Przewodnik wdrażania dla wielodostępnego hybrydowego zabezpieczenia danych (HDS) (wersja beta)

Nowe i zmienione informacje

Ta tabela zawiera informacje o nowych funkcjach, zmianach w istniejącej zawartości oraz o wszelkich głównych błędach, które zostały usunięte w Przewodniku wdrażania hybrydowego zabezpieczenia danych dla wielu dzierżawców.

Data	Wprowadzono zmiany
4 marca 2025 r.	Dodano sekcję Uruchamianie narzędzia konfiguracji HDS przy użyciu pulpitu Podmana . Dodano uwagę w sekcji Wymagania dotyczące pulpitu docker , która zapewnia klientom alternatywną opcję open source. Zaktualizowano Utwórz konfigurację ISO dla hostów HDS i Zmień konfigurację węzła z instrukcjami, aby używać Podman Desktop dla klientów bez licencji Docker Desktop.
30 stycznia 2025 r.	Dodano wersję SQL Server 2022 do listy obsługiwanych serwerów SQL w sekcji Wymagania dotyczące serwera bazy danych.
15 stycznia 2025 r.	Dodano ograniczenia hybrydowego zabezpieczenia danych dla wielu dzierżaw.
08 stycznia 2025 r.	Dodano uwagę w części Wykonaj początkową konfigurację i pobierz pliki instalacyjne stwierdzającą, że kliknięcie Skonfiguruj na karcie HDS w Partner Hub jest ważnym etapem procesu instalacji.
07 stycznia 2025 r.	Zaktualizowano wymagania dotyczące hosta wirtualnego, przepływ zadań wdrażania hybrydowego zabezpieczenia danych i Zainstaluj OVA hosta HDS , aby wyświetlić nowe wymagania dotyczące ESXi 7.0.
13 grudnia 2024 r.	Opublikowano po raz pierwszy.

Dezaktywuj hybrydowe zabezpieczenia danych dla wielu dzierżaw

Przepływ zadań dezaktywacji trybu HDS dla wielu dzierżawców

Aby całkowicie dezaktywować usługę HDS dla wielu dzierżaw, wykonaj poniższe czynności.

Przed rozpoczęciem

To zadanie powinien wykonywać tylko administrator partnera z pełnymi uprawnieniami.

1	Usuń wszystkich klientów ze wszystkich klastrów, jak opisano w części Usuń organizacje dzierżaw.
2	Unieważnij CMK wszystkich klientów, jak wspomniano w części Unieważnij CMK dzierżaw usuniętych z HDS..
3	Usuń wszystkie węzły ze wszystkich klastrów zgodnie z opisem w sekcji Usuń węzeł.
4	Usuń wszystkie klastry z Partner Hub za pomocą jednej z dwóch poniższych metod. Kliknij klaster, który chcesz usunąć, a następnie wybierz pozycję Usuń ten klaster w prawym górnym rogu strony przeglądu. Na stronie Zasoby kliknij … po prawej stronie klastra i wybierz opcję Usuń klaster.
5	Kliknij kartę Ustawienia na stronie Przegląd usługi hybrydowego zabezpieczenia danych, a następnie opcję Dezaktywuj usługę HDS na karcie stanu usługi HDS.

Wprowadzenie do hybrydowego zabezpieczenia danych dla wielu dzierżaw

Omówienie hybrydowego zabezpieczenia danych dla wielu dzierżaw

Od pierwszego dnia bezpieczeństwo danych było głównym celem podczas projektowania aplikacji Webex. Podstawą tego zabezpieczenia jest kompleksowe szyfrowanie treści, które umożliwiają klienci aplikacji Webex współpracujący z usługą zarządzania kluczami (KMS). Usługa KMS jest odpowiedzialna za tworzenie kluczy kryptograficznych używanych przez klientów do dynamicznego szyfrowania i odszyfrowywania wiadomości i plików oraz zarządzanie nimi.

Domyślnie wszyscy klienci aplikacji Webex otrzymują kompleksowe szyfrowanie za pomocą kluczy dynamicznych przechowywanych w chmurze KMS, w sferze bezpieczeństwa Cisco. Hybrid Data Security przenosi KMS i inne funkcje związane z bezpieczeństwem do centrum danych przedsiębiorstwa, dzięki czemu nikt poza Tobą nie posiada kluczy do zaszyfrowanej zawartości.

Hybrydowe zabezpieczenia danych dla wielu dzierżawców umożliwia organizacjom korzystanie z usług HDS za pośrednictwem zaufanego lokalnego partnera, który może działać jako dostawca usług i zarządzać lokalnym szyfrowaniem i innymi usługami zabezpieczeń. Ta konfiguracja umożliwia organizacji partnerskiej pełną kontrolę nad wdrażaniem kluczy szyfrowania i zarządzaniem nimi oraz zapewnia bezpieczeństwo danych użytkowników organizacji klientów przed dostępem zewnętrznym. Organizacje partnerskie konfigurują wystąpienia HDS i w razie potrzeby tworzą klastry HDS. Każde wystąpienie może obsługiwać wiele organizacji klientów w przeciwieństwie do zwykłego wdrażania usług HDS, które jest ograniczone do jednej organizacji.

Chociaż organizacje partnerskie mają kontrolę nad wdrażaniem i zarządzaniem, nie mają dostępu do danych ani treści generowanych przez klientów. Ten dostęp jest ograniczony do organizacji klientów i ich użytkowników.

Pozwala to również mniejszym organizacjom na korzystanie z HDS, ponieważ usługi zarządzania kluczami i infrastruktura zabezpieczeń, taka jak centra danych, są własnością zaufanego partnera lokalnego.

Jak hybrydowe zabezpieczenia danych dla wielu dzierżawców zapewnia suwerenność danych i kontrolę danych

Treści generowane przez użytkowników są chronione przed dostępem zewnętrznym, na przykład przed dostawcami usług w chmurze.
Lokalni zaufani partnerzy zarządzają kluczami szyfrowania klientów, z którymi mają już ustalone relacje.
Opcja lokalnej pomocy technicznej, jeśli została dostarczona przez partnera.
Obsługuje treści spotkań, wiadomości i połączeń.

Ten dokument ma na celu pomóc organizacjom partnerskim w konfigurowaniu klientów w systemie hybrydowego zabezpieczenia danych dla wielu dzierżawców i zarządzaniu nimi.

Ograniczenia hybrydowego zabezpieczenia danych dla wielu dzierżaw

Organizacje partnerskie nie mogą mieć żadnego aktywnego wdrożenia usług HDS w Control Hub.
Organizacje najemców lub klientów, które chcą być zarządzane przez partnera, nie mogą mieć żadnego istniejącego wdrożenia usług HDS w Control Hub.
Po wdrożeniu usługi HDS dla wielu dzierżaw przez partnera wszyscy użytkownicy organizacji klientów oraz użytkownicy organizacji partnerskiej zaczynają korzystać z usług szyfrowania HDS dla wielu dzierżaw.

Organizacja partnerska i organizacje klientów, którymi zarządzają, będą korzystać z tego samego wdrożenia usług HDS dla wielu dzierżawców.

Organizacja partnerska nie będzie już korzystać z serwera KMS w chmurze po wdrożeniu usług HDS dla wielu dzierżawców.
Nie ma mechanizmu umożliwiającego powrót kluczy do usługi KMS w chmurze po wdrożeniu usługi HDS.
Obecnie każde wdrożenie HDS dla wielu dzierżawców może mieć tylko jeden klaster z wieloma węzłami.
Role administratora mają pewne ograniczenia. Szczegółowe informacje można znaleźć w poniższej sekcji.

Role w usłudze hybrydowego zabezpieczenia danych dla wielu dzierżaw

Administrator partnera z pełnymi uprawnieniami — może zarządzać ustawieniami wszystkich klientów, którymi zarządza partner. Może również przypisywać role administratora istniejącym użytkownikom w organizacji oraz przypisywać określonych klientów do zarządzania przez administratorów partnera.
Administrator partnera — może zarządzać ustawieniami klientów skonfigurowanych przez administratora lub przypisanych do użytkownika.
Administrator z pełnymi uprawnieniami — administrator organizacji partnerskiej, który ma uprawnienia do wykonywania takich zadań jak modyfikowanie ustawień organizacji, zarządzanie licencjami i przypisywanie ról.

Kompleksowa konfiguracja trybu HDS dla wielu dzierżawców i zarządzanie wszystkimi organizacjami klientów — wymagane uprawnienia administratora partnera z pełnymi uprawnieniami i administratora z pełnymi uprawnieniami.
Zarządzanie przypisanymi organizacjami dzierżaw — wymagane uprawnienia administratora partnera i administratora z pełnymi uprawnieniami.

Architektura Security Realm

Architektura chmury Webex dzieli różne typy usług na oddzielne domeny lub domeny zaufania, jak pokazano poniżej.

***Obszary separacji (bez usługi hybrydowego zabezpieczenia danych)***

Aby lepiej zrozumieć usługę hybrydowego zabezpieczenia danych, przyjrzyjmy się najpierw tej czystej chmurze, w której firma Cisco udostępnia wszystkie funkcje w swoich domenach chmury. Usługa tożsamości, jedyne miejsce, w którym użytkownicy mogą być bezpośrednio skorelowani z ich danymi osobowymi, takimi jak adres e-mail, jest logicznie i fizycznie oddzielona od obszaru bezpieczeństwa w centrum danych B. Oba są z kolei oddzielone od obszaru, w którym docelowo przechowywana jest zaszyfrowana zawartość, w centrum danych C.

Na tym schemacie klient jest aplikacją Webex działającą na laptopie użytkownika i uwierzytelnił się w usłudze tożsamości. Gdy użytkownik tworzy wiadomość do wysłania do obszaru, wykonują następujące czynności:

Klient nawiązuje bezpieczne połączenie z usługą zarządzania kluczami (KMS), a następnie żąda klucza w celu zaszyfrowania wiadomości. Bezpieczne połączenie korzysta z protokołu ECDH, a serwer KMS szyfruje klucz przy użyciu klucza głównego AES-256.
Wiadomość jest szyfrowana przed opuszczeniem klienta. Klient wysyła je do usługi indeksowania, która tworzy zaszyfrowane indeksy wyszukiwania, aby pomóc w przyszłych wyszukiwaniu zawartości.
Zaszyfrowana wiadomość jest wysyłana do usługi zgodności w celu sprawdzenia zgodności.
Zaszyfrowana wiadomość jest przechowywana w obszarze miejsca do przechowywania.

Podczas wdrażania hybrydowego zabezpieczenia danych funkcje domeny zabezpieczeń (KMS, indeksowanie i zgodność) są przenoszone do lokalnego centrum danych. Inne usługi w chmurze tworzące usługę Webex (w tym tożsamość i miejsce do przechowywania zawartości) pozostają w domenach Cisco.

