                                                                                   

                                                                                                                                                  Sprawdź dzienniki syslog, aby sprawdzić, czy węzły są w trybie pasywnym. W dziennikach syslog należy mieć możliwość wyświetlania komunikatu „KMS skonfigurowany w trybie pasywnym”.

                                                                                                                                                  Co zrobić dalej

                                                                                                                                                  Po skonfigurowaniu passiveMode w pliku ISO i zapisanie go można utworzyć inną kopię pliku ISO bez passiveMode konfigurację i zapisanie w bezpiecznym miejscu. Ta kopia pliku ISO bez passiveMode skonfigurowany może pomóc w szybkim procesie awaryjnym podczas odzyskiwania po awarii. Aby zapoznać się ze szczegółową procedurą przywracania awaryjnego za pomocą Standby Data Center (Centrum danych gotowości).

                                                                                                                                                  Wsparcie proxy

                                                                                                                                                  Hybrydowe zabezpieczenia danych obsługują jednoznaczne, przejrzyste inspekcje i nieinspekcje serwerów proxy. Możesz powiązać te serwery proxy z wdrożeniem, aby można było zabezpieczyć i monitorować ruch z przedsiębiorstwa do chmury. Interfejsu administratora platformy można używać w węzłach do zarządzania certyfikatami i sprawdzania ogólnego stanu łączności po skonfigurowaniu serwera proxy w węzłach.

                                                                                                                                                  Węzły hybrydowego zabezpieczenia danych obsługują następujące opcje serwera proxy:

                                                                                                                                                  • Brak serwera proxy — ustawienie domyślne, jeśli w celu zintegrowania serwera proxy nie jest używane do konfiguracji węzła HDS Trust Store & Proxy. Nie jest wymagana aktualizacja certyfikatu.

                                                                                                                                                  • Przejrzysty serwer proxy niekontrolowany — węzły nie są skonfigurowane do używania określonego adresu serwera proxy i nie powinny wymagać żadnych zmian w pracy z serwerem proxy niekontrolowanym. Nie jest wymagana aktualizacja certyfikatu.

                                                                                                                                                  • Przejrzyste tunelowanie lub sprawdzanie serwera proxy — węzły nie są skonfigurowane do korzystania z określonego adresu serwera proxy. W węzłach nie są konieczne zmiany konfiguracji protokołu HTTP ani protokołu HTTPS. Węzły potrzebują jednak certyfikatu głównego, aby zaufać proxy. Informatycy zazwyczaj używają serwerów proxy do egzekwowania zasad, na których strony internetowe mogą być odwiedzane i które rodzaje treści są niedozwolone. Ten typ serwera proxy odszyfruje cały ruch (nawet HTTPS).

                                                                                                                                                  • Wyraźny serwer proxy — w przypadku wyraźnego serwera proxy należy wskazać węzły HDS, których serwer proxy i schemat uwierzytelniania należy używać. Aby skonfigurować wyraźny serwer proxy, należy wprowadzić następujące informacje w każdym węźle:

                                                                                                                                                    1. Proxy IP/FQDN — adres, którego można użyć do dotarcia do maszyny proxy.

                                                                                                                                                    2. Port serwera proxy— numer portu, którego serwer proxy używa do odsłuchiwania ruchu z serwerem proxy.

                                                                                                                                                    3. Protokół proxy— w zależności od tego, co obsługuje serwer proxy, wybierz między następującymi protokołami:

                                                                                                                                                      • HTTP — wyświetla i kontroluje wszystkie żądania wysyłane przez klienta.

                                                                                                                                                      • HTTPS — udostępnia kanał do serwera. Klient odbiera i weryfikuje certyfikat serwera.

                                                                                                                                                    4. Typ uwierzytelniania — wybierz spośród następujących typów uwierzytelniania:

                                                                                                                                                      • Brak — dalsze uwierzytelnianie nie jest wymagane.

                                                                                                                                                        Dostępne, jeśli jako protokół proxy zostanie wybrany protokół HTTP lub HTTPS.

                                                                                                                                                      • Basic — używane przez agenta użytkownika HTTP do podawania nazwy użytkownika i hasła podczas składania żądania. Korzysta z kodowania Base64.

                                                                                                                                                        Dostępne, jeśli jako protokół proxy zostanie wybrany protokół HTTP lub HTTPS.

                                                                                                                                                        Wymaga wprowadzenia nazwy użytkownika i hasła w każdym węźle.

                                                                                                                                                      • Digest — służy do potwierdzenia konta przed wysłaniem poufnych informacji. Przed wysłaniem za pośrednictwem sieci należy zastosować funkcję skrótu w nazwie użytkownika i hasłem.

                                                                                                                                                        Dostępne tylko po wybraniu protokołu HTTPS jako protokołu proxy.

                                                                                                                                                        Wymaga wprowadzenia nazwy użytkownika i hasła w każdym węźle.

                                                                                                                                                  Przykład węzłów hybrydowych zabezpieczeń danych i serwera proxy

                                                                                                                                                  Na tym wykresie przedstawiono przykładowe połączenie między hybrydowym zabezpieczeniem danych, siecią i serwerem proxy. W przypadku opcji przejrzystej inspekcji i jawnej inspekcji serwera proxy HTTPS ten sam certyfikat główny musi być zainstalowany na serwerze proxy i w węzłach hybrydowych zabezpieczeń danych.

                                                                                                                                                  Zablokowany zewnętrzny tryb rozpoznawania DNS (wyraźne konfiguracje serwera proxy)

                                                                                                                                                  Po zarejestrowaniu węzła lub sprawdzeniu konfiguracji serwera proxy węzła proces testuje wyszukiwanie DNS i łączność z chmurą Cisco Webex. W przypadku wdrożeń z wyraźnymi konfiguracjami serwera proxy, które nie zezwalają na zewnętrzną rozdzielczość DNS dla klientów wewnętrznych, jeśli węzeł nie może wyszukiwać serwerów DNS, automatycznie przechodzi on w tryb Zablokowanej zewnętrznej rozdzielczości DNS. W tym trybie można kontynuować rejestrację węzła i inne testy łączności serwera proxy.

                                                                                                                                                  Przygotuj swoje środowisko

                                                                                                                                                  Wymagania dotyczące hybrydowego bezpieczeństwa danych

                                                                                                                                                  Wymagania licencyjne Cisco Webex

                                                                                                                                                  Aby wdrożyć hybrydowe zabezpieczenia danych:

                                                                                                                                                  Docker Wymagania pulpitowe

                                                                                                                                                  Przed zainstalowaniem węzłów HDS potrzebny jest Docker Desktop do uruchomienia programu konfiguracji. Docker niedawno zaktualizował swój model licencjonowania. Twoja organizacja może wymagać płatnej subskrypcji platformy Docker Desktop. Aby uzyskać szczegółowe informacje, zobacz wpis w blogu platformy Docker, „ Docker aktualizuje i rozszerza subskrypcje naszych produktów ”.

                                                                                                                                                  Wymagania dotyczące certyfikatu X.509

                                                                                                                                                  Łańcuch certyfikatów musi spełniać następujące wymagania:

                                                                                                                                                  Tabela 1. X.509 Wymagania dotyczące certyfikatów dla wdrażania hybrydowego zabezpieczenia danych

                                                                                                                                                  Wymaganie

                                                                                                                                                  Szczegóły

                                                                                                                                                  • Podpisany przez zaufany urząd certyfikacji (CA)

                                                                                                                                                  Domyślnie ufamy urzędnikom na liście Mozilla (z wyjątkiem WoSign i StartCom) pod adresem https://wiki.mozilla.org/CA:IncludedCAs.

                                                                                                                                                  • Nazwa domeny wspólnej nazwy (CN) identyfikująca wdrożenie hybrydowego zabezpieczenia danych

                                                                                                                                                  • Nie jest certyfikatem wieloznacznych kart

                                                                                                                                                  CN nie musi być osiągalne ani hostem na żywo. Zalecamy używanie nazwy odzwierciedlającej np. organizację, hds.company.com.

                                                                                                                                                  CN nie może zawierać * (wildcard).

                                                                                                                                                  CN służy do weryfikacji węzłów hybrydowych zabezpieczeń danych dla klientów aplikacji Webex. Wszystkie węzły hybrydowego zabezpieczenia danych w klastrze używają tego samego certyfikatu. System KMS identyfikuje się za pomocą domeny CN, a nie żadnej domeny zdefiniowanej w polach SAN x.509v3.

                                                                                                                                                  Po zarejestrowaniu węzła z tym certyfikatem nie obsługujemy zmiany nazwy domeny CN. Wybierz domenę, która może mieć zastosowanie zarówno do wdrożeń próbnych, jak i produkcyjnych.

                                                                                                                                                  • Podpis inny niż SHA1

                                                                                                                                                  Oprogramowanie KMS nie obsługuje podpisów SHA1 w celu weryfikacji połączeń z KMSs innych organizacji.

                                                                                                                                                  • Formatowany jako plik PKCS #12 chroniony hasłem

                                                                                                                                                  • Użyj przyjaznej nazwy kms-private-key aby oznaczyć certyfikat, klucz prywatny i wszelkie certyfikaty pośrednie do przesłania.

                                                                                                                                                  Możesz użyć konwertera, takiego jak OpenSSL, aby zmienić format certyfikatu.

                                                                                                                                                  Po uruchomieniu narzędzia konfiguracji usługi HDS należy wprowadzić hasło.

                                                                                                                                                  Oprogramowanie KMS nie wymusza użycia klucza ani nie nakłada dodatkowych ograniczeń w jego używaniu. Niektóre organy certyfikatów wymagają, aby do każdego certyfikatu stosowano rozszerzone ograniczenia użycia kluczy, takie jak uwierzytelnianie serwera. Można używać uwierzytelniania serwera lub innych ustawień.

                                                                                                                                                  Wymagania dotyczące wirtualnego prowadzącego

                                                                                                                                                  Wirtualne hosty skonfigurowane jako węzły hybrydowego zabezpieczenia danych w klastrze mają następujące wymagania:

                                                                                                                                                  • Co najmniej dwa osobne hosty (zalecane 3) zestawione w tym samym bezpiecznym centrum danych

                                                                                                                                                  • Oprogramowanie VMware ESXi 6.5 (lub nowsze) zostało zainstalowane i uruchomione.


                                                                                                                                                     

                                                                                                                                                    Jeśli masz wcześniejszą wersję ESXi, musisz ją uaktualnić.

                                                                                                                                                  • Minimum 4 procesory vCPUs, 8-GB pamięci głównej, 30-GB lokalnego miejsca na dysk twardy na serwer

                                                                                                                                                  Wymagania serwera bazy danych


                                                                                                                                                   

                                                                                                                                                  Utwórz nową bazę danych do przechowywania kluczy. Nie używaj domyślnej bazy danych. Aplikacje HDS po zainstalowaniu tworzą schemat bazy danych.

                                                                                                                                                  Istnieją dwie opcje dla serwera bazy danych. Wymagania dla każdego z nich są następujące:

                                                                                                                                                  Tabela 2. Wymagania serwera bazy danych według typu bazy danych

                                                                                                                                                  PostgreSQL

                                                                                                                                                  Microsoft SQL Server

                                                                                                                                                  • PostgreSQL 14, 15 lub 16, zainstalowany i uruchomiony.

                                                                                                                                                  • Zainstalowano program SQL Server 2016, 2017 lub 2019 (Enterprise lub Standard).


                                                                                                                                                     

                                                                                                                                                    SQL Server 2016 wymaga pakietu usług 2 i zbiorczej aktualizacji 2 lub nowszej.

                                                                                                                                                  Minimum 8 procesorów vCPU, 16-GB pamięci głównej, wystarczająca ilość miejsca na dysku twardym i monitorowanie, aby upewnić się, że nie zostanie przekroczona (zalecane 2-TB, jeśli chcesz uruchomić bazę danych przez długi czas bez konieczności zwiększania pamięci)

                                                                                                                                                  Minimum 8 procesorów vCPU, 16-GB pamięci głównej, wystarczająca ilość miejsca na dysku twardym i monitorowanie, aby upewnić się, że nie zostanie przekroczona (zalecane 2-TB, jeśli chcesz uruchomić bazę danych przez długi czas bez konieczności zwiększania pamięci)

                                                                                                                                                  Oprogramowanie HDS instaluje obecnie następujące wersje sterowników do komunikacji z serwerem bazy danych:

                                                                                                                                                  PostgreSQL

                                                                                                                                                  Microsoft SQL Server

                                                                                                                                                  Postgres JDBC kierowca 42.2.5

                                                                                                                                                  SQL Server JDBC sterownik 4.6

                                                                                                                                                  Ta wersja sterownika obsługuje program SQL Server Always On (Always On Failover Cluster Instances oraz Always On availability groups).

                                                                                                                                                  Dodatkowe wymagania dotyczące uwierzytelniania systemu Windows w usłudze Microsoft SQL Server

                                                                                                                                                  Jeśli chcesz, aby węzły HDS używały uwierzytelniania w systemie Windows, aby uzyskać dostęp do bazy danych keystore na serwerze Microsoft SQL Server, potrzebujesz następującej konfiguracji w swoim środowisku:

                                                                                                                                                  • Węzły HDS, infrastruktura Active Directory i MS SQL Server muszą być synchronizowane z NTP.

                                                                                                                                                  • Konto systemu Windows dla węzłów HDS musi mieć dostęp do bazy danych do odczytu/zapisu.

                                                                                                                                                  • Serwery DNS dostarczane do węzłów HDS muszą być w stanie rozwiązać klucz centrum dystrybucji (KDC).

                                                                                                                                                  • Wystąpienie bazy danych HDS można zarejestrować na serwerze Microsoft SQL Server jako główną nazwę usługi (SPN) w usłudze Active Directory. Zobacz Rejestrowanie głównej nazwy usługi dla połączeń Kerberos.

                                                                                                                                                    Narzędzie do konfigurowania HDS, uruchamianie HDS i lokalne KMS muszą używać uwierzytelniania systemu Windows, aby uzyskać dostęp do bazy danych keystore. Używają szczegółów z konfiguracji ISO do budowy SPN podczas żądania dostępu za pomocą uwierzytelniania Kerberos.

                                                                                                                                                  Wymagania dotyczące połączeń zewnętrznych

                                                                                                                                                  Skonfiguruj zaporę, aby zezwolić na następującą łączność dla aplikacji HDS:

                                                                                                                                                  Aplikacja

                                                                                                                                                  Protokół

                                                                                                                                                  Port

                                                                                                                                                  Polecenie z aplikacji

                                                                                                                                                  Miejsce docelowe

                                                                                                                                                  Węzły hybrydowego zabezpieczenia danych

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  Zewnętrzne HTTPS i WSS

                                                                                                                                                  • Serwery Webex:

                                                                                                                                                    • *.wbx2.com

                                                                                                                                                    • *.ciscospark.com

                                                                                                                                                  • Wszystkie hosty Common Identity

                                                                                                                                                  • Inne adresy URL wymienione dla hybrydowych zabezpieczeń danych w tabeli Dodatkowe adresy URL dla usług hybrydowych Webex zawierającej wymagania sieciowe dla usług Webex

                                                                                                                                                  Narzędzie do konfigurowania HDS

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  Zewnętrzny protokół HTTPS

                                                                                                                                                  • *.wbx2.com

                                                                                                                                                  • Wszystkie hosty Common Identity

                                                                                                                                                  • hub.docker.com


                                                                                                                                                   

                                                                                                                                                  Węzły hybrydowego zabezpieczenia danych współpracują z tłumaczeniem dostępu do sieci (NAT) lub za zaporą, o ile NAT lub zapora zezwala na wymagane połączenia wychodzące z adresami domen w poprzedniej tabeli. W przypadku połączeń przychodzących do węzłów hybrydowego zabezpieczenia danych żadne porty nie powinny być widoczne z Internetu. W centrum danych klienci potrzebują dostępu do węzłów hybrydowych zabezpieczeń danych w portach TCP 443 i 22 do celów administracyjnych.

                                                                                                                                                  Adresy URL hostów Common Identity (CI) są specyficzne dla regionu. Są to bieżące hosty CI:

                                                                                                                                                  Region

                                                                                                                                                  Wspólne adresy URL prowadzącego tożsamości

                                                                                                                                                  Ameryka

                                                                                                                                                  • https://idbroker.webex.com

                                                                                                                                                  • https://identity.webex.com

                                                                                                                                                  • https://idbroker-b-us.webex.com

                                                                                                                                                  • https://identity-b-us.webex.com

                                                                                                                                                  Unia Europejska

                                                                                                                                                  • https://idbroker-eu.webex.com

                                                                                                                                                  • https://identity-eu.webex.com

                                                                                                                                                  Kanada

                                                                                                                                                  • https://idbroker-ca.webex.com

                                                                                                                                                  • https://identity-ca.webex.com

                                                                                                                                                  Wymagania serwera proxy

                                                                                                                                                  • Oficjalnie obsługujemy następujące rozwiązania proxy, które mogą integrować się z węzłami hybrydowego zabezpieczenia danych.

                                                                                                                                                    • Przejrzysty serwer proxy — Cisco Web Security Appliance (WSA).

                                                                                                                                                    • Wyraźny serwer proxy — Squid.


                                                                                                                                                       

                                                                                                                                                      Proxies Squid, które sprawdzają ruch HTTPS może kolidować z ustanowieniem websocket (wss:) połączeń. Aby rozwiązać ten problem, zobacz Configure Squid Proxies for Hybrid Data Security.

                                                                                                                                                  • Obsługujemy następujące kombinacje typów uwierzytelniania dla serwerów proxy:

                                                                                                                                                    • Brak uwierzytelniania przy użyciu protokołu HTTP lub HTTPS

                                                                                                                                                    • Uwierzytelnianie podstawowe przy użyciu protokołu HTTP lub HTTPS

                                                                                                                                                    • Uwierzytelnianie przy użyciu protokołu HTTPS

                                                                                                                                                  • W przypadku przejrzystego serwera proxy inspekcji lub bezpośredniego serwera proxy HTTPS należy posiadać kopię certyfikatu głównego serwera proxy. Instrukcje wdrażania zawarte w tym przewodniku informują o sposobie przesłania kopii do sklepów zaufania węzłów hybrydowych zabezpieczeń danych.

                                                                                                                                                  • Sieć hostująca węzły HDS musi być skonfigurowana tak, aby wymuszać wychodzący ruch TCP na porcie 443 na trasę przez serwer proxy.

                                                                                                                                                  • Serwery proxy, które kontrolują ruch sieciowy, mogą zakłócać połączenia z gniazdem internetowym. Jeśli wystąpi ten problem, omijając (nie kontrolując) ruch do wbx2.com oraz ciscospark.com rozwiąże problem.

                                                                                                                                                  Wypełnij wymagania wstępne dla hybrydowego zabezpieczenia danych

                                                                                                                                                  Użyj tej listy kontrolnej, aby upewnić się, że jesteś gotowy do zainstalowania i skonfigurowania klastra hybrydowego bezpieczeństwa danych.
                                                                                                                                                  1

                                                                                                                                                  Upewnij się, że Twoja organizacja Webex jest włączona dla pakietu Pro Pack dla Cisco Webex Control Hub i uzyskaj poświadczenia konta z pełnymi prawami administratora organizacji. Aby uzyskać pomoc w tym procesie, skontaktuj się z partnerem firmy Cisco lub menedżerem konta.

                                                                                                                                                  2

                                                                                                                                                  Wybierz nazwę domeny dla wdrożenia HDS (na przykład hds.company.com) i uzyskać łańcuch certyfikatów zawierający certyfikat X.509, klucz prywatny i wszelkie certyfikaty pośrednie. Łańcuch certyfikatów musi spełniać wymagania określone w X.509 Certificate Requirements.

                                                                                                                                                  3

                                                                                                                                                  Przygotuj identyczne wirtualne hosty, które skonfigurujesz jako węzły hybrydowego zabezpieczenia danych w klastrze. Potrzebne są co najmniej dwa oddzielne hosty (zalecane 3) zestawione w tym samym bezpiecznym centrum danych, które spełniają wymagania w Wymagania wirtualnego hosta.

                                                                                                                                                  4

                                                                                                                                                  Przygotuj serwer bazy danych, który będzie działał jako kluczowy magazyn danych dla klastra, zgodnie z wymaganiami serwera bazy danych. Serwer bazy danych musi być zestawiony w bezpiecznym centrum danych z wirtualnymi hostami.

                                                                                                                                                  1. Utwórz bazę danych do przechowywania kluczy. (Musisz utworzyć tę bazę danych — nie używaj domyślnej bazy danych. Aplikacje HDS, po zainstalowaniu, tworzą schemat bazy danych.)

                                                                                                                                                  2. Zbierz szczegóły używane przez węzły do komunikacji z serwerem bazy danych:

                                                                                                                                                    • nazwę prowadzącego lub adres IP (prowadzącego) i port

                                                                                                                                                    • nazwa bazy danych (dbname) do przechowywania kluczy

                                                                                                                                                    • nazwę użytkownika i hasło użytkownika ze wszystkimi uprawnieniami w bazie danych magazynu kluczy

                                                                                                                                                  5

                                                                                                                                                  W celu szybkiego odzyskiwania danych po awarii należy skonfigurować środowisko tworzenia kopii zapasowych w innym centrum danych. Środowisko tworzenia kopii zapasowych odzwierciedla środowisko produkcyjne maszyn wirtualnych i zapasowego serwera bazy danych. Na przykład, jeśli produkcja ma 3 maszyny wirtualne z węzłami HDS, środowisko tworzenia kopii zapasowych powinno mieć 3 maszyny wirtualne.

                                                                                                                                                  6

                                                                                                                                                  Skonfiguruj hosta dziennika systemowego, aby zbierał dzienniki z węzłów w klastrze. Zbierz adres sieciowy i port dziennika systemowego (domyślnie jest to UDP 514).

                                                                                                                                                  7

                                                                                                                                                  Utwórz bezpieczne zasady tworzenia kopii zapasowych węzłów hybrydowych zabezpieczeń danych, serwera bazy danych i hosta dziennika systemowego. Aby zapobiec niemożliwej do odzyskania utracie danych, należy wykonać kopię zapasową bazy danych i pliku ISO konfiguracji wygenerowanego dla węzłów hybrydowych zabezpieczeń danych.


                                                                                                                                                   

                                                                                                                                                  Ponieważ węzły hybrydowego zabezpieczenia danych przechowują klucze używane do szyfrowania i odszyfrowywania treści, brak utrzymania operacyjnego wdrożenia spowoduje NIEZBĘDNĄ STRATĘ tej zawartości.

                                                                                                                                                  Klienci aplikacji Webex przechowują klucze w pamięci podręcznej, więc awaria może nie być natychmiast zauważalna, ale z czasem stanie się widoczna. Chociaż tymczasowe przerwy są niemożliwe do zapobieżenia, są one do odzyskania. Jednak całkowita utrata (brak kopii zapasowych) bazy danych lub pliku konfiguracyjnego ISO spowoduje niemożliwy do odzyskania dane klienta. Oczekuje się, że operatorzy węzłów hybrydowego bezpieczeństwa danych będą utrzymywać częste kopie zapasowe bazy danych i pliku ISO konfiguracji oraz będą przygotowani do odbudowy centrum danych hybrydowego bezpieczeństwa danych w przypadku wystąpienia katastrofalnej awarii.

                                                                                                                                                  8

                                                                                                                                                  Upewnij się, że konfiguracja zapory umożliwia dostęp do łączności w węzłach hybrydowych zabezpieczeń danych, jak opisano w Zewnętrznych wymogach dotyczących łączności.

                                                                                                                                                  9

                                                                                                                                                  Zainstaluj Docker ( https://www.docker.com) na każdej maszynie lokalnej z obsługiwanym systemem operacyjnym (Microsoft Windows 10 Professional lub Enterprise 64-bit lub Mac OSX Yosemite 10.10.3 lub nowszym) z przeglądarką internetową, która może uzyskać do niej dostęp pod adresem http://127.0.0.1:8080.

                                                                                                                                                  Za pomocą wystąpienia Docker można pobrać i uruchomić narzędzie konfiguracji HDS, które tworzy lokalne informacje konfiguracyjne dla wszystkich węzłów hybrydowych zabezpieczeń danych. Twoja organizacja może potrzebować licencji Docker Desktop. Aby uzyskać więcej informacji, zobacz Wymagania Dotyczące Pulpitu Dockera.

                                                                                                                                                  Aby zainstalować i uruchomić narzędzie do konfiguracji HDS, lokalna maszyna musi mieć łączność opisaną w Zewnętrznych wymaganiach dotyczących łączności.

                                                                                                                                                  10

                                                                                                                                                  Jeśli integrujesz serwer proxy z hybrydowymi zabezpieczeniami danych, upewnij się, że spełnia on wymagania serwera proxy.

                                                                                                                                                  11

                                                                                                                                                  Jeśli Twoja organizacja używa synchronizacji katalogu, utwórz grupę w usłudze Active Directory o nazwie HdsTrialGroup, i dodać użytkowników pilotażowych. Grupa próbna może mieć do 250 użytkowników. Plik HdsTrialGroup obiekt musi być zsynchronizowany z chmurą przed rozpoczęciem próby dla organizacji. Aby zsynchronizować obiekt grupowy, wybierz go w łączniku usług katalogowych Konfiguracja > Menu Wybór obiektu. (Szczegółowe instrukcje można znaleźć w Podręczniku wdrażania Cisco Directory Connector.)


                                                                                                                                                   

                                                                                                                                                  Klucze dla danego obszaru są ustawiane przez twórcę tego obszaru. Wybierając użytkowników pilotażowych, należy pamiętać, że jeśli zdecydujesz się na trwałą dezaktywację wdrożenia hybrydowego zabezpieczenia danych, wszyscy użytkownicy utracą dostęp do treści w obszarach utworzonych przez użytkowników pilotażowych. Strata staje się widoczna, gdy aplikacje użytkowników odświeżą swoje kopie w pamięci podręcznej treści.

                                                                                                                                                  Konfigurowanie hybrydowego klastra bezpieczeństwa danych

                                                                                                                                                  Przepływ zadań związanych z wdrażaniem zabezpieczeń danych hybrydowych

                                                                                                                                                  Przed rozpoczęciem

                                                                                                                                                  Przygotuj swoje środowisko

                                                                                                                                                  1

                                                                                                                                                  Pobierz pliki instalacyjne

                                                                                                                                                  Pobierz plik OVA do lokalnego komputera, aby później go użyć.

                                                                                                                                                  2

                                                                                                                                                  Tworzenie ISO konfiguracji dla prowadzących HDS

                                                                                                                                                  Za pomocą narzędzia konfiguracyjnego HDS można utworzyć plik konfiguracyjny ISO dla węzłów hybrydowych zabezpieczeń danych.

                                                                                                                                                  3

                                                                                                                                                  Instalowanie OVA hosta HDS

                                                                                                                                                  Utwórz maszynę wirtualną z pliku OVA i wykonaj konfigurację początkową, taką jak ustawienia sieciowe.


                                                                                                                                                   

                                                                                                                                                  Opcja konfigurowania ustawień sieciowych podczas wdrażania OVA została przetestowana z ESXi 6.5. Opcja może nie być dostępna we wcześniejszych wersjach.

                                                                                                                                                  4

                                                                                                                                                  Skonfiguruj hybrydową maszynę wirtualną ds. bezpieczeństwa danych

                                                                                                                                                  Zaloguj się na konsoli VM i ustaw poświadczenia logowania. Skonfiguruj ustawienia sieciowe węzła, jeśli nie zostały skonfigurowane w czasie wdrażania OVA.

                                                                                                                                                  5

                                                                                                                                                  Prześlij i zamontuj ISO konfiguracji HDS

                                                                                                                                                  Skonfiguruj VM z pliku konfiguracyjnego ISO utworzonego za pomocą narzędzia do konfiguracji HDS.

                                                                                                                                                  6

                                                                                                                                                  Konfigurowanie węzła HDS dla integracji serwera proxy

                                                                                                                                                  Jeśli środowisko sieciowe wymaga konfiguracji serwera proxy, określ typ serwera proxy, którego użyjesz dla węzła, i w razie potrzeby dodaj certyfikat serwera proxy do sklepu zaufania.

                                                                                                                                                  7

                                                                                                                                                  Zarejestruj pierwszy węzeł w klastrze

                                                                                                                                                  Zarejestruj maszynę wirtualną za pomocą chmury Cisco Webex jako węzeł hybrydowego zabezpieczenia danych.

                                                                                                                                                  8

                                                                                                                                                  Tworzenie i rejestrowanie większej liczby węzłów

                                                                                                                                                  Zakończ konfigurację klastra.

                                                                                                                                                  9

                                                                                                                                                  Przeprowadzanie wersji próbnej i przejście do produkcji (następny rozdział)

                                                                                                                                                  Do momentu rozpoczęcia próby węzły wygenerują alarm wskazujący, że usługa nie została jeszcze aktywowana.

                                                                                                                                                  Pobierz pliki instalacyjne

                                                                                                                                                  W tym zadaniu pobierz plik OVA do swojego komputera (nie do serwerów skonfigurowanych jako węzły hybrydowego zabezpieczenia danych). Ten plik jest używany później w procesie instalacji.
                                                                                                                                                  1

                                                                                                                                                  Zaloguj się do https://admin.webex.com, a następnie kliknij opcję Usługi.

                                                                                                                                                  2

                                                                                                                                                  W sekcji Usługi hybrydowe znajdź kartę zabezpieczenia danych hybrydowych, a następnie kliknij przycisk Skonfiguruj.

                                                                                                                                                  Jeśli karta jest wyłączona lub jej nie widzisz, skontaktuj się z zespołem ds. kont lub organizacją partnerską. Podaj im numer konta i poproś o włączenie organizacji Hybrid Data Security. Aby znaleźć numer konta, kliknij bieg w prawym górnym rogu obok nazwy organizacji.


                                                                                                                                                   

                                                                                                                                                  OVA można również pobrać w dowolnym momencie z sekcji Pomoc na stronie Ustawienia . Na karcie Hybrid Data Security kliknij opcję Edytuj ustawienia, aby otworzyć stronę. Następnie kliknij opcję Pobierz oprogramowanie hybrydowego zabezpieczenia danych w sekcji Pomoc .


                                                                                                                                                   

                                                                                                                                                  Starsze wersje pakietu oprogramowania (OVA) nie będą kompatybilne z najnowszymi aktualizacjami Hybrid Data Security. Może to spowodować problemy podczas uaktualniania aplikacji. Upewnij się, że pobierz najnowszą wersję pliku OVA.

                                                                                                                                                  3

                                                                                                                                                  Wybierz Nie , aby wskazać, że węzeł nie został jeszcze skonfigurowany, a następnie kliknij przycisk Dalej.

                                                                                                                                                  Plik OVA automatycznie zaczyna się pobierać. Zapisz plik w lokalizacji na komputerze.
                                                                                                                                                  4

                                                                                                                                                  Opcjonalnie kliknij Open Deployment Guide (Otwórz przewodnik wdrażania), aby sprawdzić, czy dostępna jest późniejsza wersja tego przewodnika.

                                                                                                                                                  Tworzenie ISO konfiguracji dla prowadzących HDS

                                                                                                                                                  Proces konfiguracji hybrydowego zabezpieczenia danych tworzy plik ISO. Następnie należy użyć ISO do skonfigurowania hosta hybrydowego bezpieczeństwa danych.

                                                                                                                                                  Przed rozpoczęciem

                                                                                                                                                  • Narzędzie instalacji HDS działa jako kontener platformy Docker na komputerze lokalnym. Aby uzyskać do niego dostęp, uruchom platformę Docker na tym komputerze. Proces konfiguracji wymaga poświadczeń konta Control Hub z pełnymi uprawnieniami administratora dla Twojej organizacji.

                                                                                                                                                    Jeśli narzędzie HDS Setup działa za serwerem proxy w Twoim środowisku, podaj ustawienia serwera proxy (serwer, port, poświadczenia) za pomocą zmiennych środowiska Docker podczas podnoszenia kontenera Docker w kroku 5. W tej tabeli podano kilka możliwych zmiennych środowiskowych:

                                                                                                                                                    Opis

                                                                                                                                                    Zmienna

                                                                                                                                                    Serwer proxy HTTP bez uwierzytelniania

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    Serwer proxy HTTPS bez uwierzytelniania

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    Serwer proxy HTTP z uwierzytelnianiem

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                    Serwer proxy HTTPS z uwierzytelnianiem

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                  • Wygenerowany plik ISO konfiguracji zawiera klucz główny szyfrujący bazę danych PostgreSQL lub Microsoft SQL Server. Potrzebna jest najnowsza kopia tego pliku, gdy wprowadzasz zmiany w konfiguracji, takie jak:

                                                                                                                                                    • Poświadczenia bazy danych

                                                                                                                                                    • Aktualizacje certyfikatów

                                                                                                                                                    • Zmiany w zasadach autoryzacji

                                                                                                                                                  • Jeśli planujesz szyfrowanie połączeń z bazą danych, skonfiguruj wdrożenie programu PostgreSQL lub SQL Server dla TLS.

                                                                                                                                                  1

                                                                                                                                                  W wierszu poleceń komputera wprowadź polecenie odpowiednie dla swojego środowiska:

                                                                                                                                                  W zwykłych środowiskach:

                                                                                                                                                  docker rmi ciscocitg/hds-setup:stable

                                                                                                                                                  W środowiskach FedRAMP:

                                                                                                                                                  docker rmi ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                   

                                                                                                                                                  Ten krok czyści poprzednie obrazy narzędzia konfiguracji HDS. Jeśli nie ma poprzednich obrazów, zwraca błąd, który można zignorować.

                                                                                                                                                  2

                                                                                                                                                  Aby zalogować się do rejestru obrazów platformy Docker, wprowadź następujące informacje:

                                                                                                                                                  docker login -u hdscustomersro
                                                                                                                                                  3

                                                                                                                                                  Po wyświetleniu monitu o hasło wprowadź ten skrót:

                                                                                                                                                  dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
                                                                                                                                                  4

                                                                                                                                                  Pobierz najnowszy stabilny obraz dla swojego środowiska:

                                                                                                                                                  W zwykłych środowiskach:

                                                                                                                                                  docker pull ciscocitg/hds-setup:stable

                                                                                                                                                  W środowiskach FedRAMP:

                                                                                                                                                  docker pull ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  5

                                                                                                                                                  Po zakończeniu ściągania wprowadź polecenie odpowiednie dla środowiska:

                                                                                                                                                  • W zwykłych środowiskach bez serwera proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
                                                                                                                                                  • W zwykłych środowiskach z serwerem proxy HTTP:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • W zwykłych środowiskach z serwerem proxy HTTPS:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • W środowiskach FedRAMP bez serwera proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • W środowiskach FedRAMP z serwerem proxy HTTP:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • W środowiskach FedRAMP z serwerem proxy HTTPS:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                  Gdy kontener jest uruchomiony, zostanie wyświetlony komunikat „Serwer ekspresowy nasłuchuje na porcie 8080”.

                                                                                                                                                  6

                                                                                                                                                   

                                                                                                                                                  Narzędzie Konfiguracja nie obsługuje łączenia się z localhost za pośrednictwem http://localhost:8080. Użyj http://127.0.0.1:8080, aby połączyć się z hostem lokalizacji.

                                                                                                                                                  Użyj przeglądarki internetowej, aby przejść do hosta lokalizacji, http://127.0.0.1:8080, i wprowadź nazwę użytkownika administratora klienta dla Control Hub po wyświetleniu monitu.

                                                                                                                                                  Narzędzie używa tego pierwszego wpisu nazwy użytkownika, aby ustawić odpowiednie środowisko dla tego konta. Następnie narzędzie wyświetla standardowy monit o zalogowanie.

                                                                                                                                                  7

                                                                                                                                                  Po wyświetleniu monitu wprowadź poświadczenia logowania administratora klienta Control Hub, a następnie kliknij przycisk Zaloguj się , aby zezwolić na dostęp do wymaganych usług Hybrid Data Security.

                                                                                                                                                  8

                                                                                                                                                  Na stronie Przegląd narzędzia konfiguracyjnego kliknij Rozpocznij.

                                                                                                                                                  9

                                                                                                                                                  Na stronie ISO Import dostępne są następujące opcje:

                                                                                                                                                  • Nie— jeśli tworzysz swój pierwszy węzeł HDS, nie masz pliku ISO do przesłania.
                                                                                                                                                  • Tak— jeśli utworzono już węzły HDS, należy wybrać plik ISO podczas przeglądania i przesyłania go.
                                                                                                                                                  10

                                                                                                                                                  Sprawdź, czy certyfikat X.509 spełnia wymagania określone w wymaganiach certyfikatów X.509.

                                                                                                                                                  • Jeśli nigdy wcześniej nie przesłałeś certyfikatu, prześlij certyfikat X.509, wprowadź hasło i kliknij przycisk Kontynuuj.
                                                                                                                                                  • Jeśli certyfikat jest prawidłowy, kliknij przycisk Kontynuuj.
                                                                                                                                                  • Jeśli certyfikat wygasł lub chcesz go zastąpić, wybierz opcję Nie , aby Kontynuować korzystanie z łańcucha certyfikatów HDS i klucza prywatnego z poprzedniego ISO?. Prześlij nowy certyfikat X.509, wprowadź hasło i kliknij przycisk Kontynuuj.
                                                                                                                                                  11

                                                                                                                                                  Wprowadź adres bazy danych i konto HDS, aby uzyskać dostęp do klucza danych:

                                                                                                                                                  1. Wybierz typ bazy danych (PostgreSQL lub Microsoft SQL Server).

                                                                                                                                                    Jeśli wybierzesz program Microsoft SQL Server, otrzymasz pole Typ uwierzytelniania.

                                                                                                                                                  2. (tylko Microsoft SQL Server) Wybierz Typ uwierzytelniania:

                                                                                                                                                    • Uwierzytelnianie podstawowe: W polu Nazwa użytkownika potrzebna jest lokalna nazwa konta SQL Server.

                                                                                                                                                    • Uwierzytelnianie systemu Windows: Potrzebujesz konta Windows w formacie username@DOMAIN w polu Nazwa użytkownika.

                                                                                                                                                  3. Wprowadź adres serwera bazy danych w formularzu <hostname>:<port> lub <IP-address>:<port>.

                                                                                                                                                    Przykład:
                                                                                                                                                    dbhost.example.org:1433 lub 198.51.100.17:1433

                                                                                                                                                    Do podstawowego uwierzytelniania można użyć adresu IP, jeśli węzły nie mogą używać DNS do rozpoznawania nazwy hosta.

                                                                                                                                                    Jeśli używasz uwierzytelniania systemu Windows, musisz wprowadzić w pełni kwalifikowaną nazwę domeny w formacie dbhost.example.org:1433

                                                                                                                                                  4. Wprowadź nazwę bazy danych.

                                                                                                                                                  5. Wprowadź nazwę użytkownika i hasło użytkownika ze wszystkimi uprawnieniami w bazie danych magazynu kluczy.

                                                                                                                                                  12

                                                                                                                                                  Wybierz tryb połączenia z bazą danych TLS:

                                                                                                                                                  Tryb

                                                                                                                                                  Opis

                                                                                                                                                  Preferuj TLS (opcja domyślna)

                                                                                                                                                  Węzły HDS nie wymagają TLS do łączenia się z serwerem bazy danych. Jeśli włączysz protokół TLS na serwerze bazy danych, węzły spróbują zaszyfrowanego połączenia.

                                                                                                                                                  Wymagaj TLS

                                                                                                                                                  Węzły HDS łączą się tylko wtedy, gdy serwer bazy danych może negocjować TLS.

                                                                                                                                                  Wymagaj TLS i zweryfikuj osobę podpisującą certyfikat


                                                                                                                                                   

                                                                                                                                                  Ten tryb nie ma zastosowania do baz danych SQL Server.

                                                                                                                                                  • Węzły HDS łączą się tylko wtedy, gdy serwer bazy danych może negocjować TLS.

                                                                                                                                                  • Po nawiązaniu połączenia TLS węzeł porównuje sygnera certyfikatu z serwera bazy danych z organem certyfikatu w certyfikacie głównym bazy danych. Jeśli nie są zgodne, węzeł przerywa połączenie.

                                                                                                                                                  Użyj przycisku Certyfikat główny bazy danych poniżej listy rozwijanej, aby przesłać certyfikat główny dla tej opcji.

                                                                                                                                                  Wymagaj TLS oraz zweryfikuj osobę podpisującą certyfikat i nazwę hosta

                                                                                                                                                  • Węzły HDS łączą się tylko wtedy, gdy serwer bazy danych może negocjować TLS.

                                                                                                                                                  • Po nawiązaniu połączenia TLS węzeł porównuje sygnera certyfikatu z serwera bazy danych z organem certyfikatu w certyfikacie głównym bazy danych. Jeśli nie są zgodne, węzeł przerywa połączenie.

                                                                                                                                                  • Węzły sprawdzają również, czy nazwa hosta w certyfikacie serwera jest zgodna z nazwą hosta w polu Baza danych i port . Nazwy muszą być dokładnie takie same, w przeciwnym razie węzeł zerwie połączenie.

                                                                                                                                                  Użyj przycisku Certyfikat główny bazy danych poniżej listy rozwijanej, aby przesłać certyfikat główny dla tej opcji.

                                                                                                                                                  Po przesłaniu certyfikatu głównego (jeśli jest to konieczne) i kliknięciu przycisku Kontynuuj, narzędzie konfiguracji HDS testuje połączenie TLS z serwerem bazy danych. Narzędzie sprawdza również osobę podpisującą certyfikat i nazwę hosta, jeśli ma to zastosowanie. Jeśli test zakończy się niepowodzeniem, narzędzie wyświetli komunikat o błędzie opisujący problem. Możesz wybrać, czy zignorować błąd i kontynuować konfigurację. (Z powodu różnic w połączeniach węzły HDS mogą być w stanie nawiązać połączenie TLS, nawet jeśli maszyna narzędziowa HDS Setup Tool nie jest w stanie go przetestować).

                                                                                                                                                  13

                                                                                                                                                  Na stronie Dzienniki systemu skonfiguruj serwer Syslogd:

                                                                                                                                                  1. Wprowadź adres URL serwera dziennika systemowego.

                                                                                                                                                    Jeśli serwer nie jest w stanie rozwiązać DNS z węzłów klastra HDS, użyj adresu IP w adresie URL.

                                                                                                                                                    Przykład:
                                                                                                                                                    udp://10.92.43.23:514 wskazuje logowanie do hosta Syslogd 10.92.43.23 w porcie UDP 514.
                                                                                                                                                  2. Jeśli skonfigurujesz serwer, aby używał szyfrowania TLS, sprawdź, czy serwer dziennika systemowego jest skonfigurowany do szyfrowania SSL?.

                                                                                                                                                    Jeśli zaznaczysz to pole wyboru, upewnij się, że wprowadzasz adres URL TCP, taki jak: tcp://10.92.43.23:514.

                                                                                                                                                  3. Z listy rozwijanej Wybierz zakończenie rekordu dziennika systemowego wybierz odpowiednie ustawienie dla pliku ISO: Wybierz lub Newline są używane do Graylog i Rsyslog TCP

                                                                                                                                                    • Byte czajnika -- \x00

                                                                                                                                                    • Newline -- \n — Wybierz ten wybór dla aplikacji Graylog i Rsyslog TCP.

                                                                                                                                                  4. Kliknij przycisk Kontynuuj.

                                                                                                                                                  14

                                                                                                                                                  (Opcjonalnie) W ustawieniach zaawansowanych można zmienić wartość domyślną niektórych parametrów połączenia z bazą danych. Ogólnie rzecz biorąc, ten parametr jest jedynym parametrem, który można zmienić:

                                                                                                                                                  app_datasource_connection_pool_maxSize: 10
                                                                                                                                                  15

                                                                                                                                                  Kliknij przycisk Kontynuuj na ekranie Resetuj hasło konta usługi .

                                                                                                                                                  Hasła konta serwisowego mają okres dziewięciu miesięcy. Użyj tego ekranu, gdy hasła zbliżają się do wygaśnięcia lub chcesz je zresetować, aby unieważnić poprzednie pliki ISO.

                                                                                                                                                  16

                                                                                                                                                  Kliknij opcję Pobierz plik ISO. Zapisz plik w lokalizacji, którą łatwo znaleźć.

                                                                                                                                                  17

                                                                                                                                                  Wykonaj kopię zapasową pliku ISO w lokalnym systemie.

                                                                                                                                                  Kopia zapasowa powinna być zabezpieczona. Ten plik zawiera główny klucz szyfrowania zawartości bazy danych. Ogranicz dostęp tylko do tych administratorów hybrydowych zabezpieczeń danych, którzy powinni wprowadzać zmiany w konfiguracji.

                                                                                                                                                  18

                                                                                                                                                  Aby zamknąć narzędzie Setup, wpisz: CTRL+C.

                                                                                                                                                  Co zrobić dalej

                                                                                                                                                  Kopia zapasowa pliku ISO konfiguracji. Musisz utworzyć więcej węzłów do odzyskiwania lub wprowadzić zmiany w konfiguracji. Jeśli stracisz wszystkie kopie pliku ISO, stracisz również klucz główny. Odzyskiwanie kluczy z bazy danych PostgreSQL lub Microsoft SQL Server nie jest możliwe.


                                                                                                                                                   

                                                                                                                                                  Nigdy nie mamy kopii tego klucza i nie możemy pomóc, jeśli go stracisz.

                                                                                                                                                  Instalowanie OVA hosta HDS

                                                                                                                                                  Użyj tej procedury, aby utworzyć maszynę wirtualną z pliku OVA.
                                                                                                                                                  1

                                                                                                                                                  Aby zalogować się do wirtualnego hosta ESXi, użyj klienta VMware vSphere na komputerze.

                                                                                                                                                  2

                                                                                                                                                  Wybierz Plik > Wdrożenie szablonu OVF.

                                                                                                                                                  3

                                                                                                                                                  W kreatorze określ lokalizację pobranego wcześniej pliku OVA, a następnie kliknij Następny.

                                                                                                                                                  4

                                                                                                                                                  Na ekranie Wybierz nazwę i folder strona, wprowadź Nazwa maszyny wirtualnej dla węzła (na przykład „HDS_Node_1”) wybierz lokalizację, w której może znajdować się wdrożenie węzła maszyny wirtualnej, a następnie kliknij przycisk Następny.

                                                                                                                                                  5

                                                                                                                                                  Na ekranie Wybierz zasób obliczeniowy strona, wybierz docelowy zasób obliczeniowy, a następnie kliknij Następny.

                                                                                                                                                  Trwa kontrola walidacji. Po jego zakończeniu pojawiają się szczegóły szablonu.

                                                                                                                                                  6

                                                                                                                                                  Sprawdź szczegóły szablonu, a następnie kliknij przycisk Dalej.

                                                                                                                                                  7

                                                                                                                                                  Jeśli zostaniesz poproszony o wybranie konfiguracji zasobów na stronie Konfiguracja strona, kliknij 4 CPU a następnie kliknij Następny.

                                                                                                                                                  8

                                                                                                                                                  Na ekranie Wybierz miejsce strona, kliknij Następny aby zaakceptować domyślny format dysku i zasady przechowywania VM.

                                                                                                                                                  9

                                                                                                                                                  Na ekranie Wybierz sieci na stronie wybierz opcję sieci z listy pozycji, aby zapewnić żądaną łączność z maszyną wirtualną.

                                                                                                                                                  10

                                                                                                                                                  Na stronie Dostosuj szablon skonfiguruj następujące ustawienia sieci:

                                                                                                                                                  • Nazwa hosta — wprowadź nazwę hosta FQDN (nazwa hosta i domena) lub nazwę hosta pojedynczego słowa dla węzła.

                                                                                                                                                     
                                                                                                                                                    • Nie trzeba ustawiać domeny tak, aby pasowała do domeny używanej do uzyskania certyfikatu X.509.

                                                                                                                                                    • Aby zapewnić pomyślną rejestrację w chmurze, użyj tylko znaków z małymi literami w nazwie FQDN lub nazwie hosta ustawionej dla węzła. W tym momencie kapitalizacja nie jest obsługiwana.

                                                                                                                                                    • Całkowita długość FQDN nie może przekraczać 64 znaków.

                                                                                                                                                  • Adres IP— wprowadź adres IP interfejsu wewnętrznego węzła.

                                                                                                                                                     

                                                                                                                                                    Węzeł powinien mieć wewnętrzny adres IP i nazwę DNS. Serwer DHCP nie jest obsługiwany.

                                                                                                                                                  • Maska— wprowadź adres maski podsieci w notacji dot-dziesiętnej. Na przykład: 255.255.255.0.
                                                                                                                                                  • Brama — wprowadź adres IP bramy. Brama to węzeł sieciowy, który służy jako punkt dostępu do innej sieci.
                                                                                                                                                  • Serwery DNS— wprowadź oddzieloną przecinkami listę serwerów DNS, które obsługują tłumaczenie nazw domen na numeryczne adresy IP. (Dozwolone są do 4 wpisy DNS).
                                                                                                                                                  • Serwery NTP — wprowadź serwer NTP swojej organizacji lub inny zewnętrzny serwer NTP, który może być używany w Twojej organizacji. Domyślne serwery NTP mogą nie działać dla wszystkich przedsiębiorstw. Można również użyć listy rozdzielonej przecinkami, aby wprowadzić wiele serwerów NTP.
                                                                                                                                                  • Wdrożenie wszystkich węzłów w tej samej podsieci lub sieci VLAN, tak aby wszystkie węzły w klastrze były dostępne dla klientów w sieci do celów administracyjnych.

                                                                                                                                                  Jeśli jest to preferowane, można pominąć konfigurację ustawień sieci i wykonać czynności opisane w punkcie Skonfiguruj hybrydową maszynę wirtualną bezpieczeństwa danych w celu skonfigurowania ustawień z konsoli węzła.


                                                                                                                                                   

                                                                                                                                                  Opcja konfigurowania ustawień sieciowych podczas wdrażania OVA została przetestowana z ESXi 6.5. Opcja może nie być dostępna we wcześniejszych wersjach.

                                                                                                                                                  11

                                                                                                                                                  Kliknij prawym przyciskiem myszy węzeł VM, a następnie wybierz Zasilanie > Włączanie zasilania.

                                                                                                                                                  Oprogramowanie Hybrid Data Security jest instalowane jako gość w hostu VM. Teraz możesz zalogować się na konsoli i skonfigurować węzeł.

                                                                                                                                                  Wskazówki dotyczące rozwiązywania problemów

                                                                                                                                                  Może wystąpić opóźnienie o kilka minut przed pojawieniem się kontenerów węzła. Podczas pierwszego uruchamiania na konsoli pojawi się komunikat zapory mostowej, podczas którego nie można się zalogować.

                                                                                                                                                  Skonfiguruj hybrydową maszynę wirtualną ds. bezpieczeństwa danych

                                                                                                                                                  Użyj tej procedury, aby po raz pierwszy zalogować się na konsoli VM węzła hybrydowego zabezpieczenia danych i ustawić poświadczenia logowania. Konsola może również skonfigurować ustawienia sieciowe węzła, jeśli nie zostały skonfigurowane w czasie wdrażania OVA.

                                                                                                                                                  1

                                                                                                                                                  W kliencie VMware vSphere wybierz węzeł VM Hybrid Data Security i kartę Console .

                                                                                                                                                  Maszyna zostanie uruchomiona i pojawi się monit o zalogowanie. Jeśli monit o zalogowanie nie jest wyświetlany, naciśnij przycisk Enter.
                                                                                                                                                  2

                                                                                                                                                  Aby się zalogować i zmienić poświadczenia, należy użyć następującego domyślnego loginu i hasła:

                                                                                                                                                  1. Logowanie: admin

                                                                                                                                                  2. Hasło: cisco

                                                                                                                                                  Ponieważ logujesz się do VM po raz pierwszy, musisz zmienić hasło administratora.

                                                                                                                                                  3

                                                                                                                                                  Jeśli ustawienia sieci zostały już skonfigurowane w Instalowaniu OVA hosta usługi HDS, pomiń pozostałą część tej procedury. W przeciwnym razie w menu głównym wybierz opcję Edytuj konfigurację.

                                                                                                                                                  4

                                                                                                                                                  Skonfiguruj statyczną konfigurację z adresem IP, maską, bramą i informacjami DNS. Węzeł powinien mieć wewnętrzny adres IP i nazwę DNS. Serwer DHCP nie jest obsługiwany.

                                                                                                                                                  5

                                                                                                                                                  (Opcjonalnie) Zmień nazwę hosta, domenę lub serwery NTP, jeśli jest to konieczne do dopasowania do zasad sieci.

                                                                                                                                                  Nie trzeba ustawiać domeny tak, aby pasowała do domeny używanej do uzyskania certyfikatu X.509.

                                                                                                                                                  6

                                                                                                                                                  Zapisz konfigurację sieci i uruchom ponownie VM, aby zmiany weszły w życie.

                                                                                                                                                  Prześlij i zamontuj ISO konfiguracji HDS

                                                                                                                                                  Ta procedura służy do konfigurowania maszyny wirtualnej z pliku ISO utworzonego za pomocą narzędzia konfiguracji HDS.

                                                                                                                                                  Przed rozpoczęciem

                                                                                                                                                  Ponieważ plik ISO zawiera klucz główny, powinien on być narażony tylko na „potrzebę wiedzy”, aby uzyskać dostęp do hybrydowych maszyn wirtualnych ds. bezpieczeństwa danych i wszystkich administratorów, którzy mogą wymagać wprowadzenia zmian. Upewnij się, że tylko ci administratorzy mogą uzyskać dostęp do bazy danych.

                                                                                                                                                  1

                                                                                                                                                  Prześlij plik ISO z komputera:

                                                                                                                                                  1. W lewym okienku nawigacyjnym klienta VMware vSphere kliknij na serwer ESXi.

                                                                                                                                                  2. Na liście Sprzętu na karcie Konfiguracja kliknij przycisk Przechowywanie.

                                                                                                                                                  3. Na liście Datastores kliknij prawym przyciskiem myszy katalog danych dla swoich maszyn wirtualnych i kliknij opcję Przeglądaj Datastore.

                                                                                                                                                  4. Kliknij ikonę Prześlij pliki, a następnie kliknij Prześlij plik.

                                                                                                                                                  5. Przejdź do lokalizacji, w której pobrałeś plik ISO na komputerze i kliknij przycisk Otwórz.

                                                                                                                                                  6. Kliknij przycisk Tak, aby zaakceptować ostrzeżenie o operacji przesyłania/pobierania i zamknąć okno dialogowe z listą danych.

                                                                                                                                                  2

                                                                                                                                                  Montaż pliku ISO:

                                                                                                                                                  1. W lewym okienku nawigacji klienta VMware vSphere kliknij prawym przyciskiem myszy VM i kliknij Edytuj ustawienia .

                                                                                                                                                  2. Kliknij przycisk OK, aby zaakceptować ostrzeżenie o opcjach edycji ograniczonej.

                                                                                                                                                  3. Kliknij CD/DVD Drive 1, wybierz opcję montażu z pliku ISO w zbiorniku danych i przejdź do lokalizacji, w której przesłano plik ISO konfiguracji.

                                                                                                                                                  4. Sprawdzić Podłączono i Podłączono przy włączonym zasilaniu.

                                                                                                                                                  5. Zapisz zmiany i uruchom ponownie maszynę wirtualną.

                                                                                                                                                  Co zrobić dalej

                                                                                                                                                  Jeśli polityka IT wymaga, możesz opcjonalnie odmontować plik ISO po tym, jak wszystkie węzły podniosą zmiany w konfiguracji. Aby uzyskać szczegółowe informacje, zobacz (Opcjonalnie) Odinstaluj ISO Po Konfiguracji HDS.

                                                                                                                                                  Konfigurowanie węzła HDS dla integracji serwera proxy

                                                                                                                                                  Jeśli środowisko sieciowe wymaga serwera proxy, użyj tej procedury, aby określić typ serwera proxy, który chcesz zintegrować z Hybrid Data Security. Po wybraniu przejrzystego serwera proxy inspekcji lub bezpośredniego serwera proxy HTTPS można użyć interfejsu węzła do przesłania i zainstalowania certyfikatu głównego. Możesz również sprawdzić połączenie serwera proxy z poziomu interfejsu i rozwiązać ewentualne problemy.

                                                                                                                                                  Przed rozpoczęciem

                                                                                                                                                  1

                                                                                                                                                  Wprowadź adres URL konfiguracji węzła HDS https://[HDS Node IP or FQDN]/setup w przeglądarce internetowej wprowadź dane uwierzytelniające administratora skonfigurowane dla węzła, a następnie kliknij opcję Zaloguj się.

                                                                                                                                                  2

                                                                                                                                                  Przejdź do sklepu Trust Store & Proxy, a następnie wybierz opcję:

                                                                                                                                                  • Brak serwera proxy — opcja domyślna przed integracją serwera proxy. Nie jest wymagana aktualizacja certyfikatu.
                                                                                                                                                  • Transparent Non-Inspecting Proxy — węzły nie są skonfigurowane do używania określonego adresu serwera proxy i nie powinny wymagać żadnych zmian w pracy z niekontrolowanym serwerem proxy. Nie jest wymagana aktualizacja certyfikatu.
                                                                                                                                                  • Transparent Inspecting Proxy — węzły nie są skonfigurowane do używania określonego adresu serwera proxy. W przypadku wdrożenia hybrydowego zabezpieczenia danych nie są konieczne zmiany konfiguracji protokołu HTTPS, jednak węzły HDS potrzebują certyfikatu głównego, aby zaufać proxy. Informatycy zazwyczaj używają serwerów proxy do egzekwowania zasad, na których strony internetowe mogą być odwiedzane i które rodzaje treści są niedozwolone. Ten typ serwera proxy odszyfruje cały ruch (nawet HTTPS).
                                                                                                                                                  • Explicit Proxy— w przypadku wyraźnego serwera proxy użytkownik informuje klienta (węzły HDS), którego serwera proxy ma używać, a ta opcja obsługuje kilka typów uwierzytelniania. Po wybraniu tej opcji należy wprowadzić następujące informacje:
                                                                                                                                                    1. Proxy IP/FQDN — adres, którego można użyć do dotarcia do maszyny proxy.

                                                                                                                                                    2. Port serwera proxy— numer portu, którego serwer proxy używa do odsłuchiwania ruchu z serwerem proxy.

                                                                                                                                                    3. Protokół proxy — wybierz http (wyświetla i kontroluje wszystkie żądania otrzymane od klienta) lub https (dostarcza kanał do serwera, a klient odbiera i weryfikuje certyfikat serwera). Wybierz opcję na podstawie tego, co obsługuje serwer proxy.

                                                                                                                                                    4. Typ uwierzytelniania — wybierz spośród następujących typów uwierzytelniania:

                                                                                                                                                      • Brak — dalsze uwierzytelnianie nie jest wymagane.

                                                                                                                                                        Dostępne dla serwerów proxy HTTP lub HTTPS.

                                                                                                                                                      • Basic — używane przez agenta użytkownika HTTP do podawania nazwy użytkownika i hasła podczas składania żądania. Korzysta z kodowania Base64.

                                                                                                                                                        Dostępne dla serwerów proxy HTTP lub HTTPS.

                                                                                                                                                        Jeśli wybierzesz tę opcję, musisz również wprowadzić nazwę użytkownika i hasło.

                                                                                                                                                      • Digest — służy do potwierdzenia konta przed wysłaniem poufnych informacji. Przed wysłaniem za pośrednictwem sieci należy zastosować funkcję skrótu w nazwie użytkownika i hasłem.

                                                                                                                                                        Dostępne tylko dla serwerów proxy HTTPS.

                                                                                                                                                        Jeśli wybierzesz tę opcję, musisz również wprowadzić nazwę użytkownika i hasło.

                                                                                                                                                  Postępuj zgodnie z kolejnymi krokami w celu przejrzystego kontrolowania serwera proxy, bezpośredniego serwera proxy HTTP z uwierzytelnianiem podstawowym lub bezpośredniego serwera proxy HTTPS.

                                                                                                                                                  3

                                                                                                                                                  Kliknij opcję Prześlij certyfikat główny lub certyfikat jednostki końcowej, a następnie przejdź do opcji Wybierz certyfikat główny serwera proxy.

                                                                                                                                                  Certyfikat jest przesyłany, ale jeszcze nie został zainstalowany, ponieważ aby zainstalować certyfikat, należy ponownie uruchomić węzeł. Aby uzyskać więcej szczegółów, kliknij strzałkę chevron po nazwie emitenta certyfikatu lub kliknij opcję Usuń, jeśli popełniłeś błąd i chcesz ponownie przesłać plik.

                                                                                                                                                  4

                                                                                                                                                  Kliknij Check Proxy Connection (Sprawdź połączenie proxy), aby sprawdzić połączenie sieciowe między węzłem a serwerem proxy.

                                                                                                                                                  Jeśli test połączenia zakończy się niepowodzeniem, pojawi się komunikat o błędzie przedstawiający przyczynę i sposób naprawienia problemu.

                                                                                                                                                  Jeśli zobaczysz komunikat informujący, że zewnętrzna rozdzielczość DNS nie powiodła się, węzeł nie mógł dotrzeć do serwera DNS. Warunek ten jest oczekiwany w wielu wyraźnych konfiguracjach serwera proxy. Możesz kontynuować konfigurację, a węzeł będzie działał w trybie Zablokowanej Zewnętrznej Rozdzielczości DNS. Jeśli uważasz, że jest to błąd, wykonaj poniższe czynności, a następnie zobacz Wyłącz Zablokowany Zewnętrzny Tryb Rozdzielczości DNS.

                                                                                                                                                  5

                                                                                                                                                  Po przejściu testu połączenia, w przypadku wyraźnego serwera proxy ustawionego tylko na https, włącz przełącznik do Trasowania wszystkich żądań portu 443/444 https z tego węzła za pomocą wyraźnego serwera proxy. To ustawienie wymaga 15 sekund działania.

                                                                                                                                                  6

                                                                                                                                                  Kliknij Instaluj Wszystkie Certyfikaty W Sklepie Zaufania (pojawi się dla wyraźnego serwera proxy HTTPS lub przezroczystego serwera proxy inspekcji) lub Uruchom ponownie (pojawi się dla wyraźnego serwera proxy HTTP), przeczytaj monit, a następnie kliknij opcję Instaluj , jeśli jesteś gotowy.

                                                                                                                                                  Węzeł zostanie uruchomiony ponownie w ciągu kilku minut.

                                                                                                                                                  7

                                                                                                                                                  Po ponownym uruchomieniu węzła zaloguj się ponownie w razie potrzeby, a następnie otwórz stronę Przegląd , aby sprawdzić kontrole łączności, aby upewnić się, że wszystkie mają zielony status.

                                                                                                                                                  Kontrola połączenia z serwerem proxy sprawdza tylko poddomenę webex.com. Jeśli występują problemy z łącznością, powszechnym problemem jest to, że niektóre domeny chmury wymienione w instrukcjach instalacji są blokowane na serwerze proxy.

                                                                                                                                                  Zarejestruj pierwszy węzeł w klastrze

                                                                                                                                                  To zadanie przejmuje ogólny węzeł utworzony w Skonfiguruj hybrydową maszynę wirtualną bezpieczeństwa danych, rejestruje węzeł w chmurze Webex i zamienia go w węzeł hybrydowego bezpieczeństwa danych.

                                                                                                                                                  Po zarejestrowaniu pierwszego węzła utwórz klaster, do którego jest przypisany węzeł. Klaster zawiera co najmniej jeden węzeł wdrożony w celu zapewnienia zwolnień.

                                                                                                                                                  Przed rozpoczęciem

                                                                                                                                                  • Po rozpoczęciu rejestracji węzła należy go wypełnić w ciągu 60 minut lub rozpocząć od nowa.

                                                                                                                                                  • Upewnij się, że wszystkie wyskakujące blokery w przeglądarce są wyłączone lub że zezwalasz na wyjątek dla admin.webex.com.

                                                                                                                                                  1

                                                                                                                                                  Zaloguj się w https://admin.webex.com.

                                                                                                                                                  2

                                                                                                                                                  W menu po lewej stronie ekranu wybierz opcję Usługi.

                                                                                                                                                  3

                                                                                                                                                  W sekcji Usługi hybrydowe znajdź hybrydowe zabezpieczenia danych i kliknij przycisk Skonfiguruj.

                                                                                                                                                  Zostanie wyświetlona strona węzła Zarejestruj hybrydowe zabezpieczenia danych.
                                                                                                                                                  4

                                                                                                                                                  Wybierz Tak, aby wskazać, że węzeł został skonfigurowany i chcesz go zarejestrować, a następnie kliknij przycisk Dalej.

                                                                                                                                                  5

                                                                                                                                                  W pierwszym polu wprowadź nazwę klastra, do którego chcesz przypisać węzeł hybrydowego zabezpieczenia danych.

                                                                                                                                                  Zalecamy nazwanie klastra na podstawie lokalizacji węzłów klastra. Przykłady: "San Francisco", "Nowy Jork" czy "Dallas"

                                                                                                                                                  6

                                                                                                                                                  W drugim polu wprowadź wewnętrzny adres IP lub w pełni kwalifikowaną nazwę domeny (FQDN) węzła i kliknij przycisk Dalej.

                                                                                                                                                  Ten adres IP lub nazwa FQDN powinny być zgodne z adresem IP lub nazwą hosta i domeną używaną podczas konfigurowania hybrydowej maszyny wirtualnej ds. bezpieczeństwa danych.

                                                                                                                                                  Pojawi się komunikat informujący, że można zarejestrować węzeł w usłudze Webex.
                                                                                                                                                  7

                                                                                                                                                  Kliknij przycisk Przejdź do węzła.

                                                                                                                                                  8

                                                                                                                                                  Kliknij przycisk Kontynuuj w komunikacie ostrzegawczym.

                                                                                                                                                  Po kilku chwilach nastąpi przekierowanie do testów łączności węzła dla usług Webex. Jeśli wszystkie testy zakończą się powodzeniem, pojawi się strona Zezwól na dostęp do węzła hybrydowego zabezpieczeń danych. Tam potwierdzasz, że chcesz nadać uprawnienia swojej organizacji Webex, aby uzyskać dostęp do węzła.
                                                                                                                                                  9

                                                                                                                                                  Zaznacz pole wyboru Zezwól na dostęp do węzła hybrydowego zabezpieczenia danych , a następnie kliknij przycisk Kontynuuj.

                                                                                                                                                  Twoje konto zostało zweryfikowane, a komunikat „Rejestracja ukończona” wskazuje, że Twój węzeł jest teraz zarejestrowany w chmurze Webex.
                                                                                                                                                  10

                                                                                                                                                  Kliknij łącze lub zamknij kartę, aby powrócić do strony Hybrid Data Security Control Hub.

                                                                                                                                                  Na stronie Hybrid Data Security jest wyświetlany nowy klaster zawierający zarejestrowany węzeł. Węzeł automatycznie pobierze najnowsze oprogramowanie z chmury.

                                                                                                                                                  Tworzenie i rejestrowanie większej liczby węzłów

                                                                                                                                                  Aby dodać dodatkowe węzły do klastra, wystarczy utworzyć dodatkowe numery VMs i zamontować ten sam plik ISO konfiguracji, a następnie zarejestrować węzeł. Zalecamy posiadanie co najmniej 3 węzłów.

                                                                                                                                                   

                                                                                                                                                  W tym czasie zapasowe maszyny wirtualne utworzone w Zakończeniu wymagań wstępnych dla hybrydowego zabezpieczenia danych są hostami gotowymi, które są używane tylko w przypadku odzyskiwania po awarii; do tego czasu nie są rejestrowane w systemie. Aby uzyskać szczegółowe informacje, patrz Przywracanie systemu po awarii za pomocą Standby Data Center.

                                                                                                                                                  Przed rozpoczęciem

                                                                                                                                                  • Po rozpoczęciu rejestracji węzła należy go wypełnić w ciągu 60 minut lub rozpocząć od nowa.

                                                                                                                                                  • Upewnij się, że wszystkie wyskakujące blokery w przeglądarce są wyłączone lub że zezwalasz na wyjątek dla admin.webex.com.

                                                                                                                                                  1

                                                                                                                                                  Utwórz nową maszynę wirtualną z OVA, powtarzając kroki w Instalacji OVA hosta HDS.

                                                                                                                                                  2

                                                                                                                                                  Skonfiguruj konfigurację początkową na nowej maszynie wirtualnej, powtarzając kroki w Skonfiguruj hybrydową maszynę wirtualną bezpieczeństwa danych.

                                                                                                                                                  3

                                                                                                                                                  W nowej maszynie wirtualnej wykonaj ponownie czynności opisane w polu Prześlij i zamontuj ISO konfiguracji HDS.

                                                                                                                                                  4

                                                                                                                                                  Jeśli konfigurujesz serwer proxy dla swojego wdrożenia, powtórz kroki w Konfigurowaniu węzła HDS dla integracji serwera proxy zgodnie z potrzebami nowego węzła.

                                                                                                                                                  5

                                                                                                                                                  Zarejestruj węzeł.

                                                                                                                                                  1. W https://admin.webex.com wybierz Usługi z menu po lewej stronie ekranu.

                                                                                                                                                  2. W sekcji Usługi hybrydowe znajdź kartę zabezpieczenia danych hybrydowych i kliknij opcję Zasoby.

                                                                                                                                                    Pojawi się strona Hybrid Data Security Resources (Zasoby zabezpieczeń danych hybrydowych).
                                                                                                                                                  3. Kliknij przycisk Dodaj zasób.

                                                                                                                                                  4. W pierwszym polu wybierz nazwę istniejącego klastra.

                                                                                                                                                  5. W drugim polu wprowadź wewnętrzny adres IP lub w pełni kwalifikowaną nazwę domeny (FQDN) węzła i kliknij przycisk Dalej.

                                                                                                                                                    Pojawi się komunikat informujący, że można zarejestrować węzeł w chmurze Webex.
                                                                                                                                                  6. Kliknij przycisk Przejdź do węzła.

                                                                                                                                                    Po kilku chwilach nastąpi przekierowanie do testów łączności węzła dla usług Webex. Jeśli wszystkie testy zakończą się powodzeniem, pojawi się strona Zezwól na dostęp do węzła hybrydowego zabezpieczeń danych. Tam potwierdzasz, że chcesz nadać uprawnienia swojej organizacji, aby uzyskać dostęp do węzła.
                                                                                                                                                  7. Zaznacz pole wyboru Zezwól na dostęp do węzła hybrydowego zabezpieczenia danych , a następnie kliknij przycisk Kontynuuj.

                                                                                                                                                    Twoje konto zostało zweryfikowane, a komunikat „Rejestracja ukończona” wskazuje, że Twój węzeł jest teraz zarejestrowany w chmurze Webex.
                                                                                                                                                  8. Kliknij łącze lub zamknij kartę, aby powrócić do strony Hybrid Data Security Control Hub.

                                                                                                                                                  Twój węzeł jest zarejestrowany. Należy pamiętać, że do momentu rozpoczęcia próby węzły wygenerują alarm wskazujący, że usługa nie jest jeszcze aktywowana.

                                                                                                                                                  Co zrobić dalej

                                                                                                                                                  Przeprowadzanie wersji próbnej i przejście do produkcji (następny rozdział)
                                                                                                                                                  Uruchom wersję próbną i przejdź do produkcji

                                                                                                                                                  Przepływ próby do zadania produkcyjnego

                                                                                                                                                  Po skonfigurowaniu hybrydowego klastra bezpieczeństwa danych można uruchomić program pilotażowy, dodać do niego użytkowników i rozpocząć korzystanie z niego do testowania i sprawdzania wdrożenia w ramach przygotowań do przejścia do produkcji.

                                                                                                                                                  1

                                                                                                                                                  Jeśli dotyczy, zsynchronizuj HdsTrialGroup obiekt grupowy.

                                                                                                                                                  Jeśli Twoja organizacja używa synchronizacji katalogu dla użytkowników, musisz wybrać HdsTrialGroup obiekt grupowy do synchronizacji z chmurą przed rozpoczęciem próby. Instrukcje można znaleźć w podręczniku wdrażania łącznika usług katalogowych Cisco.

                                                                                                                                                  2

                                                                                                                                                  Aktywuj wersję próbną

                                                                                                                                                  Rozpocznij proces. Do czasu wykonania tego zadania węzły wygenerują alarm wskazujący, że usługa nie została jeszcze aktywowana.

                                                                                                                                                  3

                                                                                                                                                  Przetestuj wdrożenie hybrydowego zabezpieczenia danych

                                                                                                                                                  Sprawdź, czy kluczowe żądania są przekazywane do wdrożenia hybrydowego zabezpieczenia danych.

                                                                                                                                                  4

                                                                                                                                                  Monitorowanie stanu hybrydowego bezpieczeństwa danych

                                                                                                                                                  Sprawdź stan i skonfiguruj powiadomienia e-mail dla alarmów.

                                                                                                                                                  5

                                                                                                                                                  Dodawanie lub usuwanie użytkowników z wersji próbnej

                                                                                                                                                  6

                                                                                                                                                  Zakończ fazę próbną, wykonując jedną z następujących czynności:

                                                                                                                                                  Aktywuj wersję próbną

                                                                                                                                                  Przed rozpoczęciem

                                                                                                                                                  Jeśli Twoja organizacja używa synchronizacji katalogu dla użytkowników, musisz wybrać HdsTrialGroup obiekt grupowy do synchronizacji z chmurą przed rozpoczęciem próby dla organizacji. Instrukcje można znaleźć w podręczniku wdrażania łącznika usług katalogowych Cisco.

                                                                                                                                                  1

                                                                                                                                                  Zaloguj się do https://admin.webex.com, a następnie wybierz opcję Usługi.

                                                                                                                                                  2

                                                                                                                                                  W obszarze Bezpieczeństwo danych hybrydowych kliknij Ustawienia.

                                                                                                                                                  3

                                                                                                                                                  W sekcji Stan usługi kliknij przycisk Rozpocznij wersję próbną.

                                                                                                                                                  Stan usługi zmienia się w tryb próbny.
                                                                                                                                                  4

                                                                                                                                                  Kliknij opcję Dodaj użytkowników i wprowadź adres e-mail jednego lub większej liczby użytkowników do pilotowania za pomocą węzłów hybrydowych zabezpieczeń danych w celu szyfrowania i indeksowania usług.

                                                                                                                                                  (Jeśli Twoja organizacja używa synchronizacji katalogu, użyj usługi Active Directory do zarządzania grupą próbną, HdsTrialGroup.)

                                                                                                                                                  Przetestuj wdrożenie hybrydowego zabezpieczenia danych

                                                                                                                                                  Użyj tej procedury, aby przetestować scenariusze szyfrowania hybrydowych zabezpieczeń danych.

                                                                                                                                                  Przed rozpoczęciem

                                                                                                                                                  • Skonfiguruj wdrożenie hybrydowego zabezpieczenia danych.

                                                                                                                                                  • Aktywuj wersję próbną i dodaj kilku użytkowników wersji próbnej.

                                                                                                                                                  • Upewnij się, że masz dostęp do dziennika systemowego, aby sprawdzić, czy kluczowe żądania są przekazywane do wdrożenia hybrydowego zabezpieczenia danych.

                                                                                                                                                  1

                                                                                                                                                  Klucze dla danego obszaru są ustawiane przez twórcę tego obszaru. Zaloguj się do aplikacji Webex jako jeden z użytkowników pilotażowych, a następnie utwórz obszar i zaproś co najmniej jednego użytkownika pilotażowego i jednego użytkownika niepilotażowego.


                                                                                                                                                   

                                                                                                                                                  Jeśli dezaktywujesz wdrożenie hybrydowego zabezpieczenia danych, zawartość w obszarach tworzonych przez użytkowników pilotażowych nie jest już dostępna po wymianie kopii kluczy szyfrowania w pamięci podręcznej klienta.

                                                                                                                                                  2

                                                                                                                                                  Wysyłaj wiadomości do nowego obszaru.

                                                                                                                                                  3

                                                                                                                                                  Sprawdź wyjście dziennika systemowego, aby sprawdzić, czy kluczowe żądania przechodzą do wdrożenia hybrydowego zabezpieczenia danych.

                                                                                                                                                  1. Aby sprawdzić, czy użytkownik najpierw ustanawia bezpieczny kanał w systemie KMS, filtruj go kms.data.method=create oraz kms.data.type=EPHEMERAL_KEY_COLLECTION:

                                                                                                                                                    Należy znaleźć wpis taki jak następujący (identyfikatory skrócone dla czytelności):
                                                                                                                                                    2020-07-21 17:35:34.562 (+0000) INFO  KMS [pool-14-thread-1] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, 
                                                                                                                                                    kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2
                                                                                                                                                  2. Aby sprawdzić, czy użytkownik żądający istniejącego klucza z KMS, filtruj na kms.data.method=retrieve oraz kms.data.type=KEY:

                                                                                                                                                    Należy znaleźć wpis taki jak:
                                                                                                                                                    2020-07-21 17:44:19.889 (+0000) INFO  KMS [pool-14-thread-31] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, 
                                                                                                                                                    kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, 
                                                                                                                                                    kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b
                                                                                                                                                  3. Aby sprawdzić, czy użytkownik wnioskuje o utworzenie nowego klucza KMS, filtruj kms.data.method=create oraz kms.data.type=KEY_COLLECTION:

                                                                                                                                                    Należy znaleźć wpis taki jak:
                                                                                                                                                    2020-07-21 17:44:21.975 (+0000) INFO  KMS [pool-14-thread-33] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, 
                                                                                                                                                    kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b
                                                                                                                                                  4. Aby sprawdzić, czy użytkownik prosi o utworzenie nowego obiektu zasobów KMS (KRO) podczas tworzenia obszaru lub innego chronionego zasobu, filtruj kms.data.method=create oraz kms.data.type=RESOURCE_COLLECTION:

                                                                                                                                                    Należy znaleźć wpis taki jak:
                                                                                                                                                    2020-07-21 17:44:22.808 (+0000) INFO  KMS [pool-15-thread-1] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
                                                                                                                                                    kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

                                                                                                                                                  Monitorowanie stanu hybrydowego bezpieczeństwa danych

                                                                                                                                                  Wskaźnik stanu w Control Hub pokazuje, czy wszystko jest dobrze we wdrożeniu hybrydowego zabezpieczenia danych. Aby uzyskać bardziej proaktywne alerty, zapisz się do powiadomień e-mail. Otrzymasz powiadomienie o alarmach lub aktualizacjach oprogramowania mających wpływ na usługę.
                                                                                                                                                  1

                                                                                                                                                  W Control Hub wybierz Usługi z menu po lewej stronie ekranu.

                                                                                                                                                  2

                                                                                                                                                  W sekcji Usługi hybrydowe znajdź hybrydowe zabezpieczenia danych i kliknij Ustawienia.

                                                                                                                                                  Zostanie wyświetlona strona Ustawienia zabezpieczeń danych hybrydowych.
                                                                                                                                                  3

                                                                                                                                                  W sekcji Powiadomienia e-mail wpisz co najmniej jeden adres e-mail oddzielony przecinkami i naciśnij przycisk Enter.

                                                                                                                                                  Dodawanie lub usuwanie użytkowników z wersji próbnej

                                                                                                                                                  Po aktywacji wersji próbnej i dodaniu początkowego zestawu użytkowników wersji próbnej można dodać lub usunąć członków wersji próbnej w dowolnym momencie, gdy wersja próbna jest aktywna.

                                                                                                                                                  Jeśli usuniesz użytkownika z wersji próbnej, klient poprosi go o utworzenie kluczy i klawiszy z chmury KMS zamiast Twojego KMS. Jeśli klient potrzebuje klucza przechowywanego w KMS, Cloud KMS pobierze go w imieniu użytkownika.

                                                                                                                                                  Jeśli Twoja organizacja używa synchronizacji katalogu, użyj usługi Active Directory (zamiast tej procedury) do zarządzania grupą próbną, HdsTrialGroup; można wyświetlać członków grupy w Control Hub, ale nie można ich dodawać ani usuwać.

                                                                                                                                                  1

                                                                                                                                                  Zaloguj się do Control Hub, a następnie wybierz Usługi.

                                                                                                                                                  2

                                                                                                                                                  W obszarze Bezpieczeństwo danych hybrydowych kliknij Ustawienia.

                                                                                                                                                  3

                                                                                                                                                  W sekcji Tryby wersji próbnej w obszarze Stan usługi kliknij przycisk Dodaj użytkowników lub kliknij widok i edytuj , aby usunąć użytkowników z wersji próbnej.

                                                                                                                                                  4

                                                                                                                                                  Wprowadź adres e-mail jednego lub większej liczby użytkowników do dodania lub kliknij przycisk X identyfikatorem użytkownika, aby usunąć użytkownika z wersji próbnej. Następnie kliknij Zapisz .

                                                                                                                                                  Przeniesienie z wersji próbnej do produkcji

                                                                                                                                                  Gdy jesteś zadowolony, że wdrożenie działa dobrze dla użytkowników próbnych, możesz przejść do produkcji. Po przeniesieniu do produkcji wszyscy użytkownicy w organizacji będą korzystać z lokalnej domeny hybrydowego zabezpieczenia danych w celu szyfrowania kluczy i innych usług w dziedzinie zabezpieczeń. Nie można wrócić do trybu próbnego z produkcji, chyba że dezaktywujesz usługę w ramach odzyskiwania awaryjnego. Reaktywacja usługi wymaga skonfigurowania nowej wersji próbnej.
                                                                                                                                                  1

                                                                                                                                                  Zaloguj się do Control Hub, a następnie wybierz Usługi.

                                                                                                                                                  2

                                                                                                                                                  W obszarze Bezpieczeństwo danych hybrydowych kliknij Ustawienia.

                                                                                                                                                  3

                                                                                                                                                  W sekcji Stan usługi kliknij opcję Przenieś do produkcji.

                                                                                                                                                  4

                                                                                                                                                  Potwierdź, że chcesz przenieść wszystkich użytkowników do produkcji.

                                                                                                                                                  Zakończ wersję próbną bez przejścia do produkcji

                                                                                                                                                  Jeśli podczas okresu próbnego zdecydujesz się nie kontynuować wdrażania hybrydowego zabezpieczenia danych, możesz dezaktywować hybrydowe zabezpieczenia danych, które kończą okres próbny i przenoszą użytkowników wersji próbnej z powrotem do usług zabezpieczeń danych w chmurze. Użytkownicy próbni stracą dostęp do danych zaszyfrowanych podczas badania.
                                                                                                                                                  1

                                                                                                                                                  Zaloguj się do Control Hub, a następnie wybierz Usługi.

                                                                                                                                                  2

                                                                                                                                                  W obszarze Bezpieczeństwo danych hybrydowych kliknij Ustawienia.

                                                                                                                                                  3

                                                                                                                                                  W sekcji Dezaktywuj kliknij przycisk Dezaktywuj.

                                                                                                                                                  4

                                                                                                                                                  Potwierdź, że chcesz dezaktywować usługę i zakończyć okres próbny.

                                                                                                                                                  Zarządzanie wdrożeniem HDS

                                                                                                                                                  Zarządzanie wdrożeniem HDS

                                                                                                                                                  Użyj opisanych tutaj zadań do zarządzania wdrożeniem hybrydowego zabezpieczenia danych.

                                                                                                                                                  Ustaw harmonogram uaktualniania klastra

                                                                                                                                                  Aktualizacje oprogramowania Hybrid Data Security są wykonywane automatycznie na poziomie klastra, co zapewnia, że wszystkie węzły zawsze korzystają z tej samej wersji oprogramowania. Uaktualnienia są wykonywane zgodnie z harmonogramem uaktualniania klastra. Po udostępnieniu uaktualnienia oprogramowania można ręcznie uaktualnić klaster przed zaplanowaną godziną uaktualnienia. Można ustawić określony harmonogram uaktualniania lub użyć domyślnego harmonogramu 3:00 rano Daily Stany Zjednoczone: Ameryka/Los Angeles. W razie potrzeby można również odłożyć nadchodzące uaktualnienie.

                                                                                                                                                  Aby ustawić harmonogram uaktualniania:

                                                                                                                                                  1

                                                                                                                                                  Zaloguj się do Centrum sterowania .

                                                                                                                                                  2

                                                                                                                                                  Na stronie Przegląd w obszarze Usługi hybrydowe wybierz opcję Hybrid Data Security.

                                                                                                                                                  3

                                                                                                                                                  Na stronie Zasoby zabezpieczeń danych hybrydowych wybierz klaster.

                                                                                                                                                  4

                                                                                                                                                  W panelu Przegląd po prawej stronie w obszarze Ustawienia klastra wybierz nazwę klastra.

                                                                                                                                                  5

                                                                                                                                                  Na stronie Ustawienia w obszarze Uaktualnianie wybierz godzinę i strefę czasową harmonogramu uaktualniania.

                                                                                                                                                  Uwaga: W strefie czasowej wyświetlana jest następna dostępna data i godzina aktualizacji. W razie potrzeby można odroczyć uaktualnienie do następnego dnia, klikając opcję Odłóż.

                                                                                                                                                  Zmień konfigurację węzła

                                                                                                                                                  Czasami może zajść potrzeba zmiany konfiguracji węzła hybrydowego zabezpieczenia danych z następujących powodów:
                                                                                                                                                  • Zmiana certyfikatów x.509 z powodu wygaśnięcia lub z innych powodów.


                                                                                                                                                     

                                                                                                                                                    Nie obsługujemy zmiany nazwy domeny CN certyfikatu. Domena musi być zgodna z oryginalną domeną użytą do zarejestrowania klastra.

                                                                                                                                                  • Aktualizowanie ustawień bazy danych w celu zmiany na replikę bazy danych PostgreSQL lub Microsoft SQL Server.


                                                                                                                                                     

                                                                                                                                                    Nie obsługujemy migracji danych z PostgreSQL do Microsoft SQL Server lub odwrotnie. Aby przełączyć środowisko bazy danych, rozpocznij nowe wdrożenie Hybrid Data Security.

                                                                                                                                                  • Tworzenie nowej konfiguracji w celu przygotowania nowego centrum danych.

                                                                                                                                                  Ponadto, ze względów bezpieczeństwa, Hybrid Data Security używa haseł do kont usługi o dziewięciomiesięcznym okresie ważności. Gdy narzędzie konfiguracji HDS wygeneruje te hasła, należy je wdrożyć w każdym z węzłów HDS w pliku konfiguracyjnym ISO . Gdy hasła organizacji zbliżają się do wygaśnięcia, otrzymasz powiadomienie od zespołu Webex , aby zresetować hasło do konta komputera. (Wiadomość e-mail zawiera tekst „Użyj API konta komputera, aby zaktualizować hasło”). Jeśli hasła jeszcze nie wygasły, narzędzie udostępnia dwie opcje:

                                                                                                                                                  • Miękki reset — Stare i nowe hasło działają przez maksymalnie 10 dni. Wykorzystaj ten okres, aby stopniowo zastępować plik ISO w węzłach.

                                                                                                                                                  • Twardy reset — Stare hasła natychmiast przestają działać.

                                                                                                                                                  Jeśli hasła wygasną bez zresetowania, będzie to miało wpływ na usługę HDS i wymaga natychmiastowego twardego resetu i zastąpienia pliku ISO we wszystkich węzłach.

                                                                                                                                                  Ta procedura służy do generowania nowego konfiguracyjnego pliku ISO i zastosowania go do klastra.

                                                                                                                                                  Przed rozpoczęciem

                                                                                                                                                  • Narzędzie instalacji HDS działa jako kontener platformy Docker na komputerze lokalnym. Aby uzyskać do niego dostęp, uruchom platformę Docker na tym komputerze. Proces konfiguracji wymaga poświadczeń konta Control Hub z pełnymi uprawnieniami administratora dla Twojej organizacji.

                                                                                                                                                    Jeśli narzędzie HDS Setup działa za serwerem proxy w Twoim środowisku, podaj ustawienia serwera proxy (serwer, port, poświadczenia) za pomocą zmiennych środowiska Docker podczas przywoływania kontenera Docker w 1.e. W tej tabeli podano kilka możliwych zmiennych środowiskowych:

                                                                                                                                                    Opis

                                                                                                                                                    Zmienna

                                                                                                                                                    Serwer proxy HTTP bez uwierzytelniania

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    Serwer proxy HTTPS bez uwierzytelniania

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    Serwer proxy HTTP z uwierzytelnianiem

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                    Serwer proxy HTTPS z uwierzytelnianiem

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                  • Do wygenerowania nowej konfiguracji potrzebna jest kopia bieżącego konfiguracyjnego pliku ISO . ISO zawiera klucz główny szyfrujący bazę danych PostgreSQL lub Microsoft SQL Server. Plik ISO jest potrzebny podczas wprowadzania zmian w konfiguracji, w tym poświadczeń bazy danych, aktualizacji certyfikatów lub zmian zasad autoryzacji.

                                                                                                                                                  1

                                                                                                                                                  Korzystając z platformy Docker na komputerze lokalnym, uruchom narzędzie konfiguracji HDS.

                                                                                                                                                  1. W wierszu poleceń komputera wprowadź polecenie odpowiednie dla swojego środowiska:

                                                                                                                                                    W zwykłych środowiskach:

                                                                                                                                                    docker rmi ciscocitg/hds-setup:stable

                                                                                                                                                    W środowiskach FedRAMP:

                                                                                                                                                    docker rmi ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                     

                                                                                                                                                    Ten krok czyści poprzednie obrazy narzędzia konfiguracji HDS. Jeśli nie ma poprzednich obrazów, zwraca błąd, który można zignorować.

                                                                                                                                                  2. Aby zalogować się do rejestru obrazów platformy Docker, wprowadź następujące informacje:

                                                                                                                                                    docker login -u hdscustomersro
                                                                                                                                                  3. Po wyświetleniu monitu o hasło wprowadź ten skrót:

                                                                                                                                                    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
                                                                                                                                                  4. Pobierz najnowszy stabilny obraz dla swojego środowiska:

                                                                                                                                                    W zwykłych środowiskach:

                                                                                                                                                    docker pull ciscocitg/hds-setup:stable

                                                                                                                                                    W środowiskach FedRAMP:

                                                                                                                                                    docker pull ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                     

                                                                                                                                                    Upewnij się, że pobierasz najnowsze narzędzie instalacyjne dla tej procedury. Wersje narzędzia utworzone przed 22 lutego 2018 r. nie mają ekranów resetowania hasła.

                                                                                                                                                  5. Po zakończeniu ściągania wprowadź polecenie odpowiednie dla środowiska:

                                                                                                                                                    • W zwykłych środowiskach bez serwera proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
                                                                                                                                                    • W zwykłych środowiskach z serwerem proxy HTTP:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                    • W normalnych środowiskach z serwerem HTTPSproxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                    • W środowiskach FedRAMP bez serwera proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                    • W środowiskach FedRAMP z serwerem proxy HTTP:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                    • W środowiskach FedRAMP z serwerem proxy HTTPS:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                    Gdy kontener jest uruchomiony, zostanie wyświetlony komunikat „Serwer ekspresowy nasłuchuje na porcie 8080”.

                                                                                                                                                  6. Użyj przeglądarki, aby połączyć się z hostem lokalnym, http://127.0.0.1:8080.


                                                                                                                                                     

                                                                                                                                                    Narzędzie Konfiguracja nie obsługuje łączenia się z localhost za pośrednictwem http://localhost:8080. Użyj http://127.0.0.1:8080, aby połączyć się z hostem lokalizacji.

                                                                                                                                                  7. Po wyświetleniu monitu wprowadź poświadczenia logowania klienta Control Hub, a następnie kliknij Zaakceptuj aby kontynuować.

                                                                                                                                                  8. Zaimportuj bieżący plik konfiguracyjny ISO .

                                                                                                                                                  9. Postępuj zgodnie z instrukcjami, aby ukończyć działanie narzędzia i pobrać zaktualizowany plik.

                                                                                                                                                    Aby zamknąć narzędzie Setup, wpisz: CTRL+C.

                                                                                                                                                  10. Utwórz kopię zapasową zaktualizowanego pliku w innym centrum danych.

                                                                                                                                                  2

                                                                                                                                                  Jeśli uruchomiony jest tylko jeden węzeł HDS , utwórz nową maszynę VM węzła Hybrid Data Security i zarejestruj ją przy użyciu nowego konfiguracyjnego pliku ISO . Aby uzyskać bardziej szczegółowe instrukcje, zobacz temat Tworzenie i rejestrowanie większej liczby węzłów.

                                                                                                                                                  1. Zainstaluj narzędzie OVA hosta HDS.

                                                                                                                                                  2. Skonfiguruj maszynę VM HDS .

                                                                                                                                                  3. Podłącz zaktualizowany plik konfiguracyjny.

                                                                                                                                                  4. Zarejestruj nowy węzeł w Control Hub.

                                                                                                                                                  3

                                                                                                                                                  W przypadku istniejących węzłów HDS, na których działa starszy plik konfiguracyjny, podłącz plik ISO . Wykonaj następującą procedurę na każdym węźle po kolei, aktualizując każdy węzeł przed wyłączeniem następnego węzła:

                                                                                                                                                  1. Wyłącz maszynę wirtualną.

                                                                                                                                                  2. W lewym okienku nawigacji klienta VMware vSphere kliknij prawym przyciskiem myszy VM i kliknij Edytuj ustawienia .

                                                                                                                                                  3. Kliknij CD/DVD Drive 1, wybierz opcję podłączenia z pliku ISO i przejdź do lokalizacji, do której pobrano nowy konfiguracyjny plik ISO .

                                                                                                                                                  4. Sprawdź Połącz po włączeniu .

                                                                                                                                                  5. Zapisz zmiany i włącz maszynę wirtualną.

                                                                                                                                                  4

                                                                                                                                                  Powtórz krok 3, aby zastąpić konfigurację w każdym pozostałym węźle, na którym działa stara konfiguracja.

                                                                                                                                                  Wyłącz Zablokowany Zewnętrzny Tryb Rozdzielczości DNS

                                                                                                                                                  Po zarejestrowaniu węzła lub sprawdzeniu konfiguracji serwera proxy węzła proces testuje wyszukiwanie DNS i łączność z chmurą Cisco Webex. Jeśli serwer DNS węzła nie może rozpoznawać publicznych nazw DNS, węzeł automatycznie przechodzi w tryb Zablokowanej zewnętrznej rozdzielczości DNS.

                                                                                                                                                  Jeśli węzły są w stanie rozpoznawać publiczne nazwy DNS za pośrednictwem wewnętrznych serwerów DNS, można wyłączyć ten tryb, uruchamiając ponownie test połączenia serwera proxy w każdym węźle.

                                                                                                                                                  Przed rozpoczęciem

                                                                                                                                                  Upewnij się, że wewnętrzne serwery DNS mogą rozpoznawać publiczne nazwy DNS oraz że węzły mogą się z nimi komunikować.
                                                                                                                                                  1

                                                                                                                                                  W przeglądarce internetowej otwórz interfejs węzła hybrydowego zabezpieczenia danych (adres IP/konfiguracja, na przykład https://192.0.2.0/setup), wprowadź dane uwierzytelniające administratora skonfigurowane dla węzła, a następnie kliknij opcję Zaloguj się.

                                                                                                                                                  2

                                                                                                                                                  Przejdź do Przegląd (strona domyślna).

                                                                                                                                                  Po włączeniu Rozpoznawanie zablokowanego zewnętrznego DNS jest ustawiony na Tak .

                                                                                                                                                  3

                                                                                                                                                  Przejdź do strony Trust Store & Proxy.

                                                                                                                                                  4

                                                                                                                                                  Kliknij przycisk Sprawdź połączenie z serwerem proxy.

                                                                                                                                                  Jeśli zobaczysz komunikat informujący, że zewnętrzna rozdzielczość DNS nie powiodła się, węzeł nie mógł dotrzeć do serwera DNS i pozostanie w tym trybie. W przeciwnym razie po ponownym uruchomieniu węzła i powrocie na stronę Przegląd zablokowana zewnętrzna rozdzielczość DNS powinna być ustawiona na nr.

                                                                                                                                                  Co zrobić dalej

                                                                                                                                                  Powtórz test połączenia z serwerem proxy dla każdego węzła w klastrze hybrydowego zabezpieczenia danych.

                                                                                                                                                  Usuń węzeł

                                                                                                                                                  Użyj tej procedury, aby usunąć węzeł hybrydowego zabezpieczenia danych z chmury Webex. Po usunięciu węzła z klastra usuń maszynę wirtualną, aby zapobiec dalszemu dostępowi do danych zabezpieczeń.
                                                                                                                                                  1

                                                                                                                                                  Użyj klienta VMware vSphere na komputerze, aby zalogować się do wirtualnego hosta ESXi i wyłączyć maszynę wirtualną.

                                                                                                                                                  2

                                                                                                                                                  Usuń węzeł:

                                                                                                                                                  1. Zaloguj się do Control Hub, a następnie wybierz Usługi.

                                                                                                                                                  2. Na karcie hybrydowe zabezpieczenia danych kliknij przycisk Wyświetl wszystkie , aby wyświetlić stronę zasobów hybrydowych zabezpieczeń danych.

                                                                                                                                                  3. Wybierz klaster, aby wyświetlić jego panel Przegląd.

                                                                                                                                                  4. Kliknij listę Otwórz węzły.

                                                                                                                                                  5. Na karcie Węzły wybierz węzeł, który chcesz usunąć.

                                                                                                                                                  6. Kliknij przycisk Akcje > węzeł Deregister.

                                                                                                                                                  3

                                                                                                                                                  W kliencie vSphere usuń maszynę wirtualną (w lewym okienku nawigacyjnym kliknij prawym przyciskiem myszy maszynę wirtualną i kliknij polecenie Usuń).

                                                                                                                                                  Jeśli nie usuniesz VM, pamiętaj o usunięciu pliku ISO konfiguracji. Bez pliku ISO nie można użyć maszyny wirtualnej, aby uzyskać dostęp do danych bezpieczeństwa.

                                                                                                                                                  Odzyskiwanie po awarii za pomocą Standby Data Center

                                                                                                                                                  Najbardziej krytyczną usługą oferowaną przez klaster Hybrid Data Security jest tworzenie i przechowywanie kluczy używanych do szyfrowania wiadomości i innych treści przechowywanych w chmurze Webex. Dla każdego użytkownika w organizacji przypisanego do hybrydowego zabezpieczenia danych nowe żądania tworzenia kluczy są kierowane do klastra. Klaster jest również odpowiedzialny za przywrócenie kluczy, które został utworzony do wszystkich użytkowników upoważnionych do ich odzyskania, na przykład członków obszaru konwersacji.

                                                                                                                                                  Ponieważ klaster pełni kluczową funkcję dostarczania tych kluczy, konieczne jest, aby klaster nadal działał i aby utrzymywały się odpowiednie kopie zapasowe. Utrata bazy danych hybrydowych zabezpieczeń danych lub układu ISO konfiguracji stosowanego dla schematu spowoduje NIEZBĘDNĄ UTRATĘ zawartości klienta. Aby zapobiec takiej utracie, konieczne są następujące praktyki:

                                                                                                                                                  Jeśli awaria spowoduje, że wdrożenie HDS w głównym centrum danych stanie się niedostępne, postępuj zgodnie z tą procedurą, aby ręcznie przełączyć się na standby centrum danych.

                                                                                                                                                  1

                                                                                                                                                  Uruchom narzędzie do konfiguracji HDS i wykonaj czynności opisane w dokumencie Create a Configuration ISO for the HDS Hosts.

                                                                                                                                                  2

                                                                                                                                                  Po skonfigurowaniu serwera Syslogd kliknij Ustawienia zaawansowane

                                                                                                                                                  3

                                                                                                                                                  Na stronie Ustawienia zaawansowane dodaj poniższą konfigurację lub usuń passiveMode konfiguracja, aby węzeł był aktywny. Węzeł może obsługiwać ruch po skonfigurowaniu.

                                                                                                                                                  
                                                                                                                                                  passiveMode: 'false'
                                                                                                                                                  
                                                                                                                                                  4

                                                                                                                                                  Zakończ proces konfiguracji i zapisz plik ISO w lokalizacji, która jest łatwa do znalezienia.

                                                                                                                                                  5

                                                                                                                                                  Wykonaj kopię zapasową pliku ISO w lokalnym systemie. Kopia zapasowa powinna być zabezpieczona. Ten plik zawiera główny klucz szyfrowania zawartości bazy danych. Ogranicz dostęp tylko do tych administratorów hybrydowych zabezpieczeń danych, którzy powinni wprowadzać zmiany w konfiguracji.

                                                                                                                                                  6

                                                                                                                                                  W lewym okienku nawigacyjnym klienta VMware vSphere kliknij prawym przyciskiem myszy maszynę wirtualną i kliknij opcję Edytuj ustawienia..

                                                                                                                                                  7

                                                                                                                                                  Kliknij opcję Edytuj ustawienia >Napęd CD/DVD 1 i wybierz Plik ISO Datastore.


                                                                                                                                                   

                                                                                                                                                  Upewnij się, że Connected and Connect at power on (Podłączono) są zaznaczone, aby zaktualizowane zmiany konfiguracji mogły wejść w życie po uruchomieniu węzłów.

                                                                                                                                                  8

                                                                                                                                                  Włącz węzeł HDS i upewnij się, że nie ma alarmów przez co najmniej 15 minut.

                                                                                                                                                  9

                                                                                                                                                  Powtórz proces dla każdego węzła w centrum danych standby.


                                                                                                                                                   

                                                                                                                                                  Sprawdź wyjście dziennika systemowego, aby sprawdzić, czy węzły centrum danych standby nie są w trybie pasywnym. „KMS skonfigurowany w trybie pasywnym” nie powinien być wyświetlany w dziennikach syslog.

                                                                                                                                                  Co zrobić dalej

                                                                                                                                                  Po przełączeniu awaryjnym, jeśli główne centrum danych stanie się ponownie aktywne, ponownie umieść centrum danych standby w trybie pasywnym, wykonując czynności opisane w Ustawieniu Standby Data Center dla odzyskiwania awarii.

                                                                                                                                                  (Opcjonalnie) Odmontować ISO Po Konfiguracji HDS

                                                                                                                                                  Standardowa konfiguracja HDS działa z zamontowanym ISO. Jednak niektórzy klienci wolą nie pozostawiać plików ISO stale zamontowanych. Plik ISO można odmontować po odebraniu nowej konfiguracji przez wszystkie węzły HDS.

                                                                                                                                                  Nadal używasz plików ISO do wprowadzania zmian w konfiguracji. Podczas tworzenia nowego ISO lub aktualizacji ISO za pomocą narzędzia konfiguracyjnego należy zamontować zaktualizowany ISO na wszystkich węzłach HDS. Po odebraniu zmian konfiguracji przez wszystkie węzły można ponownie rozmontować ISO za pomocą tej procedury.

                                                                                                                                                  Przed rozpoczęciem

                                                                                                                                                  Uaktualnij wszystkie węzły HDS do wersji 2021.01.22.4720 lub nowszej.

                                                                                                                                                  1

                                                                                                                                                  Zamknij jeden z węzłów HDS.

                                                                                                                                                  2

                                                                                                                                                  W urządzeniu VCenter Server Appliance wybierz węzeł HDS.

                                                                                                                                                  3

                                                                                                                                                  Wybierz Edytuj ustawienia > Napęd CD/DVD i usuń zaznaczenie pliku Datastore ISO.

                                                                                                                                                  4

                                                                                                                                                  Włącz węzeł HDS i upewnij się, że nie ma alarmów przez co najmniej 20 minut.

                                                                                                                                                  5

                                                                                                                                                  Powtórz kolejno dla każdego węzła HDS.

                                                                                                                                                  Rozwiązywanie problemów z hybrydowymi zabezpieczeniami danych

                                                                                                                                                  Wyświetlanie alertów i rozwiązywania problemów

                                                                                                                                                  Wdrożenie hybrydowego zabezpieczenia danych jest uważane za niedostępne, jeśli wszystkie węzły w klastrze są nieosiągalne lub klaster działa tak wolno, że wymaga przekroczenia czasu. Jeśli użytkownicy nie mogą skontaktować się z klastrem hybrydowego zabezpieczenia danych, mogą wystąpić następujące objawy:

                                                                                                                                                  • Nie można utworzyć nowych obszarów (nie można utworzyć nowych kluczy)

                                                                                                                                                  • Wiadomości i tytuły przestrzeni nie można odszyfrować dla:

                                                                                                                                                    • Dodano nowych użytkowników do obszaru (nie można pobrać kluczy)

                                                                                                                                                    • Istniejący użytkownicy w obszarze korzystający z nowego klienta (nie można pobrać kluczy)

                                                                                                                                                  • Istniejący użytkownicy w obszarze będą z powodzeniem działać tak długo, jak ich klienci będą mieli pamięć podręczną kluczy szyfrowania

                                                                                                                                                  Ważne jest, aby odpowiednio monitorować klaster hybrydowego zabezpieczenia danych i szybko zwracać się do wszystkich alertów, aby uniknąć zakłóceń w obsłudze.

                                                                                                                                                  Alerty

                                                                                                                                                  Jeśli występuje problem z konfiguracją hybrydowego zabezpieczenia danych, Control Hub wyświetla alerty do administratora organizacji i wysyła wiadomości e-mail na skonfigurowany adres e-mail. Alerty obejmują wiele typowych scenariuszy.

                                                                                                                                                  Tabela 1. Wspólne problemy i kroki mające na celu ich rozwiązanie

                                                                                                                                                  Alert

                                                                                                                                                  Czynność

                                                                                                                                                  Niepowodzenie dostępu do lokalnej bazy danych.

                                                                                                                                                  Sprawdź, czy występują błędy w bazie danych lub problemy z siecią lokalną.

                                                                                                                                                  Niepowodzenie połączenia z lokalną bazą danych.

                                                                                                                                                  Sprawdź, czy serwer bazy danych jest dostępny, a w konfiguracji węzła użyto odpowiednich poświadczeń konta usługi.

                                                                                                                                                  Niepowodzenie dostępu do usługi w chmurze.

                                                                                                                                                  Sprawdź, czy węzły mogą uzyskać dostęp do serwerów Webex zgodnie z wymaganiami Zewnętrznej łączności.

                                                                                                                                                  Odnowienie rejestracji usług w chmurze.

                                                                                                                                                  Zrezygnowano z rejestracji na usługi w chmurze. Trwa przedłużenie rejestracji.

                                                                                                                                                  Rejestracja usług w chmurze została odrzucona.

                                                                                                                                                  Rejestracja na usługi w chmurze została zakończona. Usługa jest wyłączona.

                                                                                                                                                  Usługa jeszcze nie została aktywowana.

                                                                                                                                                  Aktywuj wersję próbną lub zakończ przenoszenie wersji próbnej do produkcji.

                                                                                                                                                  Skonfigurowana domena nie odpowiada certyfikatowi serwera.

                                                                                                                                                  Upewnij się, że certyfikat serwera jest zgodny z skonfigurowaną domeną aktywacji usługi.

                                                                                                                                                  Najbardziej prawdopodobną przyczyną jest to, że certyfikat CN został ostatnio zmieniony i jest teraz inny niż CN, który był używany podczas początkowej konfiguracji.

                                                                                                                                                  Nie można uwierzytelnić usług w chmurze.

                                                                                                                                                  Kontrola poprawności i ewentualnego wygaśnięcia poświadczeń konta usługi.

                                                                                                                                                  Nie można otworzyć lokalnego pliku keystore.

                                                                                                                                                  Sprawdź integralność i dokładność hasła w lokalnym pliku keystore.

                                                                                                                                                  Certyfikat lokalnego serwera jest nieprawidłowy.

                                                                                                                                                  Sprawdź datę ważności certyfikatu serwera i potwierdź, że został on wydany przez zaufany urząd certyfikacji.

                                                                                                                                                  Nie można publikować metryk.

                                                                                                                                                  Sprawdź dostęp sieci lokalnej do zewnętrznych usług w chmurze.

                                                                                                                                                  /media/configdrive/hds katalog nie istnieje.

                                                                                                                                                  Sprawdź konfigurację montażu ISO na wirtualnym hostze. Sprawdź, czy plik ISO istnieje, czy jest skonfigurowany do montażu na ponownym uruchomieniu i czy został pomyślnie zainstalowany.

                                                                                                                                                  Rozwiązywanie problemów z hybrydowymi zabezpieczeniami danych

                                                                                                                                                  Podczas rozwiązywania problemów z hybrydowymi zabezpieczeniami danych należy stosować następujące ogólne wytyczne.
                                                                                                                                                  1

                                                                                                                                                  Przejrzyj Control Hub dla wszystkich alertów i naprawić wszystkie znalezione tam elementy.

                                                                                                                                                  2

                                                                                                                                                  Przejrzyj wyjście serwera dziennika systemowego pod kątem aktywności z wdrożenia hybrydowego zabezpieczenia danych.

                                                                                                                                                  3

                                                                                                                                                  Skontaktuj się z pomocą techniczną Cisco.

                                                                                                                                                  Inne uwagi

                                                                                                                                                  Znane problemy dotyczące hybrydowych zabezpieczeń danych

                                                                                                                                                  • Jeśli zamkniesz klaster hybrydowego zabezpieczenia danych (usuwając go w Control Hub lub zamykając wszystkie węzły), stracisz plik ISO konfiguracji lub utracisz dostęp do bazy danych keystore, użytkownicy aplikacji Webex nie będą mogli już korzystać ze spacji na liście Osoby utworzonej za pomocą kluczy z KMS. Dotyczy to zarówno wdrożeń próbnych, jak i produkcyjnych. Obecnie nie mamy obejścia ani rozwiązania tego problemu i zachęcamy do niezamykania usług HDS po obsłudze aktywnych kont użytkowników.

                                                                                                                                                  • Klient z istniejącym połączeniem ECDH z KMS utrzymuje to połączenie przez pewien czas (prawdopodobnie godzinę). Gdy użytkownik staje się członkiem próby hybrydowego zabezpieczenia danych, klient użytkownika nadal korzysta z istniejącego połączenia ECDH do czasu jego wyłączenia. Alternatywnie, użytkownik może wylogować się i wrócić do aplikacji Webex, aby zaktualizować lokalizację, z którą kontaktuje się aplikacja w przypadku kluczy szyfrowania.

                                                                                                                                                    To samo zachowanie występuje podczas przenoszenia próby do produkcji dla organizacji. Wszyscy użytkownicy spoza wersji próbnej posiadający istniejące połączenia ECDH z poprzednimi służbami bezpieczeństwa danych będą nadal korzystać z tych usług do czasu renegocjacji połączenia ECDH (poprzez limit czasu lub poprzez wylogowanie i powrót).

                                                                                                                                                  Użyj protokołu OpenSSL, aby wygenerować plik PKCS12

                                                                                                                                                  Przed rozpoczęciem

                                                                                                                                                  • OpenSSL jest jednym z narzędzi, które można wykorzystać do tworzenia pliku PKCS12 w odpowiednim formacie do ładowania w narzędziu konfiguracji HDS. Istnieją inne sposoby, aby to zrobić, i nie popieramy ani nie promujemy jednej drogi nad drugą.

                                                                                                                                                  • Jeśli zdecydujesz się korzystać z OpenSSL, zapewniamy tę procedurę jako wytyczną, która pomoże Ci utworzyć plik spełniający wymagania certyfikatu X.509 w wymaganiach certyfikatów X.509. Zrozum te wymagania, zanim przejdziesz dalej.

                                                                                                                                                  • Zainstaluj OpenSSL w obsługiwanym środowisku. Patrz https://www.openssl.org oprogramowanie i dokumentacja.

                                                                                                                                                  • Utwórz klucz prywatny.

                                                                                                                                                  • Procedurę tę należy rozpocząć po otrzymaniu certyfikatu serwera od urzędu certyfikacji.

                                                                                                                                                  1

                                                                                                                                                  Po otrzymaniu certyfikatu serwera z urzędu certyfikacji zapisz go jako hdsnode.pem.

                                                                                                                                                  2

                                                                                                                                                  Wyświetl certyfikat jako tekst i zweryfikuj szczegóły.

                                                                                                                                                  openssl x509 -text -noout -in hdsnode.pem

                                                                                                                                                  3

                                                                                                                                                  Użyj edytora tekstu, aby utworzyć plik pakietu certyfikatów o nazwie hdsnode-bundle.pem. Plik pakietu musi zawierać certyfikat serwera, wszystkie pośrednie certyfikaty urzędu certyfikacji oraz podstawowe certyfikaty urzędu certyfikacji w formacie poniżej:

                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ### Server certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ###  Intermediate CA certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ###  Root CA certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  4

                                                                                                                                                  Utwórz plik .p12 o przyjaznej nazwie kms-private-key.

                                                                                                                                                  openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

                                                                                                                                                  5

                                                                                                                                                  Sprawdź szczegóły certyfikatu serwera.

                                                                                                                                                  1. openssl pkcs12 -in hdsnode.p12

                                                                                                                                                  2. Wprowadź hasło po wyświetleniu monitu, aby zaszyfrować klucz prywatny w taki sposób, aby był wyświetlany na wyjściu. Następnie sprawdź, czy klucz prywatny i pierwszy certyfikat zawierają linie friendlyName: kms-private-key.

                                                                                                                                                    Przykład:

                                                                                                                                                    bash$ openssl pkcs12 -in hdsnode.p12
                                                                                                                                                    Enter Import Password:
                                                                                                                                                    MAC verified OK
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: kms-private-key
                                                                                                                                                        localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
                                                                                                                                                    Key Attributes: <No Attributes>
                                                                                                                                                    Enter PEM pass phrase:
                                                                                                                                                    Verifying - Enter PEM pass phrase:
                                                                                                                                                    -----BEGIN ENCRYPTED PRIVATE KEY-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END ENCRYPTED PRIVATE KEY-----
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: kms-private-key
                                                                                                                                                        localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
                                                                                                                                                    subject=/CN=hds1.org6.portun.us
                                                                                                                                                    issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
                                                                                                                                                    -----BEGIN CERTIFICATE-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END CERTIFICATE-----
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US
                                                                                                                                                    subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
                                                                                                                                                    issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3
                                                                                                                                                    -----BEGIN CERTIFICATE-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END CERTIFICATE-----

                                                                                                                                                  Co zrobić dalej

                                                                                                                                                  Powróć, aby ukończyć wymagania wstępne dotyczące hybrydowego zabezpieczenia danych. Korzystasz z hdsnode.p12 plik i ustawione dla niego hasło w Utwórz ISO konfiguracji dla prowadzących HDS.


                                                                                                                                                   

                                                                                                                                                  Możesz ponownie użyć tych plików, aby poprosić o nowy certyfikat po wygaśnięciu oryginalnego certyfikatu.

                                                                                                                                                  Ruch między węzłami HDS a chmurą

                                                                                                                                                  Ruch zbierania metryk wychodzących

                                                                                                                                                  Węzły hybrydowego zabezpieczenia danych wysyłają pewne metryki do chmury Webex. Obejmują one metryki systemowe dla maks. stosu, stosowanego stosu, obciążenia procesora i liczenia wątków; metryki na wątkach synchronicznych i asynchronicznych; metryki na alertach obejmujące próg połączeń szyfrowania, opóźnienie lub długość kolejki żądań; metryki na zbiorniku danych; oraz metryki połączeń szyfrowania. Węzły wysyłają zaszyfrowany materiał klucza przez kanał poza pasmem (oddzielony od żądania).

                                                                                                                                                  Ruch przychodzący

                                                                                                                                                  Węzły hybrydowego zabezpieczenia danych otrzymują następujące typy ruchu przychodzącego z chmury Webex:

                                                                                                                                                  • Żądania szyfrowania od klientów, które są kierowane przez usługę szyfrowania

                                                                                                                                                  • Aktualizacja do oprogramowania węzła

                                                                                                                                                  Konfigurowanie serwerów proxy Squid dla hybrydowych zabezpieczeń danych

                                                                                                                                                  Websocket Nie Można Połączyć Za Pomocą Proxy Squid

                                                                                                                                                  Pełnomocnicy Squid, którzy sprawdzają ruch HTTPS, mogą ingerować w tworzenie websocket ( wss:) połączenia, których wymaga Hybrid Data Security. Sekcje te zawierają wskazówki dotyczące konfigurowania różnych wersji Squid do ignorowania wss: ruch w celu prawidłowego funkcjonowania usług.

                                                                                                                                                  Squid 4 i 5

                                                                                                                                                  Dodaj on_unsupported_protocol dyrektywa do squid.conf:

                                                                                                                                                  on_unsupported_protocol tunnel all

                                                                                                                                                  Squid 3.5.27

                                                                                                                                                  Z powodzeniem przetestowaliśmy hybrydowe zabezpieczenia danych, dodając następujące zasady squid.conf. Zasady te mogą ulec zmianie w miarę opracowywania funkcji i aktualizacji chmury Webex.

                                                                                                                                                  acl wssMercuryConnection ssl::server_name_regex mercury-connection
                                                                                                                                                  
                                                                                                                                                  ssl_bump splice wssMercuryConnection
                                                                                                                                                  
                                                                                                                                                  acl step1 at_step SslBump1
                                                                                                                                                  acl step2 at_step SslBump2
                                                                                                                                                  acl step3 at_step SslBump3
                                                                                                                                                  ssl_bump peek step1 all
                                                                                                                                                  ssl_bump stare step2 all
                                                                                                                                                  ssl_bump bump step3 all
                                                                                                                                                  Przedmowa

                                                                                                                                                  Nowe i zmienione informacje

                                                                                                                                                  Data

                                                                                                                                                  Zmiany

                                                                                                                                                  20 października 2023 r.

                                                                                                                                                  07 sierpnia 2023 r.

                                                                                                                                                  23 maja 2023 r.

                                                                                                                                                  06 grudnia 2022 r.

                                                                                                                                                  23 listopada 2022 r.

                                                                                                                                                  • Węzły HDS mogą teraz używać uwierzytelniania systemu Windows w usłudze Microsoft SQL Server.

                                                                                                                                                    Zaktualizowano temat wymagań serwera bazy danych z dodatkowymi wymaganiami dla tego trybu uwierzytelniania.

                                                                                                                                                    Zaktualizowano Utwórz ISO konfiguracji hostów HDS z procedurą konfigurowania uwierzytelniania systemu Windows w węzłach.

                                                                                                                                                  • Zaktualizowano temat wymagań serwera bazy danych o nowe minimalne wymagane wersje (PostgreSQL 10).

                                                                                                                                                  13 października 2021 r.

                                                                                                                                                  Docker Desktop musi uruchomić program konfiguracji przed zainstalowaniem węzłów HDS. Zobacz Wymagania Dotyczące Pulpitu Docker.

                                                                                                                                                  24 czerwca 2021 r.

                                                                                                                                                  Pamiętaj, że możesz ponownie użyć pliku klucza prywatnego i CSR, aby poprosić o inny certyfikat. Aby uzyskać szczegółowe informacje, zobacz Użyj OpenSSL, aby wygenerować plik PKCS12.

                                                                                                                                                  30 kwietnia 2021 r.

                                                                                                                                                  Zmieniono wymaganie VM dla lokalnego miejsca na dysku twardym na 30 GB. Szczegółowe informacje można znaleźć w sekcji Wymagania wirtualnego prowadzącego.

                                                                                                                                                  24 lutego 2021 r.

                                                                                                                                                  Narzędzie konfiguracji usługi HDS może teraz działać za serwerem proxy. Aby uzyskać szczegółowe informacje, zobacz Tworzenie ISO konfiguracji hostów HDS.

                                                                                                                                                  2 lutego 2021 r.

                                                                                                                                                  HDS może teraz działać bez zamontowanego pliku ISO. Aby uzyskać szczegółowe informacje, zobacz (Opcjonalnie) Odinstaluj ISO Po Konfiguracji HDS.

                                                                                                                                                  11 stycznia 2021 r.

                                                                                                                                                  Dodano informacje o narzędziu do konfiguracji HDS i pełnomocnikach, aby utworzyć ISO konfiguracji dla prowadzących HDS.

                                                                                                                                                  13 października 2020 r.

                                                                                                                                                  Zaktualizowano Pobierz pliki instalacyjne.

                                                                                                                                                  8 października 2020 r.

                                                                                                                                                  Zaktualizowano Utwórz ISO konfiguracji dla prowadzących HDS i zmień konfigurację węzła za pomocą poleceń dla środowisk FedRAMP.

                                                                                                                                                  14 sierpnia 2020 r.

                                                                                                                                                  Zaktualizowano Utwórz ISO konfiguracji dla prowadzących HDS i zmień konfigurację węzła ze zmianami w procesie logowania.

                                                                                                                                                  5 sierpnia 2020 r.

                                                                                                                                                  Zaktualizowano testowanie wdrażania hybrydowego zabezpieczenia danych pod kątem zmian w komunikatach dziennika.

                                                                                                                                                  Zaktualizowano wymagania hosta wirtualnego , aby usunąć maksymalną liczbę hostów.

                                                                                                                                                  16 czerwca 2020 r.

                                                                                                                                                  Zaktualizowano Usuwanie węzła pod kątem zmian w interfejsie interfejsu Control Hub.

                                                                                                                                                  4 czerwca 2020 r.

                                                                                                                                                  Zaktualizowano Tworzenie ISO konfiguracji dla hostów HDS w celu wprowadzenia zmian w ustawieniach zaawansowanych, które można ustawić.

                                                                                                                                                  29 maja 2020 r.

                                                                                                                                                  Zaktualizowano Utwórz ISO konfiguracji dla hostów HDS , aby pokazać, że można również używać TLS z bazami danych SQL Server, zmianami interfejsu użytkownika i innymi wyjaśnieniami.