Współpraca z innymi organizacjami

Użytkownicy w Twojej organizacji mogą regularnie korzystać z aplikacji Webex do współpracy z uczestnikami zewnętrznymi w innych organizacjach. Gdy jeden z użytkowników poprosi o klucz obszaru należącego do Twojej organizacji (ponieważ został on utworzony przez jednego z użytkowników), serwer KMS wysyła klucz do klienta przez kanał zabezpieczony ECDH. Jeśli jednak inna organizacja jest właścicielem klucza obszaru, serwer KMS kieruje żądanie do chmury Webex przez oddzielny kanał ECDH, aby pobrać klucz z odpowiedniego serwera KMS, a następnie zwraca klucz do użytkownika w oryginalnym kanale.

Usługa KMS działająca w organizacji A sprawdza poprawność połączeń z urządzeniami KMS w innych organizacjach przy użyciu certyfikatów x.509 PKI. Zobacz Przygotowanie środowiska , aby uzyskać szczegółowe informacje na temat generowania certyfikatu x.509 do użycia z wdrożeniem hybrydowego zabezpieczenia danych dla wielu dzierżawców.

Oczekiwania dotyczące wdrożenia hybrydowego zabezpieczenia danych

Wdrożenie hybrydowego zabezpieczenia danych wymaga znacznego zaangażowania i świadomości ryzyka związanego z posiadaniem kluczy szyfrowania.

Aby wdrożyć usługę hybrydowego zabezpieczenia danych, należy zapewnić:

Bezpieczne centrum danych w kraju, które jest obsługiwaną lokalizacją planów Cisco Webex Teams.
Sprzęt, oprogramowanie i dostęp do sieci opisane w części Przygotowanie środowiska.

Całkowita utrata albo konfiguracji ISO tworzonej dla usługi hybrydowego zabezpieczenia danych, albo dostarczonej bazy danych spowoduje utratę kluczy. Utrata klucza uniemożliwia użytkownikom odszyfrowanie zawartości obszaru i innych zaszyfrowanych danych w aplikacji Webex. W takim przypadku można zbudować nowe wdrożenie, ale widoczna będzie tylko nowa zawartość. Aby uniknąć utraty dostępu do danych, należy:

Zarządzanie kopiowaniem i odzyskiwaniem bazy danych oraz certyfikatem ISO konfiguracji.
Przygotuj się do szybkiego odzyskiwania po awarii w przypadku wystąpienia katastrofy, takiej jak awaria dysku bazy danych lub katastrofa centrum danych.

Nie ma mechanizmu, by przenieść klucze z powrotem do chmury po wdrożeniu HDS.

Proces konfiguracji wysokiego poziomu

Ten dokument dotyczy konfigurowania wdrożenia hybrydowego zabezpieczenia danych dla wielu dzierżawców i zarządzania nim:

Skonfiguruj hybrydowe zabezpieczenia danych — obejmuje przygotowanie wymaganej infrastruktury i zainstalowanie oprogramowania hybrydowego zabezpieczenia danych, budowę klastra HDS, dodawanie organizacji dzierżaw do klastra oraz zarządzanie kluczami głównymi klientów (CMK). Umożliwi to wszystkim użytkownikom w organizacjach klientów korzystanie z klastra hybrydowego zabezpieczenia danych do obsługi funkcji zabezpieczeń.

W kolejnych trzech rozdziałach omówiono szczegółowo etapy konfiguracji, aktywacji i zarządzania.
Kontynuuj wdrożenie usługi hybrydowego zabezpieczenia danych — chmura Webex automatycznie zapewnia ciągłe aktualizacje. Dział IT może zapewnić wsparcie Tier One dla tego wdrożenia i w razie potrzeby zaangażować wsparcie Cisco. Możesz korzystać z powiadomień na ekranie i skonfigurować alerty e-mail w Partner Hub.
Zrozumienie popularnych alertów, czynności rozwiązywania problemów i znanych problemów — w przypadku wystąpienia problemów ze wdrażaniem lub korzystaniem z usługi hybrydowego zabezpieczenia danych ostatni rozdział tego przewodnika i załącznik do znanych problemów mogą pomóc w ustaleniu i usunięciu problemu.

Model wdrażania hybrydowego zabezpieczenia danych

W korporacyjnym centrum danych wdrożysz hybrydowe zabezpieczenia danych jako pojedynczy klaster węzłów na osobnych wirtualnych hostach. Węzły komunikują się z chmurą Webex za pośrednictwem bezpiecznych gniazd WebSockets i bezpiecznego HTTP.

Podczas procesu instalacji udostępniamy plik OVA, aby skonfigurować urządzenie wirtualne na maszynach wirtualnych, które udostępniasz. Za pomocą narzędzia konfiguracji usługi HDS można utworzyć niestandardowy plik ISO konfiguracji klastra, który montujesz na każdym węźle. Klaster usługi hybrydowego zabezpieczenia danych korzysta z dostarczonego serwera Syslogd oraz bazy danych PostgreSQL lub Microsoft SQL Server. (Szczegóły połączenia Syslogd i bazy danych można skonfigurować za pomocą narzędzia konfiguracji HDS).

Model wdrażania hybrydowego zabezpieczenia danych

Minimalna liczba węzłów, które można mieć w klastrze, wynosi dwa. Zalecamy co najmniej trzy klastry. Posiadanie wielu węzłów gwarantuje, że usługa nie zostanie przerwana podczas aktualizacji oprogramowania lub innej konserwacji w węźle. (Chmura Webex uaktualnia tylko jeden węzeł naraz).

Wszystkie węzły w klastrze uzyskują dostęp do tego samego magazynu danych klucza oraz do tego samego serwera dziennika systemowego. Same węzły są bezstanowe i obsługują żądania kluczy w sposób zaokrąglony, zgodnie z kierunkiem chmury.

Węzły stają się aktywne po zarejestrowaniu ich w Partner Hub. Aby wyłączyć pojedynczy węzeł, można go wyrejestrować, a w razie potrzeby ponownie go zarejestrować.

Centrum danych w trybie gotowości do odzyskiwania po awarii

Podczas wdrażania konfigurujesz bezpieczne centrum danych w trybie gotowości. W przypadku awarii centrum danych można ręcznie wykonać wdrożenie do centrum danych w trybie gotowości.

Przed przełączeniem awaryjnym Centrum danych A ma aktywne węzły HDS i podstawową bazę danych PostgreSQL lub Microsoft SQL Server, a B ma kopię pliku ISO z dodatkowymi konfiguracjami, urządzeniami wirtualnymi zarejestrowanymi w organizacji oraz bazę danych trybu gotowości. Po przełączeniu awaryjnym centrum danych B ma aktywne węzły HDS i podstawową bazę danych, podczas gdy A ma niezarejestrowane maszyny wirtualne i kopię pliku ISO, a baza danych jest w trybie gotowości. — ***Ręczne przełączenie awaryjne do centrum danych w trybie gotowości***

Bazy danych aktywnych i rezerwowych centrów danych są ze sobą synchronizowane, co minimalizuje czas potrzebny na wykonanie przełączania awaryjnego.

Aktywne węzły usługi hybrydowego zabezpieczenia danych muszą zawsze znajdować się w tym samym centrum danych, co aktywny serwer bazy danych.

Obsługa serwera proxy

Hybrid Data Security obsługuje jawne, przejrzyste inspekcje i niekontrolujące serwery proxy. Możesz powiązać te serwery proxy z wdrożeniem, aby zabezpieczyć i monitorować ruch z przedsiębiorstwa do chmury. Interfejsu administratora platformy w węzłach można używać do zarządzania certyfikatami i sprawdzania ogólnego stanu łączności po skonfigurowaniu serwera proxy w węzłach.

Węzły Hybrid Data Security obsługują następujące opcje serwera proxy:

Brak serwera proxy — domyślnie, jeśli do zintegrowania serwera proxy nie używasz konfiguracji węzła HDS usługi Trust Store i proxy. Aktualizacja certyfikatu nie jest wymagana.
Przezroczysty, nieweryfikujący serwer proxy — węzły nie są skonfigurowane do używania konkretnego adresu serwera proxy i nie powinny wymagać żadnych zmian, aby pracować z nieweryfikowanym serwerem proxy. Aktualizacja certyfikatu nie jest wymagana.
Przezroczyste tunelowanie lub inspekcja serwera proxy — węzły nie są skonfigurowane do używania określonego adresu serwera proxy. W węzłach nie są wymagane żadne zmiany konfiguracji HTTP ani HTTPS. Jednak węzły potrzebują certyfikatu głównego, aby ufać serwerowi proxy. Inspekcja serwerów proxy jest zwykle używana przez IT do egzekwowania zasad, na których można odwiedzać witryny internetowe, a które nie są dozwolone. Ten typ serwera proxy odszyfrowuje cały ruch (nawet HTTPS).
Jawny serwer proxy — przy użyciu jawnego serwera proxy można wskazać węzłom HDS, którego serwera proxy i schematu uwierzytelniania mają używać. Aby skonfigurować jawny serwer proxy, należy wprowadzić następujące informacje w każdym węźle:
1. Adres IP/FQDN serwera proxy — adres, za pomocą którego można uzyskać dostęp do maszyny proxy.
2. Port serwera proxy — numer portu, którego serwer proxy używa do nasłuchiwania ruchu proxy.
3. Protokół proxy — w zależności od tego, jakie obsługuje serwer proxy, wybierz jeden z następujących protokołów:
  - HTTP — wyświetla i kontroluje wszystkie żądania wysyłane przez klienta.
  - HTTPS — zapewnia kanał do serwera. Klient odbiera i sprawdza poprawność certyfikatu serwera.
4. Typ uwierzytelniania — wybierz jeden z następujących typów uwierzytelniania:
  - Brak — dalsze uwierzytelnianie nie jest wymagane.
    
    Opcja dostępna po wybraniu protokołu HTTP lub HTTPS jako protokołu proxy.
  - Podstawowe — używane w przypadku agenta użytkownika HTTP w celu podania nazwy użytkownika i hasła podczas wykonywania żądania. Używa kodowania Base64.
    
    Opcja dostępna po wybraniu protokołu HTTP lub HTTPS jako protokołu proxy.
    
    Wymaga wprowadzenia nazwy użytkownika i hasła w każdym węźle.
  - Szyfrowanie — służy do potwierdzania konta przed wysłaniem poufnych informacji. Stosuje funkcję skrótu do nazwy użytkownika i hasła przed wysłaniem przez sieć.
    
    Opcja dostępna tylko po wybraniu protokołu HTTPS jako protokołu proxy.
    
    Wymaga wprowadzenia nazwy użytkownika i hasła w każdym węźle.

Przykład hybrydowych węzłów zabezpieczeń danych i serwera proxy

Ten diagram przedstawia przykładowe połączenie między hybrid data security, siecią i serwerem proxy. W przypadku opcji przezroczystego serwera proxy inspekcji i jawnego sprawdzania HTTPS ten sam certyfikat główny musi być zainstalowany na serwerze proxy i w węzłach Hybrid Data Security.

Zablokowany tryb zewnętrznego rozpoznawania DNS (jawne konfiguracje serwera proxy)

Podczas rejestrowania węzła lub sprawdzania konfiguracji serwera proxy węzła proces testuje wyszukiwanie DNS i łączność z chmurą Cisco Webex. We wdrożeniach z jawnymi konfiguracjami serwera proxy, które nie zezwalają na zewnętrzne rozpoznawanie DNS dla klientów wewnętrznych, jeśli węzeł nie może wysłać kwerendy do serwerów DNS, automatycznie przechodzi w tryb zablokowanego zewnętrznego rozpoznawania DNS. W tym trybie można kontynuować rejestrację węzła i inne testy łączności serwera proxy.

Przygotuj środowisko

Wymagania dotyczące hybrydowego zabezpieczenia danych dla wielu dzierżaw

Wymagania licencyjne usługi Cisco Webex

Aby wdrożyć hybrydowe zabezpieczenia danych dla wielu dzierżaw:

Organizacje partnerskie: Skontaktuj się z partnerem lub opiekunem klienta firmy Cisco i upewnij się, że funkcja wielu dzierżaw jest włączona.
Organizacje dzierżaw: Musisz mieć pakiet Pro Pack dla Cisco Webex Control Hub. (Patrz https://www.cisco.com/go/pro-pack.)

Wymagania pulpitu Docker

Przed zainstalowaniem węzłów HDS należy uruchomić program konfiguracyjny programu Docker Desktop. Docker niedawno zaktualizował swój model licencjonowania. Twoja organizacja może wymagać płatnej subskrypcji platformy Docker Desktop.Your organization might require a paid subscription for Docker Desktop. Aby uzyskać szczegółowe informacje, zobacz wpis na blogu Platformy Docker " Docker aktualizuje i rozszerza nasze subskrypcje produktów".

Klienci bez licencji Docker Desktop mogą korzystać z narzędzia open source do zarządzania kontenerami, takiego jak Podman Desktop, do zarządzania i tworzenia kontenerów. Szczegółowe informacje zawiera temat Uruchamianie narzędzia konfiguracji HDS przy użyciu pulpitu Podmana .

Wymagania certyfikatu X.509

Łańcuch certyfikatów musi spełniać następujące wymagania:

Tabela 1. Wymagania certyfikatu X.509 dla wdrożenia hybrydowego zabezpieczenia danych
Wymaganie	Szczegóły
Podpisany przez zaufany urząd certyfikacji (CA)	Domyślnie ufamy urzędom certyfikacji na liście Mozilli (z wyjątkiem WoSign i StartCom) pod adresem https://wiki.mozilla.org/CA:IncludedCAs.
Nosi nazwę domeny z nazwą pospolitą (CN), która identyfikuje wdrożenie usługi hybrydowego zabezpieczenia danych Nie jest certyfikatem z symbolem wieloznacznym	Numer CN nie musi być dostępny ani być prowadzącym na żywo. Zalecamy używanie nazwy odzwierciedlającej organizację, na przykład `hds.company.com`. CN nie może zawierać znaku * (symbolu wieloznacznego). Kod CN służy do weryfikowania węzłów usługi hybrydowego zabezpieczenia danych w klientach aplikacji Webex. Wszystkie węzły usługi hybrydowego zabezpieczenia danych w klastrze używają tego samego certyfikatu. Serwer KMS identyfikuje się używając domeny CN, a nie żadnej domeny zdefiniowanej w polach SAN x.509v3. Po zarejestrowaniu węzła z tym certyfikatem nie jest obsługiwana zmiana nazwy domeny CN.
Podpis bez SHA1	Oprogramowanie KMS nie obsługuje podpisów SHA1 w celu walidacji połączeń z modułami KMS innych organizacji.
Sformatowany jako plik PKCS #12 zabezpieczony hasłem Użyj przyjaznej nazwy `kms-private-key` , aby oznaczyć certyfikat, klucz prywatny i wszelkie certyfikaty pośrednie do przesłania.	Możesz użyć konwertera, takiego jak OpenSSL, aby zmienić format certyfikatu. Hasło trzeba będzie wprowadzić podczas uruchamiania narzędzia konfiguracji usług HDS.

Oprogramowanie KMS nie wymuszało użycia kluczy ani rozszerzonych ograniczeń użycia kluczy. Niektóre urzędy certyfikacji wymagają, aby do każdego certyfikatu miały zastosowanie rozszerzone ograniczenia użycia klucza, takie jak uwierzytelnianie serwera. Można używać uwierzytelniania serwera lub innych ustawień.

Wymagania dotyczące hosta wirtualnego

Hosty wirtualne, które skonfigurujesz jako węzły usługi hybrydowego zabezpieczenia danych w klastrze, mają następujące wymagania:

Co najmniej dwa oddzielne hosty (zalecane 3) rozmieszczone w tym samym bezpiecznym centrum danych
Zainstalowano i uruchomiono program VMware ESXi 7.0 (lub nowszy).

Jeśli masz starszą wersję oprogramowania ESXi, musisz ją uaktualnić.
Co najmniej 4 procesory vCPU, 8 GB pamięci głównej, 30 GB miejsca na lokalny dysk twardy na serwer

Wymagania serwera bazy danych

Utwórz nową bazę danych do przechowywania kluczy. Nie należy używać domyślnej bazy danych. Aplikacje HDS, po zainstalowaniu, tworzą schemat bazy danych.

Serwer bazy danych ma dwie opcje. Wymagania dotyczące każdego z nich są następujące:

Tabela 2. Wymagania serwera bazy danych według typu bazy danych
PostgreSQL-a	Serwer Microsoft SQL
PostgreSQL 14, 15 lub 16 jest zainstalowany i uruchomiony.	Zainstalowano oprogramowanie SQL Server 2016, 2017, 2019 lub 2022 (Enterprise lub Standard). Program SQL Server 2016 wymaga pakietu Service Pack 2 i aktualizacji skumulowanej 2 lub nowszej.
Co najmniej 8 procesorów vCPU, 16 GB pamięci głównej, wystarczająca ilość miejsca na dysku twardym i monitorowanie, aby nie było przekroczone (zalecane 2 TB, jeśli chcesz uruchomić bazę danych przez długi czas bez konieczności zwiększania miejsca do przechowywania)	Co najmniej 8 procesorów vCPU, 16 GB pamięci głównej, wystarczająca ilość miejsca na dysku twardym i monitorowanie, aby nie było przekroczone (zalecane 2 TB, jeśli chcesz uruchomić bazę danych przez długi czas bez konieczności zwiększania miejsca do przechowywania)

Oprogramowanie HDS instaluje obecnie następujące wersje sterowników do komunikacji z serwerem bazy danych:

PostgreSQL-a	Serwer Microsoft SQL
Postgres JDBC sterownik 42.2.5	Sterownik SQL Server JDBC 4.6 Ta wersja sterownika obsługuje funkcję SQL Server Always On (zawsze włączone wystąpienia klastra przełączenia awaryjnego i zawsze włączone grupy dostępności).

PostgreSQL-a

Serwer Microsoft SQL

Postgres JDBC sterownik 42.2.5

Sterownik SQL Server JDBC 4.6

Ta wersja sterownika obsługuje funkcję SQL Server Always On (zawsze włączone wystąpienia klastra przełączenia awaryjnego i zawsze włączone grupy dostępności).

Dodatkowe wymagania dotyczące uwierzytelniania w systemie Windows przy użyciu programu Microsoft SQL Server

Jeśli chcesz, aby węzły HDS korzystały z uwierzytelniania w systemie Windows w celu uzyskania dostępu do bazy danych magazynu kluczy na serwerze Microsoft SQL Server, potrzebujesz następującej konfiguracji w środowisku:

Wszystkie węzły HDS, infrastruktura Active Directory i oprogramowanie MS SQL Server muszą być synchronizowane z protokołem NTP.
Konto systemu Windows dostarczane węzłom HDS musi mieć dostęp do odczytu/zapisu do bazy danych.
Serwery DNS dostarczane do węzłów HDS muszą być w stanie rozpoznać Twoje centrum dystrybucji kluczy (KDC).
Wystąpienie bazy danych HDS na serwerze Microsoft SQL można zarejestrować jako nazwę główną usługi (SPN) w usłudze Active Directory. Zobacz Rejestrowanie nazwy głównej usługi dla połączeń Kerberos.

Narzędzie konfiguracyjne usługi HDS, uruchamianie usługi HDS i lokalny serwer KMS muszą korzystać z uwierzytelniania systemu Windows, aby uzyskać dostęp do bazy danych magazynu kluczy. Używają oni szczegółów z konfiguracji ISO do skonstruowania SPN przy żądaniu dostępu z uwierzytelnianiem Kerberos.

Wymagania dotyczące łączności zewnętrznej

Skonfiguruj zaporę, aby zezwolić na następującą łączność dla aplikacji HDS:

Aplikacja	Protokół	Port	Kierunek z aplikacji	Miejsce docelowe
Węzły hybrydowego zabezpieczenia danych	TCP	443	Wychodzące HTTPS i WSS	Serwery Webex: .wbx2.com .ciscospark.com Wszyscy prowadzący Common Identity Inne adresy URL wymienione na liście dla hybrydowego zabezpieczenia danych w tabeli Dodatkowe adresy URL dla usług hybrydowych Webex w sekcji Wymagania sieciowe dla usług Webex
Narzędzie konfiguracji usług HDS	TCP	443	Wychodzący HTTPS	*.wbx2.com Wszyscy prowadzący Common Identity hub.docker.com

Węzły usługi hybrydowego zabezpieczenia danych współpracują z tłumaczeniem dostępu do sieci (NAT) lub zaporą, o ile translacja NAT lub zapora sieciowa zezwalają na wymagane połączenia wychodzące z adresami domen w poprzedniej tabeli. W przypadku połączeń przychodzących do węzłów usługi hybrydowego zabezpieczenia danych żadne porty nie powinny być widoczne z Internetu. W centrum danych klienci potrzebują do celów administracyjnych dostępu do węzłów usługi hybrydowego zabezpieczenia danych na portach TCP 443 i 22.

Adresy URL dla hostów usługi Common Identity (CI) są specyficzne dla regionów. Są to bieżące hosty CI:

Region	Adresy URL hosta wspólnej tożsamości
Ameryka	https://idbroker.webex.com https://identity.webex.com https://idbroker-b-us.webex.com https://identity-b-us.webex.com
Unia Europejska	https://idbroker-eu.webex.com https://identity-eu.webex.com
Kanada	https://idbroker-ca.webex.com https://identity-ca.webex.com
Singapur	https://idbroker-sg.webex.com https://identity-sg.webex.com
Zjednoczone Emiraty Arabskie	https://idbroker-ae.webex.com https://identity-ae.webex.com

Wymagania dotyczące serwera proxy

Oficjalnie obsługujemy następujące rozwiązania proxy, które można zintegrować z węzłami Hybrid Data Security.
- Przezroczysty serwer proxy — Cisco Web Security Appliance (WSA).
- Jawny serwer proxy — Squid.
  