                                                                                                                                                  5 maja 2020 r.

                                                                                                                                                  Zaktualizowano wymagania hosta wirtualnego , aby pokazać nowe wymagania ESXi 6.5.

                                                                                                                                                  21 kwietnia 2020 r.

                                                                                                                                                  Zaktualizowane wymagania dotyczące łączności zewnętrznej z nowymi hostami CI Americas.

                                                                                                                                                  1 kwietnia 2020 r.

                                                                                                                                                  Zaktualizowane wymagania dotyczące łączności zewnętrznej z informacjami na temat regionalnych prowadzących CI.

                                                                                                                                                  20 lutego 2020 r.Zaktualizowano Utwórz ISO konfiguracji hostów HDS z informacjami na nowym opcjonalnym ekranie ustawień zaawansowanych w narzędziu do konfiguracji HDS.
                                                                                                                                                  4 lutego 2020 r.Zaktualizowano wymagania serwera proxy.
                                                                                                                                                  16 grudnia 2019 r.Wyjaśnione wymagania dotyczące zablokowanego zewnętrznego trybu rozdzielczości DNS do pracy w wymaganiach serwera proxy.
                                                                                                                                                  19 listopada 2019 r.

                                                                                                                                                  Dodano informacje o zablokowanym zewnętrznym trybie rozpoznawania DNS w następujących sekcjach:

                                                                                                                                                  8 listopada 2019 r.

                                                                                                                                                  Teraz można skonfigurować ustawienia sieciowe węzła podczas wdrażania OVA, a nie później.

                                                                                                                                                  Zaktualizowano odpowiednio następujące sekcje:


                                                                                                                                                   

                                                                                                                                                  Opcja konfigurowania ustawień sieciowych podczas wdrażania OVA została przetestowana z ESXi 6.5. Opcja może nie być dostępna we wcześniejszych wersjach.

                                                                                                                                                  6 września 2019 r.

                                                                                                                                                  Dodano SQL Server Standard do wymagań serwera bazy danych.

                                                                                                                                                  29 sierpnia 2019 r.Dodano Configure Squid Proxies for Hybrid Data Security appendix z wytycznymi dotyczącymi konfigurowania serwerów proxy Squid w celu zignorowania ruchu websocket w celu prawidłowej obsługi.
                                                                                                                                                  20 sierpnia 2019 r.

                                                                                                                                                  Dodano i zaktualizowano sekcje, aby objąć obsługę proxy komunikacji węzła hybrydowego bezpieczeństwa danych z chmurą Webex.

                                                                                                                                                  Aby uzyskać dostęp tylko do zawartości obsługi serwera proxy dla istniejącego wdrożenia, zobacz artykuł pomocy Proxy Support for Hybrid Data Security i Webex Video Mesh .

                                                                                                                                                  13 czerwca 2019 r.Zaktualizowano próbny do przepływu zadań produkcyjnych z przypomnieniem o synchronizacji HdsTrialGroup obiekt grupowy przed rozpoczęciem próby, jeśli Twoja organizacja korzysta z synchronizacji katalogu.
                                                                                                                                                  6 marca 2019 r.
                                                                                                                                                  28 lutego 2019 r.
                                                                                                                                                  • Skorygowano ilość lokalnego miejsca na dysku twardym na serwer, którą należy odłożyć podczas przygotowywania wirtualnych hostów, które stają się węzłami hybrydowego zabezpieczenia danych, z 50 GB do 20 GB, aby odzwierciedlić rozmiar dysku, który tworzy OVA.

                                                                                                                                                  26 lutego 2019 r.
                                                                                                                                                  • Węzły hybrydowego zabezpieczenia danych obsługują teraz szyfrowane połączenia z serwerami bazy danych PostgreSQL i szyfrowane połączenia rejestrowania z serwerem dziennika systemowego obsługującym protokół TLS. Zaktualizowano Tworzenie ISO konfiguracji dla prowadzących HDS z instrukcjami.

                                                                                                                                                  • Usunięto adresy URL docelowe z tabeli „Wymagania dotyczące łączności internetowej dla hybrydowych węzłów bezpieczeństwa danych”. Tabela odnosi się teraz do listy utrzymywanej w tabeli „Dodatkowe adresy URL usług hybrydowych Webex Teams” dotyczącej wymagań sieciowych dla usług Webex Teams.

                                                                                                                                                  24 stycznia 2019 r.

                                                                                                                                                  • Hybrid Data Security obsługuje teraz Microsoft SQL Server jako bazę danych. Serwer SQL Always On (Klastry Always On Failover i grupy Always On Availability) jest obsługiwany przez sterowniki JDBC używane w hybrydowych zabezpieczeniach danych. Dodano zawartość związaną z wdrożeniem z programem SQL Server.


                                                                                                                                                     

                                                                                                                                                    Obsługa rozwiązania Microsoft SQL Server jest przeznaczona tylko dla nowych wdrożeń hybrydowych zabezpieczeń danych. Obecnie nie obsługujemy migracji danych z serwera PostgreSQL na serwer Microsoft SQL Server w istniejącym wdrożeniu.

                                                                                                                                                  5 listopada 2018 r.
                                                                                                                                                  19 października 2018 r.

                                                                                                                                                  31 lipca 2018 r.

                                                                                                                                                  21 maja 2018 r.

                                                                                                                                                  Zmieniona terminologia odzwierciedlająca zmianę marki Cisco Spark:

                                                                                                                                                  • Cisco Spark Hybrid Data Security jest teraz Hybrid Data Security.

                                                                                                                                                  • Aplikacja Cisco Spark jest teraz aplikacją Webex.

                                                                                                                                                  • Cisco Collaboraton Cloud jest teraz chmurą Webex.

                                                                                                                                                  11 kwietnia 2018 r.
                                                                                                                                                  22 lutego 2018 r.
                                                                                                                                                  Luty 15, 2018
                                                                                                                                                  • W tabeli Wymagania dotyczące certyfikatów X.509 określono, że certyfikat nie może być certyfikatem z wieloznacznymi kartami i że KMS używa domeny CN, a nie żadnej domeny zdefiniowanej w polach SAN x.509v3.

                                                                                                                                                  Styczeń 18, 2018

                                                                                                                                                  2 listopada 2017 r.

                                                                                                                                                  • Skrócona synchronizacja katalogu grupy HdsTrialGroup.

                                                                                                                                                  • Stałe instrukcje dotyczące przesyłania pliku konfiguracyjnego ISO w celu montażu w węzłach VM.

                                                                                                                                                  18 sierpnia 2017 r.

                                                                                                                                                  Pierwsza publikacja

                                                                                                                                                  Rozpocznij pracę z Hybrid Data Security

                                                                                                                                                  Przegląd zabezpieczeń danych hybrydowych

                                                                                                                                                  Od pierwszego dnia bezpieczeństwo danych było głównym celem projektowania aplikacji Webex. Podstawą tych zabezpieczeń jest kompleksowe szyfrowanie zawartości, włączane przez klientów aplikacji Webex , którzy wchodzą w interakcję z usługą zarządzania kluczami (KMS). Usługa KMS jest odpowiedzialna za tworzenie kluczy kryptograficznych używanych przez klientów do dynamicznego szyfrowania i odszyfrowywania wiadomości i plików oraz zarządzanie nimi.

                                                                                                                                                  Domyślnie wszyscy klienci aplikacji Webex otrzymują kompleksowe szyfrowanie za pomocą kluczy dynamicznych przechowywanych w chmurze KMS w obszarze bezpieczeństwa firmy Cisco. Hybrid Data Security przenosi usługę KMS i inne funkcje związane z bezpieczeństwem do centrum danych przedsiębiorstwa, dzięki czemu nikt poza Tobą nie ma kluczy do zaszyfrowanej zawartości.

                                                                                                                                                  Architektura domeny zabezpieczeń

                                                                                                                                                  Architektura chmury Webex oddziela różne rodzaje usług od osobnych domen lub domen zaufania, jak przedstawiono poniżej.

                                                                                                                                                  Realms of Separation (bez hybrydowego zabezpieczenia danych)

                                                                                                                                                  Aby lepiej zrozumieć hybrydowe zabezpieczenia danych, spójrzmy najpierw na ten przypadek czystej chmury, w którym firma Cisco zapewnia wszystkie funkcje w swoich domenach w chmurze. Usługa tożsamości, jedyne miejsce, w którym użytkownicy mogą być bezpośrednio skorelowani ze swoimi danymi osobowymi, takimi jak adres e-mail, jest logicznie i fizycznie oddzielona od domeny bezpieczeństwa w centrum danych B. Oba są z kolei oddzielone od domeny, w której ostatecznie przechowywana jest zaszyfrowana zawartość, w centrum danych C.

                                                                                                                                                  Na tym schemacie klient to aplikacja Webex działająca na laptopie użytkownika i uwierzytelniona za pomocą usługi tożsamości. Gdy użytkownik komponuje wiadomość do wysłania do obszaru, wykonywane są następujące czynności:

                                                                                                                                                  1. Klient ustanawia bezpieczne połączenie z usługą zarządzania kluczami (KMS), a następnie prosi o klucz do szyfrowania wiadomości. Bezpieczne połączenie korzysta z ECDH, a KMS szyfruje klucz przy użyciu klucza głównego AES-256.

                                                                                                                                                  2. Wiadomość jest szyfrowana przed opuszczeniem klienta. Klient wysyła go do usługi indeksowania, która tworzy zaszyfrowane indeksy wyszukiwania, aby pomóc w przyszłych wyszukiwaniach zawartości.

                                                                                                                                                  3. Zaszyfrowana wiadomość jest wysyłana do usługi zgodności w celu sprawdzenia zgodności.

                                                                                                                                                  4. Zaszyfrowana wiadomość jest przechowywana w domenie przechowywania.

                                                                                                                                                  Podczas wdrażania hybrydowego zabezpieczenia danych funkcje domeny zabezpieczeń (KMS, indeksowanie i zgodność) są przenoszone do lokalnego centrum danych. Inne usługi w chmurze, które składają się na usługę Webex (w tym pamięć masowa tożsamości i zawartości), pozostają w domenach Cisco.

                                                                                                                                                  Współpraca z innymi organizacjami

                                                                                                                                                  Użytkownicy w organizacji mogą regularnie korzystać z aplikacji Webex do współpracy z uczestnikami zewnętrznymi w innych organizacjach. Gdy jeden z użytkowników prosi o klucz do obszaru należącego do organizacji (ponieważ został on utworzony przez jednego z użytkowników), KMS wysyła klucz do klienta za pośrednictwem kanału zabezpieczonego ECDH. Jednak gdy inna organizacja jest właścicielem klucza dla obszaru, system KMS kieruje żądanie do chmury Webex przez osobny kanał ECDH, aby uzyskać klucz z odpowiedniego systemu KMS, a następnie zwraca go do użytkownika na oryginalnym kanale.

                                                                                                                                                  Usługa KMS działająca na Org A weryfikuje połączenia z KMSs w innych organizacjach za pomocą certyfikatów PKI x.509. Aby uzyskać szczegółowe informacje na temat generowania certyfikatu x.509 do użytku z wdrożeniem hybrydowego zabezpieczenia danych, zobacz Prepare Your Environment (Przygotowanie środowiska).

                                                                                                                                                  Oczekiwania dotyczące wdrażania hybrydowych zabezpieczeń danych

                                                                                                                                                  Wdrożenie hybrydowego zabezpieczenia danych wymaga znacznego zaangażowania klienta i świadomości ryzyka związanego z posiadaniem kluczy szyfrowania.

                                                                                                                                                  Aby wdrożyć hybrydowe zabezpieczenia danych, należy zapewnić:

                                                                                                                                                  Kompletna utrata konfiguracji ISO utworzonej dla hybrydowego zabezpieczenia danych lub dostarczonej bazy danych spowoduje utratę kluczy. Utrata klucza uniemożliwia użytkownikom odszyfrowanie zawartości obszaru i innych zaszyfrowanych danych w aplikacji Webex. Jeśli tak się stanie, możesz zbudować nowe wdrożenie, ale widoczna będzie tylko nowa zawartość. Aby uniknąć utraty dostępu do danych, należy:

                                                                                                                                                  • Zarządzanie kopią zapasową i odzyskiwaniem bazy danych oraz konfiguracją ISO.

                                                                                                                                                  • Przygotuj się do szybkiego odzyskiwania awaryjnego w przypadku wystąpienia katastrofy, takiej jak awaria dysku bazy danych lub awaria centrum danych.


                                                                                                                                                   

                                                                                                                                                  Nie ma mechanizmu przenoszenia kluczy z powrotem do chmury po wdrożeniu HDS.

                                                                                                                                                  Proces konfiguracji na wysokim poziomie

                                                                                                                                                  Niniejszy dokument obejmuje konfigurację i zarządzanie wdrożeniem hybrydowego zabezpieczenia danych:

                                                                                                                                                  • Skonfiguruj hybrydowe zabezpieczenia danych— obejmuje to przygotowanie wymaganej infrastruktury i zainstalowanie oprogramowania hybrydowego zabezpieczenia danych, testowanie wdrożenia z podzbiorem użytkowników w trybie próbnym oraz, po zakończeniu testów, przejście do produkcji. Spowoduje to konwertowanie całej organizacji do używania klastra Hybrid Data Security dla funkcji zabezpieczeń.

                                                                                                                                                    Etapy konfiguracji, prób i produkcji zostały szczegółowo omówione w kolejnych trzech rozdziałach.

                                                                                                                                                  • Utrzymuj wdrożenie hybrydowego zabezpieczenia danych— chmura Webex automatycznie zapewnia trwające uaktualnienia. Dział IT może zapewnić wsparcie poziomu pierwszego dla tego wdrożenia i zaangażować wsparcie Cisco w razie potrzeby. Możesz korzystać z powiadomień na ekranie i konfigurować alerty oparte na wiadomościach e-mail w Control Hub.

                                                                                                                                                  • Zrozumienie wspólnych alertów, kroków rozwiązywania problemów i znanych problemów— w przypadku wystąpienia problemów z wdrożeniem lub użyciem hybrydowego zabezpieczenia danych ostatni rozdział niniejszego przewodnika i dodatku do Znanych problemów może pomóc w określeniu i rozwiązaniu problemu.

                                                                                                                                                  Hybrydowy model wdrażania zabezpieczeń danych

                                                                                                                                                  W centrum danych przedsiębiorstwa wdrażasz hybrydowe zabezpieczenia danych jako jeden klaster węzłów na osobnych hostach wirtualnych. Węzły komunikują się z chmurą Webex za pośrednictwem bezpiecznych websocketów i bezpiecznego protokołu HTTP.

                                                                                                                                                  Podczas procesu instalacji dostarczamy Ci plik OVA do skonfigurowania urządzenia wirtualnego na dostarczonych maszynach wirtualnych. Narzędzie konfiguracyjne HDS służy do tworzenia niestandardowego pliku ISO konfiguracji klastra, który jest montowany w każdym węźle. Klaster Hybrid Data Security korzysta z dostarczonego serwera Syslogd i bazy danych PostgreSQL lub Microsoft SQL Server. (Szczegóły połączenia Syslogd i bazy danych można skonfigurować w narzędziu konfiguracji HDS).

                                                                                                                                                  Hybrydowy model wdrażania zabezpieczeń danych

                                                                                                                                                  Minimalna liczba węzłów w klastrze to dwa. Zalecamy co najmniej trzy, a możesz mieć do pięciu. Posiadanie wielu węzłów zapewnia, że usługa nie zostanie przerwana podczas uaktualniania oprogramowania lub innej czynności konserwacyjnej w węźle. (Chmura Webex aktualizuje tylko jeden węzeł naraz).

                                                                                                                                                  Wszystkie węzły w klastrze mają dostęp do tego samego rekordu danych klucza i aktywności dziennika na tym samym serwerze dziennika systemowego. Same węzły są bezpaństwowe i obsługują żądania kluczy w sposób okrągły, zgodnie z zaleceniami chmury.

                                                                                                                                                  Węzły stają się aktywne po zarejestrowaniu ich w Control Hub. Aby usunąć pojedynczy węzeł z usługi, można go wyrejestrować, a następnie ponownie wyrejestrować w razie potrzeby.

                                                                                                                                                  Obsługujemy tylko jeden klaster na organizację.

                                                                                                                                                  Tryb próbny zabezpieczeń danych hybrydowych

                                                                                                                                                  Po skonfigurowaniu wdrożenia hybrydowego zabezpieczenia danych spróbuj go najpierw z zestawem użytkowników pilotażowych. W okresie próbnym użytkownicy ci wykorzystują lokalną domenę hybrydowego zabezpieczenia danych do szyfrowania kluczy i innych usług domeny zabezpieczeń. Inni użytkownicy nadal korzystają ze sfery zabezpieczeń w chmurze.

                                                                                                                                                  Jeśli zdecydujesz się nie kontynuować wdrażania podczas wersji próbnej i dezaktywować usługi, użytkownicy pilotażowi i wszyscy użytkownicy, z którymi współpracowali, tworząc nowe obszary w okresie próbnym, utracą dostęp do wiadomości i treści. Zostanie wyświetlony komunikat „Nie można odszyfrować tej wiadomości” w aplikacji Webex.

                                                                                                                                                  Jeśli jesteś zadowolony, że wdrożenie działa dobrze dla użytkowników próbnych i jesteś gotowy do rozszerzenia hybrydowego zabezpieczenia danych na wszystkich użytkowników, przenosisz wdrożenie do produkcji. Użytkownicy pilotażowi nadal mają dostęp do kluczy, które były używane podczas próby. Nie można jednak poruszać się w tę i z powrotem między trybem produkcji a oryginalnym testem. Jeśli musisz dezaktywować usługę, na przykład w celu przeprowadzenia odzyskiwania po awarii, po ponownej aktywacji musisz rozpocząć nową wersję próbną i skonfigurować zestaw użytkowników pilotażowych dla nowej wersji próbnej przed powrotem do trybu produkcji. To, czy użytkownicy zachowują w tym momencie dostęp do danych, zależy od tego, czy udało się zachować kopie zapasowe kluczowego magazynu danych i pliku konfiguracyjnego ISO dla węzłów hybrydowych zabezpieczeń danych w klastrze.

                                                                                                                                                  Standby Data Center for Disaster Recovery

                                                                                                                                                  Podczas wdrażania skonfigurowano bezpieczne centrum danych w trybie gotowości. W przypadku awarii centrum danych można ręcznie anulować wdrożenie do centrum danych w trybie gotowości.

                                                                                                                                                  Before failover, Data Center A has active HDS nodes and the primary PostgreSQL or Microsoft SQL Server database, while B has a copy of the ISO file with additional configurations, VMs that are registered to the organization, and a standby database. After failover, Data Center B has active HDS nodes and the primary database, while A has unregistered VMs and a copy of the ISO file, and the database is in standby mode.
                                                                                                                                                  Ręczne przełączanie awaryjne do Standby Data Center

                                                                                                                                                  Bazy danych aktywnych i standby centrów danych są ze sobą zsynchronizowane, co zminimalizuje czas potrzebny na wykonanie przełącznika awaryjnego. Plik ISO centrum danych w trybie gotowości jest aktualizowany o dodatkowe konfiguracje, które zapewniają rejestrację węzłów w organizacji, ale nie obsługują ruchu. Stąd węzły standby data center zawsze pozostają aktualne z najnowszą wersją oprogramowania HDS.


                                                                                                                                                   

                                                                                                                                                  Aktywne węzły hybrydowego zabezpieczenia danych muszą zawsze znajdować się w tym samym centrum danych, co aktywny serwer bazy danych.

                                                                                                                                                  Konfiguracja Standby Data Center do odzyskiwania awarii

                                                                                                                                                  Wykonaj poniższe czynności, aby skonfigurować plik ISO centrum danych w trybie gotowości:

                                                                                                                                                  Przed rozpoczęciem

                                                                                                                                                  • Centrum danych w stanie gotowości powinno odzwierciedlać środowisko produkcyjne maszyn wirtualnych oraz zapasową bazę danych PostgreSQL lub Microsoft SQL Server. Na przykład, jeśli produkcja ma 3 maszyny wirtualne z węzłami HDS, środowisko tworzenia kopii zapasowych powinno mieć 3 maszyny wirtualne (zobacz Standby Data Center for Disaster Recovery , aby zapoznać się z tym modelem failover).

                                                                                                                                                  • Upewnij się, że synchronizacja bazy danych jest włączona między bazą danych aktywnych i pasywnych węzłów klastra.

                                                                                                                                                  1

                                                                                                                                                  Uruchom narzędzie do konfiguracji HDS i wykonaj czynności opisane w dokumencie Create a Configuration ISO for the HDS Hosts.


                                                                                                                                                   

                                                                                                                                                  Plik ISO musi być kopią oryginalnego pliku ISO głównego centrum danych, na którym mają być dokonywane następujące aktualizacje konfiguracji.

                                                                                                                                                  2

                                                                                                                                                  Po skonfigurowaniu serwera Syslogd kliknij Ustawienia zaawansowane

                                                                                                                                                  3

                                                                                                                                                  Na stronie Ustawienia zaawansowane dodaj poniższą konfigurację, aby umieścić węzeł w trybie pasywnym. W tym trybie węzeł zostanie zarejestrowany w organizacji i połączony z chmurą, ale nie będzie obsługiwał żadnego ruchu.

                                                                                                                                                  
                                                                                                                                                  passiveMode: 'true'
                                                                                                                                                  
                                                                                                                                                  4

                                                                                                                                                  Zakończ proces konfiguracji i zapisz plik ISO w lokalizacji, która jest łatwa do znalezienia.

                                                                                                                                                  5

                                                                                                                                                  Wykonaj kopię zapasową pliku ISO w lokalnym systemie. Kopia zapasowa powinna być zabezpieczona. Ten plik zawiera główny klucz szyfrowania zawartości bazy danych. Ogranicz dostęp tylko do tych administratorów hybrydowych zabezpieczeń danych, którzy powinni wprowadzać zmiany w konfiguracji.

                                                                                                                                                  6

                                                                                                                                                  W lewym okienku nawigacyjnym klienta VMware vSphere kliknij prawym przyciskiem myszy maszynę wirtualną i kliknij opcję Edytuj ustawienia..

                                                                                                                                                  7

                                                                                                                                                  Kliknij opcję Edytuj ustawienia >Napęd CD/DVD 1 i wybierz Plik ISO Datastore.


                                                                                                                                                   

                                                                                                                                                  Upewnij się, że Connected and Connect at power on (Podłączono) są zaznaczone, aby zaktualizowane zmiany konfiguracji mogły wejść w życie po uruchomieniu węzłów.

                                                                                                                                                  8

                                                                                                                                                  Włącz węzeł HDS i upewnij się, że nie ma alarmów przez co najmniej 15 minut.

                                                                                                                                                  9

                                                                                                                                                  Powtórz proces dla każdego węzła w centrum danych standby.


                                                                                                                                                   

                                                                                                                                                  Sprawdź dzienniki syslog, aby sprawdzić, czy węzły są w trybie pasywnym. W dziennikach syslog należy mieć możliwość wyświetlania komunikatu „KMS skonfigurowany w trybie pasywnym”.

                                                                                                                                                  Co zrobić dalej

                                                                                                                                                  Po skonfigurowaniu passiveMode w pliku ISO i zapisanie go można utworzyć inną kopię pliku ISO bez passiveMode konfigurację i zapisanie w bezpiecznym miejscu. Ta kopia pliku ISO bez passiveMode skonfigurowany może pomóc w szybkim procesie awaryjnym podczas odzyskiwania po awarii. Aby zapoznać się ze szczegółową procedurą przywracania awaryjnego za pomocą Standby Data Center (Centrum danych gotowości).

                                                                                                                                                  Wsparcie proxy

                                                                                                                                                  Hybrydowe zabezpieczenia danych obsługują jednoznaczne, przejrzyste inspekcje i nieinspekcje serwerów proxy. Możesz powiązać te serwery proxy z wdrożeniem, aby można było zabezpieczyć i monitorować ruch z przedsiębiorstwa do chmury. Interfejsu administratora platformy można używać w węzłach do zarządzania certyfikatami i sprawdzania ogólnego stanu łączności po skonfigurowaniu serwera proxy w węzłach.

                                                                                                                                                  Węzły hybrydowego zabezpieczenia danych obsługują następujące opcje serwera proxy:

                                                                                                                                                  • Brak serwera proxy — ustawienie domyślne, jeśli w celu zintegrowania serwera proxy nie jest używane do konfiguracji węzła HDS Trust Store & Proxy. Nie jest wymagana aktualizacja certyfikatu.

                                                                                                                                                  • Przejrzysty serwer proxy niekontrolowany — węzły nie są skonfigurowane do używania określonego adresu serwera proxy i nie powinny wymagać żadnych zmian w pracy z serwerem proxy niekontrolowanym. Nie jest wymagana aktualizacja certyfikatu.

                                                                                                                                                  • Przejrzyste tunelowanie lub sprawdzanie serwera proxy — węzły nie są skonfigurowane do korzystania z określonego adresu serwera proxy. W węzłach nie są konieczne zmiany konfiguracji protokołu HTTP ani protokołu HTTPS. Węzły potrzebują jednak certyfikatu głównego, aby zaufać proxy. Informatycy zazwyczaj używają serwerów proxy do egzekwowania zasad, na których strony internetowe mogą być odwiedzane i które rodzaje treści są niedozwolone. Ten typ serwera proxy odszyfruje cały ruch (nawet HTTPS).

                                                                                                                                                  • Wyraźny serwer proxy — w przypadku wyraźnego serwera proxy należy wskazać węzły HDS, których serwer proxy i schemat uwierzytelniania należy używać. Aby skonfigurować wyraźny serwer proxy, należy wprowadzić następujące informacje w każdym węźle:

                                                                                                                                                    1. Proxy IP/FQDN — adres, którego można użyć do dotarcia do maszyny proxy.

                                                                                                                                                    2. Port serwera proxy— numer portu, którego serwer proxy używa do odsłuchiwania ruchu z serwerem proxy.

                                                                                                                                                    3. Protokół proxy— w zależności od tego, co obsługuje serwer proxy, wybierz między następującymi protokołami:

                                                                                                                                                      • HTTP — wyświetla i kontroluje wszystkie żądania wysyłane przez klienta.

                                                                                                                                                      • HTTPS — udostępnia kanał do serwera. Klient odbiera i weryfikuje certyfikat serwera.

                                                                                                                                                    4. Typ uwierzytelniania — wybierz spośród następujących typów uwierzytelniania:

                                                                                                                                                      • Brak — dalsze uwierzytelnianie nie jest wymagane.

                                                                                                                                                        Dostępne, jeśli jako protokół proxy zostanie wybrany protokół HTTP lub HTTPS.

                                                                                                                                                      • Basic — używane przez agenta użytkownika HTTP do podawania nazwy użytkownika i hasła podczas składania żądania. Korzysta z kodowania Base64.

                                                                                                                                                        Dostępne, jeśli jako protokół proxy zostanie wybrany protokół HTTP lub HTTPS.

                                                                                                                                                        Wymaga wprowadzenia nazwy użytkownika i hasła w każdym węźle.

                                                                                                                                                      • Digest — służy do potwierdzenia konta przed wysłaniem poufnych informacji. Przed wysłaniem za pośrednictwem sieci należy zastosować funkcję skrótu w nazwie użytkownika i hasłem.

                                                                                                                                                        Dostępne tylko po wybraniu protokołu HTTPS jako protokołu proxy.

                                                                                                                                                        Wymaga wprowadzenia nazwy użytkownika i hasła w każdym węźle.

                                                                                                                                                  Przykład węzłów hybrydowych zabezpieczeń danych i serwera proxy

                                                                                                                                                  Na tym wykresie przedstawiono przykładowe połączenie między hybrydowym zabezpieczeniem danych, siecią i serwerem proxy. W przypadku opcji przejrzystej inspekcji i jawnej inspekcji serwera proxy HTTPS ten sam certyfikat główny musi być zainstalowany na serwerze proxy i w węzłach hybrydowych zabezpieczeń danych.

                                                                                                                                                  Zablokowany zewnętrzny tryb rozpoznawania DNS (wyraźne konfiguracje serwera proxy)

                                                                                                                                                  Po zarejestrowaniu węzła lub sprawdzeniu konfiguracji serwera proxy węzła proces testuje wyszukiwanie DNS i łączność z chmurą Cisco Webex. W przypadku wdrożeń z wyraźnymi konfiguracjami serwera proxy, które nie zezwalają na zewnętrzną rozdzielczość DNS dla klientów wewnętrznych, jeśli węzeł nie może wyszukiwać serwerów DNS, automatycznie przechodzi on w tryb Zablokowanej zewnętrznej rozdzielczości DNS. W tym trybie można kontynuować rejestrację węzła i inne testy łączności serwera proxy.

                                                                                                                                                  Przygotuj swoje środowisko

                                                                                                                                                  Wymagania dotyczące hybrydowego bezpieczeństwa danych

                                                                                                                                                  Wymagania licencyjne Cisco Webex

                                                                                                                                                  Aby wdrożyć hybrydowe zabezpieczenia danych:

                                                                                                                                                  Docker Wymagania pulpitowe

                                                                                                                                                  Przed zainstalowaniem węzłów HDS potrzebny jest Docker Desktop do uruchomienia programu konfiguracji. Docker niedawno zaktualizował swój model licencjonowania. Twoja organizacja może wymagać płatnej subskrypcji platformy Docker Desktop. Aby uzyskać szczegółowe informacje, zobacz wpis w blogu platformy Docker, „ Docker aktualizuje i rozszerza subskrypcje naszych produktów ”.

                                                                                                                                                  Wymagania dotyczące certyfikatu X.509

                                                                                                                                                  Łańcuch certyfikatów musi spełniać następujące wymagania:

                                                                                                                                                  Tabela 1. X.509 Wymagania dotyczące certyfikatów dla wdrażania hybrydowego zabezpieczenia danych

                                                                                                                                                  Wymaganie

                                                                                                                                                  Szczegóły

                                                                                                                                                  • Podpisany przez zaufany urząd certyfikacji (CA)

                                                                                                                                                  Domyślnie ufamy urzędnikom na liście Mozilla (z wyjątkiem WoSign i StartCom) pod adresem https://wiki.mozilla.org/CA:IncludedCAs.

                                                                                                                                                  • Nazwa domeny wspólnej nazwy (CN) identyfikująca wdrożenie hybrydowego zabezpieczenia danych

                                                                                                                                                  • Nie jest certyfikatem wieloznacznych kart

                                                                                                                                                  CN nie musi być osiągalne ani hostem na żywo. Zalecamy używanie nazwy odzwierciedlającej np. organizację, hds.company.com.

                                                                                                                                                  CN nie może zawierać * (wildcard).

                                                                                                                                                  CN służy do weryfikacji węzłów hybrydowych zabezpieczeń danych dla klientów aplikacji Webex. Wszystkie węzły hybrydowego zabezpieczenia danych w klastrze używają tego samego certyfikatu. System KMS identyfikuje się za pomocą domeny CN, a nie żadnej domeny zdefiniowanej w polach SAN x.509v3.

                                                                                                                                                  Po zarejestrowaniu węzła z tym certyfikatem nie obsługujemy zmiany nazwy domeny CN. Wybierz domenę, która może mieć zastosowanie zarówno do wdrożeń próbnych, jak i produkcyjnych.

                                                                                                                                                  • Podpis inny niż SHA1

                                                                                                                                                  Oprogramowanie KMS nie obsługuje podpisów SHA1 w celu weryfikacji połączeń z KMSs innych organizacji.

                                                                                                                                                  • Formatowany jako plik PKCS #12 chroniony hasłem

                                                                                                                                                  • Użyj przyjaznej nazwy kms-private-key aby oznaczyć certyfikat, klucz prywatny i wszelkie certyfikaty pośrednie do przesłania.

                                                                                                                                                  Możesz użyć konwertera, takiego jak OpenSSL, aby zmienić format certyfikatu.

                                                                                                                                                  Po uruchomieniu narzędzia konfiguracji usługi HDS należy wprowadzić hasło.

                                                                                                                                                  Oprogramowanie KMS nie wymusza użycia klucza ani nie nakłada dodatkowych ograniczeń w jego używaniu. Niektóre organy certyfikatów wymagają, aby do każdego certyfikatu stosowano rozszerzone ograniczenia użycia kluczy, takie jak uwierzytelnianie serwera. Można używać uwierzytelniania serwera lub innych ustawień.

                                                                                                                                                  Wymagania dotyczące wirtualnego prowadzącego

                                                                                                                                                  Wirtualne hosty skonfigurowane jako węzły hybrydowego zabezpieczenia danych w klastrze mają następujące wymagania:

                                                                                                                                                  • Co najmniej dwa osobne hosty (zalecane 3) zestawione w tym samym bezpiecznym centrum danych

                                                                                                                                                  • Oprogramowanie VMware ESXi 6.5 (lub nowsze) zostało zainstalowane i uruchomione.


                                                                                                                                                     

                                                                                                                                                    Jeśli masz wcześniejszą wersję ESXi, musisz ją uaktualnić.

                                                                                                                                                  • Minimum 4 procesory vCPUs, 8-GB pamięci głównej, 30-GB lokalnego miejsca na dysk twardy na serwer

                                                                                                                                                  Wymagania serwera bazy danych


                                                                                                                                                   

                                                                                                                                                  Utwórz nową bazę danych do przechowywania kluczy. Nie używaj domyślnej bazy danych. Aplikacje HDS po zainstalowaniu tworzą schemat bazy danych.

                                                                                                                                                  Istnieją dwie opcje dla serwera bazy danych. Wymagania dla każdego z nich są następujące:

                                                                                                                                                  Tabela 2. Wymagania serwera bazy danych według typu bazy danych

                                                                                                                                                  PostgreSQL

                                                                                                                                                  Microsoft SQL Server

                                                                                                                                                  • PostgreSQL 14, 15 lub 16, zainstalowany i uruchomiony.

                                                                                                                                                  • Zainstalowano program SQL Server 2016, 2017 lub 2019 (Enterprise lub Standard).


                                                                                                                                                     

                                                                                                                                                    SQL Server 2016 wymaga pakietu usług 2 i zbiorczej aktualizacji 2 lub nowszej.

                                                                                                                                                  Minimum 8 procesorów vCPU, 16-GB pamięci głównej, wystarczająca ilość miejsca na dysku twardym i monitorowanie, aby upewnić się, że nie zostanie przekroczona (zalecane 2-TB, jeśli chcesz uruchomić bazę danych przez długi czas bez konieczności zwiększania pamięci)

                                                                                                                                                  Minimum 8 procesorów vCPU, 16-GB pamięci głównej, wystarczająca ilość miejsca na dysku twardym i monitorowanie, aby upewnić się, że nie zostanie przekroczona (zalecane 2-TB, jeśli chcesz uruchomić bazę danych przez długi czas bez konieczności zwiększania pamięci)

                                                                                                                                                  Oprogramowanie HDS instaluje obecnie następujące wersje sterowników do komunikacji z serwerem bazy danych:

                                                                                                                                                  PostgreSQL

                                                                                                                                                  Microsoft SQL Server

                                                                                                                                                  Postgres JDBC kierowca 42.2.5

                                                                                                                                                  SQL Server JDBC sterownik 4.6

                                                                                                                                                  Ta wersja sterownika obsługuje program SQL Server Always On (Always On Failover Cluster Instances oraz Always On availability groups).

                                                                                                                                                  Dodatkowe wymagania dotyczące uwierzytelniania systemu Windows w usłudze Microsoft SQL Server

                                                                                                                                                  Jeśli chcesz, aby węzły HDS używały uwierzytelniania w systemie Windows, aby uzyskać dostęp do bazy danych keystore na serwerze Microsoft SQL Server, potrzebujesz następującej konfiguracji w swoim środowisku:

                                                                                                                                                  • Węzły HDS, infrastruktura Active Directory i MS SQL Server muszą być synchronizowane z NTP.

                                                                                                                                                  • Konto systemu Windows dla węzłów HDS musi mieć dostęp do bazy danych do odczytu/zapisu.

                                                                                                                                                  • Serwery DNS dostarczane do węzłów HDS muszą być w stanie rozwiązać klucz centrum dystrybucji (KDC).

                                                                                                                                                  • Wystąpienie bazy danych HDS można zarejestrować na serwerze Microsoft SQL Server jako główną nazwę usługi (SPN) w usłudze Active Directory. Zobacz Rejestrowanie głównej nazwy usługi dla połączeń Kerberos.

                                                                                                                                                    Narzędzie do konfigurowania HDS, uruchamianie HDS i lokalne KMS muszą używać uwierzytelniania systemu Windows, aby uzyskać dostęp do bazy danych keystore. Używają szczegółów z konfiguracji ISO do budowy SPN podczas żądania dostępu za pomocą uwierzytelniania Kerberos.

                                                                                                                                                  Wymagania dotyczące połączeń zewnętrznych

                                                                                                                                                  Skonfiguruj zaporę, aby zezwolić na następującą łączność dla aplikacji HDS:

                                                                                                                                                  Aplikacja

                                                                                                                                                  Protokół

                                                                                                                                                  Port

                                                                                                                                                  Polecenie z aplikacji

                                                                                                                                                  Miejsce docelowe

                                                                                                                                                  Węzły hybrydowego zabezpieczenia danych

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  Zewnętrzne HTTPS i WSS

                                                                                                                                                  • Serwery Webex:

                                                                                                                                                    • *.wbx2.com

                                                                                                                                                    • *.ciscospark.com

                                                                                                                                                  • Wszystkie hosty Common Identity

                                                                                                                                                  • Inne adresy URL wymienione dla hybrydowych zabezpieczeń danych w tabeli Dodatkowe adresy URL dla usług hybrydowych Webex zawierającej wymagania sieciowe dla usług Webex

                                                                                                                                                  Narzędzie do konfigurowania HDS

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  Zewnętrzny protokół HTTPS

                                                                                                                                                  • *.wbx2.com

                                                                                                                                                  • Wszystkie hosty Common Identity

                                                                                                                                                  • hub.docker.com


                                                                                                                                                   

                                                                                                                                                  Węzły hybrydowego zabezpieczenia danych współpracują z tłumaczeniem dostępu do sieci (NAT) lub za zaporą, o ile NAT lub zapora zezwala na wymagane połączenia wychodzące z adresami domen w poprzedniej tabeli. W przypadku połączeń przychodzących do węzłów hybrydowego zabezpieczenia danych żadne porty nie powinny być widoczne z Internetu. W centrum danych klienci potrzebują dostępu do węzłów hybrydowych zabezpieczeń danych w portach TCP 443 i 22 do celów administracyjnych.

                                                                                                                                                  Adresy URL hostów Common Identity (CI) są specyficzne dla regionu. Są to bieżące hosty CI:

                                                                                                                                                  Region

                                                                                                                                                  Wspólne adresy URL prowadzącego tożsamości

                                                                                                                                                  Ameryka

                                                                                                                                                  • https://idbroker.webex.com

                                                                                                                                                  • https://identity.webex.com

                                                                                                                                                  • https://idbroker-b-us.webex.com

                                                                                                                                                  • https://identity-b-us.webex.com

                                                                                                                                                  Unia Europejska

                                                                                                                                                  • https://idbroker-eu.webex.com

                                                                                                                                                  • https://identity-eu.webex.com

                                                                                                                                                  Kanada

                                                                                                                                                  • https://idbroker-ca.webex.com

                                                                                                                                                  • https://identity-ca.webex.com

                                                                                                                                                  Wymagania serwera proxy

                                                                                                                                                  • Oficjalnie obsługujemy następujące rozwiązania proxy, które mogą integrować się z węzłami hybrydowego zabezpieczenia danych.

                                                                                                                                                    • Przejrzysty serwer proxy — Cisco Web Security Appliance (WSA).

                                                                                                                                                    • Wyraźny serwer proxy — Squid.


                                                                                                                                                       

                                                                                                                                                      Proxies Squid, które sprawdzają ruch HTTPS może kolidować z ustanowieniem websocket (wss:) połączeń. Aby rozwiązać ten problem, zobacz Configure Squid Proxies for Hybrid Data Security.

                                                                                                                                                  • Obsługujemy następujące kombinacje typów uwierzytelniania dla serwerów proxy:

                                                                                                                                                    • Brak uwierzytelniania przy użyciu protokołu HTTP lub HTTPS

                                                                                                                                                    • Uwierzytelnianie podstawowe przy użyciu protokołu HTTP lub HTTPS

                                                                                                                                                    • Uwierzytelnianie przy użyciu protokołu HTTPS

                                                                                                                                                  • W przypadku przejrzystego serwera proxy inspekcji lub bezpośredniego serwera proxy HTTPS należy posiadać kopię certyfikatu głównego serwera proxy. Instrukcje wdrażania zawarte w tym przewodniku informują o sposobie przesłania kopii do sklepów zaufania węzłów hybrydowych zabezpieczeń danych.

                                                                                                                                                  • Sieć hostująca węzły HDS musi być skonfigurowana tak, aby wymuszać wychodzący ruch TCP na porcie 443 na trasę przez serwer proxy.

                                                                                                                                                  • Serwery proxy, które kontrolują ruch sieciowy, mogą zakłócać połączenia z gniazdem internetowym. Jeśli wystąpi ten problem, omijając (nie kontrolując) ruch do wbx2.com i ciscospark.com rozwiąże problem.

                                                                                                                                                  Wypełnij wymagania wstępne dla hybrydowego zabezpieczenia danych

                                                                                                                                                  Użyj tej listy kontrolnej, aby upewnić się, że jesteś gotowy do zainstalowania i skonfigurowania klastra hybrydowego bezpieczeństwa danych.
                                                                                                                                                  1

                                                                                                                                                  Upewnij się, że Twoja organizacja Webex jest włączona dla pakietu Pro Pack dla Cisco Webex Control Hub i uzyskaj poświadczenia konta z pełnymi prawami administratora organizacji. Aby uzyskać pomoc w tym procesie, skontaktuj się z partnerem firmy Cisco lub menedżerem konta.

                                                                                                                                                  2

                                                                                                                                                  Wybierz nazwę domeny dla wdrożenia HDS (na przykład hds.company.com) i uzyskać łańcuch certyfikatów zawierający certyfikat X.509, klucz prywatny i wszelkie certyfikaty pośrednie. Łańcuch certyfikatów musi spełniać wymagania określone w X.509 Certificate Requirements.

                                                                                                                                                  3

                                                                                                                                                  Przygotuj identyczne wirtualne hosty, które skonfigurujesz jako węzły hybrydowego zabezpieczenia danych w klastrze. Potrzebne są co najmniej dwa oddzielne hosty (zalecane 3) zestawione w tym samym bezpiecznym centrum danych, które spełniają wymagania w Wymagania wirtualnego hosta.

                                                                                                                                                  4

                                                                                                                                                  Przygotuj serwer bazy danych, który będzie działał jako kluczowy magazyn danych dla klastra, zgodnie z wymaganiami serwera bazy danych. Serwer bazy danych musi być zestawiony w bezpiecznym centrum danych z wirtualnymi hostami.

                                                                                                                                                  1. Utwórz bazę danych do przechowywania kluczy. (Musisz utworzyć tę bazę danych — nie używaj domyślnej bazy danych. Aplikacje HDS, po zainstalowaniu, tworzą schemat bazy danych.)

                                                                                                                                                  2. Zbierz szczegóły używane przez węzły do komunikacji z serwerem bazy danych:

                                                                                                                                                    • nazwę prowadzącego lub adres IP (prowadzącego) i port

                                                                                                                                                    • nazwa bazy danych (dbname) do przechowywania kluczy

                                                                                                                                                    • nazwę użytkownika i hasło użytkownika ze wszystkimi uprawnieniami w bazie danych magazynu kluczy

                                                                                                                                                  5

                                                                                                                                                  W celu szybkiego odzyskiwania danych po awarii należy skonfigurować środowisko tworzenia kopii zapasowych w innym centrum danych. Środowisko tworzenia kopii zapasowych odzwierciedla środowisko produkcyjne maszyn wirtualnych i zapasowego serwera bazy danych. Na przykład, jeśli produkcja ma 3 maszyny wirtualne z węzłami HDS, środowisko tworzenia kopii zapasowych powinno mieć 3 maszyny wirtualne.

                                                                                                                                                  6

                                                                                                                                                  Skonfiguruj hosta dziennika systemowego, aby zbierał dzienniki z węzłów w klastrze. Zbierz adres sieciowy i port dziennika systemowego (domyślnie jest to UDP 514).

                                                                                                                                                  7

                                                                                                                                                  Utwórz bezpieczne zasady tworzenia kopii zapasowych węzłów hybrydowych zabezpieczeń danych, serwera bazy danych i hosta dziennika systemowego. Aby zapobiec niemożliwej do odzyskania utracie danych, należy wykonać kopię zapasową bazy danych i pliku ISO konfiguracji wygenerowanego dla węzłów hybrydowych zabezpieczeń danych.


                                                                                                                                                   

                                                                                                                                                  Ponieważ węzły hybrydowego zabezpieczenia danych przechowują klucze używane do szyfrowania i odszyfrowywania treści, brak utrzymania operacyjnego wdrożenia spowoduje NIEZBĘDNĄ STRATĘ tej zawartości.

                                                                                                                                                  Klienci aplikacji Webex przechowują klucze w pamięci podręcznej, więc awaria może nie być natychmiast zauważalna, ale z czasem stanie się widoczna. Chociaż tymczasowe przerwy są niemożliwe do zapobieżenia, są one do odzyskania. Jednak całkowita utrata (brak kopii zapasowych) bazy danych lub pliku konfiguracyjnego ISO spowoduje niemożliwy do odzyskania dane klienta. Oczekuje się, że operatorzy węzłów hybrydowego bezpieczeństwa danych będą utrzymywać częste kopie zapasowe bazy danych i pliku ISO konfiguracji oraz będą przygotowani do odbudowy centrum danych hybrydowego bezpieczeństwa danych w przypadku wystąpienia katastrofalnej awarii.

                                                                                                                                                  8

                                                                                                                                                  Upewnij się, że konfiguracja zapory umożliwia dostęp do łączności w węzłach hybrydowych zabezpieczeń danych, jak opisano w Zewnętrznych wymogach dotyczących łączności.

                                                                                                                                                  9

                                                                                                                                                  Zainstaluj Docker ( https://www.docker.com) na każdej maszynie lokalnej z obsługiwanym systemem operacyjnym (Microsoft Windows 10 Professional lub Enterprise 64-bit lub Mac OSX Yosemite 10.10.3 lub nowszym) z przeglądarką internetową, która może uzyskać do niej dostęp pod adresem http://127.0.0.1:8080.

                                                                                                                                                  Za pomocą wystąpienia Docker można pobrać i uruchomić narzędzie konfiguracji HDS, które tworzy lokalne informacje konfiguracyjne dla wszystkich węzłów hybrydowych zabezpieczeń danych. Twoja organizacja może potrzebować licencji Docker Desktop. Aby uzyskać więcej informacji, zobacz Wymagania Dotyczące Pulpitu Dockera.

                                                                                                                                                  Aby zainstalować i uruchomić narzędzie do konfiguracji HDS, lokalna maszyna musi mieć łączność opisaną w Zewnętrznych wymaganiach dotyczących łączności.

                                                                                                                                                  10

                                                                                                                                                  Jeśli integrujesz serwer proxy z hybrydowymi zabezpieczeniami danych, upewnij się, że spełnia on wymagania serwera proxy.

                                                                                                                                                  11

                                                                                                                                                  Jeśli Twoja organizacja używa synchronizacji katalogu, utwórz grupę w usłudze Active Directory o nazwie HdsTrialGroup, i dodać użytkowników pilotażowych. Grupa próbna może mieć do 250 użytkowników. Plik HdsTrialGroup obiekt musi być zsynchronizowany z chmurą przed rozpoczęciem próby dla organizacji. Aby zsynchronizować obiekt grupowy, wybierz go w łączniku usług katalogowych Konfiguracja > Menu Wybór obiektu. (Szczegółowe instrukcje można znaleźć w Podręczniku wdrażania Cisco Directory Connector.)


                                                                                                                                                   

                                                                                                                                                  Klucze dla danego obszaru są ustawiane przez twórcę tego obszaru. Wybierając użytkowników pilotażowych, należy pamiętać, że jeśli zdecydujesz się na trwałą dezaktywację wdrożenia hybrydowego zabezpieczenia danych, wszyscy użytkownicy utracą dostęp do treści w obszarach utworzonych przez użytkowników pilotażowych. Strata staje się widoczna, gdy aplikacje użytkowników odświeżą swoje kopie w pamięci podręcznej treści.

                                                                                                                                                  Konfigurowanie hybrydowego klastra bezpieczeństwa danych

                                                                                                                                                  Przepływ zadań związanych z wdrażaniem zabezpieczeń danych hybrydowych

                                                                                                                                                  Przed rozpoczęciem

                                                                                                                                                  Przygotuj swoje środowisko

                                                                                                                                                  1

                                                                                                                                                  Pobierz pliki instalacyjne

                                                                                                                                                  Pobierz plik OVA do lokalnego komputera, aby później go użyć.

                                                                                                                                                  2

                                                                                                                                                  Tworzenie ISO konfiguracji dla prowadzących HDS

                                                                                                                                                  Za pomocą narzędzia konfiguracyjnego HDS można utworzyć plik konfiguracyjny ISO dla węzłów hybrydowych zabezpieczeń danych.

                                                                                                                                                  3

                                                                                                                                                  Instalowanie OVA hosta HDS

                                                                                                                                                  Utwórz maszynę wirtualną z pliku OVA i wykonaj konfigurację początkową, taką jak ustawienia sieciowe.


                                                                                                                                                   

                                                                                                                                                  Opcja konfigurowania ustawień sieciowych podczas wdrażania OVA została przetestowana z ESXi 6.5. Opcja może nie być dostępna we wcześniejszych wersjach.

                                                                                                                                                  4

                                                                                                                                                  Skonfiguruj hybrydową maszynę wirtualną ds. bezpieczeństwa danych

                                                                                                                                                  Zaloguj się na konsoli VM i ustaw poświadczenia logowania. Skonfiguruj ustawienia sieciowe węzła, jeśli nie zostały skonfigurowane w czasie wdrażania OVA.

                                                                                                                                                  5

                                                                                                                                                  Prześlij i zamontuj ISO konfiguracji HDS

                                                                                                                                                  Skonfiguruj VM z pliku konfiguracyjnego ISO utworzonego za pomocą narzędzia do konfiguracji HDS.

                                                                                                                                                  6

                                                                                                                                                  Konfigurowanie węzła HDS dla integracji serwera proxy

                                                                                                                                                  Jeśli środowisko sieciowe wymaga konfiguracji serwera proxy, określ typ serwera proxy, którego użyjesz dla węzła, i w razie potrzeby dodaj certyfikat serwera proxy do sklepu zaufania.

                                                                                                                                                  7

                                                                                                                                                  Zarejestruj pierwszy węzeł w klastrze

                                                                                                                                                  Zarejestruj maszynę wirtualną za pomocą chmury Cisco Webex jako węzeł hybrydowego zabezpieczenia danych.

                                                                                                                                                  8

                                                                                                                                                  Tworzenie i rejestrowanie większej liczby węzłów

                                                                                                                                                  Zakończ konfigurację klastra.

                                                                                                                                                  9

                                                                                                                                                  Przeprowadzanie wersji próbnej i przejście do produkcji (następny rozdział)

                                                                                                                                                  Do momentu rozpoczęcia próby węzły wygenerują alarm wskazujący, że usługa nie została jeszcze aktywowana.

                                                                                                                                                  Pobierz pliki instalacyjne

                                                                                                                                                  W tym zadaniu pobierz plik OVA do swojego komputera (nie do serwerów skonfigurowanych jako węzły hybrydowego zabezpieczenia danych). Ten plik jest używany później w procesie instalacji.
                                                                                                                                                  1

                                                                                                                                                  Zaloguj się do https://admin.webex.com, a następnie kliknij opcję Usługi.

                                                                                                                                                  2

                                                                                                                                                  W sekcji Usługi hybrydowe znajdź kartę zabezpieczenia danych hybrydowych, a następnie kliknij przycisk Skonfiguruj.

                                                                                                                                                  Jeśli karta jest wyłączona lub jej nie widzisz, skontaktuj się z zespołem ds. kont lub organizacją partnerską. Podaj im numer konta i poproś o włączenie organizacji Hybrid Data Security. Aby znaleźć numer konta, kliknij bieg w prawym górnym rogu obok nazwy organizacji.


                                                                                                                                                   

                                                                                                                                                  OVA można również pobrać w dowolnym momencie z sekcji Pomoc na stronie Ustawienia . Na karcie Hybrid Data Security kliknij opcję Edytuj ustawienia, aby otworzyć stronę. Następnie kliknij opcję Pobierz oprogramowanie hybrydowego zabezpieczenia danych w sekcji Pomoc .


                                                                                                                                                   

                                                                                                                                                  Starsze wersje pakietu oprogramowania (OVA) nie będą kompatybilne z najnowszymi aktualizacjami Hybrid Data Security. Może to spowodować problemy podczas uaktualniania aplikacji. Upewnij się, że pobierz najnowszą wersję pliku OVA.

                                                                                                                                                  3

                                                                                                                                                  Wybierz Nie , aby wskazać, że węzeł nie został jeszcze skonfigurowany, a następnie kliknij przycisk Dalej.

                                                                                                                                                  Plik OVA automatycznie zaczyna się pobierać. Zapisz plik w lokalizacji na komputerze.
                                                                                                                                                  4

                                                                                                                                                  Opcjonalnie kliknij Open Deployment Guide (Otwórz przewodnik wdrażania), aby sprawdzić, czy dostępna jest późniejsza wersja tego przewodnika.

                                                                                                                                                  Tworzenie ISO konfiguracji dla prowadzących HDS

                                                                                                                                                  Proces konfiguracji hybrydowego zabezpieczenia danych tworzy plik ISO. Następnie należy użyć ISO do skonfigurowania hosta hybrydowego bezpieczeństwa danych.

                                                                                                                                                  Przed rozpoczęciem

                                                                                                                                                  • Narzędzie instalacji HDS działa jako kontener platformy Docker na komputerze lokalnym. Aby uzyskać do niego dostęp, uruchom platformę Docker na tym komputerze. Proces konfiguracji wymaga poświadczeń konta Control Hub z pełnymi uprawnieniami administratora dla Twojej organizacji.

                                                                                                                                                    Jeśli narzędzie HDS Setup działa za serwerem proxy w Twoim środowisku, podaj ustawienia serwera proxy (serwer, port, poświadczenia) za pomocą zmiennych środowiska Docker podczas podnoszenia kontenera Docker w kroku 5. W tej tabeli podano kilka możliwych zmiennych środowiskowych:

                                                                                                                                                    Opis

                                                                                                                                                    Zmienna

                                                                                                                                                    Serwer proxy HTTP bez uwierzytelniania

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    Serwer proxy HTTPS bez uwierzytelniania

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    Serwer proxy HTTP z uwierzytelnianiem

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                    Serwer proxy HTTPS z uwierzytelnianiem

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                  • Wygenerowany plik ISO konfiguracji zawiera klucz główny szyfrujący bazę danych PostgreSQL lub Microsoft SQL Server. Potrzebna jest najnowsza kopia tego pliku, gdy wprowadzasz zmiany w konfiguracji, takie jak:

                                                                                                                                                    • Poświadczenia bazy danych

                                                                                                                                                    • Aktualizacje certyfikatów

                                                                                                                                                    • Zmiany w zasadach autoryzacji

                                                                                                                                                  • Jeśli planujesz szyfrowanie połączeń z bazą danych, skonfiguruj wdrożenie programu PostgreSQL lub SQL Server dla TLS.

                                                                                                                                                  1

                                                                                                                                                  W wierszu poleceń komputera wprowadź polecenie odpowiednie dla swojego środowiska:

                                                                                                                                                  W zwykłych środowiskach:

                                                                                                                                                  docker rmi ciscocitg/hds-setup:stable

                                                                                                                                                  W środowiskach FedRAMP:

                                                                                                                                                  docker rmi ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                   

                                                                                                                                                  Ten krok czyści poprzednie obrazy narzędzia konfiguracji HDS. Jeśli nie ma poprzednich obrazów, zwraca błąd, który można zignorować.

                                                                                                                                                  2

                                                                                                                                                  Aby zalogować się do rejestru obrazów platformy Docker, wprowadź następujące informacje:

                                                                                                                                                  docker login -u hdscustomersro
                                                                                                                                                  3

                                                                                                                                                  Po wyświetleniu monitu o hasło wprowadź ten skrót:

                                                                                                                                                  dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
                                                                                                                                                  4

                                                                                                                                                  Pobierz najnowszy stabilny obraz dla swojego środowiska:

                                                                                                                                                  W zwykłych środowiskach:

                                                                                                                                                  docker pull ciscocitg/hds-setup:stable

                                                                                                                                                  W środowiskach FedRAMP:

                                                                                                                                                  docker pull ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  5

                                                                                                                                                  Po zakończeniu ściągania wprowadź polecenie odpowiednie dla środowiska:

                                                                                                                                                  • W zwykłych środowiskach bez serwera proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
                                                                                                                                                  • W zwykłych środowiskach z serwerem proxy HTTP:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • W zwykłych środowiskach z serwerem proxy HTTPS:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • W środowiskach FedRAMP bez serwera proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • W środowiskach FedRAMP z serwerem proxy HTTP:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • W środowiskach FedRAMP z serwerem proxy HTTPS:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                  Gdy kontener jest uruchomiony, zostanie wyświetlony komunikat „Serwer ekspresowy nasłuchuje na porcie 8080”.

                                                                                                                                                  6

                                                                                                                                                   

                                                                                                                                                  Narzędzie Konfiguracja nie obsługuje łączenia się z localhost za pośrednictwem http://localhost:8080. Użyj http://127.0.0.1:8080, aby połączyć się z hostem lokalizacji.

                                                                                                                                                  Użyj przeglądarki internetowej, aby przejść do hosta lokalizacji, http://127.0.0.1:8080, i wprowadź nazwę użytkownika administratora klienta dla Control Hub po wyświetleniu monitu.

                                                                                                                                                  Narzędzie używa tego pierwszego wpisu nazwy użytkownika, aby ustawić odpowiednie środowisko dla tego konta. Następnie narzędzie wyświetla standardowy monit o zalogowanie.

                                                                                                                                                  7

                                                                                                                                                  Po wyświetleniu monitu wprowadź poświadczenia logowania administratora klienta Control Hub, a następnie kliknij przycisk Zaloguj się , aby zezwolić na dostęp do wymaganych usług Hybrid Data Security.

                                                                                                                                                  8

                                                                                                                                                  Na stronie Przegląd narzędzia konfiguracyjnego kliknij Rozpocznij.

                                                                                                                                                  9

                                                                                                                                                  Na stronie ISO Import dostępne są następujące opcje:

                                                                                                                                                  • Nie— jeśli tworzysz swój pierwszy węzeł HDS, nie masz pliku ISO do przesłania.
                                                                                                                                                  • Tak— jeśli utworzono już węzły HDS, należy wybrać plik ISO podczas przeglądania i przesyłania go.
                                                                                                                                                  10

                                                                                                                                                  Sprawdź, czy certyfikat X.509 spełnia wymagania określone w wymaganiach certyfikatów X.509.

                                                                                                                                                  • Jeśli nigdy wcześniej nie przesłałeś certyfikatu, prześlij certyfikat X.509, wprowadź hasło i kliknij przycisk Kontynuuj.
                                                                                                                                                  • Jeśli certyfikat jest prawidłowy, kliknij przycisk Kontynuuj.
                                                                                                                                                  • Jeśli certyfikat wygasł lub chcesz go zastąpić, wybierz opcję Nie , aby Kontynuować korzystanie z łańcucha certyfikatów HDS i klucza prywatnego z poprzedniego ISO?. Prześlij nowy certyfikat X.509, wprowadź hasło i kliknij przycisk Kontynuuj.
                                                                                                                                                  11

                                                                                                                                                  Wprowadź adres bazy danych i konto HDS, aby uzyskać dostęp do klucza danych:

                                                                                                                                                  1. Wybierz typ bazy danych (PostgreSQL lub Microsoft SQL Server).

                                                                                                                                                    Jeśli wybierzesz program Microsoft SQL Server, otrzymasz pole Typ uwierzytelniania.

                                                                                                                                                  2. (tylko Microsoft SQL Server) Wybierz Typ uwierzytelniania:

                                                                                                                                                    • Uwierzytelnianie podstawowe: W polu Nazwa użytkownika potrzebna jest lokalna nazwa konta SQL Server.

                                                                                                                                                    • Uwierzytelnianie systemu Windows: Potrzebujesz konta Windows w formacie username@DOMAIN w polu Nazwa użytkownika.

                                                                                                                                                  3. Wprowadź adres serwera bazy danych w formularzu <hostname>:<port> lub <IP-address>:<port>.

                                                                                                                                                    Przykład:
                                                                                                                                                    dbhost.example.org:1433 lub 198.51.100.17:1433

                                                                                                                                                    Do podstawowego uwierzytelniania można użyć adresu IP, jeśli węzły nie mogą używać DNS do rozpoznawania nazwy hosta.

                                                                                                                                                    Jeśli używasz uwierzytelniania systemu Windows, musisz wprowadzić w pełni kwalifikowaną nazwę domeny w formacie dbhost.example.org:1433

                                                                                                                                                  4. Wprowadź nazwę bazy danych.

                                                                                                                                                  5. Wprowadź nazwę użytkownika i hasło użytkownika ze wszystkimi uprawnieniami w bazie danych magazynu kluczy.

                                                                                                                                                  12

                                                                                                                                                  Wybierz tryb połączenia z bazą danych TLS:

                                                                                                                                                  Tryb

                                                                                                                                                  Opis

                                                                                                                                                  Preferuj TLS (opcja domyślna)

                                                                                                                                                  Węzły HDS nie wymagają TLS do łączenia się z serwerem bazy danych. Jeśli włączysz protokół TLS na serwerze bazy danych, węzły spróbują zaszyfrowanego połączenia.

                                                                                                                                                  Wymagaj TLS

                                                                                                                                                  Węzły HDS łączą się tylko wtedy, gdy serwer bazy danych może negocjować TLS.

                                                                                                                                                  Wymagaj TLS i zweryfikuj osobę podpisującą certyfikat


                                                                                                                                                   

                                                                                                                                                  Ten tryb nie ma zastosowania do baz danych SQL Server.

                                                                                                                                                  • Węzły HDS łączą się tylko wtedy, gdy serwer bazy danych może negocjować TLS.

                                                                                                                                                  • Po nawiązaniu połączenia TLS węzeł porównuje sygnera certyfikatu z serwera bazy danych z organem certyfikatu w certyfikacie głównym bazy danych. Jeśli nie są zgodne, węzeł przerywa połączenie.

                                                                                                                                                  Użyj przycisku Certyfikat główny bazy danych poniżej listy rozwijanej, aby przesłać certyfikat główny dla tej opcji.

                                                                                                                                                  Wymagaj TLS oraz zweryfikuj osobę podpisującą certyfikat i nazwę hosta

                                                                                                                                                  • Węzły HDS łączą się tylko wtedy, gdy serwer bazy danych może negocjować TLS.

                                                                                                                                                  • Po nawiązaniu połączenia TLS węzeł porównuje sygnera certyfikatu z serwera bazy danych z organem certyfikatu w certyfikacie głównym bazy danych. Jeśli nie są zgodne, węzeł przerywa połączenie.

                                                                                                                                                  • Węzły sprawdzają również, czy nazwa hosta w certyfikacie serwera jest zgodna z nazwą hosta w polu Baza danych i port . Nazwy muszą być dokładnie takie same, w przeciwnym razie węzeł zerwie połączenie.

                                                                                                                                                  Użyj przycisku Certyfikat główny bazy danych poniżej listy rozwijanej, aby przesłać certyfikat główny dla tej opcji.

                                                                                                                                                  Po przesłaniu certyfikatu głównego (jeśli jest to konieczne) i kliknięciu przycisku Kontynuuj, narzędzie konfiguracji HDS testuje połączenie TLS z serwerem bazy danych. Narzędzie sprawdza również osobę podpisującą certyfikat i nazwę hosta, jeśli ma to zastosowanie. Jeśli test zakończy się niepowodzeniem, narzędzie wyświetli komunikat o błędzie opisujący problem. Możesz wybrać, czy zignorować błąd i kontynuować konfigurację. (Z powodu różnic w połączeniach węzły HDS mogą być w stanie nawiązać połączenie TLS, nawet jeśli maszyna narzędziowa HDS Setup Tool nie jest w stanie go przetestować).

                                                                                                                                                  13

                                                                                                                                                  Na stronie Dzienniki systemu skonfiguruj serwer Syslogd:

                                                                                                                                                  1. Wprowadź adres URL serwera dziennika systemowego.

                                                                                                                                                    Jeśli serwer nie jest w stanie rozwiązać DNS z węzłów klastra HDS, użyj adresu IP w adresie URL.

                                                                                                                                                    Przykład:
                                                                                                                                                    udp://10.92.43.23:514 wskazuje logowanie do hosta Syslogd 10.92.43.23 w porcie UDP 514.
                                                                                                                                                  2. Jeśli skonfigurujesz serwer, aby używał szyfrowania TLS, sprawdź, czy serwer dziennika systemowego jest skonfigurowany do szyfrowania SSL?.

                                                                                                                                                    Jeśli zaznaczysz to pole wyboru, upewnij się, że wprowadzasz adres URL TCP, taki jak: tcp://10.92.43.23:514.

                                                                                                                                                  3. Z listy rozwijanej Wybierz zakończenie rekordu dziennika systemowego wybierz odpowiednie ustawienie dla pliku ISO: Wybierz lub Newline są używane do Graylog i Rsyslog TCP

                                                                                                                                                    • Byte czajnika -- \x00

                                                                                                                                                    • Newline -- \n — Wybierz ten wybór dla aplikacji Graylog i Rsyslog TCP.

                                                                                                                                                  4. Kliknij przycisk Kontynuuj.

                                                                                                                                                  14

                                                                                                                                                  (Opcjonalnie) W ustawieniach zaawansowanych można zmienić wartość domyślną niektórych parametrów połączenia z bazą danych. Ogólnie rzecz biorąc, ten parametr jest jedynym parametrem, który można zmienić:

                                                                                                                                                  app_datasource_connection_pool_maxSize: 10
                                                                                                                                                  15

                                                                                                                                                  Kliknij przycisk Kontynuuj na ekranie Resetuj hasło konta usługi .

                                                                                                                                                  Hasła konta serwisowego mają okres dziewięciu miesięcy. Użyj tego ekranu, gdy hasła zbliżają się do wygaśnięcia lub chcesz je zresetować, aby unieważnić poprzednie pliki ISO.

                                                                                                                                                  16

                                                                                                                                                  Kliknij opcję Pobierz plik ISO. Zapisz plik w lokalizacji, którą łatwo znaleźć.

                                                                                                                                                  17

                                                                                                                                                  Wykonaj kopię zapasową pliku ISO w lokalnym systemie.

                                                                                                                                                  Kopia zapasowa powinna być zabezpieczona. Ten plik zawiera główny klucz szyfrowania zawartości bazy danych. Ogranicz dostęp tylko do tych administratorów hybrydowych zabezpieczeń danych, którzy powinni wprowadzać zmiany w konfiguracji.

                                                                                                                                                  18

                                                                                                                                                  Aby zamknąć narzędzie Setup, wpisz: CTRL+C.

                                                                                                                                                  Co zrobić dalej

                                                                                                                                                  Kopia zapasowa pliku ISO konfiguracji. Musisz utworzyć więcej węzłów do odzyskiwania lub wprowadzić zmiany w konfiguracji. Jeśli stracisz wszystkie kopie pliku ISO, stracisz również klucz główny. Odzyskiwanie kluczy z bazy danych PostgreSQL lub Microsoft SQL Server nie jest możliwe.


                                                                                                                                                   

                                                                                                                                                  Nigdy nie mamy kopii tego klucza i nie możemy pomóc, jeśli go stracisz.

                                                                                                                                                  Instalowanie OVA hosta HDS

                                                                                                                                                  Użyj tej procedury, aby utworzyć maszynę wirtualną z pliku OVA.
                                                                                                                                                  1

                                                                                                                                                  Aby zalogować się do wirtualnego hosta ESXi, użyj klienta VMware vSphere na komputerze.

                                                                                                                                                  2

                                                                                                                                                  Wybierz Plik > Wdrożenie szablonu OVF.

                                                                                                                                                  3

                                                                                                                                                  W kreatorze określ lokalizację pobranego wcześniej pliku OVA, a następnie kliknij Następny.

                                                                                                                                                  4

                                                                                                                                                  Na ekranie Wybierz nazwę i folder strona, wprowadź Nazwa maszyny wirtualnej dla węzła (na przykład „HDS_Node_1”) wybierz lokalizację, w której może znajdować się wdrożenie węzła maszyny wirtualnej, a następnie kliknij przycisk Następny.

                                                                                                                                                  5

                                                                                                                                                  Na ekranie Wybierz zasób obliczeniowy strona, wybierz docelowy zasób obliczeniowy, a następnie kliknij Następny.

                                                                                                                                                  Trwa kontrola walidacji. Po jego zakończeniu pojawiają się szczegóły szablonu.

                                                                                                                                                  6

                                                                                                                                                  Sprawdź szczegóły szablonu, a następnie kliknij przycisk Dalej.

                                                                                                                                                  7

                                                                                                                                                  Jeśli zostaniesz poproszony o wybranie konfiguracji zasobów na stronie Konfiguracja strona, kliknij 4 CPU a następnie kliknij Następny.

                                                                                                                                                  8

                                                                                                                                                  Na ekranie Wybierz miejsce strona, kliknij Następny aby zaakceptować domyślny format dysku i zasady przechowywania VM.

                                                                                                                                                  9

                                                                                                                                                  Na ekranie Wybierz sieci na stronie wybierz opcję sieci z listy pozycji, aby zapewnić żądaną łączność z maszyną wirtualną.

                                                                                                                                                  10

                                                                                                                                                  Na stronie Dostosuj szablon skonfiguruj następujące ustawienia sieci:

                                                                                                                                                  • Nazwa hosta — wprowadź nazwę hosta FQDN (nazwa hosta i domena) lub nazwę hosta pojedynczego słowa dla węzła.

                                                                                                                                                     
                                                                                                                                                    • Nie trzeba ustawiać domeny tak, aby pasowała do domeny używanej do uzyskania certyfikatu X.509.

                                                                                                                                                    • Aby zapewnić pomyślną rejestrację w chmurze, użyj tylko znaków z małymi literami w nazwie FQDN lub nazwie hosta ustawionej dla węzła. W tym momencie kapitalizacja nie jest obsługiwana.

                                                                                                                                                    • Całkowita długość FQDN nie może przekraczać 64 znaków.

                                                                                                                                                  • Adres IP— wprowadź adres IP interfejsu wewnętrznego węzła.

                                                                                                                                                     

                                                                                                                                                    Węzeł powinien mieć wewnętrzny adres IP i nazwę DNS. Serwer DHCP nie jest obsługiwany.

                                                                                                                                                  • Maska— wprowadź adres maski podsieci w notacji dot-dziesiętnej. Na przykład: 255.255.255.0.
                                                                                                                                                  • Brama — wprowadź adres IP bramy. Brama to węzeł sieciowy, który służy jako punkt dostępu do innej sieci.
                                                                                                                                                  • Serwery DNS— wprowadź oddzieloną przecinkami listę serwerów DNS, które obsługują tłumaczenie nazw domen na numeryczne adresy IP. (Dozwolone są do 4 wpisy DNS).
                                                                                                                                                  • Serwery NTP — wprowadź serwer NTP swojej organizacji lub inny zewnętrzny serwer NTP, który może być używany w Twojej organizacji. Domyślne serwery NTP mogą nie działać dla wszystkich przedsiębiorstw. Można również użyć listy rozdzielonej przecinkami, aby wprowadzić wiele serwerów NTP.
                                                                                                                                                  • Wdrożenie wszystkich węzłów w tej samej podsieci lub sieci VLAN, tak aby wszystkie węzły w klastrze były dostępne dla klientów w sieci do celów administracyjnych.

                                                                                                                                                  Jeśli jest to preferowane, można pominąć konfigurację ustawień sieci i wykonać czynności opisane w punkcie Skonfiguruj hybrydową maszynę wirtualną bezpieczeństwa danych w celu skonfigurowania ustawień z konsoli węzła.


                                                                                                                                                   

                                                                                                                                                  Opcja konfigurowania ustawień sieciowych podczas wdrażania OVA została przetestowana z ESXi 6.5. Opcja może nie być dostępna we wcześniejszych wersjach.

                                                                                                                                                  11

                                                                                                                                                  Kliknij prawym przyciskiem myszy węzeł VM, a następnie wybierz Zasilanie > Włączanie zasilania.

                                                                                                                                                  Oprogramowanie Hybrid Data Security jest instalowane jako gość w hostu VM. Teraz możesz zalogować się na konsoli i skonfigurować węzeł.

                                                                                                                                                  Wskazówki dotyczące rozwiązywania problemów

                                                                                                                                                  Może wystąpić opóźnienie o kilka minut przed pojawieniem się kontenerów węzła. Podczas pierwszego uruchamiania na konsoli pojawi się komunikat zapory mostowej, podczas którego nie można się zalogować.

                                                                                                                                                  Skonfiguruj hybrydową maszynę wirtualną ds. bezpieczeństwa danych

                                                                                                                                                  Użyj tej procedury, aby po raz pierwszy zalogować się na konsoli VM węzła hybrydowego zabezpieczenia danych i ustawić poświadczenia logowania. Konsola może również skonfigurować ustawienia sieciowe węzła, jeśli nie zostały skonfigurowane w czasie wdrażania OVA.

                                                                                                                                                  1

                                                                                                                                                  W kliencie VMware vSphere wybierz węzeł VM Hybrid Data Security i kartę Console .

                                                                                                                                                  Maszyna zostanie uruchomiona i pojawi się monit o zalogowanie. Jeśli monit o zalogowanie nie jest wyświetlany, naciśnij przycisk Enter.
                                                                                                                                                  2

                                                                                                                                                  Aby się zalogować i zmienić poświadczenia, należy użyć następującego domyślnego loginu i hasła:

                                                                                                                                                  1. Logowanie: admin

                                                                                                                                                  2. Hasło: cisco

                                                                                                                                                  Ponieważ logujesz się do VM po raz pierwszy, musisz zmienić hasło administratora.

                                                                                                                                                  3

                                                                                                                                                  Jeśli ustawienia sieci zostały już skonfigurowane w Instalowaniu OVA hosta usługi HDS, pomiń pozostałą część tej procedury. W przeciwnym razie w menu głównym wybierz opcję Edytuj konfigurację.

                                                                                                                                                  4

                                                                                                                                                  Skonfiguruj statyczną konfigurację z adresem IP, maską, bramą i informacjami DNS. Węzeł powinien mieć wewnętrzny adres IP i nazwę DNS. Serwer DHCP nie jest obsługiwany.

                                                                                                                                                  5

                                                                                                                                                  (Opcjonalnie) Zmień nazwę hosta, domenę lub serwery NTP, jeśli jest to konieczne do dopasowania do zasad sieci.

                                                                                                                                                  Nie trzeba ustawiać domeny tak, aby pasowała do domeny używanej do uzyskania certyfikatu X.509.

                                                                                                                                                  6

                                                                                                                                                  Zapisz konfigurację sieci i uruchom ponownie VM, aby zmiany weszły w życie.

                                                                                                                                                  Prześlij i zamontuj ISO konfiguracji HDS

                                                                                                                                                  Ta procedura służy do konfigurowania maszyny wirtualnej z pliku ISO utworzonego za pomocą narzędzia konfiguracji HDS.

                                                                                                                                                  Przed rozpoczęciem

                                                                                                                                                  Ponieważ plik ISO zawiera klucz główny, powinien on być narażony tylko na „potrzebę wiedzy”, aby uzyskać dostęp do hybrydowych maszyn wirtualnych ds. bezpieczeństwa danych i wszystkich administratorów, którzy mogą wymagać wprowadzenia zmian. Upewnij się, że tylko ci administratorzy mogą uzyskać dostęp do bazy danych.

                                                                                                                                                  1

                                                                                                                                                  Prześlij plik ISO z komputera:

                                                                                                                                                  1. W lewym okienku nawigacyjnym klienta VMware vSphere kliknij na serwer ESXi.

                                                                                                                                                  2. Na liście Sprzętu na karcie Konfiguracja kliknij przycisk Przechowywanie.

                                                                                                                                                  3. Na liście Datastores kliknij prawym przyciskiem myszy katalog danych dla swoich maszyn wirtualnych i kliknij opcję Przeglądaj Datastore.

                                                                                                                                                  4. Kliknij ikonę Prześlij pliki, a następnie kliknij Prześlij plik.

                                                                                                                                                  5. Przejdź do lokalizacji, w której pobrałeś plik ISO na komputerze i kliknij przycisk Otwórz.

                                                                                                                                                  6. Kliknij przycisk Tak, aby zaakceptować ostrzeżenie o operacji przesyłania/pobierania i zamknąć okno dialogowe z listą danych.

                                                                                                                                                  2

                                                                                                                                                  Montaż pliku ISO:

                                                                                                                                                  1. W lewym okienku nawigacji klienta VMware vSphere kliknij prawym przyciskiem myszy VM i kliknij Edytuj ustawienia .

                                                                                                                                                  2. Kliknij przycisk OK, aby zaakceptować ostrzeżenie o opcjach edycji ograniczonej.

                                                                                                                                                  3. Kliknij CD/DVD Drive 1, wybierz opcję montażu z pliku ISO w zbiorniku danych i przejdź do lokalizacji, w której przesłano plik ISO konfiguracji.

                                                                                                                                                  4. Sprawdzić Podłączono i Podłączono przy włączonym zasilaniu.

                                                                                                                                                  5. Zapisz zmiany i uruchom ponownie maszynę wirtualną.

                                                                                                                                                  Co zrobić dalej

                                                                                                                                                  Jeśli polityka IT wymaga, możesz opcjonalnie odmontować plik ISO po tym, jak wszystkie węzły podniosą zmiany w konfiguracji. Aby uzyskać szczegółowe informacje, zobacz (Opcjonalnie) Odinstaluj ISO Po Konfiguracji HDS.

                                                                                                                                                  Konfigurowanie węzła HDS dla integracji serwera proxy

                                                                                                                                                  Jeśli środowisko sieciowe wymaga serwera proxy, użyj tej procedury, aby określić typ serwera proxy, który chcesz zintegrować z Hybrid Data Security. Po wybraniu przejrzystego serwera proxy inspekcji lub bezpośredniego serwera proxy HTTPS można użyć interfejsu węzła do przesłania i zainstalowania certyfikatu głównego. Możesz również sprawdzić połączenie serwera proxy z poziomu interfejsu i rozwiązać ewentualne problemy.

                                                                                                                                                  Przed rozpoczęciem

                                                                                                                                                  1

                                                                                                                                                  Wprowadź adres URL konfiguracji węzła HDS https://[HDS Node IP or FQDN]/setup w przeglądarce internetowej wprowadź dane uwierzytelniające administratora skonfigurowane dla węzła, a następnie kliknij opcję Zaloguj się.

                                                                                                                                                  2

                                                                                                                                                  Przejdź do sklepu Trust Store & Proxy, a następnie wybierz opcję:

                                                                                                                                                  • Brak serwera proxy — opcja domyślna przed integracją serwera proxy. Nie jest wymagana aktualizacja certyfikatu.
                                                                                                                                                  • Transparent Non-Inspecting Proxy — węzły nie są skonfigurowane do używania określonego adresu serwera proxy i nie powinny wymagać żadnych zmian w pracy z niekontrolowanym serwerem proxy. Nie jest wymagana aktualizacja certyfikatu.
                                                                                                                                                  • Transparent Inspecting Proxy — węzły nie są skonfigurowane do używania określonego adresu serwera proxy. W przypadku wdrożenia hybrydowego zabezpieczenia danych nie są konieczne zmiany konfiguracji protokołu HTTPS, jednak węzły HDS potrzebują certyfikatu głównego, aby zaufać proxy. Informatycy zazwyczaj używają serwerów proxy do egzekwowania zasad, na których strony internetowe mogą być odwiedzane i które rodzaje treści są niedozwolone. Ten typ serwera proxy odszyfruje cały ruch (nawet HTTPS).
                                                                                                                                                  • Explicit Proxy— w przypadku wyraźnego serwera proxy użytkownik informuje klienta (węzły HDS), którego serwera proxy ma używać, a ta opcja obsługuje kilka typów uwierzytelniania. Po wybraniu tej opcji należy wprowadzić następujące informacje:
                                                                                                                                                    1. Proxy IP/FQDN — adres, którego można użyć do dotarcia do maszyny proxy.

                                                                                                                                                    2. Port serwera proxy— numer portu, którego serwer proxy używa do odsłuchiwania ruchu z serwerem proxy.

                                                                                                                                                    3. Protokół proxy — wybierz http (wyświetla i kontroluje wszystkie żądania otrzymane od klienta) lub https (dostarcza kanał do serwera, a klient odbiera i weryfikuje certyfikat serwera). Wybierz opcję na podstawie tego, co obsługuje serwer proxy.

                                                                                                                                                    4. Typ uwierzytelniania — wybierz spośród następujących typów uwierzytelniania:

                                                                                                                                                      • Brak — dalsze uwierzytelnianie nie jest wymagane.

                                                                                                                                                        Dostępne dla serwerów proxy HTTP lub HTTPS.

                                                                                                                                                      • Basic — używane przez agenta użytkownika HTTP do podawania nazwy użytkownika i hasła podczas składania żądania. Korzysta z kodowania Base64.

                                                                                                                                                        Dostępne dla serwerów proxy HTTP lub HTTPS.

                                                                                                                                                        Jeśli wybierzesz tę opcję, musisz również wprowadzić nazwę użytkownika i hasło.

                                                                                                                                                      • Digest — służy do potwierdzenia konta przed wysłaniem poufnych informacji. Przed wysłaniem za pośrednictwem sieci należy zastosować funkcję skrótu w nazwie użytkownika i hasłem.

                                                                                                                                                        Dostępne tylko dla serwerów proxy HTTPS.

                                                                                                                                                        Jeśli wybierzesz tę opcję, musisz również wprowadzić nazwę użytkownika i hasło.

                                                                                                                                                  Postępuj zgodnie z kolejnymi krokami w celu przejrzystego kontrolowania serwera proxy, bezpośredniego serwera proxy HTTP z uwierzytelnianiem podstawowym lub bezpośredniego serwera proxy HTTPS.

                                                                                                                                                  3

                                                                                                                                                  Kliknij opcję Prześlij certyfikat główny lub certyfikat jednostki końcowej, a następnie przejdź do opcji Wybierz certyfikat główny serwera proxy.

                                                                                                                                                  Certyfikat jest przesyłany, ale jeszcze nie został zainstalowany, ponieważ aby zainstalować certyfikat, należy ponownie uruchomić węzeł. Aby uzyskać więcej szczegółów, kliknij strzałkę chevron po nazwie emitenta certyfikatu lub kliknij opcję Usuń, jeśli popełniłeś błąd i chcesz ponownie przesłać plik.

                                                                                                                                                  4

                                                                                                                                                  Kliknij Check Proxy Connection (Sprawdź połączenie proxy), aby sprawdzić połączenie sieciowe między węzłem a serwerem proxy.

                                                                                                                                                  Jeśli test połączenia zakończy się niepowodzeniem, pojawi się komunikat o błędzie przedstawiający przyczynę i sposób naprawienia problemu.

                                                                                                                                                  Jeśli zobaczysz komunikat informujący, że zewnętrzna rozdzielczość DNS nie powiodła się, węzeł nie mógł dotrzeć do serwera DNS. Warunek ten jest oczekiwany w wielu wyraźnych konfiguracjach serwera proxy. Możesz kontynuować konfigurację, a węzeł będzie działał w trybie Zablokowanej Zewnętrznej Rozdzielczości DNS. Jeśli uważasz, że jest to błąd, wykonaj poniższe czynności, a następnie zobacz Wyłącz Zablokowany Zewnętrzny Tryb Rozdzielczości DNS.

                                                                                                                                                  5

                                                                                                                                                  Po przejściu testu połączenia, w przypadku wyraźnego serwera proxy ustawionego tylko na https, włącz przełącznik do Trasowania wszystkich żądań portu 443/444 https z tego węzła za pomocą wyraźnego serwera proxy. To ustawienie wymaga 15 sekund działania.

                                                                                                                                                  6

                                                                                                                                                  Kliknij Instaluj Wszystkie Certyfikaty W Sklepie Zaufania (pojawi się dla wyraźnego serwera proxy HTTPS lub przezroczystego serwera proxy inspekcji) lub Uruchom ponownie (pojawi się dla wyraźnego serwera proxy HTTP), przeczytaj monit, a następnie kliknij opcję Instaluj , jeśli jesteś gotowy.

                                                                                                                                                  Węzeł zostanie uruchomiony ponownie w ciągu kilku minut.

                                                                                                                                                  7

                                                                                                                                                  Po ponownym uruchomieniu węzła zaloguj się ponownie w razie potrzeby, a następnie otwórz stronę Przegląd , aby sprawdzić kontrole łączności, aby upewnić się, że wszystkie mają zielony status.

                                                                                                                                                  Kontrola połączenia z serwerem proxy sprawdza tylko poddomenę webex.com. Jeśli występują problemy z łącznością, powszechnym problemem jest to, że niektóre domeny chmury wymienione w instrukcjach instalacji są blokowane na serwerze proxy.

                                                                                                                                                  Zarejestruj pierwszy węzeł w klastrze

                                                                                                                                                  To zadanie przejmuje ogólny węzeł utworzony w Skonfiguruj hybrydową maszynę wirtualną bezpieczeństwa danych, rejestruje węzeł w chmurze Webex i zamienia go w węzeł hybrydowego bezpieczeństwa danych.

                                                                                                                                                  Po zarejestrowaniu pierwszego węzła utwórz klaster, do którego jest przypisany węzeł. Klaster zawiera co najmniej jeden węzeł wdrożony w celu zapewnienia zwolnień.

                                                                                                                                                  Przed rozpoczęciem

                                                                                                                                                  • Po rozpoczęciu rejestracji węzła należy go wypełnić w ciągu 60 minut lub rozpocząć od nowa.

                                                                                                                                                  • Upewnij się, że wszystkie wyskakujące blokery w przeglądarce są wyłączone lub że zezwalasz na wyjątek dla admin.webex.com.

                                                                                                                                                  1

                                                                                                                                                  Zaloguj się w https://admin.webex.com.

                                                                                                                                                  2

                                                                                                                                                  W menu po lewej stronie ekranu wybierz opcję Usługi.

                                                                                                                                                  3

                                                                                                                                                  W sekcji Usługi hybrydowe znajdź hybrydowe zabezpieczenia danych i kliknij przycisk Skonfiguruj.

                                                                                                                                                  Zostanie wyświetlona strona węzła Zarejestruj hybrydowe zabezpieczenia danych.
                                                                                                                                                  4

                                                                                                                                                  Wybierz Tak, aby wskazać, że węzeł został skonfigurowany i chcesz go zarejestrować, a następnie kliknij przycisk Dalej.

                                                                                                                                                  5

                                                                                                                                                  W pierwszym polu wprowadź nazwę klastra, do którego chcesz przypisać węzeł hybrydowego zabezpieczenia danych.

                                                                                                                                                  Zalecamy nazwanie klastra na podstawie lokalizacji węzłów klastra. Przykłady: "San Francisco", "Nowy Jork" czy "Dallas"

                                                                                                                                                  6

                                                                                                                                                  W drugim polu wprowadź wewnętrzny adres IP lub w pełni kwalifikowaną nazwę domeny (FQDN) węzła i kliknij przycisk Dalej.

                                                                                                                                                  Ten adres IP lub nazwa FQDN powinny być zgodne z adresem IP lub nazwą hosta i domeną używaną podczas konfigurowania hybrydowej maszyny wirtualnej ds. bezpieczeństwa danych.

                                                                                                                                                  Pojawi się komunikat informujący, że można zarejestrować węzeł w usłudze Webex.
                                                                                                                                                  7

                                                                                                                                                  Kliknij przycisk Przejdź do węzła.

                                                                                                                                                  8

                                                                                                                                                  Kliknij przycisk Kontynuuj w komunikacie ostrzegawczym.

                                                                                                                                                  Po kilku chwilach nastąpi przekierowanie do testów łączności węzła dla usług Webex. Jeśli wszystkie testy zakończą się powodzeniem, pojawi się strona Zezwól na dostęp do węzła hybrydowego zabezpieczeń danych. Tam potwierdzasz, że chcesz nadać uprawnienia swojej organizacji Webex, aby uzyskać dostęp do węzła.
                                                                                                                                                  9

                                                                                                                                                  Zaznacz pole wyboru Zezwól na dostęp do węzła hybrydowego zabezpieczenia danych , a następnie kliknij przycisk Kontynuuj.

                                                                                                                                                  Twoje konto zostało zweryfikowane, a komunikat „Rejestracja ukończona” wskazuje, że Twój węzeł jest teraz zarejestrowany w chmurze Webex.
                                                                                                                                                  10

                                                                                                                                                  Kliknij łącze lub zamknij kartę, aby powrócić do strony Hybrid Data Security Control Hub.

                                                                                                                                                  Na stronie Hybrid Data Security jest wyświetlany nowy klaster zawierający zarejestrowany węzeł. Węzeł automatycznie pobierze najnowsze oprogramowanie z chmury.

                                                                                                                                                  Tworzenie i rejestrowanie większej liczby węzłów

                                                                                                                                                  Aby dodać dodatkowe węzły do klastra, wystarczy utworzyć dodatkowe numery VMs i zamontować ten sam plik ISO konfiguracji, a następnie zarejestrować węzeł. Zalecamy posiadanie co najmniej 3 węzłów.

                                                                                                                                                   

                                                                                                                                                  W tym czasie zapasowe maszyny wirtualne utworzone w Zakończeniu wymagań wstępnych dla hybrydowego zabezpieczenia danych są hostami gotowymi, które są używane tylko w przypadku odzyskiwania po awarii; do tego czasu nie są rejestrowane w systemie. Aby uzyskać szczegółowe informacje, patrz Przywracanie systemu po awarii za pomocą Standby Data Center.

                                                                                                                                                  Przed rozpoczęciem

                                                                                                                                                  • Po rozpoczęciu rejestracji węzła należy go wypełnić w ciągu 60 minut lub rozpocząć od nowa.

                                                                                                                                                  • Upewnij się, że wszystkie wyskakujące blokery w przeglądarce są wyłączone lub że zezwalasz na wyjątek dla admin.webex.com.

                                                                                                                                                  1

                                                                                                                                                  Utwórz nową maszynę wirtualną z OVA, powtarzając kroki w Instalacji OVA hosta HDS.

                                                                                                                                                  2

                                                                                                                                                  Skonfiguruj konfigurację początkową na nowej maszynie wirtualnej, powtarzając kroki w Skonfiguruj hybrydową maszynę wirtualną bezpieczeństwa danych.

                                                                                                                                                  3

                                                                                                                                                  W nowej maszynie wirtualnej wykonaj ponownie czynności opisane w polu Prześlij i zamontuj ISO konfiguracji HDS.

                                                                                                                                                  4

                                                                                                                                                  Jeśli konfigurujesz serwer proxy dla swojego wdrożenia, powtórz kroki w Konfigurowaniu węzła HDS dla integracji serwera proxy zgodnie z potrzebami nowego węzła.

                                                                                                                                                  5

                                                                                                                                                  Zarejestruj węzeł.

                                                                                                                                                  1. W https://admin.webex.com wybierz Usługi z menu po lewej stronie ekranu.

                                                                                                                                                  2. W sekcji Usługi hybrydowe znajdź kartę zabezpieczenia danych hybrydowych i kliknij opcję Zasoby.

                                                                                                                                                    Pojawi się strona Hybrid Data Security Resources (Zasoby zabezpieczeń danych hybrydowych).
                                                                                                                                                  3. Kliknij przycisk Dodaj zasób.

                                                                                                                                                  4. W pierwszym polu wybierz nazwę istniejącego klastra.

                                                                                                                                                  5. W drugim polu wprowadź wewnętrzny adres IP lub w pełni kwalifikowaną nazwę domeny (FQDN) węzła i kliknij przycisk Dalej.

                                                                                                                                                    Pojawi się komunikat informujący, że można zarejestrować węzeł w chmurze Webex.
                                                                                                                                                  6. Kliknij przycisk Przejdź do węzła.

                                                                                                                                                    Po kilku chwilach nastąpi przekierowanie do testów łączności węzła dla usług Webex. Jeśli wszystkie testy zakończą się powodzeniem, pojawi się strona Zezwól na dostęp do węzła hybrydowego zabezpieczeń danych. Tam potwierdzasz, że chcesz nadać uprawnienia swojej organizacji, aby uzyskać dostęp do węzła.
                                                                                                                                                  7. Zaznacz pole wyboru Zezwól na dostęp do węzła hybrydowego zabezpieczenia danych , a następnie kliknij przycisk Kontynuuj.

                                                                                                                                                    Twoje konto zostało zweryfikowane, a komunikat „Rejestracja ukończona” wskazuje, że Twój węzeł jest teraz zarejestrowany w chmurze Webex.
                                                                                                                                                  8. Kliknij łącze lub zamknij kartę, aby powrócić do strony Hybrid Data Security Control Hub.

                                                                                                                                                  Twój węzeł jest zarejestrowany. Należy pamiętać, że do momentu rozpoczęcia próby węzły wygenerują alarm wskazujący, że usługa nie jest jeszcze aktywowana.

                                                                                                                                                  Co zrobić dalej

                                                                                                                                                  Przeprowadzanie wersji próbnej i przejście do produkcji (następny rozdział)
                                                                                                                                                  Uruchom wersję próbną i przejdź do produkcji

                                                                                                                                                  Przepływ próby do zadania produkcyjnego

                                                                                                                                                  Po skonfigurowaniu hybrydowego klastra bezpieczeństwa danych można uruchomić program pilotażowy, dodać do niego użytkowników i rozpocząć korzystanie z niego do testowania i sprawdzania wdrożenia w ramach przygotowań do przejścia do produkcji.

                                                                                                                                                  1

                                                                                                                                                  Jeśli dotyczy, zsynchronizuj HdsTrialGroup obiekt grupowy.

                                                                                                                                                  Jeśli Twoja organizacja używa synchronizacji katalogu dla użytkowników, musisz wybrać HdsTrialGroup obiekt grupowy do synchronizacji z chmurą przed rozpoczęciem próby. Instrukcje można znaleźć w podręczniku wdrażania łącznika usług katalogowych Cisco.

                                                                                                                                                  2

                                                                                                                                                  Aktywuj wersję próbną

                                                                                                                                                  Rozpocznij proces. Do czasu wykonania tego zadania węzły wygenerują alarm wskazujący, że usługa nie została jeszcze aktywowana.

                                                                                                                                                  3

                                                                                                                                                  Przetestuj wdrożenie hybrydowego zabezpieczenia danych

                                                                                                                                                  Sprawdź, czy kluczowe żądania są przekazywane do wdrożenia hybrydowego zabezpieczenia danych.

                                                                                                                                                  4

                                                                                                                                                  Monitorowanie stanu hybrydowego bezpieczeństwa danych

                                                                                                                                                  Sprawdź stan i skonfiguruj powiadomienia e-mail dla alarmów.

                                                                                                                                                  5

                                                                                                                                                  Dodawanie lub usuwanie użytkowników z wersji próbnej

                                                                                                                                                  6

                                                                                                                                                  Zakończ fazę próbną, wykonując jedną z następujących czynności:

                                                                                                                                                  Aktywuj wersję próbną

                                                                                                                                                  Przed rozpoczęciem

                                                                                                                                                  Jeśli Twoja organizacja używa synchronizacji katalogu dla użytkowników, musisz wybrać HdsTrialGroup obiekt grupowy do synchronizacji z chmurą przed rozpoczęciem próby dla organizacji. Instrukcje można znaleźć w podręczniku wdrażania łącznika usług katalogowych Cisco.

                                                                                                                                                  1

                                                                                                                                                  Zaloguj się do https://admin.webex.com, a następnie wybierz opcję Usługi.

                                                                                                                                                  2

                                                                                                                                                  W obszarze Bezpieczeństwo danych hybrydowych kliknij Ustawienia.

                                                                                                                                                  3

                                                                                                                                                  W sekcji Stan usługi kliknij przycisk Rozpocznij wersję próbną.

                                                                                                                                                  Stan usługi zmienia się w tryb próbny.
                                                                                                                                                  4

                                                                                                                                                  Kliknij opcję Dodaj użytkowników i wprowadź adres e-mail jednego lub większej liczby użytkowników do pilotowania za pomocą węzłów hybrydowych zabezpieczeń danych w celu szyfrowania i indeksowania usług.

                                                                                                                                                  (Jeśli Twoja organizacja używa synchronizacji katalogu, użyj usługi Active Directory do zarządzania grupą próbną, HdsTrialGroup.)

                                                                                                                                                  Przetestuj wdrożenie hybrydowego zabezpieczenia danych

                                                                                                                                                  Użyj tej procedury, aby przetestować scenariusze szyfrowania hybrydowych zabezpieczeń danych.

                                                                                                                                                  Przed rozpoczęciem

                                                                                                                                                  • Skonfiguruj wdrożenie hybrydowego zabezpieczenia danych.

                                                                                                                                                  • Aktywuj wersję próbną i dodaj kilku użytkowników wersji próbnej.

                                                                                                                                                  • Upewnij się, że masz dostęp do dziennika systemowego, aby sprawdzić, czy kluczowe żądania są przekazywane do wdrożenia hybrydowego zabezpieczenia danych.

                                                                                                                                                  1

                                                                                                                                                  Klucze dla danego obszaru są ustawiane przez twórcę tego obszaru. Zaloguj się do aplikacji Webex jako jeden z użytkowników pilotażowych, a następnie utwórz obszar i zaproś co najmniej jednego użytkownika pilotażowego i jednego użytkownika niepilotażowego.


                                                                                                                                                   

                                                                                                                                                  Jeśli dezaktywujesz wdrożenie hybrydowego zabezpieczenia danych, zawartość w obszarach tworzonych przez użytkowników pilotażowych nie jest już dostępna po wymianie kopii kluczy szyfrowania w pamięci podręcznej klienta.

                                                                                                                                                  2

                                                                                                                                                  Wysyłaj wiadomości do nowego obszaru.

                                                                                                                                                  3

                                                                                                                                                  Sprawdź wyjście dziennika systemowego, aby sprawdzić, czy kluczowe żądania przechodzą do wdrożenia hybrydowego zabezpieczenia danych.

                                                                                                                                                  1. Aby sprawdzić, czy użytkownik najpierw ustanawia bezpieczny kanał w systemie KMS, filtruj go kms.data.method=create i kms.data.type=EPHEMERAL_KEY_COLLECTION:

                                                                                                                                                    Należy znaleźć wpis taki jak następujący (identyfikatory skrócone dla czytelności):
                                                                                                                                                    2020-07-21 17:35:34.562 (+0000) INFO  KMS [pool-14-thread-1] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, 
                                                                                                                                                    kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2
                                                                                                                                                  2. Aby sprawdzić, czy użytkownik żądający istniejącego klucza z KMS, filtruj na kms.data.method=retrieve i kms.data.type=KEY:

                                                                                                                                                    Należy znaleźć wpis taki jak:
                                                                                                                                                    2020-07-21 17:44:19.889 (+0000) INFO  KMS [pool-14-thread-31] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, 
                                                                                                                                                    kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, 
                                                                                                                                                    kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b
                                                                                                                                                  3. Aby sprawdzić, czy użytkownik wnioskuje o utworzenie nowego klucza KMS, filtruj kms.data.method=create i kms.data.type=KEY_COLLECTION:

                                                                                                                                                    Należy znaleźć wpis taki jak:
                                                                                                                                                    2020-07-21 17:44:21.975 (+0000) INFO  KMS [pool-14-thread-33] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, 
                                                                                                                                                    kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b
                                                                                                                                                  4. Aby sprawdzić, czy użytkownik prosi o utworzenie nowego obiektu zasobów KMS (KRO) podczas tworzenia obszaru lub innego chronionego zasobu, filtruj kms.data.method=create i kms.data.type=RESOURCE_COLLECTION:

                                                                                                                                                    Należy znaleźć wpis taki jak:
                                                                                                                                                    2020-07-21 17:44:22.808 (+0000) INFO  KMS [pool-15-thread-1] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
                                                                                                                                                    kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

                                                                                                                                                  Monitorowanie stanu hybrydowego bezpieczeństwa danych

                                                                                                                                                  Wskaźnik stanu w Control Hub pokazuje, czy wszystko jest dobrze we wdrożeniu hybrydowego zabezpieczenia danych. Aby uzyskać bardziej proaktywne alerty, zapisz się do powiadomień e-mail. Otrzymasz powiadomienie o alarmach lub aktualizacjach oprogramowania mających wpływ na usługę.
                                                                                                                                                  1

                                                                                                                                                  W Control Hub wybierz Usługi z menu po lewej stronie ekranu.

                                                                                                                                                  2

                                                                                                                                                  W sekcji Usługi hybrydowe znajdź hybrydowe zabezpieczenia danych i kliknij Ustawienia.

                                                                                                                                                  Zostanie wyświetlona strona Ustawienia zabezpieczeń danych hybrydowych.
                                                                                                                                                  3

                                                                                                                                                  W sekcji Powiadomienia e-mail wpisz co najmniej jeden adres e-mail oddzielony przecinkami i naciśnij przycisk Enter.

                                                                                                                                                  Dodawanie lub usuwanie użytkowników z wersji próbnej

                                                                                                                                                  Po aktywacji wersji próbnej i dodaniu początkowego zestawu użytkowników wersji próbnej można dodać lub usunąć członków wersji próbnej w dowolnym momencie, gdy wersja próbna jest aktywna.

                                                                                                                                                  Jeśli usuniesz użytkownika z wersji próbnej, klient poprosi go o utworzenie kluczy i klawiszy z chmury KMS zamiast Twojego KMS. Jeśli klient potrzebuje klucza przechowywanego w KMS, Cloud KMS pobierze go w imieniu użytkownika.

                                                                                                                                                  Jeśli Twoja organizacja używa synchronizacji katalogu, użyj usługi Active Directory (zamiast tej procedury) do zarządzania grupą próbną, HdsTrialGroup; można wyświetlać członków grupy w Control Hub, ale nie można ich dodawać ani usuwać.

                                                                                                                                                  1

                                                                                                                                                  Zaloguj się do Control Hub, a następnie wybierz Usługi.

                                                                                                                                                  2

                                                                                                                                                  W obszarze Bezpieczeństwo danych hybrydowych kliknij Ustawienia.

                                                                                                                                                  3

                                                                                                                                                  W sekcji Tryby wersji próbnej w obszarze Stan usługi kliknij przycisk Dodaj użytkowników lub kliknij widok i edytuj , aby usunąć użytkowników z wersji próbnej.

                                                                                                                                                  4

                                                                                                                                                  Wprowadź adres e-mail jednego lub większej liczby użytkowników do dodania lub kliknij przycisk X identyfikatorem użytkownika, aby usunąć użytkownika z wersji próbnej. Następnie kliknij Zapisz .

                                                                                                                                                  Przeniesienie z wersji próbnej do produkcji

                                                                                                                                                  Gdy jesteś zadowolony, że wdrożenie działa dobrze dla użytkowników próbnych, możesz przejść do produkcji. Po przeniesieniu do produkcji wszyscy użytkownicy w organizacji będą korzystać z lokalnej domeny hybrydowego zabezpieczenia danych w celu szyfrowania kluczy i innych usług w dziedzinie zabezpieczeń. Nie można wrócić do trybu próbnego z produkcji, chyba że dezaktywujesz usługę w ramach odzyskiwania awaryjnego. Reaktywacja usługi wymaga skonfigurowania nowej wersji próbnej.
                                                                                                                                                  1

                                                                                                                                                  Zaloguj się do Control Hub, a następnie wybierz Usługi.

                                                                                                                                                  2

                                                                                                                                                  W obszarze Bezpieczeństwo danych hybrydowych kliknij Ustawienia.

                                                                                                                                                  3

                                                                                                                                                  W sekcji Stan usługi kliknij opcję Przenieś do produkcji.

                                                                                                                                                  4

                                                                                                                                                  Potwierdź, że chcesz przenieść wszystkich użytkowników do produkcji.

                                                                                                                                                  Zakończ wersję próbną bez przejścia do produkcji

                                                                                                                                                  Jeśli podczas okresu próbnego zdecydujesz się nie kontynuować wdrażania hybrydowego zabezpieczenia danych, możesz dezaktywować hybrydowe zabezpieczenia danych, które kończą okres próbny i przenoszą użytkowników wersji próbnej z powrotem do usług zabezpieczeń danych w chmurze. Użytkownicy próbni stracą dostęp do danych zaszyfrowanych podczas badania.
                                                                                                                                                  1

                                                                                                                                                  Zaloguj się do Control Hub, a następnie wybierz Usługi.

                                                                                                                                                  2

                                                                                                                                                  W obszarze Bezpieczeństwo danych hybrydowych kliknij Ustawienia.

                                                                                                                                                  3

                                                                                                                                                  W sekcji Dezaktywuj kliknij przycisk Dezaktywuj.

                                                                                                                                                  4

                                                                                                                                                  Potwierdź, że chcesz dezaktywować usługę i zakończyć okres próbny.

                                                                                                                                                  Zarządzanie wdrożeniem HDS

                                                                                                                                                  Zarządzanie wdrożeniem HDS

                                                                                                                                                  Użyj opisanych tutaj zadań do zarządzania wdrożeniem hybrydowego zabezpieczenia danych.

                                                                                                                                                  Ustaw harmonogram uaktualniania klastra

                                                                                                                                                  Aktualizacje oprogramowania Hybrid Data Security są wykonywane automatycznie na poziomie klastra, co zapewnia, że wszystkie węzły zawsze korzystają z tej samej wersji oprogramowania. Uaktualnienia są wykonywane zgodnie z harmonogramem uaktualniania klastra. Po udostępnieniu uaktualnienia oprogramowania można ręcznie uaktualnić klaster przed zaplanowaną godziną uaktualnienia. Można ustawić określony harmonogram uaktualniania lub użyć domyślnego harmonogramu 3:00 rano Daily Stany Zjednoczone: Ameryka/Los Angeles. W razie potrzeby można również odłożyć nadchodzące uaktualnienie.

                                                                                                                                                  Aby ustawić harmonogram uaktualniania:

                                                                                                                                                  1

                                                                                                                                                  Zaloguj się do Centrum sterowania .

                                                                                                                                                  2

                                                                                                                                                  Na stronie Przegląd w obszarze Usługi hybrydowe wybierz opcję Hybrid Data Security.

                                                                                                                                                  3

                                                                                                                                                  Na stronie Zasoby zabezpieczeń danych hybrydowych wybierz klaster.

                                                                                                                                                  4

                                                                                                                                                  W panelu Przegląd po prawej stronie w obszarze Ustawienia klastra wybierz nazwę klastra.

                                                                                                                                                  5

                                                                                                                                                  Na stronie Ustawienia w obszarze Uaktualnianie wybierz godzinę i strefę czasową harmonogramu uaktualniania.

                                                                                                                                                  Uwaga: W strefie czasowej wyświetlana jest następna dostępna data i godzina aktualizacji. W razie potrzeby można odroczyć uaktualnienie do następnego dnia, klikając opcję Odłóż.

                                                                                                                                                  Zmień konfigurację węzła

                                                                                                                                                  Czasami może zajść potrzeba zmiany konfiguracji węzła hybrydowego zabezpieczenia danych z następujących powodów:
                                                                                                                                                  • Zmiana certyfikatów x.509 z powodu wygaśnięcia lub z innych powodów.


                                                                                                                                                     

                                                                                                                                                    Nie obsługujemy zmiany nazwy domeny CN certyfikatu. Domena musi być zgodna z oryginalną domeną użytą do zarejestrowania klastra.

                                                                                                                                                  • Aktualizowanie ustawień bazy danych w celu zmiany na replikę bazy danych PostgreSQL lub Microsoft SQL Server.


                                                                                                                                                     

                                                                                                                                                    Nie obsługujemy migracji danych z PostgreSQL do Microsoft SQL Server lub odwrotnie. Aby przełączyć środowisko bazy danych, rozpocznij nowe wdrożenie Hybrid Data Security.

                                                                                                                                                  • Tworzenie nowej konfiguracji w celu przygotowania nowego centrum danych.

                                                                                                                                                  Ponadto, ze względów bezpieczeństwa, Hybrid Data Security używa haseł do kont usługi o dziewięciomiesięcznym okresie ważności. Gdy narzędzie konfiguracji HDS wygeneruje te hasła, należy je wdrożyć w każdym z węzłów HDS w pliku konfiguracyjnym ISO . Gdy hasła organizacji zbliżają się do wygaśnięcia, otrzymasz powiadomienie od zespołu Webex , aby zresetować hasło do konta komputera. (Wiadomość e-mail zawiera tekst „Użyj API konta komputera, aby zaktualizować hasło”). Jeśli hasła jeszcze nie wygasły, narzędzie udostępnia dwie opcje:

                                                                                                                                                  • Miękki reset — Stare i nowe hasło działają przez maksymalnie 10 dni. Wykorzystaj ten okres, aby stopniowo zastępować plik ISO w węzłach.

                                                                                                                                                  • Twardy reset — Stare hasła natychmiast przestają działać.

                                                                                                                                                  Jeśli hasła wygasną bez zresetowania, będzie to miało wpływ na usługę HDS i wymaga natychmiastowego twardego resetu i zastąpienia pliku ISO we wszystkich węzłach.

                                                                                                                                                  Ta procedura służy do generowania nowego konfiguracyjnego pliku ISO i zastosowania go do klastra.

                                                                                                                                                  Przed rozpoczęciem

                                                                                                                                                  • Narzędzie instalacji HDS działa jako kontener platformy Docker na komputerze lokalnym. Aby uzyskać do niego dostęp, uruchom platformę Docker na tym komputerze. Proces konfiguracji wymaga poświadczeń konta Control Hub z pełnymi uprawnieniami administratora dla Twojej organizacji.

                                                                                                                                                    Jeśli narzędzie HDS Setup działa za serwerem proxy w Twoim środowisku, podaj ustawienia serwera proxy (serwer, port, poświadczenia) za pomocą zmiennych środowiska Docker podczas przywoływania kontenera Docker w 1.e. W tej tabeli podano kilka możliwych zmiennych środowiskowych:

                                                                                                                                                    Opis

                                                                                                                                                    Zmienna

                                                                                                                                                    Serwer proxy HTTP bez uwierzytelniania

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    Serwer proxy HTTPS bez uwierzytelniania

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    Serwer proxy HTTP z uwierzytelnianiem

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                    Serwer proxy HTTPS z uwierzytelnianiem

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                  • Do wygenerowania nowej konfiguracji potrzebna jest kopia bieżącego konfiguracyjnego pliku ISO . ISO zawiera klucz główny szyfrujący bazę danych PostgreSQL lub Microsoft SQL Server. Plik ISO jest potrzebny podczas wprowadzania zmian w konfiguracji, w tym poświadczeń bazy danych, aktualizacji certyfikatów lub zmian zasad autoryzacji.

                                                                                                                                                  1

                                                                                                                                                  Korzystając z platformy Docker na komputerze lokalnym, uruchom narzędzie konfiguracji HDS.

                                                                                                                                                  1. W wierszu poleceń komputera wprowadź polecenie odpowiednie dla swojego środowiska:

                                                                                                                                                    W zwykłych środowiskach:

                                                                                                                                                    docker rmi ciscocitg/hds-setup:stable

                                                                                                                                                    W środowiskach FedRAMP:

                                                                                                                                                    docker rmi ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                     

                                                                                                                                                    Ten krok czyści poprzednie obrazy narzędzia konfiguracji HDS. Jeśli nie ma poprzednich obrazów, zwraca błąd, który można zignorować.

                                                                                                                                                  2. Aby zalogować się do rejestru obrazów platformy Docker, wprowadź następujące informacje:

                                                                                                                                                    docker login -u hdscustomersro
                                                                                                                                                  3. Po wyświetleniu monitu o hasło wprowadź ten skrót:

                                                                                                                                                    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
                                                                                                                                                  4. Pobierz najnowszy stabilny obraz dla swojego środowiska:

                                                                                                                                                    W zwykłych środowiskach:

                                                                                                                                                    docker pull ciscocitg/hds-setup:stable

                                                                                                                                                    W środowiskach FedRAMP:

                                                                                                                                                    docker pull ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                     

                                                                                                                                                    Upewnij się, że pobierasz najnowsze narzędzie instalacyjne dla tej procedury. Wersje narzędzia utworzone przed 22 lutego 2018 r. nie mają ekranów resetowania hasła.

                                                                                                                                                  5. Po zakończeniu ściągania wprowadź polecenie odpowiednie dla środowiska:

                                                                                                                                                    • W zwykłych środowiskach bez serwera proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
                                                                                                                                                    • W zwykłych środowiskach z serwerem proxy HTTP:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                    • W normalnych środowiskach z serwerem HTTPSproxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                    • W środowiskach FedRAMP bez serwera proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                    • W środowiskach FedRAMP z serwerem proxy HTTP:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                    • W środowiskach FedRAMP z serwerem proxy HTTPS:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                    Gdy kontener jest uruchomiony, zostanie wyświetlony komunikat „Serwer ekspresowy nasłuchuje na porcie 8080”.

                                                                                                                                                  6. Użyj przeglądarki, aby połączyć się z hostem lokalnym, http://127.0.0.1:8080.


                                                                                                                                                     

                                                                                                                                                    Narzędzie Konfiguracja nie obsługuje łączenia się z localhost za pośrednictwem http://localhost:8080. Użyj http://127.0.0.1:8080, aby połączyć się z hostem lokalizacji.

                                                                                                                                                  7. Po wyświetleniu monitu wprowadź poświadczenia logowania klienta Control Hub, a następnie kliknij Zaakceptuj aby kontynuować.

                                                                                                                                                  8. Zaimportuj bieżący plik konfiguracyjny ISO .

                                                                                                                                                  9. Postępuj zgodnie z instrukcjami, aby ukończyć działanie narzędzia i pobrać zaktualizowany plik.

                                                                                                                                                    Aby zamknąć narzędzie Setup, wpisz: CTRL+C.

                                                                                                                                                  10. Utwórz kopię zapasową zaktualizowanego pliku w innym centrum danych.

                                                                                                                                                  2

                                                                                                                                                  Jeśli uruchomiony jest tylko jeden węzeł HDS , utwórz nową maszynę VM węzła Hybrid Data Security i zarejestruj ją przy użyciu nowego konfiguracyjnego pliku ISO . Aby uzyskać bardziej szczegółowe instrukcje, zobacz temat Tworzenie i rejestrowanie większej liczby węzłów.

                                                                                                                                                  1. Zainstaluj narzędzie OVA hosta HDS.

                                                                                                                                                  2. Skonfiguruj maszynę VM HDS .

                                                                                                                                                  3. Podłącz zaktualizowany plik konfiguracyjny.

                                                                                                                                                  4. Zarejestruj nowy węzeł w Control Hub.

                                                                                                                                                  3

                                                                                                                                                  W przypadku istniejących węzłów HDS, na których działa starszy plik konfiguracyjny, podłącz plik ISO . Wykonaj następującą procedurę na każdym węźle po kolei, aktualizując każdy węzeł przed wyłączeniem następnego węzła:

                                                                                                                                                  1. Wyłącz maszynę wirtualną.

                                                                                                                                                  2. W lewym okienku nawigacji klienta VMware vSphere kliknij prawym przyciskiem myszy VM i kliknij Edytuj ustawienia .

                                                                                                                                                  3. Kliknij CD/DVD Drive 1, wybierz opcję podłączenia z pliku ISO i przejdź do lokalizacji, do której pobrano nowy konfiguracyjny plik ISO .

                                                                                                                                                  4. Sprawdź Połącz po włączeniu .

                                                                                                                                                  5. Zapisz zmiany i włącz maszynę wirtualną.

                                                                                                                                                  4

                                                                                                                                                  Powtórz krok 3, aby zastąpić konfigurację w każdym pozostałym węźle, na którym działa stara konfiguracja.

                                                                                                                                                  Wyłącz Zablokowany Zewnętrzny Tryb Rozdzielczości DNS

                                                                                                                                                  Po zarejestrowaniu węzła lub sprawdzeniu konfiguracji serwera proxy węzła proces testuje wyszukiwanie DNS i łączność z chmurą Cisco Webex. Jeśli serwer DNS węzła nie może rozpoznawać publicznych nazw DNS, węzeł automatycznie przechodzi w tryb Zablokowanej zewnętrznej rozdzielczości DNS.

                                                                                                                                                  Jeśli węzły są w stanie rozpoznawać publiczne nazwy DNS za pośrednictwem wewnętrznych serwerów DNS, można wyłączyć ten tryb, uruchamiając ponownie test połączenia serwera proxy w każdym węźle.

                                                                                                                                                  Przed rozpoczęciem

                                                                                                                                                  Upewnij się, że wewnętrzne serwery DNS mogą rozpoznawać publiczne nazwy DNS oraz że węzły mogą się z nimi komunikować.
                                                                                                                                                  1

                                                                                                                                                  W przeglądarce internetowej otwórz interfejs węzła hybrydowego zabezpieczenia danych (adres IP/konfiguracja, na przykład https://192.0.2.0/setup), wprowadź dane uwierzytelniające administratora skonfigurowane dla węzła, a następnie kliknij opcję Zaloguj się.

                                                                                                                                                  2

                                                                                                                                                  Przejdź do Przegląd (strona domyślna).

                                                                                                                                                  Po włączeniu Rozpoznawanie zablokowanego zewnętrznego DNS jest ustawiony na Tak .

                                                                                                                                                  3

                                                                                                                                                  Przejdź do strony Trust Store & Proxy.

                                                                                                                                                  4

                                                                                                                                                  Kliknij przycisk Sprawdź połączenie z serwerem proxy.

                                                                                                                                                  Jeśli zobaczysz komunikat informujący, że zewnętrzna rozdzielczość DNS nie powiodła się, węzeł nie mógł dotrzeć do serwera DNS i pozostanie w tym trybie. W przeciwnym razie po ponownym uruchomieniu węzła i powrocie na stronę Przegląd zablokowana zewnętrzna rozdzielczość DNS powinna być ustawiona na nr.

                                                                                                                                                  Co zrobić dalej

                                                                                                                                                  Powtórz test połączenia z serwerem proxy dla każdego węzła w klastrze hybrydowego zabezpieczenia danych.

                                                                                                                                                  Usuń węzeł

                                                                                                                                                  Użyj tej procedury, aby usunąć węzeł hybrydowego zabezpieczenia danych z chmury Webex. Po usunięciu węzła z klastra usuń maszynę wirtualną, aby zapobiec dalszemu dostępowi do danych zabezpieczeń.
                                                                                                                                                  1

                                                                                                                                                  Użyj klienta VMware vSphere na komputerze, aby zalogować się do wirtualnego hosta ESXi i wyłączyć maszynę wirtualną.

                                                                                                                                                  2

                                                                                                                                                  Usuń węzeł:

                                                                                                                                                  1. Zaloguj się do Control Hub, a następnie wybierz Usługi.

                                                                                                                                                  2. Na karcie hybrydowe zabezpieczenia danych kliknij przycisk Wyświetl wszystkie , aby wyświetlić stronę zasobów hybrydowych zabezpieczeń danych.

                                                                                                                                                  3. Wybierz klaster, aby wyświetlić jego panel Przegląd.

                                                                                                                                                  4. Kliknij listę Otwórz węzły.

                                                                                                                                                  5. Na karcie Węzły wybierz węzeł, który chcesz usunąć.

                                                                                                                                                  6. Kliknij przycisk Akcje > węzeł Deregister.

                                                                                                                                                  3

                                                                                                                                                  W kliencie vSphere usuń maszynę wirtualną (w lewym okienku nawigacyjnym kliknij prawym przyciskiem myszy maszynę wirtualną i kliknij polecenie Usuń).

                                                                                                                                                  Jeśli nie usuniesz VM, pamiętaj o usunięciu pliku ISO konfiguracji. Bez pliku ISO nie można użyć maszyny wirtualnej, aby uzyskać dostęp do danych bezpieczeństwa.

                                                                                                                                                  Odzyskiwanie po awarii za pomocą Standby Data Center

                                                                                                                                                  Najbardziej krytyczną usługą oferowaną przez klaster Hybrid Data Security jest tworzenie i przechowywanie kluczy używanych do szyfrowania wiadomości i innych treści przechowywanych w chmurze Webex. Dla każdego użytkownika w organizacji przypisanego do hybrydowego zabezpieczenia danych nowe żądania tworzenia kluczy są kierowane do klastra. Klaster jest również odpowiedzialny za przywrócenie kluczy, które został utworzony do wszystkich użytkowników upoważnionych do ich odzyskania, na przykład członków obszaru konwersacji.

                                                                                                                                                  Ponieważ klaster pełni kluczową funkcję dostarczania tych kluczy, konieczne jest, aby klaster nadal działał i aby utrzymywały się odpowiednie kopie zapasowe. Utrata bazy danych hybrydowych zabezpieczeń danych lub układu ISO konfiguracji stosowanego dla schematu spowoduje NIEZBĘDNĄ UTRATĘ zawartości klienta. Aby zapobiec takiej utracie, konieczne są następujące praktyki:

                                                                                                                                                  Jeśli awaria spowoduje, że wdrożenie HDS w głównym centrum danych stanie się niedostępne, postępuj zgodnie z tą procedurą, aby ręcznie przełączyć się na standby centrum danych.