  Serwery proxy Squid, które sprawdzają ruch HTTPS, mogą zakłócać nawiązywanie połączeń WebSocket (wss:). Aby rozwiązać ten problem, zobacz Konfigurowanie serwerów proxy Squid na potrzeby hybrydowego zabezpieczenia danych.
Obsługujemy następujące kombinacje typów uwierzytelniania dla jawnych serwerów proxy:
- Brak uwierzytelniania za pomocą protokołu HTTP lub HTTPS
- Uwierzytelnianie podstawowe za pomocą protokołu HTTP lub HTTPS
- Uwierzytelnianie szyfrowane tylko przy użyciu protokołu HTTPS
W przypadku przezroczystego serwera proxy inspekcji lub jawnego serwera proxy HTTPS musisz mieć kopię certyfikatu głównego serwera proxy. Instrukcje wdrażania w tym przewodniku informają, jak przekazać kopię do magazynów zaufania węzłów hybrid Data Security.
Sieć obsługująca węzły HDS musi być skonfigurowana tak, aby wymuszała kierowanie wychodzącego ruchu TCP na porcie 443 przez serwer proxy.
Serwery proxy, które sprawdzają ruch sieci web, mogą zakłócać połączenia gniazd internetowych. W przypadku wystąpienia tego problemu pominięcie ruchu (bez inspekcji) do wbx2.com i ciscospark.com spowoduje rozwiązanie problemu.

Spełnij wymagania wstępne dotyczące usługi hybrydowego zabezpieczenia danych

Skorzystaj z tej listy kontrolnej, aby upewnić się, że możesz zainstalować i skonfigurować klaster usługi hybrydowego zabezpieczenia danych.

1	Upewnij się, że organizacja partnerska ma włączoną funkcję HDS dla wielu dzierżawców i uzyskaj poświadczenia konta z pełnymi uprawnieniami administratora partnera i pełnego administratora. Upewnij się, że Twoja organizacja klienta Webex jest włączona dla usługi Pro Pack for Cisco Webex Control Hub. Skontaktuj się z partnerem lub opiekunem klienta Cisco w celu uzyskania pomocy w tym procesie. Organizacje klientów nie powinny mieć żadnych istniejących wdrożeń usług HDS.
2	Wybierz nazwę domeny dla wdrożenia usługi HDS (na przykład `hds.company.com`) i uzyskaj łańcuch certyfikatów zawierający certyfikat X.509, klucz prywatny i certyfikaty pośrednie. Łańcuch certyfikatów musi spełniać wymagania określone w wymaganiach certyfikatu X.509.
3	Przygotuj identycznych wirtualnych prowadzących, które zostaną skonfigurowane jako węzły usługi hybrydowego zabezpieczenia danych w klastrze. Potrzebujesz co najmniej dwóch oddzielnych hostów (zalecane 3) rozmieszczonych w tym samym bezpiecznym centrum danych, które spełniają wymagania określone w wymaganiach dotyczących hosta wirtualnego.
4	Przygotuj serwer bazy danych, który będzie pełnił rolę kluczowego magazynu danych dla klastra, zgodnie z wymaganiami serwera bazy danych. Serwer bazy danych musi być umieszczony w bezpiecznym centrum danych z wirtualnymi hostami. Tworzenie bazy danych do przechowywania kluczy. (Należy utworzyć tę bazę danych — nie używaj domyślnej bazy danych. Aplikacje HDS, gdy są zainstalowane, tworzą schemat bazy danych). Zbierz szczegóły, których węzły będą używać do komunikacji z serwerem bazy danych: nazwa hosta lub adres IP (hosta) i port nazwa bazy danych (dbname) do przechowywania klucza nazwa użytkownika i hasło użytkownika z wszystkimi uprawnieniami w bazie danych przechowywania kluczy
5	W celu szybkiego odzyskiwania po awarii skonfiguruj środowisko kopii zapasowej w innym centrum danych. Środowisko tworzenia kopii zapasowych jest lustrzane dla środowiska produkcyjnego maszyn wirtualnych i zapasowego serwera bazy danych. Jeśli na przykład w produkcji są 3 maszyny wirtualne z węzłami HDS, środowisko kopii zapasowej powinno zawierać 3 maszyny wirtualne.
6	Skonfiguruj hosta dziennika systemu, aby zbierał dzienniki z węzłów w klastrze. Zbierz adres sieciowy i port dziennika systemu (domyślnie jest to UDP 514).
7	Utwórz zasady bezpiecznych kopii zapasowych dla węzłów usługi hybrydowego zabezpieczenia danych, serwera bazy danych i hosta dziennika systemowego. Aby zapobiec nieodwracalnej utracie danych, należy wykonać kopię zapasową bazy danych i pliku ISO konfiguracji wygenerowanego dla węzłów usługi hybrydowego zabezpieczenia danych. Ponieważ węzły usługi hybrydowego zabezpieczenia danych przechowują klucze używane do szyfrowania i odszyfrowywania zawartości, niepowodzenie utrzymania operacyjnego wdrożenia spowoduje NIEODWRACALNĄ UTRATĘ tej zawartości. Klienci aplikacji Webex buforują swoje klucze, więc awaria może nie być natychmiast zauważalna, ale z czasem stanie się oczywista. O ile nie można zapobiec tymczasowym awariom, można je odzyskać. Jednak całkowita utrata (brak dostępnych kopii zapasowych) bazy danych lub pliku ISO konfiguracji spowoduje, że dane klienta nie będą mogły zostać odzyskane. Oczekuje się, że operatorzy węzłów usługi hybrydowego zabezpieczenia danych będą utrzymywać częste kopie zapasowe bazy danych i pliku ISO konfiguracji oraz będą przygotowani do odbudowania centrum danych usługi hybrydowego zabezpieczenia danych w przypadku wystąpienia katastrofalnej awarii.
8	Upewnij się, że konfiguracja zapory umożliwia łączność z węzłami usługi hybrydowego zabezpieczenia danych, jak opisano w części Wymagania dotyczące łączności zewnętrznej.
9	Zainstaluj aplikację Docker ( https://www.docker.com) na dowolnym lokalnym komputerze z obsługiwanym systemem operacyjnym (Microsoft Windows 10 Professional lub Enterprise 64-bitowy lub Mac OSX Yosemite 10.10.3 lub nowszym) za pomocą przeglądarki internetowej, która może uzyskać do niej dostęp pod adresem http://127.0.0.1:8080. Wystąpienie usługi Docker umożliwia pobranie i uruchomienie narzędzia konfiguracyjnego HDS, które tworzy informacje o konfiguracji lokalnej dla wszystkich węzłów usługi hybrydowego zabezpieczenia danych. Być może potrzebujesz licencji Docker Desktop. Aby uzyskać więcej informacji, zobacz Wymagania dotyczące pulpitu Docker . Aby zainstalować i uruchomić narzędzie konfiguracji usługi HDS, komputer lokalny musi mieć łączność opisaną w sekcji Wymagania dotyczące łączności zewnętrznej.
10	Jeśli integrujesz serwer proxy z usługą hybrydowego zabezpieczenia danych, upewnij się, że spełnia wymagania serwera proxy.

Nowe i zmienione informacje

Ta tabela zawiera informacje o nowych funkcjach, zmianach w istniejącej zawartości oraz o wszelkich głównych błędach, które zostały usunięte w Przewodniku wdrażania hybrydowego zabezpieczenia danych dla wielu dzierżawców.

Data	Wprowadzono zmiany
13 grudnia 2024 r.	Pierwsza wersja.

Dezaktywuj hybrydowe zabezpieczenia danych dla wielu dzierżaw

Przepływ zadań dezaktywacji trybu HDS dla wielu dzierżawców

Aby całkowicie dezaktywować usługę HDS dla wielu dzierżaw, wykonaj poniższe czynności.

Przed rozpoczęciem

To zadanie powinien wykonywać tylko administrator partnera z pełnymi uprawnieniami.

1	Usuń wszystkich klientów ze wszystkich klastrów, jak opisano w części Usuń organizacje dzierżaw.
2	Unieważnij CMK wszystkich klientów, jak wspomniano w części Unieważnij CMK dzierżaw usuniętych z HDS..
3	Usuń wszystkie węzły ze wszystkich klastrów zgodnie z opisem w sekcji Usuń węzeł.
4	Usuń wszystkie klastry z Partner Hub za pomocą jednej z dwóch poniższych metod. Kliknij klaster, który chcesz usunąć, a następnie wybierz pozycję Usuń ten klaster w prawym górnym rogu strony przeglądu. Na stronie Zasoby kliknij … po prawej stronie klastra i wybierz opcję Usuń klaster.
5	Kliknij kartę Ustawienia na stronie Przegląd usługi hybrydowego zabezpieczenia danych, a następnie opcję Dezaktywuj usługę HDS na karcie stanu usługi HDS.

Wprowadzenie do hybrydowego zabezpieczenia danych dla wielu dzierżaw

Omówienie hybrydowego zabezpieczenia danych dla wielu dzierżaw

Od pierwszego dnia bezpieczeństwo danych było głównym celem podczas projektowania aplikacji Webex. Podstawą tego zabezpieczenia jest kompleksowe szyfrowanie treści, które umożliwiają klienci aplikacji Webex współpracujący z usługą zarządzania kluczami (KMS). Usługa KMS jest odpowiedzialna za tworzenie kluczy kryptograficznych używanych przez klientów do dynamicznego szyfrowania i odszyfrowywania wiadomości i plików oraz zarządzanie nimi.

Domyślnie wszyscy klienci aplikacji Webex otrzymują kompleksowe szyfrowanie za pomocą kluczy dynamicznych przechowywanych w chmurze KMS, w sferze bezpieczeństwa Cisco. Hybrid Data Security przenosi KMS i inne funkcje związane z bezpieczeństwem do centrum danych przedsiębiorstwa, dzięki czemu nikt poza Tobą nie posiada kluczy do zaszyfrowanej zawartości.

Hybrydowe zabezpieczenia danych dla wielu dzierżawców umożliwia organizacjom korzystanie z usług HDS za pośrednictwem zaufanego lokalnego partnera, który może działać jako dostawca usług i zarządzać lokalnym szyfrowaniem i innymi usługami zabezpieczeń. Ta konfiguracja umożliwia organizacji partnerskiej pełną kontrolę nad wdrażaniem kluczy szyfrowania i zarządzaniem nimi oraz zapewnia bezpieczeństwo danych użytkowników organizacji klientów przed dostępem zewnętrznym. Organizacje partnerskie konfigurują wystąpienia HDS i w razie potrzeby tworzą klastry HDS. Każde wystąpienie może obsługiwać wiele organizacji klientów w przeciwieństwie do zwykłego wdrażania usług HDS, które jest ograniczone do jednej organizacji.

Chociaż organizacje partnerskie mają kontrolę nad wdrażaniem i zarządzaniem, nie mają dostępu do danych ani treści generowanych przez klientów. Ten dostęp jest ograniczony do organizacji klientów i ich użytkowników.

Pozwala to również mniejszym organizacjom na korzystanie z HDS, ponieważ usługi zarządzania kluczami i infrastruktura zabezpieczeń, taka jak centra danych, są własnością zaufanego partnera lokalnego.