                                                                                                                                                  1

                                                                                                                                                  Uruchom narzędzie do konfiguracji HDS i wykonaj czynności opisane w dokumencie Create a Configuration ISO for the HDS Hosts.

                                                                                                                                                  2

                                                                                                                                                  Po skonfigurowaniu serwera Syslogd kliknij Ustawienia zaawansowane

                                                                                                                                                  3

                                                                                                                                                  Na stronie Ustawienia zaawansowane dodaj poniższą konfigurację lub usuń passiveMode konfiguracja, aby węzeł był aktywny. Węzeł może obsługiwać ruch po skonfigurowaniu.

                                                                                                                                                  
                                                                                                                                                  passiveMode: 'false'
                                                                                                                                                  
                                                                                                                                                  4

                                                                                                                                                  Zakończ proces konfiguracji i zapisz plik ISO w lokalizacji, która jest łatwa do znalezienia.

                                                                                                                                                  5

                                                                                                                                                  Wykonaj kopię zapasową pliku ISO w lokalnym systemie. Kopia zapasowa powinna być zabezpieczona. Ten plik zawiera główny klucz szyfrowania zawartości bazy danych. Ogranicz dostęp tylko do tych administratorów hybrydowych zabezpieczeń danych, którzy powinni wprowadzać zmiany w konfiguracji.

                                                                                                                                                  6

                                                                                                                                                  W lewym okienku nawigacyjnym klienta VMware vSphere kliknij prawym przyciskiem myszy maszynę wirtualną i kliknij opcję Edytuj ustawienia..

                                                                                                                                                  7

                                                                                                                                                  Kliknij opcję Edytuj ustawienia >Napęd CD/DVD 1 i wybierz Plik ISO Datastore.


                                                                                                                                                   

                                                                                                                                                  Upewnij się, że Connected and Connect at power on (Podłączono) są zaznaczone, aby zaktualizowane zmiany konfiguracji mogły wejść w życie po uruchomieniu węzłów.

                                                                                                                                                  8

                                                                                                                                                  Włącz węzeł HDS i upewnij się, że nie ma alarmów przez co najmniej 15 minut.

                                                                                                                                                  9

                                                                                                                                                  Powtórz proces dla każdego węzła w centrum danych standby.


                                                                                                                                                   

                                                                                                                                                  Sprawdź wyjście dziennika systemowego, aby sprawdzić, czy węzły centrum danych standby nie są w trybie pasywnym. „KMS skonfigurowany w trybie pasywnym” nie powinien być wyświetlany w dziennikach syslog.

                                                                                                                                                  Co zrobić dalej

                                                                                                                                                  Po przełączeniu awaryjnym, jeśli główne centrum danych stanie się ponownie aktywne, ponownie umieść centrum danych standby w trybie pasywnym, wykonując czynności opisane w Ustawieniu Standby Data Center dla odzyskiwania awarii.

                                                                                                                                                  (Opcjonalnie) Odmontować ISO Po Konfiguracji HDS

                                                                                                                                                  Standardowa konfiguracja HDS działa z zamontowanym ISO. Jednak niektórzy klienci wolą nie pozostawiać plików ISO stale zamontowanych. Plik ISO można odmontować po odebraniu nowej konfiguracji przez wszystkie węzły HDS.

                                                                                                                                                  Nadal używasz plików ISO do wprowadzania zmian w konfiguracji. Podczas tworzenia nowego ISO lub aktualizacji ISO za pomocą narzędzia konfiguracyjnego należy zamontować zaktualizowany ISO na wszystkich węzłach HDS. Po odebraniu zmian konfiguracji przez wszystkie węzły można ponownie rozmontować ISO za pomocą tej procedury.

                                                                                                                                                  Przed rozpoczęciem

                                                                                                                                                  Uaktualnij wszystkie węzły HDS do wersji 2021.01.22.4720 lub nowszej.

                                                                                                                                                  1

                                                                                                                                                  Zamknij jeden z węzłów HDS.

                                                                                                                                                  2

                                                                                                                                                  W urządzeniu VCenter Server Appliance wybierz węzeł HDS.

                                                                                                                                                  3

                                                                                                                                                  Wybierz Edytuj ustawienia > Napęd CD/DVD i usuń zaznaczenie pliku Datastore ISO.

                                                                                                                                                  4

                                                                                                                                                  Włącz węzeł HDS i upewnij się, że nie ma alarmów przez co najmniej 20 minut.

                                                                                                                                                  5

                                                                                                                                                  Powtórz kolejno dla każdego węzła HDS.

                                                                                                                                                  Rozwiązywanie problemów z hybrydowymi zabezpieczeniami danych

                                                                                                                                                  Wyświetlanie alertów i rozwiązywania problemów

                                                                                                                                                  Wdrożenie hybrydowego zabezpieczenia danych jest uważane za niedostępne, jeśli wszystkie węzły w klastrze są nieosiągalne lub klaster działa tak wolno, że wymaga przekroczenia czasu. Jeśli użytkownicy nie mogą skontaktować się z klastrem hybrydowego zabezpieczenia danych, mogą wystąpić następujące objawy:

                                                                                                                                                  • Nie można utworzyć nowych obszarów (nie można utworzyć nowych kluczy)

                                                                                                                                                  • Wiadomości i tytuły przestrzeni nie można odszyfrować dla:

                                                                                                                                                    • Dodano nowych użytkowników do obszaru (nie można pobrać kluczy)

                                                                                                                                                    • Istniejący użytkownicy w obszarze korzystający z nowego klienta (nie można pobrać kluczy)

                                                                                                                                                  • Istniejący użytkownicy w obszarze będą z powodzeniem działać tak długo, jak ich klienci będą mieli pamięć podręczną kluczy szyfrowania

                                                                                                                                                  Ważne jest, aby odpowiednio monitorować klaster hybrydowego zabezpieczenia danych i szybko zwracać się do wszystkich alertów, aby uniknąć zakłóceń w obsłudze.

                                                                                                                                                  Alerty

                                                                                                                                                  Jeśli występuje problem z konfiguracją hybrydowego zabezpieczenia danych, Control Hub wyświetla alerty do administratora organizacji i wysyła wiadomości e-mail na skonfigurowany adres e-mail. Alerty obejmują wiele typowych scenariuszy.

                                                                                                                                                  Tabela 1. Wspólne problemy i kroki mające na celu ich rozwiązanie

                                                                                                                                                  Alert

                                                                                                                                                  Czynność

                                                                                                                                                  Niepowodzenie dostępu do lokalnej bazy danych.

                                                                                                                                                  Sprawdź, czy występują błędy w bazie danych lub problemy z siecią lokalną.

                                                                                                                                                  Niepowodzenie połączenia z lokalną bazą danych.

                                                                                                                                                  Sprawdź, czy serwer bazy danych jest dostępny, a w konfiguracji węzła użyto odpowiednich poświadczeń konta usługi.

                                                                                                                                                  Niepowodzenie dostępu do usługi w chmurze.

                                                                                                                                                  Sprawdź, czy węzły mogą uzyskać dostęp do serwerów Webex zgodnie z wymaganiami Zewnętrznej łączności.

                                                                                                                                                  Odnowienie rejestracji usług w chmurze.

                                                                                                                                                  Zrezygnowano z rejestracji na usługi w chmurze. Trwa przedłużenie rejestracji.

                                                                                                                                                  Rejestracja usług w chmurze została odrzucona.

                                                                                                                                                  Rejestracja na usługi w chmurze została zakończona. Usługa jest wyłączona.

                                                                                                                                                  Usługa jeszcze nie została aktywowana.

                                                                                                                                                  Aktywuj wersję próbną lub zakończ przenoszenie wersji próbnej do produkcji.

                                                                                                                                                  Skonfigurowana domena nie odpowiada certyfikatowi serwera.

                                                                                                                                                  Upewnij się, że certyfikat serwera jest zgodny z skonfigurowaną domeną aktywacji usługi.

                                                                                                                                                  Najbardziej prawdopodobną przyczyną jest to, że certyfikat CN został ostatnio zmieniony i jest teraz inny niż CN, który był używany podczas początkowej konfiguracji.

                                                                                                                                                  Nie można uwierzytelnić usług w chmurze.

                                                                                                                                                  Kontrola poprawności i ewentualnego wygaśnięcia poświadczeń konta usługi.

                                                                                                                                                  Nie można otworzyć lokalnego pliku keystore.

                                                                                                                                                  Sprawdź integralność i dokładność hasła w lokalnym pliku keystore.

                                                                                                                                                  Certyfikat lokalnego serwera jest nieprawidłowy.

                                                                                                                                                  Sprawdź datę ważności certyfikatu serwera i potwierdź, że został on wydany przez zaufany urząd certyfikacji.

                                                                                                                                                  Nie można publikować metryk.

                                                                                                                                                  Sprawdź dostęp sieci lokalnej do zewnętrznych usług w chmurze.

                                                                                                                                                  /media/configdrive/hds katalog nie istnieje.

                                                                                                                                                  Sprawdź konfigurację montażu ISO na wirtualnym hostze. Sprawdź, czy plik ISO istnieje, czy jest skonfigurowany do montażu na ponownym uruchomieniu i czy został pomyślnie zainstalowany.

                                                                                                                                                  Rozwiązywanie problemów z hybrydowymi zabezpieczeniami danych

                                                                                                                                                  Podczas rozwiązywania problemów z hybrydowymi zabezpieczeniami danych należy stosować następujące ogólne wytyczne.
                                                                                                                                                  1

                                                                                                                                                  Przejrzyj Control Hub dla wszystkich alertów i naprawić wszystkie znalezione tam elementy.

                                                                                                                                                  2

                                                                                                                                                  Przejrzyj wyjście serwera dziennika systemowego pod kątem aktywności z wdrożenia hybrydowego zabezpieczenia danych.

                                                                                                                                                  3

                                                                                                                                                  Skontaktuj się z pomocą techniczną Cisco.

                                                                                                                                                  Inne uwagi

                                                                                                                                                  Znane problemy dotyczące hybrydowych zabezpieczeń danych

                                                                                                                                                  • Jeśli zamkniesz klaster hybrydowego zabezpieczenia danych (usuwając go w Control Hub lub zamykając wszystkie węzły), stracisz plik ISO konfiguracji lub utracisz dostęp do bazy danych keystore, użytkownicy aplikacji Webex nie będą mogli już korzystać ze spacji na liście Osoby utworzonej za pomocą kluczy z KMS. Dotyczy to zarówno wdrożeń próbnych, jak i produkcyjnych. Obecnie nie mamy obejścia ani rozwiązania tego problemu i zachęcamy do niezamykania usług HDS po obsłudze aktywnych kont użytkowników.

                                                                                                                                                  • Klient z istniejącym połączeniem ECDH z KMS utrzymuje to połączenie przez pewien czas (prawdopodobnie godzinę). Gdy użytkownik staje się członkiem próby hybrydowego zabezpieczenia danych, klient użytkownika nadal korzysta z istniejącego połączenia ECDH do czasu jego wyłączenia. Alternatywnie, użytkownik może wylogować się i wrócić do aplikacji Webex, aby zaktualizować lokalizację, z którą kontaktuje się aplikacja w przypadku kluczy szyfrowania.

                                                                                                                                                    To samo zachowanie występuje podczas przenoszenia próby do produkcji dla organizacji. Wszyscy użytkownicy spoza wersji próbnej posiadający istniejące połączenia ECDH z poprzednimi służbami bezpieczeństwa danych będą nadal korzystać z tych usług do czasu renegocjacji połączenia ECDH (poprzez limit czasu lub poprzez wylogowanie i powrót).

                                                                                                                                                  Użyj protokołu OpenSSL, aby wygenerować plik PKCS12

                                                                                                                                                  Przed rozpoczęciem

                                                                                                                                                  • OpenSSL jest jednym z narzędzi, które można wykorzystać do tworzenia pliku PKCS12 w odpowiednim formacie do ładowania w narzędziu konfiguracji HDS. Istnieją inne sposoby, aby to zrobić, i nie popieramy ani nie promujemy jednej drogi nad drugą.

                                                                                                                                                  • Jeśli zdecydujesz się korzystać z OpenSSL, zapewniamy tę procedurę jako wytyczną, która pomoże Ci utworzyć plik spełniający wymagania certyfikatu X.509 w wymaganiach certyfikatów X.509. Zrozum te wymagania, zanim przejdziesz dalej.

                                                                                                                                                  • Zainstaluj OpenSSL w obsługiwanym środowisku. Patrz https://www.openssl.org oprogramowanie i dokumentacja.

                                                                                                                                                  • Utwórz klucz prywatny.

                                                                                                                                                  • Procedurę tę należy rozpocząć po otrzymaniu certyfikatu serwera od urzędu certyfikacji.

                                                                                                                                                  1

                                                                                                                                                  Po otrzymaniu certyfikatu serwera z urzędu certyfikacji zapisz go jako hdsnode.pem.

                                                                                                                                                  2

                                                                                                                                                  Wyświetl certyfikat jako tekst i zweryfikuj szczegóły.

                                                                                                                                                  openssl x509 -text -noout -in hdsnode.pem

                                                                                                                                                  3

                                                                                                                                                  Użyj edytora tekstu, aby utworzyć plik pakietu certyfikatów o nazwie hdsnode-bundle.pem. Plik pakietu musi zawierać certyfikat serwera, wszystkie pośrednie certyfikaty urzędu certyfikacji oraz podstawowe certyfikaty urzędu certyfikacji w formacie poniżej:

                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ### Server certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ###  Intermediate CA certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ###  Root CA certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  4

                                                                                                                                                  Utwórz plik .p12 o przyjaznej nazwie kms-private-key.

                                                                                                                                                  openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

                                                                                                                                                  5

                                                                                                                                                  Sprawdź szczegóły certyfikatu serwera.

                                                                                                                                                  1. openssl pkcs12 -in hdsnode.p12

                                                                                                                                                  2. Wprowadź hasło po wyświetleniu monitu, aby zaszyfrować klucz prywatny w taki sposób, aby był wyświetlany na wyjściu. Następnie sprawdź, czy klucz prywatny i pierwszy certyfikat zawierają linie friendlyName: kms-private-key.

                                                                                                                                                    Przykład:

                                                                                                                                                    bash$ openssl pkcs12 -in hdsnode.p12
                                                                                                                                                    Enter Import Password:
                                                                                                                                                    MAC verified OK
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: kms-private-key
                                                                                                                                                        localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
                                                                                                                                                    Key Attributes: <No Attributes>
                                                                                                                                                    Enter PEM pass phrase:
                                                                                                                                                    Verifying - Enter PEM pass phrase:
                                                                                                                                                    -----BEGIN ENCRYPTED PRIVATE KEY-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END ENCRYPTED PRIVATE KEY-----
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: kms-private-key
                                                                                                                                                        localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
                                                                                                                                                    subject=/CN=hds1.org6.portun.us
                                                                                                                                                    issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
                                                                                                                                                    -----BEGIN CERTIFICATE-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END CERTIFICATE-----
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US
                                                                                                                                                    subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
                                                                                                                                                    issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3
                                                                                                                                                    -----BEGIN CERTIFICATE-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END CERTIFICATE-----

                                                                                                                                                  Co zrobić dalej

                                                                                                                                                  Powróć, aby ukończyć wymagania wstępne dotyczące hybrydowego zabezpieczenia danych. Korzystasz z hdsnode.p12 plik i ustawione dla niego hasło w Utwórz ISO konfiguracji dla prowadzących HDS.


                                                                                                                                                   

                                                                                                                                                  Możesz ponownie użyć tych plików, aby poprosić o nowy certyfikat po wygaśnięciu oryginalnego certyfikatu.

                                                                                                                                                  Ruch między węzłami HDS a chmurą

                                                                                                                                                  Ruch zbierania metryk wychodzących

                                                                                                                                                  Węzły hybrydowego zabezpieczenia danych wysyłają pewne metryki do chmury Webex. Obejmują one metryki systemowe dla maks. stosu, stosowanego stosu, obciążenia procesora i liczenia wątków; metryki na wątkach synchronicznych i asynchronicznych; metryki na alertach obejmujące próg połączeń szyfrowania, opóźnienie lub długość kolejki żądań; metryki na zbiorniku danych; oraz metryki połączeń szyfrowania. Węzły wysyłają zaszyfrowany materiał klucza przez kanał poza pasmem (oddzielony od żądania).

                                                                                                                                                  Ruch przychodzący

                                                                                                                                                  Węzły hybrydowego zabezpieczenia danych otrzymują następujące typy ruchu przychodzącego z chmury Webex:

                                                                                                                                                  • Żądania szyfrowania od klientów, które są kierowane przez usługę szyfrowania

                                                                                                                                                  • Aktualizacja do oprogramowania węzła

                                                                                                                                                  Konfigurowanie serwerów proxy Squid dla hybrydowych zabezpieczeń danych

                                                                                                                                                  Websocket Nie Można Połączyć Za Pomocą Proxy Squid

                                                                                                                                                  Pełnomocnicy Squid, którzy sprawdzają ruch HTTPS, mogą ingerować w tworzenie websocket ( wss:) połączenia, których wymaga Hybrid Data Security. Sekcje te zawierają wskazówki dotyczące konfigurowania różnych wersji Squid do ignorowania wss: ruch w celu prawidłowego funkcjonowania usług.

                                                                                                                                                  Squid 4 i 5

                                                                                                                                                  Dodaj on_unsupported_protocol dyrektywa do squid.conf:

                                                                                                                                                  on_unsupported_protocol tunnel all

                                                                                                                                                  Squid 3.5.27

                                                                                                                                                  Z powodzeniem przetestowaliśmy hybrydowe zabezpieczenia danych, dodając następujące zasady squid.conf. Zasady te mogą ulec zmianie w miarę opracowywania funkcji i aktualizacji chmury Webex.

                                                                                                                                                  acl wssMercuryConnection ssl::server_name_regex mercury-connection
                                                                                                                                                  
                                                                                                                                                  ssl_bump splice wssMercuryConnection
                                                                                                                                                  
                                                                                                                                                  acl step1 at_step SslBump1
                                                                                                                                                  acl step2 at_step SslBump2
                                                                                                                                                  acl step3 at_step SslBump3
                                                                                                                                                  ssl_bump peek step1 all
                                                                                                                                                  ssl_bump stare step2 all
                                                                                                                                                  ssl_bump bump step3 all
                                                                                                                                                  Przedmowa

                                                                                                                                                  Nowe i zmienione informacje

                                                                                                                                                  Data

                                                                                                                                                  Zmiany

                                                                                                                                                  20 października 2023 r.

                                                                                                                                                  07 sierpnia 2023 r.

                                                                                                                                                  23 maja 2023 r.

                                                                                                                                                  06 grudnia 2022 r.

                                                                                                                                                  23 listopada 2022 r.

                                                                                                                                                  • Węzły HDS mogą teraz używać uwierzytelniania systemu Windows w usłudze Microsoft SQL Server.

                                                                                                                                                    Zaktualizowano temat wymagań serwera bazy danych z dodatkowymi wymaganiami dla tego trybu uwierzytelniania.

                                                                                                                                                    Zaktualizowano Utwórz ISO konfiguracji hostów HDS z procedurą konfigurowania uwierzytelniania systemu Windows w węzłach.

                                                                                                                                                  • Zaktualizowano temat wymagań serwera bazy danych o nowe minimalne wymagane wersje (PostgreSQL 10).

                                                                                                                                                  13 października 2021 r.

                                                                                                                                                  Docker Desktop musi uruchomić program konfiguracji przed zainstalowaniem węzłów HDS. Zobacz Wymagania Dotyczące Pulpitu Docker.

                                                                                                                                                  24 czerwca 2021 r.

                                                                                                                                                  Pamiętaj, że możesz ponownie użyć pliku klucza prywatnego i CSR, aby poprosić o inny certyfikat. Aby uzyskać szczegółowe informacje, zobacz Użyj OpenSSL, aby wygenerować plik PKCS12.

                                                                                                                                                  30 kwietnia 2021 r.

                                                                                                                                                  Zmieniono wymaganie VM dla lokalnego miejsca na dysku twardym na 30 GB. Szczegółowe informacje można znaleźć w sekcji Wymagania wirtualnego prowadzącego.

                                                                                                                                                  24 lutego 2021 r.

                                                                                                                                                  Narzędzie konfiguracji usługi HDS może teraz działać za serwerem proxy. Aby uzyskać szczegółowe informacje, zobacz Tworzenie ISO konfiguracji hostów HDS.

                                                                                                                                                  2 lutego 2021 r.

                                                                                                                                                  HDS może teraz działać bez zamontowanego pliku ISO. Aby uzyskać szczegółowe informacje, zobacz (Opcjonalnie) Odinstaluj ISO Po Konfiguracji HDS.

                                                                                                                                                  11 stycznia 2021 r.

                                                                                                                                                  Dodano informacje o narzędziu do konfiguracji HDS i pełnomocnikach, aby utworzyć ISO konfiguracji dla prowadzących HDS.

                                                                                                                                                  13 października 2020 r.

                                                                                                                                                  Zaktualizowano Pobierz pliki instalacyjne.

                                                                                                                                                  8 października 2020 r.

                                                                                                                                                  Zaktualizowano Utwórz ISO konfiguracji dla prowadzących HDS i zmień konfigurację węzła za pomocą poleceń dla środowisk FedRAMP.

                                                                                                                                                  14 sierpnia 2020 r.

                                                                                                                                                  Zaktualizowano Utwórz ISO konfiguracji dla prowadzących HDS i zmień konfigurację węzła ze zmianami w procesie logowania.

                                                                                                                                                  5 sierpnia 2020 r.

                                                                                                                                                  Zaktualizowano testowanie wdrażania hybrydowego zabezpieczenia danych pod kątem zmian w komunikatach dziennika.

                                                                                                                                                  Zaktualizowano wymagania hosta wirtualnego , aby usunąć maksymalną liczbę hostów.

                                                                                                                                                  16 czerwca 2020 r.

                                                                                                                                                  Zaktualizowano Usuwanie węzła pod kątem zmian w interfejsie interfejsu Control Hub.

                                                                                                                                                  4 czerwca 2020 r.

                                                                                                                                                  Zaktualizowano Tworzenie ISO konfiguracji dla hostów HDS w celu wprowadzenia zmian w ustawieniach zaawansowanych, które można ustawić.

                                                                                                                                                  29 maja 2020 r.

                                                                                                                                                  Zaktualizowano Utwórz ISO konfiguracji dla hostów HDS , aby pokazać, że można również używać TLS z bazami danych SQL Server, zmianami interfejsu użytkownika i innymi wyjaśnieniami.

                                                                                                                                                  5 maja 2020 r.

                                                                                                                                                  Zaktualizowano wymagania hosta wirtualnego , aby pokazać nowe wymagania ESXi 6.5.

                                                                                                                                                  21 kwietnia 2020 r.

                                                                                                                                                  Zaktualizowane wymagania dotyczące łączności zewnętrznej z nowymi hostami CI Americas.

                                                                                                                                                  1 kwietnia 2020 r.

                                                                                                                                                  Zaktualizowane wymagania dotyczące łączności zewnętrznej z informacjami na temat regionalnych prowadzących CI.

                                                                                                                                                  20 lutego 2020 r.Zaktualizowano Utwórz ISO konfiguracji hostów HDS z informacjami na nowym opcjonalnym ekranie ustawień zaawansowanych w narzędziu do konfiguracji HDS.
                                                                                                                                                  4 lutego 2020 r.Zaktualizowano wymagania serwera proxy.
                                                                                                                                                  16 grudnia 2019 r.Wyjaśnione wymagania dotyczące zablokowanego zewnętrznego trybu rozdzielczości DNS do pracy w wymaganiach serwera proxy.
                                                                                                                                                  19 listopada 2019 r.

                                                                                                                                                  Dodano informacje o zablokowanym zewnętrznym trybie rozpoznawania DNS w następujących sekcjach:

                                                                                                                                                  8 listopada 2019 r.

                                                                                                                                                  Teraz można skonfigurować ustawienia sieciowe węzła podczas wdrażania OVA, a nie później.

                                                                                                                                                  Zaktualizowano odpowiednio następujące sekcje:


                                                                                                                                                   

                                                                                                                                                  Opcja konfigurowania ustawień sieciowych podczas wdrażania OVA została przetestowana z ESXi 6.5. Opcja może nie być dostępna we wcześniejszych wersjach.

                                                                                                                                                  6 września 2019 r.

                                                                                                                                                  Dodano SQL Server Standard do wymagań serwera bazy danych.

                                                                                                                                                  29 sierpnia 2019 r.Dodano Configure Squid Proxies for Hybrid Data Security appendix z wytycznymi dotyczącymi konfigurowania serwerów proxy Squid w celu zignorowania ruchu websocket w celu prawidłowej obsługi.
                                                                                                                                                  20 sierpnia 2019 r.

                                                                                                                                                  Dodano i zaktualizowano sekcje, aby objąć obsługę proxy komunikacji węzła hybrydowego bezpieczeństwa danych z chmurą Webex.

                                                                                                                                                  Aby uzyskać dostęp tylko do zawartości obsługi serwera proxy dla istniejącego wdrożenia, zobacz artykuł pomocy Proxy Support for Hybrid Data Security i Webex Video Mesh .

                                                                                                                                                  13 czerwca 2019 r.Zaktualizowano próbny do przepływu zadań produkcyjnych z przypomnieniem o synchronizacji HdsTrialGroup obiekt grupowy przed rozpoczęciem próby, jeśli Twoja organizacja korzysta z synchronizacji katalogu.
                                                                                                                                                  6 marca 2019 r.
                                                                                                                                                  28 lutego 2019 r.
                                                                                                                                                  • Skorygowano ilość lokalnego miejsca na dysku twardym na serwer, którą należy odłożyć podczas przygotowywania wirtualnych hostów, które stają się węzłami hybrydowego zabezpieczenia danych, z 50 GB do 20 GB, aby odzwierciedlić rozmiar dysku, który tworzy OVA.

                                                                                                                                                  26 lutego 2019 r.
                                                                                                                                                  • Węzły hybrydowego zabezpieczenia danych obsługują teraz szyfrowane połączenia z serwerami bazy danych PostgreSQL i szyfrowane połączenia rejestrowania z serwerem dziennika systemowego obsługującym protokół TLS. Zaktualizowano Tworzenie ISO konfiguracji dla prowadzących HDS z instrukcjami.

                                                                                                                                                  • Usunięto adresy URL docelowe z tabeli „Wymagania dotyczące łączności internetowej dla hybrydowych węzłów bezpieczeństwa danych”. Tabela odnosi się teraz do listy utrzymywanej w tabeli „Dodatkowe adresy URL usług hybrydowych Webex Teams” dotyczącej wymagań sieciowych dla usług Webex Teams.

                                                                                                                                                  24 stycznia 2019 r.

                                                                                                                                                  • Hybrid Data Security obsługuje teraz Microsoft SQL Server jako bazę danych. Serwer SQL Always On (Klastry Always On Failover i grupy Always On Availability) jest obsługiwany przez sterowniki JDBC używane w hybrydowych zabezpieczeniach danych. Dodano zawartość związaną z wdrożeniem z programem SQL Server.


                                                                                                                                                     

                                                                                                                                                    Obsługa rozwiązania Microsoft SQL Server jest przeznaczona tylko dla nowych wdrożeń hybrydowych zabezpieczeń danych. Obecnie nie obsługujemy migracji danych z serwera PostgreSQL na serwer Microsoft SQL Server w istniejącym wdrożeniu.

                                                                                                                                                  5 listopada 2018 r.
                                                                                                                                                  19 października 2018 r.

                                                                                                                                                  31 lipca 2018 r.

                                                                                                                                                  21 maja 2018 r.

                                                                                                                                                  Zmieniona terminologia odzwierciedlająca zmianę marki Cisco Spark:

                                                                                                                                                  • Cisco Spark Hybrid Data Security jest teraz Hybrid Data Security.

                                                                                                                                                  • Aplikacja Cisco Spark jest teraz aplikacją Webex.

                                                                                                                                                  • Cisco Collaboraton Cloud jest teraz chmurą Webex.

                                                                                                                                                  11 kwietnia 2018 r.
                                                                                                                                                  22 lutego 2018 r.
                                                                                                                                                  Luty 15, 2018
                                                                                                                                                  • W tabeli Wymagania dotyczące certyfikatów X.509 określono, że certyfikat nie może być certyfikatem z wieloznacznymi kartami i że KMS używa domeny CN, a nie żadnej domeny zdefiniowanej w polach SAN x.509v3.

                                                                                                                                                  Styczeń 18, 2018

                                                                                                                                                  2 listopada 2017 r.

                                                                                                                                                  • Skrócona synchronizacja katalogu grupy HdsTrialGroup.

                                                                                                                                                  • Stałe instrukcje dotyczące przesyłania pliku konfiguracyjnego ISO w celu montażu w węzłach VM.

                                                                                                                                                  18 sierpnia 2017 r.

                                                                                                                                                  Pierwsza publikacja

                                                                                                                                                  Rozpocznij pracę z Hybrid Data Security

                                                                                                                                                  Przegląd zabezpieczeń danych hybrydowych

                                                                                                                                                  Od pierwszego dnia bezpieczeństwo danych było głównym celem projektowania aplikacji Webex. Podstawą tych zabezpieczeń jest kompleksowe szyfrowanie zawartości, włączane przez klientów aplikacji Webex , którzy wchodzą w interakcję z usługą zarządzania kluczami (KMS). Usługa KMS jest odpowiedzialna za tworzenie kluczy kryptograficznych używanych przez klientów do dynamicznego szyfrowania i odszyfrowywania wiadomości i plików oraz zarządzanie nimi.

                                                                                                                                                  Domyślnie wszyscy klienci aplikacji Webex otrzymują kompleksowe szyfrowanie za pomocą kluczy dynamicznych przechowywanych w chmurze KMS w obszarze bezpieczeństwa firmy Cisco. Hybrid Data Security przenosi usługę KMS i inne funkcje związane z bezpieczeństwem do centrum danych przedsiębiorstwa, dzięki czemu nikt poza Tobą nie ma kluczy do zaszyfrowanej zawartości.

                                                                                                                                                  Architektura domeny zabezpieczeń

                                                                                                                                                  Architektura chmury Webex oddziela różne rodzaje usług od osobnych domen lub domen zaufania, jak przedstawiono poniżej.

                                                                                                                                                  Realms of Separation (bez hybrydowego zabezpieczenia danych)

                                                                                                                                                  Aby lepiej zrozumieć hybrydowe zabezpieczenia danych, spójrzmy najpierw na ten przypadek czystej chmury, w którym firma Cisco zapewnia wszystkie funkcje w swoich domenach w chmurze. Usługa tożsamości, jedyne miejsce, w którym użytkownicy mogą być bezpośrednio skorelowani ze swoimi danymi osobowymi, takimi jak adres e-mail, jest logicznie i fizycznie oddzielona od domeny bezpieczeństwa w centrum danych B. Oba są z kolei oddzielone od domeny, w której ostatecznie przechowywana jest zaszyfrowana zawartość, w centrum danych C.

                                                                                                                                                  Na tym schemacie klient to aplikacja Webex działająca na laptopie użytkownika i uwierzytelniona za pomocą usługi tożsamości. Gdy użytkownik komponuje wiadomość do wysłania do obszaru, wykonywane są następujące czynności:

                                                                                                                                                  1. Klient ustanawia bezpieczne połączenie z usługą zarządzania kluczami (KMS), a następnie prosi o klucz do szyfrowania wiadomości. Bezpieczne połączenie korzysta z ECDH, a KMS szyfruje klucz przy użyciu klucza głównego AES-256.

                                                                                                                                                  2. Wiadomość jest szyfrowana przed opuszczeniem klienta. Klient wysyła go do usługi indeksowania, która tworzy zaszyfrowane indeksy wyszukiwania, aby pomóc w przyszłych wyszukiwaniach zawartości.

                                                                                                                                                  3. Zaszyfrowana wiadomość jest wysyłana do usługi zgodności w celu sprawdzenia zgodności.

                                                                                                                                                  4. Zaszyfrowana wiadomość jest przechowywana w domenie przechowywania.

                                                                                                                                                  Podczas wdrażania hybrydowego zabezpieczenia danych funkcje domeny zabezpieczeń (KMS, indeksowanie i zgodność) są przenoszone do lokalnego centrum danych. Inne usługi w chmurze, które składają się na usługę Webex (w tym pamięć masowa tożsamości i zawartości), pozostają w domenach Cisco.

                                                                                                                                                  Współpraca z innymi organizacjami

                                                                                                                                                  Użytkownicy w organizacji mogą regularnie korzystać z aplikacji Webex do współpracy z uczestnikami zewnętrznymi w innych organizacjach. Gdy jeden z użytkowników prosi o klucz do obszaru należącego do organizacji (ponieważ został on utworzony przez jednego z użytkowników), KMS wysyła klucz do klienta za pośrednictwem kanału zabezpieczonego ECDH. Jednak gdy inna organizacja jest właścicielem klucza dla obszaru, system KMS kieruje żądanie do chmury Webex przez osobny kanał ECDH, aby uzyskać klucz z odpowiedniego systemu KMS, a następnie zwraca go do użytkownika na oryginalnym kanale.

                                                                                                                                                  Usługa KMS działająca na Org A weryfikuje połączenia z KMSs w innych organizacjach za pomocą certyfikatów PKI x.509. Aby uzyskać szczegółowe informacje na temat generowania certyfikatu x.509 do użytku z wdrożeniem hybrydowego zabezpieczenia danych, zobacz Prepare Your Environment (Przygotowanie środowiska).

                                                                                                                                                  Oczekiwania dotyczące wdrażania hybrydowych zabezpieczeń danych

                                                                                                                                                  Wdrożenie hybrydowego zabezpieczenia danych wymaga znacznego zaangażowania klienta i świadomości ryzyka związanego z posiadaniem kluczy szyfrowania.

                                                                                                                                                  Aby wdrożyć hybrydowe zabezpieczenia danych, należy zapewnić:

                                                                                                                                                  Kompletna utrata konfiguracji ISO utworzonej dla hybrydowego zabezpieczenia danych lub dostarczonej bazy danych spowoduje utratę kluczy. Utrata klucza uniemożliwia użytkownikom odszyfrowanie zawartości obszaru i innych zaszyfrowanych danych w aplikacji Webex. Jeśli tak się stanie, możesz zbudować nowe wdrożenie, ale widoczna będzie tylko nowa zawartość. Aby uniknąć utraty dostępu do danych, należy:

                                                                                                                                                  • Zarządzanie kopią zapasową i odzyskiwaniem bazy danych oraz konfiguracją ISO.

                                                                                                                                                  • Przygotuj się do szybkiego odzyskiwania awaryjnego w przypadku wystąpienia katastrofy, takiej jak awaria dysku bazy danych lub awaria centrum danych.


                                                                                                                                                   

                                                                                                                                                  Nie ma mechanizmu przenoszenia kluczy z powrotem do chmury po wdrożeniu HDS.

                                                                                                                                                  Proces konfiguracji na wysokim poziomie

                                                                                                                                                  Niniejszy dokument obejmuje konfigurację i zarządzanie wdrożeniem hybrydowego zabezpieczenia danych:

                                                                                                                                                  • Skonfiguruj hybrydowe zabezpieczenia danych— obejmuje to przygotowanie wymaganej infrastruktury i zainstalowanie oprogramowania hybrydowego zabezpieczenia danych, testowanie wdrożenia z podzbiorem użytkowników w trybie próbnym oraz, po zakończeniu testów, przejście do produkcji. Spowoduje to konwertowanie całej organizacji do używania klastra Hybrid Data Security dla funkcji zabezpieczeń.

                                                                                                                                                    Etapy konfiguracji, prób i produkcji zostały szczegółowo omówione w kolejnych trzech rozdziałach.

                                                                                                                                                  • Utrzymuj wdrożenie hybrydowego zabezpieczenia danych— chmura Webex automatycznie zapewnia trwające uaktualnienia. Dział IT może zapewnić wsparcie poziomu pierwszego dla tego wdrożenia i zaangażować wsparcie Cisco w razie potrzeby. Możesz korzystać z powiadomień na ekranie i konfigurować alerty oparte na wiadomościach e-mail w Control Hub.

                                                                                                                                                  • Zrozumienie wspólnych alertów, kroków rozwiązywania problemów i znanych problemów— w przypadku wystąpienia problemów z wdrożeniem lub użyciem hybrydowego zabezpieczenia danych ostatni rozdział niniejszego przewodnika i dodatku do Znanych problemów może pomóc w określeniu i rozwiązaniu problemu.

                                                                                                                                                  Hybrydowy model wdrażania zabezpieczeń danych

                                                                                                                                                  W centrum danych przedsiębiorstwa wdrażasz hybrydowe zabezpieczenia danych jako jeden klaster węzłów na osobnych hostach wirtualnych. Węzły komunikują się z chmurą Webex za pośrednictwem bezpiecznych websocketów i bezpiecznego protokołu HTTP.

                                                                                                                                                  Podczas procesu instalacji dostarczamy Ci plik OVA do skonfigurowania urządzenia wirtualnego na dostarczonych maszynach wirtualnych. Narzędzie konfiguracyjne HDS służy do tworzenia niestandardowego pliku ISO konfiguracji klastra, który jest montowany w każdym węźle. Klaster Hybrid Data Security korzysta z dostarczonego serwera Syslogd i bazy danych PostgreSQL lub Microsoft SQL Server. (Szczegóły połączenia Syslogd i bazy danych można skonfigurować w narzędziu konfiguracji HDS).

                                                                                                                                                  Hybrydowy model wdrażania zabezpieczeń danych

                                                                                                                                                  Minimalna liczba węzłów w klastrze to dwa. Zalecamy co najmniej trzy, a możesz mieć do pięciu. Posiadanie wielu węzłów zapewnia, że usługa nie zostanie przerwana podczas uaktualniania oprogramowania lub innej czynności konserwacyjnej w węźle. (Chmura Webex aktualizuje tylko jeden węzeł naraz).

                                                                                                                                                  Wszystkie węzły w klastrze mają dostęp do tego samego rekordu danych klucza i aktywności dziennika na tym samym serwerze dziennika systemowego. Same węzły są bezpaństwowe i obsługują żądania kluczy w sposób okrągły, zgodnie z zaleceniami chmury.

                                                                                                                                                  Węzły stają się aktywne po zarejestrowaniu ich w Control Hub. Aby usunąć pojedynczy węzeł z usługi, można go wyrejestrować, a następnie ponownie wyrejestrować w razie potrzeby.

                                                                                                                                                  Obsługujemy tylko jeden klaster na organizację.

                                                                                                                                                  Tryb próbny zabezpieczeń danych hybrydowych

                                                                                                                                                  Po skonfigurowaniu wdrożenia hybrydowego zabezpieczenia danych spróbuj go najpierw z zestawem użytkowników pilotażowych. W okresie próbnym użytkownicy ci wykorzystują lokalną domenę hybrydowego zabezpieczenia danych do szyfrowania kluczy i innych usług domeny zabezpieczeń. Inni użytkownicy nadal korzystają ze sfery zabezpieczeń w chmurze.

                                                                                                                                                  Jeśli zdecydujesz się nie kontynuować wdrażania podczas wersji próbnej i dezaktywować usługi, użytkownicy pilotażowi i wszyscy użytkownicy, z którymi współpracowali, tworząc nowe obszary w okresie próbnym, utracą dostęp do wiadomości i treści. Zostanie wyświetlony komunikat „Nie można odszyfrować tej wiadomości” w aplikacji Webex.

                                                                                                                                                  Jeśli jesteś zadowolony, że wdrożenie działa dobrze dla użytkowników próbnych i jesteś gotowy do rozszerzenia hybrydowego zabezpieczenia danych na wszystkich użytkowników, przenosisz wdrożenie do produkcji. Użytkownicy pilotażowi nadal mają dostęp do kluczy, które były używane podczas próby. Nie można jednak poruszać się w tę i z powrotem między trybem produkcji a oryginalnym testem. Jeśli musisz dezaktywować usługę, na przykład w celu przeprowadzenia odzyskiwania po awarii, po ponownej aktywacji musisz rozpocząć nową wersję próbną i skonfigurować zestaw użytkowników pilotażowych dla nowej wersji próbnej przed powrotem do trybu produkcji. To, czy użytkownicy zachowują w tym momencie dostęp do danych, zależy od tego, czy udało się zachować kopie zapasowe kluczowego magazynu danych i pliku konfiguracyjnego ISO dla węzłów hybrydowych zabezpieczeń danych w klastrze.

                                                                                                                                                  Standby Data Center for Disaster Recovery

                                                                                                                                                  Podczas wdrażania skonfigurowano bezpieczne centrum danych w trybie gotowości. W przypadku awarii centrum danych można ręcznie anulować wdrożenie do centrum danych w trybie gotowości.

                                                                                                                                                  Before failover, Data Center A has active HDS nodes and the primary PostgreSQL or Microsoft SQL Server database, while B has a copy of the ISO file with additional configurations, VMs that are registered to the organization, and a standby database. After failover, Data Center B has active HDS nodes and the primary database, while A has unregistered VMs and a copy of the ISO file, and the database is in standby mode.
                                                                                                                                                  Ręczne przełączanie awaryjne do Standby Data Center

                                                                                                                                                  Bazy danych aktywnych i standby centrów danych są ze sobą zsynchronizowane, co zminimalizuje czas potrzebny na wykonanie przełącznika awaryjnego. Plik ISO centrum danych w trybie gotowości jest aktualizowany o dodatkowe konfiguracje, które zapewniają rejestrację węzłów w organizacji, ale nie obsługują ruchu. Stąd węzły standby data center zawsze pozostają aktualne z najnowszą wersją oprogramowania HDS.


                                                                                                                                                   

                                                                                                                                                  Aktywne węzły hybrydowego zabezpieczenia danych muszą zawsze znajdować się w tym samym centrum danych, co aktywny serwer bazy danych.

                                                                                                                                                  Konfiguracja Standby Data Center do odzyskiwania awarii

                                                                                                                                                  Wykonaj poniższe czynności, aby skonfigurować plik ISO centrum danych w trybie gotowości:

                                                                                                                                                  Przed rozpoczęciem

                                                                                                                                                  • Centrum danych w stanie gotowości powinno odzwierciedlać środowisko produkcyjne maszyn wirtualnych oraz zapasową bazę danych PostgreSQL lub Microsoft SQL Server. Na przykład, jeśli produkcja ma 3 maszyny wirtualne z węzłami HDS, środowisko tworzenia kopii zapasowych powinno mieć 3 maszyny wirtualne (zobacz Standby Data Center for Disaster Recovery , aby zapoznać się z tym modelem failover).

                                                                                                                                                  • Upewnij się, że synchronizacja bazy danych jest włączona między bazą danych aktywnych i pasywnych węzłów klastra.

                                                                                                                                                  1

                                                                                                                                                  Uruchom narzędzie do konfiguracji HDS i wykonaj czynności opisane w dokumencie Create a Configuration ISO for the HDS Hosts.


                                                                                                                                                   

                                                                                                                                                  Plik ISO musi być kopią oryginalnego pliku ISO głównego centrum danych, na którym mają być dokonywane następujące aktualizacje konfiguracji.

                                                                                                                                                  2

                                                                                                                                                  Po skonfigurowaniu serwera Syslogd kliknij Ustawienia zaawansowane

                                                                                                                                                  3

                                                                                                                                                  Na stronie Ustawienia zaawansowane dodaj poniższą konfigurację, aby umieścić węzeł w trybie pasywnym. W tym trybie węzeł zostanie zarejestrowany w organizacji i połączony z chmurą, ale nie będzie obsługiwał żadnego ruchu.

                                                                                                                                                  
                                                                                                                                                  passiveMode: 'true'
                                                                                                                                                  
                                                                                                                                                  4

                                                                                                                                                  Zakończ proces konfiguracji i zapisz plik ISO w lokalizacji, która jest łatwa do znalezienia.

                                                                                                                                                  5

                                                                                                                                                  Wykonaj kopię zapasową pliku ISO w lokalnym systemie. Kopia zapasowa powinna być zabezpieczona. Ten plik zawiera główny klucz szyfrowania zawartości bazy danych. Ogranicz dostęp tylko do tych administratorów hybrydowych zabezpieczeń danych, którzy powinni wprowadzać zmiany w konfiguracji.

                                                                                                                                                  6

                                                                                                                                                  W lewym okienku nawigacyjnym klienta VMware vSphere kliknij prawym przyciskiem myszy maszynę wirtualną i kliknij opcję Edytuj ustawienia..

                                                                                                                                                  7

                                                                                                                                                  Kliknij opcję Edytuj ustawienia >Napęd CD/DVD 1 i wybierz Plik ISO Datastore.


                                                                                                                                                   

                                                                                                                                                  Upewnij się, że Connected and Connect at power on (Podłączono) są zaznaczone, aby zaktualizowane zmiany konfiguracji mogły wejść w życie po uruchomieniu węzłów.

                                                                                                                                                  8

                                                                                                                                                  Włącz węzeł HDS i upewnij się, że nie ma alarmów przez co najmniej 15 minut.

                                                                                                                                                  9

                                                                                                                                                  Powtórz proces dla każdego węzła w centrum danych standby.


                                                                                                                                                   

                                                                                                                                                  Sprawdź dzienniki syslog, aby sprawdzić, czy węzły są w trybie pasywnym. W dziennikach syslog należy mieć możliwość wyświetlania komunikatu „KMS skonfigurowany w trybie pasywnym”.

                                                                                                                                                  Co zrobić dalej

                                                                                                                                                  Po skonfigurowaniu passiveMode w pliku ISO i zapisanie go można utworzyć inną kopię pliku ISO bez passiveMode konfigurację i zapisanie w bezpiecznym miejscu. Ta kopia pliku ISO bez passiveMode skonfigurowany może pomóc w szybkim procesie awaryjnym podczas odzyskiwania po awarii. Aby zapoznać się ze szczegółową procedurą przywracania awaryjnego za pomocą Standby Data Center (Centrum danych gotowości).

                                                                                                                                                  Wsparcie proxy

                                                                                                                                                  Hybrydowe zabezpieczenia danych obsługują jednoznaczne, przejrzyste inspekcje i nieinspekcje serwerów proxy. Możesz powiązać te serwery proxy z wdrożeniem, aby można było zabezpieczyć i monitorować ruch z przedsiębiorstwa do chmury. Interfejsu administratora platformy można używać w węzłach do zarządzania certyfikatami i sprawdzania ogólnego stanu łączności po skonfigurowaniu serwera proxy w węzłach.

                                                                                                                                                  Węzły hybrydowego zabezpieczenia danych obsługują następujące opcje serwera proxy:

                                                                                                                                                  • Brak serwera proxy — ustawienie domyślne, jeśli w celu zintegrowania serwera proxy nie jest używane do konfiguracji węzła HDS Trust Store & Proxy. Nie jest wymagana aktualizacja certyfikatu.

                                                                                                                                                  • Przejrzysty serwer proxy niekontrolowany — węzły nie są skonfigurowane do używania określonego adresu serwera proxy i nie powinny wymagać żadnych zmian w pracy z serwerem proxy niekontrolowanym. Nie jest wymagana aktualizacja certyfikatu.

                                                                                                                                                  • Przejrzyste tunelowanie lub sprawdzanie serwera proxy — węzły nie są skonfigurowane do korzystania z określonego adresu serwera proxy. W węzłach nie są konieczne zmiany konfiguracji protokołu HTTP ani protokołu HTTPS. Węzły potrzebują jednak certyfikatu głównego, aby zaufać proxy. Informatycy zazwyczaj używają serwerów proxy do egzekwowania zasad, na których strony internetowe mogą być odwiedzane i które rodzaje treści są niedozwolone. Ten typ serwera proxy odszyfruje cały ruch (nawet HTTPS).

                                                                                                                                                  • Wyraźny serwer proxy — w przypadku wyraźnego serwera proxy należy wskazać węzły HDS, których serwer proxy i schemat uwierzytelniania należy używać. Aby skonfigurować wyraźny serwer proxy, należy wprowadzić następujące informacje w każdym węźle:

                                                                                                                                                    1. Proxy IP/FQDN — adres, którego można użyć do dotarcia do maszyny proxy.

                                                                                                                                                    2. Port serwera proxy— numer portu, którego serwer proxy używa do odsłuchiwania ruchu z serwerem proxy.

                                                                                                                                                    3. Protokół proxy— w zależności od tego, co obsługuje serwer proxy, wybierz między następującymi protokołami:

                                                                                                                                                      • HTTP — wyświetla i kontroluje wszystkie żądania wysyłane przez klienta.

                                                                                                                                                      • HTTPS — udostępnia kanał do serwera. Klient odbiera i weryfikuje certyfikat serwera.

                                                                                                                                                    4. Typ uwierzytelniania — wybierz spośród następujących typów uwierzytelniania:

                                                                                                                                                      • Brak — dalsze uwierzytelnianie nie jest wymagane.

                                                                                                                                                        Dostępne, jeśli jako protokół proxy zostanie wybrany protokół HTTP lub HTTPS.

                                                                                                                                                      • Basic — używane przez agenta użytkownika HTTP do podawania nazwy użytkownika i hasła podczas składania żądania. Korzysta z kodowania Base64.

                                                                                                                                                        Dostępne, jeśli jako protokół proxy zostanie wybrany protokół HTTP lub HTTPS.

                                                                                                                                                        Wymaga wprowadzenia nazwy użytkownika i hasła w każdym węźle.

                                                                                                                                                      • Digest — służy do potwierdzenia konta przed wysłaniem poufnych informacji. Przed wysłaniem za pośrednictwem sieci należy zastosować funkcję skrótu w nazwie użytkownika i hasłem.

                                                                                                                                                        Dostępne tylko po wybraniu protokołu HTTPS jako protokołu proxy.

                                                                                                                                                        Wymaga wprowadzenia nazwy użytkownika i hasła w każdym węźle.

                                                                                                                                                  Przykład węzłów hybrydowych zabezpieczeń danych i serwera proxy

                                                                                                                                                  Na tym wykresie przedstawiono przykładowe połączenie między hybrydowym zabezpieczeniem danych, siecią i serwerem proxy. W przypadku opcji przejrzystej inspekcji i jawnej inspekcji serwera proxy HTTPS ten sam certyfikat główny musi być zainstalowany na serwerze proxy i w węzłach hybrydowych zabezpieczeń danych.

                                                                                                                                                  Zablokowany zewnętrzny tryb rozpoznawania DNS (wyraźne konfiguracje serwera proxy)

                                                                                                                                                  Po zarejestrowaniu węzła lub sprawdzeniu konfiguracji serwera proxy węzła proces testuje wyszukiwanie DNS i łączność z chmurą Cisco Webex. W przypadku wdrożeń z wyraźnymi konfiguracjami serwera proxy, które nie zezwalają na zewnętrzną rozdzielczość DNS dla klientów wewnętrznych, jeśli węzeł nie może wyszukiwać serwerów DNS, automatycznie przechodzi on w tryb Zablokowanej zewnętrznej rozdzielczości DNS. W tym trybie można kontynuować rejestrację węzła i inne testy łączności serwera proxy.

                                                                                                                                                  Przygotuj swoje środowisko

                                                                                                                                                  Wymagania dotyczące hybrydowego bezpieczeństwa danych

                                                                                                                                                  Wymagania licencyjne Cisco Webex

                                                                                                                                                  Aby wdrożyć hybrydowe zabezpieczenia danych:

                                                                                                                                                  Docker Wymagania pulpitowe

                                                                                                                                                  Przed zainstalowaniem węzłów HDS potrzebny jest Docker Desktop do uruchomienia programu konfiguracji. Docker niedawno zaktualizował swój model licencjonowania. Twoja organizacja może wymagać płatnej subskrypcji platformy Docker Desktop. Aby uzyskać szczegółowe informacje, zobacz wpis w blogu platformy Docker, „ Docker aktualizuje i rozszerza subskrypcje naszych produktów ”.

                                                                                                                                                  Wymagania dotyczące certyfikatu X.509

                                                                                                                                                  Łańcuch certyfikatów musi spełniać następujące wymagania:

                                                                                                                                                  Tabela 1. X.509 Wymagania dotyczące certyfikatów dla wdrażania hybrydowego zabezpieczenia danych

                                                                                                                                                  Wymaganie

                                                                                                                                                  Szczegóły

                                                                                                                                                  • Podpisany przez zaufany urząd certyfikacji (CA)

                                                                                                                                                  Domyślnie ufamy urzędnikom na liście Mozilla (z wyjątkiem WoSign i StartCom) pod adresem https://wiki.mozilla.org/CA:IncludedCAs.

                                                                                                                                                  • Nazwa domeny wspólnej nazwy (CN) identyfikująca wdrożenie hybrydowego zabezpieczenia danych

                                                                                                                                                  • Nie jest certyfikatem wieloznacznych kart

                                                                                                                                                  CN nie musi być osiągalne ani hostem na żywo. Zalecamy używanie nazwy odzwierciedlającej np. organizację, hds.company.com.

                                                                                                                                                  CN nie może zawierać * (wildcard).

                                                                                                                                                  CN służy do weryfikacji węzłów hybrydowych zabezpieczeń danych dla klientów aplikacji Webex. Wszystkie węzły hybrydowego zabezpieczenia danych w klastrze używają tego samego certyfikatu. System KMS identyfikuje się za pomocą domeny CN, a nie żadnej domeny zdefiniowanej w polach SAN x.509v3.

                                                                                                                                                  Po zarejestrowaniu węzła z tym certyfikatem nie obsługujemy zmiany nazwy domeny CN. Wybierz domenę, która może mieć zastosowanie zarówno do wdrożeń próbnych, jak i produkcyjnych.

                                                                                                                                                  • Podpis inny niż SHA1

                                                                                                                                                  Oprogramowanie KMS nie obsługuje podpisów SHA1 w celu weryfikacji połączeń z KMSs innych organizacji.

                                                                                                                                                  • Formatowany jako plik PKCS #12 chroniony hasłem

                                                                                                                                                  • Użyj przyjaznej nazwy kms-private-key aby oznaczyć certyfikat, klucz prywatny i wszelkie certyfikaty pośrednie do przesłania.

                                                                                                                                                  Możesz użyć konwertera, takiego jak OpenSSL, aby zmienić format certyfikatu.

                                                                                                                                                  Po uruchomieniu narzędzia konfiguracji usługi HDS należy wprowadzić hasło.

                                                                                                                                                  Oprogramowanie KMS nie wymusza użycia klucza ani nie nakłada dodatkowych ograniczeń w jego używaniu. Niektóre organy certyfikatów wymagają, aby do każdego certyfikatu stosowano rozszerzone ograniczenia użycia kluczy, takie jak uwierzytelnianie serwera. Można używać uwierzytelniania serwera lub innych ustawień.

                                                                                                                                                  Wymagania dotyczące wirtualnego prowadzącego

                                                                                                                                                  Wirtualne hosty skonfigurowane jako węzły hybrydowego zabezpieczenia danych w klastrze mają następujące wymagania:

                                                                                                                                                  • Co najmniej dwa osobne hosty (zalecane 3) zestawione w tym samym bezpiecznym centrum danych

                                                                                                                                                  • Oprogramowanie VMware ESXi 6.5 (lub nowsze) zostało zainstalowane i uruchomione.


                                                                                                                                                     

                                                                                                                                                    Jeśli masz wcześniejszą wersję ESXi, musisz ją uaktualnić.

                                                                                                                                                  • Minimum 4 procesory vCPUs, 8-GB pamięci głównej, 30-GB lokalnego miejsca na dysk twardy na serwer

                                                                                                                                                  Wymagania serwera bazy danych


                                                                                                                                                   

                                                                                                                                                  Utwórz nową bazę danych do przechowywania kluczy. Nie używaj domyślnej bazy danych. Aplikacje HDS po zainstalowaniu tworzą schemat bazy danych.

                                                                                                                                                  Istnieją dwie opcje dla serwera bazy danych. Wymagania dla każdego z nich są następujące:

                                                                                                                                                  Tabela 2. Wymagania serwera bazy danych według typu bazy danych

                                                                                                                                                  PostgreSQL

                                                                                                                                                  Microsoft SQL Server

                                                                                                                                                  • PostgreSQL 14, 15 lub 16, zainstalowany i uruchomiony.

                                                                                                                                                  • Zainstalowano program SQL Server 2016, 2017 lub 2019 (Enterprise lub Standard).


                                                                                                                                                     

                                                                                                                                                    SQL Server 2016 wymaga pakietu usług 2 i zbiorczej aktualizacji 2 lub nowszej.

                                                                                                                                                  Minimum 8 procesorów vCPU, 16-GB pamięci głównej, wystarczająca ilość miejsca na dysku twardym i monitorowanie, aby upewnić się, że nie zostanie przekroczona (zalecane 2-TB, jeśli chcesz uruchomić bazę danych przez długi czas bez konieczności zwiększania pamięci)

                                                                                                                                                  Minimum 8 procesorów vCPU, 16-GB pamięci głównej, wystarczająca ilość miejsca na dysku twardym i monitorowanie, aby upewnić się, że nie zostanie przekroczona (zalecane 2-TB, jeśli chcesz uruchomić bazę danych przez długi czas bez konieczności zwiększania pamięci)

                                                                                                                                                  Oprogramowanie HDS instaluje obecnie następujące wersje sterowników do komunikacji z serwerem bazy danych:

                                                                                                                                                  PostgreSQL

                                                                                                                                                  Microsoft SQL Server

                                                                                                                                                  Postgres JDBC kierowca 42.2.5

                                                                                                                                                  SQL Server JDBC sterownik 4.6

                                                                                                                                                  Ta wersja sterownika obsługuje program SQL Server Always On (Always On Failover Cluster Instances oraz Always On availability groups).

                                                                                                                                                  Dodatkowe wymagania dotyczące uwierzytelniania systemu Windows w usłudze Microsoft SQL Server

                                                                                                                                                  Jeśli chcesz, aby węzły HDS używały uwierzytelniania w systemie Windows, aby uzyskać dostęp do bazy danych keystore na serwerze Microsoft SQL Server, potrzebujesz następującej konfiguracji w swoim środowisku:

                                                                                                                                                  • Węzły HDS, infrastruktura Active Directory i MS SQL Server muszą być synchronizowane z NTP.

                                                                                                                                                  • Konto systemu Windows dla węzłów HDS musi mieć dostęp do bazy danych do odczytu/zapisu.

                                                                                                                                                  • Serwery DNS dostarczane do węzłów HDS muszą być w stanie rozwiązać klucz centrum dystrybucji (KDC).

                                                                                                                                                  • Wystąpienie bazy danych HDS można zarejestrować na serwerze Microsoft SQL Server jako główną nazwę usługi (SPN) w usłudze Active Directory. Zobacz Rejestrowanie głównej nazwy usługi dla połączeń Kerberos.

                                                                                                                                                    Narzędzie do konfigurowania HDS, uruchamianie HDS i lokalne KMS muszą używać uwierzytelniania systemu Windows, aby uzyskać dostęp do bazy danych keystore. Używają szczegółów z konfiguracji ISO do budowy SPN podczas żądania dostępu za pomocą uwierzytelniania Kerberos.

                                                                                                                                                  Wymagania dotyczące połączeń zewnętrznych

                                                                                                                                                  Skonfiguruj zaporę, aby zezwolić na następującą łączność dla aplikacji HDS:

                                                                                                                                                  Aplikacja

                                                                                                                                                  Protokół

                                                                                                                                                  Port

                                                                                                                                                  Polecenie z aplikacji

                                                                                                                                                  Miejsce docelowe

                                                                                                                                                  Węzły hybrydowego zabezpieczenia danych

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  Zewnętrzne HTTPS i WSS

                                                                                                                                                  • Serwery Webex:

                                                                                                                                                    • *.wbx2.com

                                                                                                                                                    • *.ciscospark.com

                                                                                                                                                  • Wszystkie hosty Common Identity

                                                                                                                                                  • Inne adresy URL wymienione dla hybrydowych zabezpieczeń danych w tabeli Dodatkowe adresy URL dla usług hybrydowych Webex zawierającej wymagania sieciowe dla usług Webex

                                                                                                                                                  Narzędzie do konfigurowania HDS

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  Zewnętrzny protokół HTTPS

                                                                                                                                                  • *.wbx2.com

                                                                                                                                                  • Wszystkie hosty Common Identity

                                                                                                                                                  • hub.docker.com


                                                                                                                                                   

                                                                                                                                                  Węzły hybrydowego zabezpieczenia danych współpracują z tłumaczeniem dostępu do sieci (NAT) lub za zaporą, o ile NAT lub zapora zezwala na wymagane połączenia wychodzące z adresami domen w poprzedniej tabeli. W przypadku połączeń przychodzących do węzłów hybrydowego zabezpieczenia danych żadne porty nie powinny być widoczne z Internetu. W centrum danych klienci potrzebują dostępu do węzłów hybrydowych zabezpieczeń danych w portach TCP 443 i 22 do celów administracyjnych.

                                                                                                                                                  Adresy URL hostów Common Identity (CI) są specyficzne dla regionu. Są to bieżące hosty CI:

                                                                                                                                                  Region

                                                                                                                                                  Wspólne adresy URL prowadzącego tożsamości

                                                                                                                                                  Ameryka

                                                                                                                                                  • https://idbroker.webex.com

                                                                                                                                                  • https://identity.webex.com

                                                                                                                                                  • https://idbroker-b-us.webex.com

                                                                                                                                                  • https://identity-b-us.webex.com

                                                                                                                                                  Unia Europejska

                                                                                                                                                  • https://idbroker-eu.webex.com

                                                                                                                                                  • https://identity-eu.webex.com

                                                                                                                                                  Kanada

                                                                                                                                                  • https://idbroker-ca.webex.com

                                                                                                                                                  • https://identity-ca.webex.com

                                                                                                                                                  Wymagania serwera proxy

                                                                                                                                                  • Oficjalnie obsługujemy następujące rozwiązania proxy, które mogą integrować się z węzłami hybrydowego zabezpieczenia danych.

                                                                                                                                                    • Przejrzysty serwer proxy — Cisco Web Security Appliance (WSA).

                                                                                                                                                    • Wyraźny serwer proxy — Squid.


                                                                                                                                                       

                                                                                                                                                      Proxies Squid, które sprawdzają ruch HTTPS może kolidować z ustanowieniem websocket (wss:) połączeń. Aby rozwiązać ten problem, zobacz Configure Squid Proxies for Hybrid Data Security.

                                                                                                                                                  • Obsługujemy następujące kombinacje typów uwierzytelniania dla serwerów proxy:

                                                                                                                                                    • Brak uwierzytelniania przy użyciu protokołu HTTP lub HTTPS

                                                                                                                                                    • Uwierzytelnianie podstawowe przy użyciu protokołu HTTP lub HTTPS

                                                                                                                                                    • Uwierzytelnianie przy użyciu protokołu HTTPS

                                                                                                                                                  • W przypadku przejrzystego serwera proxy inspekcji lub bezpośredniego serwera proxy HTTPS należy posiadać kopię certyfikatu głównego serwera proxy. Instrukcje wdrażania zawarte w tym przewodniku informują o sposobie przesłania kopii do sklepów zaufania węzłów hybrydowych zabezpieczeń danych.

                                                                                                                                                  • Sieć hostująca węzły HDS musi być skonfigurowana tak, aby wymuszać wychodzący ruch TCP na porcie 443 na trasę przez serwer proxy.

                                                                                                                                                  • Serwery proxy, które kontrolują ruch sieciowy, mogą zakłócać połączenia z gniazdem internetowym. Jeśli wystąpi ten problem, omijając (nie kontrolując) ruch do wbx2.com i ciscospark.com rozwiąże problem.

                                                                                                                                                  Wypełnij wymagania wstępne dla hybrydowego zabezpieczenia danych

                                                                                                                                                  Użyj tej listy kontrolnej, aby upewnić się, że jesteś gotowy do zainstalowania i skonfigurowania klastra hybrydowego bezpieczeństwa danych.
                                                                                                                                                  1

                                                                                                                                                  Upewnij się, że Twoja organizacja Webex jest włączona dla pakietu Pro Pack dla Cisco Webex Control Hub i uzyskaj poświadczenia konta z pełnymi prawami administratora organizacji. Aby uzyskać pomoc w tym procesie, skontaktuj się z partnerem firmy Cisco lub menedżerem konta.

                                                                                                                                                  2

                                                                                                                                                  Wybierz nazwę domeny dla wdrożenia HDS (na przykład hds.company.com) i uzyskać łańcuch certyfikatów zawierający certyfikat X.509, klucz prywatny i wszelkie certyfikaty pośrednie. Łańcuch certyfikatów musi spełniać wymagania określone w X.509 Certificate Requirements.

                                                                                                                                                  3

                                                                                                                                                  Przygotuj identyczne wirtualne hosty, które skonfigurujesz jako węzły hybrydowego zabezpieczenia danych w klastrze. Potrzebne są co najmniej dwa oddzielne hosty (zalecane 3) zestawione w tym samym bezpiecznym centrum danych, które spełniają wymagania w Wymagania wirtualnego hosta.

                                                                                                                                                  4

                                                                                                                                                  Przygotuj serwer bazy danych, który będzie działał jako kluczowy magazyn danych dla klastra, zgodnie z wymaganiami serwera bazy danych. Serwer bazy danych musi być zestawiony w bezpiecznym centrum danych z wirtualnymi hostami.

                                                                                                                                                  1. Utwórz bazę danych do przechowywania kluczy. (Musisz utworzyć tę bazę danych — nie używaj domyślnej bazy danych. Aplikacje HDS, po zainstalowaniu, tworzą schemat bazy danych.)

                                                                                                                                                  2. Zbierz szczegóły używane przez węzły do komunikacji z serwerem bazy danych:

                                                                                                                                                    • nazwę prowadzącego lub adres IP (prowadzącego) i port

                                                                                                                                                    • nazwa bazy danych (dbname) do przechowywania kluczy

                                                                                                                                                    • nazwę użytkownika i hasło użytkownika ze wszystkimi uprawnieniami w bazie danych magazynu kluczy

                                                                                                                                                  5

                                                                                                                                                  W celu szybkiego odzyskiwania danych po awarii należy skonfigurować środowisko tworzenia kopii zapasowych w innym centrum danych. Środowisko tworzenia kopii zapasowych odzwierciedla środowisko produkcyjne maszyn wirtualnych i zapasowego serwera bazy danych. Na przykład, jeśli produkcja ma 3 maszyny wirtualne z węzłami HDS, środowisko tworzenia kopii zapasowych powinno mieć 3 maszyny wirtualne.

                                                                                                                                                  6

                                                                                                                                                  Skonfiguruj hosta dziennika systemowego, aby zbierał dzienniki z węzłów w klastrze. Zbierz adres sieciowy i port dziennika systemowego (domyślnie jest to UDP 514).

                                                                                                                                                  7

                                                                                                                                                  Utwórz bezpieczne zasady tworzenia kopii zapasowych węzłów hybrydowych zabezpieczeń danych, serwera bazy danych i hosta dziennika systemowego. Aby zapobiec niemożliwej do odzyskania utracie danych, należy wykonać kopię zapasową bazy danych i pliku ISO konfiguracji wygenerowanego dla węzłów hybrydowych zabezpieczeń danych.


                                                                                                                                                   

                                                                                                                                                  Ponieważ węzły hybrydowego zabezpieczenia danych przechowują klucze używane do szyfrowania i odszyfrowywania treści, brak utrzymania operacyjnego wdrożenia spowoduje NIEZBĘDNĄ STRATĘ tej zawartości.

                                                                                                                                                  Klienci aplikacji Webex przechowują klucze w pamięci podręcznej, więc awaria może nie być natychmiast zauważalna, ale z czasem stanie się widoczna. Chociaż tymczasowe przerwy są niemożliwe do zapobieżenia, są one do odzyskania. Jednak całkowita utrata (brak kopii zapasowych) bazy danych lub pliku konfiguracyjnego ISO spowoduje niemożliwy do odzyskania dane klienta. Oczekuje się, że operatorzy węzłów hybrydowego bezpieczeństwa danych będą utrzymywać częste kopie zapasowe bazy danych i pliku ISO konfiguracji oraz będą przygotowani do odbudowy centrum danych hybrydowego bezpieczeństwa danych w przypadku wystąpienia katastrofalnej awarii.

                                                                                                                                                  8

                                                                                                                                                  Upewnij się, że konfiguracja zapory umożliwia dostęp do łączności w węzłach hybrydowych zabezpieczeń danych, jak opisano w Zewnętrznych wymogach dotyczących łączności.

                                                                                                                                                  9

                                                                                                                                                  Zainstaluj Docker ( https://www.docker.com) na każdej maszynie lokalnej z obsługiwanym systemem operacyjnym (Microsoft Windows 10 Professional lub Enterprise 64-bit lub Mac OSX Yosemite 10.10.3 lub nowszym) z przeglądarką internetową, która może uzyskać do niej dostęp pod adresem http://127.0.0.1:8080.

                                                                                                                                                  Za pomocą wystąpienia Docker można pobrać i uruchomić narzędzie konfiguracji HDS, które tworzy lokalne informacje konfiguracyjne dla wszystkich węzłów hybrydowych zabezpieczeń danych. Twoja organizacja może potrzebować licencji Docker Desktop. Aby uzyskać więcej informacji, zobacz Wymagania Dotyczące Pulpitu Dockera.

                                                                                                                                                  Aby zainstalować i uruchomić narzędzie do konfiguracji HDS, lokalna maszyna musi mieć łączność opisaną w Zewnętrznych wymaganiach dotyczących łączności.

                                                                                                                                                  10

                                                                                                                                                  Jeśli integrujesz serwer proxy z hybrydowymi zabezpieczeniami danych, upewnij się, że spełnia on wymagania serwera proxy.

                                                                                                                                                  11

                                                                                                                                                  Jeśli Twoja organizacja używa synchronizacji katalogu, utwórz grupę w usłudze Active Directory o nazwie HdsTrialGroup, i dodać użytkowników pilotażowych. Grupa próbna może mieć do 250 użytkowników. Plik HdsTrialGroup obiekt musi być zsynchronizowany z chmurą przed rozpoczęciem próby dla organizacji. Aby zsynchronizować obiekt grupowy, wybierz go w łączniku usług katalogowych Konfiguracja > Menu Wybór obiektu. (Szczegółowe instrukcje można znaleźć w Podręczniku wdrażania Cisco Directory Connector.)


                                                                                                                                                   

                                                                                                                                                  Klucze dla danego obszaru są ustawiane przez twórcę tego obszaru. Wybierając użytkowników pilotażowych, należy pamiętać, że jeśli zdecydujesz się na trwałą dezaktywację wdrożenia hybrydowego zabezpieczenia danych, wszyscy użytkownicy utracą dostęp do treści w obszarach utworzonych przez użytkowników pilotażowych. Strata staje się widoczna, gdy aplikacje użytkowników odświeżą swoje kopie w pamięci podręcznej treści.

                                                                                                                                                  Konfigurowanie hybrydowego klastra bezpieczeństwa danych

                                                                                                                                                  Przepływ zadań związanych z wdrażaniem zabezpieczeń danych hybrydowych

                                                                                                                                                  Przed rozpoczęciem

                                                                                                                                                  Przygotuj swoje środowisko

                                                                                                                                                  1

                                                                                                                                                  Pobierz pliki instalacyjne

                                                                                                                                                  Pobierz plik OVA do lokalnego komputera, aby później go użyć.

                                                                                                                                                  2

                                                                                                                                                  Tworzenie ISO konfiguracji dla prowadzących HDS

                                                                                                                                                  Za pomocą narzędzia konfiguracyjnego HDS można utworzyć plik konfiguracyjny ISO dla węzłów hybrydowych zabezpieczeń danych.

                                                                                                                                                  3

                                                                                                                                                  Instalowanie OVA hosta HDS

                                                                                                                                                  Utwórz maszynę wirtualną z pliku OVA i wykonaj konfigurację początkową, taką jak ustawienia sieciowe.


                                                                                                                                                   

                                                                                                                                                  Opcja konfigurowania ustawień sieciowych podczas wdrażania OVA została przetestowana z ESXi 6.5. Opcja może nie być dostępna we wcześniejszych wersjach.

                                                                                                                                                  4

                                                                                                                                                  Skonfiguruj hybrydową maszynę wirtualną ds. bezpieczeństwa danych

                                                                                                                                                  Zaloguj się na konsoli VM i ustaw poświadczenia logowania. Skonfiguruj ustawienia sieciowe węzła, jeśli nie zostały skonfigurowane w czasie wdrażania OVA.

                                                                                                                                                  5

                                                                                                                                                  Prześlij i zamontuj ISO konfiguracji HDS

                                                                                                                                                  Skonfiguruj VM z pliku konfiguracyjnego ISO utworzonego za pomocą narzędzia do konfiguracji HDS.

                                                                                                                                                  6

                                                                                                                                                  Konfigurowanie węzła HDS dla integracji serwera proxy

                                                                                                                                                  Jeśli środowisko sieciowe wymaga konfiguracji serwera proxy, określ typ serwera proxy, którego użyjesz dla węzła, i w razie potrzeby dodaj certyfikat serwera proxy do sklepu zaufania.

                                                                                                                                                  7

                                                                                                                                                  Zarejestruj pierwszy węzeł w klastrze

                                                                                                                                                  Zarejestruj maszynę wirtualną za pomocą chmury Cisco Webex jako węzeł hybrydowego zabezpieczenia danych.

                                                                                                                                                  8

                                                                                                                                                  Tworzenie i rejestrowanie większej liczby węzłów

                                                                                                                                                  Zakończ konfigurację klastra.

                                                                                                                                                  9

                                                                                                                                                  Przeprowadzanie wersji próbnej i przejście do produkcji (następny rozdział)

                                                                                                                                                  Do momentu rozpoczęcia próby węzły wygenerują alarm wskazujący, że usługa nie została jeszcze aktywowana.

                                                                                                                                                  Pobierz pliki instalacyjne

                                                                                                                                                  W tym zadaniu pobierz plik OVA do swojego komputera (nie do serwerów skonfigurowanych jako węzły hybrydowego zabezpieczenia danych). Ten plik jest używany później w procesie instalacji.
                                                                                                                                                  1

                                                                                                                                                  Zaloguj się do https://admin.webex.com, a następnie kliknij opcję Usługi.

                                                                                                                                                  2

                                                                                                                                                  W sekcji Usługi hybrydowe znajdź kartę zabezpieczenia danych hybrydowych, a następnie kliknij przycisk Skonfiguruj.

                                                                                                                                                  Jeśli karta jest wyłączona lub jej nie widzisz, skontaktuj się z zespołem ds. kont lub organizacją partnerską. Podaj im numer konta i poproś o włączenie organizacji Hybrid Data Security. Aby znaleźć numer konta, kliknij bieg w prawym górnym rogu obok nazwy organizacji.


                                                                                                                                                   

                                                                                                                                                  OVA można również pobrać w dowolnym momencie z sekcji Pomoc na stronie Ustawienia . Na karcie Hybrid Data Security kliknij opcję Edytuj ustawienia, aby otworzyć stronę. Następnie kliknij opcję Pobierz oprogramowanie hybrydowego zabezpieczenia danych w sekcji Pomoc .


                                                                                                                                                   

                                                                                                                                                  Starsze wersje pakietu oprogramowania (OVA) nie będą kompatybilne z najnowszymi aktualizacjami Hybrid Data Security. Może to spowodować problemy podczas uaktualniania aplikacji. Upewnij się, że pobierz najnowszą wersję pliku OVA.

                                                                                                                                                  3

                                                                                                                                                  Wybierz Nie , aby wskazać, że węzeł nie został jeszcze skonfigurowany, a następnie kliknij przycisk Dalej.

                                                                                                                                                  Plik OVA automatycznie zaczyna się pobierać. Zapisz plik w lokalizacji na komputerze.
                                                                                                                                                  4

                                                                                                                                                  Opcjonalnie kliknij Open Deployment Guide (Otwórz przewodnik wdrażania), aby sprawdzić, czy dostępna jest późniejsza wersja tego przewodnika.

                                                                                                                                                  Tworzenie ISO konfiguracji dla prowadzących HDS

                                                                                                                                                  Proces konfiguracji hybrydowego zabezpieczenia danych tworzy plik ISO. Następnie należy użyć ISO do skonfigurowania hosta hybrydowego bezpieczeństwa danych.

                                                                                                                                                  Przed rozpoczęciem

                                                                                                                                                  • Narzędzie instalacji HDS działa jako kontener platformy Docker na komputerze lokalnym. Aby uzyskać do niego dostęp, uruchom platformę Docker na tym komputerze. Proces konfiguracji wymaga poświadczeń konta Control Hub z pełnymi uprawnieniami administratora dla Twojej organizacji.

                                                                                                                                                    Jeśli narzędzie HDS Setup działa za serwerem proxy w Twoim środowisku, podaj ustawienia serwera proxy (serwer, port, poświadczenia) za pomocą zmiennych środowiska Docker podczas podnoszenia kontenera Docker w kroku 5. W tej tabeli podano kilka możliwych zmiennych środowiskowych:

                                                                                                                                                    Opis

                                                                                                                                                    Zmienna

                                                                                                                                                    Serwer proxy HTTP bez uwierzytelniania

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    Serwer proxy HTTPS bez uwierzytelniania

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    Serwer proxy HTTP z uwierzytelnianiem

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                    Serwer proxy HTTPS z uwierzytelnianiem

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                  • Wygenerowany plik ISO konfiguracji zawiera klucz główny szyfrujący bazę danych PostgreSQL lub Microsoft SQL Server. Potrzebna jest najnowsza kopia tego pliku, gdy wprowadzasz zmiany w konfiguracji, takie jak:

                                                                                                                                                    • Poświadczenia bazy danych

                                                                                                                                                    • Aktualizacje certyfikatów

                                                                                                                                                    • Zmiany w zasadach autoryzacji

                                                                                                                                                  • Jeśli planujesz szyfrowanie połączeń z bazą danych, skonfiguruj wdrożenie programu PostgreSQL lub SQL Server dla TLS.

                                                                                                                                                  1

                                                                                                                                                  W wierszu poleceń komputera wprowadź polecenie odpowiednie dla swojego środowiska:

                                                                                                                                                  W zwykłych środowiskach:

                                                                                                                                                  docker rmi ciscocitg/hds-setup:stable

                                                                                                                                                  W środowiskach FedRAMP:

                                                                                                                                                  docker rmi ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                   

                                                                                                                                                  Ten krok czyści poprzednie obrazy narzędzia konfiguracji HDS. Jeśli nie ma poprzednich obrazów, zwraca błąd, który można zignorować.

                                                                                                                                                  2

                                                                                                                                                  Aby zalogować się do rejestru obrazów platformy Docker, wprowadź następujące informacje:

                                                                                                                                                  docker login -u hdscustomersro
                                                                                                                                                  3

                                                                                                                                                  Po wyświetleniu monitu o hasło wprowadź ten skrót:

                                                                                                                                                  dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
                                                                                                                                                  4

                                                                                                                                                  Pobierz najnowszy stabilny obraz dla swojego środowiska:

                                                                                                                                                  W zwykłych środowiskach:

                                                                                                                                                  docker pull ciscocitg/hds-setup:stable

                                                                                                                                                  W środowiskach FedRAMP:

                                                                                                                                                  docker pull ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  5

                                                                                                                                                  Po zakończeniu ściągania wprowadź polecenie odpowiednie dla środowiska:

                                                                                                                                                  • W zwykłych środowiskach bez serwera proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
                                                                                                                                                  • W zwykłych środowiskach z serwerem proxy HTTP:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • W zwykłych środowiskach z serwerem proxy HTTPS:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • W środowiskach FedRAMP bez serwera proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • W środowiskach FedRAMP z serwerem proxy HTTP:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • W środowiskach FedRAMP z serwerem proxy HTTPS:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                  Gdy kontener jest uruchomiony, zostanie wyświetlony komunikat „Serwer ekspresowy nasłuchuje na porcie 8080”.

                                                                                                                                                  6

                                                                                                                                                   

                                                                                                                                                  Narzędzie Konfiguracja nie obsługuje łączenia się z localhost za pośrednictwem http://localhost:8080. Użyj http://127.0.0.1:8080, aby połączyć się z hostem lokalizacji.

                                                                                                                                                  Użyj przeglądarki internetowej, aby przejść do hosta lokalizacji, http://127.0.0.1:8080, i wprowadź nazwę użytkownika administratora klienta dla Control Hub po wyświetleniu monitu.

                                                                                                                                                  Narzędzie używa tego pierwszego wpisu nazwy użytkownika, aby ustawić odpowiednie środowisko dla tego konta. Następnie narzędzie wyświetla standardowy monit o zalogowanie.

                                                                                                                                                  7

                                                                                                                                                  Po wyświetleniu monitu wprowadź poświadczenia logowania administratora klienta Control Hub, a następnie kliknij przycisk Zaloguj się , aby zezwolić na dostęp do wymaganych usług Hybrid Data Security.

                                                                                                                                                  8

                                                                                                                                                  Na stronie Przegląd narzędzia konfiguracyjnego kliknij Rozpocznij.

                                                                                                                                                  9

                                                                                                                                                  Na stronie ISO Import dostępne są następujące opcje:

                                                                                                                                                  • Nie— jeśli tworzysz swój pierwszy węzeł HDS, nie masz pliku ISO do przesłania.
                                                                                                                                                  • Tak— jeśli utworzono już węzły HDS, należy wybrać plik ISO podczas przeglądania i przesyłania go.
                                                                                                                                                  10

                                                                                                                                                  Sprawdź, czy certyfikat X.509 spełnia wymagania określone w wymaganiach certyfikatów X.509.

                                                                                                                                                  • Jeśli nigdy wcześniej nie przesłałeś certyfikatu, prześlij certyfikat X.509, wprowadź hasło i kliknij przycisk Kontynuuj.
                                                                                                                                                  • Jeśli certyfikat jest prawidłowy, kliknij przycisk Kontynuuj.
                                                                                                                                                  • Jeśli certyfikat wygasł lub chcesz go zastąpić, wybierz opcję Nie , aby Kontynuować korzystanie z łańcucha certyfikatów HDS i klucza prywatnego z poprzedniego ISO?. Prześlij nowy certyfikat X.509, wprowadź hasło i kliknij przycisk Kontynuuj.
                                                                                                                                                  11

                                                                                                                                                  Wprowadź adres bazy danych i konto HDS, aby uzyskać dostęp do klucza danych:

                                                                                                                                                  1. Wybierz typ bazy danych (PostgreSQL lub Microsoft SQL Server).

                                                                                                                                                    Jeśli wybierzesz program Microsoft SQL Server, otrzymasz pole Typ uwierzytelniania.

                                                                                                                                                  2. (tylko Microsoft SQL Server) Wybierz Typ uwierzytelniania:

                                                                                                                                                    • Uwierzytelnianie podstawowe: W polu Nazwa użytkownika potrzebna jest lokalna nazwa konta SQL Server.

                                                                                                                                                    • Uwierzytelnianie systemu Windows: Potrzebujesz konta Windows w formacie username@DOMAIN w polu Nazwa użytkownika.

                                                                                                                                                  3. Wprowadź adres serwera bazy danych w formularzu <hostname>:<port> lub <IP-address>:<port>.

                                                                                                                                                    Przykład:
                                                                                                                                                    dbhost.example.org:1433 lub 198.51.100.17:1433

                                                                                                                                                    Do podstawowego uwierzytelniania można użyć adresu IP, jeśli węzły nie mogą używać DNS do rozpoznawania nazwy hosta.

                                                                                                                                                    Jeśli używasz uwierzytelniania systemu Windows, musisz wprowadzić w pełni kwalifikowaną nazwę domeny w formacie dbhost.example.org:1433

                                                                                                                                                  4. Wprowadź nazwę bazy danych.

                                                                                                                                                  5. Wprowadź nazwę użytkownika i hasło użytkownika ze wszystkimi uprawnieniami w bazie danych magazynu kluczy.

                                                                                                                                                  12

                                                                                                                                                  Wybierz tryb połączenia z bazą danych TLS:

                                                                                                                                                  Tryb

                                                                                                                                                  Opis

                                                                                                                                                  Preferuj TLS (opcja domyślna)

                                                                                                                                                  Węzły HDS nie wymagają TLS do łączenia się z serwerem bazy danych. Jeśli włączysz protokół TLS na serwerze bazy danych, węzły spróbują zaszyfrowanego połączenia.

                                                                                                                                                  Wymagaj TLS

                                                                                                                                                  Węzły HDS łączą się tylko wtedy, gdy serwer bazy danych może negocjować TLS.

                                                                                                                                                  Wymagaj TLS i zweryfikuj osobę podpisującą certyfikat


                                                                                                                                                   

                                                                                                                                                  Ten tryb nie ma zastosowania do baz danych SQL Server.

                                                                                                                                                  • Węzły HDS łączą się tylko wtedy, gdy serwer bazy danych może negocjować TLS.

                                                                                                                                                  • Po nawiązaniu połączenia TLS węzeł porównuje sygnera certyfikatu z serwera bazy danych z organem certyfikatu w certyfikacie głównym bazy danych. Jeśli nie są zgodne, węzeł przerywa połączenie.

                                                                                                                                                  Użyj przycisku Certyfikat główny bazy danych poniżej listy rozwijanej, aby przesłać certyfikat główny dla tej opcji.

                                                                                                                                                  Wymagaj TLS oraz zweryfikuj osobę podpisującą certyfikat i nazwę hosta

                                                                                                                                                  • Węzły HDS łączą się tylko wtedy, gdy serwer bazy danych może negocjować TLS.

                                                                                                                                                  • Po nawiązaniu połączenia TLS węzeł porównuje sygnera certyfikatu z serwera bazy danych z organem certyfikatu w certyfikacie głównym bazy danych. Jeśli nie są zgodne, węzeł przerywa połączenie.

                                                                                                                                                  • Węzły sprawdzają również, czy nazwa hosta w certyfikacie serwera jest zgodna z nazwą hosta w polu Baza danych i port . Nazwy muszą być dokładnie takie same, w przeciwnym razie węzeł zerwie połączenie.

                                                                                                                                                  Użyj przycisku Certyfikat główny bazy danych poniżej listy rozwijanej, aby przesłać certyfikat główny dla tej opcji.

                                                                                                                                                  Po przesłaniu certyfikatu głównego (jeśli jest to konieczne) i kliknięciu przycisku Kontynuuj, narzędzie konfiguracji HDS testuje połączenie TLS z serwerem bazy danych. Narzędzie sprawdza również osobę podpisującą certyfikat i nazwę hosta, jeśli ma to zastosowanie. Jeśli test zakończy się niepowodzeniem, narzędzie wyświetli komunikat o błędzie opisujący problem. Możesz wybrać, czy zignorować błąd i kontynuować konfigurację. (Z powodu różnic w połączeniach węzły HDS mogą być w stanie nawiązać połączenie TLS, nawet jeśli maszyna narzędziowa HDS Setup Tool nie jest w stanie go przetestować).

                                                                                                                                                  13

                                                                                                                                                  Na stronie Dzienniki systemu skonfiguruj serwer Syslogd:

                                                                                                                                                  1. Wprowadź adres URL serwera dziennika systemowego.

                                                                                                                                                    Jeśli serwer nie jest w stanie rozwiązać DNS z węzłów klastra HDS, użyj adresu IP w adresie URL.

                                                                                                                                                    Przykład:
                                                                                                                                                    udp://10.92.43.23:514 wskazuje logowanie do hosta Syslogd 10.92.43.23 w porcie UDP 514.
                                                                                                                                                  2. Jeśli skonfigurujesz serwer, aby używał szyfrowania TLS, sprawdź, czy serwer dziennika systemowego jest skonfigurowany do szyfrowania SSL?.

                                                                                                                                                    Jeśli zaznaczysz to pole wyboru, upewnij się, że wprowadzasz adres URL TCP, taki jak: tcp://10.92.43.23:514.

                                                                                                                                                  3. Z listy rozwijanej Wybierz zakończenie rekordu dziennika systemowego wybierz odpowiednie ustawienie dla pliku ISO: Wybierz lub Newline są używane do Graylog i Rsyslog TCP

                                                                                                                                                    • Byte czajnika -- \x00

                                                                                                                                                    • Newline -- \n — Wybierz ten wybór dla aplikacji Graylog i Rsyslog TCP.

                                                                                                                                                  4. Kliknij przycisk Kontynuuj.

                                                                                                                                                  14

                                                                                                                                                  (Opcjonalnie) W ustawieniach zaawansowanych można zmienić wartość domyślną niektórych parametrów połączenia z bazą danych. Ogólnie rzecz biorąc, ten parametr jest jedynym parametrem, który można zmienić:

                                                                                                                                                  app_datasource_connection_pool_maxSize: 10
                                                                                                                                                  15

                                                                                                                                                  Kliknij przycisk Kontynuuj na ekranie Resetuj hasło konta usługi .

                                                                                                                                                  Hasła konta serwisowego mają okres dziewięciu miesięcy. Użyj tego ekranu, gdy hasła zbliżają się do wygaśnięcia lub chcesz je zresetować, aby unieważnić poprzednie pliki ISO.

                                                                                                                                                  16

                                                                                                                                                  Kliknij opcję Pobierz plik ISO. Zapisz plik w lokalizacji, którą łatwo znaleźć.

                                                                                                                                                  17

                                                                                                                                                  Wykonaj kopię zapasową pliku ISO w lokalnym systemie.

                                                                                                                                                  Kopia zapasowa powinna być zabezpieczona. Ten plik zawiera główny klucz szyfrowania zawartości bazy danych. Ogranicz dostęp tylko do tych administratorów hybrydowych zabezpieczeń danych, którzy powinni wprowadzać zmiany w konfiguracji.

                                                                                                                                                  18

                                                                                                                                                  Aby zamknąć narzędzie Setup, wpisz: CTRL+C.

                                                                                                                                                  Co zrobić dalej

                                                                                                                                                  Kopia zapasowa pliku ISO konfiguracji. Musisz utworzyć więcej węzłów do odzyskiwania lub wprowadzić zmiany w konfiguracji. Jeśli stracisz wszystkie kopie pliku ISO, stracisz również klucz główny. Odzyskiwanie kluczy z bazy danych PostgreSQL lub Microsoft SQL Server nie jest możliwe.


                                                                                                                                                   

                                                                                                                                                  Nigdy nie mamy kopii tego klucza i nie możemy pomóc, jeśli go stracisz.

                                                                                                                                                  Instalowanie OVA hosta HDS

                                                                                                                                                  Użyj tej procedury, aby utworzyć maszynę wirtualną z pliku OVA.
                                                                                                                                                  1

                                                                                                                                                  Aby zalogować się do wirtualnego hosta ESXi, użyj klienta VMware vSphere na komputerze.

                                                                                                                                                  2

                                                                                                                                                  Wybierz Plik > Wdrożenie szablonu OVF.

                                                                                                                                                  3

                                                                                                                                                  W kreatorze określ lokalizację pobranego wcześniej pliku OVA, a następnie kliknij Następny.

                                                                                                                                                  4

                                                                                                                                                  Na ekranie Wybierz nazwę i folder strona, wprowadź Nazwa maszyny wirtualnej dla węzła (na przykład „HDS_Node_1”) wybierz lokalizację, w której może znajdować się wdrożenie węzła maszyny wirtualnej, a następnie kliknij przycisk Następny.

                                                                                                                                                  5

                                                                                                                                                  Na ekranie Wybierz zasób obliczeniowy strona, wybierz docelowy zasób obliczeniowy, a następnie kliknij Następny.

                                                                                                                                                  Trwa kontrola walidacji. Po jego zakończeniu pojawiają się szczegóły szablonu.

                                                                                                                                                  6

                                                                                                                                                  Sprawdź szczegóły szablonu, a następnie kliknij przycisk Dalej.

                                                                                                                                                  7

                                                                                                                                                  Jeśli zostaniesz poproszony o wybranie konfiguracji zasobów na stronie Konfiguracja strona, kliknij 4 CPU a następnie kliknij Następny.

                                                                                                                                                  8

                                                                                                                                                  Na ekranie Wybierz miejsce strona, kliknij Następny aby zaakceptować domyślny format dysku i zasady przechowywania VM.

                                                                                                                                                  9

                                                                                                                                                  Na ekranie Wybierz sieci na stronie wybierz opcję sieci z listy pozycji, aby zapewnić żądaną łączność z maszyną wirtualną.

                                                                                                                                                  10

                                                                                                                                                  Na stronie Dostosuj szablon skonfiguruj następujące ustawienia sieci:

                                                                                                                                                  • Nazwa hosta — wprowadź nazwę hosta FQDN (nazwa hosta i domena) lub nazwę hosta pojedynczego słowa dla węzła.

                                                                                                                                                     
                                                                                                                                                    • Nie trzeba ustawiać domeny tak, aby pasowała do domeny używanej do uzyskania certyfikatu X.509.

                                                                                                                                                    • Aby zapewnić pomyślną rejestrację w chmurze, użyj tylko znaków z małymi literami w nazwie FQDN lub nazwie hosta ustawionej dla węzła. W tym momencie kapitalizacja nie jest obsługiwana.

                                                                                                                                                    • Całkowita długość FQDN nie może przekraczać 64 znaków.

                                                                                                                                                  • Adres IP— wprowadź adres IP interfejsu wewnętrznego węzła.

                                                                                                                                                     

                                                                                                                                                    Węzeł powinien mieć wewnętrzny adres IP i nazwę DNS. Serwer DHCP nie jest obsługiwany.

                                                                                                                                                  • Maska— wprowadź adres maski podsieci w notacji dot-dziesiętnej. Na przykład: 255.255.255.0.
                                                                                                                                                  • Brama — wprowadź adres IP bramy. Brama to węzeł sieciowy, który służy jako punkt dostępu do innej sieci.
                                                                                                                                                  • Serwery DNS— wprowadź oddzieloną przecinkami listę serwerów DNS, które obsługują tłumaczenie nazw domen na numeryczne adresy IP. (Dozwolone są do 4 wpisy DNS).
                                                                                                                                                  • Serwery NTP — wprowadź serwer NTP swojej organizacji lub inny zewnętrzny serwer NTP, który może być używany w Twojej organizacji. Domyślne serwery NTP mogą nie działać dla wszystkich przedsiębiorstw. Można również użyć listy rozdzielonej przecinkami, aby wprowadzić wiele serwerów NTP.
                                                                                                                                                  • Wdrożenie wszystkich węzłów w tej samej podsieci lub sieci VLAN, tak aby wszystkie węzły w klastrze były dostępne dla klientów w sieci do celów administracyjnych.

                                                                                                                                                  Jeśli jest to preferowane, można pominąć konfigurację ustawień sieci i wykonać czynności opisane w punkcie Skonfiguruj hybrydową maszynę wirtualną bezpieczeństwa danych w celu skonfigurowania ustawień z konsoli węzła.


                                                                                                                                                   

                                                                                                                                                  Opcja konfigurowania ustawień sieciowych podczas wdrażania OVA została przetestowana z ESXi 6.5. Opcja może nie być dostępna we wcześniejszych wersjach.

                                                                                                                                                  11

                                                                                                                                                  Kliknij prawym przyciskiem myszy węzeł VM, a następnie wybierz Zasilanie > Włączanie zasilania.

                                                                                                                                                  Oprogramowanie Hybrid Data Security jest instalowane jako gość w hostu VM. Teraz możesz zalogować się na konsoli i skonfigurować węzeł.

                                                                                                                                                  Wskazówki dotyczące rozwiązywania problemów

                                                                                                                                                  Może wystąpić opóźnienie o kilka minut przed pojawieniem się kontenerów węzła. Podczas pierwszego uruchamiania na konsoli pojawi się komunikat zapory mostowej, podczas którego nie można się zalogować.

                                                                                                                                                  Skonfiguruj hybrydową maszynę wirtualną ds. bezpieczeństwa danych

                                                                                                                                                  Użyj tej procedury, aby po raz pierwszy zalogować się na konsoli VM węzła hybrydowego zabezpieczenia danych i ustawić poświadczenia logowania. Konsola może również skonfigurować ustawienia sieciowe węzła, jeśli nie zostały skonfigurowane w czasie wdrażania OVA.

                                                                                                                                                  1

                                                                                                                                                  W kliencie VMware vSphere wybierz węzeł VM Hybrid Data Security i kartę Console .

                                                                                                                                                  Maszyna zostanie uruchomiona i pojawi się monit o zalogowanie. Jeśli monit o zalogowanie nie jest wyświetlany, naciśnij przycisk Enter.
                                                                                                                                                  2

                                                                                                                                                  Aby się zalogować i zmienić poświadczenia, należy użyć następującego domyślnego loginu i hasła:

                                                                                                                                                  1. Logowanie: admin

                                                                                                                                                  2. Hasło: cisco

                                                                                                                                                  Ponieważ logujesz się do VM po raz pierwszy, musisz zmienić hasło administratora.

                                                                                                                                                  3

                                                                                                                                                  Jeśli ustawienia sieci zostały już skonfigurowane w Instalowaniu OVA hosta usługi HDS, pomiń pozostałą część tej procedury. W przeciwnym razie w menu głównym wybierz opcję Edytuj konfigurację.

                                                                                                                                                  4

                                                                                                                                                  Skonfiguruj statyczną konfigurację z adresem IP, maską, bramą i informacjami DNS. Węzeł powinien mieć wewnętrzny adres IP i nazwę DNS. Serwer DHCP nie jest obsługiwany.

                                                                                                                                                  5

                                                                                                                                                  (Opcjonalnie) Zmień nazwę hosta, domenę lub serwery NTP, jeśli jest to konieczne do dopasowania do zasad sieci.

                                                                                                                                                  Nie trzeba ustawiać domeny tak, aby pasowała do domeny używanej do uzyskania certyfikatu X.509.

                                                                                                                                                  6

                                                                                                                                                  Zapisz konfigurację sieci i uruchom ponownie VM, aby zmiany weszły w życie.

                                                                                                                                                  Prześlij i zamontuj ISO konfiguracji HDS

                                                                                                                                                  Ta procedura służy do konfigurowania maszyny wirtualnej z pliku ISO utworzonego za pomocą narzędzia konfiguracji HDS.

                                                                                                                                                  Przed rozpoczęciem

                                                                                                                                                  Ponieważ plik ISO zawiera klucz główny, powinien on być narażony tylko na „potrzebę wiedzy”, aby uzyskać dostęp do hybrydowych maszyn wirtualnych ds. bezpieczeństwa danych i wszystkich administratorów, którzy mogą wymagać wprowadzenia zmian. Upewnij się, że tylko ci administratorzy mogą uzyskać dostęp do bazy danych.

                                                                                                                                                  1

                                                                                                                                                  Prześlij plik ISO z komputera:

                                                                                                                                                  1. W lewym okienku nawigacyjnym klienta VMware vSphere kliknij na serwer ESXi.

                                                                                                                                                  2. Na liście Sprzętu na karcie Konfiguracja kliknij przycisk Przechowywanie.

                                                                                                                                                  3. Na liście Datastores kliknij prawym przyciskiem myszy katalog danych dla swoich maszyn wirtualnych i kliknij opcję Przeglądaj Datastore.

                                                                                                                                                  4. Kliknij ikonę Prześlij pliki, a następnie kliknij Prześlij plik.

                                                                                                                                                  5. Przejdź do lokalizacji, w której pobrałeś plik ISO na komputerze i kliknij przycisk Otwórz.

                                                                                                                                                  6. Kliknij przycisk Tak, aby zaakceptować ostrzeżenie o operacji przesyłania/pobierania i zamknąć okno dialogowe z listą danych.

                                                                                                                                                  2

                                                                                                                                                  Montaż pliku ISO:

                                                                                                                                                  1. W lewym okienku nawigacji klienta VMware vSphere kliknij prawym przyciskiem myszy VM i kliknij Edytuj ustawienia .

                                                                                                                                                  2. Kliknij przycisk OK, aby zaakceptować ostrzeżenie o opcjach edycji ograniczonej.

                                                                                                                                                  3. Kliknij CD/DVD Drive 1, wybierz opcję montażu z pliku ISO w zbiorniku danych i przejdź do lokalizacji, w której przesłano plik ISO konfiguracji.

                                                                                                                                                  4. Sprawdzić Podłączono i Podłączono przy włączonym zasilaniu.

                                                                                                                                                  5. Zapisz zmiany i uruchom ponownie maszynę wirtualną.

                                                                                                                                                  Co zrobić dalej

                                                                                                                                                  Jeśli polityka IT wymaga, możesz opcjonalnie odmontować plik ISO po tym, jak wszystkie węzły podniosą zmiany w konfiguracji. Aby uzyskać szczegółowe informacje, zobacz (Opcjonalnie) Odinstaluj ISO Po Konfiguracji HDS.

                                                                                                                                                  Konfigurowanie węzła HDS dla integracji serwera proxy

                                                                                                                                                  Jeśli środowisko sieciowe wymaga serwera proxy, użyj tej procedury, aby określić typ serwera proxy, który chcesz zintegrować z Hybrid Data Security. Po wybraniu przejrzystego serwera proxy inspekcji lub bezpośredniego serwera proxy HTTPS można użyć interfejsu węzła do przesłania i zainstalowania certyfikatu głównego. Możesz również sprawdzić połączenie serwera proxy z poziomu interfejsu i rozwiązać ewentualne problemy.

                                                                                                                                                  Przed rozpoczęciem

                                                                                                                                                  1

                                                                                                                                                  Wprowadź adres URL konfiguracji węzła HDS https://[HDS Node IP or FQDN]/setup w przeglądarce internetowej wprowadź dane uwierzytelniające administratora skonfigurowane dla węzła, a następnie kliknij opcję Zaloguj się.

                                                                                                                                                  2

                                                                                                                                                  Przejdź do sklepu Trust Store & Proxy, a następnie wybierz opcję:

                                                                                                                                                  • Brak serwera proxy — opcja domyślna przed integracją serwera proxy. Nie jest wymagana aktualizacja certyfikatu.
                                                                                                                                                  • Transparent Non-Inspecting Proxy — węzły nie są skonfigurowane do używania określonego adresu serwera proxy i nie powinny wymagać żadnych zmian w pracy z niekontrolowanym serwerem proxy. Nie jest wymagana aktualizacja certyfikatu.
                                                                                                                                                  • Transparent Inspecting Proxy — węzły nie są skonfigurowane do używania określonego adresu serwera proxy. W przypadku wdrożenia hybrydowego zabezpieczenia danych nie są konieczne zmiany konfiguracji protokołu HTTPS, jednak węzły HDS potrzebują certyfikatu głównego, aby zaufać proxy. Informatycy zazwyczaj używają serwerów proxy do egzekwowania zasad, na których strony internetowe mogą być odwiedzane i które rodzaje treści są niedozwolone. Ten typ serwera proxy odszyfruje cały ruch (nawet HTTPS).
                                                                                                                                                  • Explicit Proxy— w przypadku wyraźnego serwera proxy użytkownik informuje klienta (węzły HDS), którego serwera proxy ma używać, a ta opcja obsługuje kilka typów uwierzytelniania. Po wybraniu tej opcji należy wprowadzić następujące informacje:
                                                                                                                                                    1. Proxy IP/FQDN — adres, którego można użyć do dotarcia do maszyny proxy.

                                                                                                                                                    2. Port serwera proxy— numer portu, którego serwer proxy używa do odsłuchiwania ruchu z serwerem proxy.

                                                                                                                                                    3. Protokół proxy — wybierz http (wyświetla i kontroluje wszystkie żądania otrzymane od klienta) lub https (dostarcza kanał do serwera, a klient odbiera i weryfikuje certyfikat serwera). Wybierz opcję na podstawie tego, co obsługuje serwer proxy.

                                                                                                                                                    4. Typ uwierzytelniania — wybierz spośród następujących typów uwierzytelniania:

                                                                                                                                                      • Brak — dalsze uwierzytelnianie nie jest wymagane.

                                                                                                                                                        Dostępne dla serwerów proxy HTTP lub HTTPS.

                                                                                                                                                      • Basic — używane przez agenta użytkownika HTTP do podawania nazwy użytkownika i hasła podczas składania żądania. Korzysta z kodowania Base64.

                                                                                                                                                        Dostępne dla serwerów proxy HTTP lub HTTPS.

                                                                                                                                                        Jeśli wybierzesz tę opcję, musisz również wprowadzić nazwę użytkownika i hasło.

                                                                                                                                                      • Digest — służy do potwierdzenia konta przed wysłaniem poufnych informacji. Przed wysłaniem za pośrednictwem sieci należy zastosować funkcję skrótu w nazwie użytkownika i hasłem.

                                                                                                                                                        Dostępne tylko dla serwerów proxy HTTPS.

                                                                                                                                                        Jeśli wybierzesz tę opcję, musisz również wprowadzić nazwę użytkownika i hasło.

                                                                                                                                                  Postępuj zgodnie z kolejnymi krokami w celu przejrzystego kontrolowania serwera proxy, bezpośredniego serwera proxy HTTP z uwierzytelnianiem podstawowym lub bezpośredniego serwera proxy HTTPS.

                                                                                                                                                  3

                                                                                                                                                  Kliknij opcję Prześlij certyfikat główny lub certyfikat jednostki końcowej, a następnie przejdź do opcji Wybierz certyfikat główny serwera proxy.

                                                                                                                                                  Certyfikat jest przesyłany, ale jeszcze nie został zainstalowany, ponieważ aby zainstalować certyfikat, należy ponownie uruchomić węzeł. Aby uzyskać więcej szczegółów, kliknij strzałkę chevron po nazwie emitenta certyfikatu lub kliknij opcję Usuń, jeśli popełniłeś błąd i chcesz ponownie przesłać plik.

                                                                                                                                                  4

                                                                                                                                                  Kliknij Check Proxy Connection (Sprawdź połączenie proxy), aby sprawdzić połączenie sieciowe między węzłem a serwerem proxy.

                                                                                                                                                  Jeśli test połączenia zakończy się niepowodzeniem, pojawi się komunikat o błędzie przedstawiający przyczynę i sposób naprawienia problemu.

                                                                                                                                                  Jeśli zobaczysz komunikat informujący, że zewnętrzna rozdzielczość DNS nie powiodła się, węzeł nie mógł dotrzeć do serwera DNS. Warunek ten jest oczekiwany w wielu wyraźnych konfiguracjach serwera proxy. Możesz kontynuować konfigurację, a węzeł będzie działał w trybie Zablokowanej Zewnętrznej Rozdzielczości DNS. Jeśli uważasz, że jest to błąd, wykonaj poniższe czynności, a następnie zobacz Wyłącz Zablokowany Zewnętrzny Tryb Rozdzielczości DNS.

                                                                                                                                                  5

                                                                                                                                                  Po przejściu testu połączenia, w przypadku wyraźnego serwera proxy ustawionego tylko na https, włącz przełącznik do Trasowania wszystkich żądań portu 443/444 https z tego węzła za pomocą wyraźnego serwera proxy. To ustawienie wymaga 15 sekund działania.

                                                                                                                                                  6

                                                                                                                                                  Kliknij Instaluj Wszystkie Certyfikaty W Sklepie Zaufania (pojawi się dla wyraźnego serwera proxy HTTPS lub przezroczystego serwera proxy inspekcji) lub Uruchom ponownie (pojawi się dla wyraźnego serwera proxy HTTP), przeczytaj monit, a następnie kliknij opcję Instaluj , jeśli jesteś gotowy.

                                                                                                                                                  Węzeł zostanie uruchomiony ponownie w ciągu kilku minut.

                                                                                                                                                  7

                                                                                                                                                  Po ponownym uruchomieniu węzła zaloguj się ponownie w razie potrzeby, a następnie otwórz stronę Przegląd , aby sprawdzić kontrole łączności, aby upewnić się, że wszystkie mają zielony status.

                                                                                                                                                  Kontrola połączenia z serwerem proxy sprawdza tylko poddomenę webex.com. Jeśli występują problemy z łącznością, powszechnym problemem jest to, że niektóre domeny chmury wymienione w instrukcjach instalacji są blokowane na serwerze proxy.

                                                                                                                                                  Zarejestruj pierwszy węzeł w klastrze

                                                                                                                                                  To zadanie przejmuje ogólny węzeł utworzony w Skonfiguruj hybrydową maszynę wirtualną bezpieczeństwa danych, rejestruje węzeł w chmurze Webex i zamienia go w węzeł hybrydowego bezpieczeństwa danych.

                                                                                                                                                  Po zarejestrowaniu pierwszego węzła utwórz klaster, do którego jest przypisany węzeł. Klaster zawiera co najmniej jeden węzeł wdrożony w celu zapewnienia zwolnień.

                                                                                                                                                  Przed rozpoczęciem

                                                                                                                                                  • Po rozpoczęciu rejestracji węzła należy go wypełnić w ciągu 60 minut lub rozpocząć od nowa.

                                                                                                                                                  • Upewnij się, że wszystkie wyskakujące blokery w przeglądarce są wyłączone lub że zezwalasz na wyjątek dla admin.webex.com.

                                                                                                                                                  1

                                                                                                                                                  Zaloguj się w https://admin.webex.com.

                                                                                                                                                  2

                                                                                                                                                  W menu po lewej stronie ekranu wybierz opcję Usługi.

                                                                                                                                                  3

                                                                                                                                                  W sekcji Usługi hybrydowe znajdź hybrydowe zabezpieczenia danych i kliknij przycisk Skonfiguruj.

                                                                                                                                                  Zostanie wyświetlona strona węzła Zarejestruj hybrydowe zabezpieczenia danych.
                                                                                                                                                  4

                                                                                                                                                  Wybierz Tak, aby wskazać, że węzeł został skonfigurowany i chcesz go zarejestrować, a następnie kliknij przycisk Dalej.

                                                                                                                                                  5

                                                                                                                                                  W pierwszym polu wprowadź nazwę klastra, do którego chcesz przypisać węzeł hybrydowego zabezpieczenia danych.

                                                                                                                                                  Zalecamy nazwanie klastra na podstawie lokalizacji węzłów klastra. Przykłady: "San Francisco", "Nowy Jork" czy "Dallas"

                                                                                                                                                  6

                                                                                                                                                  W drugim polu wprowadź wewnętrzny adres IP lub w pełni kwalifikowaną nazwę domeny (FQDN) węzła i kliknij przycisk Dalej.

                                                                                                                                                  Ten adres IP lub nazwa FQDN powinny być zgodne z adresem IP lub nazwą hosta i domeną używaną podczas konfigurowania hybrydowej maszyny wirtualnej ds. bezpieczeństwa danych.

                                                                                                                                                  Pojawi się komunikat informujący, że można zarejestrować węzeł w usłudze Webex.
                                                                                                                                                  7

                                                                                                                                                  Kliknij przycisk Przejdź do węzła.

                                                                                                                                                  8

                                                                                                                                                  Kliknij przycisk Kontynuuj w komunikacie ostrzegawczym.

                                                                                                                                                  Po kilku chwilach nastąpi przekierowanie do testów łączności węzła dla usług Webex. Jeśli wszystkie testy zakończą się powodzeniem, pojawi się strona Zezwól na dostęp do węzła hybrydowego zabezpieczeń danych. Tam potwierdzasz, że chcesz nadać uprawnienia swojej organizacji Webex, aby uzyskać dostęp do węzła.
                                                                                                                                                  9

                                                                                                                                                  Zaznacz pole wyboru Zezwól na dostęp do węzła hybrydowego zabezpieczenia danych , a następnie kliknij przycisk Kontynuuj.

                                                                                                                                                  Twoje konto zostało zweryfikowane, a komunikat „Rejestracja ukończona” wskazuje, że Twój węzeł jest teraz zarejestrowany w chmurze Webex.
                                                                                                                                                  10

                                                                                                                                                  Kliknij łącze lub zamknij kartę, aby powrócić do strony Hybrid Data Security Control Hub.

                                                                                                                                                  Na stronie Hybrid Data Security jest wyświetlany nowy klaster zawierający zarejestrowany węzeł. Węzeł automatycznie pobierze najnowsze oprogramowanie z chmury.

                                                                                                                                                  Tworzenie i rejestrowanie większej liczby węzłów

                                                                                                                                                  Aby dodać dodatkowe węzły do klastra, wystarczy utworzyć dodatkowe numery VMs i zamontować ten sam plik ISO konfiguracji, a następnie zarejestrować węzeł. Zalecamy posiadanie co najmniej 3 węzłów.

                                                                                                                                                   

                                                                                                                                                  W tym czasie zapasowe maszyny wirtualne utworzone w Zakończeniu wymagań wstępnych dla hybrydowego zabezpieczenia danych są hostami gotowymi, które są używane tylko w przypadku odzyskiwania po awarii; do tego czasu nie są rejestrowane w systemie. Aby uzyskać szczegółowe informacje, patrz Przywracanie systemu po awarii za pomocą Standby Data Center.

                                                                                                                                                  Przed rozpoczęciem

                                                                                                                                                  • Po rozpoczęciu rejestracji węzła należy go wypełnić w ciągu 60 minut lub rozpocząć od nowa.

                                                                                                                                                  • Upewnij się, że wszystkie wyskakujące blokery w przeglądarce są wyłączone lub że zezwalasz na wyjątek dla admin.webex.com.

                                                                                                                                                  1

                                                                                                                                                  Utwórz nową maszynę wirtualną z OVA, powtarzając kroki w Instalacji OVA hosta HDS.

                                                                                                                                                  2

                                                                                                                                                  Skonfiguruj konfigurację początkową na nowej maszynie wirtualnej, powtarzając kroki w Skonfiguruj hybrydową maszynę wirtualną bezpieczeństwa danych.

                                                                                                                                                  3

                                                                                                                                                  W nowej maszynie wirtualnej wykonaj ponownie czynności opisane w polu Prześlij i zamontuj ISO konfiguracji HDS.

                                                                                                                                                  4

                                                                                                                                                  Jeśli konfigurujesz serwer proxy dla swojego wdrożenia, powtórz kroki w Konfigurowaniu węzła HDS dla integracji serwera proxy zgodnie z potrzebami nowego węzła.

                                                                                                                                                  5

                                                                                                                                                  Zarejestruj węzeł.

                                                                                                                                                  1. W https://admin.webex.com wybierz Usługi z menu po lewej stronie ekranu.

                                                                                                                                                  2. W sekcji Usługi hybrydowe znajdź kartę zabezpieczenia danych hybrydowych i kliknij opcję Zasoby.

                                                                                                                                                    Pojawi się strona Hybrid Data Security Resources (Zasoby zabezpieczeń danych hybrydowych).
                                                                                                                                                  3. Kliknij przycisk Dodaj zasób.

                                                                                                                                                  4. W pierwszym polu wybierz nazwę istniejącego klastra.

                                                                                                                                                  5. W drugim polu wprowadź wewnętrzny adres IP lub w pełni kwalifikowaną nazwę domeny (FQDN) węzła i kliknij przycisk Dalej.

                                                                                                                                                    Pojawi się komunikat informujący, że można zarejestrować węzeł w chmurze Webex.
                                                                                                                                                  6. Kliknij przycisk Przejdź do węzła.

                                                                                                                                                    Po kilku chwilach nastąpi przekierowanie do testów łączności węzła dla usług Webex. Jeśli wszystkie testy zakończą się powodzeniem, pojawi się strona Zezwól na dostęp do węzła hybrydowego zabezpieczeń danych. Tam potwierdzasz, że chcesz nadać uprawnienia swojej organizacji, aby uzyskać dostęp do węzła.
                                                                                                                                                  7. Zaznacz pole wyboru Zezwól na dostęp do węzła hybrydowego zabezpieczenia danych , a następnie kliknij przycisk Kontynuuj.

                                                                                                                                                    Twoje konto zostało zweryfikowane, a komunikat „Rejestracja ukończona” wskazuje, że Twój węzeł jest teraz zarejestrowany w chmurze Webex.
                                                                                                                                                  8. Kliknij łącze lub zamknij kartę, aby powrócić do strony Hybrid Data Security Control Hub.

                                                                                                                                                  Twój węzeł jest zarejestrowany. Należy pamiętać, że do momentu rozpoczęcia próby węzły wygenerują alarm wskazujący, że usługa nie jest jeszcze aktywowana.

                                                                                                                                                  Co zrobić dalej

                                                                                                                                                  Przeprowadzanie wersji próbnej i przejście do produkcji (następny rozdział)
                                                                                                                                                  Uruchom wersję próbną i przejdź do produkcji

                                                                                                                                                  Przepływ próby do zadania produkcyjnego

                                                                                                                                                  Po skonfigurowaniu hybrydowego klastra bezpieczeństwa danych można uruchomić program pilotażowy, dodać do niego użytkowników i rozpocząć korzystanie z niego do testowania i sprawdzania wdrożenia w ramach przygotowań do przejścia do produkcji.

                                                                                                                                                  1

                                                                                                                                                  Jeśli dotyczy, zsynchronizuj HdsTrialGroup obiekt grupowy.

                                                                                                                                                  Jeśli Twoja organizacja używa synchronizacji katalogu dla użytkowników, musisz wybrać HdsTrialGroup obiekt grupowy do synchronizacji z chmurą przed rozpoczęciem próby. Instrukcje można znaleźć w podręczniku wdrażania łącznika usług katalogowych Cisco.

                                                                                                                                                  2

                                                                                                                                                  Aktywuj wersję próbną

                                                                                                                                                  Rozpocznij proces. Do czasu wykonania tego zadania węzły wygenerują alarm wskazujący, że usługa nie została jeszcze aktywowana.

                                                                                                                                                  3

                                                                                                                                                  Przetestuj wdrożenie hybrydowego zabezpieczenia danych

                                                                                                                                                  Sprawdź, czy kluczowe żądania są przekazywane do wdrożenia hybrydowego zabezpieczenia danych.

                                                                                                                                                  4

                                                                                                                                                  Monitorowanie stanu hybrydowego bezpieczeństwa danych

                                                                                                                                                  Sprawdź stan i skonfiguruj powiadomienia e-mail dla alarmów.

                                                                                                                                                  5

                                                                                                                                                  Dodawanie lub usuwanie użytkowników z wersji próbnej

                                                                                                                                                  6

                                                                                                                                                  Zakończ fazę próbną, wykonując jedną z następujących czynności:

                                                                                                                                                  Aktywuj wersję próbną

                                                                                                                                                  Przed rozpoczęciem

                                                                                                                                                  Jeśli Twoja organizacja używa synchronizacji katalogu dla użytkowników, musisz wybrać HdsTrialGroup obiekt grupowy do synchronizacji z chmurą przed rozpoczęciem próby dla organizacji. Instrukcje można znaleźć w podręczniku wdrażania łącznika usług katalogowych Cisco.

                                                                                                                                                  1

                                                                                                                                                  Zaloguj się do https://admin.webex.com, a następnie wybierz opcję Usługi.

                                                                                                                                                  2

                                                                                                                                                  W obszarze Bezpieczeństwo danych hybrydowych kliknij Ustawienia.

                                                                                                                                                  3

                                                                                                                                                  W sekcji Stan usługi kliknij przycisk Rozpocznij wersję próbną.

                                                                                                                                                  Stan usługi zmienia się w tryb próbny.
                                                                                                                                                  4

                                                                                                                                                  Kliknij opcję Dodaj użytkowników i wprowadź adres e-mail jednego lub większej liczby użytkowników do pilotowania za pomocą węzłów hybrydowych zabezpieczeń danych w celu szyfrowania i indeksowania usług.

                                                                                                                                                  (Jeśli Twoja organizacja używa synchronizacji katalogu, użyj usługi Active Directory do zarządzania grupą próbną, HdsTrialGroup.)

                                                                                                                                                  Przetestuj wdrożenie hybrydowego zabezpieczenia danych

                                                                                                                                                  Użyj tej procedury, aby przetestować scenariusze szyfrowania hybrydowych zabezpieczeń danych.

                                                                                                                                                  Przed rozpoczęciem

                                                                                                                                                  • Skonfiguruj wdrożenie hybrydowego zabezpieczenia danych.

                                                                                                                                                  • Aktywuj wersję próbną i dodaj kilku użytkowników wersji próbnej.

                                                                                                                                                  • Upewnij się, że masz dostęp do dziennika systemowego, aby sprawdzić, czy kluczowe żądania są przekazywane do wdrożenia hybrydowego zabezpieczenia danych.

                                                                                                                                                  1

                                                                                                                                                  Klucze dla danego obszaru są ustawiane przez twórcę tego obszaru. Zaloguj się do aplikacji Webex jako jeden z użytkowników pilotażowych, a następnie utwórz obszar i zaproś co najmniej jednego użytkownika pilotażowego i jednego użytkownika niepilotażowego.


                                                                                                                                                   

                                                                                                                                                  Jeśli dezaktywujesz wdrożenie hybrydowego zabezpieczenia danych, zawartość w obszarach tworzonych przez użytkowników pilotażowych nie jest już dostępna po wymianie kopii kluczy szyfrowania w pamięci podręcznej klienta.

                                                                                                                                                  2

                                                                                                                                                  Wysyłaj wiadomości do nowego obszaru.

                                                                                                                                                  3

                                                                                                                                                  Sprawdź wyjście dziennika systemowego, aby sprawdzić, czy kluczowe żądania przechodzą do wdrożenia hybrydowego zabezpieczenia danych.