Jak hybrydowe zabezpieczenia danych dla wielu dzierżawców zapewnia suwerenność danych i kontrolę danych

Treści generowane przez użytkowników są chronione przed dostępem zewnętrznym, na przykład przed dostawcami usług w chmurze.
Lokalni zaufani partnerzy zarządzają kluczami szyfrowania klientów, z którymi mają już ustalone relacje.
Opcja lokalnej pomocy technicznej, jeśli została dostarczona przez partnera.
Obsługuje treści spotkań, wiadomości i połączeń.

Ten dokument ma na celu pomóc organizacjom partnerskim w konfigurowaniu klientów w systemie hybrydowego zabezpieczenia danych dla wielu dzierżawców i zarządzaniu nimi.

Role w hybrydowym zabezpieczeniu danych dla wielu dzierżawców

Administrator partnera z pełnymi uprawnieniami — może zarządzać ustawieniami wszystkich klientów, którymi zarządza partner. Może również przypisywać role administratora istniejącym użytkownikom w organizacji oraz przypisywać określonych klientów do zarządzania przez administratorów partnera.
Administrator partnera — może zarządzać ustawieniami klientów skonfigurowanych przez administratora lub przypisanych do użytkownika.
Administrator z pełnymi uprawnieniami — administrator organizacji partnerskiej, który ma uprawnienia do wykonywania takich zadań jak modyfikowanie ustawień organizacji, zarządzanie licencjami i przypisywanie ról.

Kompleksowa konfiguracja trybu HDS dla wielu dzierżawców i zarządzanie wszystkimi organizacjami klientów — wymagane uprawnienia administratora partnera z pełnymi uprawnieniami i administratora z pełnymi uprawnieniami.
Zarządzanie przypisanymi organizacjami dzierżaw — wymagane uprawnienia administratora partnera i administratora z pełnymi uprawnieniami.

Architektura Security Realm

Architektura chmury Webex dzieli różne typy usług na oddzielne domeny lub domeny zaufania, jak pokazano poniżej.

Aby lepiej zrozumieć usługę hybrydowego zabezpieczenia danych, przyjrzyjmy się najpierw tej czystej chmurze, w której firma Cisco udostępnia wszystkie funkcje w swoich domenach chmury. Usługa tożsamości, jedyne miejsce, w którym użytkownicy mogą być bezpośrednio skorelowani z ich danymi osobowymi, takimi jak adres e-mail, jest logicznie i fizycznie oddzielona od obszaru bezpieczeństwa w centrum danych B. Oba są z kolei oddzielone od obszaru, w którym docelowo przechowywana jest zaszyfrowana zawartość, w centrum danych C.

Na tym schemacie klient jest aplikacją Webex działającą na laptopie użytkownika i uwierzytelnił się w usłudze tożsamości. Gdy użytkownik tworzy wiadomość do wysłania do obszaru, wykonują następujące czynności:

Klient nawiązuje bezpieczne połączenie z usługą zarządzania kluczami (KMS), a następnie żąda klucza w celu zaszyfrowania wiadomości. Bezpieczne połączenie korzysta z protokołu ECDH, a serwer KMS szyfruje klucz przy użyciu klucza głównego AES-256.
Wiadomość jest szyfrowana przed opuszczeniem klienta. Klient wysyła je do usługi indeksowania, która tworzy zaszyfrowane indeksy wyszukiwania, aby pomóc w przyszłych wyszukiwaniu zawartości.
Zaszyfrowana wiadomość jest wysyłana do usługi zgodności w celu sprawdzenia zgodności.
Zaszyfrowana wiadomość jest przechowywana w obszarze miejsca do przechowywania.

Podczas wdrażania hybrydowego zabezpieczenia danych funkcje domeny zabezpieczeń (KMS, indeksowanie i zgodność) są przenoszone do lokalnego centrum danych. Inne usługi w chmurze tworzące usługę Webex (w tym tożsamość i miejsce do przechowywania zawartości) pozostają w domenach Cisco.

Współpraca z innymi organizacjami

Użytkownicy w Twojej organizacji mogą regularnie korzystać z aplikacji Webex do współpracy z uczestnikami zewnętrznymi w innych organizacjach. Gdy jeden z użytkowników poprosi o klucz obszaru należącego do Twojej organizacji (ponieważ został on utworzony przez jednego z użytkowników), serwer KMS wysyła klucz do klienta przez kanał zabezpieczony ECDH. Jeśli jednak inna organizacja jest właścicielem klucza obszaru, serwer KMS kieruje żądanie do chmury Webex przez oddzielny kanał ECDH, aby pobrać klucz z odpowiedniego serwera KMS, a następnie zwraca klucz do użytkownika w oryginalnym kanale.

Usługa KMS działająca w organizacji A sprawdza poprawność połączeń z urządzeniami KMS w innych organizacjach przy użyciu certyfikatów x.509 PKI. Zobacz Przygotowanie środowiska , aby uzyskać szczegółowe informacje na temat generowania certyfikatu x.509 do użycia z wdrożeniem hybrydowego zabezpieczenia danych dla wielu dzierżawców.

Oczekiwania dotyczące wdrożenia hybrydowego zabezpieczenia danych

Wdrożenie hybrydowego zabezpieczenia danych wymaga znacznego zaangażowania i świadomości ryzyka związanego z posiadaniem kluczy szyfrowania.

Aby wdrożyć usługę hybrydowego zabezpieczenia danych, należy zapewnić:

Bezpieczne centrum danych w kraju, które jest obsługiwaną lokalizacją planów Cisco Webex Teams.
Sprzęt, oprogramowanie i dostęp do sieci opisane w części Przygotowanie środowiska.

Całkowita utrata albo konfiguracji ISO tworzonej dla usługi hybrydowego zabezpieczenia danych, albo dostarczonej bazy danych spowoduje utratę kluczy. Utrata klucza uniemożliwia użytkownikom odszyfrowanie zawartości obszaru i innych zaszyfrowanych danych w aplikacji Webex. W takim przypadku można zbudować nowe wdrożenie, ale widoczna będzie tylko nowa zawartość. Aby uniknąć utraty dostępu do danych, należy:

Zarządzanie kopiowaniem i odzyskiwaniem bazy danych oraz certyfikatem ISO konfiguracji.
Przygotuj się do szybkiego odzyskiwania po awarii w przypadku wystąpienia katastrofy, takiej jak awaria dysku bazy danych lub katastrofa centrum danych.

Nie ma mechanizmu, by przenieść klucze z powrotem do chmury po wdrożeniu HDS.

Proces konfiguracji wysokiego poziomu

Ten dokument dotyczy konfigurowania wdrożenia hybrydowego zabezpieczenia danych dla wielu dzierżawców i zarządzania nim:

Skonfiguruj hybrydowe zabezpieczenia danych — obejmuje przygotowanie wymaganej infrastruktury i zainstalowanie oprogramowania hybrydowego zabezpieczenia danych, budowę klastra HDS, dodawanie organizacji dzierżaw do klastra oraz zarządzanie kluczami głównymi klientów (CMK). Umożliwi to wszystkim użytkownikom w organizacjach klientów korzystanie z klastra hybrydowego zabezpieczenia danych do obsługi funkcji zabezpieczeń.

W kolejnych trzech rozdziałach omówiono szczegółowo etapy konfiguracji, aktywacji i zarządzania.
Kontynuuj wdrożenie usługi hybrydowego zabezpieczenia danych — chmura Webex automatycznie zapewnia ciągłe aktualizacje. Dział IT może zapewnić wsparcie Tier One dla tego wdrożenia i w razie potrzeby zaangażować wsparcie Cisco. Możesz korzystać z powiadomień na ekranie i skonfigurować alerty e-mail w Partner Hub.
Zrozumienie popularnych alertów, czynności rozwiązywania problemów i znanych problemów — w przypadku wystąpienia problemów ze wdrażaniem lub korzystaniem z usługi hybrydowego zabezpieczenia danych ostatni rozdział tego przewodnika i załącznik do znanych problemów mogą pomóc w ustaleniu i usunięciu problemu.

Model wdrażania hybrydowego zabezpieczenia danych

W korporacyjnym centrum danych wdrożysz hybrydowe zabezpieczenia danych jako pojedynczy klaster węzłów na osobnych wirtualnych hostach. Węzły komunikują się z chmurą Webex za pośrednictwem bezpiecznych gniazd WebSockets i bezpiecznego HTTP.

Podczas procesu instalacji udostępniamy plik OVA, aby skonfigurować urządzenie wirtualne na maszynach wirtualnych, które udostępniasz. Za pomocą narzędzia konfiguracji usługi HDS można utworzyć niestandardowy plik ISO konfiguracji klastra, który montujesz na każdym węźle. Klaster usługi hybrydowego zabezpieczenia danych korzysta z dostarczonego serwera Syslogd oraz bazy danych PostgreSQL lub Microsoft SQL Server. (Szczegóły połączenia Syslogd i bazy danych można skonfigurować za pomocą narzędzia konfiguracji HDS).

Model wdrażania hybrydowego zabezpieczenia danych

Minimalna liczba węzłów, które można mieć w klastrze, wynosi dwa. Zalecamy co najmniej trzy klastry. Posiadanie wielu węzłów gwarantuje, że usługa nie zostanie przerwana podczas aktualizacji oprogramowania lub innej konserwacji w węźle. (Chmura Webex uaktualnia tylko jeden węzeł naraz).

Wszystkie węzły w klastrze uzyskują dostęp do tego samego magazynu danych klucza oraz do tego samego serwera dziennika systemowego. Same węzły są bezstanowe i obsługują żądania kluczy w sposób zaokrąglony, zgodnie z kierunkiem chmury.

Węzły stają się aktywne po zarejestrowaniu ich w Partner Hub. Aby wyłączyć pojedynczy węzeł, można go wyrejestrować, a w razie potrzeby ponownie go zarejestrować.

Centrum danych w trybie gotowości do odzyskiwania po awarii

Podczas wdrażania konfigurujesz bezpieczne centrum danych w trybie gotowości. W przypadku awarii centrum danych można ręcznie wykonać wdrożenie do centrum danych w trybie gotowości.

Bazy danych aktywnych i rezerwowych centrów danych są ze sobą synchronizowane, co minimalizuje czas potrzebny na wykonanie przełączania awaryjnego.

Aktywne węzły usługi hybrydowego zabezpieczenia danych muszą zawsze znajdować się w tym samym centrum danych, co aktywny serwer bazy danych.

Obsługa serwera proxy

Hybrid Data Security obsługuje jawne, przejrzyste inspekcje i niekontrolujące serwery proxy. Możesz powiązać te serwery proxy z wdrożeniem, aby zabezpieczyć i monitorować ruch z przedsiębiorstwa do chmury. Interfejsu administratora platformy w węzłach można używać do zarządzania certyfikatami i sprawdzania ogólnego stanu łączności po skonfigurowaniu serwera proxy w węzłach.

Węzły Hybrid Data Security obsługują następujące opcje serwera proxy:

Brak serwera proxy — domyślnie, jeśli do zintegrowania serwera proxy nie używasz konfiguracji węzła HDS usługi Trust Store i proxy. Aktualizacja certyfikatu nie jest wymagana.
Przezroczysty, nieweryfikujący serwer proxy — węzły nie są skonfigurowane do używania konkretnego adresu serwera proxy i nie powinny wymagać żadnych zmian, aby pracować z nieweryfikowanym serwerem proxy. Aktualizacja certyfikatu nie jest wymagana.
Przezroczyste tunelowanie lub inspekcja serwera proxy — węzły nie są skonfigurowane do używania określonego adresu serwera proxy. W węzłach nie są wymagane żadne zmiany konfiguracji HTTP ani HTTPS. Jednak węzły potrzebują certyfikatu głównego, aby ufać serwerowi proxy. Inspekcja serwerów proxy jest zwykle używana przez IT do egzekwowania zasad, na których można odwiedzać witryny internetowe, a które nie są dozwolone. Ten typ serwera proxy odszyfrowuje cały ruch (nawet HTTPS).
Jawny serwer proxy — przy użyciu jawnego serwera proxy można wskazać węzłom HDS, którego serwera proxy i schematu uwierzytelniania mają używać. Aby skonfigurować jawny serwer proxy, należy wprowadzić następujące informacje w każdym węźle:
1. Adres IP/FQDN serwera proxy — adres, za pomocą którego można uzyskać dostęp do maszyny proxy.
2. Port serwera proxy — numer portu, którego serwer proxy używa do nasłuchiwania ruchu proxy.
3. Protokół proxy — w zależności od tego, jakie obsługuje serwer proxy, wybierz jeden z następujących protokołów:
  - HTTP — wyświetla i kontroluje wszystkie żądania wysyłane przez klienta.
  - HTTPS — zapewnia kanał do serwera. Klient odbiera i sprawdza poprawność certyfikatu serwera.
4. Typ uwierzytelniania — wybierz jeden z następujących typów uwierzytelniania:
  - Brak — dalsze uwierzytelnianie nie jest wymagane.
    
    Opcja dostępna po wybraniu protokołu HTTP lub HTTPS jako protokołu proxy.
  - Podstawowe — używane w przypadku agenta użytkownika HTTP w celu podania nazwy użytkownika i hasła podczas wykonywania żądania. Używa kodowania Base64.
    
    Opcja dostępna po wybraniu protokołu HTTP lub HTTPS jako protokołu proxy.
    
    Wymaga wprowadzenia nazwy użytkownika i hasła w każdym węźle.
  - Szyfrowanie — służy do potwierdzania konta przed wysłaniem poufnych informacji. Stosuje funkcję skrótu do nazwy użytkownika i hasła przed wysłaniem przez sieć.
    
    Opcja dostępna tylko po wybraniu protokołu HTTPS jako protokołu proxy.
    
    Wymaga wprowadzenia nazwy użytkownika i hasła w każdym węźle.

Przykład hybrydowych węzłów zabezpieczeń danych i serwera proxy

Ten diagram przedstawia przykładowe połączenie między hybrid data security, siecią i serwerem proxy. W przypadku opcji przezroczystego serwera proxy inspekcji i jawnego sprawdzania HTTPS ten sam certyfikat główny musi być zainstalowany na serwerze proxy i w węzłach Hybrid Data Security.

Zablokowany tryb zewnętrznego rozpoznawania DNS (jawne konfiguracje serwera proxy)

Podczas rejestrowania węzła lub sprawdzania konfiguracji serwera proxy węzła proces testuje wyszukiwanie DNS i łączność z chmurą Cisco Webex. We wdrożeniach z jawnymi konfiguracjami serwera proxy, które nie zezwalają na zewnętrzne rozpoznawanie DNS dla klientów wewnętrznych, jeśli węzeł nie może wysłać kwerendy do serwerów DNS, automatycznie przechodzi w tryb zablokowanego zewnętrznego rozpoznawania DNS. W tym trybie można kontynuować rejestrację węzła i inne testy łączności serwera proxy.

Przygotuj środowisko

Wymagania dotyczące hybrydowego zabezpieczenia danych dla wielu dzierżaw

Wymagania licencyjne usługi Cisco Webex

Aby wdrożyć hybrydowe zabezpieczenia danych dla wielu dzierżaw:

Organizacje partnerskie: Skontaktuj się z partnerem lub opiekunem klienta firmy Cisco i upewnij się, że funkcja wielu dzierżaw jest włączona.
Organizacje dzierżaw: Musisz mieć pakiet Pro Pack dla Cisco Webex Control Hub. (Patrz https://www.cisco.com/go/pro-pack.)

Wymagania pulpitu Docker

Przed zainstalowaniem węzłów HDS należy uruchomić program konfiguracyjny programu Docker Desktop. Docker niedawno zaktualizował swój model licencjonowania. Twoja organizacja może wymagać płatnej subskrypcji platformy Docker Desktop.Your organization might require a paid subscription for Docker Desktop. Aby uzyskać szczegółowe informacje, zobacz wpis na blogu Platformy Docker " Docker aktualizuje i rozszerza nasze subskrypcje produktów".

Wymagania certyfikatu X.509

Łańcuch certyfikatów musi spełniać następujące wymagania:

Tabela 1. Wymagania certyfikatu X.509 dla wdrożenia hybrydowego zabezpieczenia danych
Wymaganie	Szczegóły
Podpisany przez zaufany urząd certyfikacji (CA)	Domyślnie ufamy urzędom certyfikacji na liście Mozilli (z wyjątkiem WoSign i StartCom) pod adresem https://wiki.mozilla.org/CA:IncludedCAs.
Nosi nazwę domeny z nazwą pospolitą (CN), która identyfikuje wdrożenie usługi hybrydowego zabezpieczenia danych Nie jest certyfikatem z symbolem wieloznacznym	Numer CN nie musi być dostępny ani być prowadzącym na żywo. Zalecamy używanie nazwy odzwierciedlającej organizację, na przykład `hds.company.com`. CN nie może zawierać znaku * (symbolu wieloznacznego). Kod CN służy do weryfikowania węzłów usługi hybrydowego zabezpieczenia danych w klientach aplikacji Webex. Wszystkie węzły usługi hybrydowego zabezpieczenia danych w klastrze używają tego samego certyfikatu. Serwer KMS identyfikuje się używając domeny CN, a nie żadnej domeny zdefiniowanej w polach SAN x.509v3. Po zarejestrowaniu węzła z tym certyfikatem nie jest obsługiwana zmiana nazwy domeny CN.
Podpis bez SHA1	Oprogramowanie KMS nie obsługuje podpisów SHA1 w celu walidacji połączeń z modułami KMS innych organizacji.
Sformatowany jako plik PKCS #12 zabezpieczony hasłem Użyj przyjaznej nazwy `kms-private-key` , aby oznaczyć certyfikat, klucz prywatny i wszelkie certyfikaty pośrednie do przesłania.	Możesz użyć konwertera, takiego jak OpenSSL, aby zmienić format certyfikatu. Hasło trzeba będzie wprowadzić podczas uruchamiania narzędzia konfiguracji usług HDS.

Oprogramowanie KMS nie wymuszało użycia kluczy ani rozszerzonych ograniczeń użycia kluczy. Niektóre urzędy certyfikacji wymagają, aby do każdego certyfikatu miały zastosowanie rozszerzone ograniczenia użycia klucza, takie jak uwierzytelnianie serwera. Można używać uwierzytelniania serwera lub innych ustawień.

Wymagania dotyczące hosta wirtualnego

Hosty wirtualne, które skonfigurujesz jako węzły usługi hybrydowego zabezpieczenia danych w klastrze, mają następujące wymagania:

Co najmniej dwa oddzielne hosty (zalecane 3) rozmieszczone w tym samym bezpiecznym centrum danych
Zainstalowano i uruchomiono aplikację VMware ESXi 6.5 (lub nowszą).

Jeśli masz starszą wersję oprogramowania ESXi, musisz ją uaktualnić.
Co najmniej 4 procesory vCPU, 8 GB pamięci głównej, 30 GB miejsca na lokalny dysk twardy na serwer

Wymagania serwera bazy danych

Utwórz nową bazę danych do przechowywania kluczy. Nie należy używać domyślnej bazy danych. Aplikacje HDS, po zainstalowaniu, tworzą schemat bazy danych.

Serwer bazy danych ma dwie opcje. Wymagania dotyczące każdego z nich są następujące:

Tabela 2. Wymagania serwera bazy danych według typu bazy danych
PostgreSQL-a	Serwer Microsoft SQL
PostgreSQL 14, 15 lub 16 jest zainstalowany i uruchomiony.	Zainstalowano oprogramowanie SQL Server 2016, 2017 lub 2019 (Enterprise lub Standard). Program SQL Server 2016 wymaga pakietu Service Pack 2 i aktualizacji skumulowanej 2 lub nowszej.
Co najmniej 8 procesorów vCPU, 16 GB pamięci głównej, wystarczająca ilość miejsca na dysku twardym i monitorowanie, aby nie było przekroczone (zalecane 2 TB, jeśli chcesz uruchomić bazę danych przez długi czas bez konieczności zwiększania miejsca do przechowywania)	Co najmniej 8 procesorów vCPU, 16 GB pamięci głównej, wystarczająca ilość miejsca na dysku twardym i monitorowanie, aby nie było przekroczone (zalecane 2 TB, jeśli chcesz uruchomić bazę danych przez długi czas bez konieczności zwiększania miejsca do przechowywania)

Oprogramowanie HDS instaluje obecnie następujące wersje sterowników do komunikacji z serwerem bazy danych:

PostgreSQL-a	Serwer Microsoft SQL
Postgres JDBC sterownik 42.2.5	Sterownik SQL Server JDBC 4.6 Ta wersja sterownika obsługuje funkcję SQL Server Always On (zawsze włączone wystąpienia klastra przełączenia awaryjnego i zawsze włączone grupy dostępności).

PostgreSQL-a

Serwer Microsoft SQL

Postgres JDBC sterownik 42.2.5

Sterownik SQL Server JDBC 4.6

Ta wersja sterownika obsługuje funkcję SQL Server Always On (zawsze włączone wystąpienia klastra przełączenia awaryjnego i zawsze włączone grupy dostępności).

Dodatkowe wymagania dotyczące uwierzytelniania w systemie Windows przy użyciu programu Microsoft SQL Server

Jeśli chcesz, aby węzły HDS korzystały z uwierzytelniania w systemie Windows w celu uzyskania dostępu do bazy danych magazynu kluczy na serwerze Microsoft SQL Server, potrzebujesz następującej konfiguracji w środowisku:

Wszystkie węzły HDS, infrastruktura Active Directory i oprogramowanie MS SQL Server muszą być synchronizowane z protokołem NTP.
Konto systemu Windows dostarczane węzłom HDS musi mieć dostęp do odczytu/zapisu do bazy danych.
Serwery DNS dostarczane do węzłów HDS muszą być w stanie rozpoznać Twoje centrum dystrybucji kluczy (KDC).
Wystąpienie bazy danych HDS na serwerze Microsoft SQL można zarejestrować jako nazwę główną usługi (SPN) w usłudze Active Directory. Zobacz Rejestrowanie nazwy głównej usługi dla połączeń Kerberos.