                                                                                                                                                  1. Aby sprawdzić, czy użytkownik najpierw ustanawia bezpieczny kanał w systemie KMS, filtruj go kms.data.method=create i kms.data.type=EPHEMERAL_KEY_COLLECTION:

                                                                                                                                                    Należy znaleźć wpis taki jak następujący (identyfikatory skrócone dla czytelności):
                                                                                                                                                    2020-07-21 17:35:34.562 (+0000) INFO  KMS [pool-14-thread-1] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, 
                                                                                                                                                    kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2
                                                                                                                                                  2. Aby sprawdzić, czy użytkownik żądający istniejącego klucza z KMS, filtruj na kms.data.method=retrieve i kms.data.type=KEY:

                                                                                                                                                    Należy znaleźć wpis taki jak:
                                                                                                                                                    2020-07-21 17:44:19.889 (+0000) INFO  KMS [pool-14-thread-31] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, 
                                                                                                                                                    kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, 
                                                                                                                                                    kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b
                                                                                                                                                  3. Aby sprawdzić, czy użytkownik wnioskuje o utworzenie nowego klucza KMS, filtruj kms.data.method=create i kms.data.type=KEY_COLLECTION:

                                                                                                                                                    Należy znaleźć wpis taki jak:
                                                                                                                                                    2020-07-21 17:44:21.975 (+0000) INFO  KMS [pool-14-thread-33] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, 
                                                                                                                                                    kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b
                                                                                                                                                  4. Aby sprawdzić, czy użytkownik prosi o utworzenie nowego obiektu zasobów KMS (KRO) podczas tworzenia obszaru lub innego chronionego zasobu, filtruj kms.data.method=create i kms.data.type=RESOURCE_COLLECTION:

                                                                                                                                                    Należy znaleźć wpis taki jak:
                                                                                                                                                    2020-07-21 17:44:22.808 (+0000) INFO  KMS [pool-15-thread-1] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
                                                                                                                                                    kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

                                                                                                                                                  Monitorowanie stanu hybrydowego bezpieczeństwa danych

                                                                                                                                                  Wskaźnik stanu w Control Hub pokazuje, czy wszystko jest dobrze we wdrożeniu hybrydowego zabezpieczenia danych. Aby uzyskać bardziej proaktywne alerty, zapisz się do powiadomień e-mail. Otrzymasz powiadomienie o alarmach lub aktualizacjach oprogramowania mających wpływ na usługę.
                                                                                                                                                  1

                                                                                                                                                  W Control Hub wybierz Usługi z menu po lewej stronie ekranu.

                                                                                                                                                  2

                                                                                                                                                  W sekcji Usługi hybrydowe znajdź hybrydowe zabezpieczenia danych i kliknij Ustawienia.

                                                                                                                                                  Zostanie wyświetlona strona Ustawienia zabezpieczeń danych hybrydowych.
                                                                                                                                                  3

                                                                                                                                                  W sekcji Powiadomienia e-mail wpisz co najmniej jeden adres e-mail oddzielony przecinkami i naciśnij przycisk Enter.

                                                                                                                                                  Dodawanie lub usuwanie użytkowników z wersji próbnej

                                                                                                                                                  Po aktywacji wersji próbnej i dodaniu początkowego zestawu użytkowników wersji próbnej można dodać lub usunąć członków wersji próbnej w dowolnym momencie, gdy wersja próbna jest aktywna.

                                                                                                                                                  Jeśli usuniesz użytkownika z wersji próbnej, klient poprosi go o utworzenie kluczy i klawiszy z chmury KMS zamiast Twojego KMS. Jeśli klient potrzebuje klucza przechowywanego w KMS, Cloud KMS pobierze go w imieniu użytkownika.

                                                                                                                                                  Jeśli Twoja organizacja używa synchronizacji katalogu, użyj usługi Active Directory (zamiast tej procedury) do zarządzania grupą próbną, HdsTrialGroup; można wyświetlać członków grupy w Control Hub, ale nie można ich dodawać ani usuwać.

                                                                                                                                                  1

                                                                                                                                                  Zaloguj się do Control Hub, a następnie wybierz Usługi.

                                                                                                                                                  2

                                                                                                                                                  W obszarze Bezpieczeństwo danych hybrydowych kliknij Ustawienia.

                                                                                                                                                  3

                                                                                                                                                  W sekcji Tryby wersji próbnej w obszarze Stan usługi kliknij przycisk Dodaj użytkowników lub kliknij widok i edytuj , aby usunąć użytkowników z wersji próbnej.

                                                                                                                                                  4

                                                                                                                                                  Wprowadź adres e-mail jednego lub większej liczby użytkowników do dodania lub kliknij przycisk X identyfikatorem użytkownika, aby usunąć użytkownika z wersji próbnej. Następnie kliknij Zapisz .

                                                                                                                                                  Przeniesienie z wersji próbnej do produkcji

                                                                                                                                                  Gdy jesteś zadowolony, że wdrożenie działa dobrze dla użytkowników próbnych, możesz przejść do produkcji. Po przeniesieniu do produkcji wszyscy użytkownicy w organizacji będą korzystać z lokalnej domeny hybrydowego zabezpieczenia danych w celu szyfrowania kluczy i innych usług w dziedzinie zabezpieczeń. Nie można wrócić do trybu próbnego z produkcji, chyba że dezaktywujesz usługę w ramach odzyskiwania awaryjnego. Reaktywacja usługi wymaga skonfigurowania nowej wersji próbnej.
                                                                                                                                                  1

                                                                                                                                                  Zaloguj się do Control Hub, a następnie wybierz Usługi.

                                                                                                                                                  2

                                                                                                                                                  W obszarze Bezpieczeństwo danych hybrydowych kliknij Ustawienia.

                                                                                                                                                  3

                                                                                                                                                  W sekcji Stan usługi kliknij opcję Przenieś do produkcji.

                                                                                                                                                  4

                                                                                                                                                  Potwierdź, że chcesz przenieść wszystkich użytkowników do produkcji.

                                                                                                                                                  Zakończ wersję próbną bez przejścia do produkcji

                                                                                                                                                  Jeśli podczas okresu próbnego zdecydujesz się nie kontynuować wdrażania hybrydowego zabezpieczenia danych, możesz dezaktywować hybrydowe zabezpieczenia danych, które kończą okres próbny i przenoszą użytkowników wersji próbnej z powrotem do usług zabezpieczeń danych w chmurze. Użytkownicy próbni stracą dostęp do danych zaszyfrowanych podczas badania.
                                                                                                                                                  1

                                                                                                                                                  Zaloguj się do Control Hub, a następnie wybierz Usługi.

                                                                                                                                                  2

                                                                                                                                                  W obszarze Bezpieczeństwo danych hybrydowych kliknij Ustawienia.

                                                                                                                                                  3

                                                                                                                                                  W sekcji Dezaktywuj kliknij przycisk Dezaktywuj.

                                                                                                                                                  4

                                                                                                                                                  Potwierdź, że chcesz dezaktywować usługę i zakończyć okres próbny.

                                                                                                                                                  Zarządzanie wdrożeniem HDS

                                                                                                                                                  Zarządzanie wdrożeniem HDS

                                                                                                                                                  Użyj opisanych tutaj zadań do zarządzania wdrożeniem hybrydowego zabezpieczenia danych.

                                                                                                                                                  Ustaw harmonogram uaktualniania klastra

                                                                                                                                                  Aktualizacje oprogramowania Hybrid Data Security są wykonywane automatycznie na poziomie klastra, co zapewnia, że wszystkie węzły zawsze korzystają z tej samej wersji oprogramowania. Uaktualnienia są wykonywane zgodnie z harmonogramem uaktualniania klastra. Po udostępnieniu uaktualnienia oprogramowania można ręcznie uaktualnić klaster przed zaplanowaną godziną uaktualnienia. Można ustawić określony harmonogram uaktualniania lub użyć domyślnego harmonogramu 3:00 rano Daily Stany Zjednoczone: Ameryka/Los Angeles. W razie potrzeby można również odłożyć nadchodzące uaktualnienie.

                                                                                                                                                  Aby ustawić harmonogram uaktualniania:

                                                                                                                                                  1

                                                                                                                                                  Zaloguj się do Centrum sterowania .

                                                                                                                                                  2

                                                                                                                                                  Na stronie Przegląd w obszarze Usługi hybrydowe wybierz opcję Hybrid Data Security.

                                                                                                                                                  3

                                                                                                                                                  Na stronie Zasoby zabezpieczeń danych hybrydowych wybierz klaster.

                                                                                                                                                  4

                                                                                                                                                  W panelu Przegląd po prawej stronie w obszarze Ustawienia klastra wybierz nazwę klastra.

                                                                                                                                                  5

                                                                                                                                                  Na stronie Ustawienia w obszarze Uaktualnianie wybierz godzinę i strefę czasową harmonogramu uaktualniania.

                                                                                                                                                  Uwaga: W strefie czasowej wyświetlana jest następna dostępna data i godzina aktualizacji. W razie potrzeby można odroczyć uaktualnienie do następnego dnia, klikając opcję Odłóż.

                                                                                                                                                  Zmień konfigurację węzła

                                                                                                                                                  Czasami może zajść potrzeba zmiany konfiguracji węzła hybrydowego zabezpieczenia danych z następujących powodów:
                                                                                                                                                  • Zmiana certyfikatów x.509 z powodu wygaśnięcia lub z innych powodów.


                                                                                                                                                     

                                                                                                                                                    Nie obsługujemy zmiany nazwy domeny CN certyfikatu. Domena musi być zgodna z oryginalną domeną użytą do zarejestrowania klastra.

                                                                                                                                                  • Aktualizowanie ustawień bazy danych w celu zmiany na replikę bazy danych PostgreSQL lub Microsoft SQL Server.


                                                                                                                                                     

                                                                                                                                                    Nie obsługujemy migracji danych z PostgreSQL do Microsoft SQL Server lub odwrotnie. Aby przełączyć środowisko bazy danych, rozpocznij nowe wdrożenie Hybrid Data Security.

                                                                                                                                                  • Tworzenie nowej konfiguracji w celu przygotowania nowego centrum danych.

                                                                                                                                                  Ponadto, ze względów bezpieczeństwa, Hybrid Data Security używa haseł do kont usługi o dziewięciomiesięcznym okresie ważności. Gdy narzędzie konfiguracji HDS wygeneruje te hasła, należy je wdrożyć w każdym z węzłów HDS w pliku konfiguracyjnym ISO . Gdy hasła organizacji zbliżają się do wygaśnięcia, otrzymasz powiadomienie od zespołu Webex , aby zresetować hasło do konta komputera. (Wiadomość e-mail zawiera tekst „Użyj API konta komputera, aby zaktualizować hasło”). Jeśli hasła jeszcze nie wygasły, narzędzie udostępnia dwie opcje:

                                                                                                                                                  • Miękki reset — Stare i nowe hasło działają przez maksymalnie 10 dni. Wykorzystaj ten okres, aby stopniowo zastępować plik ISO w węzłach.

                                                                                                                                                  • Twardy reset — Stare hasła natychmiast przestają działać.

                                                                                                                                                  Jeśli hasła wygasną bez zresetowania, będzie to miało wpływ na usługę HDS i wymaga natychmiastowego twardego resetu i zastąpienia pliku ISO we wszystkich węzłach.

                                                                                                                                                  Ta procedura służy do generowania nowego konfiguracyjnego pliku ISO i zastosowania go do klastra.

                                                                                                                                                  Przed rozpoczęciem

                                                                                                                                                  • Narzędzie instalacji HDS działa jako kontener platformy Docker na komputerze lokalnym. Aby uzyskać do niego dostęp, uruchom platformę Docker na tym komputerze. Proces konfiguracji wymaga poświadczeń konta Control Hub z pełnymi uprawnieniami administratora dla Twojej organizacji.

                                                                                                                                                    Jeśli narzędzie HDS Setup działa za serwerem proxy w Twoim środowisku, podaj ustawienia serwera proxy (serwer, port, poświadczenia) za pomocą zmiennych środowiska Docker podczas przywoływania kontenera Docker w 1.e. W tej tabeli podano kilka możliwych zmiennych środowiskowych:

                                                                                                                                                    Opis

                                                                                                                                                    Zmienna

                                                                                                                                                    Serwer proxy HTTP bez uwierzytelniania

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    Serwer proxy HTTPS bez uwierzytelniania

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    Serwer proxy HTTP z uwierzytelnianiem

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                    Serwer proxy HTTPS z uwierzytelnianiem

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                  • Do wygenerowania nowej konfiguracji potrzebna jest kopia bieżącego konfiguracyjnego pliku ISO . ISO zawiera klucz główny szyfrujący bazę danych PostgreSQL lub Microsoft SQL Server. Plik ISO jest potrzebny podczas wprowadzania zmian w konfiguracji, w tym poświadczeń bazy danych, aktualizacji certyfikatów lub zmian zasad autoryzacji.

                                                                                                                                                  1

                                                                                                                                                  Korzystając z platformy Docker na komputerze lokalnym, uruchom narzędzie konfiguracji HDS.

                                                                                                                                                  1. W wierszu poleceń komputera wprowadź polecenie odpowiednie dla swojego środowiska:

                                                                                                                                                    W zwykłych środowiskach:

                                                                                                                                                    docker rmi ciscocitg/hds-setup:stable

                                                                                                                                                    W środowiskach FedRAMP:

                                                                                                                                                    docker rmi ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                     

                                                                                                                                                    Ten krok czyści poprzednie obrazy narzędzia konfiguracji HDS. Jeśli nie ma poprzednich obrazów, zwraca błąd, który można zignorować.

                                                                                                                                                  2. Aby zalogować się do rejestru obrazów platformy Docker, wprowadź następujące informacje:

                                                                                                                                                    docker login -u hdscustomersro
                                                                                                                                                  3. Po wyświetleniu monitu o hasło wprowadź ten skrót:

                                                                                                                                                    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
                                                                                                                                                  4. Pobierz najnowszy stabilny obraz dla swojego środowiska:

                                                                                                                                                    W zwykłych środowiskach:

                                                                                                                                                    docker pull ciscocitg/hds-setup:stable

                                                                                                                                                    W środowiskach FedRAMP:

                                                                                                                                                    docker pull ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                     

                                                                                                                                                    Upewnij się, że pobierasz najnowsze narzędzie instalacyjne dla tej procedury. Wersje narzędzia utworzone przed 22 lutego 2018 r. nie mają ekranów resetowania hasła.

                                                                                                                                                  5. Po zakończeniu ściągania wprowadź polecenie odpowiednie dla środowiska:

                                                                                                                                                    • W zwykłych środowiskach bez serwera proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
                                                                                                                                                    • W zwykłych środowiskach z serwerem proxy HTTP:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                    • W normalnych środowiskach z serwerem HTTPSproxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                    • W środowiskach FedRAMP bez serwera proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                    • W środowiskach FedRAMP z serwerem proxy HTTP:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                    • W środowiskach FedRAMP z serwerem proxy HTTPS:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                    Gdy kontener jest uruchomiony, zostanie wyświetlony komunikat „Serwer ekspresowy nasłuchuje na porcie 8080”.

                                                                                                                                                  6. Użyj przeglądarki, aby połączyć się z hostem lokalnym, http://127.0.0.1:8080.


                                                                                                                                                     

                                                                                                                                                    Narzędzie Konfiguracja nie obsługuje łączenia się z localhost za pośrednictwem http://localhost:8080. Użyj http://127.0.0.1:8080, aby połączyć się z hostem lokalizacji.

                                                                                                                                                  7. Po wyświetleniu monitu wprowadź poświadczenia logowania klienta Control Hub, a następnie kliknij Zaakceptuj aby kontynuować.

                                                                                                                                                  8. Zaimportuj bieżący plik konfiguracyjny ISO .

                                                                                                                                                  9. Postępuj zgodnie z instrukcjami, aby ukończyć działanie narzędzia i pobrać zaktualizowany plik.

                                                                                                                                                    Aby zamknąć narzędzie Setup, wpisz: CTRL+C.

                                                                                                                                                  10. Utwórz kopię zapasową zaktualizowanego pliku w innym centrum danych.

                                                                                                                                                  2

                                                                                                                                                  Jeśli uruchomiony jest tylko jeden węzeł HDS , utwórz nową maszynę VM węzła Hybrid Data Security i zarejestruj ją przy użyciu nowego konfiguracyjnego pliku ISO . Aby uzyskać bardziej szczegółowe instrukcje, zobacz temat Tworzenie i rejestrowanie większej liczby węzłów.

                                                                                                                                                  1. Zainstaluj narzędzie OVA hosta HDS.

                                                                                                                                                  2. Skonfiguruj maszynę VM HDS .

                                                                                                                                                  3. Podłącz zaktualizowany plik konfiguracyjny.

                                                                                                                                                  4. Zarejestruj nowy węzeł w Control Hub.

                                                                                                                                                  3

                                                                                                                                                  W przypadku istniejących węzłów HDS, na których działa starszy plik konfiguracyjny, podłącz plik ISO . Wykonaj następującą procedurę na każdym węźle po kolei, aktualizując każdy węzeł przed wyłączeniem następnego węzła:

                                                                                                                                                  1. Wyłącz maszynę wirtualną.

                                                                                                                                                  2. W lewym okienku nawigacji klienta VMware vSphere kliknij prawym przyciskiem myszy VM i kliknij Edytuj ustawienia .

                                                                                                                                                  3. Kliknij CD/DVD Drive 1, wybierz opcję podłączenia z pliku ISO i przejdź do lokalizacji, do której pobrano nowy konfiguracyjny plik ISO .

                                                                                                                                                  4. Sprawdź Połącz po włączeniu .

                                                                                                                                                  5. Zapisz zmiany i włącz maszynę wirtualną.

                                                                                                                                                  4

                                                                                                                                                  Powtórz krok 3, aby zastąpić konfigurację w każdym pozostałym węźle, na którym działa stara konfiguracja.

                                                                                                                                                  Wyłącz Zablokowany Zewnętrzny Tryb Rozdzielczości DNS

                                                                                                                                                  Po zarejestrowaniu węzła lub sprawdzeniu konfiguracji serwera proxy węzła proces testuje wyszukiwanie DNS i łączność z chmurą Cisco Webex. Jeśli serwer DNS węzła nie może rozpoznawać publicznych nazw DNS, węzeł automatycznie przechodzi w tryb Zablokowanej zewnętrznej rozdzielczości DNS.

                                                                                                                                                  Jeśli węzły są w stanie rozpoznawać publiczne nazwy DNS za pośrednictwem wewnętrznych serwerów DNS, można wyłączyć ten tryb, uruchamiając ponownie test połączenia serwera proxy w każdym węźle.

                                                                                                                                                  Przed rozpoczęciem

                                                                                                                                                  Upewnij się, że wewnętrzne serwery DNS mogą rozpoznawać publiczne nazwy DNS oraz że węzły mogą się z nimi komunikować.
                                                                                                                                                  1

                                                                                                                                                  W przeglądarce internetowej otwórz interfejs węzła hybrydowego zabezpieczenia danych (adres IP/konfiguracja, na przykład https://192.0.2.0/setup), wprowadź dane uwierzytelniające administratora skonfigurowane dla węzła, a następnie kliknij opcję Zaloguj się.

                                                                                                                                                  2

                                                                                                                                                  Przejdź do Przegląd (strona domyślna).

                                                                                                                                                  Po włączeniu Rozpoznawanie zablokowanego zewnętrznego DNS jest ustawiony na Tak .

                                                                                                                                                  3

                                                                                                                                                  Przejdź do strony Trust Store & Proxy.

                                                                                                                                                  4

                                                                                                                                                  Kliknij przycisk Sprawdź połączenie z serwerem proxy.

                                                                                                                                                  Jeśli zobaczysz komunikat informujący, że zewnętrzna rozdzielczość DNS nie powiodła się, węzeł nie mógł dotrzeć do serwera DNS i pozostanie w tym trybie. W przeciwnym razie po ponownym uruchomieniu węzła i powrocie na stronę Przegląd zablokowana zewnętrzna rozdzielczość DNS powinna być ustawiona na nr.

                                                                                                                                                  Co zrobić dalej

                                                                                                                                                  Powtórz test połączenia z serwerem proxy dla każdego węzła w klastrze hybrydowego zabezpieczenia danych.

                                                                                                                                                  Usuń węzeł

                                                                                                                                                  Użyj tej procedury, aby usunąć węzeł hybrydowego zabezpieczenia danych z chmury Webex. Po usunięciu węzła z klastra usuń maszynę wirtualną, aby zapobiec dalszemu dostępowi do danych zabezpieczeń.
                                                                                                                                                  1

                                                                                                                                                  Użyj klienta VMware vSphere na komputerze, aby zalogować się do wirtualnego hosta ESXi i wyłączyć maszynę wirtualną.

                                                                                                                                                  2

                                                                                                                                                  Usuń węzeł:

                                                                                                                                                  1. Zaloguj się do Control Hub, a następnie wybierz Usługi.

                                                                                                                                                  2. Na karcie hybrydowe zabezpieczenia danych kliknij przycisk Wyświetl wszystkie , aby wyświetlić stronę zasobów hybrydowych zabezpieczeń danych.

                                                                                                                                                  3. Wybierz klaster, aby wyświetlić jego panel Przegląd.

                                                                                                                                                  4. Kliknij listę Otwórz węzły.

                                                                                                                                                  5. Na karcie Węzły wybierz węzeł, który chcesz usunąć.

                                                                                                                                                  6. Kliknij przycisk Akcje > węzeł Deregister.

                                                                                                                                                  3

                                                                                                                                                  W kliencie vSphere usuń maszynę wirtualną (w lewym okienku nawigacyjnym kliknij prawym przyciskiem myszy maszynę wirtualną i kliknij polecenie Usuń).

                                                                                                                                                  Jeśli nie usuniesz VM, pamiętaj o usunięciu pliku ISO konfiguracji. Bez pliku ISO nie można użyć maszyny wirtualnej, aby uzyskać dostęp do danych bezpieczeństwa.

                                                                                                                                                  Odzyskiwanie po awarii za pomocą Standby Data Center

                                                                                                                                                  Najbardziej krytyczną usługą oferowaną przez klaster Hybrid Data Security jest tworzenie i przechowywanie kluczy używanych do szyfrowania wiadomości i innych treści przechowywanych w chmurze Webex. Dla każdego użytkownika w organizacji przypisanego do hybrydowego zabezpieczenia danych nowe żądania tworzenia kluczy są kierowane do klastra. Klaster jest również odpowiedzialny za przywrócenie kluczy, które został utworzony do wszystkich użytkowników upoważnionych do ich odzyskania, na przykład członków obszaru konwersacji.

                                                                                                                                                  Ponieważ klaster pełni kluczową funkcję dostarczania tych kluczy, konieczne jest, aby klaster nadal działał i aby utrzymywały się odpowiednie kopie zapasowe. Utrata bazy danych hybrydowych zabezpieczeń danych lub układu ISO konfiguracji stosowanego dla schematu spowoduje NIEZBĘDNĄ UTRATĘ zawartości klienta. Aby zapobiec takiej utracie, konieczne są następujące praktyki:

                                                                                                                                                  Jeśli awaria spowoduje, że wdrożenie HDS w głównym centrum danych stanie się niedostępne, postępuj zgodnie z tą procedurą, aby ręcznie przełączyć się na standby centrum danych.

                                                                                                                                                  1

                                                                                                                                                  Uruchom narzędzie do konfiguracji HDS i wykonaj czynności opisane w dokumencie Create a Configuration ISO for the HDS Hosts.

                                                                                                                                                  2

                                                                                                                                                  Po skonfigurowaniu serwera Syslogd kliknij Ustawienia zaawansowane

                                                                                                                                                  3

                                                                                                                                                  Na stronie Ustawienia zaawansowane dodaj poniższą konfigurację lub usuń passiveMode konfiguracja, aby węzeł był aktywny. Węzeł może obsługiwać ruch po skonfigurowaniu.

                                                                                                                                                  
                                                                                                                                                  passiveMode: 'false'
                                                                                                                                                  
                                                                                                                                                  4

                                                                                                                                                  Zakończ proces konfiguracji i zapisz plik ISO w lokalizacji, która jest łatwa do znalezienia.

                                                                                                                                                  5

                                                                                                                                                  Wykonaj kopię zapasową pliku ISO w lokalnym systemie. Kopia zapasowa powinna być zabezpieczona. Ten plik zawiera główny klucz szyfrowania zawartości bazy danych. Ogranicz dostęp tylko do tych administratorów hybrydowych zabezpieczeń danych, którzy powinni wprowadzać zmiany w konfiguracji.

                                                                                                                                                  6

                                                                                                                                                  W lewym okienku nawigacyjnym klienta VMware vSphere kliknij prawym przyciskiem myszy maszynę wirtualną i kliknij opcję Edytuj ustawienia..

                                                                                                                                                  7

                                                                                                                                                  Kliknij opcję Edytuj ustawienia >Napęd CD/DVD 1 i wybierz Plik ISO Datastore.


                                                                                                                                                   

                                                                                                                                                  Upewnij się, że Connected and Connect at power on (Podłączono) są zaznaczone, aby zaktualizowane zmiany konfiguracji mogły wejść w życie po uruchomieniu węzłów.

                                                                                                                                                  8

                                                                                                                                                  Włącz węzeł HDS i upewnij się, że nie ma alarmów przez co najmniej 15 minut.

                                                                                                                                                  9

                                                                                                                                                  Powtórz proces dla każdego węzła w centrum danych standby.


                                                                                                                                                   

                                                                                                                                                  Sprawdź wyjście dziennika systemowego, aby sprawdzić, czy węzły centrum danych standby nie są w trybie pasywnym. „KMS skonfigurowany w trybie pasywnym” nie powinien być wyświetlany w dziennikach syslog.

                                                                                                                                                  Co zrobić dalej

                                                                                                                                                  Po przełączeniu awaryjnym, jeśli główne centrum danych stanie się ponownie aktywne, ponownie umieść centrum danych standby w trybie pasywnym, wykonując czynności opisane w Ustawieniu Standby Data Center dla odzyskiwania awarii.

                                                                                                                                                  (Opcjonalnie) Odmontować ISO Po Konfiguracji HDS

                                                                                                                                                  Standardowa konfiguracja HDS działa z zamontowanym ISO. Jednak niektórzy klienci wolą nie pozostawiać plików ISO stale zamontowanych. Plik ISO można odmontować po odebraniu nowej konfiguracji przez wszystkie węzły HDS.

                                                                                                                                                  Nadal używasz plików ISO do wprowadzania zmian w konfiguracji. Podczas tworzenia nowego ISO lub aktualizacji ISO za pomocą narzędzia konfiguracyjnego należy zamontować zaktualizowany ISO na wszystkich węzłach HDS. Po odebraniu zmian konfiguracji przez wszystkie węzły można ponownie rozmontować ISO za pomocą tej procedury.

                                                                                                                                                  Przed rozpoczęciem

                                                                                                                                                  Uaktualnij wszystkie węzły HDS do wersji 2021.01.22.4720 lub nowszej.

                                                                                                                                                  1

                                                                                                                                                  Zamknij jeden z węzłów HDS.

                                                                                                                                                  2

                                                                                                                                                  W urządzeniu VCenter Server Appliance wybierz węzeł HDS.

                                                                                                                                                  3

                                                                                                                                                  Wybierz Edytuj ustawienia > Napęd CD/DVD i usuń zaznaczenie pliku Datastore ISO.

                                                                                                                                                  4

                                                                                                                                                  Włącz węzeł HDS i upewnij się, że nie ma alarmów przez co najmniej 20 minut.

                                                                                                                                                  5

                                                                                                                                                  Powtórz kolejno dla każdego węzła HDS.

                                                                                                                                                  Rozwiązywanie problemów z hybrydowymi zabezpieczeniami danych

                                                                                                                                                  Wyświetlanie alertów i rozwiązywania problemów

                                                                                                                                                  Wdrożenie hybrydowego zabezpieczenia danych jest uważane za niedostępne, jeśli wszystkie węzły w klastrze są nieosiągalne lub klaster działa tak wolno, że wymaga przekroczenia czasu. Jeśli użytkownicy nie mogą skontaktować się z klastrem hybrydowego zabezpieczenia danych, mogą wystąpić następujące objawy:

                                                                                                                                                  • Nie można utworzyć nowych obszarów (nie można utworzyć nowych kluczy)

                                                                                                                                                  • Wiadomości i tytuły przestrzeni nie można odszyfrować dla:

                                                                                                                                                    • Dodano nowych użytkowników do obszaru (nie można pobrać kluczy)

                                                                                                                                                    • Istniejący użytkownicy w obszarze korzystający z nowego klienta (nie można pobrać kluczy)

                                                                                                                                                  • Istniejący użytkownicy w obszarze będą z powodzeniem działać tak długo, jak ich klienci będą mieli pamięć podręczną kluczy szyfrowania

                                                                                                                                                  Ważne jest, aby odpowiednio monitorować klaster hybrydowego zabezpieczenia danych i szybko zwracać się do wszystkich alertów, aby uniknąć zakłóceń w obsłudze.

                                                                                                                                                  Alerty

                                                                                                                                                  Jeśli występuje problem z konfiguracją hybrydowego zabezpieczenia danych, Control Hub wyświetla alerty do administratora organizacji i wysyła wiadomości e-mail na skonfigurowany adres e-mail. Alerty obejmują wiele typowych scenariuszy.

                                                                                                                                                  Tabela 1. Wspólne problemy i kroki mające na celu ich rozwiązanie

                                                                                                                                                  Alert

                                                                                                                                                  Czynność

                                                                                                                                                  Niepowodzenie dostępu do lokalnej bazy danych.

                                                                                                                                                  Sprawdź, czy występują błędy w bazie danych lub problemy z siecią lokalną.

                                                                                                                                                  Niepowodzenie połączenia z lokalną bazą danych.

                                                                                                                                                  Sprawdź, czy serwer bazy danych jest dostępny, a w konfiguracji węzła użyto odpowiednich poświadczeń konta usługi.

                                                                                                                                                  Niepowodzenie dostępu do usługi w chmurze.

                                                                                                                                                  Sprawdź, czy węzły mogą uzyskać dostęp do serwerów Webex zgodnie z wymaganiami Zewnętrznej łączności.

                                                                                                                                                  Odnowienie rejestracji usług w chmurze.

                                                                                                                                                  Zrezygnowano z rejestracji na usługi w chmurze. Trwa przedłużenie rejestracji.

                                                                                                                                                  Rejestracja usług w chmurze została odrzucona.

                                                                                                                                                  Rejestracja na usługi w chmurze została zakończona. Usługa jest wyłączona.

                                                                                                                                                  Usługa jeszcze nie została aktywowana.

                                                                                                                                                  Aktywuj wersję próbną lub zakończ przenoszenie wersji próbnej do produkcji.

                                                                                                                                                  Skonfigurowana domena nie odpowiada certyfikatowi serwera.

                                                                                                                                                  Upewnij się, że certyfikat serwera jest zgodny z skonfigurowaną domeną aktywacji usługi.

                                                                                                                                                  Najbardziej prawdopodobną przyczyną jest to, że certyfikat CN został ostatnio zmieniony i jest teraz inny niż CN, który był używany podczas początkowej konfiguracji.

                                                                                                                                                  Nie można uwierzytelnić usług w chmurze.

                                                                                                                                                  Kontrola poprawności i ewentualnego wygaśnięcia poświadczeń konta usługi.

                                                                                                                                                  Nie można otworzyć lokalnego pliku keystore.

                                                                                                                                                  Sprawdź integralność i dokładność hasła w lokalnym pliku keystore.

                                                                                                                                                  Certyfikat lokalnego serwera jest nieprawidłowy.

                                                                                                                                                  Sprawdź datę ważności certyfikatu serwera i potwierdź, że został on wydany przez zaufany urząd certyfikacji.

                                                                                                                                                  Nie można publikować metryk.

                                                                                                                                                  Sprawdź dostęp sieci lokalnej do zewnętrznych usług w chmurze.

                                                                                                                                                  /media/configdrive/hds katalog nie istnieje.

                                                                                                                                                  Sprawdź konfigurację montażu ISO na wirtualnym hostze. Sprawdź, czy plik ISO istnieje, czy jest skonfigurowany do montażu na ponownym uruchomieniu i czy został pomyślnie zainstalowany.

                                                                                                                                                  Rozwiązywanie problemów z hybrydowymi zabezpieczeniami danych

                                                                                                                                                  Podczas rozwiązywania problemów z hybrydowymi zabezpieczeniami danych należy stosować następujące ogólne wytyczne.
                                                                                                                                                  1

                                                                                                                                                  Przejrzyj Control Hub dla wszystkich alertów i naprawić wszystkie znalezione tam elementy.

                                                                                                                                                  2

                                                                                                                                                  Przejrzyj wyjście serwera dziennika systemowego pod kątem aktywności z wdrożenia hybrydowego zabezpieczenia danych.

                                                                                                                                                  3

                                                                                                                                                  Skontaktuj się z pomocą techniczną Cisco.

                                                                                                                                                  Inne uwagi

                                                                                                                                                  Znane problemy dotyczące hybrydowych zabezpieczeń danych

                                                                                                                                                  • Jeśli zamkniesz klaster hybrydowego zabezpieczenia danych (usuwając go w Control Hub lub zamykając wszystkie węzły), stracisz plik ISO konfiguracji lub utracisz dostęp do bazy danych keystore, użytkownicy aplikacji Webex nie będą mogli już korzystać ze spacji na liście Osoby utworzonej za pomocą kluczy z KMS. Dotyczy to zarówno wdrożeń próbnych, jak i produkcyjnych. Obecnie nie mamy obejścia ani rozwiązania tego problemu i zachęcamy do niezamykania usług HDS po obsłudze aktywnych kont użytkowników.

                                                                                                                                                  • Klient z istniejącym połączeniem ECDH z KMS utrzymuje to połączenie przez pewien czas (prawdopodobnie godzinę). Gdy użytkownik staje się członkiem próby hybrydowego zabezpieczenia danych, klient użytkownika nadal korzysta z istniejącego połączenia ECDH do czasu jego wyłączenia. Alternatywnie, użytkownik może wylogować się i wrócić do aplikacji Webex, aby zaktualizować lokalizację, z którą kontaktuje się aplikacja w przypadku kluczy szyfrowania.

                                                                                                                                                    To samo zachowanie występuje podczas przenoszenia próby do produkcji dla organizacji. Wszyscy użytkownicy spoza wersji próbnej posiadający istniejące połączenia ECDH z poprzednimi służbami bezpieczeństwa danych będą nadal korzystać z tych usług do czasu renegocjacji połączenia ECDH (poprzez limit czasu lub poprzez wylogowanie i powrót).

                                                                                                                                                  Użyj protokołu OpenSSL, aby wygenerować plik PKCS12

                                                                                                                                                  Przed rozpoczęciem

                                                                                                                                                  • OpenSSL jest jednym z narzędzi, które można wykorzystać do tworzenia pliku PKCS12 w odpowiednim formacie do ładowania w narzędziu konfiguracji HDS. Istnieją inne sposoby, aby to zrobić, i nie popieramy ani nie promujemy jednej drogi nad drugą.

                                                                                                                                                  • Jeśli zdecydujesz się korzystać z OpenSSL, zapewniamy tę procedurę jako wytyczną, która pomoże Ci utworzyć plik spełniający wymagania certyfikatu X.509 w wymaganiach certyfikatów X.509. Zrozum te wymagania, zanim przejdziesz dalej.

                                                                                                                                                  • Zainstaluj OpenSSL w obsługiwanym środowisku. Patrz https://www.openssl.org oprogramowanie i dokumentacja.

                                                                                                                                                  • Utwórz klucz prywatny.

                                                                                                                                                  • Procedurę tę należy rozpocząć po otrzymaniu certyfikatu serwera od urzędu certyfikacji.

                                                                                                                                                  1

                                                                                                                                                  Po otrzymaniu certyfikatu serwera z urzędu certyfikacji zapisz go jako hdsnode.pem.

                                                                                                                                                  2

                                                                                                                                                  Wyświetl certyfikat jako tekst i zweryfikuj szczegóły.

                                                                                                                                                  openssl x509 -text -noout -in hdsnode.pem

                                                                                                                                                  3

                                                                                                                                                  Użyj edytora tekstu, aby utworzyć plik pakietu certyfikatów o nazwie hdsnode-bundle.pem. Plik pakietu musi zawierać certyfikat serwera, wszystkie pośrednie certyfikaty urzędu certyfikacji oraz podstawowe certyfikaty urzędu certyfikacji w formacie poniżej:

                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ### Server certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ###  Intermediate CA certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ###  Root CA certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  4

                                                                                                                                                  Utwórz plik .p12 o przyjaznej nazwie kms-private-key.

                                                                                                                                                  openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

                                                                                                                                                  5

                                                                                                                                                  Sprawdź szczegóły certyfikatu serwera.

                                                                                                                                                  1. openssl pkcs12 -in hdsnode.p12

                                                                                                                                                  2. Wprowadź hasło po wyświetleniu monitu, aby zaszyfrować klucz prywatny w taki sposób, aby był wyświetlany na wyjściu. Następnie sprawdź, czy klucz prywatny i pierwszy certyfikat zawierają linie friendlyName: kms-private-key.

                                                                                                                                                    Przykład:

                                                                                                                                                    bash$ openssl pkcs12 -in hdsnode.p12
                                                                                                                                                    Enter Import Password:
                                                                                                                                                    MAC verified OK
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: kms-private-key
                                                                                                                                                        localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
                                                                                                                                                    Key Attributes: <No Attributes>
                                                                                                                                                    Enter PEM pass phrase:
                                                                                                                                                    Verifying - Enter PEM pass phrase:
                                                                                                                                                    -----BEGIN ENCRYPTED PRIVATE KEY-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END ENCRYPTED PRIVATE KEY-----
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: kms-private-key
                                                                                                                                                        localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
                                                                                                                                                    subject=/CN=hds1.org6.portun.us
                                                                                                                                                    issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
                                                                                                                                                    -----BEGIN CERTIFICATE-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END CERTIFICATE-----
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US
                                                                                                                                                    subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
                                                                                                                                                    issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3
                                                                                                                                                    -----BEGIN CERTIFICATE-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END CERTIFICATE-----

                                                                                                                                                  Co zrobić dalej

                                                                                                                                                  Powróć, aby ukończyć wymagania wstępne dotyczące hybrydowego zabezpieczenia danych. Korzystasz z hdsnode.p12 plik i ustawione dla niego hasło w Utwórz ISO konfiguracji dla prowadzących HDS.


                                                                                                                                                   

                                                                                                                                                  Możesz ponownie użyć tych plików, aby poprosić o nowy certyfikat po wygaśnięciu oryginalnego certyfikatu.

                                                                                                                                                  Ruch między węzłami HDS a chmurą

                                                                                                                                                  Ruch zbierania metryk wychodzących

                                                                                                                                                  Węzły hybrydowego zabezpieczenia danych wysyłają pewne metryki do chmury Webex. Obejmują one metryki systemowe dla maks. stosu, stosowanego stosu, obciążenia procesora i liczenia wątków; metryki na wątkach synchronicznych i asynchronicznych; metryki na alertach obejmujące próg połączeń szyfrowania, opóźnienie lub długość kolejki żądań; metryki na zbiorniku danych; oraz metryki połączeń szyfrowania. Węzły wysyłają zaszyfrowany materiał klucza przez kanał poza pasmem (oddzielony od żądania).

                                                                                                                                                  Ruch przychodzący

                                                                                                                                                  Węzły hybrydowego zabezpieczenia danych otrzymują następujące typy ruchu przychodzącego z chmury Webex:

                                                                                                                                                  • Żądania szyfrowania od klientów, które są kierowane przez usługę szyfrowania

                                                                                                                                                  • Aktualizacja do oprogramowania węzła

                                                                                                                                                  Konfigurowanie serwerów proxy Squid dla hybrydowych zabezpieczeń danych

                                                                                                                                                  Websocket Nie Można Połączyć Za Pomocą Proxy Squid

                                                                                                                                                  Pełnomocnicy Squid, którzy sprawdzają ruch HTTPS, mogą ingerować w tworzenie websocket ( wss:) połączenia, których wymaga Hybrid Data Security. Sekcje te zawierają wskazówki dotyczące konfigurowania różnych wersji Squid do ignorowania wss: ruch w celu prawidłowego funkcjonowania usług.

                                                                                                                                                  Squid 4 i 5

                                                                                                                                                  Dodaj on_unsupported_protocol dyrektywa do squid.conf:

                                                                                                                                                  on_unsupported_protocol tunnel all

                                                                                                                                                  Squid 3.5.27

                                                                                                                                                  Z powodzeniem przetestowaliśmy hybrydowe zabezpieczenia danych, dodając następujące zasady squid.conf. Zasady te mogą ulec zmianie w miarę opracowywania funkcji i aktualizacji chmury Webex.

                                                                                                                                                  acl wssMercuryConnection ssl::server_name_regex mercury-connection
                                                                                                                                                  
                                                                                                                                                  ssl_bump splice wssMercuryConnection
                                                                                                                                                  
                                                                                                                                                  acl step1 at_step SslBump1
                                                                                                                                                  acl step2 at_step SslBump2
                                                                                                                                                  acl step3 at_step SslBump3
                                                                                                                                                  ssl_bump peek step1 all
                                                                                                                                                  ssl_bump stare step2 all
                                                                                                                                                  ssl_bump bump step3 all
                                                                                                                                                  Przedmowa

                                                                                                                                                  Nowe i zmienione informacje

                                                                                                                                                  Data

                                                                                                                                                  Zmiany

                                                                                                                                                  20 października 2023 r.

                                                                                                                                                  07 sierpnia 2023 r.

                                                                                                                                                  23 maja 2023 r.

                                                                                                                                                  06 grudnia 2022 r.

                                                                                                                                                  23 listopada 2022 r.

                                                                                                                                                  • Węzły HDS mogą teraz używać uwierzytelniania systemu Windows w usłudze Microsoft SQL Server.

                                                                                                                                                    Zaktualizowano temat wymagań serwera bazy danych z dodatkowymi wymaganiami dla tego trybu uwierzytelniania.

                                                                                                                                                    Zaktualizowano Utwórz ISO konfiguracji hostów HDS z procedurą konfigurowania uwierzytelniania systemu Windows w węzłach.

                                                                                                                                                  • Zaktualizowano temat wymagań serwera bazy danych o nowe minimalne wymagane wersje (PostgreSQL 10).

                                                                                                                                                  13 października 2021 r.

                                                                                                                                                  Docker Desktop musi uruchomić program konfiguracji przed zainstalowaniem węzłów HDS. Zobacz Wymagania Dotyczące Pulpitu Docker.

                                                                                                                                                  24 czerwca 2021 r.

                                                                                                                                                  Pamiętaj, że możesz ponownie użyć pliku klucza prywatnego i CSR, aby poprosić o inny certyfikat. Aby uzyskać szczegółowe informacje, zobacz Użyj OpenSSL, aby wygenerować plik PKCS12.

                                                                                                                                                  30 kwietnia 2021 r.

                                                                                                                                                  Zmieniono wymaganie VM dla lokalnego miejsca na dysku twardym na 30 GB. Szczegółowe informacje można znaleźć w sekcji Wymagania wirtualnego prowadzącego.

                                                                                                                                                  24 lutego 2021 r.

                                                                                                                                                  Narzędzie konfiguracji usługi HDS może teraz działać za serwerem proxy. Aby uzyskać szczegółowe informacje, zobacz Tworzenie ISO konfiguracji hostów HDS.

                                                                                                                                                  2 lutego 2021 r.

                                                                                                                                                  HDS może teraz działać bez zamontowanego pliku ISO. Aby uzyskać szczegółowe informacje, zobacz (Opcjonalnie) Odinstaluj ISO Po Konfiguracji HDS.

                                                                                                                                                  11 stycznia 2021 r.

                                                                                                                                                  Dodano informacje o narzędziu do konfiguracji HDS i pełnomocnikach, aby utworzyć ISO konfiguracji dla prowadzących HDS.

                                                                                                                                                  13 października 2020 r.

                                                                                                                                                  Zaktualizowano Pobierz pliki instalacyjne.

                                                                                                                                                  8 października 2020 r.

                                                                                                                                                  Zaktualizowano Utwórz ISO konfiguracji dla prowadzących HDS i zmień konfigurację węzła za pomocą poleceń dla środowisk FedRAMP.

                                                                                                                                                  14 sierpnia 2020 r.

                                                                                                                                                  Zaktualizowano Utwórz ISO konfiguracji dla prowadzących HDS i zmień konfigurację węzła ze zmianami w procesie logowania.

                                                                                                                                                  5 sierpnia 2020 r.

                                                                                                                                                  Zaktualizowano testowanie wdrażania hybrydowego zabezpieczenia danych pod kątem zmian w komunikatach dziennika.

                                                                                                                                                  Zaktualizowano wymagania hosta wirtualnego , aby usunąć maksymalną liczbę hostów.

                                                                                                                                                  16 czerwca 2020 r.

                                                                                                                                                  Zaktualizowano Usuwanie węzła pod kątem zmian w interfejsie interfejsu Control Hub.

                                                                                                                                                  4 czerwca 2020 r.

                                                                                                                                                  Zaktualizowano Tworzenie ISO konfiguracji dla hostów HDS w celu wprowadzenia zmian w ustawieniach zaawansowanych, które można ustawić.

                                                                                                                                                  29 maja 2020 r.

                                                                                                                                                  Zaktualizowano Utwórz ISO konfiguracji dla hostów HDS , aby pokazać, że można również używać TLS z bazami danych SQL Server, zmianami interfejsu użytkownika i innymi wyjaśnieniami.

                                                                                                                                                  5 maja 2020 r.

                                                                                                                                                  Zaktualizowano wymagania hosta wirtualnego , aby pokazać nowe wymagania ESXi 6.5.

                                                                                                                                                  21 kwietnia 2020 r.

                                                                                                                                                  Zaktualizowane wymagania dotyczące łączności zewnętrznej z nowymi hostami CI Americas.

                                                                                                                                                  1 kwietnia 2020 r.

                                                                                                                                                  Zaktualizowane wymagania dotyczące łączności zewnętrznej z informacjami na temat regionalnych prowadzących CI.

                                                                                                                                                  20 lutego 2020 r.Zaktualizowano Utwórz ISO konfiguracji hostów HDS z informacjami na nowym opcjonalnym ekranie ustawień zaawansowanych w narzędziu do konfiguracji HDS.
                                                                                                                                                  4 lutego 2020 r.Zaktualizowano wymagania serwera proxy.
                                                                                                                                                  16 grudnia 2019 r.Wyjaśnione wymagania dotyczące zablokowanego zewnętrznego trybu rozdzielczości DNS do pracy w wymaganiach serwera proxy.
                                                                                                                                                  19 listopada 2019 r.

                                                                                                                                                  Dodano informacje o zablokowanym zewnętrznym trybie rozpoznawania DNS w następujących sekcjach:

                                                                                                                                                  8 listopada 2019 r.

                                                                                                                                                  Teraz można skonfigurować ustawienia sieciowe węzła podczas wdrażania OVA, a nie później.

                                                                                                                                                  Zaktualizowano odpowiednio następujące sekcje:


                                                                                                                                                   

                                                                                                                                                  Opcja konfigurowania ustawień sieciowych podczas wdrażania OVA została przetestowana z ESXi 6.5. Opcja może nie być dostępna we wcześniejszych wersjach.

                                                                                                                                                  6 września 2019 r.

                                                                                                                                                  Dodano SQL Server Standard do wymagań serwera bazy danych.

                                                                                                                                                  29 sierpnia 2019 r.Dodano Configure Squid Proxies for Hybrid Data Security appendix z wytycznymi dotyczącymi konfigurowania serwerów proxy Squid w celu zignorowania ruchu websocket w celu prawidłowej obsługi.
                                                                                                                                                  20 sierpnia 2019 r.

                                                                                                                                                  Dodano i zaktualizowano sekcje, aby objąć obsługę proxy komunikacji węzła hybrydowego bezpieczeństwa danych z chmurą Webex.

                                                                                                                                                  Aby uzyskać dostęp tylko do zawartości obsługi serwera proxy dla istniejącego wdrożenia, zobacz artykuł pomocy Proxy Support for Hybrid Data Security i Webex Video Mesh .

                                                                                                                                                  13 czerwca 2019 r.Zaktualizowano próbny do przepływu zadań produkcyjnych z przypomnieniem o synchronizacji HdsTrialGroup obiekt grupowy przed rozpoczęciem próby, jeśli Twoja organizacja korzysta z synchronizacji katalogu.
                                                                                                                                                  6 marca 2019 r.
                                                                                                                                                  28 lutego 2019 r.
                                                                                                                                                  • Skorygowano ilość lokalnego miejsca na dysku twardym na serwer, którą należy odłożyć podczas przygotowywania wirtualnych hostów, które stają się węzłami hybrydowego zabezpieczenia danych, z 50 GB do 20 GB, aby odzwierciedlić rozmiar dysku, który tworzy OVA.

                                                                                                                                                  26 lutego 2019 r.
                                                                                                                                                  • Węzły hybrydowego zabezpieczenia danych obsługują teraz szyfrowane połączenia z serwerami bazy danych PostgreSQL i szyfrowane połączenia rejestrowania z serwerem dziennika systemowego obsługującym protokół TLS. Zaktualizowano Tworzenie ISO konfiguracji dla prowadzących HDS z instrukcjami.

                                                                                                                                                  • Usunięto adresy URL docelowe z tabeli „Wymagania dotyczące łączności internetowej dla hybrydowych węzłów bezpieczeństwa danych”. Tabela odnosi się teraz do listy utrzymywanej w tabeli „Dodatkowe adresy URL usług hybrydowych Webex Teams” dotyczącej wymagań sieciowych dla usług Webex Teams.

                                                                                                                                                  24 stycznia 2019 r.

                                                                                                                                                  • Hybrid Data Security obsługuje teraz Microsoft SQL Server jako bazę danych. Serwer SQL Always On (Klastry Always On Failover i grupy Always On Availability) jest obsługiwany przez sterowniki JDBC używane w hybrydowych zabezpieczeniach danych. Dodano zawartość związaną z wdrożeniem z programem SQL Server.


                                                                                                                                                     

                                                                                                                                                    Obsługa rozwiązania Microsoft SQL Server jest przeznaczona tylko dla nowych wdrożeń hybrydowych zabezpieczeń danych. Obecnie nie obsługujemy migracji danych z serwera PostgreSQL na serwer Microsoft SQL Server w istniejącym wdrożeniu.

                                                                                                                                                  5 listopada 2018 r.
                                                                                                                                                  19 października 2018 r.

                                                                                                                                                  31 lipca 2018 r.

                                                                                                                                                  21 maja 2018 r.

                                                                                                                                                  Zmieniona terminologia odzwierciedlająca zmianę marki Cisco Spark:

                                                                                                                                                  • Cisco Spark Hybrid Data Security jest teraz Hybrid Data Security.

                                                                                                                                                  • Aplikacja Cisco Spark jest teraz aplikacją Webex.

                                                                                                                                                  • Cisco Collaboraton Cloud jest teraz chmurą Webex.

                                                                                                                                                  11 kwietnia 2018 r.
                                                                                                                                                  22 lutego 2018 r.
                                                                                                                                                  Luty 15, 2018
                                                                                                                                                  • W tabeli Wymagania dotyczące certyfikatów X.509 określono, że certyfikat nie może być certyfikatem z wieloznacznymi kartami i że KMS używa domeny CN, a nie żadnej domeny zdefiniowanej w polach SAN x.509v3.

                                                                                                                                                  Styczeń 18, 2018

                                                                                                                                                  2 listopada 2017 r.

                                                                                                                                                  • Skrócona synchronizacja katalogu grupy HdsTrialGroup.

                                                                                                                                                  • Stałe instrukcje dotyczące przesyłania pliku konfiguracyjnego ISO w celu montażu w węzłach VM.

                                                                                                                                                  18 sierpnia 2017 r.

                                                                                                                                                  Pierwsza publikacja

                                                                                                                                                  Rozpocznij pracę z Hybrid Data Security

                                                                                                                                                  Przegląd zabezpieczeń danych hybrydowych

                                                                                                                                                  Od pierwszego dnia bezpieczeństwo danych było głównym celem projektowania aplikacji Webex. Podstawą tych zabezpieczeń jest kompleksowe szyfrowanie zawartości, włączane przez klientów aplikacji Webex , którzy wchodzą w interakcję z usługą zarządzania kluczami (KMS). Usługa KMS jest odpowiedzialna za tworzenie kluczy kryptograficznych używanych przez klientów do dynamicznego szyfrowania i odszyfrowywania wiadomości i plików oraz zarządzanie nimi.

                                                                                                                                                  Domyślnie wszyscy klienci aplikacji Webex otrzymują kompleksowe szyfrowanie za pomocą kluczy dynamicznych przechowywanych w chmurze KMS w obszarze bezpieczeństwa firmy Cisco. Hybrid Data Security przenosi usługę KMS i inne funkcje związane z bezpieczeństwem do centrum danych przedsiębiorstwa, dzięki czemu nikt poza Tobą nie ma kluczy do zaszyfrowanej zawartości.

                                                                                                                                                  Architektura domeny zabezpieczeń

                                                                                                                                                  Architektura chmury Webex oddziela różne rodzaje usług od osobnych domen lub domen zaufania, jak przedstawiono poniżej.

                                                                                                                                                  Realms of Separation (bez hybrydowego zabezpieczenia danych)

                                                                                                                                                  Aby lepiej zrozumieć hybrydowe zabezpieczenia danych, spójrzmy najpierw na ten przypadek czystej chmury, w którym firma Cisco zapewnia wszystkie funkcje w swoich domenach w chmurze. Usługa tożsamości, jedyne miejsce, w którym użytkownicy mogą być bezpośrednio skorelowani ze swoimi danymi osobowymi, takimi jak adres e-mail, jest logicznie i fizycznie oddzielona od domeny bezpieczeństwa w centrum danych B. Oba są z kolei oddzielone od domeny, w której ostatecznie przechowywana jest zaszyfrowana zawartość, w centrum danych C.

                                                                                                                                                  Na tym schemacie klient to aplikacja Webex działająca na laptopie użytkownika i uwierzytelniona za pomocą usługi tożsamości. Gdy użytkownik komponuje wiadomość do wysłania do obszaru, wykonywane są następujące czynności:

                                                                                                                                                  1. Klient ustanawia bezpieczne połączenie z usługą zarządzania kluczami (KMS), a następnie prosi o klucz do szyfrowania wiadomości. Bezpieczne połączenie korzysta z ECDH, a KMS szyfruje klucz przy użyciu klucza głównego AES-256.

                                                                                                                                                  2. Wiadomość jest szyfrowana przed opuszczeniem klienta. Klient wysyła go do usługi indeksowania, która tworzy zaszyfrowane indeksy wyszukiwania, aby pomóc w przyszłych wyszukiwaniach zawartości.

                                                                                                                                                  3. Zaszyfrowana wiadomość jest wysyłana do usługi zgodności w celu sprawdzenia zgodności.

                                                                                                                                                  4. Zaszyfrowana wiadomość jest przechowywana w domenie przechowywania.

                                                                                                                                                  Podczas wdrażania hybrydowego zabezpieczenia danych funkcje domeny zabezpieczeń (KMS, indeksowanie i zgodność) są przenoszone do lokalnego centrum danych. Inne usługi w chmurze, które składają się na usługę Webex (w tym pamięć masowa tożsamości i zawartości), pozostają w domenach Cisco.

                                                                                                                                                  Współpraca z innymi organizacjami

                                                                                                                                                  Użytkownicy w organizacji mogą regularnie korzystać z aplikacji Webex do współpracy z uczestnikami zewnętrznymi w innych organizacjach. Gdy jeden z użytkowników prosi o klucz do obszaru należącego do organizacji (ponieważ został on utworzony przez jednego z użytkowników), KMS wysyła klucz do klienta za pośrednictwem kanału zabezpieczonego ECDH. Jednak gdy inna organizacja jest właścicielem klucza dla obszaru, system KMS kieruje żądanie do chmury Webex przez osobny kanał ECDH, aby uzyskać klucz z odpowiedniego systemu KMS, a następnie zwraca go do użytkownika na oryginalnym kanale.

                                                                                                                                                  Usługa KMS działająca na Org A weryfikuje połączenia z KMSs w innych organizacjach za pomocą certyfikatów PKI x.509. Aby uzyskać szczegółowe informacje na temat generowania certyfikatu x.509 do użytku z wdrożeniem hybrydowego zabezpieczenia danych, zobacz Prepare Your Environment (Przygotowanie środowiska).

                                                                                                                                                  Oczekiwania dotyczące wdrażania hybrydowych zabezpieczeń danych

                                                                                                                                                  Wdrożenie hybrydowego zabezpieczenia danych wymaga znacznego zaangażowania klienta i świadomości ryzyka związanego z posiadaniem kluczy szyfrowania.

                                                                                                                                                  Aby wdrożyć hybrydowe zabezpieczenia danych, należy zapewnić:

                                                                                                                                                  Kompletna utrata konfiguracji ISO utworzonej dla hybrydowego zabezpieczenia danych lub dostarczonej bazy danych spowoduje utratę kluczy. Utrata klucza uniemożliwia użytkownikom odszyfrowanie zawartości obszaru i innych zaszyfrowanych danych w aplikacji Webex. Jeśli tak się stanie, możesz zbudować nowe wdrożenie, ale widoczna będzie tylko nowa zawartość. Aby uniknąć utraty dostępu do danych, należy:

                                                                                                                                                  • Zarządzanie kopią zapasową i odzyskiwaniem bazy danych oraz konfiguracją ISO.

                                                                                                                                                  • Przygotuj się do szybkiego odzyskiwania awaryjnego w przypadku wystąpienia katastrofy, takiej jak awaria dysku bazy danych lub awaria centrum danych.


                                                                                                                                                   

                                                                                                                                                  Nie ma mechanizmu przenoszenia kluczy z powrotem do chmury po wdrożeniu HDS.

                                                                                                                                                  Proces konfiguracji na wysokim poziomie

                                                                                                                                                  Niniejszy dokument obejmuje konfigurację i zarządzanie wdrożeniem hybrydowego zabezpieczenia danych:

                                                                                                                                                  • Skonfiguruj hybrydowe zabezpieczenia danych— obejmuje to przygotowanie wymaganej infrastruktury i zainstalowanie oprogramowania hybrydowego zabezpieczenia danych, testowanie wdrożenia z podzbiorem użytkowników w trybie próbnym oraz, po zakończeniu testów, przejście do produkcji. Spowoduje to konwertowanie całej organizacji do używania klastra Hybrid Data Security dla funkcji zabezpieczeń.

                                                                                                                                                    Etapy konfiguracji, prób i produkcji zostały szczegółowo omówione w kolejnych trzech rozdziałach.

                                                                                                                                                  • Utrzymuj wdrożenie hybrydowego zabezpieczenia danych— chmura Webex automatycznie zapewnia trwające uaktualnienia. Dział IT może zapewnić wsparcie poziomu pierwszego dla tego wdrożenia i zaangażować wsparcie Cisco w razie potrzeby. Możesz korzystać z powiadomień na ekranie i konfigurować alerty oparte na wiadomościach e-mail w Control Hub.

                                                                                                                                                  • Zrozumienie wspólnych alertów, kroków rozwiązywania problemów i znanych problemów— w przypadku wystąpienia problemów z wdrożeniem lub użyciem hybrydowego zabezpieczenia danych ostatni rozdział niniejszego przewodnika i dodatku do Znanych problemów może pomóc w określeniu i rozwiązaniu problemu.

                                                                                                                                                  Hybrydowy model wdrażania zabezpieczeń danych

                                                                                                                                                  W centrum danych przedsiębiorstwa wdrażasz hybrydowe zabezpieczenia danych jako jeden klaster węzłów na osobnych hostach wirtualnych. Węzły komunikują się z chmurą Webex za pośrednictwem bezpiecznych websocketów i bezpiecznego protokołu HTTP.

                                                                                                                                                  Podczas procesu instalacji dostarczamy Ci plik OVA do skonfigurowania urządzenia wirtualnego na dostarczonych maszynach wirtualnych. Narzędzie konfiguracyjne HDS służy do tworzenia niestandardowego pliku ISO konfiguracji klastra, który jest montowany w każdym węźle. Klaster Hybrid Data Security korzysta z dostarczonego serwera Syslogd i bazy danych PostgreSQL lub Microsoft SQL Server. (Szczegóły połączenia Syslogd i bazy danych można skonfigurować w narzędziu konfiguracji HDS).

                                                                                                                                                  Hybrydowy model wdrażania zabezpieczeń danych

                                                                                                                                                  Minimalna liczba węzłów w klastrze to dwa. Zalecamy co najmniej trzy, a możesz mieć do pięciu. Posiadanie wielu węzłów zapewnia, że usługa nie zostanie przerwana podczas uaktualniania oprogramowania lub innej czynności konserwacyjnej w węźle. (Chmura Webex aktualizuje tylko jeden węzeł naraz).

                                                                                                                                                  Wszystkie węzły w klastrze mają dostęp do tego samego rekordu danych klucza i aktywności dziennika na tym samym serwerze dziennika systemowego. Same węzły są bezpaństwowe i obsługują żądania kluczy w sposób okrągły, zgodnie z zaleceniami chmury.

                                                                                                                                                  Węzły stają się aktywne po zarejestrowaniu ich w Control Hub. Aby usunąć pojedynczy węzeł z usługi, można go wyrejestrować, a następnie ponownie wyrejestrować w razie potrzeby.

                                                                                                                                                  Obsługujemy tylko jeden klaster na organizację.

                                                                                                                                                  Tryb próbny zabezpieczeń danych hybrydowych

                                                                                                                                                  Po skonfigurowaniu wdrożenia hybrydowego zabezpieczenia danych spróbuj go najpierw z zestawem użytkowników pilotażowych. W okresie próbnym użytkownicy ci wykorzystują lokalną domenę hybrydowego zabezpieczenia danych do szyfrowania kluczy i innych usług domeny zabezpieczeń. Inni użytkownicy nadal korzystają ze sfery zabezpieczeń w chmurze.

                                                                                                                                                  Jeśli zdecydujesz się nie kontynuować wdrażania podczas wersji próbnej i dezaktywować usługi, użytkownicy pilotażowi i wszyscy użytkownicy, z którymi współpracowali, tworząc nowe obszary w okresie próbnym, utracą dostęp do wiadomości i treści. Zostanie wyświetlony komunikat „Nie można odszyfrować tej wiadomości” w aplikacji Webex.

                                                                                                                                                  Jeśli jesteś zadowolony, że wdrożenie działa dobrze dla użytkowników próbnych i jesteś gotowy do rozszerzenia hybrydowego zabezpieczenia danych na wszystkich użytkowników, przenosisz wdrożenie do produkcji. Użytkownicy pilotażowi nadal mają dostęp do kluczy, które były używane podczas próby. Nie można jednak poruszać się w tę i z powrotem między trybem produkcji a oryginalnym testem. Jeśli musisz dezaktywować usługę, na przykład w celu przeprowadzenia odzyskiwania po awarii, po ponownej aktywacji musisz rozpocząć nową wersję próbną i skonfigurować zestaw użytkowników pilotażowych dla nowej wersji próbnej przed powrotem do trybu produkcji. To, czy użytkownicy zachowują w tym momencie dostęp do danych, zależy od tego, czy udało się zachować kopie zapasowe kluczowego magazynu danych i pliku konfiguracyjnego ISO dla węzłów hybrydowych zabezpieczeń danych w klastrze.

                                                                                                                                                  Standby Data Center for Disaster Recovery

                                                                                                                                                  Podczas wdrażania skonfigurowano bezpieczne centrum danych w trybie gotowości. W przypadku awarii centrum danych można ręcznie anulować wdrożenie do centrum danych w trybie gotowości.

                                                                                                                                                  Before failover, Data Center A has active HDS nodes and the primary PostgreSQL or Microsoft SQL Server database, while B has a copy of the ISO file with additional configurations, VMs that are registered to the organization, and a standby database. After failover, Data Center B has active HDS nodes and the primary database, while A has unregistered VMs and a copy of the ISO file, and the database is in standby mode.
                                                                                                                                                  Ręczne przełączanie awaryjne do Standby Data Center

                                                                                                                                                  Bazy danych aktywnych i standby centrów danych są ze sobą zsynchronizowane, co zminimalizuje czas potrzebny na wykonanie przełącznika awaryjnego. Plik ISO centrum danych w trybie gotowości jest aktualizowany o dodatkowe konfiguracje, które zapewniają rejestrację węzłów w organizacji, ale nie obsługują ruchu. Stąd węzły standby data center zawsze pozostają aktualne z najnowszą wersją oprogramowania HDS.


                                                                                                                                                   

                                                                                                                                                  Aktywne węzły hybrydowego zabezpieczenia danych muszą zawsze znajdować się w tym samym centrum danych, co aktywny serwer bazy danych.

                                                                                                                                                  Konfiguracja Standby Data Center do odzyskiwania awarii

                                                                                                                                                  Wykonaj poniższe czynności, aby skonfigurować plik ISO centrum danych w trybie gotowości:

                                                                                                                                                  Przed rozpoczęciem

                                                                                                                                                  • Centrum danych w stanie gotowości powinno odzwierciedlać środowisko produkcyjne maszyn wirtualnych oraz zapasową bazę danych PostgreSQL lub Microsoft SQL Server. Na przykład, jeśli produkcja ma 3 maszyny wirtualne z węzłami HDS, środowisko tworzenia kopii zapasowych powinno mieć 3 maszyny wirtualne (zobacz Standby Data Center for Disaster Recovery , aby zapoznać się z tym modelem failover).

                                                                                                                                                  • Upewnij się, że synchronizacja bazy danych jest włączona między bazą danych aktywnych i pasywnych węzłów klastra.

                                                                                                                                                  1

                                                                                                                                                  Uruchom narzędzie do konfiguracji HDS i wykonaj czynności opisane w dokumencie Create a Configuration ISO for the HDS Hosts.


                                                                                                                                                   

                                                                                                                                                  Plik ISO musi być kopią oryginalnego pliku ISO głównego centrum danych, na którym mają być dokonywane następujące aktualizacje konfiguracji.

                                                                                                                                                  2

                                                                                                                                                  Po skonfigurowaniu serwera Syslogd kliknij Ustawienia zaawansowane

                                                                                                                                                  3

                                                                                                                                                  Na stronie Ustawienia zaawansowane dodaj poniższą konfigurację, aby umieścić węzeł w trybie pasywnym. W tym trybie węzeł zostanie zarejestrowany w organizacji i połączony z chmurą, ale nie będzie obsługiwał żadnego ruchu.

                                                                                                                                                  
                                                                                                                                                  passiveMode: 'true'
                                                                                                                                                  
                                                                                                                                                  4

                                                                                                                                                  Zakończ proces konfiguracji i zapisz plik ISO w lokalizacji, która jest łatwa do znalezienia.

                                                                                                                                                  5

                                                                                                                                                  Wykonaj kopię zapasową pliku ISO w lokalnym systemie. Kopia zapasowa powinna być zabezpieczona. Ten plik zawiera główny klucz szyfrowania zawartości bazy danych. Ogranicz dostęp tylko do tych administratorów hybrydowych zabezpieczeń danych, którzy powinni wprowadzać zmiany w konfiguracji.

                                                                                                                                                  6

                                                                                                                                                  W lewym okienku nawigacyjnym klienta VMware vSphere kliknij prawym przyciskiem myszy maszynę wirtualną i kliknij opcję Edytuj ustawienia..

                                                                                                                                                  7

                                                                                                                                                  Kliknij opcję Edytuj ustawienia >Napęd CD/DVD 1 i wybierz Plik ISO Datastore.


                                                                                                                                                   

                                                                                                                                                  Upewnij się, że Connected and Connect at power on (Podłączono) są zaznaczone, aby zaktualizowane zmiany konfiguracji mogły wejść w życie po uruchomieniu węzłów.

                                                                                                                                                  8

                                                                                                                                                  Włącz węzeł HDS i upewnij się, że nie ma alarmów przez co najmniej 15 minut.

                                                                                                                                                  9

                                                                                                                                                  Powtórz proces dla każdego węzła w centrum danych standby.


                                                                                                                                                   

                                                                                                                                                  Sprawdź dzienniki syslog, aby sprawdzić, czy węzły są w trybie pasywnym. W dziennikach syslog należy mieć możliwość wyświetlania komunikatu „KMS skonfigurowany w trybie pasywnym”.

                                                                                                                                                  Co zrobić dalej

                                                                                                                                                  Po skonfigurowaniu passiveMode w pliku ISO i zapisanie go można utworzyć inną kopię pliku ISO bez passiveMode konfigurację i zapisanie w bezpiecznym miejscu. Ta kopia pliku ISO bez passiveMode skonfigurowany może pomóc w szybkim procesie awaryjnym podczas odzyskiwania po awarii. Aby zapoznać się ze szczegółową procedurą przywracania awaryjnego za pomocą Standby Data Center (Centrum danych gotowości).

                                                                                                                                                  Wsparcie proxy

                                                                                                                                                  Hybrydowe zabezpieczenia danych obsługują jednoznaczne, przejrzyste inspekcje i nieinspekcje serwerów proxy. Możesz powiązać te serwery proxy z wdrożeniem, aby można było zabezpieczyć i monitorować ruch z przedsiębiorstwa do chmury. Interfejsu administratora platformy można używać w węzłach do zarządzania certyfikatami i sprawdzania ogólnego stanu łączności po skonfigurowaniu serwera proxy w węzłach.

                                                                                                                                                  Węzły hybrydowego zabezpieczenia danych obsługują następujące opcje serwera proxy:

                                                                                                                                                  • Brak serwera proxy — ustawienie domyślne, jeśli w celu zintegrowania serwera proxy nie jest używane do konfiguracji węzła HDS Trust Store & Proxy. Nie jest wymagana aktualizacja certyfikatu.

                                                                                                                                                  • Przejrzysty serwer proxy niekontrolowany — węzły nie są skonfigurowane do używania określonego adresu serwera proxy i nie powinny wymagać żadnych zmian w pracy z serwerem proxy niekontrolowanym. Nie jest wymagana aktualizacja certyfikatu.

                                                                                                                                                  • Przejrzyste tunelowanie lub sprawdzanie serwera proxy — węzły nie są skonfigurowane do korzystania z określonego adresu serwera proxy. W węzłach nie są konieczne zmiany konfiguracji protokołu HTTP ani protokołu HTTPS. Węzły potrzebują jednak certyfikatu głównego, aby zaufać proxy. Informatycy zazwyczaj używają serwerów proxy do egzekwowania zasad, na których strony internetowe mogą być odwiedzane i które rodzaje treści są niedozwolone. Ten typ serwera proxy odszyfruje cały ruch (nawet HTTPS).

                                                                                                                                                  • Wyraźny serwer proxy — w przypadku wyraźnego serwera proxy należy wskazać węzły HDS, których serwer proxy i schemat uwierzytelniania należy używać. Aby skonfigurować wyraźny serwer proxy, należy wprowadzić następujące informacje w każdym węźle:

                                                                                                                                                    1. Proxy IP/FQDN — adres, którego można użyć do dotarcia do maszyny proxy.

                                                                                                                                                    2. Port serwera proxy— numer portu, którego serwer proxy używa do odsłuchiwania ruchu z serwerem proxy.

                                                                                                                                                    3. Protokół proxy— w zależności od tego, co obsługuje serwer proxy, wybierz między następującymi protokołami:

                                                                                                                                                      • HTTP — wyświetla i kontroluje wszystkie żądania wysyłane przez klienta.

                                                                                                                                                      • HTTPS — udostępnia kanał do serwera. Klient odbiera i weryfikuje certyfikat serwera.

                                                                                                                                                    4. Typ uwierzytelniania — wybierz spośród następujących typów uwierzytelniania:

                                                                                                                                                      • Brak — dalsze uwierzytelnianie nie jest wymagane.

                                                                                                                                                        Dostępne, jeśli jako protokół proxy zostanie wybrany protokół HTTP lub HTTPS.

                                                                                                                                                      • Basic — używane przez agenta użytkownika HTTP do podawania nazwy użytkownika i hasła podczas składania żądania. Korzysta z kodowania Base64.

                                                                                                                                                        Dostępne, jeśli jako protokół proxy zostanie wybrany protokół HTTP lub HTTPS.

                                                                                                                                                        Wymaga wprowadzenia nazwy użytkownika i hasła w każdym węźle.

                                                                                                                                                      • Digest — służy do potwierdzenia konta przed wysłaniem poufnych informacji. Przed wysłaniem za pośrednictwem sieci należy zastosować funkcję skrótu w nazwie użytkownika i hasłem.

                                                                                                                                                        Dostępne tylko po wybraniu protokołu HTTPS jako protokołu proxy.

                                                                                                                                                        Wymaga wprowadzenia nazwy użytkownika i hasła w każdym węźle.

                                                                                                                                                  Przykład węzłów hybrydowych zabezpieczeń danych i serwera proxy

                                                                                                                                                  Na tym wykresie przedstawiono przykładowe połączenie między hybrydowym zabezpieczeniem danych, siecią i serwerem proxy. W przypadku opcji przejrzystej inspekcji i jawnej inspekcji serwera proxy HTTPS ten sam certyfikat główny musi być zainstalowany na serwerze proxy i w węzłach hybrydowych zabezpieczeń danych.

                                                                                                                                                  Zablokowany zewnętrzny tryb rozpoznawania DNS (wyraźne konfiguracje serwera proxy)

                                                                                                                                                  Po zarejestrowaniu węzła lub sprawdzeniu konfiguracji serwera proxy węzła proces testuje wyszukiwanie DNS i łączność z chmurą Cisco Webex. W przypadku wdrożeń z wyraźnymi konfiguracjami serwera proxy, które nie zezwalają na zewnętrzną rozdzielczość DNS dla klientów wewnętrznych, jeśli węzeł nie może wyszukiwać serwerów DNS, automatycznie przechodzi on w tryb Zablokowanej zewnętrznej rozdzielczości DNS. W tym trybie można kontynuować rejestrację węzła i inne testy łączności serwera proxy.

                                                                                                                                                  Przygotuj swoje środowisko

                                                                                                                                                  Wymagania dotyczące hybrydowego bezpieczeństwa danych

                                                                                                                                                  Wymagania licencyjne Cisco Webex

                                                                                                                                                  Aby wdrożyć hybrydowe zabezpieczenia danych:

                                                                                                                                                  Docker Wymagania pulpitowe

                                                                                                                                                  Przed zainstalowaniem węzłów HDS potrzebny jest Docker Desktop do uruchomienia programu konfiguracji. Docker niedawno zaktualizował swój model licencjonowania. Twoja organizacja może wymagać płatnej subskrypcji platformy Docker Desktop. Aby uzyskać szczegółowe informacje, zobacz wpis w blogu platformy Docker, „ Docker aktualizuje i rozszerza subskrypcje naszych produktów ”.

                                                                                                                                                  Wymagania dotyczące certyfikatu X.509

                                                                                                                                                  Łańcuch certyfikatów musi spełniać następujące wymagania:

                                                                                                                                                  Tabela 1. X.509 Wymagania dotyczące certyfikatów dla wdrażania hybrydowego zabezpieczenia danych

                                                                                                                                                  Wymaganie

                                                                                                                                                  Szczegóły

                                                                                                                                                  • Podpisany przez zaufany urząd certyfikacji (CA)

                                                                                                                                                  Domyślnie ufamy urzędnikom na liście Mozilla (z wyjątkiem WoSign i StartCom) pod adresem https://wiki.mozilla.org/CA:IncludedCAs.

                                                                                                                                                  • Nazwa domeny wspólnej nazwy (CN) identyfikująca wdrożenie hybrydowego zabezpieczenia danych

                                                                                                                                                  • Nie jest certyfikatem wieloznacznych kart

                                                                                                                                                  CN nie musi być osiągalne ani hostem na żywo. Zalecamy używanie nazwy odzwierciedlającej np. organizację, hds.company.com.

                                                                                                                                                  CN nie może zawierać * (wildcard).

                                                                                                                                                  CN służy do weryfikacji węzłów hybrydowych zabezpieczeń danych dla klientów aplikacji Webex. Wszystkie węzły hybrydowego zabezpieczenia danych w klastrze używają tego samego certyfikatu. System KMS identyfikuje się za pomocą domeny CN, a nie żadnej domeny zdefiniowanej w polach SAN x.509v3.

                                                                                                                                                  Po zarejestrowaniu węzła z tym certyfikatem nie obsługujemy zmiany nazwy domeny CN. Wybierz domenę, która może mieć zastosowanie zarówno do wdrożeń próbnych, jak i produkcyjnych.

                                                                                                                                                  • Podpis inny niż SHA1

                                                                                                                                                  Oprogramowanie KMS nie obsługuje podpisów SHA1 w celu weryfikacji połączeń z KMSs innych organizacji.

                                                                                                                                                  • Formatowany jako plik PKCS #12 chroniony hasłem

                                                                                                                                                  • Użyj przyjaznej nazwy kms-private-key aby oznaczyć certyfikat, klucz prywatny i wszelkie certyfikaty pośrednie do przesłania.

                                                                                                                                                  Możesz użyć konwertera, takiego jak OpenSSL, aby zmienić format certyfikatu.

                                                                                                                                                  Po uruchomieniu narzędzia konfiguracji usługi HDS należy wprowadzić hasło.

                                                                                                                                                  Oprogramowanie KMS nie wymusza użycia klucza ani nie nakłada dodatkowych ograniczeń w jego używaniu. Niektóre organy certyfikatów wymagają, aby do każdego certyfikatu stosowano rozszerzone ograniczenia użycia kluczy, takie jak uwierzytelnianie serwera. Można używać uwierzytelniania serwera lub innych ustawień.

                                                                                                                                                  Wymagania dotyczące wirtualnego prowadzącego

                                                                                                                                                  Wirtualne hosty skonfigurowane jako węzły hybrydowego zabezpieczenia danych w klastrze mają następujące wymagania:

                                                                                                                                                  • Co najmniej dwa osobne hosty (zalecane 3) zestawione w tym samym bezpiecznym centrum danych

                                                                                                                                                  • Oprogramowanie VMware ESXi 6.5 (lub nowsze) zostało zainstalowane i uruchomione.


                                                                                                                                                     

                                                                                                                                                    Jeśli masz wcześniejszą wersję ESXi, musisz ją uaktualnić.

                                                                                                                                                  • Minimum 4 procesory vCPUs, 8-GB pamięci głównej, 30-GB lokalnego miejsca na dysk twardy na serwer

                                                                                                                                                  Wymagania serwera bazy danych


                                                                                                                                                   

                                                                                                                                                  Utwórz nową bazę danych do przechowywania kluczy. Nie używaj domyślnej bazy danych. Aplikacje HDS po zainstalowaniu tworzą schemat bazy danych.

                                                                                                                                                  Istnieją dwie opcje dla serwera bazy danych. Wymagania dla każdego z nich są następujące:

                                                                                                                                                  Tabela 2. Wymagania serwera bazy danych według typu bazy danych

                                                                                                                                                  PostgreSQL

                                                                                                                                                  Microsoft SQL Server

                                                                                                                                                  • PostgreSQL 14, 15 lub 16, zainstalowany i uruchomiony.

                                                                                                                                                  • Zainstalowano program SQL Server 2016, 2017 lub 2019 (Enterprise lub Standard).


                                                                                                                                                     

                                                                                                                                                    SQL Server 2016 wymaga pakietu usług 2 i zbiorczej aktualizacji 2 lub nowszej.

                                                                                                                                                  Minimum 8 procesorów vCPU, 16-GB pamięci głównej, wystarczająca ilość miejsca na dysku twardym i monitorowanie, aby upewnić się, że nie zostanie przekroczona (zalecane 2-TB, jeśli chcesz uruchomić bazę danych przez długi czas bez konieczności zwiększania pamięci)

                                                                                                                                                  Minimum 8 procesorów vCPU, 16-GB pamięci głównej, wystarczająca ilość miejsca na dysku twardym i monitorowanie, aby upewnić się, że nie zostanie przekroczona (zalecane 2-TB, jeśli chcesz uruchomić bazę danych przez długi czas bez konieczności zwiększania pamięci)

                                                                                                                                                  Oprogramowanie HDS instaluje obecnie następujące wersje sterowników do komunikacji z serwerem bazy danych:

                                                                                                                                                  PostgreSQL

                                                                                                                                                  Microsoft SQL Server

                                                                                                                                                  Postgres JDBC kierowca 42.2.5

                                                                                                                                                  SQL Server JDBC sterownik 4.6

                                                                                                                                                  Ta wersja sterownika obsługuje program SQL Server Always On (Always On Failover Cluster Instances oraz Always On availability groups).

                                                                                                                                                  Dodatkowe wymagania dotyczące uwierzytelniania systemu Windows w usłudze Microsoft SQL Server

                                                                                                                                                  Jeśli chcesz, aby węzły HDS używały uwierzytelniania w systemie Windows, aby uzyskać dostęp do bazy danych keystore na serwerze Microsoft SQL Server, potrzebujesz następującej konfiguracji w swoim środowisku:

                                                                                                                                                  • Węzły HDS, infrastruktura Active Directory i MS SQL Server muszą być synchronizowane z NTP.

                                                                                                                                                  • Konto systemu Windows dla węzłów HDS musi mieć dostęp do bazy danych do odczytu/zapisu.

                                                                                                                                                  • Serwery DNS dostarczane do węzłów HDS muszą być w stanie rozwiązać klucz centrum dystrybucji (KDC).

                                                                                                                                                  • Wystąpienie bazy danych HDS można zarejestrować na serwerze Microsoft SQL Server jako główną nazwę usługi (SPN) w usłudze Active Directory. Zobacz Rejestrowanie głównej nazwy usługi dla połączeń Kerberos.

                                                                                                                                                    Narzędzie do konfigurowania HDS, uruchamianie HDS i lokalne KMS muszą używać uwierzytelniania systemu Windows, aby uzyskać dostęp do bazy danych keystore. Używają szczegółów z konfiguracji ISO do budowy SPN podczas żądania dostępu za pomocą uwierzytelniania Kerberos.

                                                                                                                                                  Wymagania dotyczące połączeń zewnętrznych

                                                                                                                                                  Skonfiguruj zaporę, aby zezwolić na następującą łączność dla aplikacji HDS:

                                                                                                                                                  Aplikacja

                                                                                                                                                  Protokół

                                                                                                                                                  Port

                                                                                                                                                  Polecenie z aplikacji

                                                                                                                                                  Miejsce docelowe

                                                                                                                                                  Węzły hybrydowego zabezpieczenia danych

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  Zewnętrzne HTTPS i WSS

                                                                                                                                                  • Serwery Webex:

                                                                                                                                                    • *.wbx2.com

                                                                                                                                                    • *.ciscospark.com

                                                                                                                                                  • Wszystkie hosty Common Identity

                                                                                                                                                  • Inne adresy URL wymienione dla hybrydowych zabezpieczeń danych w tabeli Dodatkowe adresy URL dla usług hybrydowych Webex zawierającej wymagania sieciowe dla usług Webex

                                                                                                                                                  Narzędzie do konfigurowania HDS

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  Zewnętrzny protokół HTTPS

                                                                                                                                                  • *.wbx2.com

                                                                                                                                                  • Wszystkie hosty Common Identity

                                                                                                                                                  • hub.docker.com


                                                                                                                                                   

                                                                                                                                                  Węzły hybrydowego zabezpieczenia danych współpracują z tłumaczeniem dostępu do sieci (NAT) lub za zaporą, o ile NAT lub zapora zezwala na wymagane połączenia wychodzące z adresami domen w poprzedniej tabeli. W przypadku połączeń przychodzących do węzłów hybrydowego zabezpieczenia danych żadne porty nie powinny być widoczne z Internetu. W centrum danych klienci potrzebują dostępu do węzłów hybrydowych zabezpieczeń danych w portach TCP 443 i 22 do celów administracyjnych.

                                                                                                                                                  Adresy URL hostów Common Identity (CI) są specyficzne dla regionu. Są to bieżące hosty CI:

                                                                                                                                                  Region

                                                                                                                                                  Wspólne adresy URL prowadzącego tożsamości

                                                                                                                                                  Ameryka

                                                                                                                                                  • https://idbroker.webex.com

                                                                                                                                                  • https://identity.webex.com

                                                                                                                                                  • https://idbroker-b-us.webex.com

                                                                                                                                                  • https://identity-b-us.webex.com

                                                                                                                                                  Unia Europejska

                                                                                                                                                  • https://idbroker-eu.webex.com

                                                                                                                                                  • https://identity-eu.webex.com

                                                                                                                                                  Kanada

                                                                                                                                                  • https://idbroker-ca.webex.com

                                                                                                                                                  • https://identity-ca.webex.com

                                                                                                                                                  Wymagania serwera proxy

                                                                                                                                                  • Oficjalnie obsługujemy następujące rozwiązania proxy, które mogą integrować się z węzłami hybrydowego zabezpieczenia danych.

                                                                                                                                                    • Przejrzysty serwer proxy — Cisco Web Security Appliance (WSA).

                                                                                                                                                    • Wyraźny serwer proxy — Squid.


                                                                                                                                                       

                                                                                                                                                      Proxies Squid, które sprawdzają ruch HTTPS może kolidować z ustanowieniem websocket (wss:) połączeń. Aby rozwiązać ten problem, zobacz Configure Squid Proxies for Hybrid Data Security.

                                                                                                                                                  • Obsługujemy następujące kombinacje typów uwierzytelniania dla serwerów proxy:

                                                                                                                                                    • Brak uwierzytelniania przy użyciu protokołu HTTP lub HTTPS

                                                                                                                                                    • Uwierzytelnianie podstawowe przy użyciu protokołu HTTP lub HTTPS

                                                                                                                                                    • Uwierzytelnianie przy użyciu protokołu HTTPS

                                                                                                                                                  • W przypadku przejrzystego serwera proxy inspekcji lub bezpośredniego serwera proxy HTTPS należy posiadać kopię certyfikatu głównego serwera proxy. Instrukcje wdrażania zawarte w tym przewodniku informują o sposobie przesłania kopii do sklepów zaufania węzłów hybrydowych zabezpieczeń danych.

                                                                                                                                                  • Sieć hostująca węzły HDS musi być skonfigurowana tak, aby wymuszać wychodzący ruch TCP na porcie 443 na trasę przez serwer proxy.

                                                                                                                                                  • Serwery proxy, które kontrolują ruch sieciowy, mogą zakłócać połączenia z gniazdem internetowym. Jeśli wystąpi ten problem, omijając (nie kontrolując) ruch do wbx2.com i ciscospark.com rozwiąże problem.

                                                                                                                                                  Wypełnij wymagania wstępne dla hybrydowego zabezpieczenia danych

                                                                                                                                                  Użyj tej listy kontrolnej, aby upewnić się, że jesteś gotowy do zainstalowania i skonfigurowania klastra hybrydowego bezpieczeństwa danych.
                                                                                                                                                  1

                                                                                                                                                  Upewnij się, że Twoja organizacja Webex jest włączona dla pakietu Pro Pack dla Cisco Webex Control Hub i uzyskaj poświadczenia konta z pełnymi prawami administratora organizacji. Aby uzyskać pomoc w tym procesie, skontaktuj się z partnerem firmy Cisco lub menedżerem konta.

                                                                                                                                                  2

                                                                                                                                                  Wybierz nazwę domeny dla wdrożenia HDS (na przykład hds.company.com) i uzyskać łańcuch certyfikatów zawierający certyfikat X.509, klucz prywatny i wszelkie certyfikaty pośrednie. Łańcuch certyfikatów musi spełniać wymagania określone w X.509 Certificate Requirements.

                                                                                                                                                  3

                                                                                                                                                  Przygotuj identyczne wirtualne hosty, które skonfigurujesz jako węzły hybrydowego zabezpieczenia danych w klastrze. Potrzebne są co najmniej dwa oddzielne hosty (zalecane 3) zestawione w tym samym bezpiecznym centrum danych, które spełniają wymagania w Wymagania wirtualnego hosta.

                                                                                                                                                  4

                                                                                                                                                  Przygotuj serwer bazy danych, który będzie działał jako kluczowy magazyn danych dla klastra, zgodnie z wymaganiami serwera bazy danych. Serwer bazy danych musi być zestawiony w bezpiecznym centrum danych z wirtualnymi hostami.

                                                                                                                                                  1. Utwórz bazę danych do przechowywania kluczy. (Musisz utworzyć tę bazę danych — nie używaj domyślnej bazy danych. Aplikacje HDS, po zainstalowaniu, tworzą schemat bazy danych.)

                                                                                                                                                  2. Zbierz szczegóły używane przez węzły do komunikacji z serwerem bazy danych:

                                                                                                                                                    • nazwę prowadzącego lub adres IP (prowadzącego) i port

                                                                                                                                                    • nazwa bazy danych (dbname) do przechowywania kluczy

                                                                                                                                                    • nazwę użytkownika i hasło użytkownika ze wszystkimi uprawnieniami w bazie danych magazynu kluczy

                                                                                                                                                  5

                                                                                                                                                  W celu szybkiego odzyskiwania danych po awarii należy skonfigurować środowisko tworzenia kopii zapasowych w innym centrum danych. Środowisko tworzenia kopii zapasowych odzwierciedla środowisko produkcyjne maszyn wirtualnych i zapasowego serwera bazy danych. Na przykład, jeśli produkcja ma 3 maszyny wirtualne z węzłami HDS, środowisko tworzenia kopii zapasowych powinno mieć 3 maszyny wirtualne.

                                                                                                                                                  6

                                                                                                                                                  Skonfiguruj hosta dziennika systemowego, aby zbierał dzienniki z węzłów w klastrze. Zbierz adres sieciowy i port dziennika systemowego (domyślnie jest to UDP 514).

                                                                                                                                                  7

                                                                                                                                                  Utwórz bezpieczne zasady tworzenia kopii zapasowych węzłów hybrydowych zabezpieczeń danych, serwera bazy danych i hosta dziennika systemowego. Aby zapobiec niemożliwej do odzyskania utracie danych, należy wykonać kopię zapasową bazy danych i pliku ISO konfiguracji wygenerowanego dla węzłów hybrydowych zabezpieczeń danych.


                                                                                                                                                   

                                                                                                                                                  Ponieważ węzły hybrydowego zabezpieczenia danych przechowują klucze używane do szyfrowania i odszyfrowywania treści, brak utrzymania operacyjnego wdrożenia spowoduje NIEZBĘDNĄ STRATĘ tej zawartości.

                                                                                                                                                  Klienci aplikacji Webex przechowują klucze w pamięci podręcznej, więc awaria może nie być natychmiast zauważalna, ale z czasem stanie się widoczna. Chociaż tymczasowe przerwy są niemożliwe do zapobieżenia, są one do odzyskania. Jednak całkowita utrata (brak kopii zapasowych) bazy danych lub pliku konfiguracyjnego ISO spowoduje niemożliwy do odzyskania dane klienta. Oczekuje się, że operatorzy węzłów hybrydowego bezpieczeństwa danych będą utrzymywać częste kopie zapasowe bazy danych i pliku ISO konfiguracji oraz będą przygotowani do odbudowy centrum danych hybrydowego bezpieczeństwa danych w przypadku wystąpienia katastrofalnej awarii.

                                                                                                                                                  8

                                                                                                                                                  Upewnij się, że konfiguracja zapory umożliwia dostęp do łączności w węzłach hybrydowych zabezpieczeń danych, jak opisano w Zewnętrznych wymogach dotyczących łączności.

                                                                                                                                                  9

                                                                                                                                                  Zainstaluj Docker ( https://www.docker.com) na każdej maszynie lokalnej z obsługiwanym systemem operacyjnym (Microsoft Windows 10 Professional lub Enterprise 64-bit lub Mac OSX Yosemite 10.10.3 lub nowszym) z przeglądarką internetową, która może uzyskać do niej dostęp pod adresem http://127.0.0.1:8080.

                                                                                                                                                  Za pomocą wystąpienia Docker można pobrać i uruchomić narzędzie konfiguracji HDS, które tworzy lokalne informacje konfiguracyjne dla wszystkich węzłów hybrydowych zabezpieczeń danych. Twoja organizacja może potrzebować licencji Docker Desktop. Aby uzyskać więcej informacji, zobacz Wymagania Dotyczące Pulpitu Dockera.

                                                                                                                                                  Aby zainstalować i uruchomić narzędzie do konfiguracji HDS, lokalna maszyna musi mieć łączność opisaną w Zewnętrznych wymaganiach dotyczących łączności.

                                                                                                                                                  10

                                                                                                                                                  Jeśli integrujesz serwer proxy z hybrydowymi zabezpieczeniami danych, upewnij się, że spełnia on wymagania serwera proxy.

                                                                                                                                                  11

                                                                                                                                                  Jeśli Twoja organizacja używa synchronizacji katalogu, utwórz grupę w usłudze Active Directory o nazwie HdsTrialGroup, i dodać użytkowników pilotażowych. Grupa próbna może mieć do 250 użytkowników. Plik HdsTrialGroup obiekt musi być zsynchronizowany z chmurą przed rozpoczęciem próby dla organizacji. Aby zsynchronizować obiekt grupowy, wybierz go w łączniku usług katalogowych Konfiguracja > Menu Wybór obiektu. (Szczegółowe instrukcje można znaleźć w Podręczniku wdrażania Cisco Directory Connector.)


                                                                                                                                                   

                                                                                                                                                  Klucze dla danego obszaru są ustawiane przez twórcę tego obszaru. Wybierając użytkowników pilotażowych, należy pamiętać, że jeśli zdecydujesz się na trwałą dezaktywację wdrożenia hybrydowego zabezpieczenia danych, wszyscy użytkownicy utracą dostęp do treści w obszarach utworzonych przez użytkowników pilotażowych. Strata staje się widoczna, gdy aplikacje użytkowników odświeżą swoje kopie w pamięci podręcznej treści.

                                                                                                                                                  Konfigurowanie hybrydowego klastra bezpieczeństwa danych

                                                                                                                                                  Przepływ zadań związanych z wdrażaniem zabezpieczeń danych hybrydowych

                                                                                                                                                  Przed rozpoczęciem

                                                                                                                                                  Przygotuj swoje środowisko

                                                                                                                                                  1

                                                                                                                                                  Pobierz pliki instalacyjne

                                                                                                                                                  Pobierz plik OVA do lokalnego komputera, aby później go użyć.

                                                                                                                                                  2

                                                                                                                                                  Tworzenie ISO konfiguracji dla prowadzących HDS

                                                                                                                                                  Za pomocą narzędzia konfiguracyjnego HDS można utworzyć plik konfiguracyjny ISO dla węzłów hybrydowych zabezpieczeń danych.

                                                                                                                                                  3

                                                                                                                                                  Instalowanie OVA hosta HDS

                                                                                                                                                  Utwórz maszynę wirtualną z pliku OVA i wykonaj konfigurację początkową, taką jak ustawienia sieciowe.


                                                                                                                                                   

                                                                                                                                                  Opcja konfigurowania ustawień sieciowych podczas wdrażania OVA została przetestowana z ESXi 6.5. Opcja może nie być dostępna we wcześniejszych wersjach.

                                                                                                                                                  4

                                                                                                                                                  Skonfiguruj hybrydową maszynę wirtualną ds. bezpieczeństwa danych

                                                                                                                                                  Zaloguj się na konsoli VM i ustaw poświadczenia logowania. Skonfiguruj ustawienia sieciowe węzła, jeśli nie zostały skonfigurowane w czasie wdrażania OVA.

                                                                                                                                                  5

                                                                                                                                                  Prześlij i zamontuj ISO konfiguracji HDS

                                                                                                                                                  Skonfiguruj VM z pliku konfiguracyjnego ISO utworzonego za pomocą narzędzia do konfiguracji HDS.

                                                                                                                                                  6

                                                                                                                                                  Konfigurowanie węzła HDS dla integracji serwera proxy

                                                                                                                                                  Jeśli środowisko sieciowe wymaga konfiguracji serwera proxy, określ typ serwera proxy, którego użyjesz dla węzła, i w razie potrzeby dodaj certyfikat serwera proxy do sklepu zaufania.

                                                                                                                                                  7

                                                                                                                                                  Zarejestruj pierwszy węzeł w klastrze

                                                                                                                                                  Zarejestruj maszynę wirtualną za pomocą chmury Cisco Webex jako węzeł hybrydowego zabezpieczenia danych.

                                                                                                                                                  8

                                                                                                                                                  Tworzenie i rejestrowanie większej liczby węzłów

                                                                                                                                                  Zakończ konfigurację klastra.

                                                                                                                                                  9

                                                                                                                                                  Przeprowadzanie wersji próbnej i przejście do produkcji (następny rozdział)

                                                                                                                                                  Do momentu rozpoczęcia próby węzły wygenerują alarm wskazujący, że usługa nie została jeszcze aktywowana.

                                                                                                                                                  Pobierz pliki instalacyjne

                                                                                                                                                  W tym zadaniu pobierz plik OVA do swojego komputera (nie do serwerów skonfigurowanych jako węzły hybrydowego zabezpieczenia danych). Ten plik jest używany później w procesie instalacji.
                                                                                                                                                  1

                                                                                                                                                  Zaloguj się do https://admin.webex.com, a następnie kliknij opcję Usługi.

                                                                                                                                                  2

                                                                                                                                                  W sekcji Usługi hybrydowe znajdź kartę zabezpieczenia danych hybrydowych, a następnie kliknij przycisk Skonfiguruj.

                                                                                                                                                  Jeśli karta jest wyłączona lub jej nie widzisz, skontaktuj się z zespołem ds. kont lub organizacją partnerską. Podaj im numer konta i poproś o włączenie organizacji Hybrid Data Security. Aby znaleźć numer konta, kliknij bieg w prawym górnym rogu obok nazwy organizacji.


                                                                                                                                                   

                                                                                                                                                  OVA można również pobrać w dowolnym momencie z sekcji Pomoc na stronie Ustawienia . Na karcie Hybrid Data Security kliknij opcję Edytuj ustawienia, aby otworzyć stronę. Następnie kliknij opcję Pobierz oprogramowanie hybrydowego zabezpieczenia danych w sekcji Pomoc .


                                                                                                                                                   

                                                                                                                                                  Starsze wersje pakietu oprogramowania (OVA) nie będą kompatybilne z najnowszymi aktualizacjami Hybrid Data Security. Może to spowodować problemy podczas uaktualniania aplikacji. Upewnij się, że pobierz najnowszą wersję pliku OVA.

                                                                                                                                                  3

                                                                                                                                                  Wybierz Nie , aby wskazać, że węzeł nie został jeszcze skonfigurowany, a następnie kliknij przycisk Dalej.

                                                                                                                                                  Plik OVA automatycznie zaczyna się pobierać. Zapisz plik w lokalizacji na komputerze.
                                                                                                                                                  4

                                                                                                                                                  Opcjonalnie kliknij Open Deployment Guide (Otwórz przewodnik wdrażania), aby sprawdzić, czy dostępna jest późniejsza wersja tego przewodnika.

                                                                                                                                                  Tworzenie ISO konfiguracji dla prowadzących HDS

                                                                                                                                                  Proces konfiguracji hybrydowego zabezpieczenia danych tworzy plik ISO. Następnie należy użyć ISO do skonfigurowania hosta hybrydowego bezpieczeństwa danych.

                                                                                                                                                  Przed rozpoczęciem

                                                                                                                                                  • Narzędzie instalacji HDS działa jako kontener platformy Docker na komputerze lokalnym. Aby uzyskać do niego dostęp, uruchom platformę Docker na tym komputerze. Proces konfiguracji wymaga poświadczeń konta Control Hub z pełnymi uprawnieniami administratora dla Twojej organizacji.

                                                                                                                                                    Jeśli narzędzie HDS Setup działa za serwerem proxy w Twoim środowisku, podaj ustawienia serwera proxy (serwer, port, poświadczenia) za pomocą zmiennych środowiska Docker podczas podnoszenia kontenera Docker w kroku 5. W tej tabeli podano kilka możliwych zmiennych środowiskowych:

                                                                                                                                                    Opis

                                                                                                                                                    Zmienna

                                                                                                                                                    Serwer proxy HTTP bez uwierzytelniania

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    Serwer proxy HTTPS bez uwierzytelniania

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    Serwer proxy HTTP z uwierzytelnianiem

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                    Serwer proxy HTTPS z uwierzytelnianiem

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                  • Wygenerowany plik ISO konfiguracji zawiera klucz główny szyfrujący bazę danych PostgreSQL lub Microsoft SQL Server. Potrzebna jest najnowsza kopia tego pliku, gdy wprowadzasz zmiany w konfiguracji, takie jak:

                                                                                                                                                    • Poświadczenia bazy danych

                                                                                                                                                    • Aktualizacje certyfikatów

                                                                                                                                                    • Zmiany w zasadach autoryzacji

                                                                                                                                                  • Jeśli planujesz szyfrowanie połączeń z bazą danych, skonfiguruj wdrożenie programu PostgreSQL lub SQL Server dla TLS.

                                                                                                                                                  1

                                                                                                                                                  W wierszu poleceń komputera wprowadź polecenie odpowiednie dla swojego środowiska:

                                                                                                                                                  W zwykłych środowiskach:

                                                                                                                                                  docker rmi ciscocitg/hds-setup:stable

                                                                                                                                                  W środowiskach FedRAMP:

                                                                                                                                                  docker rmi ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                   

                                                                                                                                                  Ten krok czyści poprzednie obrazy narzędzia konfiguracji HDS. Jeśli nie ma poprzednich obrazów, zwraca błąd, który można zignorować.

                                                                                                                                                  2

                                                                                                                                                  Aby zalogować się do rejestru obrazów platformy Docker, wprowadź następujące informacje:

                                                                                                                                                  docker login -u hdscustomersro
                                                                                                                                                  3

                                                                                                                                                  Po wyświetleniu monitu o hasło wprowadź ten skrót:

                                                                                                                                                  dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
                                                                                                                                                  4

                                                                                                                                                  Pobierz najnowszy stabilny obraz dla swojego środowiska:

                                                                                                                                                  W zwykłych środowiskach:

                                                                                                                                                  docker pull ciscocitg/hds-setup:stable

                                                                                                                                                  W środowiskach FedRAMP:

                                                                                                                                                  docker pull ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  5

                                                                                                                                                  Po zakończeniu ściągania wprowadź polecenie odpowiednie dla środowiska:

                                                                                                                                                  • W zwykłych środowiskach bez serwera proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
                                                                                                                                                  • W zwykłych środowiskach z serwerem proxy HTTP:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • W zwykłych środowiskach z serwerem proxy HTTPS:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • W środowiskach FedRAMP bez serwera proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • W środowiskach FedRAMP z serwerem proxy HTTP:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • W środowiskach FedRAMP z serwerem proxy HTTPS:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                  Gdy kontener jest uruchomiony, zostanie wyświetlony komunikat „Serwer ekspresowy nasłuchuje na porcie 8080”.

                                                                                                                                                  6

                                                                                                                                                   

                                                                                                                                                  Narzędzie Konfiguracja nie obsługuje łączenia się z localhost za pośrednictwem http://localhost:8080. Użyj http://127.0.0.1:8080, aby połączyć się z hostem lokalizacji.

                                                                                                                                                  Użyj przeglądarki internetowej, aby przejść do hosta lokalizacji, http://127.0.0.1:8080, i wprowadź nazwę użytkownika administratora klienta dla Control Hub po wyświetleniu monitu.

                                                                                                                                                  Narzędzie używa tego pierwszego wpisu nazwy użytkownika, aby ustawić odpowiednie środowisko dla tego konta. Następnie narzędzie wyświetla standardowy monit o zalogowanie.

                                                                                                                                                  7

                                                                                                                                                  Po wyświetleniu monitu wprowadź poświadczenia logowania administratora klienta Control Hub, a następnie kliknij przycisk Zaloguj się , aby zezwolić na dostęp do wymaganych usług Hybrid Data Security.

                                                                                                                                                  8

                                                                                                                                                  Na stronie Przegląd narzędzia konfiguracyjnego kliknij Rozpocznij.

                                                                                                                                                  9

                                                                                                                                                  Na stronie ISO Import dostępne są następujące opcje:

                                                                                                                                                  • Nie— jeśli tworzysz swój pierwszy węzeł HDS, nie masz pliku ISO do przesłania.
                                                                                                                                                  • Tak— jeśli utworzono już węzły HDS, należy wybrać plik ISO podczas przeglądania i przesyłania go.
                                                                                                                                                  10

                                                                                                                                                  Sprawdź, czy certyfikat X.509 spełnia wymagania określone w wymaganiach certyfikatów X.509.

                                                                                                                                                  • Jeśli nigdy wcześniej nie przesłałeś certyfikatu, prześlij certyfikat X.509, wprowadź hasło i kliknij przycisk Kontynuuj.
                                                                                                                                                  • Jeśli certyfikat jest prawidłowy, kliknij przycisk Kontynuuj.
                                                                                                                                                  • Jeśli certyfikat wygasł lub chcesz go zastąpić, wybierz opcję Nie , aby Kontynuować korzystanie z łańcucha certyfikatów HDS i klucza prywatnego z poprzedniego ISO?. Prześlij nowy certyfikat X.509, wprowadź hasło i kliknij przycisk Kontynuuj.
                                                                                                                                                  11

                                                                                                                                                  Wprowadź adres bazy danych i konto HDS, aby uzyskać dostęp do klucza danych:

                                                                                                                                                  1. Wybierz typ bazy danych (PostgreSQL lub Microsoft SQL Server).

                                                                                                                                                    Jeśli wybierzesz program Microsoft SQL Server, otrzymasz pole Typ uwierzytelniania.

                                                                                                                                                  2. (tylko Microsoft SQL Server) Wybierz Typ uwierzytelniania:

                                                                                                                                                    • Uwierzytelnianie podstawowe: W polu Nazwa użytkownika potrzebna jest lokalna nazwa konta SQL Server.

                                                                                                                                                    • Uwierzytelnianie systemu Windows: Potrzebujesz konta Windows w formacie username@DOMAIN w polu Nazwa użytkownika.

                                                                                                                                                  3. Wprowadź adres serwera bazy danych w formularzu <hostname>:<port> lub <IP-address>:<port>.

                                                                                                                                                    Przykład:
                                                                                                                                                    dbhost.example.org:1433 lub 198.51.100.17:1433

                                                                                                                                                    Do podstawowego uwierzytelniania można użyć adresu IP, jeśli węzły nie mogą używać DNS do rozpoznawania nazwy hosta.

                                                                                                                                                    Jeśli używasz uwierzytelniania systemu Windows, musisz wprowadzić w pełni kwalifikowaną nazwę domeny w formacie dbhost.example.org:1433

                                                                                                                                                  4. Wprowadź nazwę bazy danych.

                                                                                                                                                  5. Wprowadź nazwę użytkownika i hasło użytkownika ze wszystkimi uprawnieniami w bazie danych magazynu kluczy.

                                                                                                                                                  12

                                                                                                                                                  Wybierz tryb połączenia z bazą danych TLS:

                                                                                                                                                  Tryb

                                                                                                                                                  Opis

                                                                                                                                                  Preferuj TLS (opcja domyślna)

                                                                                                                                                  Węzły HDS nie wymagają TLS do łączenia się z serwerem bazy danych. Jeśli włączysz protokół TLS na serwerze bazy danych, węzły spróbują zaszyfrowanego połączenia.

                                                                                                                                                  Wymagaj TLS

                                                                                                                                                  Węzły HDS łączą się tylko wtedy, gdy serwer bazy danych może negocjować TLS.

                                                                                                                                                  Wymagaj TLS i zweryfikuj osobę podpisującą certyfikat


                                                                                                                                                   

                                                                                                                                                  Ten tryb nie ma zastosowania do baz danych SQL Server.

                                                                                                                                                  • Węzły HDS łączą się tylko wtedy, gdy serwer bazy danych może negocjować TLS.

                                                                                                                                                  • Po nawiązaniu połączenia TLS węzeł porównuje sygnera certyfikatu z serwera bazy danych z organem certyfikatu w certyfikacie głównym bazy danych. Jeśli nie są zgodne, węzeł przerywa połączenie.

                                                                                                                                                  Użyj przycisku Certyfikat główny bazy danych poniżej listy rozwijanej, aby przesłać certyfikat główny dla tej opcji.

                                                                                                                                                  Wymagaj TLS oraz zweryfikuj osobę podpisującą certyfikat i nazwę hosta

                                                                                                                                                  • Węzły HDS łączą się tylko wtedy, gdy serwer bazy danych może negocjować TLS.

                                                                                                                                                  • Po nawiązaniu połączenia TLS węzeł porównuje sygnera certyfikatu z serwera bazy danych z organem certyfikatu w certyfikacie głównym bazy danych. Jeśli nie są zgodne, węzeł przerywa połączenie.

                                                                                                                                                  • Węzły sprawdzają również, czy nazwa hosta w certyfikacie serwera jest zgodna z nazwą hosta w polu Baza danych i port . Nazwy muszą być dokładnie takie same, w przeciwnym razie węzeł zerwie połączenie.

                                                                                                                                                  Użyj przycisku Certyfikat główny bazy danych poniżej listy rozwijanej, aby przesłać certyfikat główny dla tej opcji.

                                                                                                                                                  Po przesłaniu certyfikatu głównego (jeśli jest to konieczne) i kliknięciu przycisku Kontynuuj, narzędzie konfiguracji HDS testuje połączenie TLS z serwerem bazy danych. Narzędzie sprawdza również osobę podpisującą certyfikat i nazwę hosta, jeśli ma to zastosowanie. Jeśli test zakończy się niepowodzeniem, narzędzie wyświetli komunikat o błędzie opisujący problem. Możesz wybrać, czy zignorować błąd i kontynuować konfigurację. (Z powodu różnic w połączeniach węzły HDS mogą być w stanie nawiązać połączenie TLS, nawet jeśli maszyna narzędziowa HDS Setup Tool nie jest w stanie go przetestować).

                                                                                                                                                  13

                                                                                                                                                  Na stronie Dzienniki systemu skonfiguruj serwer Syslogd:

                                                                                                                                                  1. Wprowadź adres URL serwera dziennika systemowego.

                                                                                                                                                    Jeśli serwer nie jest w stanie rozwiązać DNS z węzłów klastra HDS, użyj adresu IP w adresie URL.

                                                                                                                                                    Przykład:
                                                                                                                                                    udp://10.92.43.23:514 wskazuje logowanie do hosta Syslogd 10.92.43.23 w porcie UDP 514.
                                                                                                                                                  2. Jeśli skonfigurujesz serwer, aby używał szyfrowania TLS, sprawdź, czy serwer dziennika systemowego jest skonfigurowany do szyfrowania SSL?.

                                                                                                                                                    Jeśli zaznaczysz to pole wyboru, upewnij się, że wprowadzasz adres URL TCP, taki jak: tcp://10.92.43.23:514.

                                                                                                                                                  3. Z listy rozwijanej Wybierz zakończenie rekordu dziennika systemowego wybierz odpowiednie ustawienie dla pliku ISO: Wybierz lub Newline są używane do Graylog i Rsyslog TCP

                                                                                                                                                    • Byte czajnika -- \x00

                                                                                                                                                    • Newline -- \n — Wybierz ten wybór dla aplikacji Graylog i Rsyslog TCP.

                                                                                                                                                  4. Kliknij przycisk Kontynuuj.

                                                                                                                                                  14

                                                                                                                                                  (Opcjonalnie) W ustawieniach zaawansowanych można zmienić wartość domyślną niektórych parametrów połączenia z bazą danych. Ogólnie rzecz biorąc, ten parametr jest jedynym parametrem, który można zmienić:

                                                                                                                                                  app_datasource_connection_pool_maxSize: 10
                                                                                                                                                  15

                                                                                                                                                  Kliknij przycisk Kontynuuj na ekranie Resetuj hasło konta usługi .

                                                                                                                                                  Hasła konta serwisowego mają okres dziewięciu miesięcy. Użyj tego ekranu, gdy hasła zbliżają się do wygaśnięcia lub chcesz je zresetować, aby unieważnić poprzednie pliki ISO.

                                                                                                                                                  16

                                                                                                                                                  Kliknij opcję Pobierz plik ISO. Zapisz plik w lokalizacji, którą łatwo znaleźć.

                                                                                                                                                  17

                                                                                                                                                  Wykonaj kopię zapasową pliku ISO w lokalnym systemie.

                                                                                                                                                  Kopia zapasowa powinna być zabezpieczona. Ten plik zawiera główny klucz szyfrowania zawartości bazy danych. Ogranicz dostęp tylko do tych administratorów hybrydowych zabezpieczeń danych, którzy powinni wprowadzać zmiany w konfiguracji.

                                                                                                                                                  18

                                                                                                                                                  Aby zamknąć narzędzie Setup, wpisz: CTRL+C.

                                                                                                                                                  Co zrobić dalej

                                                                                                                                                  Kopia zapasowa pliku ISO konfiguracji. Musisz utworzyć więcej węzłów do odzyskiwania lub wprowadzić zmiany w konfiguracji. Jeśli stracisz wszystkie kopie pliku ISO, stracisz również klucz główny. Odzyskiwanie kluczy z bazy danych PostgreSQL lub Microsoft SQL Server nie jest możliwe.


                                                                                                                                                   

                                                                                                                                                  Nigdy nie mamy kopii tego klucza i nie możemy pomóc, jeśli go stracisz.

                                                                                                                                                  Instalowanie OVA hosta HDS

                                                                                                                                                  Użyj tej procedury, aby utworzyć maszynę wirtualną z pliku OVA.
                                                                                                                                                  1

                                                                                                                                                  Aby zalogować się do wirtualnego hosta ESXi, użyj klienta VMware vSphere na komputerze.

                                                                                                                                                  2

                                                                                                                                                  Wybierz Plik > Wdrożenie szablonu OVF.

                                                                                                                                                  3

                                                                                                                                                  W kreatorze określ lokalizację pobranego wcześniej pliku OVA, a następnie kliknij Następny.

                                                                                                                                                  4

                                                                                                                                                  Na ekranie Wybierz nazwę i folder strona, wprowadź Nazwa maszyny wirtualnej dla węzła (na przykład „HDS_Node_1”) wybierz lokalizację, w której może znajdować się wdrożenie węzła maszyny wirtualnej, a następnie kliknij przycisk Następny.

                                                                                                                                                  5

                                                                                                                                                  Na ekranie Wybierz zasób obliczeniowy strona, wybierz docelowy zasób obliczeniowy, a następnie kliknij Następny.

                                                                                                                                                  Trwa kontrola walidacji. Po jego zakończeniu pojawiają się szczegóły szablonu.

                                                                                                                                                  6

                                                                                                                                                  Sprawdź szczegóły szablonu, a następnie kliknij przycisk Dalej.

                                                                                                                                                  7

                                                                                                                                                  Jeśli zostaniesz poproszony o wybranie konfiguracji zasobów na stronie Konfiguracja strona, kliknij 4 CPU a następnie kliknij Następny.

                                                                                                                                                  8

                                                                                                                                                  Na ekranie Wybierz miejsce strona, kliknij Następny aby zaakceptować domyślny format dysku i zasady przechowywania VM.

                                                                                                                                                  9

                                                                                                                                                  Na ekranie Wybierz sieci na stronie wybierz opcję sieci z listy pozycji, aby zapewnić żądaną łączność z maszyną wirtualną.

                                                                                                                                                  10

                                                                                                                                                  Na stronie Dostosuj szablon skonfiguruj następujące ustawienia sieci:

                                                                                                                                                  • Nazwa hosta — wprowadź nazwę hosta FQDN (nazwa hosta i domena) lub nazwę hosta pojedynczego słowa dla węzła.

                                                                                                                                                     
                                                                                                                                                    • Nie trzeba ustawiać domeny tak, aby pasowała do domeny używanej do uzyskania certyfikatu X.509.

                                                                                                                                                    • Aby zapewnić pomyślną rejestrację w chmurze, użyj tylko znaków z małymi literami w nazwie FQDN lub nazwie hosta ustawionej dla węzła. W tym momencie kapitalizacja nie jest obsługiwana.

                                                                                                                                                    • Całkowita długość FQDN nie może przekraczać 64 znaków.

                                                                                                                                                  • Adres IP— wprowadź adres IP interfejsu wewnętrznego węzła.

                                                                                                                                                     

                                                                                                                                                    Węzeł powinien mieć wewnętrzny adres IP i nazwę DNS. Serwer DHCP nie jest obsługiwany.

                                                                                                                                                  • Maska— wprowadź adres maski podsieci w notacji dot-dziesiętnej. Na przykład: 255.255.255.0.
                                                                                                                                                  • Brama — wprowadź adres IP bramy. Brama to węzeł sieciowy, który służy jako punkt dostępu do innej sieci.
                                                                                                                                                  • Serwery DNS— wprowadź oddzieloną przecinkami listę serwerów DNS, które obsługują tłumaczenie nazw domen na numeryczne adresy IP. (Dozwolone są do 4 wpisy DNS).
                                                                                                                                                  • Serwery NTP — wprowadź serwer NTP swojej organizacji lub inny zewnętrzny serwer NTP, który może być używany w Twojej organizacji. Domyślne serwery NTP mogą nie działać dla wszystkich przedsiębiorstw. Można również użyć listy rozdzielonej przecinkami, aby wprowadzić wiele serwerów NTP.
                                                                                                                                                  • Wdrożenie wszystkich węzłów w tej samej podsieci lub sieci VLAN, tak aby wszystkie węzły w klastrze były dostępne dla klientów w sieci do celów administracyjnych.

                                                                                                                                                  Jeśli jest to preferowane, można pominąć konfigurację ustawień sieci i wykonać czynności opisane w punkcie Skonfiguruj hybrydową maszynę wirtualną bezpieczeństwa danych w celu skonfigurowania ustawień z konsoli węzła.


                                                                                                                                                   

                                                                                                                                                  Opcja konfigurowania ustawień sieciowych podczas wdrażania OVA została przetestowana z ESXi 6.5. Opcja może nie być dostępna we wcześniejszych wersjach.

                                                                                                                                                  11

                                                                                                                                                  Kliknij prawym przyciskiem myszy węzeł VM, a następnie wybierz Zasilanie > Włączanie zasilania.

                                                                                                                                                  Oprogramowanie Hybrid Data Security jest instalowane jako gość w hostu VM. Teraz możesz zalogować się na konsoli i skonfigurować węzeł.

                                                                                                                                                  Wskazówki dotyczące rozwiązywania problemów

                                                                                                                                                  Może wystąpić opóźnienie o kilka minut przed pojawieniem się kontenerów węzła. Podczas pierwszego uruchamiania na konsoli pojawi się komunikat zapory mostowej, podczas którego nie można się zalogować.

                                                                                                                                                  Skonfiguruj hybrydową maszynę wirtualną ds. bezpieczeństwa danych

                                                                                                                                                  Użyj tej procedury, aby po raz pierwszy zalogować się na konsoli VM węzła hybrydowego zabezpieczenia danych i ustawić poświadczenia logowania. Konsola może również skonfigurować ustawienia sieciowe węzła, jeśli nie zostały skonfigurowane w czasie wdrażania OVA.

                                                                                                                                                  1

                                                                                                                                                  W kliencie VMware vSphere wybierz węzeł VM Hybrid Data Security i kartę Console .

                                                                                                                                                  Maszyna zostanie uruchomiona i pojawi się monit o zalogowanie. Jeśli monit o zalogowanie nie jest wyświetlany, naciśnij przycisk Enter.
                                                                                                                                                  2

                                                                                                                                                  Aby się zalogować i zmienić poświadczenia, należy użyć następującego domyślnego loginu i hasła:

                                                                                                                                                  1. Logowanie: admin

                                                                                                                                                  2. Hasło: cisco

                                                                                                                                                  Ponieważ logujesz się do VM po raz pierwszy, musisz zmienić hasło administratora.

                                                                                                                                                  3

                                                                                                                                                  Jeśli ustawienia sieci zostały już skonfigurowane w Instalowaniu OVA hosta usługi HDS, pomiń pozostałą część tej procedury. W przeciwnym razie w menu głównym wybierz opcję Edytuj konfigurację.

                                                                                                                                                  4

                                                                                                                                                  Skonfiguruj statyczną konfigurację z adresem IP, maską, bramą i informacjami DNS. Węzeł powinien mieć wewnętrzny adres IP i nazwę DNS. Serwer DHCP nie jest obsługiwany.

                                                                                                                                                  5

                                                                                                                                                  (Opcjonalnie) Zmień nazwę hosta, domenę lub serwery NTP, jeśli jest to konieczne do dopasowania do zasad sieci.

                                                                                                                                                  Nie trzeba ustawiać domeny tak, aby pasowała do domeny używanej do uzyskania certyfikatu X.509.

                                                                                                                                                  6

                                                                                                                                                  Zapisz konfigurację sieci i uruchom ponownie VM, aby zmiany weszły w życie.

                                                                                                                                                  Prześlij i zamontuj ISO konfiguracji HDS

                                                                                                                                                  Ta procedura służy do konfigurowania maszyny wirtualnej z pliku ISO utworzonego za pomocą narzędzia konfiguracji HDS.

                                                                                                                                                  Przed rozpoczęciem

                                                                                                                                                  Ponieważ plik ISO zawiera klucz główny, powinien on być narażony tylko na „potrzebę wiedzy”, aby uzyskać dostęp do hybrydowych maszyn wirtualnych ds. bezpieczeństwa danych i wszystkich administratorów, którzy mogą wymagać wprowadzenia zmian. Upewnij się, że tylko ci administratorzy mogą uzyskać dostęp do bazy danych.

                                                                                                                                                  1

                                                                                                                                                  Prześlij plik ISO z komputera:

                                                                                                                                                  1. W lewym okienku nawigacyjnym klienta VMware vSphere kliknij na serwer ESXi.

                                                                                                                                                  2. Na liście Sprzętu na karcie Konfiguracja kliknij przycisk Przechowywanie.

                                                                                                                                                  3. Na liście Datastores kliknij prawym przyciskiem myszy katalog danych dla swoich maszyn wirtualnych i kliknij opcję Przeglądaj Datastore.

                                                                                                                                                  4. Kliknij ikonę Prześlij pliki, a następnie kliknij Prześlij plik.

                                                                                                                                                  5. Przejdź do lokalizacji, w której pobrałeś plik ISO na komputerze i kliknij przycisk Otwórz.

                                                                                                                                                  6. Kliknij przycisk Tak, aby zaakceptować ostrzeżenie o operacji przesyłania/pobierania i zamknąć okno dialogowe z listą danych.

                                                                                                                                                  2

                                                                                                                                                  Montaż pliku ISO:

                                                                                                                                                  1. W lewym okienku nawigacji klienta VMware vSphere kliknij prawym przyciskiem myszy VM i kliknij Edytuj ustawienia .

                                                                                                                                                  2. Kliknij przycisk OK, aby zaakceptować ostrzeżenie o opcjach edycji ograniczonej.

                                                                                                                                                  3. Kliknij CD/DVD Drive 1, wybierz opcję montażu z pliku ISO w zbiorniku danych i przejdź do lokalizacji, w której przesłano plik ISO konfiguracji.

                                                                                                                                                  4. Sprawdzić Podłączono i Podłączono przy włączonym zasilaniu.

                                                                                                                                                  5. Zapisz zmiany i uruchom ponownie maszynę wirtualną.

                                                                                                                                                  Co zrobić dalej

                                                                                                                                                  Jeśli polityka IT wymaga, możesz opcjonalnie odmontować plik ISO po tym, jak wszystkie węzły podniosą zmiany w konfiguracji. Aby uzyskać szczegółowe informacje, zobacz (Opcjonalnie) Odinstaluj ISO Po Konfiguracji HDS.

                                                                                                                                                  Konfigurowanie węzła HDS dla integracji serwera proxy

                                                                                                                                                  Jeśli środowisko sieciowe wymaga serwera proxy, użyj tej procedury, aby określić typ serwera proxy, który chcesz zintegrować z Hybrid Data Security. Po wybraniu przejrzystego serwera proxy inspekcji lub bezpośredniego serwera proxy HTTPS można użyć interfejsu węzła do przesłania i zainstalowania certyfikatu głównego. Możesz również sprawdzić połączenie serwera proxy z poziomu interfejsu i rozwiązać ewentualne problemy.

                                                                                                                                                  Przed rozpoczęciem

                                                                                                                                                  1

                                                                                                                                                  Wprowadź adres URL konfiguracji węzła HDS https://[HDS Node IP or FQDN]/setup w przeglądarce internetowej wprowadź dane uwierzytelniające administratora skonfigurowane dla węzła, a następnie kliknij opcję Zaloguj się.

                                                                                                                                                  2

                                                                                                                                                  Przejdź do sklepu Trust Store & Proxy, a następnie wybierz opcję:

                                                                                                                                                  • Brak serwera proxy — opcja domyślna przed integracją serwera proxy. Nie jest wymagana aktualizacja certyfikatu.
                                                                                                                                                  • Transparent Non-Inspecting Proxy — węzły nie są skonfigurowane do używania określonego adresu serwera proxy i nie powinny wymagać żadnych zmian w pracy z niekontrolowanym serwerem proxy. Nie jest wymagana aktualizacja certyfikatu.
                                                                                                                                                  • Transparent Inspecting Proxy — węzły nie są skonfigurowane do używania określonego adresu serwera proxy. W przypadku wdrożenia hybrydowego zabezpieczenia danych nie są konieczne zmiany konfiguracji protokołu HTTPS, jednak węzły HDS potrzebują certyfikatu głównego, aby zaufać proxy. Informatycy zazwyczaj używają serwerów proxy do egzekwowania zasad, na których strony internetowe mogą być odwiedzane i które rodzaje treści są niedozwolone. Ten typ serwera proxy odszyfruje cały ruch (nawet HTTPS).
                                                                                                                                                  • Explicit Proxy— w przypadku wyraźnego serwera proxy użytkownik informuje klienta (węzły HDS), którego serwera proxy ma używać, a ta opcja obsługuje kilka typów uwierzytelniania. Po wybraniu tej opcji należy wprowadzić następujące informacje:
                                                                                                                                                    1. Proxy IP/FQDN — adres, którego można użyć do dotarcia do maszyny proxy.

                                                                                                                                                    2. Port serwera proxy— numer portu, którego serwer proxy używa do odsłuchiwania ruchu z serwerem proxy.

                                                                                                                                                    3. Protokół proxy — wybierz http (wyświetla i kontroluje wszystkie żądania otrzymane od klienta) lub https (dostarcza kanał do serwera, a klient odbiera i weryfikuje certyfikat serwera). Wybierz opcję na podstawie tego, co obsługuje serwer proxy.

                                                                                                                                                    4. Typ uwierzytelniania — wybierz spośród następujących typów uwierzytelniania:

                                                                                                                                                      • Brak — dalsze uwierzytelnianie nie jest wymagane.

                                                                                                                                                        Dostępne dla serwerów proxy HTTP lub HTTPS.

                                                                                                                                                      • Basic — używane przez agenta użytkownika HTTP do podawania nazwy użytkownika i hasła podczas składania żądania. Korzysta z kodowania Base64.

                                                                                                                                                        Dostępne dla serwerów proxy HTTP lub HTTPS.

                                                                                                                                                        Jeśli wybierzesz tę opcję, musisz również wprowadzić nazwę użytkownika i hasło.

                                                                                                                                                      • Digest — służy do potwierdzenia konta przed wysłaniem poufnych informacji. Przed wysłaniem za pośrednictwem sieci należy zastosować funkcję skrótu w nazwie użytkownika i hasłem.

                                                                                                                                                        Dostępne tylko dla serwerów proxy HTTPS.

                                                                                                                                                        Jeśli wybierzesz tę opcję, musisz również wprowadzić nazwę użytkownika i hasło.

                                                                                                                                                  Postępuj zgodnie z kolejnymi krokami w celu przejrzystego kontrolowania serwera proxy, bezpośredniego serwera proxy HTTP z uwierzytelnianiem podstawowym lub bezpośredniego serwera proxy HTTPS.

                                                                                                                                                  3

                                                                                                                                                  Kliknij opcję Prześlij certyfikat główny lub certyfikat jednostki końcowej, a następnie przejdź do opcji Wybierz certyfikat główny serwera proxy.

                                                                                                                                                  Certyfikat jest przesyłany, ale jeszcze nie został zainstalowany, ponieważ aby zainstalować certyfikat, należy ponownie uruchomić węzeł. Aby uzyskać więcej szczegółów, kliknij strzałkę chevron po nazwie emitenta certyfikatu lub kliknij opcję Usuń, jeśli popełniłeś błąd i chcesz ponownie przesłać plik.

                                                                                                                                                  4

                                                                                                                                                  Kliknij Check Proxy Connection (Sprawdź połączenie proxy), aby sprawdzić połączenie sieciowe między węzłem a serwerem proxy.

                                                                                                                                                  Jeśli test połączenia zakończy się niepowodzeniem, pojawi się komunikat o błędzie przedstawiający przyczynę i sposób naprawienia problemu.

                                                                                                                                                  Jeśli zobaczysz komunikat informujący, że zewnętrzna rozdzielczość DNS nie powiodła się, węzeł nie mógł dotrzeć do serwera DNS. Warunek ten jest oczekiwany w wielu wyraźnych konfiguracjach serwera proxy. Możesz kontynuować konfigurację, a węzeł będzie działał w trybie Zablokowanej Zewnętrznej Rozdzielczości DNS. Jeśli uważasz, że jest to błąd, wykonaj poniższe czynności, a następnie zobacz Wyłącz Zablokowany Zewnętrzny Tryb Rozdzielczości DNS.

                                                                                                                                                  5

                                                                                                                                                  Po przejściu testu połączenia, w przypadku wyraźnego serwera proxy ustawionego tylko na https, włącz przełącznik do Trasowania wszystkich żądań portu 443/444 https z tego węzła za pomocą wyraźnego serwera proxy. To ustawienie wymaga 15 sekund działania.

                                                                                                                                                  6

                                                                                                                                                  Kliknij Instaluj Wszystkie Certyfikaty W Sklepie Zaufania (pojawi się dla wyraźnego serwera proxy HTTPS lub przezroczystego serwera proxy inspekcji) lub Uruchom ponownie (pojawi się dla wyraźnego serwera proxy HTTP), przeczytaj monit, a następnie kliknij opcję Instaluj , jeśli jesteś gotowy.

                                                                                                                                                  Węzeł zostanie uruchomiony ponownie w ciągu kilku minut.

                                                                                                                                                  7

                                                                                                                                                  Po ponownym uruchomieniu węzła zaloguj się ponownie w razie potrzeby, a następnie otwórz stronę Przegląd , aby sprawdzić kontrole łączności, aby upewnić się, że wszystkie mają zielony status.

                                                                                                                                                  Kontrola połączenia z serwerem proxy sprawdza tylko poddomenę webex.com. Jeśli występują problemy z łącznością, powszechnym problemem jest to, że niektóre domeny chmury wymienione w instrukcjach instalacji są blokowane na serwerze proxy.

                                                                                                                                                  Zarejestruj pierwszy węzeł w klastrze

                                                                                                                                                  To zadanie przejmuje ogólny węzeł utworzony w Skonfiguruj hybrydową maszynę wirtualną bezpieczeństwa danych, rejestruje węzeł w chmurze Webex i zamienia go w węzeł hybrydowego bezpieczeństwa danych.

                                                                                                                                                  Po zarejestrowaniu pierwszego węzła utwórz klaster, do którego jest przypisany węzeł. Klaster zawiera co najmniej jeden węzeł wdrożony w celu zapewnienia zwolnień.

                                                                                                                                                  Przed rozpoczęciem

                                                                                                                                                  • Po rozpoczęciu rejestracji węzła należy go wypełnić w ciągu 60 minut lub rozpocząć od nowa.

                                                                                                                                                  • Upewnij się, że wszystkie wyskakujące blokery w przeglądarce są wyłączone lub że zezwalasz na wyjątek dla admin.webex.com.

                                                                                                                                                  1

                                                                                                                                                  Zaloguj się w https://admin.webex.com.

                                                                                                                                                  2

                                                                                                                                                  W menu po lewej stronie ekranu wybierz opcję Usługi.

                                                                                                                                                  3

                                                                                                                                                  W sekcji Usługi hybrydowe znajdź hybrydowe zabezpieczenia danych i kliknij przycisk Skonfiguruj.

                                                                                                                                                  Zostanie wyświetlona strona węzła Zarejestruj hybrydowe zabezpieczenia danych.
                                                                                                                                                  4

                                                                                                                                                  Wybierz Tak, aby wskazać, że węzeł został skonfigurowany i chcesz go zarejestrować, a następnie kliknij przycisk Dalej.

                                                                                                                                                  5

                                                                                                                                                  W pierwszym polu wprowadź nazwę klastra, do którego chcesz przypisać węzeł hybrydowego zabezpieczenia danych.

                                                                                                                                                  Zalecamy nazwanie klastra na podstawie lokalizacji węzłów klastra. Przykłady: "San Francisco", "Nowy Jork" czy "Dallas"

                                                                                                                                                  6

                                                                                                                                                  W drugim polu wprowadź wewnętrzny adres IP lub w pełni kwalifikowaną nazwę domeny (FQDN) węzła i kliknij przycisk Dalej.

                                                                                                                                                  Ten adres IP lub nazwa FQDN powinny być zgodne z adresem IP lub nazwą hosta i domeną używaną podczas konfigurowania hybrydowej maszyny wirtualnej ds. bezpieczeństwa danych.

                                                                                                                                                  Pojawi się komunikat informujący, że można zarejestrować węzeł w usłudze Webex.
                                                                                                                                                  7

                                                                                                                                                  Kliknij przycisk Przejdź do węzła.

                                                                                                                                                  8

                                                                                                                                                  Kliknij przycisk Kontynuuj w komunikacie ostrzegawczym.

                                                                                                                                                  Po kilku chwilach nastąpi przekierowanie do testów łączności węzła dla usług Webex. Jeśli wszystkie testy zakończą się powodzeniem, pojawi się strona Zezwól na dostęp do węzła hybrydowego zabezpieczeń danych. Tam potwierdzasz, że chcesz nadać uprawnienia swojej organizacji Webex, aby uzyskać dostęp do węzła.
                                                                                                                                                  9

                                                                                                                                                  Zaznacz pole wyboru Zezwól na dostęp do węzła hybrydowego zabezpieczenia danych , a następnie kliknij przycisk Kontynuuj.

                                                                                                                                                  Twoje konto zostało zweryfikowane, a komunikat „Rejestracja ukończona” wskazuje, że Twój węzeł jest teraz zarejestrowany w chmurze Webex.
                                                                                                                                                  10

                                                                                                                                                  Kliknij łącze lub zamknij kartę, aby powrócić do strony Hybrid Data Security Control Hub.

                                                                                                                                                  Na stronie Hybrid Data Security jest wyświetlany nowy klaster zawierający zarejestrowany węzeł. Węzeł automatycznie pobierze najnowsze oprogramowanie z chmury.

                                                                                                                                                  Tworzenie i rejestrowanie większej liczby węzłów

                                                                                                                                                  Aby dodać dodatkowe węzły do klastra, wystarczy utworzyć dodatkowe numery VMs i zamontować ten sam plik ISO konfiguracji, a następnie zarejestrować węzeł. Zalecamy posiadanie co najmniej 3 węzłów.

                                                                                                                                                   

                                                                                                                                                  W tym czasie zapasowe maszyny wirtualne utworzone w Zakończeniu wymagań wstępnych dla hybrydowego zabezpieczenia danych są hostami gotowymi, które są używane tylko w przypadku odzyskiwania po awarii; do tego czasu nie są rejestrowane w systemie. Aby uzyskać szczegółowe informacje, patrz Przywracanie systemu po awarii za pomocą Standby Data Center.

                                                                                                                                                  Przed rozpoczęciem

                                                                                                                                                  • Po rozpoczęciu rejestracji węzła należy go wypełnić w ciągu 60 minut lub rozpocząć od nowa.

                                                                                                                                                  • Upewnij się, że wszystkie wyskakujące blokery w przeglądarce są wyłączone lub że zezwalasz na wyjątek dla admin.webex.com.

                                                                                                                                                  1

                                                                                                                                                  Utwórz nową maszynę wirtualną z OVA, powtarzając kroki w Instalacji OVA hosta HDS.

                                                                                                                                                  2

                                                                                                                                                  Skonfiguruj konfigurację początkową na nowej maszynie wirtualnej, powtarzając kroki w Skonfiguruj hybrydową maszynę wirtualną bezpieczeństwa danych.

                                                                                                                                                  3

                                                                                                                                                  W nowej maszynie wirtualnej wykonaj ponownie czynności opisane w polu Prześlij i zamontuj ISO konfiguracji HDS.

                                                                                                                                                  4

                                                                                                                                                  Jeśli konfigurujesz serwer proxy dla swojego wdrożenia, powtórz kroki w Konfigurowaniu węzła HDS dla integracji serwera proxy zgodnie z potrzebami nowego węzła.

                                                                                                                                                  5

                                                                                                                                                  Zarejestruj węzeł.

                                                                                                                                                  1. W https://admin.webex.com wybierz Usługi z menu po lewej stronie ekranu.

                                                                                                                                                  2. W sekcji Usługi hybrydowe znajdź kartę zabezpieczenia danych hybrydowych i kliknij opcję Zasoby.

                                                                                                                                                    Pojawi się strona Hybrid Data Security Resources (Zasoby zabezpieczeń danych hybrydowych).
                                                                                                                                                  3. Kliknij przycisk Dodaj zasób.

                                                                                                                                                  4. W pierwszym polu wybierz nazwę istniejącego klastra.

                                                                                                                                                  5. W drugim polu wprowadź wewnętrzny adres IP lub w pełni kwalifikowaną nazwę domeny (FQDN) węzła i kliknij przycisk Dalej.

                                                                                                                                                    Pojawi się komunikat informujący, że można zarejestrować węzeł w chmurze Webex.
                                                                                                                                                  6. Kliknij przycisk Przejdź do węzła.

                                                                                                                                                    Po kilku chwilach nastąpi przekierowanie do testów łączności węzła dla usług Webex. Jeśli wszystkie testy zakończą się powodzeniem, pojawi się strona Zezwól na dostęp do węzła hybrydowego zabezpieczeń danych. Tam potwierdzasz, że chcesz nadać uprawnienia swojej organizacji, aby uzyskać dostęp do węzła.
                                                                                                                                                  7. Zaznacz pole wyboru Zezwól na dostęp do węzła hybrydowego zabezpieczenia danych , a następnie kliknij przycisk Kontynuuj.

                                                                                                                                                    Twoje konto zostało zweryfikowane, a komunikat „Rejestracja ukończona” wskazuje, że Twój węzeł jest teraz zarejestrowany w chmurze Webex.
                                                                                                                                                  8. Kliknij łącze lub zamknij kartę, aby powrócić do strony Hybrid Data Security Control Hub.

                                                                                                                                                  Twój węzeł jest zarejestrowany. Należy pamiętać, że do momentu rozpoczęcia próby węzły wygenerują alarm wskazujący, że usługa nie jest jeszcze aktywowana.

                                                                                                                                                  Co zrobić dalej

                                                                                                                                                  Przeprowadzanie wersji próbnej i przejście do produkcji (następny rozdział)
                                                                                                                                                  Uruchom wersję próbną i przejdź do produkcji

                                                                                                                                                  Przepływ próby do zadania produkcyjnego

                                                                                                                                                  Po skonfigurowaniu hybrydowego klastra bezpieczeństwa danych można uruchomić program pilotażowy, dodać do niego użytkowników i rozpocząć korzystanie z niego do testowania i sprawdzania wdrożenia w ramach przygotowań do przejścia do produkcji.

                                                                                                                                                  1

                                                                                                                                                  Jeśli dotyczy, zsynchronizuj HdsTrialGroup obiekt grupowy.

                                                                                                                                                  Jeśli Twoja organizacja używa synchronizacji katalogu dla użytkowników, musisz wybrać HdsTrialGroup obiekt grupowy do synchronizacji z chmurą przed rozpoczęciem próby. Instrukcje można znaleźć w podręczniku wdrażania łącznika usług katalogowych Cisco.

                                                                                                                                                  2

                                                                                                                                                  Aktywuj wersję próbną

                                                                                                                                                  Rozpocznij proces. Do czasu wykonania tego zadania węzły wygenerują alarm wskazujący, że usługa nie została jeszcze aktywowana.

                                                                                                                                                  3

                                                                                                                                                  Przetestuj wdrożenie hybrydowego zabezpieczenia danych

                                                                                                                                                  Sprawdź, czy kluczowe żądania są przekazywane do wdrożenia hybrydowego zabezpieczenia danych.

                                                                                                                                                  4

                                                                                                                                                  Monitorowanie stanu hybrydowego bezpieczeństwa danych

                                                                                                                                                  Sprawdź stan i skonfiguruj powiadomienia e-mail dla alarmów.

                                                                                                                                                  5

                                                                                                                                                  Dodawanie lub usuwanie użytkowników z wersji próbnej

                                                                                                                                                  6

                                                                                                                                                  Zakończ fazę próbną, wykonując jedną z następujących czynności:

                                                                                                                                                  Aktywuj wersję próbną

                                                                                                                                                  Przed rozpoczęciem

                                                                                                                                                  Jeśli Twoja organizacja używa synchronizacji katalogu dla użytkowników, musisz wybrać HdsTrialGroup obiekt grupowy do synchronizacji z chmurą przed rozpoczęciem próby dla organizacji. Instrukcje można znaleźć w podręczniku wdrażania łącznika usług katalogowych Cisco.

                                                                                                                                                  1

                                                                                                                                                  Zaloguj się do https://admin.webex.com, a następnie wybierz opcję Usługi.

                                                                                                                                                  2

                                                                                                                                                  W obszarze Bezpieczeństwo danych hybrydowych kliknij Ustawienia.

                                                                                                                                                  3

                                                                                                                                                  W sekcji Stan usługi kliknij przycisk Rozpocznij wersję próbną.

                                                                                                                                                  Stan usługi zmienia się w tryb próbny.
                                                                                                                                                  4

                                                                                                                                                  Kliknij opcję Dodaj użytkowników i wprowadź adres e-mail jednego lub większej liczby użytkowników do pilotowania za pomocą węzłów hybrydowych zabezpieczeń danych w celu szyfrowania i indeksowania usług.

                                                                                                                                                  (Jeśli Twoja organizacja używa synchronizacji katalogu, użyj usługi Active Directory do zarządzania grupą próbną, HdsTrialGroup.)

                                                                                                                                                  Przetestuj wdrożenie hybrydowego zabezpieczenia danych

                                                                                                                                                  Użyj tej procedury, aby przetestować scenariusze szyfrowania hybrydowych zabezpieczeń danych.

                                                                                                                                                  Przed rozpoczęciem

                                                                                                                                                  • Skonfiguruj wdrożenie hybrydowego zabezpieczenia danych.

                                                                                                                                                  • Aktywuj wersję próbną i dodaj kilku użytkowników wersji próbnej.

                                                                                                                                                  • Upewnij się, że masz dostęp do dziennika systemowego, aby sprawdzić, czy kluczowe żądania są przekazywane do wdrożenia hybrydowego zabezpieczenia danych.

                                                                                                                                                  1

                                                                                                                                                  Klucze dla danego obszaru są ustawiane przez twórcę tego obszaru. Zaloguj się do aplikacji Webex jako jeden z użytkowników pilotażowych, a następnie utwórz obszar i zaproś co najmniej jednego użytkownika pilotażowego i jednego użytkownika niepilotażowego.


                                                                                                                                                   

                                                                                                                                                  Jeśli dezaktywujesz wdrożenie hybrydowego zabezpieczenia danych, zawartość w obszarach tworzonych przez użytkowników pilotażowych nie jest już dostępna po wymianie kopii kluczy szyfrowania w pamięci podręcznej klienta.

                                                                                                                                                  2

                                                                                                                                                  Wysyłaj wiadomości do nowego obszaru.

                                                                                                                                                  3

                                                                                                                                                  Sprawdź wyjście dziennika systemowego, aby sprawdzić, czy kluczowe żądania przechodzą do wdrożenia hybrydowego zabezpieczenia danych.

                                                                                                                                                  1. Aby sprawdzić, czy użytkownik najpierw ustanawia bezpieczny kanał w systemie KMS, filtruj go kms.data.method=create i kms.data.type=EPHEMERAL_KEY_COLLECTION:

                                                                                                                                                    Należy znaleźć wpis taki jak następujący (identyfikatory skrócone dla czytelności):
                                                                                                                                                    2020-07-21 17:35:34.562 (+0000) INFO  KMS [pool-14-thread-1] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, 
                                                                                                                                                    kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2
                                                                                                                                                  2. Aby sprawdzić, czy użytkownik żądający istniejącego klucza z KMS, filtruj na kms.data.method=retrieve i kms.data.type=KEY:

                                                                                                                                                    Należy znaleźć wpis taki jak:
                                                                                                                                                    2020-07-21 17:44:19.889 (+0000) INFO  KMS [pool-14-thread-31] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, 
                                                                                                                                                    kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, 
                                                                                                                                                    kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b
                                                                                                                                                  3. Aby sprawdzić, czy użytkownik wnioskuje o utworzenie nowego klucza KMS, filtruj kms.data.method=create i kms.data.type=KEY_COLLECTION:

                                                                                                                                                    Należy znaleźć wpis taki jak:
                                                                                                                                                    2020-07-21 17:44:21.975 (+0000) INFO  KMS [pool-14-thread-33] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, 
                                                                                                                                                    kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b
                                                                                                                                                  4. Aby sprawdzić, czy użytkownik prosi o utworzenie nowego obiektu zasobów KMS (KRO) podczas tworzenia obszaru lub innego chronionego zasobu, filtruj kms.data.method=create i kms.data.type=RESOURCE_COLLECTION:

                                                                                                                                                    Należy znaleźć wpis taki jak:
                                                                                                                                                    2020-07-21 17:44:22.808 (+0000) INFO  KMS [pool-15-thread-1] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
                                                                                                                                                    kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

                                                                                                                                                  Monitorowanie stanu hybrydowego bezpieczeństwa danych

                                                                                                                                                  Wskaźnik stanu w Control Hub pokazuje, czy wszystko jest dobrze we wdrożeniu hybrydowego zabezpieczenia danych. Aby uzyskać bardziej proaktywne alerty, zapisz się do powiadomień e-mail. Otrzymasz powiadomienie o alarmach lub aktualizacjach oprogramowania mających wpływ na usługę.
                                                                                                                                                  1

                                                                                                                                                  W Control Hub wybierz Usługi z menu po lewej stronie ekranu.

                                                                                                                                                  2

                                                                                                                                                  W sekcji Usługi hybrydowe znajdź hybrydowe zabezpieczenia danych i kliknij Ustawienia.

                                                                                                                                                  Zostanie wyświetlona strona Ustawienia zabezpieczeń danych hybrydowych.
                                                                                                                                                  3

                                                                                                                                                  W sekcji Powiadomienia e-mail wpisz co najmniej jeden adres e-mail oddzielony przecinkami i naciśnij przycisk Enter.

                                                                                                                                                  Dodawanie lub usuwanie użytkowników z wersji próbnej

                                                                                                                                                  Po aktywacji wersji próbnej i dodaniu początkowego zestawu użytkowników wersji próbnej można dodać lub usunąć członków wersji próbnej w dowolnym momencie, gdy wersja próbna jest aktywna.

                                                                                                                                                  Jeśli usuniesz użytkownika z wersji próbnej, klient poprosi go o utworzenie kluczy i klawiszy z chmury KMS zamiast Twojego KMS. Jeśli klient potrzebuje klucza przechowywanego w KMS, Cloud KMS pobierze go w imieniu użytkownika.

                                                                                                                                                  Jeśli Twoja organizacja używa synchronizacji katalogu, użyj usługi Active Directory (zamiast tej procedury) do zarządzania grupą próbną, HdsTrialGroup; można wyświetlać członków grupy w Control Hub, ale nie można ich dodawać ani usuwać.

                                                                                                                                                  1

                                                                                                                                                  Zaloguj się do Control Hub, a następnie wybierz Usługi.

                                                                                                                                                  2

                                                                                                                                                  W obszarze Bezpieczeństwo danych hybrydowych kliknij Ustawienia.

                                                                                                                                                  3

                                                                                                                                                  W sekcji Tryby wersji próbnej w obszarze Stan usługi kliknij przycisk Dodaj użytkowników lub kliknij widok i edytuj , aby usunąć użytkowników z wersji próbnej.

                                                                                                                                                  4

                                                                                                                                                  Wprowadź adres e-mail jednego lub większej liczby użytkowników do dodania lub kliknij przycisk X identyfikatorem użytkownika, aby usunąć użytkownika z wersji próbnej. Następnie kliknij Zapisz .

                                                                                                                                                  Przeniesienie z wersji próbnej do produkcji

                                                                                                                                                  Gdy jesteś zadowolony, że wdrożenie działa dobrze dla użytkowników próbnych, możesz przejść do produkcji. Po przeniesieniu do produkcji wszyscy użytkownicy w organizacji będą korzystać z lokalnej domeny hybrydowego zabezpieczenia danych w celu szyfrowania kluczy i innych usług w dziedzinie zabezpieczeń. Nie można wrócić do trybu próbnego z produkcji, chyba że dezaktywujesz usługę w ramach odzyskiwania awaryjnego. Reaktywacja usługi wymaga skonfigurowania nowej wersji próbnej.
                                                                                                                                                  1

                                                                                                                                                  Zaloguj się do Control Hub, a następnie wybierz Usługi.

                                                                                                                                                  2

                                                                                                                                                  W obszarze Bezpieczeństwo danych hybrydowych kliknij Ustawienia.

                                                                                                                                                  3

                                                                                                                                                  W sekcji Stan usługi kliknij opcję Przenieś do produkcji.

                                                                                                                                                  4

                                                                                                                                                  Potwierdź, że chcesz przenieść wszystkich użytkowników do produkcji.

                                                                                                                                                  Zakończ wersję próbną bez przejścia do produkcji

                                                                                                                                                  Jeśli podczas okresu próbnego zdecydujesz się nie kontynuować wdrażania hybrydowego zabezpieczenia danych, możesz dezaktywować hybrydowe zabezpieczenia danych, które kończą okres próbny i przenoszą użytkowników wersji próbnej z powrotem do usług zabezpieczeń danych w chmurze. Użytkownicy próbni stracą dostęp do danych zaszyfrowanych podczas badania.
                                                                                                                                                  1

                                                                                                                                                  Zaloguj się do Control Hub, a następnie wybierz Usługi.

                                                                                                                                                  2

                                                                                                                                                  W obszarze Bezpieczeństwo danych hybrydowych kliknij Ustawienia.

                                                                                                                                                  3

                                                                                                                                                  W sekcji Dezaktywuj kliknij przycisk Dezaktywuj.

                                                                                                                                                  4

                                                                                                                                                  Potwierdź, że chcesz dezaktywować usługę i zakończyć okres próbny.

                                                                                                                                                  Zarządzanie wdrożeniem HDS

                                                                                                                                                  Zarządzanie wdrożeniem HDS

                                                                                                                                                  Użyj opisanych tutaj zadań do zarządzania wdrożeniem hybrydowego zabezpieczenia danych.

                                                                                                                                                  Ustaw harmonogram uaktualniania klastra

                                                                                                                                                  Aktualizacje oprogramowania Hybrid Data Security są wykonywane automatycznie na poziomie klastra, co zapewnia, że wszystkie węzły zawsze korzystają z tej samej wersji oprogramowania. Uaktualnienia są wykonywane zgodnie z harmonogramem uaktualniania klastra. Po udostępnieniu uaktualnienia oprogramowania można ręcznie uaktualnić klaster przed zaplanowaną godziną uaktualnienia. Można ustawić określony harmonogram uaktualniania lub użyć domyślnego harmonogramu 3:00 rano Daily Stany Zjednoczone: Ameryka/Los Angeles. W razie potrzeby można również odłożyć nadchodzące uaktualnienie.

                                                                                                                                                  Aby ustawić harmonogram uaktualniania:

                                                                                                                                                  1

                                                                                                                                                  Zaloguj się do Centrum sterowania .

                                                                                                                                                  2

                                                                                                                                                  Na stronie Przegląd w obszarze Usługi hybrydowe wybierz opcję Hybrid Data Security.

                                                                                                                                                  3

                                                                                                                                                  Na stronie Zasoby zabezpieczeń danych hybrydowych wybierz klaster.

                                                                                                                                                  4

                                                                                                                                                  W panelu Przegląd po prawej stronie w obszarze Ustawienia klastra wybierz nazwę klastra.

                                                                                                                                                  5

                                                                                                                                                  Na stronie Ustawienia w obszarze Uaktualnianie wybierz godzinę i strefę czasową harmonogramu uaktualniania.

                                                                                                                                                  Uwaga: W strefie czasowej wyświetlana jest następna dostępna data i godzina aktualizacji. W razie potrzeby można odroczyć uaktualnienie do następnego dnia, klikając opcję Odłóż.

                                                                                                                                                  Zmień konfigurację węzła

                                                                                                                                                  Czasami może zajść potrzeba zmiany konfiguracji węzła hybrydowego zabezpieczenia danych z następujących powodów:
                                                                                                                                                  • Zmiana certyfikatów x.509 z powodu wygaśnięcia lub z innych powodów.


                                                                                                                                                     

                                                                                                                                                    Nie obsługujemy zmiany nazwy domeny CN certyfikatu. Domena musi być zgodna z oryginalną domeną użytą do zarejestrowania klastra.

                                                                                                                                                  • Aktualizowanie ustawień bazy danych w celu zmiany na replikę bazy danych PostgreSQL lub Microsoft SQL Server.


                                                                                                                                                     

                                                                                                                                                    Nie obsługujemy migracji danych z PostgreSQL do Microsoft SQL Server lub odwrotnie. Aby przełączyć środowisko bazy danych, rozpocznij nowe wdrożenie Hybrid Data Security.

                                                                                                                                                  • Tworzenie nowej konfiguracji w celu przygotowania nowego centrum danych.

                                                                                                                                                  Ponadto, ze względów bezpieczeństwa, Hybrid Data Security używa haseł do kont usługi o dziewięciomiesięcznym okresie ważności. Gdy narzędzie konfiguracji HDS wygeneruje te hasła, należy je wdrożyć w każdym z węzłów HDS w pliku konfiguracyjnym ISO . Gdy hasła organizacji zbliżają się do wygaśnięcia, otrzymasz powiadomienie od zespołu Webex , aby zresetować hasło do konta komputera. (Wiadomość e-mail zawiera tekst „Użyj API konta komputera, aby zaktualizować hasło”). Jeśli hasła jeszcze nie wygasły, narzędzie udostępnia dwie opcje:

                                                                                                                                                  • Miękki reset — Stare i nowe hasło działają przez maksymalnie 10 dni. Wykorzystaj ten okres, aby stopniowo zastępować plik ISO w węzłach.

                                                                                                                                                  • Twardy reset — Stare hasła natychmiast przestają działać.

                                                                                                                                                  Jeśli hasła wygasną bez zresetowania, będzie to miało wpływ na usługę HDS i wymaga natychmiastowego twardego resetu i zastąpienia pliku ISO we wszystkich węzłach.

                                                                                                                                                  Ta procedura służy do generowania nowego konfiguracyjnego pliku ISO i zastosowania go do klastra.

                                                                                                                                                  Przed rozpoczęciem

                                                                                                                                                  • Narzędzie instalacji HDS działa jako kontener platformy Docker na komputerze lokalnym. Aby uzyskać do niego dostęp, uruchom platformę Docker na tym komputerze. Proces konfiguracji wymaga poświadczeń konta Control Hub z pełnymi uprawnieniami administratora dla Twojej organizacji.

                                                                                                                                                    Jeśli narzędzie HDS Setup działa za serwerem proxy w Twoim środowisku, podaj ustawienia serwera proxy (serwer, port, poświadczenia) za pomocą zmiennych środowiska Docker podczas przywoływania kontenera Docker w 1.e. W tej tabeli podano kilka możliwych zmiennych środowiskowych:

                                                                                                                                                    Opis

                                                                                                                                                    Zmienna

                                                                                                                                                    Serwer proxy HTTP bez uwierzytelniania

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    Serwer proxy HTTPS bez uwierzytelniania

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    Serwer proxy HTTP z uwierzytelnianiem

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                    Serwer proxy HTTPS z uwierzytelnianiem

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                  • Do wygenerowania nowej konfiguracji potrzebna jest kopia bieżącego konfiguracyjnego pliku ISO . ISO zawiera klucz główny szyfrujący bazę danych PostgreSQL lub Microsoft SQL Server. Plik ISO jest potrzebny podczas wprowadzania zmian w konfiguracji, w tym poświadczeń bazy danych, aktualizacji certyfikatów lub zmian zasad autoryzacji.

                                                                                                                                                  1

                                                                                                                                                  Korzystając z platformy Docker na komputerze lokalnym, uruchom narzędzie konfiguracji HDS.

                                                                                                                                                  1. W wierszu poleceń komputera wprowadź polecenie odpowiednie dla swojego środowiska:

                                                                                                                                                    W zwykłych środowiskach:

                                                                                                                                                    docker rmi ciscocitg/hds-setup:stable

                                                                                                                                                    W środowiskach FedRAMP:

                                                                                                                                                    docker rmi ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                     

                                                                                                                                                    Ten krok czyści poprzednie obrazy narzędzia konfiguracji HDS. Jeśli nie ma poprzednich obrazów, zwraca błąd, który można zignorować.

                                                                                                                                                  2. Aby zalogować się do rejestru obrazów platformy Docker, wprowadź następujące informacje:

                                                                                                                                                    docker login -u hdscustomersro
                                                                                                                                                  3. Po wyświetleniu monitu o hasło wprowadź ten skrót:

                                                                                                                                                    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
                                                                                                                                                  4. Pobierz najnowszy stabilny obraz dla swojego środowiska:

                                                                                                                                                    W zwykłych środowiskach:

                                                                                                                                                    docker pull ciscocitg/hds-setup:stable

                                                                                                                                                    W środowiskach FedRAMP:

                                                                                                                                                    docker pull ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                     

                                                                                                                                                    Upewnij się, że pobierasz najnowsze narzędzie instalacyjne dla tej procedury. Wersje narzędzia utworzone przed 22 lutego 2018 r. nie mają ekranów resetowania hasła.

                                                                                                                                                  5. Po zakończeniu ściągania wprowadź polecenie odpowiednie dla środowiska:

                                                                                                                                                    • W zwykłych środowiskach bez serwera proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
                                                                                                                                                    • W zwykłych środowiskach z serwerem proxy HTTP:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                    • W normalnych środowiskach z serwerem HTTPSproxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                    • W środowiskach FedRAMP bez serwera proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                    • W środowiskach FedRAMP z serwerem proxy HTTP:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                    • W środowiskach FedRAMP z serwerem proxy HTTPS:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                    Gdy kontener jest uruchomiony, zostanie wyświetlony komunikat „Serwer ekspresowy nasłuchuje na porcie 8080”.

                                                                                                                                                  6. Użyj przeglądarki, aby połączyć się z hostem lokalnym, http://127.0.0.1:8080.


                                                                                                                                                     

                                                                                                                                                    Narzędzie Konfiguracja nie obsługuje łączenia się z localhost za pośrednictwem http://localhost:8080. Użyj http://127.0.0.1:8080, aby połączyć się z hostem lokalizacji.

                                                                                                                                                  7. Po wyświetleniu monitu wprowadź poświadczenia logowania klienta Control Hub, a następnie kliknij Zaakceptuj aby kontynuować.

                                                                                                                                                  8. Zaimportuj bieżący plik konfiguracyjny ISO .

                                                                                                                                                  9. Postępuj zgodnie z instrukcjami, aby ukończyć działanie narzędzia i pobrać zaktualizowany plik.

                                                                                                                                                    Aby zamknąć narzędzie Setup, wpisz: CTRL+C.

                                                                                                                                                  10. Utwórz kopię zapasową zaktualizowanego pliku w innym centrum danych.

                                                                                                                                                  2

                                                                                                                                                  Jeśli uruchomiony jest tylko jeden węzeł HDS , utwórz nową maszynę VM węzła Hybrid Data Security i zarejestruj ją przy użyciu nowego konfiguracyjnego pliku ISO . Aby uzyskać bardziej szczegółowe instrukcje, zobacz temat Tworzenie i rejestrowanie większej liczby węzłów.

                                                                                                                                                  1. Zainstaluj narzędzie OVA hosta HDS.

                                                                                                                                                  2. Skonfiguruj maszynę VM HDS .

                                                                                                                                                  3. Podłącz zaktualizowany plik konfiguracyjny.

                                                                                                                                                  4. Zarejestruj nowy węzeł w Control Hub.

                                                                                                                                                  3

                                                                                                                                                  W przypadku istniejących węzłów HDS, na których działa starszy plik konfiguracyjny, podłącz plik ISO . Wykonaj następującą procedurę na każdym węźle po kolei, aktualizując każdy węzeł przed wyłączeniem następnego węzła:

                                                                                                                                                  1. Wyłącz maszynę wirtualną.

                                                                                                                                                  2. W lewym okienku nawigacji klienta VMware vSphere kliknij prawym przyciskiem myszy VM i kliknij Edytuj ustawienia .

                                                                                                                                                  3. Kliknij CD/DVD Drive 1, wybierz opcję podłączenia z pliku ISO i przejdź do lokalizacji, do której pobrano nowy konfiguracyjny plik ISO .

                                                                                                                                                  4. Sprawdź Połącz po włączeniu .

                                                                                                                                                  5. Zapisz zmiany i włącz maszynę wirtualną.

                                                                                                                                                  4

                                                                                                                                                  Powtórz krok 3, aby zastąpić konfigurację w każdym pozostałym węźle, na którym działa stara konfiguracja.

                                                                                                                                                  Wyłącz Zablokowany Zewnętrzny Tryb Rozdzielczości DNS

                                                                                                                                                  Po zarejestrowaniu węzła lub sprawdzeniu konfiguracji serwera proxy węzła proces testuje wyszukiwanie DNS i łączność z chmurą Cisco Webex. Jeśli serwer DNS węzła nie może rozpoznawać publicznych nazw DNS, węzeł automatycznie przechodzi w tryb Zablokowanej zewnętrznej rozdzielczości DNS.

                                                                                                                                                  Jeśli węzły są w stanie rozpoznawać publiczne nazwy DNS za pośrednictwem wewnętrznych serwerów DNS, można wyłączyć ten tryb, uruchamiając ponownie test połączenia serwera proxy w każdym węźle.

                                                                                                                                                  Przed rozpoczęciem

                                                                                                                                                  Upewnij się, że wewnętrzne serwery DNS mogą rozpoznawać publiczne nazwy DNS oraz że węzły mogą się z nimi komunikować.
                                                                                                                                                  1

                                                                                                                                                  W przeglądarce internetowej otwórz interfejs węzła hybrydowego zabezpieczenia danych (adres IP/konfiguracja, na przykład https://192.0.2.0/setup), wprowadź dane uwierzytelniające administratora skonfigurowane dla węzła, a następnie kliknij opcję Zaloguj się.

                                                                                                                                                  2

                                                                                                                                                  Przejdź do Przegląd (strona domyślna).

                                                                                                                                                  Po włączeniu Rozpoznawanie zablokowanego zewnętrznego DNS jest ustawiony na Tak .

                                                                                                                                                  3

                                                                                                                                                  Przejdź do strony Trust Store & Proxy.

                                                                                                                                                  4

                                                                                                                                                  Kliknij przycisk Sprawdź połączenie z serwerem proxy.

                                                                                                                                                  Jeśli zobaczysz komunikat informujący, że zewnętrzna rozdzielczość DNS nie powiodła się, węzeł nie mógł dotrzeć do serwera DNS i pozostanie w tym trybie. W przeciwnym razie po ponownym uruchomieniu węzła i powrocie na stronę Przegląd zablokowana zewnętrzna rozdzielczość DNS powinna być ustawiona na nr.

                                                                                                                                                  Co zrobić dalej

                                                                                                                                                  Powtórz test połączenia z serwerem proxy dla każdego węzła w klastrze hybrydowego zabezpieczenia danych.

                                                                                                                                                  Usuń węzeł

                                                                                                                                                  Użyj tej procedury, aby usunąć węzeł hybrydowego zabezpieczenia danych z chmury Webex. Po usunięciu węzła z klastra usuń maszynę wirtualną, aby zapobiec dalszemu dostępowi do danych zabezpieczeń.
                                                                                                                                                  1

                                                                                                                                                  Użyj klienta VMware vSphere na komputerze, aby zalogować się do wirtualnego hosta ESXi i wyłączyć maszynę wirtualną.

                                                                                                                                                  2

                                                                                                                                                  Usuń węzeł:

                                                                                                                                                  1. Zaloguj się do Control Hub, a następnie wybierz Usługi.

                                                                                                                                                  2. Na karcie hybrydowe zabezpieczenia danych kliknij przycisk Wyświetl wszystkie , aby wyświetlić stronę zasobów hybrydowych zabezpieczeń danych.

                                                                                                                                                  3. Wybierz klaster, aby wyświetlić jego panel Przegląd.

                                                                                                                                                  4. Kliknij listę Otwórz węzły.

                                                                                                                                                  5. Na karcie Węzły wybierz węzeł, który chcesz usunąć.

                                                                                                                                                  6. Kliknij przycisk Akcje > węzeł Deregister.

                                                                                                                                                  3

                                                                                                                                                  W kliencie vSphere usuń maszynę wirtualną (w lewym okienku nawigacyjnym kliknij prawym przyciskiem myszy maszynę wirtualną i kliknij polecenie Usuń).

                                                                                                                                                  Jeśli nie usuniesz VM, pamiętaj o usunięciu pliku ISO konfiguracji. Bez pliku ISO nie można użyć maszyny wirtualnej, aby uzyskać dostęp do danych bezpieczeństwa.

                                                                                                                                                  Odzyskiwanie po awarii za pomocą Standby Data Center

                                                                                                                                                  Najbardziej krytyczną usługą oferowaną przez klaster Hybrid Data Security jest tworzenie i przechowywanie kluczy używanych do szyfrowania wiadomości i innych treści przechowywanych w chmurze Webex. Dla każdego użytkownika w organizacji przypisanego do hybrydowego zabezpieczenia danych nowe żądania tworzenia kluczy są kierowane do klastra. Klaster jest również odpowiedzialny za przywrócenie kluczy, które został utworzony do wszystkich użytkowników upoważnionych do ich odzyskania, na przykład członków obszaru konwersacji.

                                                                                                                                                  Ponieważ klaster pełni kluczową funkcję dostarczania tych kluczy, konieczne jest, aby klaster nadal działał i aby utrzymywały się odpowiednie kopie zapasowe. Utrata bazy danych hybrydowych zabezpieczeń danych lub układu ISO konfiguracji stosowanego dla schematu spowoduje NIEZBĘDNĄ UTRATĘ zawartości klienta. Aby zapobiec takiej utracie, konieczne są następujące praktyki:

                                                                                                                                                  Jeśli awaria spowoduje, że wdrożenie HDS w głównym centrum danych stanie się niedostępne, postępuj zgodnie z tą procedurą, aby ręcznie przełączyć się na standby centrum danych.

                                                                                                                                                  1

                                                                                                                                                  Uruchom narzędzie do konfiguracji HDS i wykonaj czynności opisane w dokumencie Create a Configuration ISO for the HDS Hosts.

                                                                                                                                                  2

                                                                                                                                                  Po skonfigurowaniu serwera Syslogd kliknij Ustawienia zaawansowane

                                                                                                                                                  3

                                                                                                                                                  Na stronie Ustawienia zaawansowane dodaj poniższą konfigurację lub usuń passiveMode konfiguracja, aby węzeł był aktywny. Węzeł może obsługiwać ruch po skonfigurowaniu.

                                                                                                                                                  
                                                                                                                                                  passiveMode: 'false'
                                                                                                                                                  
                                                                                                                                                  4

                                                                                                                                                  Zakończ proces konfiguracji i zapisz plik ISO w lokalizacji, która jest łatwa do znalezienia.

                                                                                                                                                  5

                                                                                                                                                  Wykonaj kopię zapasową pliku ISO w lokalnym systemie. Kopia zapasowa powinna być zabezpieczona. Ten plik zawiera główny klucz szyfrowania zawartości bazy danych. Ogranicz dostęp tylko do tych administratorów hybrydowych zabezpieczeń danych, którzy powinni wprowadzać zmiany w konfiguracji.

                                                                                                                                                  6

                                                                                                                                                  W lewym okienku nawigacyjnym klienta VMware vSphere kliknij prawym przyciskiem myszy maszynę wirtualną i kliknij opcję Edytuj ustawienia..

                                                                                                                                                  7

                                                                                                                                                  Kliknij opcję Edytuj ustawienia >Napęd CD/DVD 1 i wybierz Plik ISO Datastore.


                                                                                                                                                   

                                                                                                                                                  Upewnij się, że Connected and Connect at power on (Podłączono) są zaznaczone, aby zaktualizowane zmiany konfiguracji mogły wejść w życie po uruchomieniu węzłów.

                                                                                                                                                  8

                                                                                                                                                  Włącz węzeł HDS i upewnij się, że nie ma alarmów przez co najmniej 15 minut.

                                                                                                                                                  9

                                                                                                                                                  Powtórz proces dla każdego węzła w centrum danych standby.


                                                                                                                                                   

                                                                                                                                                  Sprawdź wyjście dziennika systemowego, aby sprawdzić, czy węzły centrum danych standby nie są w trybie pasywnym. „KMS skonfigurowany w trybie pasywnym” nie powinien być wyświetlany w dziennikach syslog.

                                                                                                                                                  Co zrobić dalej

                                                                                                                                                  Po przełączeniu awaryjnym, jeśli główne centrum danych stanie się ponownie aktywne, ponownie umieść centrum danych standby w trybie pasywnym, wykonując czynności opisane w Ustawieniu Standby Data Center dla odzyskiwania awarii.

                                                                                                                                                  (Opcjonalnie) Odmontować ISO Po Konfiguracji HDS

                                                                                                                                                  Standardowa konfiguracja HDS działa z zamontowanym ISO. Jednak niektórzy klienci wolą nie pozostawiać plików ISO stale zamontowanych. Plik ISO można odmontować po odebraniu nowej konfiguracji przez wszystkie węzły HDS.

                                                                                                                                                  Nadal używasz plików ISO do wprowadzania zmian w konfiguracji. Podczas tworzenia nowego ISO lub aktualizacji ISO za pomocą narzędzia konfiguracyjnego należy zamontować zaktualizowany ISO na wszystkich węzłach HDS. Po odebraniu zmian konfiguracji przez wszystkie węzły można ponownie rozmontować ISO za pomocą tej procedury.

                                                                                                                                                  Przed rozpoczęciem

                                                                                                                                                  Uaktualnij wszystkie węzły HDS do wersji 2021.01.22.4720 lub nowszej.

                                                                                                                                                  1

                                                                                                                                                  Zamknij jeden z węzłów HDS.

                                                                                                                                                  2

                                                                                                                                                  W urządzeniu VCenter Server Appliance wybierz węzeł HDS.

                                                                                                                                                  3

                                                                                                                                                  Wybierz Edytuj ustawienia > Napęd CD/DVD i usuń zaznaczenie pliku Datastore ISO.

                                                                                                                                                  4

                                                                                                                                                  Włącz węzeł HDS i upewnij się, że nie ma alarmów przez co najmniej 20 minut.

                                                                                                                                                  5

                                                                                                                                                  Powtórz kolejno dla każdego węzła HDS.

                                                                                                                                                  Rozwiązywanie problemów z hybrydowymi zabezpieczeniami danych

                                                                                                                                                  Wyświetlanie alertów i rozwiązywania problemów

                                                                                                                                                  Wdrożenie hybrydowego zabezpieczenia danych jest uważane za niedostępne, jeśli wszystkie węzły w klastrze są nieosiągalne lub klaster działa tak wolno, że wymaga przekroczenia czasu. Jeśli użytkownicy nie mogą skontaktować się z klastrem hybrydowego zabezpieczenia danych, mogą wystąpić następujące objawy:

                                                                                                                                                  • Nie można utworzyć nowych obszarów (nie można utworzyć nowych kluczy)

                                                                                                                                                  • Wiadomości i tytuły przestrzeni nie można odszyfrować dla:

                                                                                                                                                    • Dodano nowych użytkowników do obszaru (nie można pobrać kluczy)

                                                                                                                                                    • Istniejący użytkownicy w obszarze korzystający z nowego klienta (nie można pobrać kluczy)

                                                                                                                                                  • Istniejący użytkownicy w obszarze będą z powodzeniem działać tak długo, jak ich klienci będą mieli pamięć podręczną kluczy szyfrowania

                                                                                                                                                  Ważne jest, aby odpowiednio monitorować klaster hybrydowego zabezpieczenia danych i szybko zwracać się do wszystkich alertów, aby uniknąć zakłóceń w obsłudze.

                                                                                                                                                  Alerty

                                                                                                                                                  Jeśli występuje problem z konfiguracją hybrydowego zabezpieczenia danych, Control Hub wyświetla alerty do administratora organizacji i wysyła wiadomości e-mail na skonfigurowany adres e-mail. Alerty obejmują wiele typowych scenariuszy.

                                                                                                                                                  Tabela 1. Wspólne problemy i kroki mające na celu ich rozwiązanie

                                                                                                                                                  Alert

                                                                                                                                                  Czynność

                                                                                                                                                  Niepowodzenie dostępu do lokalnej bazy danych.

                                                                                                                                                  Sprawdź, czy występują błędy w bazie danych lub problemy z siecią lokalną.

                                                                                                                                                  Niepowodzenie połączenia z lokalną bazą danych.

                                                                                                                                                  Sprawdź, czy serwer bazy danych jest dostępny, a w konfiguracji węzła użyto odpowiednich poświadczeń konta usługi.

                                                                                                                                                  Niepowodzenie dostępu do usługi w chmurze.

                                                                                                                                                  Sprawdź, czy węzły mogą uzyskać dostęp do serwerów Webex zgodnie z wymaganiami Zewnętrznej łączności.

                                                                                                                                                  Odnowienie rejestracji usług w chmurze.

                                                                                                                                                  Zrezygnowano z rejestracji na usługi w chmurze. Trwa przedłużenie rejestracji.

                                                                                                                                                  Rejestracja usług w chmurze została odrzucona.

                                                                                                                                                  Rejestracja na usługi w chmurze została zakończona. Usługa jest wyłączona.

                                                                                                                                                  Usługa jeszcze nie została aktywowana.

                                                                                                                                                  Aktywuj wersję próbną lub zakończ przenoszenie wersji próbnej do produkcji.

                                                                                                                                                  Skonfigurowana domena nie odpowiada certyfikatowi serwera.

                                                                                                                                                  Upewnij się, że certyfikat serwera jest zgodny z skonfigurowaną domeną aktywacji usługi.

                                                                                                                                                  Najbardziej prawdopodobną przyczyną jest to, że certyfikat CN został ostatnio zmieniony i jest teraz inny niż CN, który był używany podczas początkowej konfiguracji.

                                                                                                                                                  Nie można uwierzytelnić usług w chmurze.

                                                                                                                                                  Kontrola poprawności i ewentualnego wygaśnięcia poświadczeń konta usługi.

                                                                                                                                                  Nie można otworzyć lokalnego pliku keystore.

                                                                                                                                                  Sprawdź integralność i dokładność hasła w lokalnym pliku keystore.

                                                                                                                                                  Certyfikat lokalnego serwera jest nieprawidłowy.

                                                                                                                                                  Sprawdź datę ważności certyfikatu serwera i potwierdź, że został on wydany przez zaufany urząd certyfikacji.

                                                                                                                                                  Nie można publikować metryk.

                                                                                                                                                  Sprawdź dostęp sieci lokalnej do zewnętrznych usług w chmurze.

                                                                                                                                                  /media/configdrive/hds katalog nie istnieje.

                                                                                                                                                  Sprawdź konfigurację montażu ISO na wirtualnym hostze. Sprawdź, czy plik ISO istnieje, czy jest skonfigurowany do montażu na ponownym uruchomieniu i czy został pomyślnie zainstalowany.

                                                                                                                                                  Rozwiązywanie problemów z hybrydowymi zabezpieczeniami danych

                                                                                                                                                  Podczas rozwiązywania problemów z hybrydowymi zabezpieczeniami danych należy stosować następujące ogólne wytyczne.
                                                                                                                                                  1

                                                                                                                                                  Przejrzyj Control Hub dla wszystkich alertów i naprawić wszystkie znalezione tam elementy.

                                                                                                                                                  2

                                                                                                                                                  Przejrzyj wyjście serwera dziennika systemowego pod kątem aktywności z wdrożenia hybrydowego zabezpieczenia danych.

                                                                                                                                                  3

                                                                                                                                                  Skontaktuj się z pomocą techniczną Cisco.

                                                                                                                                                  Inne uwagi

                                                                                                                                                  Znane problemy dotyczące hybrydowych zabezpieczeń danych

                                                                                                                                                  • Jeśli zamkniesz klaster hybrydowego zabezpieczenia danych (usuwając go w Control Hub lub zamykając wszystkie węzły), stracisz plik ISO konfiguracji lub utracisz dostęp do bazy danych keystore, użytkownicy aplikacji Webex nie będą mogli już korzystać ze spacji na liście Osoby utworzonej za pomocą kluczy z KMS. Dotyczy to zarówno wdrożeń próbnych, jak i produkcyjnych. Obecnie nie mamy obejścia ani rozwiązania tego problemu i zachęcamy do niezamykania usług HDS po obsłudze aktywnych kont użytkowników.

                                                                                                                                                  • Klient z istniejącym połączeniem ECDH z KMS utrzymuje to połączenie przez pewien czas (prawdopodobnie godzinę). Gdy użytkownik staje się członkiem próby hybrydowego zabezpieczenia danych, klient użytkownika nadal korzysta z istniejącego połączenia ECDH do czasu jego wyłączenia. Alternatywnie, użytkownik może wylogować się i wrócić do aplikacji Webex, aby zaktualizować lokalizację, z którą kontaktuje się aplikacja w przypadku kluczy szyfrowania.

                                                                                                                                                    To samo zachowanie występuje podczas przenoszenia próby do produkcji dla organizacji. Wszyscy użytkownicy spoza wersji próbnej posiadający istniejące połączenia ECDH z poprzednimi służbami bezpieczeństwa danych będą nadal korzystać z tych usług do czasu renegocjacji połączenia ECDH (poprzez limit czasu lub poprzez wylogowanie i powrót).

                                                                                                                                                  Użyj protokołu OpenSSL, aby wygenerować plik PKCS12

                                                                                                                                                  Przed rozpoczęciem

                                                                                                                                                  • OpenSSL jest jednym z narzędzi, które można wykorzystać do tworzenia pliku PKCS12 w odpowiednim formacie do ładowania w narzędziu konfiguracji HDS. Istnieją inne sposoby, aby to zrobić, i nie popieramy ani nie promujemy jednej drogi nad drugą.

                                                                                                                                                  • Jeśli zdecydujesz się korzystać z OpenSSL, zapewniamy tę procedurę jako wytyczną, która pomoże Ci utworzyć plik spełniający wymagania certyfikatu X.509 w wymaganiach certyfikatów X.509. Zrozum te wymagania, zanim przejdziesz dalej.

                                                                                                                                                  • Zainstaluj OpenSSL w obsługiwanym środowisku. Patrz https://www.openssl.org oprogramowanie i dokumentacja.

                                                                                                                                                  • Utwórz klucz prywatny.

                                                                                                                                                  • Procedurę tę należy rozpocząć po otrzymaniu certyfikatu serwera od urzędu certyfikacji.

                                                                                                                                                  1

                                                                                                                                                  Po otrzymaniu certyfikatu serwera z urzędu certyfikacji zapisz go jako hdsnode.pem.

                                                                                                                                                  2

                                                                                                                                                  Wyświetl certyfikat jako tekst i zweryfikuj szczegóły.

                                                                                                                                                  openssl x509 -text -noout -in hdsnode.pem

                                                                                                                                                  3

                                                                                                                                                  Użyj edytora tekstu, aby utworzyć plik pakietu certyfikatów o nazwie hdsnode-bundle.pem. Plik pakietu musi zawierać certyfikat serwera, wszystkie pośrednie certyfikaty urzędu certyfikacji oraz podstawowe certyfikaty urzędu certyfikacji w formacie poniżej:

                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ### Server certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ###  Intermediate CA certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ###  Root CA certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  4

                                                                                                                                                  Utwórz plik .p12 o przyjaznej nazwie kms-private-key.

                                                                                                                                                  openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

                                                                                                                                                  5

                                                                                                                                                  Sprawdź szczegóły certyfikatu serwera.

                                                                                                                                                  1. openssl pkcs12 -in hdsnode.p12

                                                                                                                                                  2. Wprowadź hasło po wyświetleniu monitu, aby zaszyfrować klucz prywatny w taki sposób, aby był wyświetlany na wyjściu. Następnie sprawdź, czy klucz prywatny i pierwszy certyfikat zawierają linie friendlyName: kms-private-key.

                                                                                                                                                    Przykład:

                                                                                                                                                    bash$ openssl pkcs12 -in hdsnode.p12
                                                                                                                                                    Enter Import Password:
                                                                                                                                                    MAC verified OK
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: kms-private-key
                                                                                                                                                        localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
                                                                                                                                                    Key Attributes: <No Attributes>
                                                                                                                                                    Enter PEM pass phrase:
                                                                                                                                                    Verifying - Enter PEM pass phrase:
                                                                                                                                                    -----BEGIN ENCRYPTED PRIVATE KEY-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END ENCRYPTED PRIVATE KEY-----
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: kms-private-key
                                                                                                                                                        localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
                                                                                                                                                    subject=/CN=hds1.org6.portun.us
                                                                                                                                                    issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
                                                                                                                                                    -----BEGIN CERTIFICATE-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END CERTIFICATE-----
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US
                                                                                                                                                    subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
                                                                                                                                                    issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3
                                                                                                                                                    -----BEGIN CERTIFICATE-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END CERTIFICATE-----

                                                                                                                                                  Co zrobić dalej

                                                                                                                                                  Powróć, aby ukończyć wymagania wstępne dotyczące hybrydowego zabezpieczenia danych. Korzystasz z hdsnode.p12 plik i ustawione dla niego hasło w Utwórz ISO konfiguracji dla prowadzących HDS.


                                                                                                                                                   

                                                                                                                                                  Możesz ponownie użyć tych plików, aby poprosić o nowy certyfikat po wygaśnięciu oryginalnego certyfikatu.

                                                                                                                                                  Ruch między węzłami HDS a chmurą

                                                                                                                                                  Ruch zbierania metryk wychodzących

                                                                                                                                                  Węzły hybrydowego zabezpieczenia danych wysyłają pewne metryki do chmury Webex. Obejmują one metryki systemowe dla maks. stosu, stosowanego stosu, obciążenia procesora i liczenia wątków; metryki na wątkach synchronicznych i asynchronicznych; metryki na alertach obejmujące próg połączeń szyfrowania, opóźnienie lub długość kolejki żądań; metryki na zbiorniku danych; oraz metryki połączeń szyfrowania. Węzły wysyłają zaszyfrowany materiał klucza przez kanał poza pasmem (oddzielony od żądania).

                                                                                                                                                  Ruch przychodzący

                                                                                                                                                  Węzły hybrydowego zabezpieczenia danych otrzymują następujące typy ruchu przychodzącego z chmury Webex:

                                                                                                                                                  • Żądania szyfrowania od klientów, które są kierowane przez usługę szyfrowania

                                                                                                                                                  • Aktualizacja do oprogramowania węzła

                                                                                                                                                  Konfigurowanie serwerów proxy Squid dla hybrydowych zabezpieczeń danych

                                                                                                                                                  Websocket Nie Można Połączyć Za Pomocą Proxy Squid

                                                                                                                                                  Pełnomocnicy Squid, którzy sprawdzają ruch HTTPS, mogą ingerować w tworzenie websocket ( wss:) połączenia, których wymaga Hybrid Data Security. Sekcje te zawierają wskazówki dotyczące konfigurowania różnych wersji Squid do ignorowania wss: ruch w celu prawidłowego funkcjonowania usług.

                                                                                                                                                  Squid 4 i 5

                                                                                                                                                  Dodaj on_unsupported_protocol dyrektywa do squid.conf:

                                                                                                                                                  on_unsupported_protocol tunnel all

                                                                                                                                                  Squid 3.5.27

                                                                                                                                                  Z powodzeniem przetestowaliśmy hybrydowe zabezpieczenia danych, dodając następujące zasady squid.conf. Zasady te mogą ulec zmianie w miarę opracowywania funkcji i aktualizacji chmury Webex.

                                                                                                                                                  acl wssMercuryConnection ssl::server_name_regex mercury-connection
                                                                                                                                                  
                                                                                                                                                  ssl_bump splice wssMercuryConnection
                                                                                                                                                  
                                                                                                                                                  acl step1 at_step SslBump1
                                                                                                                                                  acl step2 at_step SslBump2
                                                                                                                                                  acl step3 at_step SslBump3
                                                                                                                                                  ssl_bump peek step1 all
                                                                                                                                                  ssl_bump stare step2 all
                                                                                                                                                  ssl_bump bump step3 all
                                                                                                                                                  Przedmowa

                                                                                                                                                  Nowe i zmienione informacje

                                                                                                                                                  Data

                                                                                                                                                  Zmiany

                                                                                                                                                  20 października 2023 r.

                                                                                                                                                  07 sierpnia 2023 r.

                                                                                                                                                  23 maja 2023 r.

                                                                                                                                                  06 grudnia 2022 r.

                                                                                                                                                  23 listopada 2022 r.

                                                                                                                                                  • Węzły HDS mogą teraz używać uwierzytelniania systemu Windows w usłudze Microsoft SQL Server.

                                                                                                                                                    Zaktualizowano temat wymagań serwera bazy danych z dodatkowymi wymaganiami dla tego trybu uwierzytelniania.

                                                                                                                                                    Zaktualizowano Utwórz ISO konfiguracji hostów HDS z procedurą konfigurowania uwierzytelniania systemu Windows w węzłach.

                                                                                                                                                  • Zaktualizowano temat wymagań serwera bazy danych o nowe minimalne wymagane wersje (PostgreSQL 10).

                                                                                                                                                  13 października 2021 r.

                                                                                                                                                  Docker Desktop musi uruchomić program konfiguracji przed zainstalowaniem węzłów HDS. Zobacz Wymagania Dotyczące Pulpitu Docker.

                                                                                                                                                  24 czerwca 2021 r.

                                                                                                                                                  Pamiętaj, że możesz ponownie użyć pliku klucza prywatnego i CSR, aby poprosić o inny certyfikat. Aby uzyskać szczegółowe informacje, zobacz Użyj OpenSSL, aby wygenerować plik PKCS12.

                                                                                                                                                  30 kwietnia 2021 r.

                                                                                                                                                  Zmieniono wymaganie VM dla lokalnego miejsca na dysku twardym na 30 GB. Szczegółowe informacje można znaleźć w sekcji Wymagania wirtualnego prowadzącego.

                                                                                                                                                  24 lutego 2021 r.

                                                                                                                                                  Narzędzie konfiguracji usługi HDS może teraz działać za serwerem proxy. Aby uzyskać szczegółowe informacje, zobacz Tworzenie ISO konfiguracji hostów HDS.

                                                                                                                                                  2 lutego 2021 r.

                                                                                                                                                  HDS może teraz działać bez zamontowanego pliku ISO. Aby uzyskać szczegółowe informacje, zobacz (Opcjonalnie) Odinstaluj ISO Po Konfiguracji HDS.

                                                                                                                                                  11 stycznia 2021 r.

                                                                                                                                                  Dodano informacje o narzędziu do konfiguracji HDS i pełnomocnikach, aby utworzyć ISO konfiguracji dla prowadzących HDS.

                                                                                                                                                  13 października 2020 r.

                                                                                                                                                  Zaktualizowano Pobierz pliki instalacyjne.

                                                                                                                                                  8 października 2020 r.

                                                                                                                                                  Zaktualizowano Utwórz ISO konfiguracji dla prowadzących HDS i zmień konfigurację węzła za pomocą poleceń dla środowisk FedRAMP.

                                                                                                                                                  14 sierpnia 2020 r.

                                                                                                                                                  Zaktualizowano Utwórz ISO konfiguracji dla prowadzących HDS i zmień konfigurację węzła ze zmianami w procesie logowania.

                                                                                                                                                  5 sierpnia 2020 r.

                                                                                                                                                  Zaktualizowano testowanie wdrażania hybrydowego zabezpieczenia danych pod kątem zmian w komunikatach dziennika.

                                                                                                                                                  Zaktualizowano wymagania hosta wirtualnego , aby usunąć maksymalną liczbę hostów.

                                                                                                                                                  16 czerwca 2020 r.

                                                                                                                                                  Zaktualizowano Usuwanie węzła pod kątem zmian w interfejsie interfejsu Control Hub.

                                                                                                                                                  4 czerwca 2020 r.

                                                                                                                                                  Zaktualizowano Tworzenie ISO konfiguracji dla hostów HDS w celu wprowadzenia zmian w ustawieniach zaawansowanych, które można ustawić.

                                                                                                                                                  29 maja 2020 r.

                                                                                                                                                  Zaktualizowano Utwórz ISO konfiguracji dla hostów HDS , aby pokazać, że można również używać TLS z bazami danych SQL Server, zmianami interfejsu użytkownika i innymi wyjaśnieniami.

                                                                                                                                                  5 maja 2020 r.

                                                                                                                                                  Zaktualizowano wymagania hosta wirtualnego , aby pokazać nowe wymagania ESXi 6.5.

                                                                                                                                                  21 kwietnia 2020 r.

                                                                                                                                                  Zaktualizowane wymagania dotyczące łączności zewnętrznej z nowymi hostami CI Americas.

                                                                                                                                                  1 kwietnia 2020 r.

                                                                                                                                                  Zaktualizowane wymagania dotyczące łączności zewnętrznej z informacjami na temat regionalnych prowadzących CI.

                                                                                                                                                  20 lutego 2020 r.Zaktualizowano Utwórz ISO konfiguracji hostów HDS z informacjami na nowym opcjonalnym ekranie ustawień zaawansowanych w narzędziu do konfiguracji HDS.
                                                                                                                                                  4 lutego 2020 r.Zaktualizowano wymagania serwera proxy.
                                                                                                                                                  16 grudnia 2019 r.Wyjaśnione wymagania dotyczące zablokowanego zewnętrznego trybu rozdzielczości DNS do pracy w wymaganiach serwera proxy.
                                                                                                                                                  19 listopada 2019 r.

                                                                                                                                                  Dodano informacje o zablokowanym zewnętrznym trybie rozpoznawania DNS w następujących sekcjach:

                                                                                                                                                  8 listopada 2019 r.

                                                                                                                                                  Teraz można skonfigurować ustawienia sieciowe węzła podczas wdrażania OVA, a nie później.

                                                                                                                                                  Zaktualizowano odpowiednio następujące sekcje:


                                                                                                                                                   

                                                                                                                                                  Opcja konfigurowania ustawień sieciowych podczas wdrażania OVA została przetestowana z ESXi 6.5. Opcja może nie być dostępna we wcześniejszych wersjach.

                                                                                                                                                  6 września 2019 r.

                                                                                                                                                  Dodano SQL Server Standard do wymagań serwera bazy danych.

                                                                                                                                                  29 sierpnia 2019 r.Dodano Configure Squid Proxies for Hybrid Data Security appendix z wytycznymi dotyczącymi konfigurowania serwerów proxy Squid w celu zignorowania ruchu websocket w celu prawidłowej obsługi.
                                                                                                                                                  20 sierpnia 2019 r.

                                                                                                                                                  Dodano i zaktualizowano sekcje, aby objąć obsługę proxy komunikacji węzła hybrydowego bezpieczeństwa danych z chmurą Webex.

                                                                                                                                                  Aby uzyskać dostęp tylko do zawartości obsługi serwera proxy dla istniejącego wdrożenia, zobacz artykuł pomocy Proxy Support for Hybrid Data Security i Webex Video Mesh .

                                                                                                                                                  13 czerwca 2019 r.Zaktualizowano próbny do przepływu zadań produkcyjnych z przypomnieniem o synchronizacji HdsTrialGroup obiekt grupowy przed rozpoczęciem próby, jeśli Twoja organizacja korzysta z synchronizacji katalogu.
                                                                                                                                                  6 marca 2019 r.
                                                                                                                                                  28 lutego 2019 r.
                                                                                                                                                  • Skorygowano ilość lokalnego miejsca na dysku twardym na serwer, którą należy odłożyć podczas przygotowywania wirtualnych hostów, które stają się węzłami hybrydowego zabezpieczenia danych, z 50 GB do 20 GB, aby odzwierciedlić rozmiar dysku, który tworzy OVA.

                                                                                                                                                  26 lutego 2019 r.
                                                                                                                                                  • Węzły hybrydowego zabezpieczenia danych obsługują teraz szyfrowane połączenia z serwerami bazy danych PostgreSQL i szyfrowane połączenia rejestrowania z serwerem dziennika systemowego obsługującym protokół TLS. Zaktualizowano Tworzenie ISO konfiguracji dla prowadzących HDS z instrukcjami.

                                                                                                                                                  • Usunięto adresy URL docelowe z tabeli „Wymagania dotyczące łączności internetowej dla hybrydowych węzłów bezpieczeństwa danych”. Tabela odnosi się teraz do listy utrzymywanej w tabeli „Dodatkowe adresy URL usług hybrydowych Webex Teams” dotyczącej wymagań sieciowych dla usług Webex Teams.

                                                                                                                                                  24 stycznia 2019 r.

                                                                                                                                                  • Hybrid Data Security obsługuje teraz Microsoft SQL Server jako bazę danych. Serwer SQL Always On (Klastry Always On Failover i grupy Always On Availability) jest obsługiwany przez sterowniki JDBC używane w hybrydowych zabezpieczeniach danych. Dodano zawartość związaną z wdrożeniem z programem SQL Server.


                                                                                                                                                     

                                                                                                                                                    Obsługa rozwiązania Microsoft SQL Server jest przeznaczona tylko dla nowych wdrożeń hybrydowych zabezpieczeń danych. Obecnie nie obsługujemy migracji danych z serwera PostgreSQL na serwer Microsoft SQL Server w istniejącym wdrożeniu.

                                                                                                                                                  5 listopada 2018 r.
                                                                                                                                                  19 października 2018 r.

                                                                                                                                                  31 lipca 2018 r.

                                                                                                                                                  21 maja 2018 r.

                                                                                                                                                  Zmieniona terminologia odzwierciedlająca zmianę marki Cisco Spark:

                                                                                                                                                  • Cisco Spark Hybrid Data Security jest teraz Hybrid Data Security.

                                                                                                                                                  • Aplikacja Cisco Spark jest teraz aplikacją Webex.

                                                                                                                                                  • Cisco Collaboraton Cloud jest teraz chmurą Webex.

                                                                                                                                                  11 kwietnia 2018 r.
                                                                                                                                                  22 lutego 2018 r.
                                                                                                                                                  Luty 15, 2018
                                                                                                                                                  • W tabeli Wymagania dotyczące certyfikatów X.509 określono, że certyfikat nie może być certyfikatem z wieloznacznymi kartami i że KMS używa domeny CN, a nie żadnej domeny zdefiniowanej w polach SAN x.509v3.

                                                                                                                                                  Styczeń 18, 2018

                                                                                                                                                  2 listopada 2017 r.

                                                                                                                                                  • Skrócona synchronizacja katalogu grupy HdsTrialGroup.

                                                                                                                                                  • Stałe instrukcje dotyczące przesyłania pliku konfiguracyjnego ISO w celu montażu w węzłach VM.

                                                                                                                                                  18 sierpnia 2017 r.

                                                                                                                                                  Pierwsza publikacja

                                                                                                                                                  Rozpocznij pracę z Hybrid Data Security

                                                                                                                                                  Przegląd zabezpieczeń danych hybrydowych

                                                                                                                                                  Od pierwszego dnia bezpieczeństwo danych było głównym celem projektowania aplikacji Webex. Podstawą tych zabezpieczeń jest kompleksowe szyfrowanie zawartości, włączane przez klientów aplikacji Webex , którzy wchodzą w interakcję z usługą zarządzania kluczami (KMS). Usługa KMS jest odpowiedzialna za tworzenie kluczy kryptograficznych używanych przez klientów do dynamicznego szyfrowania i odszyfrowywania wiadomości i plików oraz zarządzanie nimi.

                                                                                                                                                  Domyślnie wszyscy klienci aplikacji Webex otrzymują kompleksowe szyfrowanie za pomocą kluczy dynamicznych przechowywanych w chmurze KMS w obszarze bezpieczeństwa firmy Cisco. Hybrid Data Security przenosi usługę KMS i inne funkcje związane z bezpieczeństwem do centrum danych przedsiębiorstwa, dzięki czemu nikt poza Tobą nie ma kluczy do zaszyfrowanej zawartości.

                                                                                                                                                  Architektura domeny zabezpieczeń

                                                                                                                                                  Architektura chmury Webex oddziela różne rodzaje usług od osobnych domen lub domen zaufania, jak przedstawiono poniżej.

                                                                                                                                                  Realms of Separation (bez hybrydowego zabezpieczenia danych)

                                                                                                                                                  Aby lepiej zrozumieć hybrydowe zabezpieczenia danych, spójrzmy najpierw na ten przypadek czystej chmury, w którym firma Cisco zapewnia wszystkie funkcje w swoich domenach w chmurze. Usługa tożsamości, jedyne miejsce, w którym użytkownicy mogą być bezpośrednio skorelowani ze swoimi danymi osobowymi, takimi jak adres e-mail, jest logicznie i fizycznie oddzielona od domeny bezpieczeństwa w centrum danych B. Oba są z kolei oddzielone od domeny, w której ostatecznie przechowywana jest zaszyfrowana zawartość, w centrum danych C.

                                                                                                                                                  Na tym schemacie klient to aplikacja Webex działająca na laptopie użytkownika i uwierzytelniona za pomocą usługi tożsamości. Gdy użytkownik komponuje wiadomość do wysłania do obszaru, wykonywane są następujące czynności:

                                                                                                                                                  1. Klient ustanawia bezpieczne połączenie z usługą zarządzania kluczami (KMS), a następnie prosi o klucz do szyfrowania wiadomości. Bezpieczne połączenie korzysta z ECDH, a KMS szyfruje klucz przy użyciu klucza głównego AES-256.

                                                                                                                                                  2. Wiadomość jest szyfrowana przed opuszczeniem klienta. Klient wysyła go do usługi indeksowania, która tworzy zaszyfrowane indeksy wyszukiwania, aby pomóc w przyszłych wyszukiwaniach zawartości.

                                                                                                                                                  3. Zaszyfrowana wiadomość jest wysyłana do usługi zgodności w celu sprawdzenia zgodności.

                                                                                                                                                  4. Zaszyfrowana wiadomość jest przechowywana w domenie przechowywania.

                                                                                                                                                  Podczas wdrażania hybrydowego zabezpieczenia danych funkcje domeny zabezpieczeń (KMS, indeksowanie i zgodność) są przenoszone do lokalnego centrum danych. Inne usługi w chmurze, które składają się na usługę Webex (w tym pamięć masowa tożsamości i zawartości), pozostają w domenach Cisco.

                                                                                                                                                  Współpraca z innymi organizacjami

                                                                                                                                                  Użytkownicy w organizacji mogą regularnie korzystać z aplikacji Webex do współpracy z uczestnikami zewnętrznymi w innych organizacjach. Gdy jeden z użytkowników prosi o klucz do obszaru należącego do organizacji (ponieważ został on utworzony przez jednego z użytkowników), KMS wysyła klucz do klienta za pośrednictwem kanału zabezpieczonego ECDH. Jednak gdy inna organizacja jest właścicielem klucza dla obszaru, system KMS kieruje żądanie do chmury Webex przez osobny kanał ECDH, aby uzyskać klucz z odpowiedniego systemu KMS, a następnie zwraca go do użytkownika na oryginalnym kanale.

                                                                                                                                                  Usługa KMS działająca na Org A weryfikuje połączenia z KMSs w innych organizacjach za pomocą certyfikatów PKI x.509. Aby uzyskać szczegółowe informacje na temat generowania certyfikatu x.509 do użytku z wdrożeniem hybrydowego zabezpieczenia danych, zobacz Prepare Your Environment (Przygotowanie środowiska).

                                                                                                                                                  Oczekiwania dotyczące wdrażania hybrydowych zabezpieczeń danych

                                                                                                                                                  Wdrożenie hybrydowego zabezpieczenia danych wymaga znacznego zaangażowania klienta i świadomości ryzyka związanego z posiadaniem kluczy szyfrowania.

                                                                                                                                                  Aby wdrożyć hybrydowe zabezpieczenia danych, należy zapewnić:

                                                                                                                                                  Kompletna utrata konfiguracji ISO utworzonej dla hybrydowego zabezpieczenia danych lub dostarczonej bazy danych spowoduje utratę kluczy. Utrata klucza uniemożliwia użytkownikom odszyfrowanie zawartości obszaru i innych zaszyfrowanych danych w aplikacji Webex. Jeśli tak się stanie, możesz zbudować nowe wdrożenie, ale widoczna będzie tylko nowa zawartość. Aby uniknąć utraty dostępu do danych, należy:

                                                                                                                                                  • Zarządzanie kopią zapasową i odzyskiwaniem bazy danych oraz konfiguracją ISO.

                                                                                                                                                  • Przygotuj się do szybkiego odzyskiwania awaryjnego w przypadku wystąpienia katastrofy, takiej jak awaria dysku bazy danych lub awaria centrum danych.


                                                                                                                                                   

                                                                                                                                                  Nie ma mechanizmu przenoszenia kluczy z powrotem do chmury po wdrożeniu HDS.

                                                                                                                                                  Proces konfiguracji na wysokim poziomie

                                                                                                                                                  Niniejszy dokument obejmuje konfigurację i zarządzanie wdrożeniem hybrydowego zabezpieczenia danych:

                                                                                                                                                  • Skonfiguruj hybrydowe zabezpieczenia danych— obejmuje to przygotowanie wymaganej infrastruktury i zainstalowanie oprogramowania hybrydowego zabezpieczenia danych, testowanie wdrożenia z podzbiorem użytkowników w trybie próbnym oraz, po zakończeniu testów, przejście do produkcji. Spowoduje to konwertowanie całej organizacji do używania klastra Hybrid Data Security dla funkcji zabezpieczeń.

                                                                                                                                                    Etapy konfiguracji, prób i produkcji zostały szczegółowo omówione w kolejnych trzech rozdziałach.

                                                                                                                                                  • Utrzymuj wdrożenie hybrydowego zabezpieczenia danych— chmura Webex automatycznie zapewnia trwające uaktualnienia. Dział IT może zapewnić wsparcie poziomu pierwszego dla tego wdrożenia i zaangażować wsparcie Cisco w razie potrzeby. Możesz korzystać z powiadomień na ekranie i konfigurować alerty oparte na wiadomościach e-mail w Control Hub.

                                                                                                                                                  • Zrozumienie wspólnych alertów, kroków rozwiązywania problemów i znanych problemów— w przypadku wystąpienia problemów z wdrożeniem lub użyciem hybrydowego zabezpieczenia danych ostatni rozdział niniejszego przewodnika i dodatku do Znanych problemów może pomóc w określeniu i rozwiązaniu problemu.

                                                                                                                                                  Hybrydowy model wdrażania zabezpieczeń danych

                                                                                                                                                  W centrum danych przedsiębiorstwa wdrażasz hybrydowe zabezpieczenia danych jako jeden klaster węzłów na osobnych hostach wirtualnych. Węzły komunikują się z chmurą Webex za pośrednictwem bezpiecznych websocketów i bezpiecznego protokołu HTTP.

                                                                                                                                                  Podczas procesu instalacji dostarczamy Ci plik OVA do skonfigurowania urządzenia wirtualnego na dostarczonych maszynach wirtualnych. Narzędzie konfiguracyjne HDS służy do tworzenia niestandardowego pliku ISO konfiguracji klastra, który jest montowany w każdym węźle. Klaster Hybrid Data Security korzysta z dostarczonego serwera Syslogd i bazy danych PostgreSQL lub Microsoft SQL Server. (Szczegóły połączenia Syslogd i bazy danych można skonfigurować w narzędziu konfiguracji HDS).

                                                                                                                                                  Hybrydowy model wdrażania zabezpieczeń danych

                                                                                                                                                  Minimalna liczba węzłów w klastrze to dwa. Zalecamy co najmniej trzy, a możesz mieć do pięciu. Posiadanie wielu węzłów zapewnia, że usługa nie zostanie przerwana podczas uaktualniania oprogramowania lub innej czynności konserwacyjnej w węźle. (Chmura Webex aktualizuje tylko jeden węzeł naraz).

                                                                                                                                                  Wszystkie węzły w klastrze mają dostęp do tego samego rekordu danych klucza i aktywności dziennika na tym samym serwerze dziennika systemowego. Same węzły są bezpaństwowe i obsługują żądania kluczy w sposób okrągły, zgodnie z zaleceniami chmury.

                                                                                                                                                  Węzły stają się aktywne po zarejestrowaniu ich w Control Hub. Aby usunąć pojedynczy węzeł z usługi, można go wyrejestrować, a następnie ponownie wyrejestrować w razie potrzeby.

                                                                                                                                                  Obsługujemy tylko jeden klaster na organizację.

                                                                                                                                                  Tryb próbny zabezpieczeń danych hybrydowych

                                                                                                                                                  Po skonfigurowaniu wdrożenia hybrydowego zabezpieczenia danych spróbuj go najpierw z zestawem użytkowników pilotażowych. W okresie próbnym użytkownicy ci wykorzystują lokalną domenę hybrydowego zabezpieczenia danych do szyfrowania kluczy i innych usług domeny zabezpieczeń. Inni użytkownicy nadal korzystają ze sfery zabezpieczeń w chmurze.

                                                                                                                                                  Jeśli zdecydujesz się nie kontynuować wdrażania podczas wersji próbnej i dezaktywować usługi, użytkownicy pilotażowi i wszyscy użytkownicy, z którymi współpracowali, tworząc nowe obszary w okresie próbnym, utracą dostęp do wiadomości i treści. Zostanie wyświetlony komunikat „Nie można odszyfrować tej wiadomości” w aplikacji Webex.

                                                                                                                                                  Jeśli jesteś zadowolony, że wdrożenie działa dobrze dla użytkowników próbnych i jesteś gotowy do rozszerzenia hybrydowego zabezpieczenia danych na wszystkich użytkowników, przenosisz wdrożenie do produkcji. Użytkownicy pilotażowi nadal mają dostęp do kluczy, które były używane podczas próby. Nie można jednak poruszać się w tę i z powrotem między trybem produkcji a oryginalnym testem. Jeśli musisz dezaktywować usługę, na przykład w celu przeprowadzenia odzyskiwania po awarii, po ponownej aktywacji musisz rozpocząć nową wersję próbną i skonfigurować zestaw użytkowników pilotażowych dla nowej wersji próbnej przed powrotem do trybu produkcji. To, czy użytkownicy zachowują w tym momencie dostęp do danych, zależy od tego, czy udało się zachować kopie zapasowe kluczowego magazynu danych i pliku konfiguracyjnego ISO dla węzłów hybrydowych zabezpieczeń danych w klastrze.

                                                                                                                                                  Standby Data Center for Disaster Recovery

                                                                                                                                                  Podczas wdrażania skonfigurowano bezpieczne centrum danych w trybie gotowości. W przypadku awarii centrum danych można ręcznie anulować wdrożenie do centrum danych w trybie gotowości.

                                                                                                                                                  Before failover, Data Center A has active HDS nodes and the primary PostgreSQL or Microsoft SQL Server database, while B has a copy of the ISO file with additional configurations, VMs that are registered to the organization, and a standby database. After failover, Data Center B has active HDS nodes and the primary database, while A has unregistered VMs and a copy of the ISO file, and the database is in standby mode.
                                                                                                                                                  Ręczne przełączanie awaryjne do Standby Data Center

                                                                                                                                                  Bazy danych aktywnych i standby centrów danych są ze sobą zsynchronizowane, co zminimalizuje czas potrzebny na wykonanie przełącznika awaryjnego. Plik ISO centrum danych w trybie gotowości jest aktualizowany o dodatkowe konfiguracje, które zapewniają rejestrację węzłów w organizacji, ale nie obsługują ruchu. Stąd węzły standby data center zawsze pozostają aktualne z najnowszą wersją oprogramowania HDS.


                                                                                                                                                   

                                                                                                                                                  Aktywne węzły hybrydowego zabezpieczenia danych muszą zawsze znajdować się w tym samym centrum danych, co aktywny serwer bazy danych.

                                                                                                                                                  Konfiguracja Standby Data Center do odzyskiwania awarii

                                                                                                                                                  Wykonaj poniższe czynności, aby skonfigurować plik ISO centrum danych w trybie gotowości:

                                                                                                                                                  Przed rozpoczęciem

                                                                                                                                                  • Centrum danych w stanie gotowości powinno odzwierciedlać środowisko produkcyjne maszyn wirtualnych oraz zapasową bazę danych PostgreSQL lub Microsoft SQL Server. Na przykład, jeśli produkcja ma 3 maszyny wirtualne z węzłami HDS, środowisko tworzenia kopii zapasowych powinno mieć 3 maszyny wirtualne (zobacz Standby Data Center for Disaster Recovery , aby zapoznać się z tym modelem failover).

                                                                                                                                                  • Upewnij się, że synchronizacja bazy danych jest włączona między bazą danych aktywnych i pasywnych węzłów klastra.

                                                                                                                                                  1

                                                                                                                                                  Uruchom narzędzie do konfiguracji HDS i wykonaj czynności opisane w dokumencie Create a Configuration ISO for the HDS Hosts.


                                                                                                                                                   

                                                                                                                                                  Plik ISO musi być kopią oryginalnego pliku ISO głównego centrum danych, na którym mają być dokonywane następujące aktualizacje konfiguracji.

                                                                                                                                                  2

                                                                                                                                                  Po skonfigurowaniu serwera Syslogd kliknij Ustawienia zaawansowane

                                                                                                                                                  3

                                                                                                                                                  Na stronie Ustawienia zaawansowane dodaj poniższą konfigurację, aby umieścić węzeł w trybie pasywnym. W tym trybie węzeł zostanie zarejestrowany w organizacji i połączony z chmurą, ale nie będzie obsługiwał żadnego ruchu.

                                                                                                                                                  
                                                                                                                                                  passiveMode: 'true'
                                                                                                                                                  
                                                                                                                                                  4

                                                                                                                                                  Zakończ proces konfiguracji i zapisz plik ISO w lokalizacji, która jest łatwa do znalezienia.

                                                                                                                                                  5

                                                                                                                                                  Wykonaj kopię zapasową pliku ISO w lokalnym systemie. Kopia zapasowa powinna być zabezpieczona. Ten plik zawiera główny klucz szyfrowania zawartości bazy danych. Ogranicz dostęp tylko do tych administratorów hybrydowych zabezpieczeń danych, którzy powinni wprowadzać zmiany w konfiguracji.

                                                                                                                                                  6

                                                                                                                                                  W lewym okienku nawigacyjnym klienta VMware vSphere kliknij prawym przyciskiem myszy maszynę wirtualną i kliknij opcję Edytuj ustawienia..

                                                                                                                                                  7

                                                                                                                                                  Kliknij opcję Edytuj ustawienia >Napęd CD/DVD 1 i wybierz Plik ISO Datastore.


                                                                                                                                                   

                                                                                                                                                  Upewnij się, że Connected and Connect at power on (Podłączono) są zaznaczone, aby zaktualizowane zmiany konfiguracji mogły wejść w życie po uruchomieniu węzłów.

                                                                                                                                                  8

                                                                                                                                                  Włącz węzeł HDS i upewnij się, że nie ma alarmów przez co najmniej 15 minut.

                                                                                                                                                  9

                                                                                                                                                  Powtórz proces dla każdego węzła w centrum danych standby.


                                                                                                                                                   

                                                                                                                                                  Sprawdź dzienniki syslog, aby sprawdzić, czy węzły są w trybie pasywnym. W dziennikach syslog należy mieć możliwość wyświetlania komunikatu „KMS skonfigurowany w trybie pasywnym”.

                                                                                                                                                  Co zrobić dalej

                                                                                                                                                  Po skonfigurowaniu passiveMode w pliku ISO i zapisanie go można utworzyć inną kopię pliku ISO bez passiveMode konfigurację i zapisanie w bezpiecznym miejscu. Ta kopia pliku ISO bez passiveMode skonfigurowany może pomóc w szybkim procesie awaryjnym podczas odzyskiwania po awarii. Aby zapoznać się ze szczegółową procedurą przywracania awaryjnego za pomocą Standby Data Center (Centrum danych gotowości).

                                                                                                                                                  Wsparcie proxy

                                                                                                                                                  Hybrydowe zabezpieczenia danych obsługują jednoznaczne, przejrzyste inspekcje i nieinspekcje serwerów proxy. Możesz powiązać te serwery proxy z wdrożeniem, aby można było zabezpieczyć i monitorować ruch z przedsiębiorstwa do chmury. Interfejsu administratora platformy można używać w węzłach do zarządzania certyfikatami i sprawdzania ogólnego stanu łączności po skonfigurowaniu serwera proxy w węzłach.

                                                                                                                                                  Węzły hybrydowego zabezpieczenia danych obsługują następujące opcje serwera proxy:

                                                                                                                                                  • Brak serwera proxy — ustawienie domyślne, jeśli w celu zintegrowania serwera proxy nie jest używane do konfiguracji węzła HDS Trust Store & Proxy. Nie jest wymagana aktualizacja certyfikatu.

                                                                                                                                                  • Przejrzysty serwer proxy niekontrolowany — węzły nie są skonfigurowane do używania określonego adresu serwera proxy i nie powinny wymagać żadnych zmian w pracy z serwerem proxy niekontrolowanym. Nie jest wymagana aktualizacja certyfikatu.

                                                                                                                                                  • Przejrzyste tunelowanie lub sprawdzanie serwera proxy — węzły nie są skonfigurowane do korzystania z określonego adresu serwera proxy. W węzłach nie są konieczne zmiany konfiguracji protokołu HTTP ani protokołu HTTPS. Węzły potrzebują jednak certyfikatu głównego, aby zaufać proxy. Informatycy zazwyczaj używają serwerów proxy do egzekwowania zasad, na których strony internetowe mogą być odwiedzane i które rodzaje treści są niedozwolone. Ten typ serwera proxy odszyfruje cały ruch (nawet HTTPS).

                                                                                                                                                  • Wyraźny serwer proxy — w przypadku wyraźnego serwera proxy należy wskazać węzły HDS, których serwer proxy i schemat uwierzytelniania należy używać. Aby skonfigurować wyraźny serwer proxy, należy wprowadzić następujące informacje w każdym węźle:

                                                                                                                                                    1. Proxy IP/FQDN — adres, którego można użyć do dotarcia do maszyny proxy.

                                                                                                                                                    2. Port serwera proxy— numer portu, którego serwer proxy używa do odsłuchiwania ruchu z serwerem proxy.

                                                                                                                                                    3. Protokół proxy— w zależności od tego, co obsługuje serwer proxy, wybierz między następującymi protokołami:

                                                                                                                                                      • HTTP — wyświetla i kontroluje wszystkie żądania wysyłane przez klienta.

                                                                                                                                                      • HTTPS — udostępnia kanał do serwera. Klient odbiera i weryfikuje certyfikat serwera.

                                                                                                                                                    4. Typ uwierzytelniania — wybierz spośród następujących typów uwierzytelniania:

                                                                                                                                                      • Brak — dalsze uwierzytelnianie nie jest wymagane.

                                                                                                                                                        Dostępne, jeśli jako protokół proxy zostanie wybrany protokół HTTP lub HTTPS.

                                                                                                                                                      • Basic — używane przez agenta użytkownika HTTP do podawania nazwy użytkownika i hasła podczas składania żądania. Korzysta z kodowania Base64.

                                                                                                                                                        Dostępne, jeśli jako protokół proxy zostanie wybrany protokół HTTP lub HTTPS.

                                                                                                                                                        Wymaga wprowadzenia nazwy użytkownika i hasła w każdym węźle.

                                                                                                                                                      • Digest — służy do potwierdzenia konta przed wysłaniem poufnych informacji. Przed wysłaniem za pośrednictwem sieci należy zastosować funkcję skrótu w nazwie użytkownika i hasłem.

                                                                                                                                                        Dostępne tylko po wybraniu protokołu HTTPS jako protokołu proxy.

                                                                                                                                                        Wymaga wprowadzenia nazwy użytkownika i hasła w każdym węźle.

                                                                                                                                                  Przykład węzłów hybrydowych zabezpieczeń danych i serwera proxy

                                                                                                                                                  Na tym wykresie przedstawiono przykładowe połączenie między hybrydowym zabezpieczeniem danych, siecią i serwerem proxy. W przypadku opcji przejrzystej inspekcji i jawnej inspekcji serwera proxy HTTPS ten sam certyfikat główny musi być zainstalowany na serwerze proxy i w węzłach hybrydowych zabezpieczeń danych.

                                                                                                                                                  Zablokowany zewnętrzny tryb rozpoznawania DNS (wyraźne konfiguracje serwera proxy)

                                                                                                                                                  Po zarejestrowaniu węzła lub sprawdzeniu konfiguracji serwera proxy węzła proces testuje wyszukiwanie DNS i łączność z chmurą Cisco Webex. W przypadku wdrożeń z wyraźnymi konfiguracjami serwera proxy, które nie zezwalają na zewnętrzną rozdzielczość DNS dla klientów wewnętrznych, jeśli węzeł nie może wyszukiwać serwerów DNS, automatycznie przechodzi on w tryb Zablokowanej zewnętrznej rozdzielczości DNS. W tym trybie można kontynuować rejestrację węzła i inne testy łączności serwera proxy.

                                                                                                                                                  Przygotuj swoje środowisko

                                                                                                                                                  Wymagania dotyczące hybrydowego bezpieczeństwa danych

                                                                                                                                                  Wymagania licencyjne Cisco Webex

                                                                                                                                                  Aby wdrożyć hybrydowe zabezpieczenia danych:

                                                                                                                                                  Docker Wymagania pulpitowe

                                                                                                                                                  Przed zainstalowaniem węzłów HDS potrzebny jest Docker Desktop do uruchomienia programu konfiguracji. Docker niedawno zaktualizował swój model licencjonowania. Twoja organizacja może wymagać płatnej subskrypcji platformy Docker Desktop. Aby uzyskać szczegółowe informacje, zobacz wpis w blogu platformy Docker, „ Docker aktualizuje i rozszerza subskrypcje naszych produktów ”.

                                                                                                                                                  Wymagania dotyczące certyfikatu X.509

                                                                                                                                                  Łańcuch certyfikatów musi spełniać następujące wymagania:

                                                                                                                                                  Tabela 1. X.509 Wymagania dotyczące certyfikatów dla wdrażania hybrydowego zabezpieczenia danych

                                                                                                                                                  Wymaganie

                                                                                                                                                  Szczegóły

                                                                                                                                                  • Podpisany przez zaufany urząd certyfikacji (CA)

                                                                                                                                                  Domyślnie ufamy urzędnikom na liście Mozilla (z wyjątkiem WoSign i StartCom) pod adresem https://wiki.mozilla.org/CA:IncludedCAs.

                                                                                                                                                  • Nazwa domeny wspólnej nazwy (CN) identyfikująca wdrożenie hybrydowego zabezpieczenia danych

                                                                                                                                                  • Nie jest certyfikatem wieloznacznych kart

                                                                                                                                                  CN nie musi być osiągalne ani hostem na żywo. Zalecamy używanie nazwy odzwierciedlającej np. organizację, hds.company.com.

                                                                                                                                                  CN nie może zawierać * (wildcard).

                                                                                                                                                  CN służy do weryfikacji węzłów hybrydowych zabezpieczeń danych dla klientów aplikacji Webex. Wszystkie węzły hybrydowego zabezpieczenia danych w klastrze używają tego samego certyfikatu. System KMS identyfikuje się za pomocą domeny CN, a nie żadnej domeny zdefiniowanej w polach SAN x.509v3.

                                                                                                                                                  Po zarejestrowaniu węzła z tym certyfikatem nie obsługujemy zmiany nazwy domeny CN. Wybierz domenę, która może mieć zastosowanie zarówno do wdrożeń próbnych, jak i produkcyjnych.

                                                                                                                                                  • Podpis inny niż SHA1

                                                                                                                                                  Oprogramowanie KMS nie obsługuje podpisów SHA1 w celu weryfikacji połączeń z KMSs innych organizacji.

                                                                                                                                                  • Formatowany jako plik PKCS #12 chroniony hasłem

                                                                                                                                                  • Użyj przyjaznej nazwy kms-private-key aby oznaczyć certyfikat, klucz prywatny i wszelkie certyfikaty pośrednie do przesłania.

                                                                                                                                                  Możesz użyć konwertera, takiego jak OpenSSL, aby zmienić format certyfikatu.

                                                                                                                                                  Po uruchomieniu narzędzia konfiguracji usługi HDS należy wprowadzić hasło.

                                                                                                                                                  Oprogramowanie KMS nie wymusza użycia klucza ani nie nakłada dodatkowych ograniczeń w jego używaniu. Niektóre organy certyfikatów wymagają, aby do każdego certyfikatu stosowano rozszerzone ograniczenia użycia kluczy, takie jak uwierzytelnianie serwera. Można używać uwierzytelniania serwera lub innych ustawień.

                                                                                                                                                  Wymagania dotyczące wirtualnego prowadzącego

                                                                                                                                                  Wirtualne hosty skonfigurowane jako węzły hybrydowego zabezpieczenia danych w klastrze mają następujące wymagania:

                                                                                                                                                  • Co najmniej dwa osobne hosty (zalecane 3) zestawione w tym samym bezpiecznym centrum danych

                                                                                                                                                  • Oprogramowanie VMware ESXi 6.5 (lub nowsze) zostało zainstalowane i uruchomione.


                                                                                                                                                     

                                                                                                                                                    Jeśli masz wcześniejszą wersję ESXi, musisz ją uaktualnić.

                                                                                                                                                  • Minimum 4 procesory vCPUs, 8-GB pamięci głównej, 30-GB lokalnego miejsca na dysk twardy na serwer

                                                                                                                                                  Wymagania serwera bazy danych


                                                                                                                                                   

                                                                                                                                                  Utwórz nową bazę danych do przechowywania kluczy. Nie używaj domyślnej bazy danych. Aplikacje HDS po zainstalowaniu tworzą schemat bazy danych.

                                                                                                                                                  Istnieją dwie opcje dla serwera bazy danych. Wymagania dla każdego z nich są następujące:

                                                                                                                                                  Tabela 2. Wymagania serwera bazy danych według typu bazy danych

                                                                                                                                                  PostgreSQL

                                                                                                                                                  Microsoft SQL Server

                                                                                                                                                  • PostgreSQL 14, 15 lub 16, zainstalowany i uruchomiony.

                                                                                                                                                  • Zainstalowano program SQL Server 2016, 2017 lub 2019 (Enterprise lub Standard).


                                                                                                                                                     

                                                                                                                                                    SQL Server 2016 wymaga pakietu usług 2 i zbiorczej aktualizacji 2 lub nowszej.

                                                                                                                                                  Minimum 8 procesorów vCPU, 16-GB pamięci głównej, wystarczająca ilość miejsca na dysku twardym i monitorowanie, aby upewnić się, że nie zostanie przekroczona (zalecane 2-TB, jeśli chcesz uruchomić bazę danych przez długi czas bez konieczności zwiększania pamięci)

                                                                                                                                                  Minimum 8 procesorów vCPU, 16-GB pamięci głównej, wystarczająca ilość miejsca na dysku twardym i monitorowanie, aby upewnić się, że nie zostanie przekroczona (zalecane 2-TB, jeśli chcesz uruchomić bazę danych przez długi czas bez konieczności zwiększania pamięci)

                                                                                                                                                  Oprogramowanie HDS instaluje obecnie następujące wersje sterowników do komunikacji z serwerem bazy danych:

                                                                                                                                                  PostgreSQL

                                                                                                                                                  Microsoft SQL Server

                                                                                                                                                  Postgres JDBC kierowca 42.2.5

                                                                                                                                                  SQL Server JDBC sterownik 4.6

                                                                                                                                                  Ta wersja sterownika obsługuje program SQL Server Always On (Always On Failover Cluster Instances oraz Always On availability groups).

                                                                                                                                                  Dodatkowe wymagania dotyczące uwierzytelniania systemu Windows w usłudze Microsoft SQL Server

                                                                                                                                                  Jeśli chcesz, aby węzły HDS używały uwierzytelniania w systemie Windows, aby uzyskać dostęp do bazy danych keystore na serwerze Microsoft SQL Server, potrzebujesz następującej konfiguracji w swoim środowisku:

                                                                                                                                                  • Węzły HDS, infrastruktura Active Directory i MS SQL Server muszą być synchronizowane z NTP.

                                                                                                                                                  • Konto systemu Windows dla węzłów HDS musi mieć dostęp do bazy danych do odczytu/zapisu.

                                                                                                                                                  • Serwery DNS dostarczane do węzłów HDS muszą być w stanie rozwiązać klucz centrum dystrybucji (KDC).

                                                                                                                                                  • Wystąpienie bazy danych HDS można zarejestrować na serwerze Microsoft SQL Server jako główną nazwę usługi (SPN) w usłudze Active Directory. Zobacz Rejestrowanie głównej nazwy usługi dla połączeń Kerberos.

                                                                                                                                                    Narzędzie do konfigurowania HDS, uruchamianie HDS i lokalne KMS muszą używać uwierzytelniania systemu Windows, aby uzyskać dostęp do bazy danych keystore. Używają szczegółów z konfiguracji ISO do budowy SPN podczas żądania dostępu za pomocą uwierzytelniania Kerberos.

                                                                                                                                                  Wymagania dotyczące połączeń zewnętrznych

                                                                                                                                                  Skonfiguruj zaporę, aby zezwolić na następującą łączność dla aplikacji HDS:

                                                                                                                                                  Aplikacja

                                                                                                                                                  Protokół

                                                                                                                                                  Port

                                                                                                                                                  Polecenie z aplikacji

                                                                                                                                                  Miejsce docelowe

                                                                                                                                                  Węzły hybrydowego zabezpieczenia danych

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  Zewnętrzne HTTPS i WSS

                                                                                                                                                  • Serwery Webex:

                                                                                                                                                    • *.wbx2.com

                                                                                                                                                    • *.ciscospark.com

                                                                                                                                                  • Wszystkie hosty Common Identity

                                                                                                                                                  • Inne adresy URL wymienione dla hybrydowych zabezpieczeń danych w tabeli Dodatkowe adresy URL dla usług hybrydowych Webex zawierającej wymagania sieciowe dla usług Webex

                                                                                                                                                  Narzędzie do konfigurowania HDS

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  Zewnętrzny protokół HTTPS

                                                                                                                                                  • *.wbx2.com

                                                                                                                                                  • Wszystkie hosty Common Identity

                                                                                                                                                  • hub.docker.com


                                                                                                                                                   

                                                                                                                                                  Węzły hybrydowego zabezpieczenia danych współpracują z tłumaczeniem dostępu do sieci (NAT) lub za zaporą, o ile NAT lub zapora zezwala na wymagane połączenia wychodzące z adresami domen w poprzedniej tabeli. W przypadku połączeń przychodzących do węzłów hybrydowego zabezpieczenia danych żadne porty nie powinny być widoczne z Internetu. W centrum danych klienci potrzebują dostępu do węzłów hybrydowych zabezpieczeń danych w portach TCP 443 i 22 do celów administracyjnych.

                                                                                                                                                  Adresy URL hostów Common Identity (CI) są specyficzne dla regionu. Są to bieżące hosty CI:

                                                                                                                                                  Region

                                                                                                                                                  Wspólne adresy URL prowadzącego tożsamości

                                                                                                                                                  Ameryka

                                                                                                                                                  • https://idbroker.webex.com

                                                                                                                                                  • https://identity.webex.com

                                                                                                                                                  • https://idbroker-b-us.webex.com

                                                                                                                                                  • https://identity-b-us.webex.com

                                                                                                                                                  Unia Europejska

                                                                                                                                                  • https://idbroker-eu.webex.com

                                                                                                                                                  • https://identity-eu.webex.com

                                                                                                                                                  Kanada

                                                                                                                                                  • https://idbroker-ca.webex.com

                                                                                                                                                  • https://identity-ca.webex.com

                                                                                                                                                  Wymagania serwera proxy

                                                                                                                                                  • Oficjalnie obsługujemy następujące rozwiązania proxy, które mogą integrować się z węzłami hybrydowego zabezpieczenia danych.

                                                                                                                                                    • Przejrzysty serwer proxy — Cisco Web Security Appliance (WSA).

                                                                                                                                                    • Wyraźny serwer proxy — Squid.


                                                                                                                                                       

                                                                                                                                                      Proxies Squid, które sprawdzają ruch HTTPS może kolidować z ustanowieniem websocket (wss:) połączeń. Aby rozwiązać ten problem, zobacz Configure Squid Proxies for Hybrid Data Security.

                                                                                                                                                  • Obsługujemy następujące kombinacje typów uwierzytelniania dla serwerów proxy:

                                                                                                                                                    • Brak uwierzytelniania przy użyciu protokołu HTTP lub HTTPS

                                                                                                                                                    • Uwierzytelnianie podstawowe przy użyciu protokołu HTTP lub HTTPS

                                                                                                                                                    • Uwierzytelnianie przy użyciu protokołu HTTPS

                                                                                                                                                  • W przypadku przejrzystego serwera proxy inspekcji lub bezpośredniego serwera proxy HTTPS należy posiadać kopię certyfikatu głównego serwera proxy. Instrukcje wdrażania zawarte w tym przewodniku informują o sposobie przesłania kopii do sklepów zaufania węzłów hybrydowych zabezpieczeń danych.

                                                                                                                                                  • Sieć hostująca węzły HDS musi być skonfigurowana tak, aby wymuszać wychodzący ruch TCP na porcie 443 na trasę przez serwer proxy.

                                                                                                                                                  • Serwery proxy, które kontrolują ruch sieciowy, mogą zakłócać połączenia z gniazdem internetowym. Jeśli wystąpi ten problem, omijając (nie kontrolując) ruch do wbx2.com i ciscospark.com rozwiąże problem.

                                                                                                                                                  Wypełnij wymagania wstępne dla hybrydowego zabezpieczenia danych

                                                                                                                                                  Użyj tej listy kontrolnej, aby upewnić się, że jesteś gotowy do zainstalowania i skonfigurowania klastra hybrydowego bezpieczeństwa danych.
                                                                                                                                                  1

                                                                                                                                                  Upewnij się, że Twoja organizacja Webex jest włączona dla pakietu Pro Pack dla Cisco Webex Control Hub i uzyskaj poświadczenia konta z pełnymi prawami administratora organizacji. Aby uzyskać pomoc w tym procesie, skontaktuj się z partnerem firmy Cisco lub menedżerem konta.

                                                                                                                                                  2

                                                                                                                                                  Wybierz nazwę domeny dla wdrożenia HDS (na przykład hds.company.com) i uzyskać łańcuch certyfikatów zawierający certyfikat X.509, klucz prywatny i wszelkie certyfikaty pośrednie. Łańcuch certyfikatów musi spełniać wymagania określone w X.509 Certificate Requirements.

                                                                                                                                                  3

                                                                                                                                                  Przygotuj identyczne wirtualne hosty, które skonfigurujesz jako węzły hybrydowego zabezpieczenia danych w klastrze. Potrzebne są co najmniej dwa oddzielne hosty (zalecane 3) zestawione w tym samym bezpiecznym centrum danych, które spełniają wymagania w Wymagania wirtualnego hosta.

                                                                                                                                                  4

                                                                                                                                                  Przygotuj serwer bazy danych, który będzie działał jako kluczowy magazyn danych dla klastra, zgodnie z wymaganiami serwera bazy danych. Serwer bazy danych musi być zestawiony w bezpiecznym centrum danych z wirtualnymi hostami.

                                                                                                                                                  1. Utwórz bazę danych do przechowywania kluczy. (Musisz utworzyć tę bazę danych — nie używaj domyślnej bazy danych. Aplikacje HDS, po zainstalowaniu, tworzą schemat bazy danych.)

                                                                                                                                                  2. Zbierz szczegóły używane przez węzły do komunikacji z serwerem bazy danych:

                                                                                                                                                    • nazwę prowadzącego lub adres IP (prowadzącego) i port

                                                                                                                                                    • nazwa bazy danych (dbname) do przechowywania kluczy

                                                                                                                                                    • nazwę użytkownika i hasło użytkownika ze wszystkimi uprawnieniami w bazie danych magazynu kluczy

                                                                                                                                                  5

                                                                                                                                                  W celu szybkiego odzyskiwania danych po awarii należy skonfigurować środowisko tworzenia kopii zapasowych w innym centrum danych. Środowisko tworzenia kopii zapasowych odzwierciedla środowisko produkcyjne maszyn wirtualnych i zapasowego serwera bazy danych. Na przykład, jeśli produkcja ma 3 maszyny wirtualne z węzłami HDS, środowisko tworzenia kopii zapasowych powinno mieć 3 maszyny wirtualne.

                                                                                                                                                  6

                                                                                                                                                  Skonfiguruj hosta dziennika systemowego, aby zbierał dzienniki z węzłów w klastrze. Zbierz adres sieciowy i port dziennika systemowego (domyślnie jest to UDP 514).

                                                                                                                                                  7

                                                                                                                                                  Utwórz bezpieczne zasady tworzenia kopii zapasowych węzłów hybrydowych zabezpieczeń danych, serwera bazy danych i hosta dziennika systemowego. Aby zapobiec niemożliwej do odzyskania utracie danych, należy wykonać kopię zapasową bazy danych i pliku ISO konfiguracji wygenerowanego dla węzłów hybrydowych zabezpieczeń danych.


                                                                                                                                                   

                                                                                                                                                  Ponieważ węzły hybrydowego zabezpieczenia danych przechowują klucze używane do szyfrowania i odszyfrowywania treści, brak utrzymania operacyjnego wdrożenia spowoduje NIEZBĘDNĄ STRATĘ tej zawartości.

                                                                                                                                                  Klienci aplikacji Webex przechowują klucze w pamięci podręcznej, więc awaria może nie być natychmiast zauważalna, ale z czasem stanie się widoczna. Chociaż tymczasowe przerwy są niemożliwe do zapobieżenia, są one do odzyskania. Jednak całkowita utrata (brak kopii zapasowych) bazy danych lub pliku konfiguracyjnego ISO spowoduje niemożliwy do odzyskania dane klienta. Oczekuje się, że operatorzy węzłów hybrydowego bezpieczeństwa danych będą utrzymywać częste kopie zapasowe bazy danych i pliku ISO konfiguracji oraz będą przygotowani do odbudowy centrum danych hybrydowego bezpieczeństwa danych w przypadku wystąpienia katastrofalnej awarii.

                                                                                                                                                  8

                                                                                                                                                  Upewnij się, że konfiguracja zapory umożliwia dostęp do łączności w węzłach hybrydowych zabezpieczeń danych, jak opisano w Zewnętrznych wymogach dotyczących łączności.

                                                                                                                                                  9

                                                                                                                                                  Zainstaluj Docker ( https://www.docker.com) na każdej maszynie lokalnej z obsługiwanym systemem operacyjnym (Microsoft Windows 10 Professional lub Enterprise 64-bit lub Mac OSX Yosemite 10.10.3 lub nowszym) z przeglądarką internetową, która może uzyskać do niej dostęp pod adresem http://127.0.0.1:8080.

                                                                                                                                                  Za pomocą wystąpienia Docker można pobrać i uruchomić narzędzie konfiguracji HDS, które tworzy lokalne informacje konfiguracyjne dla wszystkich węzłów hybrydowych zabezpieczeń danych. Twoja organizacja może potrzebować licencji Docker Desktop. Aby uzyskać więcej informacji, zobacz Wymagania Dotyczące Pulpitu Dockera.

                                                                                                                                                  Aby zainstalować i uruchomić narzędzie do konfiguracji HDS, lokalna maszyna musi mieć łączność opisaną w Zewnętrznych wymaganiach dotyczących łączności.

                                                                                                                                                  10

                                                                                                                                                  Jeśli integrujesz serwer proxy z hybrydowymi zabezpieczeniami danych, upewnij się, że spełnia on wymagania serwera proxy.

                                                                                                                                                  11

                                                                                                                                                  Jeśli Twoja organizacja używa synchronizacji katalogu, utwórz grupę w usłudze Active Directory o nazwie HdsTrialGroup, i dodać użytkowników pilotażowych. Grupa próbna może mieć do 250 użytkowników. Plik HdsTrialGroup obiekt musi być zsynchronizowany z chmurą przed rozpoczęciem próby dla organizacji. Aby zsynchronizować obiekt grupowy, wybierz go w łączniku usług katalogowych Konfiguracja > Menu Wybór obiektu. (Szczegółowe instrukcje można znaleźć w Podręczniku wdrażania Cisco Directory Connector.)


                                                                                                                                                   

                                                                                                                                                  Klucze dla danego obszaru są ustawiane przez twórcę tego obszaru. Wybierając użytkowników pilotażowych, należy pamiętać, że jeśli zdecydujesz się na trwałą dezaktywację wdrożenia hybrydowego zabezpieczenia danych, wszyscy użytkownicy utracą dostęp do treści w obszarach utworzonych przez użytkowników pilotażowych. Strata staje się widoczna, gdy aplikacje użytkowników odświeżą swoje kopie w pamięci podręcznej treści.

                                                                                                                                                  Konfigurowanie hybrydowego klastra bezpieczeństwa danych

                                                                                                                                                  Przepływ zadań związanych z wdrażaniem zabezpieczeń danych hybrydowych

                                                                                                                                                  Przed rozpoczęciem

                                                                                                                                                  Przygotuj swoje środowisko

                                                                                                                                                  1

                                                                                                                                                  Pobierz pliki instalacyjne

                                                                                                                                                  Pobierz plik OVA do lokalnego komputera, aby później go użyć.

                                                                                                                                                  2

                                                                                                                                                  Tworzenie ISO konfiguracji dla prowadzących HDS

                                                                                                                                                  Za pomocą narzędzia konfiguracyjnego HDS można utworzyć plik konfiguracyjny ISO dla węzłów hybrydowych zabezpieczeń danych.

                                                                                                                                                  3

                                                                                                                                                  Instalowanie OVA hosta HDS

                                                                                                                                                  Utwórz maszynę wirtualną z pliku OVA i wykonaj konfigurację początkową, taką jak ustawienia sieciowe.


                                                                                                                                                   

                                                                                                                                                  Opcja konfigurowania ustawień sieciowych podczas wdrażania OVA została przetestowana z ESXi 6.5. Opcja może nie być dostępna we wcześniejszych wersjach.

                                                                                                                                                  4

                                                                                                                                                  Skonfiguruj hybrydową maszynę wirtualną ds. bezpieczeństwa danych

                                                                                                                                                  Zaloguj się na konsoli VM i ustaw poświadczenia logowania. Skonfiguruj ustawienia sieciowe węzła, jeśli nie zostały skonfigurowane w czasie wdrażania OVA.

                                                                                                                                                  5

                                                                                                                                                  Prześlij i zamontuj ISO konfiguracji HDS

                                                                                                                                                  Skonfiguruj VM z pliku konfiguracyjnego ISO utworzonego za pomocą narzędzia do konfiguracji HDS.

                                                                                                                                                  6

                                                                                                                                                  Konfigurowanie węzła HDS dla integracji serwera proxy

                                                                                                                                                  Jeśli środowisko sieciowe wymaga konfiguracji serwera proxy, określ typ serwera proxy, którego użyjesz dla węzła, i w razie potrzeby dodaj certyfikat serwera proxy do sklepu zaufania.

                                                                                                                                                  7

                                                                                                                                                  Zarejestruj pierwszy węzeł w klastrze

                                                                                                                                                  Zarejestruj maszynę wirtualną za pomocą chmury Cisco Webex jako węzeł hybrydowego zabezpieczenia danych.

                                                                                                                                                  8

                                                                                                                                                  Tworzenie i rejestrowanie większej liczby węzłów

                                                                                                                                                  Zakończ konfigurację klastra.

                                                                                                                                                  9

                                                                                                                                                  Przeprowadzanie wersji próbnej i przejście do produkcji (następny rozdział)

                                                                                                                                                  Do momentu rozpoczęcia próby węzły wygenerują alarm wskazujący, że usługa nie została jeszcze aktywowana.

                                                                                                                                                  Pobierz pliki instalacyjne

                                                                                                                                                  W tym zadaniu pobierz plik OVA do swojego komputera (nie do serwerów skonfigurowanych jako węzły hybrydowego zabezpieczenia danych). Ten plik jest używany później w procesie instalacji.
                                                                                                                                                  1

                                                                                                                                                  Zaloguj się do https://admin.webex.com, a następnie kliknij opcję Usługi.

                                                                                                                                                  2

                                                                                                                                                  W sekcji Usługi hybrydowe znajdź kartę zabezpieczenia danych hybrydowych, a następnie kliknij przycisk Skonfiguruj.

                                                                                                                                                  Jeśli karta jest wyłączona lub jej nie widzisz, skontaktuj się z zespołem ds. kont lub organizacją partnerską. Podaj im numer konta i poproś o włączenie organizacji Hybrid Data Security. Aby znaleźć numer konta, kliknij bieg w prawym górnym rogu obok nazwy organizacji.


                                                                                                                                                   

                                                                                                                                                  OVA można również pobrać w dowolnym momencie z sekcji Pomoc na stronie Ustawienia . Na karcie Hybrid Data Security kliknij opcję Edytuj ustawienia, aby otworzyć stronę. Następnie kliknij opcję Pobierz oprogramowanie hybrydowego zabezpieczenia danych w sekcji Pomoc .


                                                                                                                                                   

                                                                                                                                                  Starsze wersje pakietu oprogramowania (OVA) nie będą kompatybilne z najnowszymi aktualizacjami Hybrid Data Security. Może to spowodować problemy podczas uaktualniania aplikacji. Upewnij się, że pobierz najnowszą wersję pliku OVA.

                                                                                                                                                  3

                                                                                                                                                  Wybierz Nie , aby wskazać, że węzeł nie został jeszcze skonfigurowany, a następnie kliknij przycisk Dalej.

                                                                                                                                                  Plik OVA automatycznie zaczyna się pobierać. Zapisz plik w lokalizacji na komputerze.
                                                                                                                                                  4

                                                                                                                                                  Opcjonalnie kliknij Open Deployment Guide (Otwórz przewodnik wdrażania), aby sprawdzić, czy dostępna jest późniejsza wersja tego przewodnika.

                                                                                                                                                  Tworzenie ISO konfiguracji dla prowadzących HDS

                                                                                                                                                  Proces konfiguracji hybrydowego zabezpieczenia danych tworzy plik ISO. Następnie należy użyć ISO do skonfigurowania hosta hybrydowego bezpieczeństwa danych.