Narzędzie konfiguracyjne usługi HDS, uruchamianie usługi HDS i lokalny serwer KMS muszą korzystać z uwierzytelniania systemu Windows, aby uzyskać dostęp do bazy danych magazynu kluczy. Używają oni szczegółów z konfiguracji ISO do skonstruowania SPN przy żądaniu dostępu z uwierzytelnianiem Kerberos.

Wymagania dotyczące łączności zewnętrznej

Skonfiguruj zaporę, aby zezwolić na następującą łączność dla aplikacji HDS:

Aplikacja	Protokół	Port	Kierunek z aplikacji	Miejsce docelowe
Węzły hybrydowego zabezpieczenia danych	TCP	443	Wychodzące HTTPS i WSS	Serwery Webex: .wbx2.com .ciscospark.com Wszyscy prowadzący Common Identity Inne adresy URL wymienione na liście dla hybrydowego zabezpieczenia danych w tabeli Dodatkowe adresy URL dla usług hybrydowych Webex w sekcji Wymagania sieciowe dla usług Webex
Narzędzie konfiguracji usług HDS	TCP	443	Wychodzący HTTPS	*.wbx2.com Wszyscy prowadzący Common Identity hub.docker.com

Węzły usługi hybrydowego zabezpieczenia danych współpracują z tłumaczeniem dostępu do sieci (NAT) lub zaporą, o ile translacja NAT lub zapora sieciowa zezwalają na wymagane połączenia wychodzące z adresami domen w poprzedniej tabeli. W przypadku połączeń przychodzących do węzłów usługi hybrydowego zabezpieczenia danych żadne porty nie powinny być widoczne z Internetu. W centrum danych klienci potrzebują do celów administracyjnych dostępu do węzłów usługi hybrydowego zabezpieczenia danych na portach TCP 443 i 22.

Adresy URL dla hostów usługi Common Identity (CI) są specyficzne dla regionów. Są to bieżące hosty CI:

Region	Adresy URL hosta wspólnej tożsamości
Ameryka	https://idbroker.webex.com https://identity.webex.com https://idbroker-b-us.webex.com https://identity-b-us.webex.com
Unia Europejska	https://idbroker-eu.webex.com https://identity-eu.webex.com
Kanada	https://idbroker-ca.webex.com https://identity-ca.webex.com
Singapur	https://idbroker-sg.webex.com https://identity-sg.webex.com
Zjednoczone Emiraty Arabskie	https://idbroker-ae.webex.com https://identity-ae.webex.com

Wymagania dotyczące serwera proxy

Oficjalnie obsługujemy następujące rozwiązania proxy, które można zintegrować z węzłami Hybrid Data Security.
- Przezroczysty serwer proxy — Cisco Web Security Appliance (WSA).
- Jawny serwer proxy — Squid.
  
  Serwery proxy Squid, które sprawdzają ruch HTTPS, mogą zakłócać nawiązywanie połączeń WebSocket (wss:). Aby rozwiązać ten problem, zobacz Konfigurowanie serwerów proxy Squid na potrzeby hybrydowego zabezpieczenia danych.
Obsługujemy następujące kombinacje typów uwierzytelniania dla jawnych serwerów proxy:
- Brak uwierzytelniania za pomocą protokołu HTTP lub HTTPS
- Uwierzytelnianie podstawowe za pomocą protokołu HTTP lub HTTPS
- Uwierzytelnianie szyfrowane tylko przy użyciu protokołu HTTPS
W przypadku przezroczystego serwera proxy inspekcji lub jawnego serwera proxy HTTPS musisz mieć kopię certyfikatu głównego serwera proxy. Instrukcje wdrażania w tym przewodniku informają, jak przekazać kopię do magazynów zaufania węzłów hybrid Data Security.
Sieć obsługująca węzły HDS musi być skonfigurowana tak, aby wymuszała kierowanie wychodzącego ruchu TCP na porcie 443 przez serwer proxy.
Serwery proxy, które sprawdzają ruch sieci web, mogą zakłócać połączenia gniazd internetowych. Jeśli ten problem wystąpi, ominięcie (nie inspekcja) ruchu do wbx2.com i ciscospark.com rozwiąże problem.

Spełnij wymagania wstępne dotyczące usługi hybrydowego zabezpieczenia danych

Skorzystaj z tej listy kontrolnej, aby upewnić się, że możesz zainstalować i skonfigurować klaster usługi hybrydowego zabezpieczenia danych.

1	Upewnij się, że organizacja partnerska ma włączoną funkcję HDS dla wielu dzierżawców i uzyskaj poświadczenia konta z pełnymi uprawnieniami administratora partnera i pełnego administratora. Upewnij się, że Twoja organizacja klienta Webex jest włączona dla usługi Pro Pack for Cisco Webex Control Hub. Skontaktuj się z partnerem lub opiekunem klienta Cisco w celu uzyskania pomocy w tym procesie. Organizacje klientów nie powinny mieć żadnych istniejących wdrożeń usług HDS.
2	Wybierz nazwę domeny dla wdrożenia HDS (na przykład `hds.company.com`) i uzyskaj łańcuch certyfikatów zawierający certyfikat X.509, klucz prywatny i certyfikaty pośrednie. Łańcuch certyfikatów musi spełniać wymagania określone w wymaganiach certyfikatu X.509.
3	Przygotuj identycznych wirtualnych prowadzących, które zostaną skonfigurowane jako węzły usługi hybrydowego zabezpieczenia danych w klastrze. Potrzebujesz co najmniej dwóch oddzielnych hostów (zalecane 3) rozmieszczonych w tym samym bezpiecznym centrum danych, które spełniają wymagania określone w wymaganiach dotyczących hosta wirtualnego.
4	Przygotuj serwer bazy danych, który będzie pełnił rolę kluczowego magazynu danych dla klastra, zgodnie z wymaganiami serwera bazy danych. Serwer bazy danych musi być umieszczony w bezpiecznym centrum danych z wirtualnymi hostami. Tworzenie bazy danych do przechowywania kluczy. (Należy utworzyć tę bazę danych — nie używaj domyślnej bazy danych. Aplikacje HDS, gdy są zainstalowane, tworzą schemat bazy danych). Zbierz szczegóły, których węzły będą używać do komunikacji z serwerem bazy danych: nazwa hosta lub adres IP (hosta) i port nazwa bazy danych (dbname) do przechowywania klucza nazwa użytkownika i hasło użytkownika z wszystkimi uprawnieniami w bazie danych przechowywania kluczy
5	W celu szybkiego odzyskiwania po awarii skonfiguruj środowisko kopii zapasowej w innym centrum danych. Środowisko tworzenia kopii zapasowych jest lustrzane dla środowiska produkcyjnego maszyn wirtualnych i zapasowego serwera bazy danych. Jeśli na przykład w produkcji są 3 maszyny wirtualne z węzłami HDS, środowisko kopii zapasowej powinno zawierać 3 maszyny wirtualne.
6	Skonfiguruj hosta dziennika systemu, aby zbierał dzienniki z węzłów w klastrze. Zbierz adres sieciowy i port dziennika systemu (domyślnie jest to UDP 514).
7	Utwórz zasady bezpiecznych kopii zapasowych dla węzłów usługi hybrydowego zabezpieczenia danych, serwera bazy danych i hosta dziennika systemowego. Aby zapobiec nieodwracalnej utracie danych, należy wykonać kopię zapasową bazy danych i pliku ISO konfiguracji wygenerowanego dla węzłów usługi hybrydowego zabezpieczenia danych. Ponieważ węzły usługi hybrydowego zabezpieczenia danych przechowują klucze używane do szyfrowania i odszyfrowywania zawartości, niepowodzenie utrzymania operacyjnego wdrożenia spowoduje NIEODWRACALNĄ UTRATĘ tej zawartości. Klienci aplikacji Webex buforują swoje klucze, więc awaria może nie być natychmiast zauważalna, ale z czasem stanie się oczywista. O ile nie można zapobiec tymczasowym awariom, można je odzyskać. Jednak całkowita utrata (brak dostępnych kopii zapasowych) bazy danych lub pliku ISO konfiguracji spowoduje, że dane klienta nie będą mogły zostać odzyskane. Oczekuje się, że operatorzy węzłów usługi hybrydowego zabezpieczenia danych będą utrzymywać częste kopie zapasowe bazy danych i pliku ISO konfiguracji oraz będą przygotowani do odbudowania centrum danych usługi hybrydowego zabezpieczenia danych w przypadku wystąpienia katastrofalnej awarii.
8	Upewnij się, że konfiguracja zapory umożliwia łączność z węzłami usługi hybrydowego zabezpieczenia danych, jak opisano w części Wymagania dotyczące łączności zewnętrznej.
9	Zainstaluj aplikację Docker ( https://www.docker.com) na dowolnym lokalnym komputerze z obsługiwanym systemem operacyjnym (Microsoft Windows 10 Professional lub Enterprise 64-bitowy lub Mac OSX Yosemite 10.10.3 lub nowszym) za pomocą przeglądarki internetowej, która może uzyskać do niej dostęp pod adresem http://127.0.0.1:8080. Wystąpienie usługi Docker umożliwia pobranie i uruchomienie narzędzia konfiguracyjnego HDS, które tworzy informacje o konfiguracji lokalnej dla wszystkich węzłów usługi hybrydowego zabezpieczenia danych. Być może potrzebujesz licencji Docker Desktop. Aby uzyskać więcej informacji, zobacz Wymagania dotyczące pulpitu Docker . Aby zainstalować i uruchomić narzędzie konfiguracji usługi HDS, komputer lokalny musi mieć łączność opisaną w sekcji Wymagania dotyczące łączności zewnętrznej.
10	Jeśli integrujesz serwer proxy z usługą hybrydowego zabezpieczenia danych, upewnij się, że spełnia wymagania serwera proxy.

Skonfiguruj klaster usługi hybrydowego zabezpieczenia danych

Przepływ zadań wdrażania hybrydowego zabezpieczenia danych

Przed rozpoczęciem

1	Wykonywanie pierwszej konfiguracji i pobieranie plików instalacyjnych Pobierz plik OVA na komputer lokalny w celu późniejszego użycia.
2	Tworzenie certyfikatu ISO konfiguracji dla hostów trybu HDS Użyj narzędzia konfiguracji usługi HDS, aby utworzyć plik konfiguracyjny ISO dla węzłów usługi hybrydowego zabezpieczenia danych.
3	Zainstaluj OVA hosta HDS Utwórz maszynę wirtualną z pliku OVA i wykonaj konfigurację początkową, taką jak ustawienia sieciowe. Opcja konfiguracji ustawień sieciowych podczas wdrażania OVA została przetestowana z ESXi w wersji 6.5. Opcja może być niedostępna we wcześniejszych wersjach.
4	Skonfiguruj VM usługi hybrydowego zabezpieczenia danych Zaloguj się do konsoli VM i ustaw poświadczenia logowania. Skonfiguruj ustawienia sieciowe węzła, jeśli nie zostały one skonfigurowane w czasie wdrażania OVA.
5	Przesyłanie i montaż obrazu ISO w trybie HDS Skonfiguruj maszynę wirtualną z pliku konfiguracyjnego ISO utworzonego przy użyciu narzędzia konfiguracji HDS.
6	Konfigurowanie węzła HDS do integracji z serwerem proxy Jeśli środowisko sieciowe wymaga konfiguracji serwera proxy, określ typ serwera proxy, który będzie używany dla węzła, a w razie potrzeby dodaj certyfikat serwera proxy do magazynu zaufanych certyfikatów.
7	Zarejestruj pierwszy węzeł w klastrze Zarejestruj maszynę wirtualną w chmurze Cisco Webex jako węzeł usługi hybrydowego zabezpieczenia danych.
8	Utwórz i zarejestruj więcej węzłów Zakończ konfigurację klastra.
9	Aktywuj usługę HDS dla wielu dzierżaw w Partner Hub. Aktywuj usługę HDS i zarządzaj organizacjami dzierżaw w Partner Hub.