                                                                                                                                                  Przed rozpoczęciem

                                                                                                                                                  • Narzędzie instalacji HDS działa jako kontener platformy Docker na komputerze lokalnym. Aby uzyskać do niego dostęp, uruchom platformę Docker na tym komputerze. Proces konfiguracji wymaga poświadczeń konta Control Hub z pełnymi uprawnieniami administratora dla Twojej organizacji.

                                                                                                                                                    Jeśli narzędzie HDS Setup działa za serwerem proxy w Twoim środowisku, podaj ustawienia serwera proxy (serwer, port, poświadczenia) za pomocą zmiennych środowiska Docker podczas podnoszenia kontenera Docker w kroku 5. W tej tabeli podano kilka możliwych zmiennych środowiskowych:

                                                                                                                                                    Opis

                                                                                                                                                    Zmienna

                                                                                                                                                    Serwer proxy HTTP bez uwierzytelniania

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    Serwer proxy HTTPS bez uwierzytelniania

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    Serwer proxy HTTP z uwierzytelnianiem

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                    Serwer proxy HTTPS z uwierzytelnianiem

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                  • Wygenerowany plik ISO konfiguracji zawiera klucz główny szyfrujący bazę danych PostgreSQL lub Microsoft SQL Server. Potrzebna jest najnowsza kopia tego pliku, gdy wprowadzasz zmiany w konfiguracji, takie jak:

                                                                                                                                                    • Poświadczenia bazy danych

                                                                                                                                                    • Aktualizacje certyfikatów

                                                                                                                                                    • Zmiany w zasadach autoryzacji

                                                                                                                                                  • Jeśli planujesz szyfrowanie połączeń z bazą danych, skonfiguruj wdrożenie programu PostgreSQL lub SQL Server dla TLS.

                                                                                                                                                  1

                                                                                                                                                  W wierszu poleceń komputera wprowadź polecenie odpowiednie dla swojego środowiska:

                                                                                                                                                  W zwykłych środowiskach:

                                                                                                                                                  docker rmi ciscocitg/hds-setup:stable

                                                                                                                                                  W środowiskach FedRAMP:

                                                                                                                                                  docker rmi ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                   

                                                                                                                                                  Ten krok czyści poprzednie obrazy narzędzia konfiguracji HDS. Jeśli nie ma poprzednich obrazów, zwraca błąd, który można zignorować.

                                                                                                                                                  2

                                                                                                                                                  Aby zalogować się do rejestru obrazów platformy Docker, wprowadź następujące informacje:

                                                                                                                                                  docker login -u hdscustomersro
                                                                                                                                                  3

                                                                                                                                                  Po wyświetleniu monitu o hasło wprowadź ten skrót:

                                                                                                                                                  dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
                                                                                                                                                  4

                                                                                                                                                  Pobierz najnowszy stabilny obraz dla swojego środowiska:

                                                                                                                                                  W zwykłych środowiskach:

                                                                                                                                                  docker pull ciscocitg/hds-setup:stable

                                                                                                                                                  W środowiskach FedRAMP:

                                                                                                                                                  docker pull ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  5

                                                                                                                                                  Po zakończeniu ściągania wprowadź polecenie odpowiednie dla środowiska:

                                                                                                                                                  • W zwykłych środowiskach bez serwera proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
                                                                                                                                                  • W zwykłych środowiskach z serwerem proxy HTTP:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • W zwykłych środowiskach z serwerem proxy HTTPS:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • W środowiskach FedRAMP bez serwera proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • W środowiskach FedRAMP z serwerem proxy HTTP:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • W środowiskach FedRAMP z serwerem proxy HTTPS:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                  Gdy kontener jest uruchomiony, zostanie wyświetlony komunikat „Serwer ekspresowy nasłuchuje na porcie 8080”.

                                                                                                                                                  6

                                                                                                                                                   

                                                                                                                                                  Narzędzie Konfiguracja nie obsługuje łączenia się z localhost za pośrednictwem http://localhost:8080. Użyj http://127.0.0.1:8080, aby połączyć się z hostem lokalizacji.

                                                                                                                                                  Użyj przeglądarki internetowej, aby przejść do hosta lokalizacji, http://127.0.0.1:8080, i wprowadź nazwę użytkownika administratora klienta dla Control Hub po wyświetleniu monitu.

                                                                                                                                                  Narzędzie używa tego pierwszego wpisu nazwy użytkownika, aby ustawić odpowiednie środowisko dla tego konta. Następnie narzędzie wyświetla standardowy monit o zalogowanie.

                                                                                                                                                  7

                                                                                                                                                  Po wyświetleniu monitu wprowadź poświadczenia logowania administratora klienta Control Hub, a następnie kliknij przycisk Zaloguj się , aby zezwolić na dostęp do wymaganych usług Hybrid Data Security.

                                                                                                                                                  8

                                                                                                                                                  Na stronie Przegląd narzędzia konfiguracyjnego kliknij Rozpocznij.

                                                                                                                                                  9

                                                                                                                                                  Na stronie ISO Import dostępne są następujące opcje:

                                                                                                                                                  • Nie— jeśli tworzysz swój pierwszy węzeł HDS, nie masz pliku ISO do przesłania.
                                                                                                                                                  • Tak— jeśli utworzono już węzły HDS, należy wybrać plik ISO podczas przeglądania i przesyłania go.
                                                                                                                                                  10

                                                                                                                                                  Sprawdź, czy certyfikat X.509 spełnia wymagania określone w wymaganiach certyfikatów X.509.

                                                                                                                                                  • Jeśli nigdy wcześniej nie przesłałeś certyfikatu, prześlij certyfikat X.509, wprowadź hasło i kliknij przycisk Kontynuuj.
                                                                                                                                                  • Jeśli certyfikat jest prawidłowy, kliknij przycisk Kontynuuj.
                                                                                                                                                  • Jeśli certyfikat wygasł lub chcesz go zastąpić, wybierz opcję Nie , aby Kontynuować korzystanie z łańcucha certyfikatów HDS i klucza prywatnego z poprzedniego ISO?. Prześlij nowy certyfikat X.509, wprowadź hasło i kliknij przycisk Kontynuuj.
                                                                                                                                                  11

                                                                                                                                                  Wprowadź adres bazy danych i konto HDS, aby uzyskać dostęp do klucza danych:

                                                                                                                                                  1. Wybierz typ bazy danych (PostgreSQL lub Microsoft SQL Server).

                                                                                                                                                    Jeśli wybierzesz program Microsoft SQL Server, otrzymasz pole Typ uwierzytelniania.

                                                                                                                                                  2. (tylko Microsoft SQL Server) Wybierz Typ uwierzytelniania:

                                                                                                                                                    • Uwierzytelnianie podstawowe: W polu Nazwa użytkownika potrzebna jest lokalna nazwa konta SQL Server.

                                                                                                                                                    • Uwierzytelnianie systemu Windows: Potrzebujesz konta Windows w formacie username@DOMAIN w polu Nazwa użytkownika.

                                                                                                                                                  3. Wprowadź adres serwera bazy danych w formularzu <hostname>:<port> lub <IP-address>:<port>.

                                                                                                                                                    Przykład:
                                                                                                                                                    dbhost.example.org:1433 lub 198.51.100.17:1433

                                                                                                                                                    Do podstawowego uwierzytelniania można użyć adresu IP, jeśli węzły nie mogą używać DNS do rozpoznawania nazwy hosta.

                                                                                                                                                    Jeśli używasz uwierzytelniania systemu Windows, musisz wprowadzić w pełni kwalifikowaną nazwę domeny w formacie dbhost.example.org:1433

                                                                                                                                                  4. Wprowadź nazwę bazy danych.

                                                                                                                                                  5. Wprowadź nazwę użytkownika i hasło użytkownika ze wszystkimi uprawnieniami w bazie danych magazynu kluczy.

                                                                                                                                                  12

                                                                                                                                                  Wybierz tryb połączenia z bazą danych TLS:

                                                                                                                                                  Tryb

                                                                                                                                                  Opis

                                                                                                                                                  Preferuj TLS (opcja domyślna)

                                                                                                                                                  Węzły HDS nie wymagają TLS do łączenia się z serwerem bazy danych. Jeśli włączysz protokół TLS na serwerze bazy danych, węzły spróbują zaszyfrowanego połączenia.

                                                                                                                                                  Wymagaj TLS

                                                                                                                                                  Węzły HDS łączą się tylko wtedy, gdy serwer bazy danych może negocjować TLS.

                                                                                                                                                  Wymagaj TLS i zweryfikuj osobę podpisującą certyfikat


                                                                                                                                                   

                                                                                                                                                  Ten tryb nie ma zastosowania do baz danych SQL Server.

                                                                                                                                                  • Węzły HDS łączą się tylko wtedy, gdy serwer bazy danych może negocjować TLS.

                                                                                                                                                  • Po nawiązaniu połączenia TLS węzeł porównuje sygnera certyfikatu z serwera bazy danych z organem certyfikatu w certyfikacie głównym bazy danych. Jeśli nie są zgodne, węzeł przerywa połączenie.

                                                                                                                                                  Użyj przycisku Certyfikat główny bazy danych poniżej listy rozwijanej, aby przesłać certyfikat główny dla tej opcji.

                                                                                                                                                  Wymagaj TLS oraz zweryfikuj osobę podpisującą certyfikat i nazwę hosta

                                                                                                                                                  • Węzły HDS łączą się tylko wtedy, gdy serwer bazy danych może negocjować TLS.

                                                                                                                                                  • Po nawiązaniu połączenia TLS węzeł porównuje sygnera certyfikatu z serwera bazy danych z organem certyfikatu w certyfikacie głównym bazy danych. Jeśli nie są zgodne, węzeł przerywa połączenie.

                                                                                                                                                  • Węzły sprawdzają również, czy nazwa hosta w certyfikacie serwera jest zgodna z nazwą hosta w polu Baza danych i port . Nazwy muszą być dokładnie takie same, w przeciwnym razie węzeł zerwie połączenie.

                                                                                                                                                  Użyj przycisku Certyfikat główny bazy danych poniżej listy rozwijanej, aby przesłać certyfikat główny dla tej opcji.

                                                                                                                                                  Po przesłaniu certyfikatu głównego (jeśli jest to konieczne) i kliknięciu przycisku Kontynuuj, narzędzie konfiguracji HDS testuje połączenie TLS z serwerem bazy danych. Narzędzie sprawdza również osobę podpisującą certyfikat i nazwę hosta, jeśli ma to zastosowanie. Jeśli test zakończy się niepowodzeniem, narzędzie wyświetli komunikat o błędzie opisujący problem. Możesz wybrać, czy zignorować błąd i kontynuować konfigurację. (Z powodu różnic w połączeniach węzły HDS mogą być w stanie nawiązać połączenie TLS, nawet jeśli maszyna narzędziowa HDS Setup Tool nie jest w stanie go przetestować).

                                                                                                                                                  13

                                                                                                                                                  Na stronie Dzienniki systemu skonfiguruj serwer Syslogd:

                                                                                                                                                  1. Wprowadź adres URL serwera dziennika systemowego.

                                                                                                                                                    Jeśli serwer nie jest w stanie rozwiązać DNS z węzłów klastra HDS, użyj adresu IP w adresie URL.

                                                                                                                                                    Przykład:
                                                                                                                                                    udp://10.92.43.23:514 wskazuje logowanie do hosta Syslogd 10.92.43.23 w porcie UDP 514.
                                                                                                                                                  2. Jeśli skonfigurujesz serwer, aby używał szyfrowania TLS, sprawdź, czy serwer dziennika systemowego jest skonfigurowany do szyfrowania SSL?.

                                                                                                                                                    Jeśli zaznaczysz to pole wyboru, upewnij się, że wprowadzasz adres URL TCP, taki jak: tcp://10.92.43.23:514.

                                                                                                                                                  3. Z listy rozwijanej Wybierz zakończenie rekordu dziennika systemowego wybierz odpowiednie ustawienie dla pliku ISO: Wybierz lub Newline są używane do Graylog i Rsyslog TCP

                                                                                                                                                    • Byte czajnika -- \x00

                                                                                                                                                    • Newline -- \n — Wybierz ten wybór dla aplikacji Graylog i Rsyslog TCP.

                                                                                                                                                  4. Kliknij przycisk Kontynuuj.

                                                                                                                                                  14

                                                                                                                                                  (Opcjonalnie) W ustawieniach zaawansowanych można zmienić wartość domyślną niektórych parametrów połączenia z bazą danych. Ogólnie rzecz biorąc, ten parametr jest jedynym parametrem, który można zmienić:

                                                                                                                                                  app_datasource_connection_pool_maxSize: 10
                                                                                                                                                  15

                                                                                                                                                  Kliknij przycisk Kontynuuj na ekranie Resetuj hasło konta usługi .

                                                                                                                                                  Hasła konta serwisowego mają okres dziewięciu miesięcy. Użyj tego ekranu, gdy hasła zbliżają się do wygaśnięcia lub chcesz je zresetować, aby unieważnić poprzednie pliki ISO.

                                                                                                                                                  16

                                                                                                                                                  Kliknij opcję Pobierz plik ISO. Zapisz plik w lokalizacji, którą łatwo znaleźć.

                                                                                                                                                  17

                                                                                                                                                  Wykonaj kopię zapasową pliku ISO w lokalnym systemie.

                                                                                                                                                  Kopia zapasowa powinna być zabezpieczona. Ten plik zawiera główny klucz szyfrowania zawartości bazy danych. Ogranicz dostęp tylko do tych administratorów hybrydowych zabezpieczeń danych, którzy powinni wprowadzać zmiany w konfiguracji.

                                                                                                                                                  18

                                                                                                                                                  Aby zamknąć narzędzie Setup, wpisz: CTRL+C.

                                                                                                                                                  Co zrobić dalej

                                                                                                                                                  Kopia zapasowa pliku ISO konfiguracji. Musisz utworzyć więcej węzłów do odzyskiwania lub wprowadzić zmiany w konfiguracji. Jeśli stracisz wszystkie kopie pliku ISO, stracisz również klucz główny. Odzyskiwanie kluczy z bazy danych PostgreSQL lub Microsoft SQL Server nie jest możliwe.


                                                                                                                                                   

                                                                                                                                                  Nigdy nie mamy kopii tego klucza i nie możemy pomóc, jeśli go stracisz.

                                                                                                                                                  Instalowanie OVA hosta HDS

                                                                                                                                                  Użyj tej procedury, aby utworzyć maszynę wirtualną z pliku OVA.
                                                                                                                                                  1

                                                                                                                                                  Aby zalogować się do wirtualnego hosta ESXi, użyj klienta VMware vSphere na komputerze.

                                                                                                                                                  2

                                                                                                                                                  Wybierz Plik > Wdrożenie szablonu OVF.

                                                                                                                                                  3

                                                                                                                                                  W kreatorze określ lokalizację pobranego wcześniej pliku OVA, a następnie kliknij Następny.

                                                                                                                                                  4

                                                                                                                                                  Na ekranie Wybierz nazwę i folder strona, wprowadź Nazwa maszyny wirtualnej dla węzła (na przykład „HDS_Node_1”) wybierz lokalizację, w której może znajdować się wdrożenie węzła maszyny wirtualnej, a następnie kliknij przycisk Następny.

                                                                                                                                                  5

                                                                                                                                                  Na ekranie Wybierz zasób obliczeniowy strona, wybierz docelowy zasób obliczeniowy, a następnie kliknij Następny.

                                                                                                                                                  Trwa kontrola walidacji. Po jego zakończeniu pojawiają się szczegóły szablonu.

                                                                                                                                                  6

                                                                                                                                                  Sprawdź szczegóły szablonu, a następnie kliknij przycisk Dalej.

                                                                                                                                                  7

                                                                                                                                                  Jeśli zostaniesz poproszony o wybranie konfiguracji zasobów na stronie Konfiguracja strona, kliknij 4 CPU a następnie kliknij Następny.

                                                                                                                                                  8

                                                                                                                                                  Na ekranie Wybierz miejsce strona, kliknij Następny aby zaakceptować domyślny format dysku i zasady przechowywania VM.

                                                                                                                                                  9

                                                                                                                                                  Na ekranie Wybierz sieci na stronie wybierz opcję sieci z listy pozycji, aby zapewnić żądaną łączność z maszyną wirtualną.

                                                                                                                                                  10

                                                                                                                                                  Na stronie Dostosuj szablon skonfiguruj następujące ustawienia sieci:

                                                                                                                                                  • Nazwa hosta — wprowadź nazwę hosta FQDN (nazwa hosta i domena) lub nazwę hosta pojedynczego słowa dla węzła.

                                                                                                                                                     
                                                                                                                                                    • Nie trzeba ustawiać domeny tak, aby pasowała do domeny używanej do uzyskania certyfikatu X.509.

                                                                                                                                                    • Aby zapewnić pomyślną rejestrację w chmurze, użyj tylko znaków z małymi literami w nazwie FQDN lub nazwie hosta ustawionej dla węzła. W tym momencie kapitalizacja nie jest obsługiwana.

                                                                                                                                                    • Całkowita długość FQDN nie może przekraczać 64 znaków.

                                                                                                                                                  • Adres IP— wprowadź adres IP interfejsu wewnętrznego węzła.

                                                                                                                                                     

                                                                                                                                                    Węzeł powinien mieć wewnętrzny adres IP i nazwę DNS. Serwer DHCP nie jest obsługiwany.

                                                                                                                                                  • Maska— wprowadź adres maski podsieci w notacji dot-dziesiętnej. Na przykład: 255.255.255.0.
                                                                                                                                                  • Brama — wprowadź adres IP bramy. Brama to węzeł sieciowy, który służy jako punkt dostępu do innej sieci.
                                                                                                                                                  • Serwery DNS— wprowadź oddzieloną przecinkami listę serwerów DNS, które obsługują tłumaczenie nazw domen na numeryczne adresy IP. (Dozwolone są do 4 wpisy DNS).
                                                                                                                                                  • Serwery NTP — wprowadź serwer NTP swojej organizacji lub inny zewnętrzny serwer NTP, który może być używany w Twojej organizacji. Domyślne serwery NTP mogą nie działać dla wszystkich przedsiębiorstw. Można również użyć listy rozdzielonej przecinkami, aby wprowadzić wiele serwerów NTP.
                                                                                                                                                  • Wdrożenie wszystkich węzłów w tej samej podsieci lub sieci VLAN, tak aby wszystkie węzły w klastrze były dostępne dla klientów w sieci do celów administracyjnych.

                                                                                                                                                  Jeśli jest to preferowane, można pominąć konfigurację ustawień sieci i wykonać czynności opisane w punkcie Skonfiguruj hybrydową maszynę wirtualną bezpieczeństwa danych w celu skonfigurowania ustawień z konsoli węzła.


                                                                                                                                                   

                                                                                                                                                  Opcja konfigurowania ustawień sieciowych podczas wdrażania OVA została przetestowana z ESXi 6.5. Opcja może nie być dostępna we wcześniejszych wersjach.

                                                                                                                                                  11

                                                                                                                                                  Kliknij prawym przyciskiem myszy węzeł VM, a następnie wybierz Zasilanie > Włączanie zasilania.

                                                                                                                                                  Oprogramowanie Hybrid Data Security jest instalowane jako gość w hostu VM. Teraz możesz zalogować się na konsoli i skonfigurować węzeł.

                                                                                                                                                  Wskazówki dotyczące rozwiązywania problemów

                                                                                                                                                  Może wystąpić opóźnienie o kilka minut przed pojawieniem się kontenerów węzła. Podczas pierwszego uruchamiania na konsoli pojawi się komunikat zapory mostowej, podczas którego nie można się zalogować.

                                                                                                                                                  Skonfiguruj hybrydową maszynę wirtualną ds. bezpieczeństwa danych

                                                                                                                                                  Użyj tej procedury, aby po raz pierwszy zalogować się na konsoli VM węzła hybrydowego zabezpieczenia danych i ustawić poświadczenia logowania. Konsola może również skonfigurować ustawienia sieciowe węzła, jeśli nie zostały skonfigurowane w czasie wdrażania OVA.

                                                                                                                                                  1

                                                                                                                                                  W kliencie VMware vSphere wybierz węzeł VM Hybrid Data Security i kartę Console .

                                                                                                                                                  Maszyna zostanie uruchomiona i pojawi się monit o zalogowanie. Jeśli monit o zalogowanie nie jest wyświetlany, naciśnij przycisk Enter.
                                                                                                                                                  2

                                                                                                                                                  Aby się zalogować i zmienić poświadczenia, należy użyć następującego domyślnego loginu i hasła:

                                                                                                                                                  1. Logowanie: admin

                                                                                                                                                  2. Hasło: cisco

                                                                                                                                                  Ponieważ logujesz się do VM po raz pierwszy, musisz zmienić hasło administratora.

                                                                                                                                                  3

                                                                                                                                                  Jeśli ustawienia sieci zostały już skonfigurowane w Instalowaniu OVA hosta usługi HDS, pomiń pozostałą część tej procedury. W przeciwnym razie w menu głównym wybierz opcję Edytuj konfigurację.

                                                                                                                                                  4

                                                                                                                                                  Skonfiguruj statyczną konfigurację z adresem IP, maską, bramą i informacjami DNS. Węzeł powinien mieć wewnętrzny adres IP i nazwę DNS. Serwer DHCP nie jest obsługiwany.

                                                                                                                                                  5

                                                                                                                                                  (Opcjonalnie) Zmień nazwę hosta, domenę lub serwery NTP, jeśli jest to konieczne do dopasowania do zasad sieci.

                                                                                                                                                  Nie trzeba ustawiać domeny tak, aby pasowała do domeny używanej do uzyskania certyfikatu X.509.

                                                                                                                                                  6

                                                                                                                                                  Zapisz konfigurację sieci i uruchom ponownie VM, aby zmiany weszły w życie.

                                                                                                                                                  Prześlij i zamontuj ISO konfiguracji HDS

                                                                                                                                                  Ta procedura służy do konfigurowania maszyny wirtualnej z pliku ISO utworzonego za pomocą narzędzia konfiguracji HDS.

                                                                                                                                                  Przed rozpoczęciem

                                                                                                                                                  Ponieważ plik ISO zawiera klucz główny, powinien on być narażony tylko na „potrzebę wiedzy”, aby uzyskać dostęp do hybrydowych maszyn wirtualnych ds. bezpieczeństwa danych i wszystkich administratorów, którzy mogą wymagać wprowadzenia zmian. Upewnij się, że tylko ci administratorzy mogą uzyskać dostęp do bazy danych.

                                                                                                                                                  1

                                                                                                                                                  Prześlij plik ISO z komputera:

                                                                                                                                                  1. W lewym okienku nawigacyjnym klienta VMware vSphere kliknij na serwer ESXi.

                                                                                                                                                  2. Na liście Sprzętu na karcie Konfiguracja kliknij przycisk Przechowywanie.

                                                                                                                                                  3. Na liście Datastores kliknij prawym przyciskiem myszy katalog danych dla swoich maszyn wirtualnych i kliknij opcję Przeglądaj Datastore.

                                                                                                                                                  4. Kliknij ikonę Prześlij pliki, a następnie kliknij Prześlij plik.

                                                                                                                                                  5. Przejdź do lokalizacji, w której pobrałeś plik ISO na komputerze i kliknij przycisk Otwórz.

                                                                                                                                                  6. Kliknij przycisk Tak, aby zaakceptować ostrzeżenie o operacji przesyłania/pobierania i zamknąć okno dialogowe z listą danych.

                                                                                                                                                  2

                                                                                                                                                  Montaż pliku ISO:

                                                                                                                                                  1. W lewym okienku nawigacji klienta VMware vSphere kliknij prawym przyciskiem myszy VM i kliknij Edytuj ustawienia .

                                                                                                                                                  2. Kliknij przycisk OK, aby zaakceptować ostrzeżenie o opcjach edycji ograniczonej.

                                                                                                                                                  3. Kliknij CD/DVD Drive 1, wybierz opcję montażu z pliku ISO w zbiorniku danych i przejdź do lokalizacji, w której przesłano plik ISO konfiguracji.

                                                                                                                                                  4. Sprawdzić Podłączono i Podłączono przy włączonym zasilaniu.

                                                                                                                                                  5. Zapisz zmiany i uruchom ponownie maszynę wirtualną.

                                                                                                                                                  Co zrobić dalej

                                                                                                                                                  Jeśli polityka IT wymaga, możesz opcjonalnie odmontować plik ISO po tym, jak wszystkie węzły podniosą zmiany w konfiguracji. Aby uzyskać szczegółowe informacje, zobacz (Opcjonalnie) Odinstaluj ISO Po Konfiguracji HDS.

                                                                                                                                                  Konfigurowanie węzła HDS dla integracji serwera proxy

                                                                                                                                                  Jeśli środowisko sieciowe wymaga serwera proxy, użyj tej procedury, aby określić typ serwera proxy, który chcesz zintegrować z Hybrid Data Security. Po wybraniu przejrzystego serwera proxy inspekcji lub bezpośredniego serwera proxy HTTPS można użyć interfejsu węzła do przesłania i zainstalowania certyfikatu głównego. Możesz również sprawdzić połączenie serwera proxy z poziomu interfejsu i rozwiązać ewentualne problemy.

                                                                                                                                                  Przed rozpoczęciem

                                                                                                                                                  1

                                                                                                                                                  Wprowadź adres URL konfiguracji węzła HDS https://[HDS Node IP or FQDN]/setup w przeglądarce internetowej wprowadź dane uwierzytelniające administratora skonfigurowane dla węzła, a następnie kliknij opcję Zaloguj się.

                                                                                                                                                  2

                                                                                                                                                  Przejdź do sklepu Trust Store & Proxy, a następnie wybierz opcję:

                                                                                                                                                  • Brak serwera proxy — opcja domyślna przed integracją serwera proxy. Nie jest wymagana aktualizacja certyfikatu.
                                                                                                                                                  • Transparent Non-Inspecting Proxy — węzły nie są skonfigurowane do używania określonego adresu serwera proxy i nie powinny wymagać żadnych zmian w pracy z niekontrolowanym serwerem proxy. Nie jest wymagana aktualizacja certyfikatu.
                                                                                                                                                  • Transparent Inspecting Proxy — węzły nie są skonfigurowane do używania określonego adresu serwera proxy. W przypadku wdrożenia hybrydowego zabezpieczenia danych nie są konieczne zmiany konfiguracji protokołu HTTPS, jednak węzły HDS potrzebują certyfikatu głównego, aby zaufać proxy. Informatycy zazwyczaj używają serwerów proxy do egzekwowania zasad, na których strony internetowe mogą być odwiedzane i które rodzaje treści są niedozwolone. Ten typ serwera proxy odszyfruje cały ruch (nawet HTTPS).
                                                                                                                                                  • Explicit Proxy— w przypadku wyraźnego serwera proxy użytkownik informuje klienta (węzły HDS), którego serwera proxy ma używać, a ta opcja obsługuje kilka typów uwierzytelniania. Po wybraniu tej opcji należy wprowadzić następujące informacje:
                                                                                                                                                    1. Proxy IP/FQDN — adres, którego można użyć do dotarcia do maszyny proxy.

                                                                                                                                                    2. Port serwera proxy— numer portu, którego serwer proxy używa do odsłuchiwania ruchu z serwerem proxy.

                                                                                                                                                    3. Protokół proxy — wybierz http (wyświetla i kontroluje wszystkie żądania otrzymane od klienta) lub https (dostarcza kanał do serwera, a klient odbiera i weryfikuje certyfikat serwera). Wybierz opcję na podstawie tego, co obsługuje serwer proxy.

                                                                                                                                                    4. Typ uwierzytelniania — wybierz spośród następujących typów uwierzytelniania:

                                                                                                                                                      • Brak — dalsze uwierzytelnianie nie jest wymagane.

                                                                                                                                                        Dostępne dla serwerów proxy HTTP lub HTTPS.

                                                                                                                                                      • Basic — używane przez agenta użytkownika HTTP do podawania nazwy użytkownika i hasła podczas składania żądania. Korzysta z kodowania Base64.

                                                                                                                                                        Dostępne dla serwerów proxy HTTP lub HTTPS.

                                                                                                                                                        Jeśli wybierzesz tę opcję, musisz również wprowadzić nazwę użytkownika i hasło.

                                                                                                                                                      • Digest — służy do potwierdzenia konta przed wysłaniem poufnych informacji. Przed wysłaniem za pośrednictwem sieci należy zastosować funkcję skrótu w nazwie użytkownika i hasłem.

                                                                                                                                                        Dostępne tylko dla serwerów proxy HTTPS.

                                                                                                                                                        Jeśli wybierzesz tę opcję, musisz również wprowadzić nazwę użytkownika i hasło.

                                                                                                                                                  Postępuj zgodnie z kolejnymi krokami w celu przejrzystego kontrolowania serwera proxy, bezpośredniego serwera proxy HTTP z uwierzytelnianiem podstawowym lub bezpośredniego serwera proxy HTTPS.

                                                                                                                                                  3

                                                                                                                                                  Kliknij opcję Prześlij certyfikat główny lub certyfikat jednostki końcowej, a następnie przejdź do opcji Wybierz certyfikat główny serwera proxy.

                                                                                                                                                  Certyfikat jest przesyłany, ale jeszcze nie został zainstalowany, ponieważ aby zainstalować certyfikat, należy ponownie uruchomić węzeł. Aby uzyskać więcej szczegółów, kliknij strzałkę chevron po nazwie emitenta certyfikatu lub kliknij opcję Usuń, jeśli popełniłeś błąd i chcesz ponownie przesłać plik.

                                                                                                                                                  4

                                                                                                                                                  Kliknij Check Proxy Connection (Sprawdź połączenie proxy), aby sprawdzić połączenie sieciowe między węzłem a serwerem proxy.

                                                                                                                                                  Jeśli test połączenia zakończy się niepowodzeniem, pojawi się komunikat o błędzie przedstawiający przyczynę i sposób naprawienia problemu.

                                                                                                                                                  Jeśli zobaczysz komunikat informujący, że zewnętrzna rozdzielczość DNS nie powiodła się, węzeł nie mógł dotrzeć do serwera DNS. Warunek ten jest oczekiwany w wielu wyraźnych konfiguracjach serwera proxy. Możesz kontynuować konfigurację, a węzeł będzie działał w trybie Zablokowanej Zewnętrznej Rozdzielczości DNS. Jeśli uważasz, że jest to błąd, wykonaj poniższe czynności, a następnie zobacz Wyłącz Zablokowany Zewnętrzny Tryb Rozdzielczości DNS.

                                                                                                                                                  5

                                                                                                                                                  Po przejściu testu połączenia, w przypadku wyraźnego serwera proxy ustawionego tylko na https, włącz przełącznik do Trasowania wszystkich żądań portu 443/444 https z tego węzła za pomocą wyraźnego serwera proxy. To ustawienie wymaga 15 sekund działania.

                                                                                                                                                  6

                                                                                                                                                  Kliknij Instaluj Wszystkie Certyfikaty W Sklepie Zaufania (pojawi się dla wyraźnego serwera proxy HTTPS lub przezroczystego serwera proxy inspekcji) lub Uruchom ponownie (pojawi się dla wyraźnego serwera proxy HTTP), przeczytaj monit, a następnie kliknij opcję Instaluj , jeśli jesteś gotowy.

                                                                                                                                                  Węzeł zostanie uruchomiony ponownie w ciągu kilku minut.

                                                                                                                                                  7

                                                                                                                                                  Po ponownym uruchomieniu węzła zaloguj się ponownie w razie potrzeby, a następnie otwórz stronę Przegląd , aby sprawdzić kontrole łączności, aby upewnić się, że wszystkie mają zielony status.

                                                                                                                                                  Kontrola połączenia z serwerem proxy sprawdza tylko poddomenę webex.com. Jeśli występują problemy z łącznością, powszechnym problemem jest to, że niektóre domeny chmury wymienione w instrukcjach instalacji są blokowane na serwerze proxy.

                                                                                                                                                  Zarejestruj pierwszy węzeł w klastrze

                                                                                                                                                  To zadanie przejmuje ogólny węzeł utworzony w Skonfiguruj hybrydową maszynę wirtualną bezpieczeństwa danych, rejestruje węzeł w chmurze Webex i zamienia go w węzeł hybrydowego bezpieczeństwa danych.

                                                                                                                                                  Po zarejestrowaniu pierwszego węzła utwórz klaster, do którego jest przypisany węzeł. Klaster zawiera co najmniej jeden węzeł wdrożony w celu zapewnienia zwolnień.

                                                                                                                                                  Przed rozpoczęciem

                                                                                                                                                  • Po rozpoczęciu rejestracji węzła należy go wypełnić w ciągu 60 minut lub rozpocząć od nowa.

                                                                                                                                                  • Upewnij się, że wszystkie wyskakujące blokery w przeglądarce są wyłączone lub że zezwalasz na wyjątek dla admin.webex.com.

                                                                                                                                                  1

                                                                                                                                                  Zaloguj się w https://admin.webex.com.

                                                                                                                                                  2

                                                                                                                                                  W menu po lewej stronie ekranu wybierz opcję Usługi.

                                                                                                                                                  3

                                                                                                                                                  W sekcji Usługi hybrydowe znajdź hybrydowe zabezpieczenia danych i kliknij przycisk Skonfiguruj.

                                                                                                                                                  Zostanie wyświetlona strona węzła Zarejestruj hybrydowe zabezpieczenia danych.
                                                                                                                                                  4

                                                                                                                                                  Wybierz Tak, aby wskazać, że węzeł został skonfigurowany i chcesz go zarejestrować, a następnie kliknij przycisk Dalej.

                                                                                                                                                  5

                                                                                                                                                  W pierwszym polu wprowadź nazwę klastra, do którego chcesz przypisać węzeł hybrydowego zabezpieczenia danych.

                                                                                                                                                  Zalecamy nazwanie klastra na podstawie lokalizacji węzłów klastra. Przykłady: "San Francisco", "Nowy Jork" czy "Dallas"

                                                                                                                                                  6

                                                                                                                                                  W drugim polu wprowadź wewnętrzny adres IP lub w pełni kwalifikowaną nazwę domeny (FQDN) węzła i kliknij przycisk Dalej.

                                                                                                                                                  Ten adres IP lub nazwa FQDN powinny być zgodne z adresem IP lub nazwą hosta i domeną używaną podczas konfigurowania hybrydowej maszyny wirtualnej ds. bezpieczeństwa danych.

                                                                                                                                                  Pojawi się komunikat informujący, że można zarejestrować węzeł w usłudze Webex.
                                                                                                                                                  7

                                                                                                                                                  Kliknij przycisk Przejdź do węzła.

                                                                                                                                                  8

                                                                                                                                                  Kliknij przycisk Kontynuuj w komunikacie ostrzegawczym.

                                                                                                                                                  Po kilku chwilach nastąpi przekierowanie do testów łączności węzła dla usług Webex. Jeśli wszystkie testy zakończą się powodzeniem, pojawi się strona Zezwól na dostęp do węzła hybrydowego zabezpieczeń danych. Tam potwierdzasz, że chcesz nadać uprawnienia swojej organizacji Webex, aby uzyskać dostęp do węzła.
                                                                                                                                                  9

                                                                                                                                                  Zaznacz pole wyboru Zezwól na dostęp do węzła hybrydowego zabezpieczenia danych , a następnie kliknij przycisk Kontynuuj.

                                                                                                                                                  Twoje konto zostało zweryfikowane, a komunikat „Rejestracja ukończona” wskazuje, że Twój węzeł jest teraz zarejestrowany w chmurze Webex.
                                                                                                                                                  10

                                                                                                                                                  Kliknij łącze lub zamknij kartę, aby powrócić do strony Hybrid Data Security Control Hub.

                                                                                                                                                  Na stronie Hybrid Data Security jest wyświetlany nowy klaster zawierający zarejestrowany węzeł. Węzeł automatycznie pobierze najnowsze oprogramowanie z chmury.

                                                                                                                                                  Tworzenie i rejestrowanie większej liczby węzłów

                                                                                                                                                  Aby dodać dodatkowe węzły do klastra, wystarczy utworzyć dodatkowe numery VMs i zamontować ten sam plik ISO konfiguracji, a następnie zarejestrować węzeł. Zalecamy posiadanie co najmniej 3 węzłów.

                                                                                                                                                   

                                                                                                                                                  W tym czasie zapasowe maszyny wirtualne utworzone w Zakończeniu wymagań wstępnych dla hybrydowego zabezpieczenia danych są hostami gotowymi, które są używane tylko w przypadku odzyskiwania po awarii; do tego czasu nie są rejestrowane w systemie. Aby uzyskać szczegółowe informacje, patrz Przywracanie systemu po awarii za pomocą Standby Data Center.

                                                                                                                                                  Przed rozpoczęciem

                                                                                                                                                  • Po rozpoczęciu rejestracji węzła należy go wypełnić w ciągu 60 minut lub rozpocząć od nowa.

                                                                                                                                                  • Upewnij się, że wszystkie wyskakujące blokery w przeglądarce są wyłączone lub że zezwalasz na wyjątek dla admin.webex.com.

                                                                                                                                                  1

                                                                                                                                                  Utwórz nową maszynę wirtualną z OVA, powtarzając kroki w Instalacji OVA hosta HDS.

                                                                                                                                                  2

                                                                                                                                                  Skonfiguruj konfigurację początkową na nowej maszynie wirtualnej, powtarzając kroki w Skonfiguruj hybrydową maszynę wirtualną bezpieczeństwa danych.

                                                                                                                                                  3

                                                                                                                                                  W nowej maszynie wirtualnej wykonaj ponownie czynności opisane w polu Prześlij i zamontuj ISO konfiguracji HDS.

                                                                                                                                                  4

                                                                                                                                                  Jeśli konfigurujesz serwer proxy dla swojego wdrożenia, powtórz kroki w Konfigurowaniu węzła HDS dla integracji serwera proxy zgodnie z potrzebami nowego węzła.

                                                                                                                                                  5

                                                                                                                                                  Zarejestruj węzeł.

                                                                                                                                                  1. W https://admin.webex.com wybierz Usługi z menu po lewej stronie ekranu.

                                                                                                                                                  2. W sekcji Usługi hybrydowe znajdź kartę zabezpieczenia danych hybrydowych i kliknij opcję Zasoby.

                                                                                                                                                    Pojawi się strona Hybrid Data Security Resources (Zasoby zabezpieczeń danych hybrydowych).
                                                                                                                                                  3. Kliknij przycisk Dodaj zasób.

                                                                                                                                                  4. W pierwszym polu wybierz nazwę istniejącego klastra.

                                                                                                                                                  5. W drugim polu wprowadź wewnętrzny adres IP lub w pełni kwalifikowaną nazwę domeny (FQDN) węzła i kliknij przycisk Dalej.

                                                                                                                                                    Pojawi się komunikat informujący, że można zarejestrować węzeł w chmurze Webex.
                                                                                                                                                  6. Kliknij przycisk Przejdź do węzła.

                                                                                                                                                    Po kilku chwilach nastąpi przekierowanie do testów łączności węzła dla usług Webex. Jeśli wszystkie testy zakończą się powodzeniem, pojawi się strona Zezwól na dostęp do węzła hybrydowego zabezpieczeń danych. Tam potwierdzasz, że chcesz nadać uprawnienia swojej organizacji, aby uzyskać dostęp do węzła.
                                                                                                                                                  7. Zaznacz pole wyboru Zezwól na dostęp do węzła hybrydowego zabezpieczenia danych , a następnie kliknij przycisk Kontynuuj.

                                                                                                                                                    Twoje konto zostało zweryfikowane, a komunikat „Rejestracja ukończona” wskazuje, że Twój węzeł jest teraz zarejestrowany w chmurze Webex.
                                                                                                                                                  8. Kliknij łącze lub zamknij kartę, aby powrócić do strony Hybrid Data Security Control Hub.

                                                                                                                                                  Twój węzeł jest zarejestrowany. Należy pamiętać, że do momentu rozpoczęcia próby węzły wygenerują alarm wskazujący, że usługa nie jest jeszcze aktywowana.

                                                                                                                                                  Co zrobić dalej

                                                                                                                                                  Przeprowadzanie wersji próbnej i przejście do produkcji (następny rozdział)
                                                                                                                                                  Uruchom wersję próbną i przejdź do produkcji

                                                                                                                                                  Przepływ próby do zadania produkcyjnego

                                                                                                                                                  Po skonfigurowaniu hybrydowego klastra bezpieczeństwa danych można uruchomić program pilotażowy, dodać do niego użytkowników i rozpocząć korzystanie z niego do testowania i sprawdzania wdrożenia w ramach przygotowań do przejścia do produkcji.

                                                                                                                                                  1

                                                                                                                                                  Jeśli dotyczy, zsynchronizuj HdsTrialGroup obiekt grupowy.

                                                                                                                                                  Jeśli Twoja organizacja używa synchronizacji katalogu dla użytkowników, musisz wybrać HdsTrialGroup obiekt grupowy do synchronizacji z chmurą przed rozpoczęciem próby. Instrukcje można znaleźć w podręczniku wdrażania łącznika usług katalogowych Cisco.

                                                                                                                                                  2

                                                                                                                                                  Aktywuj wersję próbną

                                                                                                                                                  Rozpocznij proces. Do czasu wykonania tego zadania węzły wygenerują alarm wskazujący, że usługa nie została jeszcze aktywowana.

                                                                                                                                                  3

                                                                                                                                                  Przetestuj wdrożenie hybrydowego zabezpieczenia danych

                                                                                                                                                  Sprawdź, czy kluczowe żądania są przekazywane do wdrożenia hybrydowego zabezpieczenia danych.

                                                                                                                                                  4

                                                                                                                                                  Monitorowanie stanu hybrydowego bezpieczeństwa danych

                                                                                                                                                  Sprawdź stan i skonfiguruj powiadomienia e-mail dla alarmów.

                                                                                                                                                  5

                                                                                                                                                  Dodawanie lub usuwanie użytkowników z wersji próbnej

                                                                                                                                                  6

                                                                                                                                                  Zakończ fazę próbną, wykonując jedną z następujących czynności:

                                                                                                                                                  Aktywuj wersję próbną

                                                                                                                                                  Przed rozpoczęciem

                                                                                                                                                  Jeśli Twoja organizacja używa synchronizacji katalogu dla użytkowników, musisz wybrać HdsTrialGroup obiekt grupowy do synchronizacji z chmurą przed rozpoczęciem próby dla organizacji. Instrukcje można znaleźć w podręczniku wdrażania łącznika usług katalogowych Cisco.

                                                                                                                                                  1

                                                                                                                                                  Zaloguj się do https://admin.webex.com, a następnie wybierz opcję Usługi.

                                                                                                                                                  2

                                                                                                                                                  W obszarze Bezpieczeństwo danych hybrydowych kliknij Ustawienia.

                                                                                                                                                  3

                                                                                                                                                  W sekcji Stan usługi kliknij przycisk Rozpocznij wersję próbną.

                                                                                                                                                  Stan usługi zmienia się w tryb próbny.
                                                                                                                                                  4

                                                                                                                                                  Kliknij opcję Dodaj użytkowników i wprowadź adres e-mail jednego lub większej liczby użytkowników do pilotowania za pomocą węzłów hybrydowych zabezpieczeń danych w celu szyfrowania i indeksowania usług.

                                                                                                                                                  (Jeśli Twoja organizacja używa synchronizacji katalogu, użyj usługi Active Directory do zarządzania grupą próbną, HdsTrialGroup.)

                                                                                                                                                  Przetestuj wdrożenie hybrydowego zabezpieczenia danych

                                                                                                                                                  Użyj tej procedury, aby przetestować scenariusze szyfrowania hybrydowych zabezpieczeń danych.

                                                                                                                                                  Przed rozpoczęciem

                                                                                                                                                  • Skonfiguruj wdrożenie hybrydowego zabezpieczenia danych.

                                                                                                                                                  • Aktywuj wersję próbną i dodaj kilku użytkowników wersji próbnej.

                                                                                                                                                  • Upewnij się, że masz dostęp do dziennika systemowego, aby sprawdzić, czy kluczowe żądania są przekazywane do wdrożenia hybrydowego zabezpieczenia danych.

                                                                                                                                                  1

                                                                                                                                                  Klucze dla danego obszaru są ustawiane przez twórcę tego obszaru. Zaloguj się do aplikacji Webex jako jeden z użytkowników pilotażowych, a następnie utwórz obszar i zaproś co najmniej jednego użytkownika pilotażowego i jednego użytkownika niepilotażowego.


                                                                                                                                                   

                                                                                                                                                  Jeśli dezaktywujesz wdrożenie hybrydowego zabezpieczenia danych, zawartość w obszarach tworzonych przez użytkowników pilotażowych nie jest już dostępna po wymianie kopii kluczy szyfrowania w pamięci podręcznej klienta.

                                                                                                                                                  2

                                                                                                                                                  Wysyłaj wiadomości do nowego obszaru.

                                                                                                                                                  3

                                                                                                                                                  Sprawdź wyjście dziennika systemowego, aby sprawdzić, czy kluczowe żądania przechodzą do wdrożenia hybrydowego zabezpieczenia danych.

                                                                                                                                                  1. Aby sprawdzić, czy użytkownik najpierw ustanawia bezpieczny kanał w systemie KMS, filtruj go kms.data.method=create i kms.data.type=EPHEMERAL_KEY_COLLECTION:

                                                                                                                                                    Należy znaleźć wpis taki jak następujący (identyfikatory skrócone dla czytelności):
                                                                                                                                                    2020-07-21 17:35:34.562 (+0000) INFO  KMS [pool-14-thread-1] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, 
                                                                                                                                                    kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2
                                                                                                                                                  2. Aby sprawdzić, czy użytkownik żądający istniejącego klucza z KMS, filtruj na kms.data.method=retrieve i kms.data.type=KEY:

                                                                                                                                                    Należy znaleźć wpis taki jak:
                                                                                                                                                    2020-07-21 17:44:19.889 (+0000) INFO  KMS [pool-14-thread-31] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, 
                                                                                                                                                    kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, 
                                                                                                                                                    kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b
                                                                                                                                                  3. Aby sprawdzić, czy użytkownik wnioskuje o utworzenie nowego klucza KMS, filtruj kms.data.method=create i kms.data.type=KEY_COLLECTION:

                                                                                                                                                    Należy znaleźć wpis taki jak:
                                                                                                                                                    2020-07-21 17:44:21.975 (+0000) INFO  KMS [pool-14-thread-33] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, 
                                                                                                                                                    kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b
                                                                                                                                                  4. Aby sprawdzić, czy użytkownik prosi o utworzenie nowego obiektu zasobów KMS (KRO) podczas tworzenia obszaru lub innego chronionego zasobu, filtruj kms.data.method=create i kms.data.type=RESOURCE_COLLECTION:

                                                                                                                                                    Należy znaleźć wpis taki jak:
                                                                                                                                                    2020-07-21 17:44:22.808 (+0000) INFO  KMS [pool-15-thread-1] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
                                                                                                                                                    kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

                                                                                                                                                  Monitorowanie stanu hybrydowego bezpieczeństwa danych

                                                                                                                                                  Wskaźnik stanu w Control Hub pokazuje, czy wszystko jest dobrze we wdrożeniu hybrydowego zabezpieczenia danych. Aby uzyskać bardziej proaktywne alerty, zapisz się do powiadomień e-mail. Otrzymasz powiadomienie o alarmach lub aktualizacjach oprogramowania mających wpływ na usługę.
                                                                                                                                                  1

                                                                                                                                                  W Control Hub wybierz Usługi z menu po lewej stronie ekranu.

                                                                                                                                                  2

                                                                                                                                                  W sekcji Usługi hybrydowe znajdź hybrydowe zabezpieczenia danych i kliknij Ustawienia.

                                                                                                                                                  Zostanie wyświetlona strona Ustawienia zabezpieczeń danych hybrydowych.
                                                                                                                                                  3

                                                                                                                                                  W sekcji Powiadomienia e-mail wpisz co najmniej jeden adres e-mail oddzielony przecinkami i naciśnij przycisk Enter.

                                                                                                                                                  Dodawanie lub usuwanie użytkowników z wersji próbnej

                                                                                                                                                  Po aktywacji wersji próbnej i dodaniu początkowego zestawu użytkowników wersji próbnej można dodać lub usunąć członków wersji próbnej w dowolnym momencie, gdy wersja próbna jest aktywna.

                                                                                                                                                  Jeśli usuniesz użytkownika z wersji próbnej, klient poprosi go o utworzenie kluczy i klawiszy z chmury KMS zamiast Twojego KMS. Jeśli klient potrzebuje klucza przechowywanego w KMS, Cloud KMS pobierze go w imieniu użytkownika.

                                                                                                                                                  Jeśli Twoja organizacja używa synchronizacji katalogu, użyj usługi Active Directory (zamiast tej procedury) do zarządzania grupą próbną, HdsTrialGroup; można wyświetlać członków grupy w Control Hub, ale nie można ich dodawać ani usuwać.

                                                                                                                                                  1

                                                                                                                                                  Zaloguj się do Control Hub, a następnie wybierz Usługi.

                                                                                                                                                  2

                                                                                                                                                  W obszarze Bezpieczeństwo danych hybrydowych kliknij Ustawienia.

                                                                                                                                                  3

                                                                                                                                                  W sekcji Tryby wersji próbnej w obszarze Stan usługi kliknij przycisk Dodaj użytkowników lub kliknij widok i edytuj , aby usunąć użytkowników z wersji próbnej.

                                                                                                                                                  4

                                                                                                                                                  Wprowadź adres e-mail jednego lub większej liczby użytkowników do dodania lub kliknij przycisk X identyfikatorem użytkownika, aby usunąć użytkownika z wersji próbnej. Następnie kliknij Zapisz .

                                                                                                                                                  Przeniesienie z wersji próbnej do produkcji

                                                                                                                                                  Gdy jesteś zadowolony, że wdrożenie działa dobrze dla użytkowników próbnych, możesz przejść do produkcji. Po przeniesieniu do produkcji wszyscy użytkownicy w organizacji będą korzystać z lokalnej domeny hybrydowego zabezpieczenia danych w celu szyfrowania kluczy i innych usług w dziedzinie zabezpieczeń. Nie można wrócić do trybu próbnego z produkcji, chyba że dezaktywujesz usługę w ramach odzyskiwania awaryjnego. Reaktywacja usługi wymaga skonfigurowania nowej wersji próbnej.
                                                                                                                                                  1

                                                                                                                                                  Zaloguj się do Control Hub, a następnie wybierz Usługi.

                                                                                                                                                  2

                                                                                                                                                  W obszarze Bezpieczeństwo danych hybrydowych kliknij Ustawienia.

                                                                                                                                                  3

                                                                                                                                                  W sekcji Stan usługi kliknij opcję Przenieś do produkcji.

                                                                                                                                                  4

                                                                                                                                                  Potwierdź, że chcesz przenieść wszystkich użytkowników do produkcji.

                                                                                                                                                  Zakończ wersję próbną bez przejścia do produkcji

                                                                                                                                                  Jeśli podczas okresu próbnego zdecydujesz się nie kontynuować wdrażania hybrydowego zabezpieczenia danych, możesz dezaktywować hybrydowe zabezpieczenia danych, które kończą okres próbny i przenoszą użytkowników wersji próbnej z powrotem do usług zabezpieczeń danych w chmurze. Użytkownicy próbni stracą dostęp do danych zaszyfrowanych podczas badania.
                                                                                                                                                  1

                                                                                                                                                  Zaloguj się do Control Hub, a następnie wybierz Usługi.

                                                                                                                                                  2

                                                                                                                                                  W obszarze Bezpieczeństwo danych hybrydowych kliknij Ustawienia.

                                                                                                                                                  3

                                                                                                                                                  W sekcji Dezaktywuj kliknij przycisk Dezaktywuj.

                                                                                                                                                  4

                                                                                                                                                  Potwierdź, że chcesz dezaktywować usługę i zakończyć okres próbny.

                                                                                                                                                  Zarządzanie wdrożeniem HDS

                                                                                                                                                  Zarządzanie wdrożeniem HDS

                                                                                                                                                  Użyj opisanych tutaj zadań do zarządzania wdrożeniem hybrydowego zabezpieczenia danych.

                                                                                                                                                  Ustaw harmonogram uaktualniania klastra

                                                                                                                                                  Aktualizacje oprogramowania Hybrid Data Security są wykonywane automatycznie na poziomie klastra, co zapewnia, że wszystkie węzły zawsze korzystają z tej samej wersji oprogramowania. Uaktualnienia są wykonywane zgodnie z harmonogramem uaktualniania klastra. Po udostępnieniu uaktualnienia oprogramowania można ręcznie uaktualnić klaster przed zaplanowaną godziną uaktualnienia. Można ustawić określony harmonogram uaktualniania lub użyć domyślnego harmonogramu 3:00 rano Daily Stany Zjednoczone: Ameryka/Los Angeles. W razie potrzeby można również odłożyć nadchodzące uaktualnienie.

                                                                                                                                                  Aby ustawić harmonogram uaktualniania:

                                                                                                                                                  1

                                                                                                                                                  Zaloguj się do Centrum sterowania .

                                                                                                                                                  2

                                                                                                                                                  Na stronie Przegląd w obszarze Usługi hybrydowe wybierz opcję Hybrid Data Security.

                                                                                                                                                  3

                                                                                                                                                  Na stronie Zasoby zabezpieczeń danych hybrydowych wybierz klaster.

                                                                                                                                                  4

                                                                                                                                                  W panelu Przegląd po prawej stronie w obszarze Ustawienia klastra wybierz nazwę klastra.

                                                                                                                                                  5

                                                                                                                                                  Na stronie Ustawienia w obszarze Uaktualnianie wybierz godzinę i strefę czasową harmonogramu uaktualniania.

                                                                                                                                                  Uwaga: W strefie czasowej wyświetlana jest następna dostępna data i godzina aktualizacji. W razie potrzeby można odroczyć uaktualnienie do następnego dnia, klikając opcję Odłóż.

                                                                                                                                                  Zmień konfigurację węzła

                                                                                                                                                  Czasami może zajść potrzeba zmiany konfiguracji węzła hybrydowego zabezpieczenia danych z następujących powodów:
                                                                                                                                                  • Zmiana certyfikatów x.509 z powodu wygaśnięcia lub z innych powodów.


                                                                                                                                                     

                                                                                                                                                    Nie obsługujemy zmiany nazwy domeny CN certyfikatu. Domena musi być zgodna z oryginalną domeną użytą do zarejestrowania klastra.

                                                                                                                                                  • Aktualizowanie ustawień bazy danych w celu zmiany na replikę bazy danych PostgreSQL lub Microsoft SQL Server.


                                                                                                                                                     

                                                                                                                                                    Nie obsługujemy migracji danych z PostgreSQL do Microsoft SQL Server lub odwrotnie. Aby przełączyć środowisko bazy danych, rozpocznij nowe wdrożenie Hybrid Data Security.

                                                                                                                                                  • Tworzenie nowej konfiguracji w celu przygotowania nowego centrum danych.

                                                                                                                                                  Ponadto, ze względów bezpieczeństwa, Hybrid Data Security używa haseł do kont usługi o dziewięciomiesięcznym okresie ważności. Gdy narzędzie konfiguracji HDS wygeneruje te hasła, należy je wdrożyć w każdym z węzłów HDS w pliku konfiguracyjnym ISO . Gdy hasła organizacji zbliżają się do wygaśnięcia, otrzymasz powiadomienie od zespołu Webex , aby zresetować hasło do konta komputera. (Wiadomość e-mail zawiera tekst „Użyj API konta komputera, aby zaktualizować hasło”). Jeśli hasła jeszcze nie wygasły, narzędzie udostępnia dwie opcje:

                                                                                                                                                  • Miękki reset — Stare i nowe hasło działają przez maksymalnie 10 dni. Wykorzystaj ten okres, aby stopniowo zastępować plik ISO w węzłach.

                                                                                                                                                  • Twardy reset — Stare hasła natychmiast przestają działać.

                                                                                                                                                  Jeśli hasła wygasną bez zresetowania, będzie to miało wpływ na usługę HDS i wymaga natychmiastowego twardego resetu i zastąpienia pliku ISO we wszystkich węzłach.

                                                                                                                                                  Ta procedura służy do generowania nowego konfiguracyjnego pliku ISO i zastosowania go do klastra.

                                                                                                                                                  Przed rozpoczęciem

                                                                                                                                                  • Narzędzie instalacji HDS działa jako kontener platformy Docker na komputerze lokalnym. Aby uzyskać do niego dostęp, uruchom platformę Docker na tym komputerze. Proces konfiguracji wymaga poświadczeń konta Control Hub z pełnymi uprawnieniami administratora dla Twojej organizacji.

                                                                                                                                                    Jeśli narzędzie HDS Setup działa za serwerem proxy w Twoim środowisku, podaj ustawienia serwera proxy (serwer, port, poświadczenia) za pomocą zmiennych środowiska Docker podczas przywoływania kontenera Docker w 1.e. W tej tabeli podano kilka możliwych zmiennych środowiskowych:

                                                                                                                                                    Opis

                                                                                                                                                    Zmienna

                                                                                                                                                    Serwer proxy HTTP bez uwierzytelniania

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    Serwer proxy HTTPS bez uwierzytelniania

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    Serwer proxy HTTP z uwierzytelnianiem

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                    Serwer proxy HTTPS z uwierzytelnianiem

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                  • Do wygenerowania nowej konfiguracji potrzebna jest kopia bieżącego konfiguracyjnego pliku ISO . ISO zawiera klucz główny szyfrujący bazę danych PostgreSQL lub Microsoft SQL Server. Plik ISO jest potrzebny podczas wprowadzania zmian w konfiguracji, w tym poświadczeń bazy danych, aktualizacji certyfikatów lub zmian zasad autoryzacji.

                                                                                                                                                  1

                                                                                                                                                  Korzystając z platformy Docker na komputerze lokalnym, uruchom narzędzie konfiguracji HDS.

                                                                                                                                                  1. W wierszu poleceń komputera wprowadź polecenie odpowiednie dla swojego środowiska:

                                                                                                                                                    W zwykłych środowiskach:

                                                                                                                                                    docker rmi ciscocitg/hds-setup:stable

                                                                                                                                                    W środowiskach FedRAMP:

                                                                                                                                                    docker rmi ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                     

                                                                                                                                                    Ten krok czyści poprzednie obrazy narzędzia konfiguracji HDS. Jeśli nie ma poprzednich obrazów, zwraca błąd, który można zignorować.

                                                                                                                                                  2. Aby zalogować się do rejestru obrazów platformy Docker, wprowadź następujące informacje:

                                                                                                                                                    docker login -u hdscustomersro
                                                                                                                                                  3. Po wyświetleniu monitu o hasło wprowadź ten skrót:

                                                                                                                                                    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
                                                                                                                                                  4. Pobierz najnowszy stabilny obraz dla swojego środowiska:

                                                                                                                                                    W zwykłych środowiskach:

                                                                                                                                                    docker pull ciscocitg/hds-setup:stable

                                                                                                                                                    W środowiskach FedRAMP:

                                                                                                                                                    docker pull ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                     

                                                                                                                                                    Upewnij się, że pobierasz najnowsze narzędzie instalacyjne dla tej procedury. Wersje narzędzia utworzone przed 22 lutego 2018 r. nie mają ekranów resetowania hasła.

                                                                                                                                                  5. Po zakończeniu ściągania wprowadź polecenie odpowiednie dla środowiska:

                                                                                                                                                    • W zwykłych środowiskach bez serwera proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
                                                                                                                                                    • W zwykłych środowiskach z serwerem proxy HTTP:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                    • W normalnych środowiskach z serwerem HTTPSproxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                    • W środowiskach FedRAMP bez serwera proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                    • W środowiskach FedRAMP z serwerem proxy HTTP:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                    • W środowiskach FedRAMP z serwerem proxy HTTPS:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                    Gdy kontener jest uruchomiony, zostanie wyświetlony komunikat „Serwer ekspresowy nasłuchuje na porcie 8080”.

                                                                                                                                                  6. Użyj przeglądarki, aby połączyć się z hostem lokalnym, http://127.0.0.1:8080.


                                                                                                                                                     

                                                                                                                                                    Narzędzie Konfiguracja nie obsługuje łączenia się z localhost za pośrednictwem http://localhost:8080. Użyj http://127.0.0.1:8080, aby połączyć się z hostem lokalizacji.

                                                                                                                                                  7. Po wyświetleniu monitu wprowadź poświadczenia logowania klienta Control Hub, a następnie kliknij Zaakceptuj aby kontynuować.

                                                                                                                                                  8. Zaimportuj bieżący plik konfiguracyjny ISO .

                                                                                                                                                  9. Postępuj zgodnie z instrukcjami, aby ukończyć działanie narzędzia i pobrać zaktualizowany plik.

                                                                                                                                                    Aby zamknąć narzędzie Setup, wpisz: CTRL+C.

                                                                                                                                                  10. Utwórz kopię zapasową zaktualizowanego pliku w innym centrum danych.

                                                                                                                                                  2

                                                                                                                                                  Jeśli uruchomiony jest tylko jeden węzeł HDS , utwórz nową maszynę VM węzła Hybrid Data Security i zarejestruj ją przy użyciu nowego konfiguracyjnego pliku ISO . Aby uzyskać bardziej szczegółowe instrukcje, zobacz temat Tworzenie i rejestrowanie większej liczby węzłów.

                                                                                                                                                  1. Zainstaluj narzędzie OVA hosta HDS.

                                                                                                                                                  2. Skonfiguruj maszynę VM HDS .

                                                                                                                                                  3. Podłącz zaktualizowany plik konfiguracyjny.

                                                                                                                                                  4. Zarejestruj nowy węzeł w Control Hub.

                                                                                                                                                  3

                                                                                                                                                  W przypadku istniejących węzłów HDS, na których działa starszy plik konfiguracyjny, podłącz plik ISO . Wykonaj następującą procedurę na każdym węźle po kolei, aktualizując każdy węzeł przed wyłączeniem następnego węzła:

                                                                                                                                                  1. Wyłącz maszynę wirtualną.

                                                                                                                                                  2. W lewym okienku nawigacji klienta VMware vSphere kliknij prawym przyciskiem myszy VM i kliknij Edytuj ustawienia .

                                                                                                                                                  3. Kliknij CD/DVD Drive 1, wybierz opcję podłączenia z pliku ISO i przejdź do lokalizacji, do której pobrano nowy konfiguracyjny plik ISO .

                                                                                                                                                  4. Sprawdź Połącz po włączeniu .

                                                                                                                                                  5. Zapisz zmiany i włącz maszynę wirtualną.

                                                                                                                                                  4

                                                                                                                                                  Powtórz krok 3, aby zastąpić konfigurację w każdym pozostałym węźle, na którym działa stara konfiguracja.

                                                                                                                                                  Wyłącz Zablokowany Zewnętrzny Tryb Rozdzielczości DNS

                                                                                                                                                  Po zarejestrowaniu węzła lub sprawdzeniu konfiguracji serwera proxy węzła proces testuje wyszukiwanie DNS i łączność z chmurą Cisco Webex. Jeśli serwer DNS węzła nie może rozpoznawać publicznych nazw DNS, węzeł automatycznie przechodzi w tryb Zablokowanej zewnętrznej rozdzielczości DNS.

                                                                                                                                                  Jeśli węzły są w stanie rozpoznawać publiczne nazwy DNS za pośrednictwem wewnętrznych serwerów DNS, można wyłączyć ten tryb, uruchamiając ponownie test połączenia serwera proxy w każdym węźle.

                                                                                                                                                  Przed rozpoczęciem

                                                                                                                                                  Upewnij się, że wewnętrzne serwery DNS mogą rozpoznawać publiczne nazwy DNS oraz że węzły mogą się z nimi komunikować.
                                                                                                                                                  1

                                                                                                                                                  W przeglądarce internetowej otwórz interfejs węzła hybrydowego zabezpieczenia danych (adres IP/konfiguracja, na przykład https://192.0.2.0/setup), wprowadź dane uwierzytelniające administratora skonfigurowane dla węzła, a następnie kliknij opcję Zaloguj się.

                                                                                                                                                  2

                                                                                                                                                  Przejdź do Przegląd (strona domyślna).

                                                                                                                                                  Po włączeniu Rozpoznawanie zablokowanego zewnętrznego DNS jest ustawiony na Tak .

                                                                                                                                                  3

                                                                                                                                                  Przejdź do strony Trust Store & Proxy.

                                                                                                                                                  4

                                                                                                                                                  Kliknij przycisk Sprawdź połączenie z serwerem proxy.

                                                                                                                                                  Jeśli zobaczysz komunikat informujący, że zewnętrzna rozdzielczość DNS nie powiodła się, węzeł nie mógł dotrzeć do serwera DNS i pozostanie w tym trybie. W przeciwnym razie po ponownym uruchomieniu węzła i powrocie na stronę Przegląd zablokowana zewnętrzna rozdzielczość DNS powinna być ustawiona na nr.

                                                                                                                                                  Co zrobić dalej

                                                                                                                                                  Powtórz test połączenia z serwerem proxy dla każdego węzła w klastrze hybrydowego zabezpieczenia danych.

                                                                                                                                                  Usuń węzeł

                                                                                                                                                  Użyj tej procedury, aby usunąć węzeł hybrydowego zabezpieczenia danych z chmury Webex. Po usunięciu węzła z klastra usuń maszynę wirtualną, aby zapobiec dalszemu dostępowi do danych zabezpieczeń.
                                                                                                                                                  1

                                                                                                                                                  Użyj klienta VMware vSphere na komputerze, aby zalogować się do wirtualnego hosta ESXi i wyłączyć maszynę wirtualną.

                                                                                                                                                  2

                                                                                                                                                  Usuń węzeł:

                                                                                                                                                  1. Zaloguj się do Control Hub, a następnie wybierz Usługi.

                                                                                                                                                  2. Na karcie hybrydowe zabezpieczenia danych kliknij przycisk Wyświetl wszystkie , aby wyświetlić stronę zasobów hybrydowych zabezpieczeń danych.

                                                                                                                                                  3. Wybierz klaster, aby wyświetlić jego panel Przegląd.

                                                                                                                                                  4. Kliknij listę Otwórz węzły.

                                                                                                                                                  5. Na karcie Węzły wybierz węzeł, który chcesz usunąć.

                                                                                                                                                  6. Kliknij przycisk Akcje > węzeł Deregister.

                                                                                                                                                  3

                                                                                                                                                  W kliencie vSphere usuń maszynę wirtualną (w lewym okienku nawigacyjnym kliknij prawym przyciskiem myszy maszynę wirtualną i kliknij polecenie Usuń).

                                                                                                                                                  Jeśli nie usuniesz VM, pamiętaj o usunięciu pliku ISO konfiguracji. Bez pliku ISO nie można użyć maszyny wirtualnej, aby uzyskać dostęp do danych bezpieczeństwa.

                                                                                                                                                  Odzyskiwanie po awarii za pomocą Standby Data Center

                                                                                                                                                  Najbardziej krytyczną usługą oferowaną przez klaster Hybrid Data Security jest tworzenie i przechowywanie kluczy używanych do szyfrowania wiadomości i innych treści przechowywanych w chmurze Webex. Dla każdego użytkownika w organizacji przypisanego do hybrydowego zabezpieczenia danych nowe żądania tworzenia kluczy są kierowane do klastra. Klaster jest również odpowiedzialny za przywrócenie kluczy, które został utworzony do wszystkich użytkowników upoważnionych do ich odzyskania, na przykład członków obszaru konwersacji.

                                                                                                                                                  Ponieważ klaster pełni kluczową funkcję dostarczania tych kluczy, konieczne jest, aby klaster nadal działał i aby utrzymywały się odpowiednie kopie zapasowe. Utrata bazy danych hybrydowych zabezpieczeń danych lub układu ISO konfiguracji stosowanego dla schematu spowoduje NIEZBĘDNĄ UTRATĘ zawartości klienta. Aby zapobiec takiej utracie, konieczne są następujące praktyki:

                                                                                                                                                  Jeśli awaria spowoduje, że wdrożenie HDS w głównym centrum danych stanie się niedostępne, postępuj zgodnie z tą procedurą, aby ręcznie przełączyć się na standby centrum danych.

                                                                                                                                                  1

                                                                                                                                                  Uruchom narzędzie do konfiguracji HDS i wykonaj czynności opisane w dokumencie Create a Configuration ISO for the HDS Hosts.

                                                                                                                                                  2

                                                                                                                                                  Po skonfigurowaniu serwera Syslogd kliknij Ustawienia zaawansowane

                                                                                                                                                  3

                                                                                                                                                  Na stronie Ustawienia zaawansowane dodaj poniższą konfigurację lub usuń passiveMode konfiguracja, aby węzeł był aktywny. Węzeł może obsługiwać ruch po skonfigurowaniu.

                                                                                                                                                  
                                                                                                                                                  passiveMode: 'false'
                                                                                                                                                  
                                                                                                                                                  4

                                                                                                                                                  Zakończ proces konfiguracji i zapisz plik ISO w lokalizacji, która jest łatwa do znalezienia.

                                                                                                                                                  5

                                                                                                                                                  Wykonaj kopię zapasową pliku ISO w lokalnym systemie. Kopia zapasowa powinna być zabezpieczona. Ten plik zawiera główny klucz szyfrowania zawartości bazy danych. Ogranicz dostęp tylko do tych administratorów hybrydowych zabezpieczeń danych, którzy powinni wprowadzać zmiany w konfiguracji.

                                                                                                                                                  6

                                                                                                                                                  W lewym okienku nawigacyjnym klienta VMware vSphere kliknij prawym przyciskiem myszy maszynę wirtualną i kliknij opcję Edytuj ustawienia..

                                                                                                                                                  7

                                                                                                                                                  Kliknij opcję Edytuj ustawienia >Napęd CD/DVD 1 i wybierz Plik ISO Datastore.


                                                                                                                                                   

                                                                                                                                                  Upewnij się, że Connected and Connect at power on (Podłączono) są zaznaczone, aby zaktualizowane zmiany konfiguracji mogły wejść w życie po uruchomieniu węzłów.

                                                                                                                                                  8

                                                                                                                                                  Włącz węzeł HDS i upewnij się, że nie ma alarmów przez co najmniej 15 minut.

                                                                                                                                                  9

                                                                                                                                                  Powtórz proces dla każdego węzła w centrum danych standby.


                                                                                                                                                   

                                                                                                                                                  Sprawdź wyjście dziennika systemowego, aby sprawdzić, czy węzły centrum danych standby nie są w trybie pasywnym. „KMS skonfigurowany w trybie pasywnym” nie powinien być wyświetlany w dziennikach syslog.

                                                                                                                                                  Co zrobić dalej

                                                                                                                                                  Po przełączeniu awaryjnym, jeśli główne centrum danych stanie się ponownie aktywne, ponownie umieść centrum danych standby w trybie pasywnym, wykonując czynności opisane w Ustawieniu Standby Data Center dla odzyskiwania awarii.

                                                                                                                                                  (Opcjonalnie) Odmontować ISO Po Konfiguracji HDS

                                                                                                                                                  Standardowa konfiguracja HDS działa z zamontowanym ISO. Jednak niektórzy klienci wolą nie pozostawiać plików ISO stale zamontowanych. Plik ISO można odmontować po odebraniu nowej konfiguracji przez wszystkie węzły HDS.

                                                                                                                                                  Nadal używasz plików ISO do wprowadzania zmian w konfiguracji. Podczas tworzenia nowego ISO lub aktualizacji ISO za pomocą narzędzia konfiguracyjnego należy zamontować zaktualizowany ISO na wszystkich węzłach HDS. Po odebraniu zmian konfiguracji przez wszystkie węzły można ponownie rozmontować ISO za pomocą tej procedury.

                                                                                                                                                  Przed rozpoczęciem

                                                                                                                                                  Uaktualnij wszystkie węzły HDS do wersji 2021.01.22.4720 lub nowszej.

                                                                                                                                                  1

                                                                                                                                                  Zamknij jeden z węzłów HDS.

                                                                                                                                                  2

                                                                                                                                                  W urządzeniu VCenter Server Appliance wybierz węzeł HDS.

                                                                                                                                                  3

                                                                                                                                                  Wybierz Edytuj ustawienia > Napęd CD/DVD i usuń zaznaczenie pliku Datastore ISO.

                                                                                                                                                  4

                                                                                                                                                  Włącz węzeł HDS i upewnij się, że nie ma alarmów przez co najmniej 20 minut.

                                                                                                                                                  5

                                                                                                                                                  Powtórz kolejno dla każdego węzła HDS.

                                                                                                                                                  Rozwiązywanie problemów z hybrydowymi zabezpieczeniami danych

                                                                                                                                                  Wyświetlanie alertów i rozwiązywania problemów

                                                                                                                                                  Wdrożenie hybrydowego zabezpieczenia danych jest uważane za niedostępne, jeśli wszystkie węzły w klastrze są nieosiągalne lub klaster działa tak wolno, że wymaga przekroczenia czasu. Jeśli użytkownicy nie mogą skontaktować się z klastrem hybrydowego zabezpieczenia danych, mogą wystąpić następujące objawy:

                                                                                                                                                  • Nie można utworzyć nowych obszarów (nie można utworzyć nowych kluczy)

                                                                                                                                                  • Wiadomości i tytuły przestrzeni nie można odszyfrować dla:

                                                                                                                                                    • Dodano nowych użytkowników do obszaru (nie można pobrać kluczy)

                                                                                                                                                    • Istniejący użytkownicy w obszarze korzystający z nowego klienta (nie można pobrać kluczy)

                                                                                                                                                  • Istniejący użytkownicy w obszarze będą z powodzeniem działać tak długo, jak ich klienci będą mieli pamięć podręczną kluczy szyfrowania

                                                                                                                                                  Ważne jest, aby odpowiednio monitorować klaster hybrydowego zabezpieczenia danych i szybko zwracać się do wszystkich alertów, aby uniknąć zakłóceń w obsłudze.

                                                                                                                                                  Alerty

                                                                                                                                                  Jeśli występuje problem z konfiguracją hybrydowego zabezpieczenia danych, Control Hub wyświetla alerty do administratora organizacji i wysyła wiadomości e-mail na skonfigurowany adres e-mail. Alerty obejmują wiele typowych scenariuszy.

                                                                                                                                                  Tabela 1. Wspólne problemy i kroki mające na celu ich rozwiązanie

                                                                                                                                                  Alert

                                                                                                                                                  Czynność

                                                                                                                                                  Niepowodzenie dostępu do lokalnej bazy danych.

                                                                                                                                                  Sprawdź, czy występują błędy w bazie danych lub problemy z siecią lokalną.

                                                                                                                                                  Niepowodzenie połączenia z lokalną bazą danych.

                                                                                                                                                  Sprawdź, czy serwer bazy danych jest dostępny, a w konfiguracji węzła użyto odpowiednich poświadczeń konta usługi.

                                                                                                                                                  Niepowodzenie dostępu do usługi w chmurze.

                                                                                                                                                  Sprawdź, czy węzły mogą uzyskać dostęp do serwerów Webex zgodnie z wymaganiami Zewnętrznej łączności.

                                                                                                                                                  Odnowienie rejestracji usług w chmurze.

                                                                                                                                                  Zrezygnowano z rejestracji na usługi w chmurze. Trwa przedłużenie rejestracji.

                                                                                                                                                  Rejestracja usług w chmurze została odrzucona.

                                                                                                                                                  Rejestracja na usługi w chmurze została zakończona. Usługa jest wyłączona.

                                                                                                                                                  Usługa jeszcze nie została aktywowana.

                                                                                                                                                  Aktywuj wersję próbną lub zakończ przenoszenie wersji próbnej do produkcji.

                                                                                                                                                  Skonfigurowana domena nie odpowiada certyfikatowi serwera.

                                                                                                                                                  Upewnij się, że certyfikat serwera jest zgodny z skonfigurowaną domeną aktywacji usługi.

                                                                                                                                                  Najbardziej prawdopodobną przyczyną jest to, że certyfikat CN został ostatnio zmieniony i jest teraz inny niż CN, który był używany podczas początkowej konfiguracji.

                                                                                                                                                  Nie można uwierzytelnić usług w chmurze.

                                                                                                                                                  Kontrola poprawności i ewentualnego wygaśnięcia poświadczeń konta usługi.

                                                                                                                                                  Nie można otworzyć lokalnego pliku keystore.

                                                                                                                                                  Sprawdź integralność i dokładność hasła w lokalnym pliku keystore.

                                                                                                                                                  Certyfikat lokalnego serwera jest nieprawidłowy.

                                                                                                                                                  Sprawdź datę ważności certyfikatu serwera i potwierdź, że został on wydany przez zaufany urząd certyfikacji.

                                                                                                                                                  Nie można publikować metryk.

                                                                                                                                                  Sprawdź dostęp sieci lokalnej do zewnętrznych usług w chmurze.

                                                                                                                                                  /media/configdrive/hds katalog nie istnieje.

                                                                                                                                                  Sprawdź konfigurację montażu ISO na wirtualnym hostze. Sprawdź, czy plik ISO istnieje, czy jest skonfigurowany do montażu na ponownym uruchomieniu i czy został pomyślnie zainstalowany.

                                                                                                                                                  Rozwiązywanie problemów z hybrydowymi zabezpieczeniami danych

                                                                                                                                                  Podczas rozwiązywania problemów z hybrydowymi zabezpieczeniami danych należy stosować następujące ogólne wytyczne.
                                                                                                                                                  1

                                                                                                                                                  Przejrzyj Control Hub dla wszystkich alertów i naprawić wszystkie znalezione tam elementy.

                                                                                                                                                  2

                                                                                                                                                  Przejrzyj wyjście serwera dziennika systemowego pod kątem aktywności z wdrożenia hybrydowego zabezpieczenia danych.

                                                                                                                                                  3

                                                                                                                                                  Skontaktuj się z pomocą techniczną Cisco.

                                                                                                                                                  Inne uwagi

                                                                                                                                                  Znane problemy dotyczące hybrydowych zabezpieczeń danych

                                                                                                                                                  • Jeśli zamkniesz klaster hybrydowego zabezpieczenia danych (usuwając go w Control Hub lub zamykając wszystkie węzły), stracisz plik ISO konfiguracji lub utracisz dostęp do bazy danych keystore, użytkownicy aplikacji Webex nie będą mogli już korzystać ze spacji na liście Osoby utworzonej za pomocą kluczy z KMS. Dotyczy to zarówno wdrożeń próbnych, jak i produkcyjnych. Obecnie nie mamy obejścia ani rozwiązania tego problemu i zachęcamy do niezamykania usług HDS po obsłudze aktywnych kont użytkowników.

                                                                                                                                                  • Klient z istniejącym połączeniem ECDH z KMS utrzymuje to połączenie przez pewien czas (prawdopodobnie godzinę). Gdy użytkownik staje się członkiem próby hybrydowego zabezpieczenia danych, klient użytkownika nadal korzysta z istniejącego połączenia ECDH do czasu jego wyłączenia. Alternatywnie, użytkownik może wylogować się i wrócić do aplikacji Webex, aby zaktualizować lokalizację, z którą kontaktuje się aplikacja w przypadku kluczy szyfrowania.

                                                                                                                                                    To samo zachowanie występuje podczas przenoszenia próby do produkcji dla organizacji. Wszyscy użytkownicy spoza wersji próbnej posiadający istniejące połączenia ECDH z poprzednimi służbami bezpieczeństwa danych będą nadal korzystać z tych usług do czasu renegocjacji połączenia ECDH (poprzez limit czasu lub poprzez wylogowanie i powrót).

                                                                                                                                                  Użyj protokołu OpenSSL, aby wygenerować plik PKCS12

                                                                                                                                                  Przed rozpoczęciem

                                                                                                                                                  • OpenSSL jest jednym z narzędzi, które można wykorzystać do tworzenia pliku PKCS12 w odpowiednim formacie do ładowania w narzędziu konfiguracji HDS. Istnieją inne sposoby, aby to zrobić, i nie popieramy ani nie promujemy jednej drogi nad drugą.

                                                                                                                                                  • Jeśli zdecydujesz się korzystać z OpenSSL, zapewniamy tę procedurę jako wytyczną, która pomoże Ci utworzyć plik spełniający wymagania certyfikatu X.509 w wymaganiach certyfikatów X.509. Zrozum te wymagania, zanim przejdziesz dalej.

                                                                                                                                                  • Zainstaluj OpenSSL w obsługiwanym środowisku. Patrz https://www.openssl.org oprogramowanie i dokumentacja.

                                                                                                                                                  • Utwórz klucz prywatny.

                                                                                                                                                  • Procedurę tę należy rozpocząć po otrzymaniu certyfikatu serwera od urzędu certyfikacji.

                                                                                                                                                  1

                                                                                                                                                  Po otrzymaniu certyfikatu serwera z urzędu certyfikacji zapisz go jako hdsnode.pem.

                                                                                                                                                  2

                                                                                                                                                  Wyświetl certyfikat jako tekst i zweryfikuj szczegóły.

                                                                                                                                                  openssl x509 -text -noout -in hdsnode.pem

                                                                                                                                                  3

                                                                                                                                                  Użyj edytora tekstu, aby utworzyć plik pakietu certyfikatów o nazwie hdsnode-bundle.pem. Plik pakietu musi zawierać certyfikat serwera, wszystkie pośrednie certyfikaty urzędu certyfikacji oraz podstawowe certyfikaty urzędu certyfikacji w formacie poniżej:

                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ### Server certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ###  Intermediate CA certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ###  Root CA certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  4

                                                                                                                                                  Utwórz plik .p12 o przyjaznej nazwie kms-private-key.

                                                                                                                                                  openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

                                                                                                                                                  5

                                                                                                                                                  Sprawdź szczegóły certyfikatu serwera.

                                                                                                                                                  1. openssl pkcs12 -in hdsnode.p12

                                                                                                                                                  2. Wprowadź hasło po wyświetleniu monitu, aby zaszyfrować klucz prywatny w taki sposób, aby był wyświetlany na wyjściu. Następnie sprawdź, czy klucz prywatny i pierwszy certyfikat zawierają linie friendlyName: kms-private-key.

                                                                                                                                                    Przykład:

                                                                                                                                                    bash$ openssl pkcs12 -in hdsnode.p12
                                                                                                                                                    Enter Import Password:
                                                                                                                                                    MAC verified OK
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: kms-private-key
                                                                                                                                                        localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
                                                                                                                                                    Key Attributes: <No Attributes>
                                                                                                                                                    Enter PEM pass phrase:
                                                                                                                                                    Verifying - Enter PEM pass phrase:
                                                                                                                                                    -----BEGIN ENCRYPTED PRIVATE KEY-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END ENCRYPTED PRIVATE KEY-----
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: kms-private-key
                                                                                                                                                        localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
                                                                                                                                                    subject=/CN=hds1.org6.portun.us
                                                                                                                                                    issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
                                                                                                                                                    -----BEGIN CERTIFICATE-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END CERTIFICATE-----
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US
                                                                                                                                                    subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
                                                                                                                                                    issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3
                                                                                                                                                    -----BEGIN CERTIFICATE-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END CERTIFICATE-----

                                                                                                                                                  Co zrobić dalej

                                                                                                                                                  Powróć, aby ukończyć wymagania wstępne dotyczące hybrydowego zabezpieczenia danych. Korzystasz z hdsnode.p12 plik i ustawione dla niego hasło w Utwórz ISO konfiguracji dla prowadzących HDS.


                                                                                                                                                   

                                                                                                                                                  Możesz ponownie użyć tych plików, aby poprosić o nowy certyfikat po wygaśnięciu oryginalnego certyfikatu.

                                                                                                                                                  Ruch między węzłami HDS a chmurą

                                                                                                                                                  Ruch zbierania metryk wychodzących

                                                                                                                                                  Węzły hybrydowego zabezpieczenia danych wysyłają pewne metryki do chmury Webex. Obejmują one metryki systemowe dla maks. stosu, stosowanego stosu, obciążenia procesora i liczenia wątków; metryki na wątkach synchronicznych i asynchronicznych; metryki na alertach obejmujące próg połączeń szyfrowania, opóźnienie lub długość kolejki żądań; metryki na zbiorniku danych; oraz metryki połączeń szyfrowania. Węzły wysyłają zaszyfrowany materiał klucza przez kanał poza pasmem (oddzielony od żądania).

                                                                                                                                                  Ruch przychodzący

                                                                                                                                                  Węzły hybrydowego zabezpieczenia danych otrzymują następujące typy ruchu przychodzącego z chmury Webex:

                                                                                                                                                  • Żądania szyfrowania od klientów, które są kierowane przez usługę szyfrowania

                                                                                                                                                  • Aktualizacja do oprogramowania węzła

                                                                                                                                                  Konfigurowanie serwerów proxy Squid dla hybrydowych zabezpieczeń danych

                                                                                                                                                  Websocket Nie Można Połączyć Za Pomocą Proxy Squid

                                                                                                                                                  Pełnomocnicy Squid, którzy sprawdzają ruch HTTPS, mogą ingerować w tworzenie websocket ( wss:) połączenia, których wymaga Hybrid Data Security. Sekcje te zawierają wskazówki dotyczące konfigurowania różnych wersji Squid do ignorowania wss: ruch w celu prawidłowego funkcjonowania usług.

                                                                                                                                                  Squid 4 i 5

                                                                                                                                                  Dodaj on_unsupported_protocol dyrektywa do squid.conf:

                                                                                                                                                  on_unsupported_protocol tunnel all

                                                                                                                                                  Squid 3.5.27

                                                                                                                                                  Z powodzeniem przetestowaliśmy hybrydowe zabezpieczenia danych, dodając następujące zasady squid.conf. Zasady te mogą ulec zmianie w miarę opracowywania funkcji i aktualizacji chmury Webex.

                                                                                                                                                  acl wssMercuryConnection ssl::server_name_regex mercury-connection
                                                                                                                                                  
                                                                                                                                                  ssl_bump splice wssMercuryConnection
                                                                                                                                                  
                                                                                                                                                  acl step1 at_step SslBump1
                                                                                                                                                  acl step2 at_step SslBump2
                                                                                                                                                  acl step3 at_step SslBump3
                                                                                                                                                  ssl_bump peek step1 all
                                                                                                                                                  ssl_bump stare step2 all
                                                                                                                                                  ssl_bump bump step3 all
                                                                                                                                                  Przedmowa

                                                                                                                                                  Nowe i zmienione informacje

                                                                                                                                                  Data

                                                                                                                                                  Zmiany

                                                                                                                                                  20 października 2023 r.

                                                                                                                                                  07 sierpnia 2023 r.

                                                                                                                                                  23 maja 2023 r.

                                                                                                                                                  06 grudnia 2022 r.

                                                                                                                                                  23 listopada 2022 r.

                                                                                                                                                  • Węzły HDS mogą teraz używać uwierzytelniania systemu Windows w usłudze Microsoft SQL Server.

                                                                                                                                                    Zaktualizowano temat wymagań serwera bazy danych z dodatkowymi wymaganiami dla tego trybu uwierzytelniania.

                                                                                                                                                    Zaktualizowano Utwórz ISO konfiguracji hostów HDS z procedurą konfigurowania uwierzytelniania systemu Windows w węzłach.

                                                                                                                                                  • Zaktualizowano temat wymagań serwera bazy danych o nowe minimalne wymagane wersje (PostgreSQL 10).

                                                                                                                                                  13 października, 2021

                                                                                                                                                  Docker Desktop musi uruchomić program konfiguracji przed zainstalowaniem węzłów HDS. Zobacz Wymagania Dotyczące Pulpitu Docker.

                                                                                                                                                  Czerwiec 24, 2021

                                                                                                                                                  Pamiętaj, że możesz ponownie użyć pliku klucza prywatnego i CSR, aby poprosić o inny certyfikat. Aby uzyskać szczegółowe informacje, zobacz Użyj OpenSSL, aby wygenerować plik PKCS12.

                                                                                                                                                  30 kwietnia 2021 r.

                                                                                                                                                  Zmieniono wymaganie VM dla lokalnego miejsca na dysku twardym na 30 GB. Szczegółowe informacje można znaleźć w sekcji Wymagania wirtualnego prowadzącego .

                                                                                                                                                  24 lutego, 2021

                                                                                                                                                  Narzędzie konfiguracji usługi HDS może teraz działać za serwerem proxy. Aby uzyskać szczegółowe informacje, zobacz Tworzenie ISO konfiguracji hostów HDS .

                                                                                                                                                  2 lutego 2021 r

                                                                                                                                                  HDS może teraz działać bez zamontowanego pliku ISO. Aby uzyskać szczegółowe informacje, zobacz (Opcjonalnie) Odinstaluj ISO Po Konfiguracji HDS .

                                                                                                                                                  11 stycznia 2021 r.

                                                                                                                                                  Dodano informacje o narzędziu konfiguracji HDS i pełnomocnikach, aby utworzyć ISO konfiguracji dla prowadzących HDS.

                                                                                                                                                  13 października, 2020

                                                                                                                                                  Zaktualizowano Pobierz pliki instalacyjne.

                                                                                                                                                  8 października 2020 r.

                                                                                                                                                  Zaktualizowano Utwórz ISO konfiguracji dla prowadzących HDS i zmień konfigurację węzła za pomocą poleceń dla środowisk FedRAMP.

                                                                                                                                                  14 sierpnia, 2020

                                                                                                                                                  Zaktualizowano Utwórz ISO konfiguracji dla prowadzących HDS i zmień konfigurację węzła ze zmianami w procesie logowania.

                                                                                                                                                  5 sierpnia 2020 r.

                                                                                                                                                  Zaktualizowano testowanie wdrażania hybrydowego zabezpieczenia danych pod kątem zmian w komunikatach dziennika.

                                                                                                                                                  Zaktualizowano wymagania hosta wirtualnego , aby usunąć maksymalną liczbę hostów.

                                                                                                                                                  16 czerwca 2020 r.

                                                                                                                                                  Zaktualizowano Usuwanie węzła pod kątem zmian w interfejsie interfejsu Control Hub.

                                                                                                                                                  4 czerwca 2020 r.

                                                                                                                                                  Zaktualizowano Tworzenie ISO konfiguracji dla hostów HDS w celu wprowadzenia zmian w ustawieniach zaawansowanych, które można ustawić.

                                                                                                                                                  29 maja 2020 r.

                                                                                                                                                  Zaktualizowano Utwórz ISO konfiguracji dla hostów HDS , aby pokazać, że można również używać TLS z bazami danych SQL Server, zmianami interfejsu użytkownika i innymi wyjaśnieniami.

                                                                                                                                                  5 maja 2020 r.

                                                                                                                                                  Zaktualizowano wymagania hosta wirtualnego , aby pokazać nowe wymagania ESXi 6.5.

                                                                                                                                                  21 kwietnia 2020 r.

                                                                                                                                                  Zaktualizowane wymagania dotyczące łączności zewnętrznej z nowymi hostami CI Americas.

                                                                                                                                                  1 kwietnia 2020 r.

                                                                                                                                                  Zaktualizowane wymagania dotyczące łączności zewnętrznej z informacjami na temat regionalnych prowadzących CI.

                                                                                                                                                  20 lutego, 2020Zaktualizowano Utwórz ISO konfiguracji hostów HDS z informacjami na nowym opcjonalnym ekranie ustawień zaawansowanych w narzędziu do konfiguracji HDS.
                                                                                                                                                  12 lutego 2020 r.Zaktualizowano wymagania serwera proxy.
                                                                                                                                                  16 grudnia 2019 r.Wyjaśnienie wymogu działania Zablokowanego zewnętrznego trybu rozpoznawania DNS w wymaganiach serwera proxy.
                                                                                                                                                  19 listopada, 2019

                                                                                                                                                  Dodano informacje o zablokowanym zewnętrznym trybie rozpoznawania DNS w następujących sekcjach:

                                                                                                                                                  8 listopada, 2019

                                                                                                                                                  Teraz można skonfigurować ustawienia sieciowe węzła podczas wdrażania OVA, a nie później.

                                                                                                                                                  Zaktualizowano odpowiednio następujące sekcje:


                                                                                                                                                   

                                                                                                                                                  Opcja konfigurowania ustawień sieciowych podczas wdrażania OVA została przetestowana z ESXi 6.5. Opcja może nie być dostępna we wcześniejszych wersjach.

                                                                                                                                                  Wrzesień 6, 2019

                                                                                                                                                  Dodano SQL Server Standard do wymagań serwera bazy danych.

                                                                                                                                                  29 sierpnia 2019 r.Dodano Configure Squid Proxies for Hybrid Data Security appendix z wytycznymi dotyczącymi konfigurowania serwerów proxy Squid w celu zignorowania ruchu websocket w celu prawidłowej obsługi.
                                                                                                                                                  Sierpień 20, 2019

                                                                                                                                                  Dodano i zaktualizowano sekcje, aby objąć obsługę proxy komunikacji węzła hybrydowego bezpieczeństwa danych z chmurą Webex.

                                                                                                                                                  Aby uzyskać dostęp tylko do zawartości obsługi serwera proxy dla istniejącego wdrożenia, zobacz artykuł pomocy Proxy Support for Hybrid Data Security i Webex Video Mesh .

                                                                                                                                                  13 czerwca 2019 r.Zaktualizowano Trial to Production Task Flow z przypomnieniem o synchronizacji obiektu grupowego HdsTrialGroup przed rozpoczęciem próby, jeśli organizacja korzysta z synchronizacji katalogu.
                                                                                                                                                  6 marca 2019 r.
                                                                                                                                                  28 lutego 2019 r.
                                                                                                                                                  • Skorygowano ilość lokalnego miejsca na dysku twardym na serwer, którą należy odłożyć podczas przygotowywania wirtualnych hostów, które stają się węzłami hybrydowego zabezpieczenia danych, z 50 GB do 20 GB, aby odzwierciedlić rozmiar dysku, który tworzy OVA.

                                                                                                                                                  26 lutego 2019 r.
                                                                                                                                                  • Węzły hybrydowego zabezpieczenia danych obsługują teraz szyfrowane połączenia z serwerami bazy danych PostgreSQL i szyfrowane połączenia rejestrowania z serwerem dziennika systemowego obsługującym protokół TLS. Zaktualizowano Tworzenie ISO konfiguracji dla prowadzących HDS z instrukcjami.

                                                                                                                                                  • Usunięto adresy URL docelowe z tabeli „Wymagania dotyczące łączności internetowej dla hybrydowych węzłów bezpieczeństwa danych”. Tabela odnosi się teraz do listy utrzymywanej w tabeli „Dodatkowe adresy URL usług hybrydowych Webex Teams” dotyczącej wymagań sieciowych dla usług Webex Teams.

                                                                                                                                                  Styczeń 24, 2019

                                                                                                                                                  • Hybrid Data Security obsługuje teraz Microsoft SQL Server jako bazę danych. Serwer SQL Always On (Klastry Always On Failover i grupy Always On Availability) jest obsługiwany przez sterowniki JDBC używane w hybrydowych zabezpieczeniach danych. Dodano zawartość związaną z wdrożeniem z programem SQL Server.


                                                                                                                                                     

                                                                                                                                                    Obsługa rozwiązania Microsoft SQL Server jest przeznaczona tylko dla nowych wdrożeń hybrydowych zabezpieczeń danych. Obecnie nie obsługujemy migracji danych z serwera PostgreSQL na serwer Microsoft SQL Server w istniejącym wdrożeniu.

                                                                                                                                                  5 listopada 2018 r.
                                                                                                                                                  19 października 2018 r.

                                                                                                                                                  31 lipca 2018 r.

                                                                                                                                                  21 maja 2018 r.

                                                                                                                                                  Zmieniona terminologia odzwierciedlająca zmianę marki Cisco Spark:

                                                                                                                                                  • Cisco Spark Hybrid Data Security jest teraz Hybrid Data Security.

                                                                                                                                                  • Aplikacja Cisco Spark jest teraz aplikacją Webex.

                                                                                                                                                  • Cisco Collaboraton Cloud jest teraz chmurą Webex.

                                                                                                                                                  11 kwietnia 2018 r.
                                                                                                                                                  Luty 22, 2018
                                                                                                                                                  Luty 15, 2018
                                                                                                                                                  • W tabeli Wymagania certyfikatu X.509 określono, że certyfikat nie może być certyfikatem z wieloznacznymi kartami i że KMS używa domeny CN, a nie żadnej domeny zdefiniowanej w polach SAN x.509v3.

                                                                                                                                                  Styczeń 18, 2018

                                                                                                                                                  2 listopada 2017 r.

                                                                                                                                                  • Skrócona synchronizacja katalogu grupy HdsTrialGroup.

                                                                                                                                                  • Stałe instrukcje dotyczące przesyłania pliku konfiguracyjnego ISO w celu zamontowania go w węzłach VM.

                                                                                                                                                  18 sierpnia 2017 r.

                                                                                                                                                  Pierwsza publikacja

                                                                                                                                                  Rozpocznij pracę z Hybrid Data Security

                                                                                                                                                  Przegląd zabezpieczeń danych hybrydowych

                                                                                                                                                  Od pierwszego dnia bezpieczeństwo danych było głównym celem projektowania aplikacji Webex. Podstawą tego bezpieczeństwa jest kompleksowe szyfrowanie zawartości, włączone przez klientów aplikacji Webex współpracujących z usługą Key Management Service (KMS). Usługa KMS jest odpowiedzialna za tworzenie kluczy kryptograficznych używanych przez klientów do dynamicznego szyfrowania i odszyfrowywania wiadomości i plików oraz zarządzanie nimi.

                                                                                                                                                  Domyślnie wszyscy klienci aplikacji Webex otrzymują kompleksowe szyfrowanie za pomocą kluczy dynamicznych przechowywanych w chmurze KMS w obszarze bezpieczeństwa firmy Cisco. Hybrid Data Security przenosi KMS i inne funkcje związane z bezpieczeństwem do centrum danych przedsiębiorstwa, dzięki czemu nikt poza Tobą nie posiada kluczy do zaszyfrowanej zawartości.

                                                                                                                                                  Architektura domeny zabezpieczeń

                                                                                                                                                  Architektura chmury Webex oddziela różne rodzaje usług od osobnych domen lub domen zaufania, jak przedstawiono poniżej.

                                                                                                                                                  Realms of Separation (bez hybrydowego zabezpieczenia danych)

                                                                                                                                                  Aby lepiej zrozumieć hybrydowe zabezpieczenia danych, spójrzmy najpierw na ten przypadek czystej chmury, w którym Cisco zapewnia wszystkie funkcje w swoich domenach w chmurze. Usługa tożsamości, jedyne miejsce, w którym użytkownicy mogą być bezpośrednio skorelowani ze swoimi danymi osobowymi, takimi jak adres e-mail, jest logicznie i fizycznie oddzielona od domeny bezpieczeństwa w centrum danych B. Oba są z kolei oddzielone od domeny, w której ostatecznie przechowywana jest zaszyfrowana zawartość, w centrum danych C.

                                                                                                                                                  Na tym schemacie klient to aplikacja Webex działająca na laptopie użytkownika i uwierzytelniona za pomocą usługi tożsamości. Gdy użytkownik komponuje wiadomość do wysłania do obszaru, wykonywane są następujące czynności:

                                                                                                                                                  1. Klient ustanawia bezpieczne połączenie z usługą zarządzania kluczami (KMS), a następnie prosi o klucz do szyfrowania wiadomości. Bezpieczne połączenie korzysta z ECDH, a KMS szyfruje klucz przy użyciu klucza głównego AES-256.

                                                                                                                                                  2. Wiadomość jest szyfrowana przed opuszczeniem klienta. Klient wysyła go do usługi indeksowania, która tworzy zaszyfrowane indeksy wyszukiwania, aby pomóc w przyszłych wyszukiwaniach zawartości.

                                                                                                                                                  3. Zaszyfrowana wiadomość jest wysyłana do usługi zgodności w celu sprawdzenia zgodności.

                                                                                                                                                  4. Zaszyfrowana wiadomość jest przechowywana w domenie przechowywania.

                                                                                                                                                  Podczas wdrażania hybrydowego zabezpieczenia danych funkcje domeny zabezpieczeń (KMS, indeksowanie i zgodność) są przenoszone do lokalnego centrum danych. Inne usługi w chmurze, które składają się na usługę Webex (w tym pamięć masowa tożsamości i zawartości), pozostają w domenach Cisco.

                                                                                                                                                  Współpraca z innymi organizacjami

                                                                                                                                                  Użytkownicy w organizacji mogą regularnie korzystać z aplikacji Webex do współpracy z uczestnikami zewnętrznymi w innych organizacjach. Gdy jeden z użytkowników prosi o klucz do obszaru należącego do organizacji (ponieważ został on utworzony przez jednego z użytkowników), KMS wysyła klucz do klienta za pośrednictwem kanału zabezpieczonego ECDH. Jednak gdy inna organizacja jest właścicielem klucza dla obszaru, system KMS kieruje żądanie do chmury Webex przez osobny kanał ECDH, aby uzyskać klucz z odpowiedniego systemu KMS, a następnie zwraca go do użytkownika na oryginalnym kanale.

                                                                                                                                                  Usługa KMS działająca na Org A weryfikuje połączenia z KMSs w innych organizacjach za pomocą certyfikatów PKI x.509. Aby uzyskać szczegółowe informacje na temat generowania certyfikatu x.509 do użytku z wdrożeniem hybrydowego zabezpieczenia danych, zobacz Prepare Your Environment (Przygotowanie środowiska).

                                                                                                                                                  Oczekiwania dotyczące wdrażania hybrydowych zabezpieczeń danych

                                                                                                                                                  Wdrożenie hybrydowego zabezpieczenia danych wymaga znacznego zaangażowania klienta i świadomości ryzyka związanego z posiadaniem kluczy szyfrowania.

                                                                                                                                                  Aby wdrożyć hybrydowe zabezpieczenia danych, należy zapewnić:

                                                                                                                                                  Kompletna utrata konfiguracji ISO utworzonej dla hybrydowego zabezpieczenia danych lub dostarczonej bazy danych spowoduje utratę kluczy. Utrata klucza uniemożliwia użytkownikom odszyfrowanie zawartości obszaru i innych zaszyfrowanych danych w aplikacji Webex. Jeśli tak się stanie, możesz zbudować nowe wdrożenie, ale widoczna będzie tylko nowa zawartość. Aby uniknąć utraty dostępu do danych, należy:

                                                                                                                                                  • Zarządzanie kopią zapasową i odzyskiwaniem bazy danych oraz konfiguracją ISO.

                                                                                                                                                  • Przygotuj się do szybkiego odzyskiwania awaryjnego w przypadku wystąpienia katastrofy, takiej jak awaria dysku bazy danych lub awaria centrum danych.


                                                                                                                                                   

                                                                                                                                                  Nie ma mechanizmu przenoszenia kluczy z powrotem do chmury po wdrożeniu HDS.

                                                                                                                                                  Proces konfiguracji na wysokim poziomie

                                                                                                                                                  Niniejszy dokument obejmuje konfigurację i zarządzanie wdrożeniem hybrydowego zabezpieczenia danych:

                                                                                                                                                  • Skonfiguruj hybrydowe zabezpieczenia danych — obejmuje to przygotowanie wymaganej infrastruktury i zainstalowanie oprogramowania hybrydowego zabezpieczenia danych, testowanie wdrożenia z podzbiorem użytkowników w trybie próbnym oraz, po zakończeniu testów, przejście do produkcji. Spowoduje to konwertowanie całej organizacji do używania klastra Hybrid Data Security dla funkcji zabezpieczeń.

                                                                                                                                                    Etapy konfiguracji, prób i produkcji zostały szczegółowo omówione w kolejnych trzech rozdziałach.

                                                                                                                                                  • Utrzymaj wdrożenie hybrydowego zabezpieczenia danych — chmura Webex automatycznie zapewnia bieżące uaktualnienia. Dział IT może zapewnić wsparcie poziomu pierwszego dla tego wdrożenia i zaangażować wsparcie Cisco w razie potrzeby. Możesz używać powiadomień na ekranie i konfigurować alerty oparte na wiadomościach e-mail w Control Hub.

                                                                                                                                                  • Zrozumienie wspólnych alertów, kroków rozwiązywania problemów i znanych problemów — w przypadku wystąpienia problemów z wdrożeniem lub użyciem hybrydowego zabezpieczenia danych ostatni rozdział niniejszego przewodnika i dodatku do Znanych problemów może pomóc w określeniu i rozwiązaniu problemu.

                                                                                                                                                  Hybrydowy model wdrażania zabezpieczeń danych

                                                                                                                                                  W centrum danych przedsiębiorstwa wdrażasz hybrydowe zabezpieczenia danych jako jeden klaster węzłów na osobnych hostach wirtualnych. Węzły komunikują się z chmurą Webex za pośrednictwem bezpiecznych websocketów i bezpiecznego protokołu HTTP.

                                                                                                                                                  Podczas procesu instalacji dostarczamy Ci plik OVA do skonfigurowania urządzenia wirtualnego na dostarczonych maszynach wirtualnych. Narzędzie konfiguracyjne HDS służy do tworzenia niestandardowego pliku ISO konfiguracji klastra, który jest montowany w każdym węźle. Klaster Hybrid Data Security korzysta z dostarczonego serwera Syslogd i bazy danych PostgreSQL lub Microsoft SQL Server. (Szczegóły połączenia Syslogd i bazy danych można skonfigurować w narzędziu konfiguracji HDS).

                                                                                                                                                  Hybrydowy model wdrażania zabezpieczeń danych

                                                                                                                                                  Minimalna liczba węzłów w klastrze to dwa. Zalecamy co najmniej trzy, a możesz mieć do pięciu. Posiadanie wielu węzłów zapewnia, że usługa nie zostanie przerwana podczas uaktualniania oprogramowania lub innej czynności konserwacyjnej w węźle. (Chmura Webex aktualizuje tylko jeden węzeł naraz).

                                                                                                                                                  Wszystkie węzły w klastrze mają dostęp do tego samego rekordu danych klucza i aktywności dziennika na tym samym serwerze dziennika systemowego. Same węzły są bezpaństwowe i obsługują żądania kluczy w sposób okrągły, zgodnie z zaleceniami chmury.

                                                                                                                                                  Węzły stają się aktywne po zarejestrowaniu ich w Control Hub. Aby usunąć pojedynczy węzeł z usługi, można go wyrejestrować, a następnie ponownie wyrejestrować w razie potrzeby.

                                                                                                                                                  Obsługujemy tylko jeden klaster na organizację.

                                                                                                                                                  Tryb próbny zabezpieczeń danych hybrydowych

                                                                                                                                                  Po skonfigurowaniu wdrożenia hybrydowego zabezpieczenia danych spróbuj go najpierw z zestawem użytkowników pilotażowych. W okresie próbnym użytkownicy ci wykorzystują lokalną domenę hybrydowego zabezpieczenia danych do szyfrowania kluczy i innych usług domeny zabezpieczeń. Inni użytkownicy nadal korzystają ze sfery zabezpieczeń w chmurze.

                                                                                                                                                  Jeśli zdecydujesz się nie kontynuować wdrażania podczas wersji próbnej i dezaktywować usługi, użytkownicy pilotażowi i wszyscy użytkownicy, z którymi kontaktowali się, tworząc nowe obszary w okresie próbnym, utracą dostęp do wiadomości i treści. Zostanie wyświetlony komunikat „Nie można odszyfrować tej wiadomości” w aplikacji Webex.

                                                                                                                                                  Jeśli jesteś zadowolony, że wdrożenie działa dobrze dla użytkowników próbnych i jesteś gotowy do rozszerzenia hybrydowego zabezpieczenia danych na wszystkich użytkowników, przenosisz wdrożenie do produkcji. Użytkownicy pilotażowi nadal mają dostęp do kluczy, które były używane podczas próby. Nie można jednak poruszać się w tę i z powrotem między trybem produkcji a oryginalnym testem. Jeśli musisz dezaktywować usługę, na przykład w celu przeprowadzenia odzyskiwania po awarii, po ponownej aktywacji musisz rozpocząć nową wersję próbną i skonfigurować zestaw użytkowników pilotażowych dla nowej wersji próbnej przed powrotem do trybu produkcji. To, czy użytkownicy zachowują w tym momencie dostęp do danych, zależy od tego, czy udało się zachować kopie zapasowe kluczowego magazynu danych i pliku konfiguracyjnego ISO dla węzłów hybrydowych zabezpieczeń danych w klastrze.

                                                                                                                                                  Standby Data Center for Disaster Recovery

                                                                                                                                                  Podczas wdrażania skonfigurowano bezpieczne centrum danych w trybie gotowości. W przypadku awarii centrum danych można ręcznie anulować wdrożenie do centrum danych w trybie gotowości.

                                                                                                                                                  Przed przełączeniem awaryjnym centrum danych A ma aktywne węzły HDS i podstawową bazę danych PostgreSQL lub Microsoft SQL Server, podczas gdy B ma kopię pliku ISO z dodatkowymi konfiguracjami, maszynami wirtualnymi zarejestrowanymi w organizacji i bazą danych typu standby. Po przełączeniu awaryjnym centrum danych B ma aktywne węzły HDS i podstawową bazę danych, a A ma niezarejestrowane maszyny wirtualne i kopię pliku ISO, a baza danych jest w trybie gotowości.
                                                                                                                                                  Ręczne przełączanie awaryjne do Standby Data Center

                                                                                                                                                  Bazy danych aktywnych i standby centrów danych są ze sobą zsynchronizowane, co zminimalizuje czas potrzebny na wykonanie przełącznika awaryjnego. Plik ISO centrum danych w trybie gotowości jest aktualizowany o dodatkowe konfiguracje, które zapewniają rejestrację węzłów w organizacji, ale nie obsługują ruchu. Stąd węzły standby data center zawsze pozostają aktualne z najnowszą wersją oprogramowania HDS.


                                                                                                                                                   

                                                                                                                                                  Aktywne węzły hybrydowego zabezpieczenia danych muszą zawsze znajdować się w tym samym centrum danych, co aktywny serwer bazy danych.

                                                                                                                                                  Konfiguracja Standby Data Center do odzyskiwania awarii

                                                                                                                                                  Wykonaj poniższe czynności, aby skonfigurować plik ISO centrum danych w trybie gotowości:

                                                                                                                                                  Przed rozpoczęciem

                                                                                                                                                  • Centrum danych w stanie gotowości powinno odzwierciedlać środowisko produkcyjne maszyn wirtualnych oraz zapasową bazę danych PostgreSQL lub Microsoft SQL Server. Na przykład, jeśli produkcja ma 3 maszyny wirtualne z węzłami HDS, środowisko tworzenia kopii zapasowych powinno mieć 3 maszyny wirtualne. (Zobacz Standby Data Center for Disaster Recovery (Centrum danych w trybie gotowości do przywracania systemu po awarii).

                                                                                                                                                  • Upewnij się, że synchronizacja bazy danych jest włączona między bazą danych aktywnych i pasywnych węzłów klastra.

                                                                                                                                                  1

                                                                                                                                                  Uruchom narzędzie do konfiguracji HDS i wykonaj czynności opisane w dokumencie Create a Configuration ISO for the HDS Hosts.


                                                                                                                                                   

                                                                                                                                                  Plik ISO musi być kopią oryginalnego pliku ISO głównego centrum danych, na którym mają być dokonywane następujące aktualizacje konfiguracji.

                                                                                                                                                  2

                                                                                                                                                  Po skonfigurowaniu serwera Syslogd kliknij Ustawienia zaawansowane

                                                                                                                                                  3

                                                                                                                                                  Na stronie Ustawienia zaawansowane dodaj poniższą konfigurację, aby umieścić węzeł w trybie pasywnym. W tym trybie węzeł zostanie zarejestrowany w organizacji i połączony z chmurą, ale nie będzie obsługiwał żadnego ruchu.

                                                                                                                                                   PassiveMode: "prawdziwe" 

                                                                                                                                                  4

                                                                                                                                                  Zakończ proces konfiguracji i zapisz plik ISO w lokalizacji, która jest łatwa do znalezienia.

                                                                                                                                                  5

                                                                                                                                                  Wykonaj kopię zapasową pliku ISO w lokalnym systemie. Kopia zapasowa powinna być zabezpieczona. Ten plik zawiera główny klucz szyfrowania zawartości bazy danych. Ogranicz dostęp tylko do tych administratorów hybrydowych zabezpieczeń danych, którzy powinni wprowadzać zmiany w konfiguracji.

                                                                                                                                                  6

                                                                                                                                                  W lewym okienku nawigacyjnym klienta VMware vSphere kliknij prawym przyciskiem myszy maszynę wirtualną i kliknij opcję Edytuj ustawienia..

                                                                                                                                                  7

                                                                                                                                                  Kliknij opcję Edytuj ustawienia >Napęd CD/DVD 1 i wybierz Plik ISO Datastore.


                                                                                                                                                   

                                                                                                                                                  Upewnij się, że Connected and Connect at power on (Podłączono) są zaznaczone, aby zaktualizowane zmiany konfiguracji mogły wejść w życie po uruchomieniu węzłów.

                                                                                                                                                  8

                                                                                                                                                  Włącz węzeł HDS i upewnij się, że nie ma alarmów przez co najmniej 15 minut.

                                                                                                                                                  9

                                                                                                                                                  Powtórz proces dla każdego węzła w centrum danych standby.


                                                                                                                                                   

                                                                                                                                                  Sprawdź dzienniki syslog, aby sprawdzić, czy węzły są w trybie pasywnym. W dziennikach syslog należy mieć możliwość wyświetlania komunikatu „KMS skonfigurowany w trybie pasywnym”.

                                                                                                                                                  Co zrobić dalej

                                                                                                                                                  Po skonfigurowaniu trybu pasywów w pliku ISO i zapisaniu go można utworzyć inną kopię pliku ISO bez konfiguracji trybu pasywów i zapisać go w bezpiecznej lokalizacji. Ta kopia pliku ISO bez skonfigurowanego trybu pasywówTryb może pomóc w szybkim procesie awaryjnym podczas odzyskiwania awarii. Aby zapoznać się ze szczegółową procedurą przywracania awaryjnego za pomocą Standby Data Center (Centrum danych gotowości).

                                                                                                                                                  Obsługa serwera proxy

                                                                                                                                                  Hybrid Data Security obsługuje jawne, przejrzyste inspekcje i niekontrolujące serwery proxy. Możesz powiązać te serwery proxy z wdrożeniem, aby zabezpieczyć i monitorować ruch z przedsiębiorstwa do chmury. Interfejsu administratora platformy w węzłach można używać do zarządzania certyfikatami i sprawdzania ogólnego stanu łączności po skonfigurowaniu serwera proxy w węzłach.

                                                                                                                                                  Węzły Hybrid Data Security obsługują następujące opcje serwera proxy:

                                                                                                                                                  • Brak serwera proxy — ustawienie domyślne, jeśli w celu zintegrowania serwera proxy nie jest używane do konfiguracji węzła HDS Trust Store & Proxy. Aktualizacja certyfikatu nie jest wymagana.

                                                                                                                                                  • Przejrzysty serwer proxy niekontrolowany — węzły nie są skonfigurowane do używania określonego adresu serwera proxy i nie powinny wymagać żadnych zmian w pracy z serwerem proxy niekontrolowanym. Aktualizacja certyfikatu nie jest wymagana.

                                                                                                                                                  • Przejrzyste tunelowanie lub sprawdzanie serwera proxy — węzły nie są skonfigurowane do korzystania z określonego adresu serwera proxy. W węzłach nie są wymagane żadne zmiany konfiguracji HTTP ani HTTPS. Jednak węzły potrzebują certyfikatu głównego, aby ufać serwerowi proxy. Inspekcja serwerów proxy jest zwykle używana przez IT do egzekwowania zasad, na których można odwiedzać witryny internetowe, a które nie są dozwolone. Ten typ serwera proxy odszyfrowuje cały ruch (nawet HTTPS).

                                                                                                                                                  • Wyraźny serwer proxy — w przypadku wyraźnego serwera proxy należy wskazać węzły HDS, których serwer proxy i schemat uwierzytelniania należy używać. Aby skonfigurować jawny serwer proxy, należy wprowadzić następujące informacje w każdym węźle:

                                                                                                                                                    1. Proxy IP/FQDN — adres, którego można użyć do dotarcia do maszyny proxy.

                                                                                                                                                    2. Port serwera proxy — numer portu, którego serwer proxy używa do odsłuchiwania ruchu z serwerem proxy.

                                                                                                                                                    3. Protokół proxy — w zależności od tego, co obsługuje serwer proxy, wybierz między następującymi protokołami:

                                                                                                                                                      • HTTP — wyświetla i kontroluje wszystkie żądania wysyłane przez klienta.

                                                                                                                                                      • HTTPS — zapewnia kanał do serwera. Klient odbiera i sprawdza poprawność certyfikatu serwera.

                                                                                                                                                    4. Typ uwierzytelniania — wybierz spośród następujących typów uwierzytelniania:

                                                                                                                                                      • Brak — dalsze uwierzytelnianie nie jest wymagane.

                                                                                                                                                        Opcja dostępna po wybraniu protokołu HTTP lub HTTPS jako protokołu proxy.

                                                                                                                                                      • Basic — używane przez agenta użytkownika HTTP do podawania nazwy użytkownika i hasła podczas składania żądania. Używa kodowania Base64.

                                                                                                                                                        Opcja dostępna po wybraniu protokołu HTTP lub HTTPS jako protokołu proxy.

                                                                                                                                                        Wymaga wprowadzenia nazwy użytkownika i hasła w każdym węźle.

                                                                                                                                                      • Cyfra — służy do potwierdzenia konta przed wysłaniem poufnych informacji. Stosuje funkcję skrótu do nazwy użytkownika i hasła przed wysłaniem przez sieć.

                                                                                                                                                        Opcja dostępna tylko po wybraniu protokołu HTTPS jako protokołu proxy.

                                                                                                                                                        Wymaga wprowadzenia nazwy użytkownika i hasła w każdym węźle.

                                                                                                                                                  Przykład hybrydowych węzłów zabezpieczeń danych i serwera proxy

                                                                                                                                                  Ten diagram przedstawia przykładowe połączenie między hybrid data security, siecią i serwerem proxy. W przypadku opcji przezroczystego serwera proxy inspekcji i jawnego sprawdzania HTTPS ten sam certyfikat główny musi być zainstalowany na serwerze proxy i w węzłach Hybrid Data Security.

                                                                                                                                                  Zablokowany tryb zewnętrznego rozpoznawania DNS (jawne konfiguracje serwera proxy)

                                                                                                                                                  Podczas rejestrowania węzła lub sprawdzania konfiguracji serwera proxy węzła proces testuje wyszukiwanie DNS i łączność z chmurą Cisco Webex. We wdrożeniach z jawnymi konfiguracjami serwera proxy, które nie zezwalają na zewnętrzne rozpoznawanie DNS dla klientów wewnętrznych, jeśli węzeł nie może wysłać kwerendy do serwerów DNS, automatycznie przechodzi w tryb zablokowanego zewnętrznego rozpoznawania DNS. W tym trybie można kontynuować rejestrację węzła i inne testy łączności serwera proxy.

                                                                                                                                                  Przygotuj swoje środowisko

                                                                                                                                                  Wymagania dotyczące hybrydowego bezpieczeństwa danych

                                                                                                                                                  Wymagania licencyjne Cisco Webex

                                                                                                                                                  Aby wdrożyć hybrydowe zabezpieczenia danych:

                                                                                                                                                  Docker Wymagania pulpitowe

                                                                                                                                                  Przed zainstalowaniem węzłów HDS potrzebny jest Docker Desktop do uruchomienia programu konfiguracji. Docker niedawno zaktualizował swój model licencjonowania. Twoja organizacja może wymagać płatnej subskrypcji platformy Docker Desktop.Your organization might require a paid subscription for Docker Desktop. Aby uzyskać szczegółowe informacje, zobacz wpis na blogu Platformy Docker " Docker aktualizuje i rozszerza nasze subskrypcje produktów".

                                                                                                                                                  Wymagania dotyczące certyfikatu X.509

                                                                                                                                                  Łańcuch certyfikatów musi spełniać następujące wymagania:

                                                                                                                                                  Tabela 1. X.509 Wymagania dotyczące certyfikatów dla wdrażania hybrydowego zabezpieczenia danych

                                                                                                                                                  Wymaganie

                                                                                                                                                  Szczegóły

                                                                                                                                                  • Podpisany przez zaufany urząd certyfikacji (CA)

                                                                                                                                                  Domyślnie ufamy urzędnikom na liście Mozilla (z wyjątkiem WoSign i StartCom) pod adresem https://wiki.mozilla.org/CA:IncludedCAs.

                                                                                                                                                  • Nazwa domeny wspólnej nazwy (CN) identyfikująca wdrożenie hybrydowego zabezpieczenia danych

                                                                                                                                                  • Nie jest certyfikatem wieloznacznych kart

                                                                                                                                                  CN nie musi być osiągalne ani hostem na żywo. Zalecamy używanie nazwy odzwierciedlającej organizację, na przykład hds.company.com.

                                                                                                                                                  CN nie może zawierać * (wildcard).

                                                                                                                                                  CN służy do weryfikacji węzłów hybrydowych zabezpieczeń danych dla klientów aplikacji Webex. Wszystkie węzły hybrydowego zabezpieczenia danych w klastrze używają tego samego certyfikatu. System KMS identyfikuje się za pomocą domeny CN, a nie żadnej domeny zdefiniowanej w polach SAN x.509v3.

                                                                                                                                                  Po zarejestrowaniu węzła z tym certyfikatem nie obsługujemy zmiany nazwy domeny CN. Wybierz domenę, która może mieć zastosowanie zarówno do wdrożeń próbnych, jak i produkcyjnych.

                                                                                                                                                  • Podpis inny niż SHA1

                                                                                                                                                  Oprogramowanie KMS nie obsługuje podpisów SHA1 w celu weryfikacji połączeń z KMSs innych organizacji.

                                                                                                                                                  • Formatowany jako plik PKCS #12 chroniony hasłem

                                                                                                                                                  • Użyj przyjaznej nazwy kms-private-key , aby oznaczyć certyfikat, klucz prywatny i wszelkie certyfikaty pośrednie do przesłania.

                                                                                                                                                  Możesz użyć konwertera, takiego jak OpenSSL, aby zmienić format certyfikatu.

                                                                                                                                                  Po uruchomieniu narzędzia konfiguracji usługi HDS należy wprowadzić hasło.

                                                                                                                                                  Oprogramowanie KMS nie wymusza użycia klucza ani nie nakłada dodatkowych ograniczeń w jego używaniu. Niektóre organy certyfikatów wymagają, aby do każdego certyfikatu stosowano rozszerzone ograniczenia użycia kluczy, takie jak uwierzytelnianie serwera. Można używać uwierzytelniania serwera lub innych ustawień.

                                                                                                                                                  Wymagania dotyczące wirtualnego prowadzącego

                                                                                                                                                  Wirtualne hosty skonfigurowane jako węzły hybrydowego zabezpieczenia danych w klastrze mają następujące wymagania:

                                                                                                                                                  • Co najmniej dwa osobne hosty (zalecane 3) zestawione w tym samym bezpiecznym centrum danych

                                                                                                                                                  • Oprogramowanie VMware ESXi 6.5 (lub nowsze) zostało zainstalowane i uruchomione.


                                                                                                                                                     

                                                                                                                                                    Jeśli masz wcześniejszą wersję ESXi, musisz ją uaktualnić.

                                                                                                                                                  • Minimum 4 procesory vCPUs, 8-GB pamięci głównej, 30-GB lokalnego miejsca na dysk twardy na serwer

                                                                                                                                                  Wymagania serwera bazy danych


                                                                                                                                                   

                                                                                                                                                  Utwórz nową bazę danych do przechowywania kluczy. Nie używaj domyślnej bazy danych. Aplikacje HDS po zainstalowaniu tworzą schemat bazy danych.

                                                                                                                                                  Istnieją dwie opcje dla serwera bazy danych. Wymagania dla każdego z nich są następujące:

                                                                                                                                                  Tabela 2. Wymagania serwera bazy danych według typu bazy danych

                                                                                                                                                  PostgreSQL

                                                                                                                                                  Microsoft SQL Server

                                                                                                                                                  • PostgreSQL 14, 15 lub 16, zainstalowany i uruchomiony.

                                                                                                                                                  • Zainstalowano program SQL Server 2016, 2017 lub 2019 (Enterprise lub Standard).


                                                                                                                                                     

                                                                                                                                                    SQL Server 2016 wymaga pakietu usług 2 i zbiorczej aktualizacji 2 lub nowszej.

                                                                                                                                                  Minimum 8 procesorów vCPU, 16-GB pamięci głównej, wystarczająca ilość miejsca na dysku twardym i monitorowanie, aby upewnić się, że nie zostanie przekroczona (zalecane 2-TB, jeśli chcesz uruchomić bazę danych przez długi czas bez konieczności zwiększania pamięci)

                                                                                                                                                  Minimum 8 procesorów vCPU, 16-GB pamięci głównej, wystarczająca ilość miejsca na dysku twardym i monitorowanie, aby upewnić się, że nie zostanie przekroczona (zalecane 2-TB, jeśli chcesz uruchomić bazę danych przez długi czas bez konieczności zwiększania pamięci)

                                                                                                                                                  Oprogramowanie HDS instaluje obecnie następujące wersje sterowników do komunikacji z serwerem bazy danych:

                                                                                                                                                  PostgreSQL

                                                                                                                                                  Microsoft SQL Server

                                                                                                                                                  Postgres JDBC kierowca 42.2.5

                                                                                                                                                  SQL Server JDBC sterownik 4.6

                                                                                                                                                  Ta wersja sterownika obsługuje program SQL Server Always On (Always On Failover Cluster Instances oraz Always On availability groups).

                                                                                                                                                  Dodatkowe wymagania dotyczące uwierzytelniania systemu Windows w usłudze Microsoft SQL Server

                                                                                                                                                  Jeśli chcesz, aby węzły HDS używały uwierzytelniania w systemie Windows, aby uzyskać dostęp do bazy danych keystore na serwerze Microsoft SQL Server, potrzebujesz następującej konfiguracji w swoim środowisku:

                                                                                                                                                  • Węzły HDS, infrastruktura Active Directory i MS SQL Server muszą być synchronizowane z NTP.

                                                                                                                                                  • Konto systemu Windows dla węzłów HDS musi mieć dostęp do bazy danych do odczytu/zapisu.

                                                                                                                                                  • Serwery DNS dostarczane do węzłów HDS muszą być w stanie rozwiązać klucz centrum dystrybucji (KDC).

                                                                                                                                                  • Wystąpienie bazy danych HDS można zarejestrować na serwerze Microsoft SQL Server jako główną nazwę usługi (SPN) w usłudze Active Directory. Zobacz Rejestrowanie głównej nazwy usługi dla połączeń Kerberos.

                                                                                                                                                    Narzędzie do konfigurowania HDS, uruchamianie HDS i lokalne KMS muszą używać uwierzytelniania systemu Windows, aby uzyskać dostęp do bazy danych keystore. Używają szczegółów z konfiguracji ISO do budowy SPN podczas żądania dostępu z uwierzytelnianiem Kerberos.

                                                                                                                                                  Wymagania dotyczące połączeń zewnętrznych

                                                                                                                                                  Skonfiguruj zaporę, aby zezwolić na następującą łączność dla aplikacji HDS:

                                                                                                                                                  Aplikacja

                                                                                                                                                  Protokół

                                                                                                                                                  Port

                                                                                                                                                  Polecenie z aplikacji

                                                                                                                                                  Miejsce docelowe

                                                                                                                                                  Węzły hybrydowego zabezpieczenia danych

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  Zewnętrzne HTTPS i WSS

                                                                                                                                                  • Serwery Webex:

                                                                                                                                                    • *.wbx2.com

                                                                                                                                                    • *.ciscospark.com

                                                                                                                                                  • Wszystkie hosty Common Identity

                                                                                                                                                  • Inne adresy URL wymienione dla hybrydowych zabezpieczeń danych w tabeli Dodatkowe adresy URL dla usług hybrydowych Webex zawierającej wymagania sieciowe dla usług Webex

                                                                                                                                                  Narzędzie do konfigurowania HDS

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  Zewnętrzny protokół HTTPS

                                                                                                                                                  • *.wbx2.com

                                                                                                                                                  • Wszystkie hosty Common Identity

                                                                                                                                                  • hub.docker.com


                                                                                                                                                   

                                                                                                                                                  Węzły hybrydowego zabezpieczenia danych współpracują z tłumaczeniem dostępu do sieci (NAT) lub za zaporą, o ile NAT lub zapora zezwala na wymagane połączenia wychodzące z adresami domen w poprzedniej tabeli. W przypadku połączeń przychodzących do węzłów hybrydowego zabezpieczenia danych żadne porty nie powinny być widoczne z Internetu. W centrum danych klienci potrzebują dostępu do węzłów hybrydowych zabezpieczeń danych w portach TCP 443 i 22 do celów administracyjnych.

                                                                                                                                                  Adresy URL hostów Common Identity (CI) są specyficzne dla regionu. Są to bieżące hosty CI:

                                                                                                                                                  Region

                                                                                                                                                  Wspólne adresy URL prowadzącego tożsamości

                                                                                                                                                  Ameryka

                                                                                                                                                  • https://idbroker.webex.com

                                                                                                                                                  • https://identity.webex.com

                                                                                                                                                  • https://idbroker-b-us.webex.com

                                                                                                                                                  • https://identity-b-us.webex.com

                                                                                                                                                  Unia Europejska

                                                                                                                                                  • https://idbroker-eu.webex.com

                                                                                                                                                  • https://identity-eu.webex.com

                                                                                                                                                  Kanada

                                                                                                                                                  • https://idbroker-ca.webex.com

                                                                                                                                                  • https://identity-ca.webex.com

                                                                                                                                                  Wymagania dotyczące serwera proxy

                                                                                                                                                  • Oficjalnie obsługujemy następujące rozwiązania proxy, które można zintegrować z węzłami Hybrid Data Security.

                                                                                                                                                    • Przezroczysty serwer proxy — Cisco Web Security Appliance (WSA).

                                                                                                                                                    • Jawny serwer proxy — Squid.


                                                                                                                                                       

                                                                                                                                                      Pełnomocnicy Squid, którzy sprawdzają ruch HTTPS mogą zakłócać tworzenie połączeń websocket (wss:). Aby rozwiązać ten problem, zobacz Configure Squid Proxies for Hybrid Data Security.

                                                                                                                                                  • Obsługujemy następujące kombinacje typów uwierzytelniania dla jawnych serwerów proxy:

                                                                                                                                                    • Brak uwierzytelniania za pomocą protokołu HTTP lub HTTPS

                                                                                                                                                    • Uwierzytelnianie podstawowe za pomocą protokołu HTTP lub HTTPS

                                                                                                                                                    • Uwierzytelnianie szyfrowane tylko przy użyciu protokołu HTTPS

                                                                                                                                                  • W przypadku przezroczystego serwera proxy inspekcji lub jawnego serwera proxy HTTPS musisz mieć kopię certyfikatu głównego serwera proxy. Instrukcje wdrażania w tym przewodniku informają, jak przekazać kopię do magazynów zaufania węzłów hybrid Data Security.

                                                                                                                                                  • Sieć obsługująca węzły HDS musi być skonfigurowana tak, aby wymuszała kierowanie wychodzącego ruchu TCP na porcie 443 przez serwer proxy.

                                                                                                                                                  • Serwery proxy, które sprawdzają ruch sieci web, mogą zakłócać połączenia gniazd internetowych. Jeśli ten problem wystąpi, ominięcie (nie inspekcja) ruchu do wbx2.com i ciscospark.com rozwiąże problem.

                                                                                                                                                  Wypełnij wymagania wstępne dla hybrydowego zabezpieczenia danych

                                                                                                                                                  Użyj tej listy kontrolnej, aby upewnić się, że jesteś gotowy do zainstalowania i skonfigurowania klastra hybrydowego bezpieczeństwa danych.
                                                                                                                                                  1

                                                                                                                                                  Upewnij się, że Twoja organizacja Webex jest włączona dla pakietu Pro Pack dla Cisco Webex Control Hub i uzyskaj poświadczenia konta z pełnymi prawami administratora organizacji. Aby uzyskać pomoc w tym procesie, skontaktuj się z partnerem firmy Cisco lub menedżerem konta.

                                                                                                                                                  2

                                                                                                                                                  Wybierz nazwę domeny dla wdrożenia HDS (na przykład hds.company.com) i uzyskaj łańcuch certyfikatów zawierający certyfikat X.509, klucz prywatny i wszelkie certyfikaty pośrednie. Łańcuch certyfikatów musi spełniać wymagania określone w X.509 Certificate Requirements.

                                                                                                                                                  3

                                                                                                                                                  Przygotuj identyczne wirtualne hosty, które skonfigurujesz jako węzły hybrydowego zabezpieczenia danych w klastrze. Potrzebne są co najmniej dwa oddzielne hosty (zalecane 3) zestawione w tym samym bezpiecznym centrum danych, które spełniają wymagania w Wymagania wirtualnego hosta.

                                                                                                                                                  4

                                                                                                                                                  Przygotuj serwer bazy danych, który będzie działał jako kluczowy magazyn danych dla klastra, zgodnie z wymaganiami serwera bazy danych. Serwer bazy danych musi być zestawiony w bezpiecznym centrum danych z wirtualnymi hostami.

                                                                                                                                                  1. Utwórz bazę danych do przechowywania kluczy. (Musisz utworzyć tę bazę danych — nie używaj domyślnej bazy danych. Aplikacje HDS, po zainstalowaniu, tworzą schemat bazy danych.)

                                                                                                                                                  2. Zbierz szczegóły używane przez węzły do komunikacji z serwerem bazy danych:

                                                                                                                                                    • nazwę prowadzącego lub adres IP (prowadzącego) i port

                                                                                                                                                    • nazwa bazy danych (dbname) do przechowywania kluczy

                                                                                                                                                    • nazwę użytkownika i hasło użytkownika ze wszystkimi uprawnieniami w bazie danych magazynu kluczy

                                                                                                                                                  5

                                                                                                                                                  W celu szybkiego odzyskiwania danych po awarii należy skonfigurować środowisko tworzenia kopii zapasowych w innym centrum danych. Środowisko tworzenia kopii zapasowych odzwierciedla środowisko produkcyjne maszyn wirtualnych i zapasowego serwera bazy danych. Na przykład, jeśli produkcja ma 3 maszyny wirtualne z węzłami HDS, środowisko tworzenia kopii zapasowych powinno mieć 3 maszyny wirtualne.

                                                                                                                                                  6

                                                                                                                                                  Skonfiguruj hosta dziennika systemowego, aby zbierał dzienniki z węzłów w klastrze. Zbierz adres sieciowy i port dziennika systemowego (domyślnie jest to UDP 514).

                                                                                                                                                  7

                                                                                                                                                  Utwórz bezpieczne zasady tworzenia kopii zapasowych węzłów hybrydowych zabezpieczeń danych, serwera bazy danych i hosta dziennika systemowego. Aby zapobiec niemożliwej do odzyskania utracie danych, należy wykonać kopię zapasową bazy danych i pliku ISO konfiguracji wygenerowanego dla węzłów hybrydowych zabezpieczeń danych.


                                                                                                                                                   

                                                                                                                                                  Ponieważ węzły hybrydowego zabezpieczenia danych przechowują klucze używane do szyfrowania i odszyfrowywania zawartości, brak utrzymania operacyjnego wdrożenia spowoduje NIEZBĘDNĄ STRATĘ tej zawartości.

                                                                                                                                                  Klienci aplikacji Webex przechowują klucze w pamięci podręcznej, więc awaria może nie być natychmiast zauważalna, ale z czasem stanie się widoczna. Chociaż tymczasowe przerwy są niemożliwe do zapobieżenia, są one do odzyskania. Jednak całkowita utrata (brak kopii zapasowych) bazy danych lub pliku konfiguracyjnego ISO spowoduje niemożliwy do odzyskania dane klienta. Oczekuje się, że operatorzy węzłów hybrydowego bezpieczeństwa danych będą utrzymywać częste kopie zapasowe bazy danych i pliku ISO konfiguracji oraz będą przygotowani do odbudowy centrum danych hybrydowego bezpieczeństwa danych w przypadku wystąpienia katastrofalnej awarii.

                                                                                                                                                  8

                                                                                                                                                  Upewnij się, że konfiguracja zapory umożliwia dostęp do łączności w węzłach hybrydowych zabezpieczeń danych, jak opisano w Zewnętrznych wymogach dotyczących łączności.

                                                                                                                                                  9

                                                                                                                                                  Zainstaluj Docker ( https://www.docker.com) na dowolnej lokalnej maszynie z obsługiwanym systemem operacyjnym (Microsoft Windows 10 Professional lub Enterprise 64-bit lub Mac OSX Yosemite 10.10.3 lub nowszym) z przeglądarką internetową, która może uzyskać do niej dostęp pod adresem http://127.0.0.1:8080.

                                                                                                                                                  Za pomocą wystąpienia Docker można pobrać i uruchomić narzędzie konfiguracji HDS, które tworzy lokalne informacje konfiguracyjne dla wszystkich węzłów hybrydowych zabezpieczeń danych. Twoja organizacja może potrzebować licencji Docker Desktop. Aby uzyskać więcej informacji, zobacz Wymagania Dotyczące Pulpitu Dockera.

                                                                                                                                                  Aby zainstalować i uruchomić narzędzie do konfiguracji HDS, lokalna maszyna musi mieć łączność opisaną w Zewnętrznych wymaganiach dotyczących łączności.

                                                                                                                                                  10

                                                                                                                                                  Jeśli integrujesz serwer proxy z hybrydowymi zabezpieczeniami danych, upewnij się, że spełnia on wymagania serwera proxy.

                                                                                                                                                  11

                                                                                                                                                  Jeśli organizacja korzysta z synchronizacji katalogu, utwórz grupę w usłudze Active Directory o nazwie HdsTrialGroup i dodaj użytkowników pilotażowych. Grupa próbna może mieć do 250 użytkowników. Obiekt HdsTrialGroup musi być zsynchronizowany z chmurą przed rozpoczęciem próby w organizacji. Aby zsynchronizować obiekt grupowy, wybierz go w menu Konfiguracja łącznika usług katalogowych > Wybór obiektu . (Szczegółowe instrukcje można znaleźć w przewodniku wdrażania Cisco Directory Connector.).


                                                                                                                                                   

                                                                                                                                                  Klucze dla danego obszaru są ustawiane przez twórcę tego obszaru. Wybierając użytkowników pilotażowych, należy pamiętać, że jeśli zdecydujesz się na trwałą dezaktywację wdrożenia hybrydowego zabezpieczenia danych, wszyscy użytkownicy utracą dostęp do treści w obszarach utworzonych przez użytkowników pilotażowych. Strata staje się widoczna, gdy aplikacje użytkowników odświeżą swoje kopie w pamięci podręcznej treści.

                                                                                                                                                  Konfigurowanie hybrydowego klastra bezpieczeństwa danych

                                                                                                                                                  Hybrid Data Security Deployment Task Flow

                                                                                                                                                  Przed rozpoczęciem

                                                                                                                                                  Przygotuj swoje środowisko

                                                                                                                                                  1

                                                                                                                                                  Download Installation Files

                                                                                                                                                  Download the OVA file to your local machine for later use.

                                                                                                                                                  2

                                                                                                                                                  Create a Configuration ISO for the HDS Hosts

                                                                                                                                                  Use the HDS Setup Tool to create an ISO configuration file for the Hybrid Data Security nodes.

                                                                                                                                                  3

                                                                                                                                                  Install the HDS Host OVA

                                                                                                                                                  Create a virtual machine from the OVA file and perform initial configuration, such as network settings.


                                                                                                                                                   

                                                                                                                                                  The option to configure network settings during OVA deployment has been tested with ESXi 6.5. The option may not be available in earlier versions.

                                                                                                                                                  4

                                                                                                                                                  Set up the Hybrid Data Security VM

                                                                                                                                                  Sign in to the VM console and set the sign-in credentials. Configure the network settings for the node if you didn't configure them at the time of OVA deployment.

                                                                                                                                                  5

                                                                                                                                                  Upload and Mount the HDS Configuration ISO

                                                                                                                                                  Configure the VM from the ISO configuration file that you created with the HDS Setup Tool.

                                                                                                                                                  6

                                                                                                                                                  Konfigurowanie węzła HDS do integracji z serwerem proxy

                                                                                                                                                  If the network environment requires proxy configuration, specify the type of proxy that you will use for the node, and add the proxy certificate to the trust store if needed.

                                                                                                                                                  7

                                                                                                                                                  Register the First Node in the Cluster

                                                                                                                                                  Register the VM with the Cisco Webex cloud as a Hybrid Data Security node.

                                                                                                                                                  8

                                                                                                                                                  Create and Register More Nodes

                                                                                                                                                  Complete the cluster setup.

                                                                                                                                                  9

                                                                                                                                                  Run a Trial and Move to Production (next chapter)

                                                                                                                                                  Until you start a trial, your nodes generate an alarm indicating that your service is not yet activated.

                                                                                                                                                  Download Installation Files

                                                                                                                                                  In this task, you download an OVA file to your machine (not to the servers you set up as Hybrid Data Security nodes). You use this file later in the installation process.
                                                                                                                                                  1

                                                                                                                                                  Sign in to https://admin.webex.com, and then click Services.

                                                                                                                                                  2

                                                                                                                                                  In the Hybrid Services section, find the Hybrid Data Security card, and then click Set up.

                                                                                                                                                  If the card is disabled or you don’t see it, contact your account team or your partner organization. Give them your account number and ask to enable your organization for Hybrid Data Security. To find the account number, click the gear at the top right, next to your organization name.


                                                                                                                                                   

                                                                                                                                                  You can also download the OVA at any time from the Help section on the Settings page. On the Hybrid Data Security card, click Edit settings to open the page. Then, click Download Hybrid Data Security software in the Help section.


                                                                                                                                                   

                                                                                                                                                  Older versions of the software package (OVA) will not be compatible with the latest Hybrid Data Security upgrades. This can result in issues while upgrading the application. Make sure you download the latest version of the OVA file.

                                                                                                                                                  3

                                                                                                                                                  Select No to indicate that you haven’t set up the node yet, and then click Next.

                                                                                                                                                  The OVA file automatically begins to download. Save the file to a location on your machine.
                                                                                                                                                  4

                                                                                                                                                  Optionally, click Open Deployment Guide to check if there’s a later version of this guide available.

                                                                                                                                                  Create a Configuration ISO for the HDS Hosts

                                                                                                                                                  The Hybrid Data Security setup process creates an ISO file. You then use the ISO to configure your Hybrid Data Security host.

                                                                                                                                                  Przed rozpoczęciem

                                                                                                                                                  • Narzędzie HDS Setup działa jako kontener platformy Docker na komputerze lokalnym. Aby uzyskać do niego dostęp, uruchom Docker na tym komputerze. Proces konfiguracji wymaga poświadczeń konta Control Hub z pełnymi uprawnieniami administratora w organizacji.

                                                                                                                                                    If the HDS Setup tool runs behind a proxy in your environment, provide the proxy settings (server, port, credentials) through Docker environment variables when bringing up the Docker container in step 5. Ta tabela zawiera kilka możliwych zmiennych środowiskowych:

                                                                                                                                                    Opis

                                                                                                                                                    Zmienna

                                                                                                                                                    Serwer proxy HTTP bez uwierzytelniania

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    Serwer proxy HTTPS bez uwierzytelniania

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    Serwer proxy HTTP z uwierzytelnianiem

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                    Serwer proxy HTTPS z uwierzytelnianiem

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                  • The configuration ISO file that you generate contains the master key encrypting the PostgreSQL or Microsoft SQL Server database. You need the latest copy of this file anytime you make configuration changes, like these:

                                                                                                                                                    • Database credentials

                                                                                                                                                    • Certificate updates

                                                                                                                                                    • Changes to authorization policy

                                                                                                                                                  • If you plan to encrypt database connections, set up your PostgreSQL or SQL Server deployment for TLS.

                                                                                                                                                  1

                                                                                                                                                  W wierszu poleceń komputera wprowadź polecenie odpowiednie dla swojego środowiska:

                                                                                                                                                  W zwykłych środowiskach:

                                                                                                                                                  docker rmi ciscocitg/hds-setup:stable

                                                                                                                                                  W środowiskach FedRAMP:

                                                                                                                                                  docker rmi ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                   

                                                                                                                                                  Ten krok czyści poprzednie obrazy narzędzia konfiguracji HDS. Jeśli nie ma poprzednich obrazów, zwraca błąd, który można zignorować.

                                                                                                                                                  2

                                                                                                                                                  Aby zalogować się do rejestru obrazów platformy Docker, wprowadź następujące informacje:

                                                                                                                                                  docker login -u hdscustomersro
                                                                                                                                                  3

                                                                                                                                                  Po wyświetleniu monitu o hasło wprowadź ten skrót:

                                                                                                                                                  dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
                                                                                                                                                  4

                                                                                                                                                  Pobierz najnowszy stabilny obraz dla swojego środowiska:

                                                                                                                                                  W zwykłych środowiskach:

                                                                                                                                                  docker pull ciscocitg/hds-setup:stable

                                                                                                                                                  W środowiskach FedRAMP:

                                                                                                                                                  docker pull ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  5

                                                                                                                                                  Po zakończeniu ściągania wprowadź odpowiednie polecenie dla swojego środowiska:

                                                                                                                                                  • W zwykłych środowiskach bez proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
                                                                                                                                                  • W zwykłych środowiskach z proxy HTTP:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • In regular environments with an HTTPS proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • W środowiskach FedRAMP bez proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • W środowiskach FedRAMP z proxy HTTP:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • W środowiskach FedRAMP z proxy HTTPS:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                  Gdy kontener jest uruchomiony, zobaczysz komunikat „Serwer ekspresowy nasłuchuje na porcie 8080”.

                                                                                                                                                  6

                                                                                                                                                   

                                                                                                                                                  The Setup tool does not support connecting to localhost through http://localhost:8080. Use http://127.0.0.1:8080 to connect to localhost.

                                                                                                                                                  Use a web browser to go to the localhost, http://127.0.0.1:8080, and enter customer admin username for Control Hub at the prompt.

                                                                                                                                                  The tool uses this first entry of the username to set the proper environment for that account. The tool then displays the standard sign-in prompt.

                                                                                                                                                  7

                                                                                                                                                  When prompted, enter your Control Hub customer admin sign-in credentials, and then click Log in to allow access to the required services for Hybrid Data Security.

                                                                                                                                                  8

                                                                                                                                                  On the Setup Tool overview page, click Get Started.

                                                                                                                                                  9

                                                                                                                                                  On the ISO Import page, you have these options:

                                                                                                                                                  • No—If you’re creating your first HDS node, you don't have an ISO file to upload.
                                                                                                                                                  • Yes—If you already created HDS nodes, then you select your ISO file in the browse and upload it.
                                                                                                                                                  10

                                                                                                                                                  Check that your X.509 certificate meets the requirements in X.509 Certificate Requirements.

                                                                                                                                                  • If you never uploaded a certificate before, upload the X.509 certificate, enter the password, and click Continue.
                                                                                                                                                  • If your certificate is OK, click Continue.
                                                                                                                                                  • If your certificate has expired or you want to replace it, select No for Continue using HDS certificate chain and private key from previous ISO?. Upload a new X.509 certificate, enter the password, and click Continue.
                                                                                                                                                  11

                                                                                                                                                  Enter the database address and account for HDS to access your key datastore:

                                                                                                                                                  1. Select your Database Type (PostgreSQL or Microsoft SQL Server).

                                                                                                                                                    If you choose Microsoft SQL Server, you get an Authentication Type field.

                                                                                                                                                  2. (Microsoft SQL Server only) Select your Authentication Type:

                                                                                                                                                    • Basic Authentication: You need a local SQL Server account name in the Username field.

                                                                                                                                                    • Windows Authentication: You need a Windows account in the format username@DOMAIN in the Username field.

                                                                                                                                                  3. Enter the database server address in the form <hostname>:<port> or <IP-address>:<port>.

                                                                                                                                                    Przykład:
                                                                                                                                                    dbhost.example.org:1433 or 198.51.100.17:1433

                                                                                                                                                    You can use an IP address for basic authentication, if the nodes can't use DNS to resolve the hostname.

                                                                                                                                                    If you are using Windows authentication, you must enter a Fully Qualified Domain Name in the format dbhost.example.org:1433

                                                                                                                                                  4. Enter the Database Name.

                                                                                                                                                  5. Enter the Username and Password of a user with all privileges on the key storage database.

                                                                                                                                                  12

                                                                                                                                                  Select a TLS Database Connection Mode:

                                                                                                                                                  Tryb

                                                                                                                                                  Opis

                                                                                                                                                  Prefer TLS (default option)

                                                                                                                                                  Węzły HDS nie wymagają protokołu TLS do łączenia się z serwerem bazy danych. If you enable TLS on the database server, the nodes attempt an encrypted connection.

                                                                                                                                                  Wymagaj tlS

                                                                                                                                                  Węzły HDS łączą się tylko wtedy, gdy serwer bazy danych może negocjować protokół TLS.

                                                                                                                                                  Wymagaj protokołu TLS i weryfikuj sygnatariusza certyfikatu


                                                                                                                                                   

                                                                                                                                                  This mode isn’t applicable for SQL Server databases.

                                                                                                                                                  • Węzły HDS łączą się tylko wtedy, gdy serwer bazy danych może negocjować protokół TLS.

                                                                                                                                                  • After establishing a TLS connection, the node compares the signer of the certificate from the database server to the certificate authority in the Database root certificate. Jeśli nie są zgodne, węzeł przerywa połączenie.

                                                                                                                                                  Użyj kontrolki certyfikatu głównego bazy danych poniżej listy rozwijanej, aby przekazać certyfikat główny dla tej opcji.

                                                                                                                                                  Wymagaj protokołu TLS i weryfikuj sygnatariusza certyfikatu oraz nazwę hosta

                                                                                                                                                  • Węzły HDS łączą się tylko wtedy, gdy serwer bazy danych może negocjować protokół TLS.

                                                                                                                                                  • After establishing a TLS connection, the node compares the signer of the certificate from the database server to the certificate authority in the Database root certificate. Jeśli nie są zgodne, węzeł przerywa połączenie.

                                                                                                                                                  • The nodes also verify that the hostname in the server certificate matches the hostname in the Database host and port field. Nazwy muszą być dokładnie zgodne, w przeciwnym razie węzeł przerywa połączenie.

                                                                                                                                                  Użyj kontrolki certyfikatu głównego bazy danych poniżej listy rozwijanej, aby przekazać certyfikat główny dla tej opcji.

                                                                                                                                                  When you upload the root certificate (if necessary) and click Continue, the HDS Setup Tool tests the TLS connection to the database server. Narzędzie weryfikuje również sygnatariusza certyfikatu i nazwę hosta, jeśli ma to zastosowanie. Jeśli test zakończy się niepowodzeniem, narzędzie wyświetli komunikat o błędzie opisujący problem. Możesz wybrać, czy zignorować błąd i kontynuować konfigurację. (Because of connectivity differences, the HDS nodes might be able to establish the TLS connection even if the HDS Setup Tool machine can't successfully test it.)

                                                                                                                                                  13

                                                                                                                                                  On the System Logs page, configure your Syslogd server:

                                                                                                                                                  1. Enter the syslog server URL.

                                                                                                                                                    If the server isn’t DNS-resolvable from the nodes for your HDS cluster, use an IP address in the URL.

                                                                                                                                                    Przykład:
                                                                                                                                                    udp://10.92.43.23:514 indicates logging to Syslogd host 10.92.43.23 on UDP port 514.
                                                                                                                                                  2. If you set up your server to use TLS encryption, check Is your syslog server configured for SSL encryption?.

                                                                                                                                                    If you check this check box, make sure you enter a TCP URL such as tcp://10.92.43.23:514.

                                                                                                                                                  3. From the Choose syslog record termination drop-down, choose the appropriate setting for your ISO file: Choose or Newline is used for Graylog and Rsyslog TCP

                                                                                                                                                    • Null byte -- \x00

                                                                                                                                                    • Newline -- \n—Select this choice for Graylog and Rsyslog TCP.

                                                                                                                                                  4. Kliknij przycisk Kontynuuj.

                                                                                                                                                  14

                                                                                                                                                  (Optional) You can change the default value for some database connection parameters in Advanced Settings. Generally, this parameter is the only one that you might want to change:

                                                                                                                                                  app_datasource_connection_pool_maxRozmiar: 10
                                                                                                                                                  15

                                                                                                                                                  Click Continue on the Reset Service Accounts Password screen.

                                                                                                                                                  Service account passwords have a nine-month lifespan. Use this screen when your passwords are nearing expiry or you want to reset them to invalidate previous ISO files.

                                                                                                                                                  16

                                                                                                                                                  Click Download ISO File. Save the file in a location that's easy to find.

                                                                                                                                                  17

                                                                                                                                                  Make a backup copy of the ISO file on your local system.

                                                                                                                                                  Keep the backup copy secure. This file contains a master encryption key for the database contents. Restrict access to only those Hybrid Data Security administrators who should make configuration changes.

                                                                                                                                                  18

                                                                                                                                                  To shut down the Setup tool, type CTRL+C.

                                                                                                                                                  Co zrobić dalej

                                                                                                                                                  Back up the configuration ISO file. You need it to create more nodes for recovery, or to make configuration changes. If you lose all copies of the ISO file, you've also lost the master key. Recovering the keys from your PostgreSQL or Microsoft SQL Server database isn't possible.


                                                                                                                                                   

                                                                                                                                                  We never have a copy of this key and can't help if you lose it.

                                                                                                                                                  Install the HDS Host OVA

                                                                                                                                                  Use this procedure to create a virtual machine from the OVA file.
                                                                                                                                                  1

                                                                                                                                                  Use the VMware vSphere client on your computer to log into the ESXi virtual host.

                                                                                                                                                  2

                                                                                                                                                  Select File > Deploy OVF Template.

                                                                                                                                                  3

                                                                                                                                                  In the wizard, specify the location of the OVA file that you downloaded earlier, and then click Next.

                                                                                                                                                  4

                                                                                                                                                  On the Select a name and folder page, enter a Virtual machine name for the node (for example, "HDS_Node_1"), choose a location where the virtual machine node deployment can reside, and then click Next.

                                                                                                                                                  5

                                                                                                                                                  On the Select a compute resource page, choose the destination compute resource, and then click Next.

                                                                                                                                                  A validation check runs. After it finishes, the template details appear.

                                                                                                                                                  6

                                                                                                                                                  Verify the template details and then click Next.

                                                                                                                                                  7

                                                                                                                                                  If you are asked to choose the resource configuration on the Configuration page, click 4 CPU and then click Next.

                                                                                                                                                  8

                                                                                                                                                  On the Select storage page, click Next to accept the default disk format and VM storage policy.

                                                                                                                                                  9

                                                                                                                                                  On the Select networks page, choose the network option from the list of entries to provide the desired connectivity to the VM.

                                                                                                                                                  10

                                                                                                                                                  On the Customize template page, configure the following network settings:

                                                                                                                                                  • Hostname—Enter the FQDN (hostname and domain) or a single word hostname for the node.

                                                                                                                                                     
                                                                                                                                                    • You do not need to set the domain to match the domain that you used to obtain the X.509 certificate.

                                                                                                                                                    • To ensure a successful registration to the cloud, use only lowercase characters in the FQDN or hostname that you set for the node. Kapitalizacja nie jest obecnie obsługiwana.

                                                                                                                                                    • The total length of the FQDN must not exceed 64 characters.

                                                                                                                                                  • IP Address— Enter the IP address for the internal interface of the node.

                                                                                                                                                     

                                                                                                                                                    Your node should have an internal IP address and DNS name. DHCP is not supported.

                                                                                                                                                  • Mask—Enter the subnet mask address in dot-decimal notation. For example, 255.255.255.0.
                                                                                                                                                  • Gateway—Enter the gateway IP address. A gateway is a network node that serves as an access point to another network.
                                                                                                                                                  • DNS Servers—Enter a comma-separated list of DNS servers, which handle translating domain names to numeric IP addresses. (Up to 4 DNS entries are allowed.)
                                                                                                                                                  • NTP Servers—Enter your organization's NTP server or another external NTP server that can be used in your organization. The default NTP servers may not work for all enterprises. You can also use a comma-separated list to enter multiple NTP servers.
                                                                                                                                                  • Deploy all the nodes on the same subnet or VLAN, so that all nodes in a cluster are reachable from clients in your network for administrative purposes.

                                                                                                                                                  If preferred, you can skip the network setting configuration and follow the steps in Set up the Hybrid Data Security VM to configure the settings from the node console.


                                                                                                                                                   

                                                                                                                                                  The option to configure network settings during OVA deployment has been tested with ESXi 6.5. The option may not be available in earlier versions.

                                                                                                                                                  11

                                                                                                                                                  Right-click the node VM, and then choose Power > Power On.

                                                                                                                                                  The Hybrid Data Security software is installed as a guest on the VM Host. You are now ready to sign in to the console and configure the node.

                                                                                                                                                  Wskazówki dotyczące rozwiązywania problemów

                                                                                                                                                  You may experience a delay of a few minutes before the node containers come up. A bridge firewall message appears on the console during first boot, during which you can't sign in.

                                                                                                                                                  Set up the Hybrid Data Security VM

                                                                                                                                                  Use this procedure to sign in to the Hybrid Data Security node VM console for the first time and set the sign-in credentials. You can also use the console to configure the network settings for the node if you didn't configure them at the time of OVA deployment.

                                                                                                                                                  1

                                                                                                                                                  In the VMware vSphere client, select your Hybrid Data Security node VM and select the Console tab.

                                                                                                                                                  The VM boots up and a login prompt appears. If the login prompt does not display, press Enter.
                                                                                                                                                  2

                                                                                                                                                  Use the following default login and password to sign in and change the credentials:

                                                                                                                                                  1. Login: administrator

                                                                                                                                                  2. Hasło: cisco

                                                                                                                                                  Since you are signing in to your VM for the first time, you are required to change the administrator password.

                                                                                                                                                  3

                                                                                                                                                  If you already configured the network settings in Install the HDS Host OVA, skip the rest of this procedure. Otherwise, in the main menu, select the Edit Configuration option.

                                                                                                                                                  4

                                                                                                                                                  Set up a static configuration with IP address, Mask, Gateway and DNS information. Your node should have an internal IP address and DNS name. DHCP is not supported.

                                                                                                                                                  5

                                                                                                                                                  (Optional) Change the hostname, domain or NTP server(s), if needed to match your network policy.

                                                                                                                                                  You do not need to set the domain to match the domain that you used to obtain the X.509 certificate.

                                                                                                                                                  6

                                                                                                                                                  Save the network configuration and reboot the VM so that the changes take effect.

                                                                                                                                                  Upload and Mount the HDS Configuration ISO

                                                                                                                                                  Use this procedure to configure the virtual machine from the ISO file that you created with the HDS Setup Tool.

                                                                                                                                                  Przed rozpoczęciem

                                                                                                                                                  Because the ISO file holds the master key, it should only be exposed on a "need to know" basis, for access by the Hybrid Data Security VMs and any administrators who might need to make changes. Make sure that only those administrators can access the datastore.

                                                                                                                                                  1

                                                                                                                                                  Upload the ISO file from your computer:

                                                                                                                                                  1. In the VMware vSphere client's left navigation pane, click on the ESXi server.

                                                                                                                                                  2. On the Configuration tab's Hardware list, click Storage.

                                                                                                                                                  3. In the Datastores list, right-click on the datastore for your VMs and click Browse Datastore.

                                                                                                                                                  4. Click on the Upload Files icon, and then click Upload File.

                                                                                                                                                  5. Browse to the location where you downloaded the ISO file on your computer and click Open.

                                                                                                                                                  6. Click Yes to accept the upload/download operation warning, and close the datastore dialog.

                                                                                                                                                  2

                                                                                                                                                  Mount the ISO file:

                                                                                                                                                  1. W lewym okienku nawigacji klienta VMware vSphere kliknij prawym przyciskiem myszy maszynę wirtualną i kliknij opcję Edytuj ustawienia.

                                                                                                                                                  2. Click OK to accept the restricted edit options warning.

                                                                                                                                                  3. Click CD/DVD Drive 1, select the option to mount from a datastore ISO file, and browse to the location where you uploaded the configuration ISO file.

                                                                                                                                                  4. Check Connected and Connect at power on.

                                                                                                                                                  5. Save your changes and reboot the virtual machine.

                                                                                                                                                  Co zrobić dalej

                                                                                                                                                  If your IT policy requires, you can optionally unmount the ISO file after all your nodes pick up the configuration changes. See (Optional) Unmount ISO After HDS Configuration for details.

                                                                                                                                                  Konfigurowanie węzła HDS do integracji z serwerem proxy

                                                                                                                                                  Jeśli środowisko sieciowe wymaga serwera proxy, użyj tej procedury, aby określić typ serwera proxy, który chcesz zintegrować z hybrid Data Security. Jeśli wybierzesz przezroczysty serwer proxy inspekcji lub jawny serwer proxy HTTPS, możesz użyć interfejsu węzła do przekazania i zainstalowania certyfikatu głównego. Możesz także sprawdzić połączenie proxy z poziomu interfejsu i rozwiązać wszelkie potencjalne problemy.

                                                                                                                                                  Przed rozpoczęciem

                                                                                                                                                  1

                                                                                                                                                  Wprowadź adres URL konfiguracji węzła HDS https://[HDS Node IP or FQDN]/setup w przeglądarce sieci Web, wprowadź poświadczenia administratora skonfigurowane dla węzła, a następnie kliknij przycisk Zaloguj.

                                                                                                                                                  2

                                                                                                                                                  Przejdź do pozycji Sklep zaufania i serwer proxy, a następnie wybierz opcję:

                                                                                                                                                  • No Proxy—The default option before you integrate a proxy. Aktualizacja certyfikatu nie jest wymagana.
                                                                                                                                                  • Transparent Non-Inspecting Proxy—Nodes are not configured to use a specific proxy server address and should not require any changes to work with a non-inspecting proxy. Aktualizacja certyfikatu nie jest wymagana.
                                                                                                                                                  • Transparent Inspecting Proxy—Nodes are not configured to use a specific proxy server address. We wdrożeniu Hybrid Data Security nie są konieczne żadne zmiany konfiguracji protokołu HTTPS, jednak węzły HDS potrzebują certyfikatu głównego, aby ufać serwerowi proxy. Inspekcja serwerów proxy jest zwykle używana przez IT do egzekwowania zasad, na których można odwiedzać witryny internetowe, a które nie są dozwolone. Ten typ serwera proxy odszyfrowuje cały ruch (nawet HTTPS).
                                                                                                                                                  • Explicit Proxy—With explicit proxy, you tell the client (HDS nodes) which proxy server to use, and this option supports several authentication types. Po wybraniu tej opcji należy wprowadzić następujące informacje:
                                                                                                                                                    1. Proxy IP/FQDN—Address that can be used to reach the proxy machine.

                                                                                                                                                    2. Proxy Port—A port number that the proxy uses to listen for proxied traffic.

                                                                                                                                                    3. Proxy Protocol—Choose http (views and controls all requests that are received from the client) or https (provides a channel to the server and the client receives and validates the server's certificate). Wybierz opcję na podstawie tego, co obsługuje Twój serwer proxy.

                                                                                                                                                    4. Authentication Type—Choose from among the following authentication types:

                                                                                                                                                      • None—No further authentication is required.

                                                                                                                                                        Dostępne dla serwerów proxy HTTP lub HTTPS.

                                                                                                                                                      • Basic—Used for an HTTP User Agent to provide a user name and password when making a request. Używa kodowania Base64.

                                                                                                                                                        Dostępne dla serwerów proxy HTTP lub HTTPS.

                                                                                                                                                        W przypadku wybrania tej opcji należy również wprowadzić nazwę użytkownika i hasło.

                                                                                                                                                      • Digest—Used to confirm the account before sending sensitive information. Stosuje funkcję skrótu do nazwy użytkownika i hasła przed wysłaniem przez sieć.

                                                                                                                                                        Dostępne tylko dla serwerów proxy HTTPS.

                                                                                                                                                        W przypadku wybrania tej opcji należy również wprowadzić nazwę użytkownika i hasło.

                                                                                                                                                  Wykonaj kolejne kroki, aby uzyskać przezroczysty serwer proxy inspekcji, jawny serwer proxy HTTP z uwierzytelnianiem podstawowym lub jawny serwer proxy HTTPS.

                                                                                                                                                  3

                                                                                                                                                  Kliknij przycisk Przekaż certyfikat główny lub Certyfikat jednostkikońcowej , a następnie przejdź do wybierz certyfikat główny dla serwera proxy.

                                                                                                                                                  Certyfikat został przekazany, ale nie został jeszcze zainstalowany, ponieważ należy ponownie uruchomić węzeł, aby zainstalować certyfikat. Kliknij strzałkę cudzysłów ostrokątnych przy nazwie wystawcy certyfikatu, aby uzyskać więcej szczegółów, lub kliknij przycisk Usuń, jeśli popełnisz błąd i chcesz ponownie przesłać plik.

                                                                                                                                                  4

                                                                                                                                                  Kliknij przycisk Sprawdź połączenie z serwerem proxy, aby przetestować łączność sieciową między węzłem a serwerem proxy.

                                                                                                                                                  Jeśli test połączenia zakończy się niepowodzeniem, zostanie wyświetlony komunikat o błędzie z przyczyną i sposobem rozwiązania problemu.

                                                                                                                                                  Jeśli zostanie wyświetlony komunikat informujący, że zewnętrzne rozpoznawanie nazw DNS nie powiodło się, oznacza to, że węzeł nie może połączyć się z serwerem DNS. Ten warunek jest oczekiwany w wielu jawnych konfiguracjach proxy. You can continue with the setup, and the node will function in Blocked External DNS Resolution mode. If you think this is an error, complete these steps, and then see Turn off Blocked External DNS Resolution Mode.

                                                                                                                                                  5

                                                                                                                                                  Po przejściu testu połączenia, dla jawnego serwera proxy ustawionego tylko na https, włącz przełącznik na Kieruj wszystkie żądania https portu 443/444 z tego węzła za pośrednictwem jawnego serwera proxy. To ustawienie wymaga 15 sekund, aby zostało wprowadzone.

                                                                                                                                                  6

                                                                                                                                                  Kliknij opcję Zainstaluj wszystkie certyfikaty w magazynie zaufania (pojawia się w przypadku jawnego serwera proxy HTTPS lub przezroczystego serwera proxy inspekcji) lub Uruchom ponownie (pojawia się w przypadku jawnego serwera proxy HTTP), przeczytaj monit, a następnie kliknij przycisk Zainstaluj, jeśli wszystko jest gotowe.

                                                                                                                                                  Węzeł uruchomi się ponownie w ciągu kilku minut.

                                                                                                                                                  7

                                                                                                                                                  Po ponownym uruchomieniu węzła zaloguj się ponownie, jeśli to konieczne, a następnie otwórz stronę Przegląd, aby sprawdzić kontrole łączności, aby upewnić się, że wszystkie są w stanie zielonym.

                                                                                                                                                  Sprawdzanie połączenia proxy testuje tylko subdomenę webex.com. Jeśli występują problemy z łącznością, typowym problemem jest to, że niektóre domeny chmury wymienione w instrukcjach instalacji są blokowane na serwerze proxy.

                                                                                                                                                  Register the First Node in the Cluster

                                                                                                                                                  This task takes the generic node that you created in the Set up the Hybrid Data Security VM, registers the node with the Webex cloud, and turns it into a Hybrid Data Security node.

                                                                                                                                                  When you register your first node, you create a cluster to which the node is assigned. A cluster contains one or more nodes deployed to provide redundancy.

                                                                                                                                                  Przed rozpoczęciem

                                                                                                                                                  • Once you begin registration of a node, you must complete it within 60 minutes or you have to start over.

                                                                                                                                                  • Ensure that any pop-up blockers in your browser are disabled or that you allow an exception for admin.webex.com.

                                                                                                                                                  1

                                                                                                                                                  Zaloguj się w https://admin.webex.com.

                                                                                                                                                  2

                                                                                                                                                  From the menu on the left side of the screen, select Services.

                                                                                                                                                  3

                                                                                                                                                  In the Hybrid Services section, find Hybrid Data Security and click Set up.

                                                                                                                                                  The Register Hybrid Data Security Node page appears.
                                                                                                                                                  4

                                                                                                                                                  Select Yes to indicate that you have set up the node and are ready to register it, and then click Next.

                                                                                                                                                  5

                                                                                                                                                  In the first field, enter a name for the cluster to which you want to assign your Hybrid Data Security node.

                                                                                                                                                  We recommend that you name a cluster based on where the nodes of the cluster are located geographically. Examples: "San Francisco" or "New York" or "Dallas"

                                                                                                                                                  6

                                                                                                                                                  In the second field, enter the internal IP address or fully qualified domain name (FQDN) of your node and click Next.

                                                                                                                                                  This IP address or FQDN should match the IP address or hostname and domain that you used in Set up the Hybrid Data Security VM.

                                                                                                                                                  A message appears indicating you can register your node to the Webex.
                                                                                                                                                  7

                                                                                                                                                  Click Go to Node.

                                                                                                                                                  8

                                                                                                                                                  Click Continue in the warning message.

                                                                                                                                                  After a few moments, you are redirected to the node connectivity tests for Webex services. If all tests are successful, the Allow Access to Hybrid Data Security Node page appears. There, you confirm that you want to give permissions to your Webex organization to access your node.
                                                                                                                                                  9

                                                                                                                                                  Check the Allow Access to Your Hybrid Data Security Node checkbox, and then click Continue.

                                                                                                                                                  Your account is validated and the "Registration Complete" message indicates that your node is now registered to the Webex cloud.
                                                                                                                                                  10

                                                                                                                                                  Click the link or close the tab to go back to the Control Hub Hybrid Data Security page.

                                                                                                                                                  On the Hybrid Data Security page, the new cluster containing the node that you registered is displayed. The node will automatically download the latest software from the cloud.

                                                                                                                                                  Create and Register More Nodes

                                                                                                                                                  To add additional nodes to your cluster, you simply create additional VMs and mount the same configuration ISO file, then register the node. We recommend that you have at least 3 nodes.

                                                                                                                                                   

                                                                                                                                                  At this time, the backup VMs that you created in Complete the Prerequisites for Hybrid Data Security are standby hosts which are only used in the event of disaster recovery; they are not registered with the system until then. For details, see Disaster Recovery using Standby Data Center.

                                                                                                                                                  Przed rozpoczęciem

                                                                                                                                                  • Once you begin registration of a node, you must complete it within 60 minutes or you have to start over.

                                                                                                                                                  • Ensure that any pop-up blockers in your browser are disabled or that you allow an exception for admin.webex.com.

                                                                                                                                                  1

                                                                                                                                                  Create a new virtual machine from the OVA, repeating the steps in Install the HDS Host OVA.

                                                                                                                                                  2

                                                                                                                                                  Set up the initial configuration on the new VM, repeating the steps in Set up the Hybrid Data Security VM.

                                                                                                                                                  3

                                                                                                                                                  On the new VM, repeat the steps in Upload and Mount the HDS Configuration ISO.

                                                                                                                                                  4

                                                                                                                                                  If you are setting up a proxy for your deployment, repeat the steps in Configure the HDS Node for Proxy Integration as needed for the new node.

                                                                                                                                                  5

                                                                                                                                                  Register the node.

                                                                                                                                                  1. In https://admin.webex.com, select Services from the menu on the left side of the screen.

                                                                                                                                                  2. In the Hybrid Services section, find the Hybrid Data Security card and click Resources.

                                                                                                                                                    The Hybrid Data Security Resources page appears.
                                                                                                                                                  3. Click Add Resource.

                                                                                                                                                  4. In the first field, select the name of your existing cluster.

                                                                                                                                                  5. In the second field, enter the internal IP address or fully qualified domain name (FQDN) of your node and click Next.

                                                                                                                                                    A message appears indicating you can register your node to the Webex cloud.
                                                                                                                                                  6. Click Go to Node.

                                                                                                                                                    After a few moments, you are redirected to the node connectivity tests for Webex services. If all tests are successful, the Allow Access to Hybrid Data Security Node page appears. There, you confirm that you want to give permissions to your organization to access your node.
                                                                                                                                                  7. Check the Allow Access to Your Hybrid Data Security Node checkbox, and then click Continue.

                                                                                                                                                    Your account is validated and the "Registration Complete" message indicates that your node is now registered to the Webex cloud.
                                                                                                                                                  8. Click the link or close the tab to go back to the Control Hub Hybrid Data Security page.

                                                                                                                                                  Your node is registered. Note that until you start a trial, your nodes generate an alarm indicating that your service is not yet activated.

                                                                                                                                                  Co zrobić dalej

                                                                                                                                                  Run a Trial and Move to Production (next chapter)
                                                                                                                                                  Uruchom wersję próbną i przejdź do produkcji

                                                                                                                                                  Przepływ próby do zadania produkcyjnego

                                                                                                                                                  Po skonfigurowaniu hybrydowego klastra bezpieczeństwa danych można uruchomić program pilotażowy, dodać do niego użytkowników i rozpocząć korzystanie z niego do testowania i sprawdzania wdrożenia w ramach przygotowań do przejścia do produkcji.

                                                                                                                                                  1

                                                                                                                                                  Jeśli dotyczy, zsynchronizuj obiekt grupowy HdsTrialGroup .

                                                                                                                                                  Jeśli Twoja organizacja używa synchronizacji katalogu dla użytkowników, przed rozpoczęciem próby należy wybrać obiekt grupowy HdsTrialGroup do synchronizacji z chmurą. Instrukcje można znaleźć w przewodniku wdrażania Cisco Directory Connector.

                                                                                                                                                  2

                                                                                                                                                  Aktywuj wersję próbną

                                                                                                                                                  Rozpocznij proces. Do czasu wykonania tego zadania węzły wygenerują alarm wskazujący, że usługa nie została jeszcze aktywowana.

                                                                                                                                                  3

                                                                                                                                                  Przetestuj wdrożenie hybrydowego zabezpieczenia danych

                                                                                                                                                  Sprawdź, czy kluczowe żądania są przekazywane do wdrożenia hybrydowego zabezpieczenia danych.

                                                                                                                                                  4

                                                                                                                                                  Monitorowanie stanu hybrydowego bezpieczeństwa danych

                                                                                                                                                  Sprawdź stan i skonfiguruj powiadomienia e-mail dla alarmów.

                                                                                                                                                  5

                                                                                                                                                  Dodawanie lub usuwanie użytkowników z wersji próbnej

                                                                                                                                                  6

                                                                                                                                                  Zakończ fazę próbną, wykonując jedną z następujących czynności:

                                                                                                                                                  Aktywuj wersję próbną

                                                                                                                                                  Przed rozpoczęciem

                                                                                                                                                  Jeśli Twoja organizacja używa synchronizacji katalogów dla użytkowników, przed rozpoczęciem próby w organizacji należy wybrać obiekt grupowy HdsTrialGroup do synchronizacji z chmurą. Instrukcje można znaleźć w przewodniku wdrażania Cisco Directory Connector.

                                                                                                                                                  1

                                                                                                                                                  Zaloguj się do https://admin.webex.com, a następnie wybierz Usługi.

                                                                                                                                                  2

                                                                                                                                                  W obszarze Bezpieczeństwo danych hybrydowych kliknij Ustawienia.

                                                                                                                                                  3

                                                                                                                                                  W sekcji Stan usługi kliknij przycisk Rozpocznij wersję próbną.

                                                                                                                                                  Stan usługi zmienia się w tryb próbny.
                                                                                                                                                  4

                                                                                                                                                  Kliknij opcję Dodaj użytkowników i wprowadź adres e-mail jednego lub większej liczby użytkowników do pilotowania za pomocą węzłów hybrydowych zabezpieczeń danych w celu szyfrowania i indeksowania usług.

                                                                                                                                                  (Jeśli Twoja organizacja używa synchronizacji katalogu, użyj usługi Active Directory do zarządzania grupą próbną, HdsTrialGroup).

                                                                                                                                                  Przetestuj wdrożenie hybrydowego zabezpieczenia danych

                                                                                                                                                  Użyj tej procedury, aby przetestować scenariusze szyfrowania hybrydowych zabezpieczeń danych.

                                                                                                                                                  Przed rozpoczęciem

                                                                                                                                                  • Skonfiguruj wdrożenie hybrydowego zabezpieczenia danych.

                                                                                                                                                  • Aktywuj wersję próbną i dodaj kilku użytkowników wersji próbnej.

                                                                                                                                                  • Upewnij się, że masz dostęp do dziennika systemowego, aby sprawdzić, czy kluczowe żądania są przekazywane do wdrożenia hybrydowego zabezpieczenia danych.

                                                                                                                                                  1

                                                                                                                                                  Klucze dla danego obszaru są ustawiane przez twórcę tego obszaru. Zaloguj się do aplikacji Webex jako jeden z użytkowników pilotażowych, a następnie utwórz obszar i zaproś co najmniej jednego użytkownika pilotażowego i jednego użytkownika niepilotażowego.


                                                                                                                                                   

                                                                                                                                                  Jeśli dezaktywujesz wdrożenie hybrydowego zabezpieczenia danych, zawartość w obszarach tworzonych przez użytkowników pilotażowych nie jest już dostępna po wymianie kopii kluczy szyfrowania w pamięci podręcznej klienta.

                                                                                                                                                  2

                                                                                                                                                  Wysyłaj wiadomości do nowego obszaru.

                                                                                                                                                  3

                                                                                                                                                  Sprawdź wyjście dziennika systemowego, aby sprawdzić, czy kluczowe żądania przechodzą do wdrożenia hybrydowego zabezpieczenia danych.

                                                                                                                                                  1. Aby sprawdzić, czy użytkownik najpierw ustanawia bezpieczny kanał do KMS, filtruj na kms.data.method=create and kms.data.type=EPHEMERAL_KEY_COLLECTION:

                                                                                                                                                    Należy znaleźć wpis taki jak następujący (identyfikatory skrócone dla czytelności):
                                                                                                                                                    2020-07-21 17:35:34.562 (+0000) INFO KMS [pool-14-thread-1] - [KMS:REQUEST] otrzymane, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=utwórz, kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KLUCZ_ZBIERANIE, kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2
                                                                                                                                                  2. Aby sprawdzić, czy użytkownik żąda istniejącego klucza z KMS, filtruj na kms.data.method=retrieve i kms.data.type=KEY:

                                                                                                                                                    Należy znaleźć wpis taki jak:
                                                                                                                                                    2020-07-21 17:44:19.889 (+0000) INFO KMS [pool-14-thread-31] - [KMS:REQUEST] otrzymane, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b
                                                                                                                                                  3. Aby sprawdzić, czy użytkownik prosi o utworzenie nowego klucza KMS, filtruj na kms.data.method=create i kms.data.type=KEY_COLLECTION:

                                                                                                                                                    Należy znaleźć wpis taki jak:
                                                                                                                                                    2020-07-21 17:44:21.975 (+0000) INFO KMS [pool-14-thread-33] - [KMS:REQUEST] otrzymane, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KOLEKCJA_KLUCZOWA, kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b
                                                                                                                                                  4. Aby sprawdzić, czy użytkownik wnioskujący o utworzenie nowego obiektu zasobów KMS (KRO) podczas tworzenia obszaru lub innego chronionego zasobu jest filtrowany na kms.data.method=create and kms.data.type=RESOURCE_COLLECTION:

                                                                                                                                                    Należy znaleźć wpis taki jak:
                                                                                                                                                    2020-07-21 17:44:22.808 (+0000) INFO KMS [pool-15-thread-1] - [KMS:REQUEST] otrzymane, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

                                                                                                                                                  Monitorowanie stanu hybrydowego bezpieczeństwa danych

                                                                                                                                                  Wskaźnik stanu w Control Hub pokazuje, czy wszystko jest dobrze we wdrożeniu hybrydowego zabezpieczenia danych. Aby uzyskać bardziej proaktywne alerty, zapisz się do powiadomień e-mail. Otrzymasz powiadomienie o alarmach lub aktualizacjach oprogramowania mających wpływ na usługę.
                                                                                                                                                  1

                                                                                                                                                  W Control Hub wybierz Usługi z menu po lewej stronie ekranu.

                                                                                                                                                  2

                                                                                                                                                  W sekcji Usługi hybrydowe znajdź hybrydowe zabezpieczenia danych i kliknij Ustawienia.

                                                                                                                                                  Zostanie wyświetlona strona Ustawienia zabezpieczeń danych hybrydowych.
                                                                                                                                                  3

                                                                                                                                                  W sekcji Powiadomienia e-mail wpisz co najmniej jeden adres e-mail oddzielony przecinkami i naciśnij przycisk Enter.

                                                                                                                                                  Dodawanie lub usuwanie użytkowników z wersji próbnej

                                                                                                                                                  Po aktywacji wersji próbnej i dodaniu początkowego zestawu użytkowników wersji próbnej można dodać lub usunąć członków wersji próbnej w dowolnym momencie, gdy wersja próbna jest aktywna.

                                                                                                                                                  Jeśli usuniesz użytkownika z wersji próbnej, klient poprosi go o utworzenie kluczy i kluczy z chmury KMS zamiast Twojego KMS. Jeśli klient potrzebuje klucza przechowywanego w KMS, Cloud KMS pobierze go w imieniu użytkownika.

                                                                                                                                                  Jeśli Twoja organizacja używa synchronizacji katalogu, użyj Active Directory (zamiast tej procedury) do zarządzania grupą próbną, HdsTrialGroup; możesz wyświetlać członków grupy w Control Hub, ale nie możesz ich dodawać ani usuwać.

                                                                                                                                                  1

                                                                                                                                                  Zaloguj się do Control Hub, a następnie wybierz Usługi.

                                                                                                                                                  2

                                                                                                                                                  W obszarze Bezpieczeństwo danych hybrydowych kliknij Ustawienia.

                                                                                                                                                  3

                                                                                                                                                  W sekcji Tryby wersji próbnej w obszarze Stan usługi kliknij przycisk Dodaj użytkowników lub kliknij widok i edytuj , aby usunąć użytkowników z wersji próbnej.

                                                                                                                                                  4

                                                                                                                                                  Wprowadź adres e-mail jednego lub większej liczby użytkowników do dodania lub kliknij przycisk X identyfikatorem użytkownika, aby usunąć użytkownika z wersji próbnej. Następnie kliknij przycisk Zapisz.

                                                                                                                                                  Przeniesienie z wersji próbnej do produkcji

                                                                                                                                                  Gdy jesteś zadowolony, że wdrożenie działa dobrze dla użytkowników próbnych, możesz przejść do produkcji. Po przeniesieniu do produkcji wszyscy użytkownicy w organizacji będą korzystać z lokalnej domeny hybrydowego zabezpieczenia danych w celu szyfrowania kluczy i innych usług w dziedzinie zabezpieczeń. Nie można wrócić do trybu próbnego z produkcji, chyba że dezaktywujesz usługę w ramach odzyskiwania awaryjnego. Reaktywacja usługi wymaga skonfigurowania nowej wersji próbnej.
                                                                                                                                                  1

                                                                                                                                                  Zaloguj się do Control Hub, a następnie wybierz Usługi.

                                                                                                                                                  2

                                                                                                                                                  W obszarze Bezpieczeństwo danych hybrydowych kliknij Ustawienia.

                                                                                                                                                  3

                                                                                                                                                  W sekcji Stan usługi kliknij opcję Przenieś do produkcji.

                                                                                                                                                  4

                                                                                                                                                  Potwierdź, że chcesz przenieść wszystkich użytkowników do produkcji.

                                                                                                                                                  Zakończ wersję próbną bez przejścia do produkcji

                                                                                                                                                  Jeśli podczas okresu próbnego zdecydujesz się nie kontynuować wdrażania hybrydowego zabezpieczenia danych, możesz dezaktywować hybrydowe zabezpieczenia danych, które kończą okres próbny i przenoszą użytkowników wersji próbnej z powrotem do usług zabezpieczeń danych w chmurze. Użytkownicy próbni stracą dostęp do danych zaszyfrowanych podczas badania.
                                                                                                                                                  1

                                                                                                                                                  Zaloguj się do Control Hub, a następnie wybierz Usługi.

                                                                                                                                                  2

                                                                                                                                                  W obszarze Bezpieczeństwo danych hybrydowych kliknij Ustawienia.

                                                                                                                                                  3

                                                                                                                                                  W sekcji Dezaktywuj kliknij przycisk Dezaktywuj.

                                                                                                                                                  4

                                                                                                                                                  Potwierdź, że chcesz dezaktywować usługę i zakończyć okres próbny.

                                                                                                                                                  Zarządzanie wdrożeniem HDS

                                                                                                                                                  Zarządzanie wdrożeniem HDS

                                                                                                                                                  Użyj opisanych tutaj zadań do zarządzania wdrożeniem hybrydowego zabezpieczenia danych.

                                                                                                                                                  Ustaw harmonogram uaktualniania klastra

                                                                                                                                                  Aktualizacje oprogramowania Hybrid Data Security są wykonywane automatycznie na poziomie klastra, co zapewnia, że wszystkie węzły zawsze korzystają z tej samej wersji oprogramowania. Uaktualnienia są wykonywane zgodnie z harmonogramem uaktualniania klastra. Po udostępnieniu uaktualnienia oprogramowania można ręcznie uaktualnić klaster przed zaplanowaną godziną uaktualnienia. Można ustawić określony harmonogram uaktualniania lub użyć domyślnego harmonogramu 3:00 rano Daily Stany Zjednoczone: Ameryka/Los Angeles. W razie potrzeby można również odłożyć nadchodzące uaktualnienie.

                                                                                                                                                  Aby ustawić harmonogram uaktualniania:

                                                                                                                                                  1

                                                                                                                                                  Zaloguj się do Centrum sterowania.

                                                                                                                                                  2

                                                                                                                                                  Na stronie Przegląd w obszarze Usługi hybrydowe wybierz opcję Hybrid Data Security.

                                                                                                                                                  3

                                                                                                                                                  Na stronie Zasoby zabezpieczeń danych hybrydowych wybierz klaster.

                                                                                                                                                  4

                                                                                                                                                  W panelu Przegląd po prawej stronie w obszarze Ustawienia klastra wybierz nazwę klastra.

                                                                                                                                                  5

                                                                                                                                                  Na stronie Ustawienia w obszarze Uaktualnianie wybierz godzinę i strefę czasową harmonogramu uaktualniania.

                                                                                                                                                  Uwaga: W strefie czasowej wyświetlana jest następna dostępna data i godzina aktualizacji. W razie potrzeby można odroczyć uaktualnienie do następnego dnia, klikając opcję Odłóż.

                                                                                                                                                  Zmień konfigurację węzła

                                                                                                                                                  Czasami może być konieczna zmiana konfiguracji węzła Hybrid Data Security z takiego powodu, jak:
                                                                                                                                                  • Zmiana certyfikatów x.509 z powodu wygaśnięcia lub z innych powodów.


                                                                                                                                                     

                                                                                                                                                    Nie obsługujemy zmiany nazwy domeny CN certyfikatu. Domena musi być zgodna z oryginalną domeną użytą do rejestracji klastra.

                                                                                                                                                  • Aktualizacja ustawień bazy danych w celu zmiany na replikę bazy danych PostgreSQL lub Microsoft SQL Server.


                                                                                                                                                     

                                                                                                                                                    Nie obsługujemy migracji danych z PostgreSQL do Microsoft SQL Server lub odwrotnie. Aby przełączyć środowisko bazy danych, rozpocznij nowe wdrożenie Hybrid Data Security.

                                                                                                                                                  • Tworzenie nowej konfiguracji w celu przygotowania nowego centrum danych.

                                                                                                                                                  Ponadto ze względów bezpieczeństwa usługa Hybrid Data Security używa haseł do kont usług, które mają dziewięciomiesięczny okres użytkowania. Gdy narzędzie HdS Setup wygeneruje te hasła, należy je wdrożyć w każdym z węzłów HDS w pliku konfiguracyjnym ISO. Gdy hasła Twojej organizacji zbliżają się do wygaśnięcia, otrzymasz powiadomienie od zespołu Webex o zresetowaniu hasła do konta komputera. (Wiadomość e-mail zawiera tekst „Użyj interfejsu API konta komputera, aby zaktualizować hasło”). Jeśli Twoje hasła jeszcze nie wygasły, narzędzie oferuje dwie opcje:

                                                                                                                                                  • Delikatne resetowanie — stare i nowe hasła działają przez maksymalnie 10 dni. Wykorzystaj ten okres, aby stopniowo zastępować plik ISO w węzłach.

                                                                                                                                                  • Twarde resetowanie — stare hasła natychmiast przestają działać.

                                                                                                                                                  Jeśli hasła wygasną bez resetowania, ma to wpływ na usługę HDS, wymagając natychmiastowego twardego resetu i wymiany pliku ISO na wszystkich węzłach.

                                                                                                                                                  Użyj tej procedury, aby wygenerować nowy konfiguracyjny plik ISO i zastosować go do klastra.

                                                                                                                                                  Przed rozpoczęciem

                                                                                                                                                  • Narzędzie HDS Setup działa jako kontener platformy Docker na komputerze lokalnym. Aby uzyskać do niego dostęp, uruchom Docker na tym komputerze. Proces konfiguracji wymaga poświadczeń konta Control Hub z pełnymi uprawnieniami administratora w organizacji.

                                                                                                                                                    Jeśli narzędzie HDS Setup działa za serwerem proxy w Twoim środowisku, podaj ustawienia serwera proxy (serwer, port, poświadczenia) za pomocą zmiennych środowiska Docker podczas przywoływania kontenera Docker w 1.e. Ta tabela zawiera kilka możliwych zmiennych środowiskowych:

                                                                                                                                                    Opis

                                                                                                                                                    Zmienna

                                                                                                                                                    Serwer proxy HTTP bez uwierzytelniania

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    Serwer proxy HTTPS bez uwierzytelniania

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    Serwer proxy HTTP z uwierzytelnianiem

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                    Serwer proxy HTTPS z uwierzytelnianiem

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://NAZWA UŻYTKOWNIKA:HASŁO@SERVER_IP:PORT

                                                                                                                                                  • Do wygenerowania nowej konfiguracji potrzebna jest kopia bieżącego konfiguracyjnego pliku ISO. ISO zawiera klucz główny szyfrujący bazę danych PostgreSQL lub Microsoft SQL Server. Plik ISO jest potrzebny podczas wprowadzania zmian w konfiguracji, w tym poświadczeń bazy danych, aktualizacji certyfikatów lub zmian zasad autoryzacji.

                                                                                                                                                  1

                                                                                                                                                  Korzystając z platformy Docker na komputerze lokalnym, uruchom narzędzie HDS Setup Tool.

                                                                                                                                                  1. W wierszu poleceń komputera wprowadź polecenie odpowiednie dla swojego środowiska:

                                                                                                                                                    W zwykłych środowiskach:

                                                                                                                                                    docker rmi ciscocitg/hds konfiguracja: stabilny

                                                                                                                                                    W środowiskach FedRAMP:

                                                                                                                                                    docker rmi ciscocitg/hds-setup-fedramp: stabilny

                                                                                                                                                     

                                                                                                                                                    Ten krok czyści poprzednie obrazy narzędzia konfiguracji HDS. Jeśli nie ma poprzednich obrazów, zwraca błąd, który można zignorować.

                                                                                                                                                  2. Aby zalogować się do rejestru obrazów platformy Docker, wprowadź następujące informacje:

                                                                                                                                                    logowanie do dokera -u hdscustomersro
                                                                                                                                                  3. Po wyświetleniu monitu o hasło wprowadź ten skrót:

                                                                                                                                                    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIO
                                                                                                                                                  4. Pobierz najnowszy stabilny obraz dla swojego środowiska:

                                                                                                                                                    W zwykłych środowiskach:

                                                                                                                                                    docker pull ciscocitg/hds konfiguracja: stabilny

                                                                                                                                                    W środowiskach FedRAMP:

                                                                                                                                                    docker pull ciscocitg/hds-setup-fedramp: stabilny

                                                                                                                                                     

                                                                                                                                                    Upewnij się, że pobierasz najnowsze narzędzie instalacyjne dla tej procedury. Wersje narzędzia utworzone przed 22 lutego 2018 r. nie mają ekranów resetowania hasła.

                                                                                                                                                  5. Po zakończeniu ściągania wprowadź odpowiednie polecenie dla swojego środowiska:

                                                                                                                                                    • W zwykłych środowiskach bez proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -to ciscocitg/hds konfiguracja:stabilny
                                                                                                                                                    • W zwykłych środowiskach z proxy HTTP:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds setup:stable
                                                                                                                                                    • W zwykłych środowiskach z HTTPSproxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds setup:stable
                                                                                                                                                    • W środowiskach FedRAMP bez proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -to ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                    • W środowiskach FedRAMP z proxy HTTP:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                    • W środowiskach FedRAMP z proxy HTTPS:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                    Gdy kontener jest uruchomiony, widzisz "Serwer ekspresowy nasłuchujący na porcie 8080".

                                                                                                                                                  6. Użyj przeglądarki, aby połączyć się z hostem lokalnym, http://127.0.0.1:8080.


                                                                                                                                                     

                                                                                                                                                    Narzędzie Konfiguracja nie obsługuje łączenia się z localhost przez http://localhost:8080. Użyj http://127.0.0.1:8080 do nawiązania połączenia z hostem lokalizacji.

                                                                                                                                                  7. Po wyświetleniu monitu wprowadź poświadczenia logowania klienta Control Hub, a następnie kliknij przycisk Akceptuj , aby kontynuować.

                                                                                                                                                  8. Zaimportuj bieżący konfiguracyjny plik ISO.

                                                                                                                                                  9. Postępuj zgodnie z instrukcjami, aby ukończyć narzędzie i pobrać zaktualizowany plik.

                                                                                                                                                    Aby wyłączyć narzędzie konfiguracji, wpisz CTRL+C.

                                                                                                                                                  10. Utwórz kopię zapasową zaktualizowanego pliku w innym centrum danych.

                                                                                                                                                  2

                                                                                                                                                  Jeśli jest uruchomiony tylko jeden węzeł HDS, utwórz nowy węzeł hybrydowego zabezpieczenia danych VM i zarejestruj go przy użyciu nowego pliku ISO konfiguracji. Aby uzyskać bardziej szczegółowe instrukcje, zobacz temat Tworzenie i rejestrowanie większej liczby węzłów.

                                                                                                                                                  1. Zainstaluj OVA hosta HDS.

                                                                                                                                                  2. Skonfiguruj maszynę wirtualną HDS.

                                                                                                                                                  3. Zamontuj zaktualizowany plik konfiguracyjny.

                                                                                                                                                  4. Zarejestruj nowy węzeł w centrum sterowania.

                                                                                                                                                  3

                                                                                                                                                  W przypadku istniejących węzłów HDS, na których działa starszy plik konfiguracyjny, podłącz plik ISO. Wykonaj następującą procedurę na każdym węźle po kolei, aktualizując każdy węzeł przed wyłączeniem następnego węzła:

                                                                                                                                                  1. Wyłącz maszynę wirtualną.

                                                                                                                                                  2. W lewym okienku nawigacji klienta VMware vSphere kliknij prawym przyciskiem myszy maszynę wirtualną i kliknij opcję Edytuj ustawienia.

                                                                                                                                                  3. Kliknij pozycję Napęd CD/DVD 1, wybierz opcję instalacji z pliku ISO i przejdź do lokalizacji, do której pobrano nowy plik konfiguracyjny ISO.

                                                                                                                                                  4. Zaznacz Połącz przy włączeniu.

                                                                                                                                                  5. Zapisz zmiany i włącz maszynę wirtualną.

                                                                                                                                                  4

                                                                                                                                                  Powtórz krok 3, aby zastąpić konfigurację na każdym pozostałym węźle, na którym działa stara konfiguracja.

                                                                                                                                                  Wyłączanie trybu zablokowanego zewnętrznego rozpoznawania DNS

                                                                                                                                                  Podczas rejestrowania węzła lub sprawdzania konfiguracji serwera proxy węzła proces testuje wyszukiwanie DNS i łączność z chmurą Cisco Webex. Jeśli serwer DNS węzła nie może rozpoznać publicznych nazw DNS, węzeł automatycznie przechodzi w tryb zablokowanego zewnętrznego rozpoznawania DNS.

                                                                                                                                                  Jeśli węzły są w stanie rozpoznawać publiczne nazwy DNS za pośrednictwem wewnętrznych serwerów DNS, można wyłączyć ten tryb, ponownie uruchamiając test połączenia proxy w każdym węźle.

                                                                                                                                                  Przed rozpoczęciem

                                                                                                                                                  Upewnij się, że wewnętrzne serwery DNS mogą rozpoznawać publiczne nazwy DNS i że węzły mogą się z nimi komunikować.
                                                                                                                                                  1

                                                                                                                                                  W przeglądarce sieci Web otwórz interfejs węzła Hybrid Data Security (na przykład adres IP/konfiguracja https://192.0.2.0/setup), wprowadź poświadczenia administratora skonfigurowane dla węzła, a następnie kliknij przycisk Zaloguj.

                                                                                                                                                  2

                                                                                                                                                  Przejdź do Przegląd (strona domyślna).

                                                                                                                                                  Gdy ta opcja jest włączona, opcja Zablokowane zewnętrzne rozpoznawanie DNS jest ustawiona na Tak.

                                                                                                                                                  3

                                                                                                                                                  Przejdź do strony Trust Store & Proxy.

                                                                                                                                                  4

                                                                                                                                                  Kliknij przycisk Sprawdź połączenie proxy.

                                                                                                                                                  Jeśli zostanie wyświetlony komunikat informujący, że zewnętrzne rozpoznawanie nazw DNS nie powiodło się, oznacza to, że węzeł nie mógł połączyć się z serwerem DNS i pozostanie w tym trybie. W przeciwnym razie, po ponownym uruchomieniu węzła i powrocie do strony Przegląd, Zablokowane zewnętrzne rozpoznawanie DNS powinno być ustawione na nie.

                                                                                                                                                  Co dalej?

                                                                                                                                                  Powtórz test połączenia proxy dla każdego węzła w klastrze hybrid Data Security.

                                                                                                                                                  Usuń węzeł

                                                                                                                                                  Użyj tej procedury, aby usunąć węzeł hybrydowego zabezpieczenia danych z chmury Webex. Po usunięciu węzła z klastra usuń maszynę wirtualną, aby zapobiec dalszemu dostępowi do danych zabezpieczeń.
                                                                                                                                                  1

                                                                                                                                                  Użyj klienta VMware vSphere na komputerze, aby zalogować się do wirtualnego hosta ESXi i wyłączyć maszynę wirtualną.

                                                                                                                                                  2

                                                                                                                                                  Usuń węzeł:

                                                                                                                                                  1. Zaloguj się do Control Hub, a następnie wybierz Usługi.

                                                                                                                                                  2. Na karcie hybrydowe zabezpieczenia danych kliknij przycisk Wyświetl wszystkie , aby wyświetlić stronę zasobów hybrydowych zabezpieczeń danych.

                                                                                                                                                  3. Wybierz klaster, aby wyświetlić jego panel Przegląd.

                                                                                                                                                  4. Kliknij listę Otwórz węzły.

                                                                                                                                                  5. Na karcie Węzły wybierz węzeł, który chcesz usunąć.

                                                                                                                                                  6. Kliknij Akcje > węzeł Deregister.

                                                                                                                                                  3

                                                                                                                                                  W kliencie vSphere usuń maszynę wirtualną. (W lewym okienku nawigacyjnym kliknij prawym przyciskiem myszy maszynę wirtualną i kliknij przycisk Usuń.)

                                                                                                                                                  Jeśli nie usuniesz VM, pamiętaj o usunięciu pliku ISO konfiguracji. Bez pliku ISO nie można użyć maszyny wirtualnej, aby uzyskać dostęp do danych bezpieczeństwa.

                                                                                                                                                  Odzyskiwanie po awarii za pomocą Standby Data Center

                                                                                                                                                  Najbardziej krytyczną usługą oferowaną przez klaster hybrydowego bezpieczeństwa danych jest tworzenie i przechowywanie kluczy używanych do szyfrowania wiadomości i innych treści przechowywanych w chmurze Webex. Dla każdego użytkownika w organizacji przypisanego do hybrydowego zabezpieczenia danych nowe żądania tworzenia kluczy są kierowane do klastra. Klaster jest również odpowiedzialny za przywrócenie kluczy, które został utworzony do wszystkich użytkowników upoważnionych do ich odzyskania, na przykład członków obszaru konwersacji.

                                                                                                                                                  Ponieważ klaster pełni kluczową funkcję dostarczania tych kluczy, konieczne jest, aby klaster nadal działał i aby utrzymywały się odpowiednie kopie zapasowe. Utrata bazy danych hybrydowych zabezpieczeń danych lub układu ISO konfiguracji stosowanego dla schematu spowoduje NIEZBĘDNĄ UTRATĘ zawartości klienta. Aby zapobiec takiej utracie, konieczne są następujące praktyki:

                                                                                                                                                  Jeśli awaria spowoduje, że wdrożenie HDS w głównym centrum danych stanie się niedostępne, postępuj zgodnie z tą procedurą, aby ręcznie przełączyć się na standby centrum danych.

                                                                                                                                                  1

                                                                                                                                                  Uruchom narzędzie do konfiguracji HDS i wykonaj czynności opisane w dokumencie Create a Configuration ISO for the HDS Hosts.

                                                                                                                                                  2

                                                                                                                                                  Po skonfigurowaniu serwera Syslogd kliknij Ustawienia zaawansowane

                                                                                                                                                  3

                                                                                                                                                  Na stronie Ustawienia zaawansowane dodaj poniższą konfigurację lub usuń konfigurację PassiveMode , aby węzeł był aktywny. Węzeł może obsługiwać ruch po skonfigurowaniu.

                                                                                                                                                   PassiveMode: "fałszywy" 

                                                                                                                                                  4

                                                                                                                                                  Zakończ proces konfiguracji i zapisz plik ISO w lokalizacji, która jest łatwa do znalezienia.

                                                                                                                                                  5

                                                                                                                                                  Wykonaj kopię zapasową pliku ISO w lokalnym systemie. Kopia zapasowa powinna być zabezpieczona. Ten plik zawiera główny klucz szyfrowania zawartości bazy danych. Ogranicz dostęp tylko do tych administratorów hybrydowych zabezpieczeń danych, którzy powinni wprowadzać zmiany w konfiguracji.

                                                                                                                                                  6

                                                                                                                                                  W lewym okienku nawigacyjnym klienta VMware vSphere kliknij prawym przyciskiem myszy maszynę wirtualną i kliknij opcję Edytuj ustawienia..

                                                                                                                                                  7

                                                                                                                                                  Kliknij opcję Edytuj ustawienia >Napęd CD/DVD 1 i wybierz Plik ISO Datastore.


                                                                                                                                                   

                                                                                                                                                  Upewnij się, że Connected and Connect at power on (Podłączono) są zaznaczone, aby zaktualizowane zmiany konfiguracji mogły wejść w życie po uruchomieniu węzłów.

                                                                                                                                                  8

                                                                                                                                                  Włącz węzeł HDS i upewnij się, że nie ma alarmów przez co najmniej 15 minut.

                                                                                                                                                  9

                                                                                                                                                  Powtórz proces dla każdego węzła w centrum danych standby.


                                                                                                                                                   

                                                                                                                                                  Sprawdź wyjście dziennika systemowego, aby sprawdzić, czy węzły centrum danych standby nie są w trybie pasywnym. „KMS skonfigurowany w trybie pasywnym” nie powinien być wyświetlany w dziennikach syslog.

                                                                                                                                                  Co zrobić dalej

                                                                                                                                                  Po przełączeniu awaryjnym, jeśli główne centrum danych stanie się ponownie aktywne, ponownie umieść centrum danych standby w trybie pasywnym, wykonując czynności opisane w Ustawieniu Standby Data Center dla odzyskiwania awarii.

                                                                                                                                                  (Opcjonalnie) Odmontować ISO Po Konfiguracji HDS

                                                                                                                                                  Standardowa konfiguracja HDS działa z zamontowanym ISO. Jednak niektórzy klienci wolą nie pozostawiać plików ISO stale zamontowanych. Plik ISO można odmontować po odebraniu nowej konfiguracji przez wszystkie węzły HDS.

                                                                                                                                                  Nadal używasz plików ISO do wprowadzania zmian w konfiguracji. Podczas tworzenia nowego ISO lub aktualizacji ISO za pomocą narzędzia konfiguracyjnego należy zamontować zaktualizowany ISO na wszystkich węzłach HDS. Po odebraniu zmian konfiguracji przez wszystkie węzły można ponownie rozmontować ISO za pomocą tej procedury.

                                                                                                                                                  Przed rozpoczęciem

                                                                                                                                                  Uaktualnij wszystkie węzły HDS do wersji 2021.01.22.4720 lub nowszej.

                                                                                                                                                  1

                                                                                                                                                  Zamknij jeden z węzłów HDS.

                                                                                                                                                  2

                                                                                                                                                  W urządzeniu VCenter Server Appliance wybierz węzeł HDS.

                                                                                                                                                  3

                                                                                                                                                  Wybierz Edytuj ustawienia > Napęd CD/DVD i usuń zaznaczenie pliku Datastore ISO.

                                                                                                                                                  4

                                                                                                                                                  Włącz węzeł HDS i upewnij się, że nie ma alarmów przez co najmniej 20 minut.

                                                                                                                                                  5

                                                                                                                                                  Powtórz kolejno dla każdego węzła HDS.

                                                                                                                                                  Rozwiązywanie problemów z hybrydowymi zabezpieczeniami danych

                                                                                                                                                  Wyświetlanie alertów i rozwiązywania problemów

                                                                                                                                                  Wdrożenie hybrydowego zabezpieczenia danych jest uważane za niedostępne, jeśli wszystkie węzły w klastrze są nieosiągalne lub klaster działa tak wolno, że wymaga przekroczenia czasu. Jeśli użytkownicy nie mogą skontaktować się z klastrem hybrydowego zabezpieczenia danych, mogą wystąpić następujące objawy:

                                                                                                                                                  • Nie można utworzyć nowych obszarów (nie można utworzyć nowych kluczy)

                                                                                                                                                  • Wiadomości i tytuły przestrzeni nie można odszyfrować dla:

                                                                                                                                                    • Dodano nowych użytkowników do obszaru (nie można pobrać kluczy)

                                                                                                                                                    • Istniejący użytkownicy w obszarze korzystający z nowego klienta (nie można pobrać kluczy)

                                                                                                                                                  • Istniejący użytkownicy w obszarze będą z powodzeniem działać tak długo, jak ich klienci będą mieli pamięć podręczną kluczy szyfrowania

                                                                                                                                                  Ważne jest, aby odpowiednio monitorować klaster hybrydowego zabezpieczenia danych i szybko zwracać się do wszystkich alertów, aby uniknąć zakłóceń w obsłudze.

                                                                                                                                                  Alerty

                                                                                                                                                  Jeśli występuje problem z konfiguracją hybrydowego zabezpieczenia danych, Control Hub wyświetla alerty do administratora organizacji i wysyła wiadomości e-mail na skonfigurowany adres e-mail. Alerty obejmują wiele typowych scenariuszy.

                                                                                                                                                  Tabela 1. Wspólne problemy i kroki mające na celu ich rozwiązanie

                                                                                                                                                  Alert

                                                                                                                                                  Czynność

                                                                                                                                                  Błąd dostępu do lokalnej bazy danych.

                                                                                                                                                  Sprawdź, czy występują błędy w bazie danych lub problemy z siecią lokalną.

                                                                                                                                                  Niepowodzenie połączenia z lokalną bazą danych.

                                                                                                                                                  Sprawdź, czy serwer bazy danych jest dostępny, a w konfiguracji węzła użyto odpowiednich poświadczeń konta usługi.

                                                                                                                                                  Niepowodzenie dostępu do usługi w chmurze.

                                                                                                                                                  Sprawdź, czy węzły mogą uzyskać dostęp do serwerów Webex zgodnie z wymaganiami Zewnętrznej łączności.

                                                                                                                                                  Odnowienie rejestracji usług w chmurze.

                                                                                                                                                  Zrezygnowano z rejestracji na usługi w chmurze. Trwa przedłużenie rejestracji.

                                                                                                                                                  Rejestracja usług w chmurze została odrzucona.

                                                                                                                                                  Rejestracja na usługi w chmurze została zakończona. Usługa jest wyłączona.

                                                                                                                                                  Usługa jeszcze nie została aktywowana.

                                                                                                                                                  Aktywuj wersję próbną lub zakończ przenoszenie wersji próbnej do produkcji.

                                                                                                                                                  Skonfigurowana domena nie odpowiada certyfikatowi serwera.

                                                                                                                                                  Upewnij się, że certyfikat serwera jest zgodny z skonfigurowaną domeną aktywacji usługi.

                                                                                                                                                  Najbardziej prawdopodobną przyczyną jest to, że certyfikat CN został ostatnio zmieniony i jest teraz inny niż CN, który był używany podczas początkowej konfiguracji.

                                                                                                                                                  Uwierzytelnianie usług w chmurze nie powiodło się.

                                                                                                                                                  Kontrola poprawności i ewentualnego wygaśnięcia poświadczeń konta usługi.

                                                                                                                                                  Nie można otworzyć lokalnego pliku keystore.

                                                                                                                                                  Sprawdź integralność i dokładność hasła w lokalnym pliku keystore.

                                                                                                                                                  Certyfikat lokalnego serwera jest nieprawidłowy.

                                                                                                                                                  Sprawdź datę ważności certyfikatu serwera i potwierdź, że został on wydany przez zaufany urząd certyfikacji.

                                                                                                                                                  Nie można publikować metryk.

                                                                                                                                                  Sprawdź dostęp sieci lokalnej do zewnętrznych usług w chmurze.

                                                                                                                                                  /media/configdrive/hds katalog nie istnieje.

                                                                                                                                                  Sprawdź konfigurację montażu ISO na wirtualnym hostze. Sprawdź, czy plik ISO istnieje, czy jest skonfigurowany do montażu na ponownym uruchomieniu i czy został pomyślnie zainstalowany.

                                                                                                                                                  Rozwiązywanie problemów z hybrydowymi zabezpieczeniami danych

                                                                                                                                                  Podczas rozwiązywania problemów z hybrydowymi zabezpieczeniami danych należy stosować następujące ogólne wytyczne.
                                                                                                                                                  1

                                                                                                                                                  Przejrzyj Control Hub dla wszystkich alertów i naprawić wszystkie znalezione tam elementy.

                                                                                                                                                  2

                                                                                                                                                  Przejrzyj wyjście serwera dziennika systemowego pod kątem aktywności z wdrożenia hybrydowego zabezpieczenia danych.

                                                                                                                                                  3

                                                                                                                                                  Skontaktuj się z pomocą techniczną Cisco.

                                                                                                                                                  Inne uwagi

                                                                                                                                                  Znane problemy dotyczące hybrydowego bezpieczeństwa danych

                                                                                                                                                  • Jeśli zamkniesz klaster hybrydowego bezpieczeństwa danych (usuwając go w Control Hub lub zamykając wszystkie węzły), stracisz plik ISO konfiguracji lub utracisz dostęp do bazy danych keystore, użytkownicy aplikacji Webex nie będą mogli już korzystać z obszarów na liście osób utworzonych za pomocą kluczy z KMS. Dotyczy to zarówno wdrożeń próbnych, jak i produkcyjnych. Obecnie nie mamy obejścia ani rozwiązania tego problemu i zachęcamy do niezamykania usług HDS po obsłudze aktywnych kont użytkowników.

                                                                                                                                                  • Klient z istniejącym połączeniem ECDH z KMS utrzymuje to połączenie przez pewien czas (prawdopodobnie godzinę). Gdy użytkownik staje się członkiem próby hybrydowego zabezpieczenia danych, klient użytkownika nadal korzysta z istniejącego połączenia ECDH do czasu jego wyłączenia. Alternatywnie, użytkownik może wylogować się i wrócić do aplikacji Webex, aby zaktualizować lokalizację, z którą kontaktuje się aplikacja w przypadku kluczy szyfrowania.

                                                                                                                                                    To samo zachowanie występuje podczas przenoszenia próby do produkcji dla organizacji. Wszyscy użytkownicy spoza wersji próbnej posiadający istniejące połączenia ECDH z poprzednimi służbami bezpieczeństwa danych będą nadal korzystać z tych usług do czasu renegocjacji połączenia ECDH (poprzez limit czasu lub poprzez wylogowanie i powrót).

                                                                                                                                                  Użyj protokołu OpenSSL do generowania pliku PKCS12

                                                                                                                                                  Przed rozpoczęciem

                                                                                                                                                  • OpenSSL jest jednym z narzędzi, które można wykorzystać do tworzenia pliku PKCS12 w odpowiednim formacie do ładowania w narzędziu konfiguracji HDS. Istnieją inne sposoby, aby to zrobić, a my nie popieramy ani nie promujemy jednej drogi nad drugą.

                                                                                                                                                  • Jeśli zdecydujesz się korzystać z OpenSSL, zapewniamy tę procedurę jako wytyczną, która pomoże Ci utworzyć plik spełniający wymagania certyfikatu X.509 w wymaganiach certyfikatów X.509. Zrozum te wymagania, zanim przejdziesz dalej.

                                                                                                                                                  • Zainstaluj OpenSSL w obsługiwanym środowisku. Patrz https://www.openssl.org oprogramowanie i dokumentacja.

                                                                                                                                                  • Utwórz klucz prywatny.

                                                                                                                                                  • Procedurę tę należy rozpocząć po otrzymaniu certyfikatu serwera od urzędu certyfikacji.

                                                                                                                                                  1

                                                                                                                                                  Po otrzymaniu certyfikatu serwera od urzędu certyfikacji zapisz go jako hdsnode.pem.

                                                                                                                                                  2

                                                                                                                                                  Wyświetl certyfikat jako tekst i zweryfikuj szczegóły.

                                                                                                                                                  openssl x509 -text -noout -in hdsnode.pem

                                                                                                                                                  3

                                                                                                                                                  Użyj edytora tekstu, aby utworzyć plik pakietu certyfikatów o nazwie hdsnode-bundle.pem. Plik pakietu musi zawierać certyfikat serwera, wszystkie pośrednie certyfikaty urzędu certyfikacji oraz podstawowe certyfikaty urzędu certyfikacji w formacie poniżej:

                                                                                                                                                  ----- ZACZĄĆ CERTYFIKAT----- ### Certyfikat serwera. ### ----- ZAKOŃCZ CERTYFIKAT-------- ROZPOCZĄĆ CERTYFIKAT----- ### Pośredni certyfikat urzędu certyfikacji. ### ----- ZAKOŃCZ CERTYFIKAT-------- ROZPOCZĄĆ CERTYFIKAT----- ### Certyfikat głównego urzędu certyfikacji. ### ----- ZAKOŃCZ CERTYFIKAT-----

                                                                                                                                                  4

                                                                                                                                                  Utwórz plik .p12 za pomocą przyjaznej nazwy kms-private-key.

                                                                                                                                                  openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

                                                                                                                                                  5

                                                                                                                                                  Sprawdź szczegóły certyfikatu serwera.

                                                                                                                                                  1. openssl pkcs12 -w hdsnode.p12

                                                                                                                                                  2. Wprowadź hasło po wyświetleniu monitu, aby zaszyfrować klucz prywatny w taki sposób, aby był wyświetlany na wyjściu. Następnie sprawdź, czy klucz prywatny i pierwszy certyfikat zawierają linie friendlyName: kms-klucz prywatny.

                                                                                                                                                    Przykład:

                                                                                                                                                    bash$ openssl pkcs12 -in hdsnode.p12 Wprowadź hasło importu: MAC zweryfikował atrybuty OK Bag friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Atrybuty kluczowe:  Wprowadź wyrażenie przelewu PEM: Weryfikowanie – Wprowadź frazę przekazywania PEM: ----- ROZPOCZĄĆ SZYFROWANY KLUCZ PRYWATNY-----  ----- ZAKOŃCZ SZYFROWANY KLUCZ PRYWATNY-------- Atrybuty toreNazwa przyjaźni: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 ----- ROZPOCZĘCIE CERTYFIKATU-----  ------ ZAKOŃCZENIE CERTYFIKATU------ Atrybuty friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US subject=/C=US/O=Let's Encrypt Authority X3 issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3 ----- ROZPOCZĄĆ CERTYFIKAT-----  ----- ZAKOŃCZ CERTYFIKAT-----

                                                                                                                                                  Co zrobić dalej

                                                                                                                                                  Powróć, aby ukończyć wymagania wstępne dotyczące hybrydowego zabezpieczenia danych. Plik hdsnode.p12 i ustawione dla niego hasło będą używane w Utwórz ISO konfiguracji hostów HDS.


                                                                                                                                                   

                                                                                                                                                  Możesz ponownie użyć tych plików, aby poprosić o nowy certyfikat po wygaśnięciu oryginalnego certyfikatu.

                                                                                                                                                  Ruch między węzłami HDS a chmurą

                                                                                                                                                  Ruch zbierania metryk wychodzących

                                                                                                                                                  Węzły hybrydowego zabezpieczenia danych wysyłają pewne metryki do chmury Webex. Obejmują one metryki systemowe dla maks. stosu, stosowanego stosu, obciążenia procesora i liczenia wątków; metryki na wątkach synchronicznych i asynchronicznych; metryki na alertach obejmujące próg połączeń szyfrowania, opóźnienie lub długość kolejki żądań; metryki na zbiorniku danych; oraz metryki połączeń szyfrowania. Węzły wysyłają zaszyfrowany materiał klucza przez kanał poza pasmem (oddzielony od żądania).

                                                                                                                                                  Ruch przychodzący

                                                                                                                                                  Węzły hybrydowego zabezpieczenia danych otrzymują następujące typy ruchu przychodzącego z chmury Webex:

                                                                                                                                                  • Żądania szyfrowania od klientów, które są kierowane przez usługę szyfrowania

                                                                                                                                                  • Aktualizacja do oprogramowania węzła

                                                                                                                                                  Konfigurowanie serwerów proxy Squid dla hybrydowych zabezpieczeń danych

                                                                                                                                                  Websocket nie może połączyć się przez Squid Proxy

                                                                                                                                                  Pełnomocnicy Squid, którzy sprawdzają ruch HTTPS, mogą zakłócać tworzenie połączeń typu websocket (wss:), których wymaga Hybrid Data Security. Te sekcje dają wskazówki, jak skonfigurować różne wersje Squid ignorować wss: ruch w celu prawidłowego funkcjonowania usług.

                                                                                                                                                  Kalmary 4 i 5

                                                                                                                                                  Dodać on_unsupported_protocol dyrektywę do squid.conf:

                                                                                                                                                  on_unsupported_protocol tunel wszystkie

                                                                                                                                                  Kalmary 3.5.27

                                                                                                                                                  Z powodzeniem przetestowaliśmy Hybrid Data Security z następującymi regułami dodanymi do squid.conf. Zasady te mogą ulec zmianie w miarę opracowywania funkcji i aktualizowania chmury Webex.

                                                                                                                                                  acl wssMercuryConnection ssl::server_name_regex rtęciowe połączenie ssl_bump splice wssMercuryPołączenie acl krok1 at_step SslBump1 acl krok2 at_step SslBump2 acl krok3 at_step SslBump3 ssl_bump rzut oka krok1 wszystkie ssl_bump stare krok2 wszystkie ssl_bump bump krok3 wszystko
                                                                                                                                                  Przedmowa

                                                                                                                                                  Nowe i zmienione informacje

                                                                                                                                                  Data

                                                                                                                                                  Zmiany

                                                                                                                                                  20 października 2023 r.

                                                                                                                                                  07 sierpnia 2023 r.

                                                                                                                                                  23 maja 2023 r.

                                                                                                                                                  06 grudnia 2022 r.

                                                                                                                                                  23 listopada 2022 r.

                                                                                                                                                  • Węzły HDS mogą teraz używać uwierzytelniania systemu Windows w usłudze Microsoft SQL Server.

                                                                                                                                                    Zaktualizowano temat wymagań serwera bazy danych z dodatkowymi wymaganiami dla tego trybu uwierzytelniania.

                                                                                                                                                    Zaktualizowano Utwórz ISO konfiguracji hostów HDS z procedurą konfigurowania uwierzytelniania systemu Windows w węzłach.

                                                                                                                                                  • Zaktualizowano temat wymagań serwera bazy danych o nowe minimalne wymagane wersje (PostgreSQL 10).

                                                                                                                                                  13 października 2021 r.

                                                                                                                                                  Docker Desktop musi uruchomić program konfiguracji przed zainstalowaniem węzłów HDS. Zobacz Wymagania Dotyczące Pulpitu Docker.

                                                                                                                                                  24 czerwca 2021 r.

                                                                                                                                                  Pamiętaj, że możesz ponownie użyć pliku klucza prywatnego i CSR, aby poprosić o inny certyfikat. Aby uzyskać szczegółowe informacje, zobacz Użyj OpenSSL, aby wygenerować plik PKCS12.

                                                                                                                                                  30 kwietnia 2021 r.

                                                                                                                                                  Zmieniono wymaganie VM dla lokalnego miejsca na dysku twardym na 30 GB. Szczegółowe informacje można znaleźć w sekcji Wymagania wirtualnego prowadzącego.

                                                                                                                                                  24 lutego 2021 r.

                                                                                                                                                  Narzędzie konfiguracji usługi HDS może teraz działać za serwerem proxy. Aby uzyskać szczegółowe informacje, zobacz Tworzenie ISO konfiguracji hostów HDS.

                                                                                                                                                  2 lutego 2021 r.

                                                                                                                                                  HDS może teraz działać bez zamontowanego pliku ISO. Aby uzyskać szczegółowe informacje, zobacz (Opcjonalnie) Odinstaluj ISO Po Konfiguracji HDS.

                                                                                                                                                  11 stycznia 2021 r.

                                                                                                                                                  Dodano informacje o narzędziu do konfiguracji HDS i pełnomocnikach, aby utworzyć ISO konfiguracji dla prowadzących HDS.

                                                                                                                                                  13 października 2020 r.

                                                                                                                                                  Zaktualizowano Pobierz pliki instalacyjne.

                                                                                                                                                  8 października 2020 r.

                                                                                                                                                  Zaktualizowano Utwórz ISO konfiguracji dla prowadzących HDS i zmień konfigurację węzła za pomocą poleceń dla środowisk FedRAMP.

                                                                                                                                                  14 sierpnia 2020 r.

                                                                                                                                                  Zaktualizowano Utwórz ISO konfiguracji dla prowadzących HDS i zmień konfigurację węzła ze zmianami w procesie logowania.

                                                                                                                                                  5 sierpnia 2020 r.

                                                                                                                                                  Zaktualizowano testowanie wdrażania hybrydowego zabezpieczenia danych pod kątem zmian w komunikatach dziennika.

                                                                                                                                                  Zaktualizowano wymagania hosta wirtualnego , aby usunąć maksymalną liczbę hostów.

                                                                                                                                                  16 czerwca 2020 r.

                                                                                                                                                  Zaktualizowano Usuwanie węzła pod kątem zmian w interfejsie interfejsu Control Hub.

                                                                                                                                                  4 czerwca 2020 r.

                                                                                                                                                  Zaktualizowano Tworzenie ISO konfiguracji dla hostów HDS w celu wprowadzenia zmian w ustawieniach zaawansowanych, które można ustawić.

                                                                                                                                                  29 maja 2020 r.

                                                                                                                                                  Zaktualizowano Utwórz ISO konfiguracji dla hostów HDS , aby pokazać, że można również używać TLS z bazami danych SQL Server, zmianami interfejsu użytkownika i innymi wyjaśnieniami.

                                                                                                                                                  5 maja 2020 r.

                                                                                                                                                  Zaktualizowano wymagania hosta wirtualnego , aby pokazać nowe wymagania ESXi 6.5.

                                                                                                                                                  21 kwietnia 2020 r.

                                                                                                                                                  Zaktualizowane wymagania dotyczące łączności zewnętrznej z nowymi hostami CI Americas.

                                                                                                                                                  1 kwietnia 2020 r.

                                                                                                                                                  Zaktualizowane wymagania dotyczące łączności zewnętrznej z informacjami na temat regionalnych prowadzących CI.

                                                                                                                                                  20 lutego 2020 r.Zaktualizowano Utwórz ISO konfiguracji hostów HDS z informacjami na nowym opcjonalnym ekranie ustawień zaawansowanych w narzędziu do konfiguracji HDS.
                                                                                                                                                  4 lutego 2020 r.Zaktualizowano wymagania serwera proxy.
                                                                                                                                                  16 grudnia 2019 r.Wyjaśnione wymagania dotyczące zablokowanego zewnętrznego trybu rozdzielczości DNS do pracy w wymaganiach serwera proxy.
                                                                                                                                                  19 listopada 2019 r.

                                                                                                                                                  Dodano informacje o zablokowanym zewnętrznym trybie rozpoznawania DNS w następujących sekcjach:

                                                                                                                                                  8 listopada 2019 r.

                                                                                                                                                  Teraz można skonfigurować ustawienia sieciowe węzła podczas wdrażania OVA, a nie później.

                                                                                                                                                  Zaktualizowano odpowiednio następujące sekcje:


                                                                                                                                                   

                                                                                                                                                  Opcja konfigurowania ustawień sieciowych podczas wdrażania OVA została przetestowana z ESXi 6.5. Opcja może nie być dostępna we wcześniejszych wersjach.

                                                                                                                                                  6 września 2019 r.

                                                                                                                                                  Dodano SQL Server Standard do wymagań serwera bazy danych.

                                                                                                                                                  29 sierpnia 2019 r.Dodano Configure Squid Proxies for Hybrid Data Security appendix z wytycznymi dotyczącymi konfigurowania serwerów proxy Squid w celu zignorowania ruchu websocket w celu prawidłowej obsługi.
                                                                                                                                                  20 sierpnia 2019 r.

                                                                                                                                                  Dodano i zaktualizowano sekcje, aby objąć obsługę proxy komunikacji węzła hybrydowego bezpieczeństwa danych z chmurą Webex.

                                                                                                                                                  Aby uzyskać dostęp tylko do zawartości obsługi serwera proxy dla istniejącego wdrożenia, zobacz artykuł pomocy Proxy Support for Hybrid Data Security i Webex Video Mesh .

                                                                                                                                                  13 czerwca 2019 r.Zaktualizowano próbny do przepływu zadań produkcyjnych z przypomnieniem o synchronizacji HdsTrialGroup obiekt grupowy przed rozpoczęciem próby, jeśli Twoja organizacja korzysta z synchronizacji katalogu.
                                                                                                                                                  6 marca 2019 r.
                                                                                                                                                  28 lutego 2019 r.
                                                                                                                                                  • Skorygowano ilość lokalnego miejsca na dysku twardym na serwer, którą należy odłożyć podczas przygotowywania wirtualnych hostów, które stają się węzłami hybrydowego zabezpieczenia danych, z 50 GB do 20 GB, aby odzwierciedlić rozmiar dysku, który tworzy OVA.

                                                                                                                                                  26 lutego 2019 r.
                                                                                                                                                  • Węzły hybrydowego zabezpieczenia danych obsługują teraz szyfrowane połączenia z serwerami bazy danych PostgreSQL i szyfrowane połączenia rejestrowania z serwerem dziennika systemowego obsługującym protokół TLS. Zaktualizowano Tworzenie ISO konfiguracji dla prowadzących HDS z instrukcjami.

                                                                                                                                                  • Usunięto adresy URL docelowe z tabeli „Wymagania dotyczące łączności internetowej dla hybrydowych węzłów bezpieczeństwa danych”. Tabela odnosi się teraz do listy utrzymywanej w tabeli „Dodatkowe adresy URL usług hybrydowych Webex Teams” dotyczącej wymagań sieciowych dla usług Webex Teams.

                                                                                                                                                  24 stycznia 2019 r.

                                                                                                                                                  • Hybrid Data Security obsługuje teraz Microsoft SQL Server jako bazę danych. Serwer SQL Always On (Klastry Always On Failover i grupy Always On Availability) jest obsługiwany przez sterowniki JDBC używane w hybrydowych zabezpieczeniach danych. Dodano zawartość związaną z wdrożeniem z programem SQL Server.


                                                                                                                                                     

                                                                                                                                                    Obsługa rozwiązania Microsoft SQL Server jest przeznaczona tylko dla nowych wdrożeń hybrydowych zabezpieczeń danych. Obecnie nie obsługujemy migracji danych z serwera PostgreSQL na serwer Microsoft SQL Server w istniejącym wdrożeniu.

                                                                                                                                                  5 listopada 2018 r.
                                                                                                                                                  19 października 2018 r.

                                                                                                                                                  31 lipca 2018 r.

                                                                                                                                                  21 maja 2018 r.

                                                                                                                                                  Zmieniona terminologia odzwierciedlająca zmianę marki Cisco Spark:

                                                                                                                                                  • Cisco Spark Hybrid Data Security jest teraz Hybrid Data Security.

                                                                                                                                                  • Aplikacja Cisco Spark jest teraz aplikacją Webex.

                                                                                                                                                  • Cisco Collaboraton Cloud jest teraz chmurą Webex.

                                                                                                                                                  11 kwietnia 2018 r.
                                                                                                                                                  22 lutego 2018 r.
                                                                                                                                                  Luty 15, 2018
                                                                                                                                                  • W tabeli Wymagania dotyczące certyfikatów X.509 określono, że certyfikat nie może być certyfikatem z wieloznacznymi kartami i że KMS używa domeny CN, a nie żadnej domeny zdefiniowanej w polach SAN x.509v3.

                                                                                                                                                  Styczeń 18, 2018

                                                                                                                                                  2 listopada 2017 r.

                                                                                                                                                  • Skrócona synchronizacja katalogu grupy HdsTrialGroup.

                                                                                                                                                  • Stałe instrukcje dotyczące przesyłania pliku konfiguracyjnego ISO w celu zamontowania go w węzłach VM.

                                                                                                                                                  18 sierpnia 2017 r.

                                                                                                                                                  Pierwsza publikacja

                                                                                                                                                  Rozpocznij pracę z Hybrid Data Security

                                                                                                                                                  Przegląd zabezpieczeń danych hybrydowych

                                                                                                                                                  Od pierwszego dnia bezpieczeństwo danych było głównym celem projektowania aplikacji Webex. Podstawą tego bezpieczeństwa jest kompleksowe szyfrowanie zawartości, włączone przez klientów aplikacji Webex współpracujących z usługą Key Management Service (KMS). KMS odpowiada za tworzenie i zarządzanie kluczami kryptograficznymi, których klienci używają do dynamicznego szyfrowania i odszyfrowywania wiadomości i plików.

                                                                                                                                                  Domyślnie wszyscy klienci aplikacji Webex otrzymują kompleksowe szyfrowanie za pomocą kluczy dynamicznych przechowywanych w chmurze KMS w obszarze bezpieczeństwa firmy Cisco. Hybrid Data Security przenosi KMS i inne funkcje związane z zabezpieczeniami do centrum danych przedsiębiorstwa, więc nikt oprócz Ciebie nie posiada kluczy do zaszyfrowanej zawartości.

                                                                                                                                                  Architektura domeny zabezpieczeń

                                                                                                                                                  Architektura chmury Webex oddziela różne rodzaje usług od osobnych domen lub domen zaufania, jak przedstawiono poniżej.

                                                                                                                                                  Realms of Separation (bez hybrydowego zabezpieczenia danych)

                                                                                                                                                  Aby lepiej zrozumieć hybrydowe zabezpieczenia danych, spójrzmy najpierw na ten przypadek czystej chmury, w którym firma Cisco zapewnia wszystkie funkcje w swoich domenach w chmurze. Usługa tożsamości, jedyne miejsce, w którym użytkownicy mogą być bezpośrednio skorelowani ze swoimi danymi osobowymi, takimi jak adres e-mail, jest logicznie i fizycznie oddzielona od domeny bezpieczeństwa w centrum danych B. Oba są z kolei oddzielone od domeny, w której ostatecznie przechowywana jest zaszyfrowana zawartość, w centrum danych C.

                                                                                                                                                  Na tym schemacie klient to aplikacja Webex działająca na laptopie użytkownika i uwierzytelniona za pomocą usługi tożsamości. Gdy użytkownik komponuje wiadomość do wysłania do obszaru, wykonywane są następujące czynności:

                                                                                                                                                  1. Klient ustanawia bezpieczne połączenie z usługą zarządzania kluczami (KMS), a następnie prosi o klucz do szyfrowania wiadomości. Bezpieczne połączenie korzysta z ECDH, a KMS szyfruje klucz przy użyciu klucza głównego AES-256.

                                                                                                                                                  2. Wiadomość jest szyfrowana przed opuszczeniem klienta. Klient wysyła go do usługi indeksowania, która tworzy zaszyfrowane indeksy wyszukiwania, aby pomóc w przyszłych wyszukiwaniach zawartości.

                                                                                                                                                  3. Zaszyfrowana wiadomość jest wysyłana do usługi zgodności w celu sprawdzenia zgodności.

                                                                                                                                                  4. Zaszyfrowana wiadomość jest przechowywana w domenie przechowywania.

                                                                                                                                                  Podczas wdrażania hybrydowego zabezpieczenia danych funkcje domeny zabezpieczeń (KMS, indeksowanie i zgodność) są przenoszone do lokalnego centrum danych. Inne usługi w chmurze, które składają się na usługę Webex (w tym pamięć masowa tożsamości i zawartości), pozostają w domenach Cisco.

                                                                                                                                                  Współpraca z innymi organizacjami

                                                                                                                                                  Użytkownicy w organizacji mogą regularnie korzystać z aplikacji Webex do współpracy z uczestnikami zewnętrznymi w innych organizacjach. Gdy jeden z użytkowników prosi o klucz do obszaru należącego do organizacji (ponieważ został on utworzony przez jednego z użytkowników), KMS wysyła klucz do klienta za pośrednictwem kanału zabezpieczonego ECDH. Jednak gdy inna organizacja jest właścicielem klucza dla obszaru, system KMS kieruje żądanie do chmury Webex przez osobny kanał ECDH, aby uzyskać klucz z odpowiedniego systemu KMS, a następnie zwraca go do użytkownika na oryginalnym kanale.

                                                                                                                                                  Usługa KMS działająca na Org A weryfikuje połączenia z KMSs w innych organizacjach za pomocą certyfikatów PKI x.509. Aby uzyskać szczegółowe informacje na temat generowania certyfikatu x.509 do użytku z wdrożeniem hybrydowego zabezpieczenia danych, zobacz Prepare Your Environment (Przygotowanie środowiska).

                                                                                                                                                  Oczekiwania dotyczące wdrażania hybrydowych zabezpieczeń danych

                                                                                                                                                  Wdrożenie hybrydowego zabezpieczenia danych wymaga znacznego zaangażowania klienta i świadomości ryzyka związanego z posiadaniem kluczy szyfrowania.

                                                                                                                                                  Aby wdrożyć hybrydowe zabezpieczenia danych, należy zapewnić:

                                                                                                                                                  Kompletna utrata konfiguracji ISO utworzonej dla hybrydowego zabezpieczenia danych lub dostarczonej bazy danych spowoduje utratę kluczy. Utrata klucza uniemożliwia użytkownikom odszyfrowanie zawartości obszaru i innych zaszyfrowanych danych w aplikacji Webex. Jeśli tak się stanie, możesz zbudować nowe wdrożenie, ale widoczna będzie tylko nowa zawartość. Aby uniknąć utraty dostępu do danych, należy:

                                                                                                                                                  • Zarządzanie kopią zapasową i odzyskiwaniem bazy danych oraz konfiguracją ISO.

                                                                                                                                                  • Przygotuj się do szybkiego odzyskiwania awaryjnego w przypadku wystąpienia katastrofy, takiej jak awaria dysku bazy danych lub awaria centrum danych.


                                                                                                                                                   

                                                                                                                                                  Nie ma mechanizmu przenoszenia kluczy z powrotem do chmury po wdrożeniu HDS.

                                                                                                                                                  Proces konfiguracji na wysokim poziomie

                                                                                                                                                  Niniejszy dokument obejmuje konfigurację i zarządzanie wdrożeniem hybrydowego zabezpieczenia danych:

                                                                                                                                                  • Skonfiguruj hybrydowe zabezpieczenia danych— obejmuje to przygotowanie wymaganej infrastruktury i zainstalowanie oprogramowania hybrydowego zabezpieczenia danych, testowanie wdrożenia z podzbiorem użytkowników w trybie próbnym oraz, po zakończeniu testów, przejście do produkcji. Spowoduje to konwertowanie całej organizacji do używania klastra Hybrid Data Security dla funkcji zabezpieczeń.

                                                                                                                                                    Etapy konfiguracji, prób i produkcji zostały szczegółowo omówione w kolejnych trzech rozdziałach.

                                                                                                                                                  • Utrzymuj wdrożenie hybrydowego zabezpieczenia danych— chmura Webex automatycznie zapewnia trwające uaktualnienia. Dział IT może zapewnić wsparcie poziomu pierwszego dla tego wdrożenia i zaangażować wsparcie Cisco w razie potrzeby. Możesz korzystać z powiadomień na ekranie i konfigurować alerty oparte na wiadomościach e-mail w Control Hub.

                                                                                                                                                  • Zrozumienie wspólnych alertów, kroków rozwiązywania problemów i znanych problemów— w przypadku wystąpienia problemów z wdrożeniem lub użyciem hybrydowego zabezpieczenia danych ostatni rozdział niniejszego przewodnika i dodatku do Znanych problemów może pomóc w określeniu i rozwiązaniu problemu.

                                                                                                                                                  Hybrydowy model wdrażania zabezpieczeń danych

                                                                                                                                                  W centrum danych przedsiębiorstwa wdrażasz hybrydowe zabezpieczenia danych jako jeden klaster węzłów na osobnych hostach wirtualnych. Węzły komunikują się z chmurą Webex za pośrednictwem bezpiecznych websocketów i bezpiecznego protokołu HTTP.

                                                                                                                                                  Podczas procesu instalacji dostarczamy Ci plik OVA do skonfigurowania urządzenia wirtualnego na dostarczonych maszynach wirtualnych. Narzędzie konfiguracyjne HDS służy do tworzenia niestandardowego pliku ISO konfiguracji klastra, który jest montowany w każdym węźle. Klaster Hybrid Data Security korzysta z dostarczonego serwera Syslogd i bazy danych PostgreSQL lub Microsoft SQL Server. (Szczegóły połączenia Syslogd i bazy danych można skonfigurować w narzędziu konfiguracji HDS).

                                                                                                                                                  Hybrydowy model wdrażania zabezpieczeń danych

                                                                                                                                                  Minimalna liczba węzłów w klastrze to dwa. Zalecamy co najmniej trzy, a możesz mieć do pięciu. Posiadanie wielu węzłów zapewnia, że usługa nie zostanie przerwana podczas uaktualniania oprogramowania lub innej czynności konserwacyjnej w węźle. (Chmura Webex aktualizuje tylko jeden węzeł naraz).

                                                                                                                                                  Wszystkie węzły w klastrze mają dostęp do tego samego rekordu danych klucza i aktywności dziennika na tym samym serwerze dziennika systemowego. Same węzły są bezpaństwowe i obsługują żądania kluczy w sposób okrągły, zgodnie z zaleceniami chmury.

                                                                                                                                                  Węzły stają się aktywne po zarejestrowaniu ich w Control Hub. Aby usunąć pojedynczy węzeł z usługi, można go wyrejestrować, a następnie ponownie wyrejestrować w razie potrzeby.

                                                                                                                                                  Obsługujemy tylko jeden klaster na organizację.

                                                                                                                                                  Tryb próbny zabezpieczeń danych hybrydowych

                                                                                                                                                  Po skonfigurowaniu wdrożenia hybrydowego zabezpieczenia danych spróbuj go najpierw z zestawem użytkowników pilotażowych. W okresie próbnym użytkownicy ci wykorzystują lokalną domenę hybrydowego zabezpieczenia danych do szyfrowania kluczy i innych usług domeny zabezpieczeń. Inni użytkownicy nadal korzystają ze sfery zabezpieczeń w chmurze.

                                                                                                                                                  Jeśli zdecydujesz się nie kontynuować wdrażania podczas wersji próbnej i dezaktywować usługi, użytkownicy pilotażowi i wszyscy użytkownicy, z którymi współpracowali, tworząc nowe obszary w okresie próbnym, utracą dostęp do wiadomości i treści. Zostanie wyświetlony komunikat „Nie można odszyfrować tej wiadomości” w aplikacji Webex.

                                                                                                                                                  Jeśli jesteś zadowolony, że wdrożenie działa dobrze dla użytkowników próbnych i jesteś gotowy do rozszerzenia hybrydowego zabezpieczenia danych na wszystkich użytkowników, przenosisz wdrożenie do produkcji. Użytkownicy pilotażowi nadal mają dostęp do kluczy, które były używane podczas próby. Nie można jednak poruszać się w tę i z powrotem między trybem produkcji a oryginalnym testem. Jeśli musisz dezaktywować usługę, na przykład w celu przeprowadzenia odzyskiwania po awarii, po ponownej aktywacji musisz rozpocząć nową wersję próbną i skonfigurować zestaw użytkowników pilotażowych dla nowej wersji próbnej przed powrotem do trybu produkcji. To, czy użytkownicy zachowują w tym momencie dostęp do danych, zależy od tego, czy udało się zachować kopie zapasowe kluczowego magazynu danych i pliku konfiguracyjnego ISO dla węzłów hybrydowych zabezpieczeń danych w klastrze.

                                                                                                                                                  Standby Data Center for Disaster Recovery

                                                                                                                                                  Podczas wdrażania skonfigurowano bezpieczne centrum danych w trybie gotowości. W przypadku awarii centrum danych można ręcznie anulować wdrożenie do centrum danych w trybie gotowości.

                                                                                                                                                  Before failover, Data Center A has active HDS nodes and the primary PostgreSQL or Microsoft SQL Server database, while B has a copy of the ISO file with additional configurations, VMs that are registered to the organization, and a standby database. After failover, Data Center B has active HDS nodes and the primary database, while A has unregistered VMs and a copy of the ISO file, and the database is in standby mode.
                                                                                                                                                  Ręczne przełączanie awaryjne do Standby Data Center

                                                                                                                                                  Bazy danych aktywnych i standby centrów danych są ze sobą zsynchronizowane, co zminimalizuje czas potrzebny na wykonanie przełącznika awaryjnego. Plik ISO centrum danych w trybie gotowości jest aktualizowany o dodatkowe konfiguracje, które zapewniają rejestrację węzłów w organizacji, ale nie obsługują ruchu. Stąd węzły standby data center zawsze pozostają aktualne z najnowszą wersją oprogramowania HDS.


                                                                                                                                                   

                                                                                                                                                  Aktywne węzły hybrydowego zabezpieczenia danych muszą zawsze znajdować się w tym samym centrum danych, co aktywny serwer bazy danych.

                                                                                                                                                  Konfiguracja Standby Data Center do odzyskiwania awarii

                                                                                                                                                  Wykonaj poniższe czynności, aby skonfigurować plik ISO centrum danych w trybie gotowości:

                                                                                                                                                  Przed rozpoczęciem

                                                                                                                                                  • Centrum danych w stanie gotowości powinno odzwierciedlać środowisko produkcyjne maszyn wirtualnych oraz zapasową bazę danych PostgreSQL lub Microsoft SQL Server. Na przykład, jeśli produkcja ma 3 maszyny wirtualne z węzłami HDS, środowisko tworzenia kopii zapasowych powinno mieć 3 maszyny wirtualne (zobacz Standby Data Center for Disaster Recovery , aby zapoznać się z tym modelem failover).

                                                                                                                                                  • Upewnij się, że synchronizacja bazy danych jest włączona między bazą danych aktywnych i pasywnych węzłów klastra.

                                                                                                                                                  1

                                                                                                                                                  Uruchom narzędzie do konfiguracji HDS i wykonaj czynności opisane w dokumencie Create a Configuration ISO for the HDS Hosts.


                                                                                                                                                   

                                                                                                                                                  Plik ISO musi być kopią oryginalnego pliku ISO głównego centrum danych, na którym mają być dokonywane następujące aktualizacje konfiguracji.

                                                                                                                                                  2

                                                                                                                                                  Po skonfigurowaniu serwera Syslogd kliknij Ustawienia zaawansowane

                                                                                                                                                  3

                                                                                                                                                  Na stronie Ustawienia zaawansowane dodaj poniższą konfigurację, aby umieścić węzeł w trybie pasywnym. W tym trybie węzeł zostanie zarejestrowany w organizacji i połączony z chmurą, ale nie będzie obsługiwał żadnego ruchu.

                                                                                                                                                  
                                                                                                                                                  passiveMode: 'true'
                                                                                                                                                  
                                                                                                                                                  4

                                                                                                                                                  Zakończ proces konfiguracji i zapisz plik ISO w lokalizacji, która jest łatwa do znalezienia.

                                                                                                                                                  5

                                                                                                                                                  Wykonaj kopię zapasową pliku ISO w lokalnym systemie. Kopia zapasowa powinna być zabezpieczona. Ten plik zawiera główny klucz szyfrowania zawartości bazy danych. Ogranicz dostęp tylko do tych administratorów hybrydowych zabezpieczeń danych, którzy powinni wprowadzać zmiany w konfiguracji.

                                                                                                                                                  6

                                                                                                                                                  W lewym okienku nawigacyjnym klienta VMware vSphere kliknij prawym przyciskiem myszy maszynę wirtualną i kliknij opcję Edytuj ustawienia..

                                                                                                                                                  7

                                                                                                                                                  Kliknij opcję Edytuj ustawienia >Napęd CD/DVD 1 i wybierz Plik ISO Datastore.


                                                                                                                                                   

                                                                                                                                                  Upewnij się, że Connected and Connect at power on (Podłączono) są zaznaczone, aby zaktualizowane zmiany konfiguracji mogły wejść w życie po uruchomieniu węzłów.

                                                                                                                                                  8

                                                                                                                                                  Włącz węzeł HDS i upewnij się, że nie ma alarmów przez co najmniej 15 minut.

                                                                                                                                                  9

                                                                                                                                                  Powtórz proces dla każdego węzła w centrum danych standby.


                                                                                                                                                   

                                                                                                                                                  Sprawdź dzienniki syslog, aby sprawdzić, czy węzły są w trybie pasywnym. W dziennikach syslog należy mieć możliwość wyświetlania komunikatu „KMS skonfigurowany w trybie pasywnym”.

                                                                                                                                                  Co zrobić dalej

                                                                                                                                                  Po skonfigurowaniu passiveMode w pliku ISO i zapisanie go można utworzyć inną kopię pliku ISO bez passiveMode konfigurację i zapisanie w bezpiecznym miejscu. Ta kopia pliku ISO bez passiveMode skonfigurowany może pomóc w szybkim procesie awaryjnym podczas odzyskiwania po awarii. Aby zapoznać się ze szczegółową procedurą przywracania awaryjnego za pomocą Standby Data Center (Centrum danych gotowości).

                                                                                                                                                  Obsługa serwera proxy

                                                                                                                                                  Hybrydowe zabezpieczenia danych obsługują jednoznaczne, przejrzyste inspekcje i nieinspekcje serwerów proxy. Możesz powiązać te serwery proxy z wdrożeniem, aby można było zabezpieczyć i monitorować ruch z przedsiębiorstwa do chmury. Interfejs administratora platformy w węzłach służy do zarządzania certyfikatami oraz do sprawdzania ogólnego stanu łączności po skonfigurowaniu serwera proxy w węzłach.

                                                                                                                                                  Węzły hybrydowego zabezpieczenia danych obsługują następujące opcje serwera proxy:

                                                                                                                                                  • Brak serwera proxy — ustawienie domyślne, jeśli w celu zintegrowania serwera proxy nie jest używane do konfiguracji węzła HDS Trust Store & Proxy. Nie jest wymagana aktualizacja certyfikatu.

                                                                                                                                                  • Przejrzysty serwer proxy niekontrolowany — węzły nie są skonfigurowane do używania określonego adresu serwera proxy i nie powinny wymagać żadnych zmian w pracy z serwerem proxy niekontrolowanym. Nie jest wymagana aktualizacja certyfikatu.

                                                                                                                                                  • Przejrzyste tunelowanie lub sprawdzanie serwera proxy — węzły nie są skonfigurowane do korzystania z określonego adresu serwera proxy. W węzłach nie są konieczne zmiany konfiguracji protokołu HTTP ani protokołu HTTPS. Węzły potrzebują jednak certyfikatu głównego, aby zaufać proxy. Informatycy zazwyczaj używają serwerów proxy do egzekwowania zasad, na których strony internetowe mogą być odwiedzane i które rodzaje treści są niedozwolone. Ten typ serwera proxy odszyfruje cały ruch (nawet HTTPS).

                                                                                                                                                  • Wyraźny serwer proxy — w przypadku wyraźnego serwera proxy należy wskazać węzły HDS, których serwer proxy i schemat uwierzytelniania należy używać. Aby skonfigurować wyraźny serwer proxy, należy wprowadzić następujące informacje w każdym węźle:

                                                                                                                                                    1. Proxy IP/FQDN — adres, którego można użyć do dotarcia do maszyny proxy.

                                                                                                                                                    2. Port serwera proxy— numer portu, którego serwer proxy używa do odsłuchiwania ruchu z serwerem proxy.

                                                                                                                                                    3. Protokół proxy— w zależności od tego, co obsługuje serwer proxy, wybierz między następującymi protokołami:

                                                                                                                                                      • HTTP — wyświetla i kontroluje wszystkie żądania wysyłane przez klienta.

                                                                                                                                                      • HTTPS — udostępnia kanał do serwera. Klient odbiera i weryfikuje certyfikat serwera.

                                                                                                                                                    4. Typ uwierzytelniania — wybierz spośród następujących typów uwierzytelniania:

                                                                                                                                                      • Brak — dalsze uwierzytelnianie nie jest wymagane.

                                                                                                                                                        Dostępne, jeśli jako protokół proxy zostanie wybrany protokół HTTP lub HTTPS.

                                                                                                                                                      • Basic — używane przez agenta użytkownika HTTP do podawania nazwy użytkownika i hasła podczas składania żądania. Korzysta z kodowania Base64.

                                                                                                                                                        Dostępne, jeśli jako protokół proxy zostanie wybrany protokół HTTP lub HTTPS.

                                                                                                                                                        Wymaga wprowadzenia nazwy użytkownika i hasła w każdym węźle.

                                                                                                                                                      • Digest — służy do potwierdzenia konta przed wysłaniem poufnych informacji. Przed wysłaniem za pośrednictwem sieci należy zastosować funkcję skrótu w nazwie użytkownika i hasłem.

                                                                                                                                                        Dostępne tylko po wybraniu protokołu HTTPS jako protokołu proxy.

                                                                                                                                                        Wymaga wprowadzenia nazwy użytkownika i hasła w każdym węźle.

                                                                                                                                                  Przykład węzłów hybrydowych zabezpieczeń danych i serwera proxy

                                                                                                                                                  Na tym wykresie przedstawiono przykładowe połączenie między hybrydowym zabezpieczeniem danych, siecią i serwerem proxy. W przypadku opcji przejrzystej inspekcji i jawnej inspekcji serwera proxy HTTPS ten sam certyfikat główny musi być zainstalowany na serwerze proxy i w węzłach hybrydowych zabezpieczeń danych.

                                                                                                                                                  Zablokowany zewnętrzny tryb rozpoznawania DNS (wyraźne konfiguracje serwera proxy)

                                                                                                                                                  Po zarejestrowaniu węzła lub sprawdzeniu konfiguracji serwera proxy węzła proces testuje wyszukiwanie DNS i łączność z chmurą Cisco Webex. W przypadku wdrożeń z wyraźnymi konfiguracjami serwera proxy, które nie zezwalają na zewnętrzną rozdzielczość DNS dla klientów wewnętrznych, jeśli węzeł nie może wyszukiwać serwerów DNS, automatycznie przechodzi on w tryb Zablokowanej zewnętrznej rozdzielczości DNS. W tym trybie można kontynuować rejestrację węzła i inne testy łączności serwera proxy.

                                                                                                                                                  Przygotuj swoje środowisko

                                                                                                                                                  Wymagania dotyczące hybrydowego bezpieczeństwa danych

                                                                                                                                                  Wymagania licencyjne Cisco Webex

                                                                                                                                                  Aby wdrożyć hybrydowe zabezpieczenia danych:

                                                                                                                                                  Docker Wymagania pulpitowe

                                                                                                                                                  Przed zainstalowaniem węzłów HDS potrzebny jest Docker Desktop do uruchomienia programu konfiguracji. Docker niedawno zaktualizował swój model licencjonowania. Twoja organizacja może wymagać płatnej subskrypcji programu Docker Desktop. Aby uzyskać szczegółowe informacje, zobacz post na blogu Docker, " Docker jest aktualizowanie i rozszerzanie naszych subskrypcji produktów".

                                                                                                                                                  Wymagania dotyczące certyfikatu X.509

                                                                                                                                                  Łańcuch certyfikatów musi spełniać następujące wymagania:

                                                                                                                                                  Tabela 1. X.509 Wymagania dotyczące certyfikatów dla wdrażania hybrydowego zabezpieczenia danych

                                                                                                                                                  Wymaganie

                                                                                                                                                  Szczegóły

                                                                                                                                                  • Podpisany przez zaufany urząd certyfikacji (CA)

                                                                                                                                                  Domyślnie ufamy urzędnikom na liście Mozilla (z wyjątkiem WoSign i StartCom) pod adresem https://wiki.mozilla.org/CA:IncludedCAs.

                                                                                                                                                  • Nazwa domeny wspólnej nazwy (CN) identyfikująca wdrożenie hybrydowego zabezpieczenia danych

                                                                                                                                                  • Nie jest certyfikatem wieloznacznych kart

                                                                                                                                                  CN nie musi być osiągalne ani hostem na żywo. Zalecamy używanie nazwy odzwierciedlającej np. organizację, hds.company.com.

                                                                                                                                                  CN nie może zawierać * (wildcard).

                                                                                                                                                  CN służy do weryfikacji węzłów hybrydowych zabezpieczeń danych dla klientów aplikacji Webex. Wszystkie węzły hybrydowego zabezpieczenia danych w klastrze używają tego samego certyfikatu. System KMS identyfikuje się za pomocą domeny CN, a nie żadnej domeny zdefiniowanej w polach SAN x.509v3.

                                                                                                                                                  Po zarejestrowaniu węzła z tym certyfikatem nie obsługujemy zmiany nazwy domeny CN. Wybierz domenę, która może mieć zastosowanie zarówno do wdrożeń próbnych, jak i produkcyjnych.

                                                                                                                                                  • Podpis inny niż SHA1

                                                                                                                                                  Oprogramowanie KMS nie obsługuje podpisów SHA1 w celu weryfikacji połączeń z KMSs innych organizacji.

                                                                                                                                                  • Formatowany jako plik PKCS #12 chroniony hasłem

                                                                                                                                                  • Użyj przyjaznej nazwy kms-private-key aby oznaczyć certyfikat, klucz prywatny i wszelkie certyfikaty pośrednie do przesłania.

                                                                                                                                                  Możesz użyć konwertera, takiego jak OpenSSL, aby zmienić format certyfikatu.

                                                                                                                                                  Po uruchomieniu narzędzia konfiguracji usługi HDS należy wprowadzić hasło.

                                                                                                                                                  Oprogramowanie KMS nie wymusza użycia klucza ani nie nakłada dodatkowych ograniczeń w jego używaniu. Niektóre organy certyfikatów wymagają, aby do każdego certyfikatu stosowano rozszerzone ograniczenia użycia kluczy, takie jak uwierzytelnianie serwera. Można używać uwierzytelniania serwera lub innych ustawień.

                                                                                                                                                  Wymagania dotyczące wirtualnego prowadzącego

                                                                                                                                                  Wirtualne hosty skonfigurowane jako węzły hybrydowego zabezpieczenia danych w klastrze mają następujące wymagania:

                                                                                                                                                  • Co najmniej dwa osobne hosty (zalecane 3) zestawione w tym samym bezpiecznym centrum danych

                                                                                                                                                  • Oprogramowanie VMware ESXi 6.5 (lub nowsze) zostało zainstalowane i uruchomione.


                                                                                                                                                     

                                                                                                                                                    Jeśli masz wcześniejszą wersję ESXi, musisz ją uaktualnić.

                                                                                                                                                  • Minimum 4 procesory vCPUs, 8-GB pamięci głównej, 30-GB lokalnego miejsca na dysk twardy na serwer

                                                                                                                                                  Wymagania serwera bazy danych


                                                                                                                                                   

                                                                                                                                                  Utwórz nową bazę danych do przechowywania kluczy. Nie używaj domyślnej bazy danych. Aplikacje HDS po zainstalowaniu tworzą schemat bazy danych.

                                                                                                                                                  Istnieją dwie opcje dla serwera bazy danych. Wymagania dla każdego z nich są następujące:

                                                                                                                                                  Tabela 2. Wymagania serwera bazy danych według typu bazy danych

                                                                                                                                                  PostgreSQL

                                                                                                                                                  Microsoft SQL Server

                                                                                                                                                  • PostgreSQL 14, 15 lub 16, zainstalowany i uruchomiony.

                                                                                                                                                  • Zainstalowano program SQL Server 2016, 2017 lub 2019 (Enterprise lub Standard).


                                                                                                                                                     

                                                                                                                                                    SQL Server 2016 wymaga pakietu usług 2 i zbiorczej aktualizacji 2 lub nowszej.

                                                                                                                                                  Minimum 8 procesorów vCPU, 16-GB pamięci głównej, wystarczająca ilość miejsca na dysku twardym i monitorowanie, aby upewnić się, że nie zostanie przekroczona (zalecane 2-TB, jeśli chcesz uruchomić bazę danych przez długi czas bez konieczności zwiększania pamięci)

                                                                                                                                                  Minimum 8 procesorów vCPU, 16-GB pamięci głównej, wystarczająca ilość miejsca na dysku twardym i monitorowanie, aby upewnić się, że nie zostanie przekroczona (zalecane 2-TB, jeśli chcesz uruchomić bazę danych przez długi czas bez konieczności zwiększania pamięci)

                                                                                                                                                  Oprogramowanie HDS instaluje obecnie następujące wersje sterowników do komunikacji z serwerem bazy danych:

                                                                                                                                                  PostgreSQL

                                                                                                                                                  Microsoft SQL Server

                                                                                                                                                  Postgres JDBC kierowca 42.2.5

                                                                                                                                                  SQL Server JDBC sterownik 4.6

                                                                                                                                                  Ta wersja sterownika obsługuje program SQL Server Always On (Always On Failover Cluster Instances oraz Always On availability groups).

                                                                                                                                                  Dodatkowe wymagania dotyczące uwierzytelniania systemu Windows w usłudze Microsoft SQL Server

                                                                                                                                                  Jeśli chcesz, aby węzły HDS używały uwierzytelniania w systemie Windows, aby uzyskać dostęp do bazy danych keystore na serwerze Microsoft SQL Server, potrzebujesz następującej konfiguracji w swoim środowisku:

                                                                                                                                                  • Węzły HDS, infrastruktura Active Directory i MS SQL Server muszą być synchronizowane z NTP.

                                                                                                                                                  • Konto systemu Windows dla węzłów HDS musi mieć dostęp do bazy danych do odczytu/zapisu.

                                                                                                                                                  • Serwery DNS dostarczane do węzłów HDS muszą być w stanie rozwiązać klucz centrum dystrybucji (KDC).

                                                                                                                                                  • Wystąpienie bazy danych HDS można zarejestrować na serwerze Microsoft SQL Server jako główną nazwę usługi (SPN) w usłudze Active Directory. Zobacz Rejestrowanie głównej nazwy usługi dla połączeń Kerberos.

                                                                                                                                                    Narzędzie do konfigurowania HDS, uruchamianie HDS i lokalne KMS muszą używać uwierzytelniania systemu Windows, aby uzyskać dostęp do bazy danych keystore. Używają szczegółów z konfiguracji ISO do skonstruowania SPN podczas żądania dostępu z uwierzytelnianiem Kerberos.

                                                                                                                                                  Wymagania dotyczące połączeń zewnętrznych

                                                                                                                                                  Skonfiguruj zaporę, aby zezwolić na następującą łączność dla aplikacji HDS:

                                                                                                                                                  Aplikacja

                                                                                                                                                  Protokół

                                                                                                                                                  Port

                                                                                                                                                  Polecenie z aplikacji

                                                                                                                                                  Miejsce docelowe

                                                                                                                                                  Węzły hybrydowego zabezpieczenia danych

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  Zewnętrzne HTTPS i WSS

                                                                                                                                                  • Serwery Webex:

                                                                                                                                                    • *.wbx2.com

                                                                                                                                                    • *.ciscospark.com

                                                                                                                                                  • Wszystkie hosty Common Identity

                                                                                                                                                  • Inne adresy URL wymienione dla hybrydowych zabezpieczeń danych w tabeli Dodatkowe adresy URL dla usług hybrydowych Webex zawierającej wymagania sieciowe dla usług Webex

                                                                                                                                                  Narzędzie do konfigurowania HDS

                                                                                                                                                  TCP

                                                                                                                                                  443

                                                                                                                                                  Zewnętrzny protokół HTTPS

                                                                                                                                                  • *.wbx2.com

                                                                                                                                                  • Wszystkie hosty Common Identity

                                                                                                                                                  • hub.docker.com


                                                                                                                                                   

                                                                                                                                                  Węzły hybrydowego zabezpieczenia danych współpracują z tłumaczeniem dostępu do sieci (NAT) lub za zaporą, o ile NAT lub zapora zezwala na wymagane połączenia wychodzące z adresami domen w poprzedniej tabeli. W przypadku połączeń przychodzących do węzłów hybrydowego zabezpieczenia danych żadne porty nie powinny być widoczne z Internetu. W centrum danych klienci potrzebują dostępu do węzłów hybrydowych zabezpieczeń danych w portach TCP 443 i 22 do celów administracyjnych.

                                                                                                                                                  Adresy URL hostów Common Identity (CI) są specyficzne dla regionu. Są to bieżące hosty CI:

                                                                                                                                                  Region

                                                                                                                                                  Wspólne adresy URL prowadzącego tożsamości

                                                                                                                                                  Ameryka

                                                                                                                                                  • https://idbroker.webex.com

                                                                                                                                                  • https://identity.webex.com

                                                                                                                                                  • https://idbroker-b-us.webex.com

                                                                                                                                                  • https://identity-b-us.webex.com

                                                                                                                                                  Unia Europejska

                                                                                                                                                  • https://idbroker-eu.webex.com

                                                                                                                                                  • https://identity-eu.webex.com

                                                                                                                                                  Kanada

                                                                                                                                                  • https://idbroker-ca.webex.com

                                                                                                                                                  • https://identity-ca.webex.com

                                                                                                                                                  Wymagania serwera proxy

                                                                                                                                                  • Oficjalnie obsługujemy następujące rozwiązania proxy, które mogą integrować się z węzłami hybrydowego zabezpieczenia danych.

                                                                                                                                                    • Przejrzysty serwer proxy — Cisco Web Security Appliance (WSA).

                                                                                                                                                    • Wyraźny serwer proxy — Squid.


                                                                                                                                                       

                                                                                                                                                      Proxies Squid, które sprawdzają ruch HTTPS może kolidować z ustanowieniem websocket (wss:) połączeń. Aby rozwiązać ten problem, zobacz Configure Squid Proxies for Hybrid Data Security.

                                                                                                                                                  • Obsługujemy następujące kombinacje typów uwierzytelniania dla serwerów proxy:

                                                                                                                                                    • Brak uwierzytelniania przy użyciu protokołu HTTP lub HTTPS

                                                                                                                                                    • Uwierzytelnianie podstawowe przy użyciu protokołu HTTP lub HTTPS

                                                                                                                                                    • Uwierzytelnianie przy użyciu protokołu HTTPS

                                                                                                                                                  • W przypadku przejrzystego serwera proxy inspekcji lub bezpośredniego serwera proxy HTTPS należy posiadać kopię certyfikatu głównego serwera proxy. Instrukcje wdrażania zawarte w tym przewodniku informują o sposobie przesłania kopii do sklepów zaufania węzłów hybrydowych zabezpieczeń danych.

                                                                                                                                                  • Sieć hostująca węzły HDS musi być skonfigurowana tak, aby wymuszać wychodzący ruch TCP na porcie 443 na trasę przez serwer proxy.

                                                                                                                                                  • Błędy kontrolne ruchu sieciowego mogą zakłócać połączenia z gniazdem sieciowym. Jeśli wystąpi ten problem, omijając (nie kontrolując) ruch do wbx2.com i ciscospark.com rozwiąże problem.

                                                                                                                                                  Wypełnij wymagania wstępne dla hybrydowego zabezpieczenia danych

                                                                                                                                                  Użyj tej listy kontrolnej, aby upewnić się, że jesteś gotowy do zainstalowania i skonfigurowania klastra hybrydowego bezpieczeństwa danych.
                                                                                                                                                  1

                                                                                                                                                  Upewnij się, że Twoja organizacja Webex jest włączona dla pakietu Pro Pack dla Cisco Webex Control Hub i uzyskaj poświadczenia konta z pełnymi prawami administratora organizacji. Aby uzyskać pomoc w tym procesie, skontaktuj się z partnerem firmy Cisco lub menedżerem konta.

                                                                                                                                                  2

                                                                                                                                                  Wybierz nazwę domeny dla wdrożenia HDS (na przykład hds.company.com) i uzyskać łańcuch certyfikatów zawierający certyfikat X.509, klucz prywatny i wszelkie certyfikaty pośrednie. Łańcuch certyfikatów musi spełniać wymagania określone w X.509 Certificate Requirements.

                                                                                                                                                  3

                                                                                                                                                  Przygotuj identyczne wirtualne hosty, które skonfigurujesz jako węzły hybrydowego zabezpieczenia danych w klastrze. Potrzebne są co najmniej dwa oddzielne hosty (zalecane 3) zestawione w tym samym bezpiecznym centrum danych, które spełniają wymagania w Wymagania wirtualnego hosta.

                                                                                                                                                  4

                                                                                                                                                  Przygotuj serwer bazy danych, który będzie działał jako kluczowy magazyn danych dla klastra, zgodnie z wymaganiami serwera bazy danych. Serwer bazy danych musi być zestawiony w bezpiecznym centrum danych z wirtualnymi hostami.

                                                                                                                                                  1. Utwórz bazę danych do przechowywania kluczy. (Musisz utworzyć tę bazę danych — nie używaj domyślnej bazy danych. Aplikacje HDS, po zainstalowaniu, tworzą schemat bazy danych.)

                                                                                                                                                  2. Zbierz szczegóły używane przez węzły do komunikacji z serwerem bazy danych:

                                                                                                                                                    • nazwę prowadzącego lub adres IP (prowadzącego) i port

                                                                                                                                                    • nazwa bazy danych (dbname) do przechowywania kluczy

                                                                                                                                                    • nazwę użytkownika i hasło użytkownika ze wszystkimi uprawnieniami w bazie danych magazynu kluczy

                                                                                                                                                  5

                                                                                                                                                  W celu szybkiego odzyskiwania danych po awarii należy skonfigurować środowisko tworzenia kopii zapasowych w innym centrum danych. Środowisko tworzenia kopii zapasowych odzwierciedla środowisko produkcyjne maszyn wirtualnych i zapasowego serwera bazy danych. Na przykład, jeśli produkcja ma 3 maszyny wirtualne z węzłami HDS, środowisko tworzenia kopii zapasowych powinno mieć 3 maszyny wirtualne.

                                                                                                                                                  6

                                                                                                                                                  Skonfiguruj hosta dziennika systemowego, aby zbierał dzienniki z węzłów w klastrze. Zbierz adres sieciowy i port dziennika systemowego (domyślnie jest to UDP 514).

                                                                                                                                                  7

                                                                                                                                                  Utwórz bezpieczne zasady tworzenia kopii zapasowych węzłów hybrydowych zabezpieczeń danych, serwera bazy danych i hosta dziennika systemowego. Aby zapobiec niemożliwej do odzyskania utracie danych, należy wykonać kopię zapasową bazy danych i pliku ISO konfiguracji wygenerowanego dla węzłów hybrydowych zabezpieczeń danych.


                                                                                                                                                   

                                                                                                                                                  Ponieważ węzły hybrydowego zabezpieczenia danych przechowują klucze używane do szyfrowania i odszyfrowywania treści, brak utrzymania operacyjnego wdrożenia spowoduje NIEZBĘDNĄ STRATĘ tej zawartości.

                                                                                                                                                  Klienci aplikacji Webex przechowują klucze w pamięci podręcznej, więc awaria może nie być natychmiast zauważalna, ale z czasem stanie się widoczna. Chociaż tymczasowe przerwy są niemożliwe do zapobieżenia, są one do odzyskania. Jednak całkowita utrata (brak kopii zapasowych) bazy danych lub pliku konfiguracyjnego ISO spowoduje niemożliwy do odzyskania dane klienta. Oczekuje się, że operatorzy węzłów hybrydowego bezpieczeństwa danych będą utrzymywać częste kopie zapasowe bazy danych i pliku ISO konfiguracji oraz będą przygotowani do odbudowy centrum danych hybrydowego bezpieczeństwa danych w przypadku wystąpienia katastrofalnej awarii.

                                                                                                                                                  8

                                                                                                                                                  Upewnij się, że konfiguracja zapory umożliwia dostęp do łączności w węzłach hybrydowych zabezpieczeń danych, jak opisano w Zewnętrznych wymogach dotyczących łączności.

                                                                                                                                                  9

                                                                                                                                                  Zainstaluj Docker ( https://www.docker.com) na każdej maszynie lokalnej z obsługiwanym systemem operacyjnym (Microsoft Windows 10 Professional lub Enterprise 64-bit lub Mac OSX Yosemite 10.10.3 lub nowszym) z przeglądarką internetową, która może uzyskać do niej dostęp pod adresem http://127.0.0.1:8080.

                                                                                                                                                  Za pomocą wystąpienia Docker można pobrać i uruchomić narzędzie konfiguracji HDS, które tworzy lokalne informacje konfiguracyjne dla wszystkich węzłów hybrydowych zabezpieczeń danych. Twoja organizacja może potrzebować licencji Docker Desktop. Aby uzyskać więcej informacji, zobacz Wymagania Dotyczące Pulpitu Dockera.

                                                                                                                                                  Aby zainstalować i uruchomić narzędzie do konfiguracji HDS, lokalna maszyna musi mieć łączność opisaną w Zewnętrznych wymaganiach dotyczących łączności.

                                                                                                                                                  10

                                                                                                                                                  Jeśli integrujesz serwer proxy z hybrydowymi zabezpieczeniami danych, upewnij się, że spełnia on wymagania serwera proxy.

                                                                                                                                                  11

                                                                                                                                                  Jeśli Twoja organizacja używa synchronizacji katalogu, utwórz grupę w usłudze Active Directory o nazwie HdsTrialGroup, i dodać użytkowników pilotażowych. Grupa próbna może mieć do 250 użytkowników. Plik HdsTrialGroup obiekt musi być zsynchronizowany z chmurą przed rozpoczęciem próby dla organizacji. Aby zsynchronizować obiekt grupowy, wybierz go w łączniku usług katalogowych Konfiguracja > Menu Wybór obiektu. (Szczegółowe instrukcje można znaleźć w Podręczniku wdrażania Cisco Directory Connector.)


                                                                                                                                                   

                                                                                                                                                  Klucze dla danego obszaru są ustawiane przez twórcę tego obszaru. Wybierając użytkowników pilotażowych, należy pamiętać, że jeśli zdecydujesz się na trwałą dezaktywację wdrożenia hybrydowego zabezpieczenia danych, wszyscy użytkownicy utracą dostęp do treści w obszarach utworzonych przez użytkowników pilotażowych. Strata staje się widoczna, gdy aplikacje użytkowników odświeżą swoje kopie w pamięci podręcznej treści.

                                                                                                                                                  Konfigurowanie hybrydowego klastra bezpieczeństwa danych

                                                                                                                                                  Przepływ zadań związanych z wdrażaniem zabezpieczeń danych hybrydowych

                                                                                                                                                  Przed rozpoczęciem

                                                                                                                                                  Przygotuj swoje środowisko

                                                                                                                                                  1

                                                                                                                                                  Pobierz pliki instalacyjne

                                                                                                                                                  Pobierz plik OVA do lokalnego komputera, aby później go użyć.

                                                                                                                                                  2

                                                                                                                                                  Tworzenie ISO konfiguracji dla prowadzących HDS

                                                                                                                                                  Za pomocą narzędzia konfiguracyjnego HDS można utworzyć plik konfiguracyjny ISO dla węzłów hybrydowych zabezpieczeń danych.

                                                                                                                                                  3

                                                                                                                                                  Instalowanie OVA hosta HDS

                                                                                                                                                  Utwórz maszynę wirtualną z pliku OVA i wykonaj konfigurację początkową, taką jak ustawienia sieciowe.


                                                                                                                                                   

                                                                                                                                                  Opcja konfigurowania ustawień sieciowych podczas wdrażania OVA została przetestowana z ESXi 6.5. Opcja może nie być dostępna we wcześniejszych wersjach.

                                                                                                                                                  4

                                                                                                                                                  Skonfiguruj hybrydową maszynę wirtualną ds. bezpieczeństwa danych

                                                                                                                                                  Zaloguj się na konsoli VM i ustaw poświadczenia logowania. Skonfiguruj ustawienia sieciowe węzła, jeśli nie zostały skonfigurowane w czasie wdrażania OVA.

                                                                                                                                                  5

                                                                                                                                                  Prześlij i zamontuj ISO konfiguracji HDS

                                                                                                                                                  Skonfiguruj VM z pliku konfiguracyjnego ISO utworzonego za pomocą narzędzia do konfiguracji HDS.

                                                                                                                                                  6

                                                                                                                                                  Konfigurowanie węzła HDS dla integracji serwera proxy

                                                                                                                                                  Jeśli środowisko sieciowe wymaga konfiguracji serwera proxy, określ typ serwera proxy, którego użyjesz dla węzła, i w razie potrzeby dodaj certyfikat serwera proxy do sklepu zaufania.

                                                                                                                                                  7

                                                                                                                                                  Zarejestruj pierwszy węzeł w klastrze

                                                                                                                                                  Zarejestruj maszynę wirtualną za pomocą chmury Cisco Webex jako węzeł hybrydowego zabezpieczenia danych.

                                                                                                                                                  8

                                                                                                                                                  Tworzenie i rejestrowanie większej liczby węzłów

                                                                                                                                                  Zakończ konfigurację klastra.

                                                                                                                                                  9

                                                                                                                                                  Przeprowadzanie wersji próbnej i przejście do produkcji (następny rozdział)

                                                                                                                                                  Do momentu rozpoczęcia próby węzły wygenerują alarm wskazujący, że usługa nie została jeszcze aktywowana.

                                                                                                                                                  Pobierz pliki instalacyjne

                                                                                                                                                  W tym zadaniu pobierz plik OVA do swojego komputera (nie do serwerów skonfigurowanych jako węzły hybrydowego zabezpieczenia danych). Ten plik jest używany później w procesie instalacji.
                                                                                                                                                  1

                                                                                                                                                  Zaloguj się do https://admin.webex.com, a następnie kliknij opcję Usługi.

                                                                                                                                                  2

                                                                                                                                                  W sekcji Usługi hybrydowe znajdź kartę zabezpieczenia danych hybrydowych, a następnie kliknij przycisk Skonfiguruj.

                                                                                                                                                  Jeśli karta jest wyłączona lub jej nie widzisz, skontaktuj się z zespołem ds. kont lub organizacją partnerską. Podaj im numer konta i poproś o włączenie organizacji Hybrid Data Security. Aby znaleźć numer konta, kliknij bieg w prawym górnym rogu obok nazwy organizacji.


                                                                                                                                                   

                                                                                                                                                  OVA można również pobrać w dowolnym momencie z sekcji Pomoc na stronie Ustawienia . Na karcie Hybrid Data Security kliknij opcję Edytuj ustawienia, aby otworzyć stronę. Następnie kliknij opcję Pobierz oprogramowanie hybrydowego zabezpieczenia danych w sekcji Pomoc .


                                                                                                                                                   

                                                                                                                                                  Starsze wersje pakietu oprogramowania (OVA) nie będą kompatybilne z najnowszymi aktualizacjami Hybrid Data Security. Może to spowodować problemy podczas uaktualniania aplikacji. Upewnij się, że pobierz najnowszą wersję pliku OVA.

                                                                                                                                                  3

                                                                                                                                                  Wybierz Nie , aby wskazać, że węzeł nie został jeszcze skonfigurowany, a następnie kliknij przycisk Dalej.

                                                                                                                                                  Plik OVA automatycznie zaczyna się pobierać. Zapisz plik w lokalizacji na komputerze.
                                                                                                                                                  4

                                                                                                                                                  Opcjonalnie kliknij Open Deployment Guide (Otwórz przewodnik wdrażania), aby sprawdzić, czy dostępna jest późniejsza wersja tego przewodnika.

                                                                                                                                                  Tworzenie ISO konfiguracji dla prowadzących HDS

                                                                                                                                                  Proces konfiguracji hybrydowego zabezpieczenia danych tworzy plik ISO. Następnie należy użyć ISO do skonfigurowania hosta hybrydowego bezpieczeństwa danych.

                                                                                                                                                  Przed rozpoczęciem

                                                                                                                                                  • Narzędzie HDS Setup działa jako kontener Docker na lokalnej maszynie. Aby uzyskać do niego dostęp, uruchom Docker na tej maszynie. Proces konfiguracji wymaga poświadczeń konta Control Hub z pełnymi prawami administratora dla Twojej organizacji.

                                                                                                                                                    Jeśli narzędzie HDS Setup działa za serwerem proxy w Twoim środowisku, podaj ustawienia serwera proxy (serwer, port, poświadczenia) za pomocą zmiennych środowiska Docker podczas podnoszenia kontenera Docker w kroku 5. Ta tabela zawiera pewne możliwe zmienne środowiskowe:

                                                                                                                                                    Opis

                                                                                                                                                    Zmienna

                                                                                                                                                    Serwer proxy HTTP bez uwierzytelniania

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    Serwer proxy HTTPS bez uwierzytelniania

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    Serwer proxy HTTP z uwierzytelnianiem

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                    Serwer proxy HTTPS z uwierzytelnianiem

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                  • Wygenerowany plik ISO konfiguracji zawiera klucz główny szyfrujący bazę danych PostgreSQL lub Microsoft SQL Server. Potrzebna jest najnowsza kopia tego pliku, gdy wprowadzasz zmiany w konfiguracji, takie jak:

                                                                                                                                                    • Poświadczenia bazy danych

                                                                                                                                                    • Aktualizacje certyfikatów

                                                                                                                                                    • Zmiany w zasadach autoryzacji

                                                                                                                                                  • Jeśli planujesz szyfrowanie połączeń z bazą danych, skonfiguruj wdrożenie programu PostgreSQL lub SQL Server dla TLS.

                                                                                                                                                  1

                                                                                                                                                  W wierszu poleceń maszyny wprowadź odpowiednie polecenie dla środowiska:

                                                                                                                                                  W normalnych warunkach:

                                                                                                                                                  docker rmi ciscocitg/hds-setup:stable

                                                                                                                                                  W środowiskach FedRAMP:

                                                                                                                                                  docker rmi ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                   

                                                                                                                                                  Ten krok oczyszcza poprzednie obrazy narzędzia konfiguracji HDS. Jeśli nie ma poprzednich obrazów, zwraca błąd, który można zignorować.

                                                                                                                                                  2

                                                                                                                                                  Aby zalogować się do rejestru obrazów Docker, wprowadź następujące informacje:

                                                                                                                                                  docker login -u hdscustomersro
                                                                                                                                                  3

                                                                                                                                                  Po wyświetleniu monitu o hasło wprowadź następujący tekst:

                                                                                                                                                  dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
                                                                                                                                                  4

                                                                                                                                                  Pobierz najnowszy stabilny obraz środowiska:

                                                                                                                                                  W normalnych warunkach:

                                                                                                                                                  docker pull ciscocitg/hds-setup:stable

                                                                                                                                                  W środowiskach FedRAMP:

                                                                                                                                                  docker pull ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  5

                                                                                                                                                  Po zakończeniu ciągnięcia wprowadź odpowiednie polecenie dla środowiska:

                                                                                                                                                  • W normalnych środowiskach bez serwera proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
                                                                                                                                                  • W normalnych środowiskach z serwerem proxy HTTP:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • W normalnych środowiskach z serwerem proxy HTTPS:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                  • W środowiskach FedRAMP bez serwera proxy:

                                                                                                                                                    docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • W środowiskach FedRAMP z serwerem proxy HTTP:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                  • W środowiskach FedRAMP z serwerem proxy HTTPS:

                                                                                                                                                    docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                  Gdy kontener jest uruchomiony, widzisz "Serwer ekspresowy słuchający na porcie 8080".

                                                                                                                                                  6

                                                                                                                                                   

                                                                                                                                                  Narzędzie Konfiguracja nie obsługuje łączenia się z localhost za pośrednictwem http://localhost:8080. Użyj http://127.0.0.1:8080, aby połączyć się z hostem lokalizacji.

                                                                                                                                                  Użyj przeglądarki internetowej, aby przejść do hosta lokalizacji, http://127.0.0.1:8080, i wprowadź nazwę użytkownika administratora klienta dla Control Hub po wyświetleniu monitu.

                                                                                                                                                  Narzędzie używa tego pierwszego wpisu nazwy użytkownika, aby ustawić odpowiednie środowisko dla tego konta. Następnie narzędzie wyświetla standardowy monit o zalogowanie.

                                                                                                                                                  7

                                                                                                                                                  Po wyświetleniu monitu wprowadź poświadczenia logowania administratora klienta Control Hub, a następnie kliknij przycisk Zaloguj się , aby zezwolić na dostęp do wymaganych usług Hybrid Data Security.

                                                                                                                                                  8

                                                                                                                                                  Na stronie Przegląd narzędzia konfiguracyjnego kliknij Rozpocznij.

                                                                                                                                                  9

                                                                                                                                                  Na stronie ISO Import dostępne są następujące opcje:

                                                                                                                                                  • Nie— jeśli tworzysz swój pierwszy węzeł HDS, nie masz pliku ISO do przesłania.
                                                                                                                                                  • Tak— jeśli utworzono już węzły HDS, należy wybrać plik ISO podczas przeglądania i przesyłania go.
                                                                                                                                                  10

                                                                                                                                                  Sprawdź, czy certyfikat X.509 spełnia wymagania określone w wymaganiach certyfikatów X.509.

                                                                                                                                                  • Jeśli nigdy wcześniej nie przesłałeś certyfikatu, prześlij certyfikat X.509, wprowadź hasło i kliknij przycisk Kontynuuj.
                                                                                                                                                  • Jeśli certyfikat jest prawidłowy, kliknij przycisk Kontynuuj.
                                                                                                                                                  • Jeśli certyfikat wygasł lub chcesz go zastąpić, wybierz opcję Nie , aby Kontynuować korzystanie z łańcucha certyfikatów HDS i klucza prywatnego z poprzedniego ISO?. Prześlij nowy certyfikat X.509, wprowadź hasło i kliknij przycisk Kontynuuj.
                                                                                                                                                  11

                                                                                                                                                  Wprowadź adres bazy danych i konto HDS, aby uzyskać dostęp do klucza danych:

                                                                                                                                                  1. Wybierz typ bazy danych (PostgreSQL lub Microsoft SQL Server).

                                                                                                                                                    Jeśli wybierzesz program Microsoft SQL Server, otrzymasz pole Typ uwierzytelniania.

                                                                                                                                                  2. (tylko Microsoft SQL Server) Wybierz Typ uwierzytelniania:

                                                                                                                                                    • Uwierzytelnianie podstawowe: W polu Nazwa użytkownika potrzebna jest lokalna nazwa konta SQL Server.

                                                                                                                                                    • Uwierzytelnianie systemu Windows: Potrzebujesz konta Windows w formacie username@DOMAIN w polu Nazwa użytkownika.

                                                                                                                                                  3. Wprowadź adres serwera bazy danych w formularzu <hostname>:<port> lub <IP-address>:<port>.

                                                                                                                                                    Przykład:
                                                                                                                                                    dbhost.example.org:1433 lub 198.51.100.17:1433

                                                                                                                                                    Do podstawowego uwierzytelniania można użyć adresu IP, jeśli węzły nie mogą używać DNS do rozpoznawania nazwy hosta.

                                                                                                                                                    Jeśli używasz uwierzytelniania systemu Windows, musisz wprowadzić w pełni kwalifikowaną nazwę domeny w formacie dbhost.example.org:1433

                                                                                                                                                  4. Wprowadź nazwę bazy danych.

                                                                                                                                                  5. Wprowadź nazwę użytkownika i hasło użytkownika ze wszystkimi uprawnieniami w bazie danych magazynu kluczy.

                                                                                                                                                  12

                                                                                                                                                  Wybierz tryb połączenia z bazą danych TLS:

                                                                                                                                                  Tryb

                                                                                                                                                  Opis

                                                                                                                                                  Preferuj TLS(opcja domyślna)

                                                                                                                                                  Węzły HDS nie wymagają połączenia TLS z serwerem bazy danych. Jeśli włączysz protokół TLS na serwerze bazy danych, węzły spróbują zaszyfrowanego połączenia.

                                                                                                                                                  Wymagaj TLS

                                                                                                                                                  Węzły HDS łączą się tylko wtedy, gdy serwer bazy danych może negocjować protokół TLS.

                                                                                                                                                  Wymagaj protokołu TLS i zweryfikuj sygnaturę certyfikatu


                                                                                                                                                   

                                                                                                                                                  Ten tryb nie ma zastosowania do baz danych SQL Server.

                                                                                                                                                  • Węzły HDS łączą się tylko wtedy, gdy serwer bazy danych może negocjować protokół TLS.

                                                                                                                                                  • Po nawiązaniu połączenia TLS węzeł porównuje sygnera certyfikatu z serwera bazy danych z organem certyfikatu w certyfikacie głównym bazy danych. Jeśli nie pasują, węzeł zrzuca połączenie.

                                                                                                                                                  Użyj kontroli certyfikatu głównego bazy danych poniżej listy rozwijanej, aby przesłać certyfikat główny dla tej opcji.

                                                                                                                                                  Wymagaj protokołu TLS i zweryfikuj sygnaturę certyfikatu i nazwę hosta

                                                                                                                                                  • Węzły HDS łączą się tylko wtedy, gdy serwer bazy danych może negocjować protokół TLS.

                                                                                                                                                  • Po nawiązaniu połączenia TLS węzeł porównuje sygnera certyfikatu z serwera bazy danych z organem certyfikatu w certyfikacie głównym bazy danych. Jeśli nie pasują, węzeł zrzuca połączenie.

                                                                                                                                                  • Węzły sprawdzają również, czy nazwa hosta w certyfikacie serwera jest zgodna z nazwą hosta w polu Baza danych i port . Nazwy muszą dokładnie pasować, albo węzeł zrzuca połączenie.

                                                                                                                                                  Użyj kontroli certyfikatu głównego bazy danych poniżej listy rozwijanej, aby przesłać certyfikat główny dla tej opcji.

                                                                                                                                                  Po przesłaniu certyfikatu głównego (jeśli jest to konieczne) i kliknięciu przycisku Kontynuuj, narzędzie konfiguracji HDS testuje połączenie TLS z serwerem bazy danych. W stosownych przypadkach narzędzie weryfikuje również sygnaturę certyfikatu i nazwę hosta. Jeśli test nie powiedzie się, narzędzie wyświetli komunikat o błędzie opisujący problem. Można wybrać, czy zignorować błąd i kontynuować konfigurację. (Z powodu różnic w połączeniach węzły HDS mogą być w stanie nawiązać połączenie TLS, nawet jeśli maszyna narzędziowa HDS Setup Tool nie jest w stanie go przetestować).

                                                                                                                                                  13

                                                                                                                                                  Na stronie Dzienniki systemu skonfiguruj serwer Syslogd:

                                                                                                                                                  1. Wprowadź adres URL serwera dziennika systemowego.

                                                                                                                                                    Jeśli serwer nie jest w stanie rozwiązać DNS z węzłów klastra HDS, użyj adresu IP w adresie URL.

                                                                                                                                                    Przykład:
                                                                                                                                                    udp://10.92.43.23:514 wskazuje logowanie do hosta Syslogd 10.92.43.23 w porcie UDP 514.
                                                                                                                                                  2. Jeśli skonfigurujesz serwer, aby używał szyfrowania TLS, sprawdź, czy serwer dziennika systemowego jest skonfigurowany do szyfrowania SSL?.

                                                                                                                                                    Jeśli zaznaczysz to pole wyboru, upewnij się, że wprowadzasz adres URL TCP, taki jak: tcp://10.92.43.23:514.

                                                                                                                                                  3. Z listy rozwijanej Wybierz zakończenie rekordu dziennika systemowego wybierz odpowiednie ustawienie dla pliku ISO: Wybierz lub Newline są używane do Graylog i Rsyslog TCP

                                                                                                                                                    • Byte czajnika -- \x00

                                                                                                                                                    • Newline -- \n — Wybierz ten wybór dla aplikacji Graylog i Rsyslog TCP.

                                                                                                                                                  4. Kliknij przycisk Kontynuuj.

                                                                                                                                                  14

                                                                                                                                                  (Opcjonalnie) W ustawieniach zaawansowanych można zmienić wartość domyślną niektórych parametrów połączenia z bazą danych. Ogólnie rzecz biorąc, ten parametr jest jedynym parametrem, który można zmienić:

                                                                                                                                                  app_datasource_connection_pool_maxSize: 10
                                                                                                                                                  15

                                                                                                                                                  Kliknij przycisk Kontynuuj na ekranie Resetuj hasło konta usługi .

                                                                                                                                                  Hasła konta serwisowego mają okres dziewięciu miesięcy. Użyj tego ekranu, gdy hasła zbliżają się do wygaśnięcia lub chcesz je zresetować, aby unieważnić poprzednie pliki ISO.

                                                                                                                                                  16

                                                                                                                                                  Kliknij opcję Pobierz plik ISO. Zapisz plik w lokalizacji, którą łatwo znaleźć.

                                                                                                                                                  17 17 17

                                                                                                                                                  Wykonaj kopię zapasową pliku ISO w lokalnym systemie.

                                                                                                                                                  Kopia zapasowa powinna być zabezpieczona. Ten plik zawiera główny klucz szyfrowania zawartości bazy danych. Ogranicz dostęp tylko do tych administratorów hybrydowych zabezpieczeń danych, którzy powinni wprowadzać zmiany w konfiguracji.

                                                                                                                                                  18

                                                                                                                                                  Aby zamknąć narzędzie konfiguracji, wpisz CTRL+C.

                                                                                                                                                  Co zrobić dalej

                                                                                                                                                  Kopia zapasowa pliku ISO konfiguracji. Musisz utworzyć więcej węzłów do odzyskiwania lub wprowadzić zmiany w konfiguracji. Jeśli stracisz wszystkie kopie pliku ISO, stracisz również klucz główny. Odzyskiwanie kluczy z bazy danych PostgreSQL lub Microsoft SQL Server nie jest możliwe.


                                                                                                                                                   

                                                                                                                                                  Nigdy nie mamy kopii tego klucza i nie możemy pomóc, jeśli go stracisz.

                                                                                                                                                  Instalowanie OVA hosta HDS

                                                                                                                                                  Użyj tej procedury, aby utworzyć maszynę wirtualną z pliku OVA.
                                                                                                                                                  1

                                                                                                                                                  Aby zalogować się do wirtualnego hosta ESXi, użyj klienta VMware vSphere na komputerze.

                                                                                                                                                  2

                                                                                                                                                  Wybierz Plik > Wdrożenie szablonu OVF.

                                                                                                                                                  3

                                                                                                                                                  W kreatorze określ lokalizację pobranego wcześniej pliku OVA, a następnie kliknij Następny.

                                                                                                                                                  4

                                                                                                                                                  Na ekranie Wybierz nazwę i folder strona, wprowadź Nazwa maszyny wirtualnej dla węzła (na przykład „HDS_Node_1”) wybierz lokalizację, w której może znajdować się wdrożenie węzła maszyny wirtualnej, a następnie kliknij przycisk Następny.

                                                                                                                                                  5

                                                                                                                                                  Na ekranie Wybierz zasób obliczeniowy strona, wybierz docelowy zasób obliczeniowy, a następnie kliknij Następny.

                                                                                                                                                  Trwa kontrola walidacji. Po jego zakończeniu pojawiają się szczegóły szablonu.

                                                                                                                                                  6

                                                                                                                                                  Sprawdź szczegóły szablonu, a następnie kliknij przycisk Dalej.

                                                                                                                                                  7

                                                                                                                                                  Jeśli zostaniesz poproszony o wybranie konfiguracji zasobów na stronie Konfiguracja strona, kliknij 4 CPU a następnie kliknij Następny.

                                                                                                                                                  8

                                                                                                                                                  Na ekranie Wybierz miejsce strona, kliknij Następny aby zaakceptować domyślny format dysku i zasady przechowywania VM.

                                                                                                                                                  9

                                                                                                                                                  Na ekranie Wybierz sieci na stronie wybierz opcję sieci z listy pozycji, aby zapewnić żądaną łączność z maszyną wirtualną.

                                                                                                                                                  10

                                                                                                                                                  Na stronie Dostosuj szablon skonfiguruj następujące ustawienia sieci:

                                                                                                                                                  • Nazwa hosta — wprowadź nazwę hosta FQDN (nazwa hosta i domena) lub nazwę hosta pojedynczego słowa dla węzła.

                                                                                                                                                     
                                                                                                                                                    • Nie trzeba ustawiać domeny tak, aby pasowała do domeny używanej do uzyskania certyfikatu X.509.

                                                                                                                                                    • Aby zapewnić pomyślną rejestrację w chmurze, użyj tylko znaków z małymi literami w nazwie FQDN lub nazwie hosta ustawionej dla węzła. W tym momencie kapitalizacja nie jest obsługiwana.

                                                                                                                                                    • Całkowita długość FQDN nie może przekraczać 64 znaków.

                                                                                                                                                  • Adres IP— wprowadź adres IP interfejsu wewnętrznego węzła.

                                                                                                                                                     

                                                                                                                                                    Węzeł powinien mieć wewnętrzny adres IP i nazwę DNS. Serwer DHCP nie jest obsługiwany.

                                                                                                                                                  • Maska— wprowadź adres maski podsieci w notacji dot-dziesiętnej. Na przykład: 255.255.255.0.
                                                                                                                                                  • Brama — wprowadź adres IP bramy. Brama to węzeł sieciowy, który służy jako punkt dostępu do innej sieci.
                                                                                                                                                  • Serwery DNS— wprowadź oddzieloną przecinkami listę serwerów DNS, które obsługują tłumaczenie nazw domen na numeryczne adresy IP. (Dozwolone są do 4 wpisy DNS).
                                                                                                                                                  • Serwery NTP — wprowadź serwer NTP swojej organizacji lub inny zewnętrzny serwer NTP, który może być używany w Twojej organizacji. Domyślne serwery NTP mogą nie działać dla wszystkich przedsiębiorstw. Można również użyć listy rozdzielonej przecinkami, aby wprowadzić wiele serwerów NTP.
                                                                                                                                                  • Wdrożenie wszystkich węzłów w tej samej podsieci lub sieci VLAN, tak aby wszystkie węzły w klastrze były dostępne dla klientów w sieci do celów administracyjnych.

                                                                                                                                                  Jeśli jest to preferowane, można pominąć konfigurację ustawień sieci i wykonać czynności opisane w punkcie Skonfiguruj hybrydową maszynę wirtualną bezpieczeństwa danych w celu skonfigurowania ustawień z konsoli węzła.


                                                                                                                                                   

                                                                                                                                                  Opcja konfigurowania ustawień sieciowych podczas wdrażania OVA została przetestowana z ESXi 6.5. Opcja może nie być dostępna we wcześniejszych wersjach.

                                                                                                                                                  11

                                                                                                                                                  Kliknij prawym przyciskiem myszy węzeł VM, a następnie wybierz Zasilanie > Włączanie zasilania.

                                                                                                                                                  Oprogramowanie Hybrid Data Security jest instalowane jako gość w hostu VM. Teraz możesz zalogować się na konsoli i skonfigurować węzeł.

                                                                                                                                                  Wskazówki dotyczące rozwiązywania problemów

                                                                                                                                                  Może wystąpić opóźnienie o kilka minut przed pojawieniem się kontenerów węzła. Podczas pierwszego uruchamiania na konsoli pojawi się komunikat zapory mostowej, podczas którego nie można się zalogować.

                                                                                                                                                  Skonfiguruj hybrydową maszynę wirtualną ds. bezpieczeństwa danych

                                                                                                                                                  Użyj tej procedury, aby po raz pierwszy zalogować się na konsoli VM węzła hybrydowego zabezpieczenia danych i ustawić poświadczenia logowania. Konsola może również skonfigurować ustawienia sieciowe węzła, jeśli nie zostały skonfigurowane w czasie wdrażania OVA.

                                                                                                                                                  1

                                                                                                                                                  W kliencie VMware vSphere wybierz węzeł VM Hybrid Data Security i kartę Console .

                                                                                                                                                  Maszyna zostanie uruchomiona i pojawi się monit o zalogowanie. Jeśli monit o zalogowanie nie jest wyświetlany, naciśnij przycisk Enter.
                                                                                                                                                  2

                                                                                                                                                  Aby się zalogować i zmienić poświadczenia, należy użyć następującego domyślnego loginu i hasła:

                                                                                                                                                  1. Logowanie: admin

                                                                                                                                                  2. Hasło: cisco

                                                                                                                                                  Ponieważ logujesz się do VM po raz pierwszy, musisz zmienić hasło administratora.

                                                                                                                                                  3

                                                                                                                                                  Jeśli ustawienia sieci zostały już skonfigurowane w Instalowaniu OVA hosta usługi HDS, pomiń pozostałą część tej procedury. W przeciwnym razie w menu głównym wybierz opcję Edytuj konfigurację.

                                                                                                                                                  4

                                                                                                                                                  Skonfiguruj statyczną konfigurację z adresem IP, maską, bramą i informacjami DNS. Węzeł powinien mieć wewnętrzny adres IP i nazwę DNS. Serwer DHCP nie jest obsługiwany.

                                                                                                                                                  5

                                                                                                                                                  (Opcjonalnie) Zmień nazwę hosta, domenę lub serwery NTP, jeśli jest to konieczne do dopasowania do zasad sieci.

                                                                                                                                                  Nie trzeba ustawiać domeny tak, aby pasowała do domeny używanej do uzyskania certyfikatu X.509.

                                                                                                                                                  6

                                                                                                                                                  Zapisz konfigurację sieci i uruchom ponownie VM, aby zmiany weszły w życie.

                                                                                                                                                  Prześlij i zamontuj ISO konfiguracji HDS

                                                                                                                                                  Ta procedura służy do konfigurowania maszyny wirtualnej z pliku ISO utworzonego za pomocą narzędzia konfiguracji HDS.

                                                                                                                                                  Przed rozpoczęciem

                                                                                                                                                  Ponieważ plik ISO zawiera klucz główny, powinien on być narażony tylko na „potrzebę wiedzy”, aby uzyskać dostęp do hybrydowych maszyn wirtualnych ds. bezpieczeństwa danych i wszystkich administratorów, którzy mogą wymagać wprowadzenia zmian. Upewnij się, że tylko ci administratorzy mogą uzyskać dostęp do bazy danych.

                                                                                                                                                  1

                                                                                                                                                  Prześlij plik ISO z komputera:

                                                                                                                                                  1. W lewym okienku nawigacyjnym klienta VMware vSphere kliknij na serwer ESXi.

                                                                                                                                                  2. Na liście Sprzętu na karcie Konfiguracja kliknij przycisk Przechowywanie.

                                                                                                                                                  3. Na liście Datastores kliknij prawym przyciskiem myszy katalog danych dla swoich maszyn wirtualnych i kliknij opcję Przeglądaj Datastore.

                                                                                                                                                  4. Kliknij ikonę Prześlij pliki, a następnie kliknij Prześlij plik.

                                                                                                                                                  5. Przejdź do lokalizacji, w której pobrałeś plik ISO na komputerze i kliknij przycisk Otwórz.

                                                                                                                                                  6. Kliknij przycisk Tak, aby zaakceptować ostrzeżenie o operacji przesyłania/pobierania i zamknąć okno dialogowe z listą danych.

                                                                                                                                                  2

                                                                                                                                                  Montaż pliku ISO:

                                                                                                                                                  1. W lewym okienku nawigacyjnym klienta VMware vSphere kliknij prawym przyciskiem myszy maszynę wirtualną i kliknij opcję Edytuj ustawienia.

                                                                                                                                                  2. Kliknij przycisk OK, aby zaakceptować ostrzeżenie o opcjach edycji ograniczonej.

                                                                                                                                                  3. Kliknij CD/DVD Drive 1, wybierz opcję montażu z pliku ISO w zbiorniku danych i przejdź do lokalizacji, w której przesłano plik ISO konfiguracji.

                                                                                                                                                  4. Sprawdzić Podłączono i Podłączono przy włączonym zasilaniu.

                                                                                                                                                  5. Zapisz zmiany i uruchom ponownie maszynę wirtualną.

                                                                                                                                                  Co zrobić dalej

                                                                                                                                                  Jeśli polityka IT wymaga, możesz opcjonalnie odmontować plik ISO po tym, jak wszystkie węzły podniosą zmiany w konfiguracji. Aby uzyskać szczegółowe informacje, zobacz (Opcjonalnie) Odinstaluj ISO Po Konfiguracji HDS.

                                                                                                                                                  Konfigurowanie węzła HDS dla integracji serwera proxy

                                                                                                                                                  Jeśli środowisko sieciowe wymaga serwera proxy, użyj tej procedury, aby określić typ serwera proxy, który chcesz zintegrować z Hybrid Data Security. Po wybraniu przejrzystego serwera proxy inspekcji lub bezpośredniego serwera proxy HTTPS można użyć interfejsu węzła do przesłania i zainstalowania certyfikatu głównego. Możesz również sprawdzić połączenie serwera proxy z poziomu interfejsu i rozwiązać ewentualne problemy.

                                                                                                                                                  Przed rozpoczęciem

                                                                                                                                                  1

                                                                                                                                                  Wprowadź adres URL konfiguracji węzła HDS https://[HDS Node IP or FQDN]/setup w przeglądarce internetowej wprowadź poświadczenia administratora skonfigurowane dla węzła, a następnie kliknij przycisk Zaloguj się.

                                                                                                                                                  2

                                                                                                                                                  Przejdź do sklepu Trust Store & Proxy, a następnie wybierz opcję:

                                                                                                                                                  • Brak serwera proxy — opcja domyślna przed integracją serwera proxy. Nie jest wymagana aktualizacja certyfikatu.
                                                                                                                                                  • Transparent Non-Inspecting Proxy — węzły nie są skonfigurowane do używania określonego adresu serwera proxy i nie powinny wymagać żadnych zmian w pracy z niekontrolowanym serwerem proxy. Nie jest wymagana aktualizacja certyfikatu.
                                                                                                                                                  • Transparent Inspecting Proxy — węzły nie są skonfigurowane do używania określonego adresu serwera proxy. W przypadku wdrożenia hybrydowego zabezpieczenia danych nie są konieczne zmiany konfiguracji protokołu HTTPS, jednak węzły HDS potrzebują certyfikatu głównego, aby zaufać proxy. Informatycy zazwyczaj używają serwerów proxy do egzekwowania zasad, na których strony internetowe mogą być odwiedzane i które rodzaje treści są niedozwolone. Ten typ serwera proxy odszyfruje cały ruch (nawet HTTPS).
                                                                                                                                                  • Explicit Proxy— w przypadku wyraźnego serwera proxy należy poinformować klienta (węzły HDS), którego serwera proxy ma używać, a ta opcja obsługuje kilka typów uwierzytelniania. Po wybraniu tej opcji należy wprowadzić następujące informacje:
                                                                                                                                                    1. Proxy IP/FQDN — adres, którego można użyć do dotarcia do maszyny proxy.

                                                                                                                                                    2. Port serwera proxy— numer portu, którego serwer proxy używa do odsłuchiwania ruchu z serwerem proxy.

                                                                                                                                                    3. Protokół proxy — wybierz http (wyświetla i kontroluje wszystkie żądania otrzymane od klienta) lub https (dostarcza kanał do serwera, a klient odbiera i weryfikuje certyfikat serwera). Wybierz opcję na podstawie tego, co obsługuje serwer proxy.

                                                                                                                                                    4. Typ uwierzytelniania — wybierz spośród następujących typów uwierzytelniania:

                                                                                                                                                      • Brak — dalsze uwierzytelnianie nie jest wymagane.

                                                                                                                                                        Dostępne dla serwerów proxy HTTP lub HTTPS.

                                                                                                                                                      • Basic — używane przez agenta użytkownika HTTP do podawania nazwy użytkownika i hasła podczas składania żądania. Korzysta z kodowania Base64.

                                                                                                                                                        Dostępne dla serwerów proxy HTTP lub HTTPS.

                                                                                                                                                        Jeśli wybierzesz tę opcję, musisz również wprowadzić nazwę użytkownika i hasło.

                                                                                                                                                      • Digest — służy do potwierdzenia konta przed wysłaniem poufnych informacji. Przed wysłaniem za pośrednictwem sieci należy zastosować funkcję skrótu w nazwie użytkownika i hasłem.

                                                                                                                                                        Dostępne tylko dla serwerów proxy HTTPS.

                                                                                                                                                        Jeśli wybierzesz tę opcję, musisz również wprowadzić nazwę użytkownika i hasło.

                                                                                                                                                  Postępuj zgodnie z kolejnymi krokami w celu przejrzystego kontrolowania serwera proxy, bezpośredniego serwera proxy HTTP z uwierzytelnianiem podstawowym lub bezpośredniego serwera proxy HTTPS.

                                                                                                                                                  3

                                                                                                                                                  Kliknij opcję Prześlij certyfikat główny lub certyfikat jednostki końcowej, a następnie przejdź do opcji Wybierz certyfikat główny serwera proxy.

                                                                                                                                                  Certyfikat jest przesyłany, ale jeszcze nie został zainstalowany, ponieważ aby zainstalować certyfikat, należy ponownie uruchomić węzeł. Aby uzyskać więcej szczegółów, kliknij strzałkę chevron po nazwie emitenta certyfikatu lub kliknij opcję Usuń, jeśli popełniłeś błąd i chcesz ponownie przesłać plik.

                                                                                                                                                  4

                                                                                                                                                  Kliknij Check Proxy Connection (Sprawdź połączenie proxy), aby sprawdzić połączenie sieciowe między węzłem a serwerem proxy.

                                                                                                                                                  Jeśli test połączenia zakończy się niepowodzeniem, pojawi się komunikat o błędzie przedstawiający przyczynę i sposób naprawienia problemu.

                                                                                                                                                  Jeśli zobaczysz komunikat informujący, że zewnętrzna rozdzielczość DNS nie powiodła się, węzeł nie mógł dotrzeć do serwera DNS. Warunek ten jest oczekiwany w wielu wyraźnych konfiguracjach serwera proxy. Możesz kontynuować konfigurację, a węzeł będzie działał w trybie Zablokowanej Zewnętrznej Rozdzielczości DNS. Jeśli uważasz, że jest to błąd, wykonaj poniższe czynności, a następnie zobacz Wyłącz Zablokowany Zewnętrzny Tryb Rozdzielczości DNS.

                                                                                                                                                  5

                                                                                                                                                  Po przejściu testu połączenia, w przypadku wyraźnego serwera proxy ustawionego tylko na https, włącz przełącznik do Trasowania wszystkich żądań portu 443/444 https z tego węzła za pomocą wyraźnego serwera proxy. To ustawienie wymaga 15 sekund działania.

                                                                                                                                                  6

                                                                                                                                                  Kliknij Instaluj Wszystkie Certyfikaty W Sklepie Zaufania (pojawi się dla wyraźnego serwera proxy HTTPS lub przezroczystego serwera proxy inspekcji) lub Uruchom ponownie (pojawi się dla wyraźnego serwera proxy HTTP), przeczytaj monit, a następnie kliknij opcję Instaluj , jeśli jesteś gotowy.

                                                                                                                                                  Węzeł zostanie uruchomiony ponownie w ciągu kilku minut.

                                                                                                                                                  7

                                                                                                                                                  Po ponownym uruchomieniu węzła zaloguj się ponownie w razie potrzeby, a następnie otwórz stronę Przegląd , aby sprawdzić kontrole łączności, aby upewnić się, że wszystkie mają zielony status.

                                                                                                                                                  Kontrola połączenia z serwerem proxy sprawdza tylko poddomenę webex.com. Jeśli występują problemy z łącznością, powszechnym problemem jest to, że niektóre domeny chmury wymienione w instrukcjach instalacji są blokowane na serwerze proxy.

                                                                                                                                                  Zarejestruj pierwszy węzeł w klastrze

                                                                                                                                                  To zadanie przejmuje ogólny węzeł utworzony w Skonfiguruj hybrydową maszynę wirtualną bezpieczeństwa danych, rejestruje węzeł w chmurze Webex i zamienia go w węzeł hybrydowego bezpieczeństwa danych.

                                                                                                                                                  Po zarejestrowaniu pierwszego węzła utwórz klaster, do którego jest przypisany węzeł. Klaster zawiera co najmniej jeden węzeł wdrożony w celu zapewnienia zwolnień.

                                                                                                                                                  Przed rozpoczęciem

                                                                                                                                                  • Po rozpoczęciu rejestracji węzła należy go wypełnić w ciągu 60 minut lub rozpocząć od nowa.

                                                                                                                                                  • Upewnij się, że wszystkie wyskakujące blokery w przeglądarce są wyłączone lub że zezwalasz na wyjątek dla admin.webex.com.

                                                                                                                                                  1

                                                                                                                                                  Zaloguj się w https://admin.webex.com.

                                                                                                                                                  2

                                                                                                                                                  W menu po lewej stronie ekranu wybierz opcję Usługi.

                                                                                                                                                  3

                                                                                                                                                  W sekcji Usługi hybrydowe znajdź hybrydowe zabezpieczenia danych i kliknij przycisk Skonfiguruj.

                                                                                                                                                  Zostanie wyświetlona strona węzła Zarejestruj hybrydowe zabezpieczenia danych.
                                                                                                                                                  4

                                                                                                                                                  Wybierz Tak, aby wskazać, że węzeł został skonfigurowany i chcesz go zarejestrować, a następnie kliknij przycisk Dalej.

                                                                                                                                                  5

                                                                                                                                                  W pierwszym polu wprowadź nazwę klastra, do którego chcesz przypisać węzeł hybrydowego zabezpieczenia danych.

                                                                                                                                                  Zalecamy nazwanie klastra na podstawie lokalizacji węzłów klastra. Przykłady: "San Francisco", "Nowy Jork" czy "Dallas"

                                                                                                                                                  6

                                                                                                                                                  W drugim polu wprowadź wewnętrzny adres IP lub w pełni kwalifikowaną nazwę domeny (FQDN) węzła i kliknij przycisk Dalej.

                                                                                                                                                  Ten adres IP lub nazwa FQDN powinny być zgodne z adresem IP lub nazwą hosta i domeną używaną podczas konfigurowania hybrydowej maszyny wirtualnej ds. bezpieczeństwa danych.

                                                                                                                                                  Pojawi się komunikat informujący, że można zarejestrować węzeł w usłudze Webex.
                                                                                                                                                  7

                                                                                                                                                  Kliknij przycisk Przejdź do węzła.

                                                                                                                                                  8

                                                                                                                                                  Kliknij przycisk Kontynuuj w komunikacie ostrzegawczym.

                                                                                                                                                  Po kilku chwilach nastąpi przekierowanie do testów łączności węzła dla usług Webex. Jeśli wszystkie testy zakończą się powodzeniem, pojawi się strona Zezwól na dostęp do węzła hybrydowego zabezpieczeń danych. Tam potwierdzasz, że chcesz nadać uprawnienia swojej organizacji Webex, aby uzyskać dostęp do węzła.
                                                                                                                                                  9

                                                                                                                                                  Zaznacz pole wyboru Zezwól na dostęp do węzła hybrydowego zabezpieczenia danych , a następnie kliknij przycisk Kontynuuj.

                                                                                                                                                  Twoje konto zostało zweryfikowane, a komunikat „Rejestracja ukończona” wskazuje, że Twój węzeł jest teraz zarejestrowany w chmurze Webex.
                                                                                                                                                  10

                                                                                                                                                  Kliknij łącze lub zamknij kartę, aby powrócić do strony Hybrid Data Security Control Hub.

                                                                                                                                                  Na stronie Hybrid Data Security jest wyświetlany nowy klaster zawierający zarejestrowany węzeł. Węzeł automatycznie pobierze najnowsze oprogramowanie z chmury.

                                                                                                                                                  Tworzenie i rejestrowanie większej liczby węzłów

                                                                                                                                                  Aby dodać dodatkowe węzły do klastra, wystarczy utworzyć dodatkowe numery VMs i zamontować ten sam plik ISO konfiguracji, a następnie zarejestrować węzeł. Zalecamy posiadanie co najmniej 3 węzłów.

                                                                                                                                                   

                                                                                                                                                  W tym czasie zapasowe maszyny wirtualne utworzone w Zakończeniu wymagań wstępnych dla hybrydowego zabezpieczenia danych są hostami gotowymi, które są używane tylko w przypadku odzyskiwania po awarii; do tego czasu nie są rejestrowane w systemie. Aby uzyskać szczegółowe informacje, patrz Przywracanie systemu po awarii za pomocą Standby Data Center.

                                                                                                                                                  Przed rozpoczęciem

                                                                                                                                                  • Po rozpoczęciu rejestracji węzła należy go wypełnić w ciągu 60 minut lub rozpocząć od nowa.

                                                                                                                                                  • Upewnij się, że wszystkie wyskakujące blokery w przeglądarce są wyłączone lub że zezwalasz na wyjątek dla admin.webex.com.

                                                                                                                                                  1

                                                                                                                                                  Utwórz nową maszynę wirtualną z OVA, powtarzając kroki w Instalowaniu OVA hosta HDS.

                                                                                                                                                  2

                                                                                                                                                  Skonfiguruj konfigurację początkową na nowej maszynie wirtualnej, powtarzając kroki w Skonfiguruj hybrydową maszynę wirtualną bezpieczeństwa danych.

                                                                                                                                                  3

                                                                                                                                                  W nowej maszynie wirtualnej wykonaj ponownie czynności opisane w polu Prześlij i zamontuj ISO konfiguracji HDS.

                                                                                                                                                  4

                                                                                                                                                  Jeśli konfigurujesz serwer proxy dla swojego wdrożenia, powtórz kroki w Konfigurowaniu węzła HDS dla integracji serwera proxy zgodnie z potrzebami nowego węzła.

                                                                                                                                                  5

                                                                                                                                                  Zarejestruj węzeł.

                                                                                                                                                  1. W https://admin.webex.com wybierz Usługi z menu po lewej stronie ekranu.

                                                                                                                                                  2. W sekcji Usługi hybrydowe znajdź kartę zabezpieczenia danych hybrydowych i kliknij opcję Zasoby.

                                                                                                                                                    Pojawi się strona Hybrid Data Security Resources (Zasoby zabezpieczeń danych hybrydowych).
                                                                                                                                                  3. Kliknij przycisk Dodaj zasób.

                                                                                                                                                  4. W pierwszym polu wybierz nazwę istniejącego klastra.

                                                                                                                                                  5. W drugim polu wprowadź wewnętrzny adres IP lub w pełni kwalifikowaną nazwę domeny (FQDN) węzła i kliknij przycisk Dalej.

                                                                                                                                                    Pojawi się komunikat informujący, że można zarejestrować węzeł w chmurze Webex.
                                                                                                                                                  6. Kliknij przycisk Przejdź do węzła.

                                                                                                                                                    Po kilku chwilach nastąpi przekierowanie do testów łączności węzła dla usług Webex. Jeśli wszystkie testy zakończą się powodzeniem, pojawi się strona Zezwól na dostęp do węzła hybrydowego zabezpieczeń danych. Tam potwierdzasz, że chcesz nadać uprawnienia swojej organizacji, aby uzyskać dostęp do węzła.
                                                                                                                                                  7. Zaznacz pole wyboru Zezwól na dostęp do węzła hybrydowego zabezpieczenia danych , a następnie kliknij przycisk Kontynuuj.

                                                                                                                                                    Twoje konto zostało zweryfikowane, a komunikat „Rejestracja ukończona” wskazuje, że Twój węzeł jest teraz zarejestrowany w chmurze Webex.
                                                                                                                                                  8. Kliknij łącze lub zamknij kartę, aby powrócić do strony Hybrid Data Security Control Hub.

                                                                                                                                                  Twój węzeł jest zarejestrowany. Należy pamiętać, że do momentu rozpoczęcia próby węzły wygenerują alarm wskazujący, że usługa nie jest jeszcze aktywowana.

                                                                                                                                                  Co zrobić dalej

                                                                                                                                                  Przeprowadzanie wersji próbnej i przejście do produkcji (następny rozdział)
                                                                                                                                                  Uruchom wersję próbną i przejdź do produkcji

                                                                                                                                                  Przepływ próby do zadania produkcyjnego

                                                                                                                                                  Po skonfigurowaniu hybrydowego klastra bezpieczeństwa danych można uruchomić program pilotażowy, dodać do niego użytkowników i rozpocząć korzystanie z niego do testowania i sprawdzania wdrożenia w ramach przygotowań do przejścia do produkcji.

                                                                                                                                                  1

                                                                                                                                                  Jeśli dotyczy, zsynchronizuj HdsTrialGroup obiekt grupowy.

                                                                                                                                                  Jeśli Twoja organizacja używa synchronizacji katalogu dla użytkowników, musisz wybrać HdsTrialGroup obiekt grupowy do synchronizacji z chmurą przed rozpoczęciem próby. Instrukcje można znaleźć w podręczniku wdrażania łącznika usług katalogowych Cisco.

                                                                                                                                                  2

                                                                                                                                                  Aktywuj wersję próbną

                                                                                                                                                  Rozpocznij proces. Do czasu wykonania tego zadania węzły wygenerują alarm wskazujący, że usługa nie została jeszcze aktywowana.

                                                                                                                                                  3

                                                                                                                                                  Przetestuj wdrożenie hybrydowego zabezpieczenia danych

                                                                                                                                                  Sprawdź, czy kluczowe żądania są przekazywane do wdrożenia hybrydowego zabezpieczenia danych.

                                                                                                                                                  4

                                                                                                                                                  Monitorowanie stanu hybrydowego bezpieczeństwa danych

                                                                                                                                                  Sprawdź stan i skonfiguruj powiadomienia e-mail dla alarmów.

                                                                                                                                                  5

                                                                                                                                                  Dodawanie lub usuwanie użytkowników z wersji próbnej

                                                                                                                                                  6

                                                                                                                                                  Zakończ fazę próbną, wykonując jedną z następujących czynności:

                                                                                                                                                  Aktywuj wersję próbną

                                                                                                                                                  Przed rozpoczęciem

                                                                                                                                                  Jeśli Twoja organizacja używa synchronizacji katalogu dla użytkowników, musisz wybrać HdsTrialGroup obiekt grupowy do synchronizacji z chmurą przed rozpoczęciem próby dla organizacji. Instrukcje można znaleźć w podręczniku wdrażania łącznika usług katalogowych Cisco.

                                                                                                                                                  1

                                                                                                                                                  Zaloguj się do https://admin.webex.com, a następnie wybierz opcję Usługi.

                                                                                                                                                  2

                                                                                                                                                  W obszarze Bezpieczeństwo danych hybrydowych kliknij Ustawienia.

                                                                                                                                                  3

                                                                                                                                                  W sekcji Stan usługi kliknij przycisk Rozpocznij wersję próbną.

                                                                                                                                                  Stan usługi zmienia się w tryb próbny.
                                                                                                                                                  4

                                                                                                                                                  Kliknij opcję Dodaj użytkowników i wprowadź adres e-mail jednego lub większej liczby użytkowników do pilotowania za pomocą węzłów hybrydowych zabezpieczeń danych w celu szyfrowania i indeksowania usług.

                                                                                                                                                  (Jeśli Twoja organizacja używa synchronizacji katalogu, użyj usługi Active Directory do zarządzania grupą próbną, HdsTrialGroup.)

                                                                                                                                                  Przetestuj wdrożenie hybrydowego zabezpieczenia danych

                                                                                                                                                  Użyj tej procedury, aby przetestować scenariusze szyfrowania hybrydowych zabezpieczeń danych.

                                                                                                                                                  Przed rozpoczęciem

                                                                                                                                                  • Skonfiguruj wdrożenie hybrydowego zabezpieczenia danych.

                                                                                                                                                  • Aktywuj wersję próbną i dodaj kilku użytkowników wersji próbnej.

                                                                                                                                                  • Upewnij się, że masz dostęp do dziennika systemowego, aby sprawdzić, czy kluczowe żądania są przekazywane do wdrożenia hybrydowego zabezpieczenia danych.

                                                                                                                                                  1

                                                                                                                                                  Klucze dla danego obszaru są ustawiane przez twórcę tego obszaru. Zaloguj się do aplikacji Webex jako jeden z użytkowników pilotażowych, a następnie utwórz obszar i zaproś co najmniej jednego użytkownika pilotażowego i jednego użytkownika niepilotażowego.


                                                                                                                                                   

                                                                                                                                                  Jeśli dezaktywujesz wdrożenie hybrydowego zabezpieczenia danych, zawartość w obszarach tworzonych przez użytkowników pilotażowych nie jest już dostępna po wymianie kopii kluczy szyfrowania w pamięci podręcznej klienta.

                                                                                                                                                  2

                                                                                                                                                  Wysyłaj wiadomości do nowego obszaru.

                                                                                                                                                  3

                                                                                                                                                  Sprawdź wyjście dziennika systemowego, aby sprawdzić, czy kluczowe żądania przechodzą do wdrożenia hybrydowego zabezpieczenia danych.

                                                                                                                                                  1. Aby sprawdzić, czy użytkownik najpierw ustanawia bezpieczny kanał w systemie KMS, filtruj go kms.data.method=create i kms.data.type=EPHEMERAL_KEY_COLLECTION:

                                                                                                                                                    Należy znaleźć wpis taki jak następujący (identyfikatory skrócone dla czytelności):
                                                                                                                                                    2020-07-21 17:35:34.562 (+0000) INFO  KMS [pool-14-thread-1] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, 
                                                                                                                                                    kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2
                                                                                                                                                  2. Aby sprawdzić, czy użytkownik żądający istniejącego klucza z KMS, filtruj na kms.data.method=retrieve i kms.data.type=KEY:

                                                                                                                                                    Należy znaleźć wpis taki jak:
                                                                                                                                                    2020-07-21 17:44:19.889 (+0000) INFO  KMS [pool-14-thread-31] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, 
                                                                                                                                                    kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, 
                                                                                                                                                    kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b
                                                                                                                                                  3. Aby sprawdzić, czy użytkownik wnioskuje o utworzenie nowego klucza KMS, filtruj kms.data.method=create i kms.data.type=KEY_COLLECTION:

                                                                                                                                                    Należy znaleźć wpis taki jak:
                                                                                                                                                    2020-07-21 17:44:21.975 (+0000) INFO  KMS [pool-14-thread-33] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, 
                                                                                                                                                    kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b
                                                                                                                                                  4. Aby sprawdzić, czy użytkownik prosi o utworzenie nowego obiektu zasobów KMS (KRO) podczas tworzenia obszaru lub innego chronionego zasobu, filtruj kms.data.method=create i kms.data.type=RESOURCE_COLLECTION:

                                                                                                                                                    Należy znaleźć wpis taki jak:
                                                                                                                                                    2020-07-21 17:44:22.808 (+0000) INFO  KMS [pool-15-thread-1] - [KMS:REQUEST] received, 
                                                                                                                                                    deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
                                                                                                                                                    (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
                                                                                                                                                    kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
                                                                                                                                                    kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

                                                                                                                                                  Monitorowanie stanu hybrydowego bezpieczeństwa danych

                                                                                                                                                  Wskaźnik stanu w Control Hub pokazuje, czy wszystko jest dobrze we wdrożeniu hybrydowego zabezpieczenia danych. Aby uzyskać bardziej proaktywne alerty, zapisz się do powiadomień e-mail. Otrzymasz powiadomienie o alarmach lub aktualizacjach oprogramowania mających wpływ na usługę.
                                                                                                                                                  1

                                                                                                                                                  W Control Hub wybierz Usługi z menu po lewej stronie ekranu.

                                                                                                                                                  2

                                                                                                                                                  W sekcji Usługi hybrydowe znajdź hybrydowe zabezpieczenia danych i kliknij Ustawienia.

                                                                                                                                                  Zostanie wyświetlona strona Ustawienia zabezpieczeń danych hybrydowych.
                                                                                                                                                  3

                                                                                                                                                  W sekcji Powiadomienia e-mail wpisz co najmniej jeden adres e-mail oddzielony przecinkami i naciśnij przycisk Enter.

                                                                                                                                                  Dodawanie lub usuwanie użytkowników z wersji próbnej

                                                                                                                                                  Po aktywacji wersji próbnej i dodaniu początkowego zestawu użytkowników wersji próbnej można dodać lub usunąć członków wersji próbnej w dowolnym momencie, gdy wersja próbna jest aktywna.

                                                                                                                                                  Jeśli usuniesz użytkownika z wersji próbnej, klient poprosi go o utworzenie kluczy i klawiszy z chmury KMS zamiast Twojego KMS. Jeśli klient potrzebuje klucza przechowywanego w KMS, Cloud KMS pobierze go w imieniu użytkownika.

                                                                                                                                                  Jeśli Twoja organizacja używa synchronizacji katalogu, użyj usługi Active Directory (zamiast tej procedury) do zarządzania grupą próbną, HdsTrialGroup; można wyświetlać członków grupy w Control Hub, ale nie można ich dodawać ani usuwać.

                                                                                                                                                  1

                                                                                                                                                  Zaloguj się do Control Hub, a następnie wybierz Usługi.

                                                                                                                                                  2

                                                                                                                                                  W obszarze Bezpieczeństwo danych hybrydowych kliknij Ustawienia.

                                                                                                                                                  3

                                                                                                                                                  W sekcji Tryby wersji próbnej w obszarze Stan usługi kliknij przycisk Dodaj użytkowników lub kliknij widok i edytuj , aby usunąć użytkowników z wersji próbnej.

                                                                                                                                                  4

                                                                                                                                                  Wprowadź adres e-mail jednego lub większej liczby użytkowników do dodania lub kliknij przycisk X identyfikatorem użytkownika, aby usunąć użytkownika z wersji próbnej. Następnie kliknij przycisk Zapisz.

                                                                                                                                                  Przeniesienie z wersji próbnej do produkcji

                                                                                                                                                  Gdy jesteś zadowolony, że wdrożenie działa dobrze dla użytkowników próbnych, możesz przejść do produkcji. Po przeniesieniu do produkcji wszyscy użytkownicy w organizacji będą korzystać z lokalnej domeny hybrydowego zabezpieczenia danych w celu szyfrowania kluczy i innych usług w dziedzinie zabezpieczeń. Nie można wrócić do trybu próbnego z produkcji, chyba że dezaktywujesz usługę w ramach odzyskiwania awaryjnego. Reaktywacja usługi wymaga skonfigurowania nowej wersji próbnej.
                                                                                                                                                  1

                                                                                                                                                  Zaloguj się do Control Hub, a następnie wybierz Usługi.

                                                                                                                                                  2

                                                                                                                                                  W obszarze Bezpieczeństwo danych hybrydowych kliknij Ustawienia.

                                                                                                                                                  3

                                                                                                                                                  W sekcji Stan usługi kliknij opcję Przenieś do produkcji.

                                                                                                                                                  4

                                                                                                                                                  Potwierdź, że chcesz przenieść wszystkich użytkowników do produkcji.

                                                                                                                                                  Zakończ wersję próbną bez przejścia do produkcji

                                                                                                                                                  Jeśli podczas okresu próbnego zdecydujesz się nie kontynuować wdrażania hybrydowego zabezpieczenia danych, możesz dezaktywować hybrydowe zabezpieczenia danych, które kończą okres próbny i przenoszą użytkowników wersji próbnej z powrotem do usług zabezpieczeń danych w chmurze. Użytkownicy próbni stracą dostęp do danych zaszyfrowanych podczas badania.
                                                                                                                                                  1

                                                                                                                                                  Zaloguj się do Control Hub, a następnie wybierz Usługi.

                                                                                                                                                  2

                                                                                                                                                  W obszarze Bezpieczeństwo danych hybrydowych kliknij Ustawienia.

                                                                                                                                                  3

                                                                                                                                                  W sekcji Dezaktywuj kliknij przycisk Dezaktywuj.

                                                                                                                                                  4

                                                                                                                                                  Potwierdź, że chcesz dezaktywować usługę i zakończyć okres próbny.

                                                                                                                                                  Zarządzanie wdrożeniem HDS

                                                                                                                                                  Zarządzanie wdrożeniem HDS

                                                                                                                                                  Użyj opisanych tutaj zadań do zarządzania wdrożeniem hybrydowego zabezpieczenia danych.

                                                                                                                                                  Ustaw harmonogram uaktualniania klastra

                                                                                                                                                  Aktualizacje oprogramowania Hybrid Data Security są wykonywane automatycznie na poziomie klastra, co zapewnia, że wszystkie węzły zawsze korzystają z tej samej wersji oprogramowania. Uaktualnienia są wykonywane zgodnie z harmonogramem uaktualniania klastra. Po udostępnieniu uaktualnienia oprogramowania można ręcznie uaktualnić klaster przed zaplanowaną godziną uaktualnienia. Można ustawić określony harmonogram uaktualniania lub użyć domyślnego harmonogramu 3:00 rano Daily Stany Zjednoczone: Ameryka/Los Angeles. W razie potrzeby można również odłożyć nadchodzące uaktualnienie.

                                                                                                                                                  Aby ustawić harmonogram uaktualniania:

                                                                                                                                                  1

                                                                                                                                                  Zaloguj się do Control Hub.

                                                                                                                                                  2

                                                                                                                                                  Na stronie Przegląd w obszarze Usługi hybrydowe wybierz opcję Hybrid Data Security.

                                                                                                                                                  3

                                                                                                                                                  Na stronie Zasoby zabezpieczeń danych hybrydowych wybierz klaster.

                                                                                                                                                  4

                                                                                                                                                  W panelu Przegląd po prawej stronie w obszarze Ustawienia klastra wybierz nazwę klastra.

                                                                                                                                                  5

                                                                                                                                                  Na stronie Ustawienia w obszarze Uaktualnianie wybierz godzinę i strefę czasową harmonogramu uaktualniania.

                                                                                                                                                  Uwaga: W strefie czasowej wyświetlana jest następna dostępna data i godzina aktualizacji. W razie potrzeby można odroczyć uaktualnienie do następnego dnia, klikając opcję Odłóż.

                                                                                                                                                  Zmień konfigurację węzła

                                                                                                                                                  Czasami może być konieczna zmiana konfiguracji węzła Hybrid Data Security z następujących powodów:
                                                                                                                                                  • Zmiana certyfikatów x.509 z powodu wygaśnięcia lub innych przyczyn.


                                                                                                                                                     

                                                                                                                                                    Nie obsługujemy zmiany nazwy domeny CN certyfikatu. Domena musi być zgodna z oryginalną domeną używaną do rejestracji klastra.

                                                                                                                                                  • Aktualizowanie ustawień bazy danych w celu zmiany na replikę bazy danych PostgreSQL lub Microsoft SQL Server.


                                                                                                                                                     

                                                                                                                                                    Nie obsługujemy migracji danych z programu PostgreSQL do programu Microsoft SQL Server ani odwrotnie. Aby zmienić środowisko bazy danych, rozpocznij nowe wdrożenie hybrydowego zabezpieczenia danych.

                                                                                                                                                  • Tworzenie nowej konfiguracji w celu przygotowania nowego centrum danych.

                                                                                                                                                  Ponadto, ze względów bezpieczeństwa, hybrydowe zabezpieczenia danych używają haseł konta usługi, które mają dziewięciomiesięczną żywotność. Po wygenerowaniu tych haseł przez narzędzie konfiguracji HDS są one wdrażane do każdego węzła HDS w pliku konfiguracyjnym ISO. Gdy hasła Twojej organizacji zbliżają się do wygaśnięcia, otrzymasz od zespołu Webex powiadomienie o konieczności zresetowania hasła do Twojego konta maszyny. (Wiadomość e-mail zawiera tekst „Użyj interfejsu API konta maszynowego, aby zaktualizować hasło.”) Jeśli Twoje hasła jeszcze nie wygasły, narzędzie daje dwie opcje:

                                                                                                                                                  • Delikatne resetowanie — stare i nowe hasła działają przez maksymalnie 10 dni. Ten okres służy do stopniowego zastępowania pliku ISO w węzłach.

                                                                                                                                                  • Twardy reset— stare hasła przestają działać natychmiast.

                                                                                                                                                  Jeśli Twoje hasła wygasną bez zresetowania, ma to wpływ na usługę HDS, wymagającą natychmiastowego, twardego zresetowania i wymiany pliku ISO na wszystkich węzłach.

                                                                                                                                                  Użyj tej procedury, aby wygenerować nowy plik ISO konfiguracji i zastosować go do klastra.

                                                                                                                                                  Przed rozpoczęciem

                                                                                                                                                  • Narzędzie HDS Setup działa jako kontener Docker na lokalnej maszynie. Aby uzyskać do niego dostęp, uruchom Docker na tej maszynie. Proces konfiguracji wymaga poświadczeń konta Control Hub z pełnymi prawami administratora dla Twojej organizacji.

                                                                                                                                                    Jeśli narzędzie HDS Setup działa za serwerem proxy w Twoim środowisku, podaj ustawienia serwera proxy (serwer, port, poświadczenia) za pomocą zmiennych środowiska Docker podczas przywoływania kontenera Docker w 1.e. Ta tabela zawiera pewne możliwe zmienne środowiskowe:

                                                                                                                                                    Opis

                                                                                                                                                    Zmienna

                                                                                                                                                    Serwer proxy HTTP bez uwierzytelniania

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    Serwer proxy HTTPS bez uwierzytelniania

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

                                                                                                                                                    Serwer proxy HTTP z uwierzytelnianiem

                                                                                                                                                    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                    Serwer proxy HTTPS z uwierzytelnianiem

                                                                                                                                                    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

                                                                                                                                                  • Do wygenerowania nowej konfiguracji potrzebna jest kopia bieżącego pliku ISO konfiguracji. ISO zawiera klucz główny szyfrujący bazę danych PostgreSQL lub Microsoft SQL Server. Podczas wprowadzania zmian w konfiguracji wymagany jest certyfikat ISO, w tym poświadczenia bazy danych, aktualizacje certyfikatów lub zmiany zasad autoryzacji.

                                                                                                                                                  1

                                                                                                                                                  Korzystając z programu Docker na maszynie lokalnej, uruchom narzędzie konfiguracji HDS.

                                                                                                                                                  1. W wierszu poleceń maszyny wprowadź odpowiednie polecenie dla środowiska:

                                                                                                                                                    W normalnych warunkach:

                                                                                                                                                    docker rmi ciscocitg/hds-setup:stable

                                                                                                                                                    W środowiskach FedRAMP:

                                                                                                                                                    docker rmi ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                     

                                                                                                                                                    Ten krok oczyszcza poprzednie obrazy narzędzia konfiguracji HDS. Jeśli nie ma poprzednich obrazów, zwraca błąd, który można zignorować.

                                                                                                                                                  2. Aby zalogować się do rejestru obrazów Docker, wprowadź następujące informacje:

                                                                                                                                                    docker login -u hdscustomersro
                                                                                                                                                  3. Po wyświetleniu monitu o hasło wprowadź następujący tekst:

                                                                                                                                                    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
                                                                                                                                                  4. Pobierz najnowszy stabilny obraz środowiska:

                                                                                                                                                    W normalnych warunkach:

                                                                                                                                                    docker pull ciscocitg/hds-setup:stable

                                                                                                                                                    W środowiskach FedRAMP:

                                                                                                                                                    docker pull ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                     

                                                                                                                                                    Upewnij się, że dla tej procedury używasz najnowszego narzędzia konfiguracyjnego. Wersje narzędzia utworzonego przed 22 lutego 2018 r. nie mają ekranów resetowania hasła.

                                                                                                                                                  5. Po zakończeniu ciągnięcia wprowadź odpowiednie polecenie dla środowiska:

                                                                                                                                                    • W normalnych środowiskach bez serwera proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable
                                                                                                                                                    • W normalnych środowiskach z serwerem proxy HTTP:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                    • W normalnych środowiskach z serwerem HTTPSproxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable
                                                                                                                                                    • W środowiskach FedRAMP bez serwera proxy:

                                                                                                                                                      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                    • W środowiskach FedRAMP z serwerem proxy HTTP:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable
                                                                                                                                                    • W środowiskach FedRAMP z serwerem proxy HTTPS:

                                                                                                                                                      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

                                                                                                                                                    Gdy kontener jest uruchomiony, widzisz "Serwer ekspresowy słuchający na porcie 8080".

                                                                                                                                                  6. Użyj przeglądarki, aby połączyć się z hostem lokalizacji, http://127.0.0.1:8080.


                                                                                                                                                     

                                                                                                                                                    Narzędzie Konfiguracja nie obsługuje łączenia się z localhost za pośrednictwem http://localhost:8080. Użyj http://127.0.0.1:8080, aby połączyć się z hostem lokalizacji.

                                                                                                                                                  7. Po wyświetleniu monitu wprowadź poświadczenia logowania klienta Control Hub, a następnie kliknij przycisk Akceptuj, aby kontynuować.

                                                                                                                                                  8. Importuj bieżący plik ISO konfiguracji.

                                                                                                                                                  9. Postępuj zgodnie z instrukcjami, aby ukończyć narzędzie i pobrać zaktualizowany plik.

                                                                                                                                                    Aby zamknąć narzędzie konfiguracji, wpisz CTRL+C.

                                                                                                                                                  10. Utwórz kopię zapasową zaktualizowanego pliku w innym centrum danych.

                                                                                                                                                  2

                                                                                                                                                  Jeśli jest uruchomiony tylko jeden węzeł HDS, utwórz nowy węzeł hybrydowego zabezpieczenia danych VM i zarejestruj go przy użyciu nowego pliku ISO konfiguracji. Aby uzyskać bardziej szczegółowe instrukcje, zobacz temat Tworzenie i rejestrowanie większej liczby węzłów.

                                                                                                                                                  1. Zainstaluj OVA hosta HDS.

                                                                                                                                                  2. Skonfiguruj maszynę wirtualną HDS.

                                                                                                                                                  3. Zamontuj zaktualizowany plik konfiguracyjny.

                                                                                                                                                  4. Zarejestruj nowy węzeł w Control Hub.

                                                                                                                                                  3

                                                                                                                                                  W przypadku istniejących węzłów HDS z starszym plikiem konfiguracyjnym zamontuj plik ISO. Wykonaj następującą procedurę na każdym węźle z kolei, aktualizując każdy węzeł przed wyłączeniem kolejnego węzła:

                                                                                                                                                  1. Wyłączyć maszynę wirtualną.

                                                                                                                                                  2. W lewym okienku nawigacyjnym klienta VMware vSphere kliknij prawym przyciskiem myszy maszynę wirtualną i kliknij opcję Edytuj ustawienia.

                                                                                                                                                  3. Kliknij CD/DVD Drive 1, wybierz opcję montażu z pliku ISO i przejdź do lokalizacji, w której pobrano nowy plik ISO konfiguracji.

                                                                                                                                                  4. Sprawdzić Połącz przy włączonym zasilaniu.

                                                                                                                                                  5. Zapisz zmiany i zasilanie maszyny wirtualnej.

                                                                                                                                                  4

                                                                                                                                                  Powtórz krok 3, aby zastąpić konfigurację w każdym pozostałym węźle z uruchomioną starą konfiguracją.

                                                                                                                                                  Wyłącz Zablokowany Zewnętrzny Tryb Rozdzielczości DNS

                                                                                                                                                  Po zarejestrowaniu węzła lub sprawdzeniu konfiguracji serwera proxy węzła proces testuje wyszukiwanie DNS i łączność z chmurą Cisco Webex. Jeśli serwer DNS węzła nie może rozpoznawać publicznych nazw DNS, węzeł automatycznie przechodzi w tryb Zablokowanej zewnętrznej rozdzielczości DNS.

                                                                                                                                                  Jeśli węzły są w stanie rozpoznawać publiczne nazwy DNS za pośrednictwem wewnętrznych serwerów DNS, można wyłączyć ten tryb, uruchamiając ponownie test połączenia serwera proxy w każdym węźle.

                                                                                                                                                  Przed rozpoczęciem

                                                                                                                                                  Upewnij się, że wewnętrzne serwery DNS mogą rozpoznawać publiczne nazwy DNS oraz że węzły mogą się z nimi komunikować.
                                                                                                                                                  1

                                                                                                                                                  W przeglądarce internetowej otwórz interfejs węzła hybrydowego zabezpieczenia danych (adres IP/konfiguracja, na przykład https://192.0.2.0/setup), wprowadź dane uwierzytelniające administratora skonfigurowane dla węzła, a następnie kliknij opcję Zaloguj się.

                                                                                                                                                  2

                                                                                                                                                  Przejdź do Przegląd (strona domyślna).

                                                                                                                                                  Po włączeniu tej opcji Zablokowana zewnętrzna rozdzielczość DNS jest ustawiona na Tak.

                                                                                                                                                  3

                                                                                                                                                  Przejdź do strony Trust Store & Proxy.

                                                                                                                                                  4

                                                                                                                                                  Kliknij przycisk Sprawdź połączenie z serwerem proxy.

                                                                                                                                                  Jeśli zobaczysz komunikat informujący, że zewnętrzna rozdzielczość DNS nie powiodła się, węzeł nie mógł dotrzeć do serwera DNS i pozostanie w tym trybie. W przeciwnym razie po ponownym uruchomieniu węzła i powrocie na stronę Przegląd zablokowana zewnętrzna rozdzielczość DNS powinna być ustawiona na nr.

                                                                                                                                                  Co zrobić dalej

                                                                                                                                                  Powtórz test połączenia z serwerem proxy dla każdego węzła w klastrze hybrydowego zabezpieczenia danych.

                                                                                                                                                  Usuń węzeł

                                                                                                                                                  Użyj tej procedury, aby usunąć węzeł hybrydowego zabezpieczenia danych z chmury Webex. Po usunięciu węzła z klastra usuń maszynę wirtualną, aby zapobiec dalszemu dostępowi do danych zabezpieczeń.
                                                                                                                                                  1

                                                                                                                                                  Użyj klienta VMware vSphere na komputerze, aby zalogować się do wirtualnego hosta ESXi i wyłączyć maszynę wirtualną.

                                                                                                                                                  2

                                                                                                                                                  Usuń węzeł:

                                                                                                                                                  1. Zaloguj się do Control Hub, a następnie wybierz Usługi.

                                                                                                                                                  2. Na karcie hybrydowe zabezpieczenia danych kliknij przycisk Wyświetl wszystkie , aby wyświetlić stronę zasobów hybrydowych zabezpieczeń danych.

                                                                                                                                                  3. Wybierz klaster, aby wyświetlić jego panel Przegląd.

                                                                                                                                                  4. Kliknij listę Otwórz węzły.

                                                                                                                                                  5. Na karcie Węzły wybierz węzeł, który chcesz usunąć.

                                                                                                                                                  6. Kliknij przycisk Akcje > węzeł Deregister.

                                                                                                                                                  3

                                                                                                                                                  W kliencie vSphere usuń maszynę wirtualną (w lewym okienku nawigacyjnym kliknij prawym przyciskiem myszy maszynę wirtualną i kliknij polecenie Usuń).

                                                                                                                                                  Jeśli nie usuniesz VM, pamiętaj o usunięciu pliku ISO konfiguracji. Bez pliku ISO nie można użyć maszyny wirtualnej, aby uzyskać dostęp do danych bezpieczeństwa.

                                                                                                                                                  Odzyskiwanie po awarii za pomocą Standby Data Center

                                                                                                                                                  Najbardziej krytyczną usługą oferowaną przez klaster Hybrid Data Security jest tworzenie i przechowywanie kluczy używanych do szyfrowania wiadomości i innych treści przechowywanych w chmurze Webex. Dla każdego użytkownika w organizacji przypisanego do hybrydowego zabezpieczenia danych nowe żądania tworzenia kluczy są kierowane do klastra. Klaster jest również odpowiedzialny za przywrócenie kluczy, które został utworzony do wszystkich użytkowników upoważnionych do ich odzyskania, na przykład członków obszaru konwersacji.

                                                                                                                                                  Ponieważ klaster pełni kluczową funkcję dostarczania tych kluczy, konieczne jest, aby klaster nadal działał i aby utrzymywały się odpowiednie kopie zapasowe. Utrata bazy danych hybrydowych zabezpieczeń danych lub układu ISO konfiguracji stosowanego dla schematu spowoduje NIEZBĘDNĄ UTRATĘ zawartości klienta. Aby zapobiec takiej utracie, konieczne są następujące praktyki:

                                                                                                                                                  Jeśli awaria spowoduje, że wdrożenie HDS w głównym centrum danych stanie się niedostępne, postępuj zgodnie z tą procedurą, aby ręcznie przełączyć się na standby centrum danych.

                                                                                                                                                  1

                                                                                                                                                  Uruchom narzędzie do konfiguracji HDS i wykonaj czynności opisane w dokumencie Create a Configuration ISO for the HDS Hosts.

                                                                                                                                                  2

                                                                                                                                                  Po skonfigurowaniu serwera Syslogd kliknij Ustawienia zaawansowane

                                                                                                                                                  3

                                                                                                                                                  Na stronie Ustawienia zaawansowane dodaj poniższą konfigurację lub usuń passiveMode konfiguracja, aby węzeł był aktywny. Węzeł może obsługiwać ruch po skonfigurowaniu.

                                                                                                                                                  
                                                                                                                                                  passiveMode: 'false'
                                                                                                                                                  
                                                                                                                                                  4

                                                                                                                                                  Zakończ proces konfiguracji i zapisz plik ISO w lokalizacji, która jest łatwa do znalezienia.

                                                                                                                                                  5

                                                                                                                                                  Wykonaj kopię zapasową pliku ISO w lokalnym systemie. Kopia zapasowa powinna być zabezpieczona. Ten plik zawiera główny klucz szyfrowania zawartości bazy danych. Ogranicz dostęp tylko do tych administratorów hybrydowych zabezpieczeń danych, którzy powinni wprowadzać zmiany w konfiguracji.

                                                                                                                                                  6

                                                                                                                                                  W lewym okienku nawigacyjnym klienta VMware vSphere kliknij prawym przyciskiem myszy maszynę wirtualną i kliknij opcję Edytuj ustawienia..

                                                                                                                                                  7

                                                                                                                                                  Kliknij opcję Edytuj ustawienia >Napęd CD/DVD 1 i wybierz Plik ISO Datastore.


                                                                                                                                                   

                                                                                                                                                  Upewnij się, że Connected and Connect at power on (Podłączono) są zaznaczone, aby zaktualizowane zmiany konfiguracji mogły wejść w życie po uruchomieniu węzłów.

                                                                                                                                                  8

                                                                                                                                                  Włącz węzeł HDS i upewnij się, że nie ma alarmów przez co najmniej 15 minut.

                                                                                                                                                  9

                                                                                                                                                  Powtórz proces dla każdego węzła w centrum danych standby.


                                                                                                                                                   

                                                                                                                                                  Sprawdź wyjście dziennika systemowego, aby sprawdzić, czy węzły centrum danych standby nie są w trybie pasywnym. „KMS skonfigurowany w trybie pasywnym” nie powinien być wyświetlany w dziennikach syslog.

                                                                                                                                                  Co zrobić dalej

                                                                                                                                                  Po przełączeniu awaryjnym, jeśli główne centrum danych stanie się ponownie aktywne, ponownie umieść centrum danych standby w trybie pasywnym, wykonując czynności opisane w Ustawieniu Standby Data Center dla odzyskiwania awarii.

                                                                                                                                                  (Opcjonalnie) Odmontować ISO Po Konfiguracji HDS

                                                                                                                                                  Standardowa konfiguracja HDS działa z zamontowanym ISO. Jednak niektórzy klienci wolą nie pozostawiać plików ISO stale zamontowanych. Plik ISO można odmontować po odebraniu nowej konfiguracji przez wszystkie węzły HDS.

                                                                                                                                                  Nadal używasz plików ISO do wprowadzania zmian w konfiguracji. Podczas tworzenia nowego ISO lub aktualizacji ISO za pomocą narzędzia konfiguracyjnego należy zamontować zaktualizowany ISO na wszystkich węzłach HDS. Po odebraniu zmian konfiguracji przez wszystkie węzły można ponownie rozmontować ISO za pomocą tej procedury.

                                                                                                                                                  Przed rozpoczęciem

                                                                                                                                                  Uaktualnij wszystkie węzły HDS do wersji 2021.01.22.4720 lub nowszej.

                                                                                                                                                  1

                                                                                                                                                  Zamknij jeden z węzłów HDS.

                                                                                                                                                  2

                                                                                                                                                  W urządzeniu VCenter Server Appliance wybierz węzeł HDS.

                                                                                                                                                  3

                                                                                                                                                  Wybierz Edytuj ustawienia > Napęd CD/DVD i usuń zaznaczenie pliku Datastore ISO.

                                                                                                                                                  4

                                                                                                                                                  Włącz węzeł HDS i upewnij się, że nie ma alarmów przez co najmniej 20 minut.

                                                                                                                                                  5

                                                                                                                                                  Powtórz kolejno dla każdego węzła HDS.

                                                                                                                                                  Rozwiązywanie problemów z hybrydowymi zabezpieczeniami danych

                                                                                                                                                  Wyświetlanie alertów i rozwiązywania problemów

                                                                                                                                                  Wdrożenie hybrydowego zabezpieczenia danych jest uważane za niedostępne, jeśli wszystkie węzły w klastrze są nieosiągalne lub klaster działa tak wolno, że wymaga przekroczenia czasu. Jeśli użytkownicy nie mogą skontaktować się z klastrem hybrydowego zabezpieczenia danych, mogą wystąpić następujące objawy:

                                                                                                                                                  • Nie można utworzyć nowych obszarów (nie można utworzyć nowych kluczy)

                                                                                                                                                  • Wiadomości i tytuły przestrzeni nie można odszyfrować dla:

                                                                                                                                                    • Dodano nowych użytkowników do obszaru (nie można pobrać kluczy)

                                                                                                                                                    • Istniejący użytkownicy w obszarze korzystający z nowego klienta (nie można pobrać kluczy)

                                                                                                                                                  • Istniejący użytkownicy w obszarze będą z powodzeniem działać tak długo, jak ich klienci będą mieli pamięć podręczną kluczy szyfrowania

                                                                                                                                                  Ważne jest, aby odpowiednio monitorować klaster hybrydowego zabezpieczenia danych i szybko zwracać się do wszystkich alertów, aby uniknąć zakłóceń w obsłudze.

                                                                                                                                                  Alerty

                                                                                                                                                  Jeśli występuje problem z konfiguracją hybrydowego zabezpieczenia danych, Control Hub wyświetla alerty do administratora organizacji i wysyła wiadomości e-mail na skonfigurowany adres e-mail. Alerty obejmują wiele typowych scenariuszy.

                                                                                                                                                  Tabela 1. Wspólne problemy i kroki mające na celu ich rozwiązanie

                                                                                                                                                  Alert

                                                                                                                                                  Czynność

                                                                                                                                                  Niepowodzenie dostępu do lokalnej bazy danych.

                                                                                                                                                  Sprawdź, czy występują błędy w bazie danych lub problemy z siecią lokalną.

                                                                                                                                                  Niepowodzenie połączenia z lokalną bazą danych.

                                                                                                                                                  Sprawdź, czy serwer bazy danych jest dostępny, a w konfiguracji węzła użyto odpowiednich poświadczeń konta usługi.

                                                                                                                                                  Niepowodzenie dostępu do usługi w chmurze.

                                                                                                                                                  Sprawdź, czy węzły mogą uzyskać dostęp do serwerów Webex zgodnie z wymaganiami Zewnętrznej łączności.

                                                                                                                                                  Odnowienie rejestracji usług w chmurze.

                                                                                                                                                  Zrezygnowano z rejestracji na usługi w chmurze. Trwa przedłużenie rejestracji.

                                                                                                                                                  Rejestracja usług w chmurze została odrzucona.

                                                                                                                                                  Rejestracja na usługi w chmurze została zakończona. Usługa jest wyłączona.

                                                                                                                                                  Usługa jeszcze nie została aktywowana.

                                                                                                                                                  Aktywuj wersję próbną lub zakończ przenoszenie wersji próbnej do produkcji.

                                                                                                                                                  Skonfigurowana domena nie odpowiada certyfikatowi serwera.

                                                                                                                                                  Upewnij się, że certyfikat serwera jest zgodny z skonfigurowaną domeną aktywacji usługi.

                                                                                                                                                  Najbardziej prawdopodobną przyczyną jest to, że certyfikat CN został ostatnio zmieniony i jest teraz inny niż CN, który był używany podczas początkowej konfiguracji.

                                                                                                                                                  Nie można uwierzytelnić usług w chmurze.

                                                                                                                                                  Kontrola poprawności i ewentualnego wygaśnięcia poświadczeń konta usługi.

                                                                                                                                                  Nie można otworzyć lokalnego pliku keystore.

                                                                                                                                                  Sprawdź integralność i dokładność hasła w lokalnym pliku keystore.

                                                                                                                                                  Certyfikat lokalnego serwera jest nieprawidłowy.

                                                                                                                                                  Sprawdź datę ważności certyfikatu serwera i potwierdź, że został on wydany przez zaufany urząd certyfikacji.

                                                                                                                                                  Nie można publikować metryk.

                                                                                                                                                  Sprawdź dostęp sieci lokalnej do zewnętrznych usług w chmurze.

                                                                                                                                                  /media/configdrive/hds katalog nie istnieje.

                                                                                                                                                  Sprawdź konfigurację montażu ISO na wirtualnym hostze. Sprawdź, czy plik ISO istnieje, czy jest skonfigurowany do montażu na ponownym uruchomieniu i czy został pomyślnie zainstalowany.

                                                                                                                                                  Rozwiązywanie problemów z hybrydowymi zabezpieczeniami danych

                                                                                                                                                  Podczas rozwiązywania problemów z hybrydowymi zabezpieczeniami danych należy stosować następujące ogólne wytyczne.
                                                                                                                                                  1

                                                                                                                                                  Przejrzyj Control Hub dla wszystkich alertów i naprawić wszystkie znalezione tam elementy.

                                                                                                                                                  2

                                                                                                                                                  Przejrzyj wyjście serwera dziennika systemowego pod kątem aktywności z wdrożenia hybrydowego zabezpieczenia danych.

                                                                                                                                                  3

                                                                                                                                                  Skontaktuj się z pomocą techniczną Cisco.

                                                                                                                                                  Inne uwagi

                                                                                                                                                  Znane problemy dotyczące hybrydowych zabezpieczeń danych

                                                                                                                                                  • Jeśli zamkniesz klaster hybrydowego zabezpieczenia danych (usuwając go w Control Hub lub zamykając wszystkie węzły), stracisz plik ISO konfiguracji lub utracisz dostęp do bazy danych keystore, użytkownicy aplikacji Webex nie będą mogli już korzystać ze spacji na liście Osoby utworzonej za pomocą kluczy z KMS. Dotyczy to zarówno wdrożeń próbnych, jak i produkcyjnych. Obecnie nie mamy obejścia ani rozwiązania tego problemu i zachęcamy do niezamykania usług HDS po obsłudze aktywnych kont użytkowników.

                                                                                                                                                  • Klient z istniejącym połączeniem ECDH z KMS utrzymuje to połączenie przez pewien czas (prawdopodobnie godzinę). Gdy użytkownik staje się członkiem próby hybrydowego zabezpieczenia danych, klient użytkownika nadal korzysta z istniejącego połączenia ECDH do czasu jego wyłączenia. Alternatywnie, użytkownik może wylogować się i wrócić do aplikacji Webex, aby zaktualizować lokalizację, z którą kontaktuje się aplikacja w przypadku kluczy szyfrowania.

                                                                                                                                                    To samo zachowanie występuje podczas przenoszenia próby do produkcji dla organizacji. Wszyscy niedoświadczeni użytkownicy z istniejącymi połączeniami ECDH z poprzednimi usługami bezpieczeństwa danych będą nadal korzystać z tych usług do czasu renegocjacji połączenia ECDH (poprzez limit czasu lub poprzez wylogowanie i powrót).

                                                                                                                                                  Użyj protokołu OpenSSL, aby wygenerować plik PKCS12

                                                                                                                                                  Przed rozpoczęciem

                                                                                                                                                  • OpenSSL jest jednym z narzędzi, które można wykorzystać do tworzenia pliku PKCS12 w odpowiednim formacie do ładowania w narzędziu konfiguracji HDS. Istnieją inne sposoby, aby to zrobić, a my nie popieramy ani nie promujemy jednej drogi nad drugą.

                                                                                                                                                  • Jeśli zdecydujesz się korzystać z OpenSSL, zapewniamy tę procedurę jako wytyczną, która pomoże Ci utworzyć plik spełniający wymagania certyfikatu X.509 w wymaganiach certyfikatów X.509. Zrozum te wymagania, zanim przejdziesz dalej.

                                                                                                                                                  • Zainstaluj OpenSSL w obsługiwanym środowisku. Patrz https://www.openssl.org oprogramowanie i dokumentacja.

                                                                                                                                                  • Utwórz klucz prywatny.

                                                                                                                                                  • Procedurę tę należy rozpocząć po otrzymaniu certyfikatu serwera od urzędu certyfikacji.

                                                                                                                                                  1

                                                                                                                                                  Po otrzymaniu certyfikatu serwera z urzędu certyfikacji zapisz go jako hdsnode.pem.

                                                                                                                                                  2

                                                                                                                                                  Wyświetl certyfikat jako tekst i zweryfikuj szczegóły.

                                                                                                                                                  openssl x509 -text -noout -in hdsnode.pem

                                                                                                                                                  3

                                                                                                                                                  Użyj edytora tekstu, aby utworzyć plik pakietu certyfikatów o nazwie hdsnode-bundle.pem. Plik pakietu musi zawierać certyfikat serwera, wszystkie pośrednie certyfikaty urzędu certyfikacji oraz podstawowe certyfikaty urzędu certyfikacji w formacie poniżej:

                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ### Server certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ###  Intermediate CA certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  -----BEGIN CERTIFICATE-----
                                                                                                                                                  ###  Root CA certificate. ###
                                                                                                                                                  -----END CERTIFICATE-----
                                                                                                                                                  4

                                                                                                                                                  Utwórz plik .p12 o przyjaznej nazwie kms-private-key.

                                                                                                                                                  openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12

                                                                                                                                                  5

                                                                                                                                                  Sprawdź szczegóły certyfikatu serwera.

                                                                                                                                                  1. openssl pkcs12 -in hdsnode.p12

                                                                                                                                                  2. Wprowadź hasło po wyświetleniu monitu, aby zaszyfrować klucz prywatny w taki sposób, aby był wyświetlany na wyjściu. Następnie sprawdź, czy klucz prywatny i pierwszy certyfikat zawierają linie friendlyName: kms-private-key.

                                                                                                                                                    Przykład:

                                                                                                                                                    bash$ openssl pkcs12 -in hdsnode.p12
                                                                                                                                                    Enter Import Password:
                                                                                                                                                    MAC verified OK
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: kms-private-key
                                                                                                                                                        localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
                                                                                                                                                    Key Attributes: <No Attributes>
                                                                                                                                                    Enter PEM pass phrase:
                                                                                                                                                    Verifying - Enter PEM pass phrase:
                                                                                                                                                    -----BEGIN ENCRYPTED PRIVATE KEY-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END ENCRYPTED PRIVATE KEY-----
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: kms-private-key
                                                                                                                                                        localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 
                                                                                                                                                    subject=/CN=hds1.org6.portun.us
                                                                                                                                                    issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
                                                                                                                                                    -----BEGIN CERTIFICATE-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END CERTIFICATE-----
                                                                                                                                                    Bag Attributes
                                                                                                                                                        friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US
                                                                                                                                                    subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
                                                                                                                                                    issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3
                                                                                                                                                    -----BEGIN CERTIFICATE-----
                                                                                                                                                    <redacted>
                                                                                                                                                    -----END CERTIFICATE-----

                                                                                                                                                  Co zrobić dalej

                                                                                                                                                  Powróć, aby ukończyć wymagania wstępne dotyczące hybrydowego zabezpieczenia danych. Korzystasz z hdsnode.p12 plik i ustawione dla niego hasło w Utwórz ISO konfiguracji dla prowadzących HDS.


                                                                                                                                                   

                                                                                                                                                  Możesz ponownie użyć tych plików, aby poprosić o nowy certyfikat po wygaśnięciu oryginalnego certyfikatu.

                                                                                                                                                  Ruch między węzłami HDS a chmurą

                                                                                                                                                  Ruch zbierania metryk wychodzących

                                                                                                                                                  Węzły hybrydowego zabezpieczenia danych wysyłają pewne metryki do chmury Webex. Obejmują one metryki systemowe dla maks. stosu, stosowanego stosu, obciążenia procesora i liczenia wątków; metryki na wątkach synchronicznych i asynchronicznych; metryki na alertach obejmujące próg połączeń szyfrowania, opóźnienie lub długość kolejki żądań; metryki na zbiorniku danych; oraz metryki połączeń szyfrowania. Węzły wysyłają zaszyfrowany materiał klucza przez kanał poza pasmem (oddzielony od żądania).

                                                                                                                                                  Ruch przychodzący

                                                                                                                                                  Węzły hybrydowego zabezpieczenia danych otrzymują następujące typy ruchu przychodzącego z chmury Webex:

                                                                                                                                                  • Żądania szyfrowania od klientów, które są kierowane przez usługę szyfrowania

                                                                                                                                                  • Aktualizacja do oprogramowania węzła

                                                                                                                                                  Konfigurowanie serwerów proxy Squid dla hybrydowych zabezpieczeń danych

                                                                                                                                                  Websocket Nie Można Połączyć Za Pomocą Proxy Squid

                                                                                                                                                  Pełnomocnicy Squid, którzy sprawdzają ruch HTTPS, mogą ingerować w tworzenie websocket ( wss:) połączenia, których wymaga Hybrid Data Security. Sekcje te zawierają wskazówki dotyczące konfigurowania różnych wersji Squid do ignorowania wss: ruch w celu prawidłowego funkcjonowania usług.

                                                                                                                                                  Squid 4 i 5

                                                                                                                                                  Dodaj on_unsupported_protocol dyrektywa do squid.conf:

                                                                                                                                                  on_unsupported_protocol tunnel all

                                                                                                                                                  Squid 3.5.27

                                                                                                                                                  Z powodzeniem przetestowaliśmy hybrydowe zabezpieczenia danych, dodając następujące zasady squid.conf. Zasady te mogą ulec zmianie w miarę opracowywania funkcji i aktualizacji chmury Webex.

                                                                                                                                                  acl wssMercuryConnection ssl::server_name_regex mercury-connection
                                                                                                                                                  
                                                                                                                                                  ssl_bump splice wssMercuryConnection
                                                                                                                                                  
                                                                                                                                                  acl step1 at_step SslBump1
                                                                                                                                                  acl step2 at_step SslBump2
                                                                                                                                                  acl step3 at_step SslBump3
                                                                                                                                                  ssl_bump peek step1 all
                                                                                                                                                  ssl_bump stare step2 all
                                                                                                                                                  ssl_bump bump step3 all
                                                                                                                                                  Czy ten artykuł był pomocny?