Wykonywanie pierwszej konfiguracji i pobieranie plików instalacyjnych

W tym zadaniu pobierasz plik OVA na komputer (a nie na serwery, które są skonfigurowane jako węzły usługi hybrydowego zabezpieczenia danych). Tego pliku używasz później w procesie instalacji.

1	Zaloguj się do Partner Hub, a następnie kliknij pozycję Usługi.
2	W sekcji Usługi chmury znajdź kartę usługi hybrydowego zabezpieczenia danych, a następnie kliknij przycisk Konfiguruj.
3	Kliknij opcję Dodaj zasób i kliknij opcję Pobierz plik OVA na karcie Zainstaluj i skonfiguruj oprogramowanie . Starsze wersje pakietu oprogramowania (OVA) nie będą zgodne z najnowszymi aktualizacjami usługi hybrydowego zabezpieczenia danych. Może to powodować problemy podczas uaktualniania aplikacji. Upewnij się, że pobierasz najnowszą wersję pliku OVA. Możesz również pobrać OVA w dowolnym momencie w sekcji Pomoc . Kliknij kolejno opcje Ustawienia > Pomoc > Pobierz oprogramowanie usługi hybrydowego zabezpieczenia danych. Plik OVA automatycznie rozpocznie się pobieranie. Zapisz plik w lokalizacji na komputerze.
4	Opcjonalnie kliknij opcję Zobacz przewodnik wdrażania hybrydowego zabezpieczenia danych , aby sprawdzić, czy jest dostępna nowsza wersja tego przewodnika.

Tworzenie certyfikatu ISO konfiguracji dla hostów trybu HDS

Proces konfiguracji usługi hybrydowego zabezpieczenia danych tworzy plik ISO. Następnie za pomocą interfejsu ISO można skonfigurować hosta usługi hybrydowego zabezpieczenia danych.

Przed rozpoczęciem

Narzędzie HDS Setup działa jako kontener platformy Docker na komputerze lokalnym. Aby uzyskać do niego dostęp, uruchom Docker na tym komputerze. Proces konfiguracji wymaga poświadczeń konta w Partner Hub z pełnymi uprawnieniami administratora.

Jeśli narzędzie konfiguracji HDS działa za serwerem proxy w środowisku, podaj ustawienia serwera proxy (serwer, port, poświadczenia) za pośrednictwem zmiennych środowiskowych Docker podczas podnoszenia kontenera Docker w kroku 5 poniżej. Ta tabela zawiera kilka możliwych zmiennych środowiskowych:

Opis

Zmienna

Serwer proxy HTTP bez uwierzytelniania

GLOBALNY_AGENT_HTTP_PROXY=http://SERWER_IP:PORT

Serwer proxy HTTPS bez uwierzytelniania

GLOBALNY_AGENT_HTTPS_PROXY=http://SERWER_IP:PORT

Serwer proxy HTTP z uwierzytelnianiem

GLOBALNY_AGENT_HTTP_PROXY=http://NAZWA_UŻYTKOWNIKA:HASŁO@SERWER_IP:PORT

Serwer proxy HTTPS z uwierzytelnianiem

GLOBALNY_AGENT_HTTPS_PROXY=http://NAZWA_UŻYTKOWNIKA:HASŁO@SERWER_IP:PORT
Wygenerowany plik ISO konfiguracji zawiera klucz główny do szyfrowania bazy danych PostgreSQL lub Microsoft SQL Server. Najnowszą kopię tego pliku należy zawsze wprowadzać zmiany w konfiguracji, takie jak:
- Poświadczenia bazy danych
- Aktualizacje certyfikatu
- Zmiany w zasadach autoryzacji
Jeśli planujesz szyfrować połączenia z bazami danych, skonfiguruj wdrożenie PostgreSQL lub SQL Server dla protokołu TLS.

1

W wierszu poleceń komputera wprowadź polecenie odpowiednie dla swojego środowiska:

W zwykłych środowiskach:

docker rmi ciscocitg/hds-konfiguracja:stabilna

W środowiskach FedRAMP:

docker rmi ciscocitg/hds-setup-fedramp:stable

Ten krok czyści poprzednie obrazy narzędzia konfiguracji HDS. Jeśli nie ma poprzednich obrazów, zwraca błąd, który można zignorować.

2

Aby zalogować się do rejestru obrazów platformy Docker, wprowadź następujące informacje:

docker login -u hdscustomersro

3

Po wyświetleniu monitu o hasło wprowadź ten skrót:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

4

Pobierz najnowszy stabilny obraz dla swojego środowiska:

W zwykłych środowiskach:

docker ciągnąć ciscocitg / hds-setup:stable

W środowiskach FedRAMP:

docker ciągnąć ciscocitg/hds-setup-fedramp:stable

5

Po zakończeniu ściągania wprowadź odpowiednie polecenie dla swojego środowiska:

W zwykłych środowiskach bez proxy:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

W zwykłych środowiskach z proxy HTTP:

docker run -p 8080:8080 --rm -it -e GLOBALNY_AGENT_HTTP_PROXY=http://SERWER_IP:PORT ciscocitg/hds-setup:stable

W zwykłych środowiskach z serwerem proxy HTTPS:

docker run -p 8080:8080 --rm -it -e GLOBALNY_AGENT_HTTPS_PROXY=http://SERWER_IP:PORT ciscocitg/hds-setup:stable

W środowiskach FedRAMP bez proxy:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

W środowiskach FedRAMP z proxy HTTP:

docker run -p 8080:8080 --rm -it -e GLOBALNY_AGENT_HTTP_PROXY=http://SERWER_IP:PORT ciscocitg/hds-setup-fedramp:stable

W środowiskach FedRAMP z proxy HTTPS:

docker run -p 8080:8080 --rm -it -e GLOBALNY_AGENT_HTTPS_PROXY=http://SERWER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Gdy kontener jest uruchomiony, zobaczysz komunikat „Serwer ekspresowy nasłuchuje na porcie 8080”.

6

Narzędzie konfiguracyjne nie obsługuje łączenia się z hostem localhost za pośrednictwem serwera http://localhost:8080. Użyj, http://127.0.0.1:8080 aby połączyć się z localhost.

Użyj przeglądarki internetowej, aby przejść do hosta lokalnego http://127.0.0.1:8080i po wyświetleniu monitu wprowadź nazwę użytkownika administratora dla Partner Hub.

Narzędzie używa tego pierwszego wpisu nazwy użytkownika w celu ustawienia środowiska dla tego konta. Następnie narzędzie wyświetla standardowy monit o zalogowanie.

7

Po wyświetleniu monitu wprowadź poświadczenia logowania administratora Partner Hub, a następnie kliknij przycisk Zaloguj , aby zezwolić na dostęp do wymaganych usług hybrydowego zabezpieczenia danych.

8

Na stronie Przegląd narzędzia konfiguracji kliknij przycisk Rozpocznij.

9

Na stronie Import ISO dostępne są następujące opcje:

Nie — jeśli tworzysz pierwszy węzeł HDS, nie masz pliku ISO do przesłania.
Tak — jeśli węzły HDS zostały już utworzone, należy wybrać plik ISO w oknie przeglądarki i przesłać go.

10

Sprawdź, czy certyfikat X.509 spełnia wymagania określone w wymaganiach certyfikatu X.509.

Jeśli nigdy wcześniej nie przesłano certyfikatu, prześlij certyfikat X.509, wprowadź hasło i kliknij przycisk Kontynuuj.
Jeśli certyfikat jest OK, kliknij przycisk Kontynuuj.
Jeśli certyfikat wygasł lub chcesz go zastąpić, wybierz opcję Nie , aby kontynuować używanie łańcucha certyfikatów HDS i klucza prywatnego z poprzedniego certyfikatu ISO?. Prześlij nowy certyfikat X.509, wprowadź hasło i kliknij przycisk Kontynuuj.

11

Wprowadź adres bazy danych i konto usługi HDS, aby uzyskać dostęp do magazynu danych klucza:

Wybierz opcję Typ bazy danych (PostgreSQL lub Microsoft SQL Server).

Po wybraniu opcji Microsoft SQL Server zostanie wyświetlone pole Typ uwierzytelniania.
(Tylko Microsoft SQL Server ) Wybierz typ uwierzytelniania:
- Uwierzytelnianie podstawowe: W polu Nazwa użytkownika należy podać lokalną nazwę konta serwera SQL.
- Uwierzytelnianie w systemie Windows: Wymagane jest konto dla systemu Windows w formacie użytkownik@DOMENA w Nazwa użytkownika pole.
Wprowadź adres serwera bazy danych w formacie : lub :.

Przykład:
dbhost.example.org:1433 lub 198.51.100.17:1433

Do uwierzytelniania podstawowego można użyć adresu IP, jeśli węzły nie mogą używać systemu DNS do rozpoznania nazwy hosta.

Jeśli używasz uwierzytelniania w systemie Windows, musisz wprowadzić w pełni kwalifikowaną nazwę domeny w formacie dbhost.example.org:1433
Wprowadź nazwę bazy danych.
Wprowadź nazwę użytkownika i hasło użytkownika ze wszystkimi uprawnieniami w bazie danych do przechowywania kluczy.

12

Wybierz tryb połączenia bazy danych TLS:

Tryb	Opis
Preferuj protokół TLS (opcja domyślna)	Węzły HDS nie wymagają protokołu TLS do łączenia się z serwerem bazy danych. Po włączeniu protokołu TLS na serwerze bazy danych węzły spróbują nawiązać szyfrowane połączenie.
Wymagaj tlS	Węzły HDS łączą się tylko wtedy, gdy serwer bazy danych może negocjować protokół TLS.
Wymagaj protokołu TLS i weryfikuj sygnatariusza certyfikatu	Ten tryb nie ma zastosowania do baz danych SQL Server. Węzły HDS łączą się tylko wtedy, gdy serwer bazy danych może negocjować protokół TLS. Po nawiązaniu połączenia TLS węzeł porównuje podpisującego certyfikat z serwera bazy danych z urzędem certyfikacji w certyfikacie głównym bazy danych. Jeśli nie są zgodne, węzeł przerywa połączenie. Użyj kontrolki certyfikatu głównego bazy danych poniżej listy rozwijanej, aby przekazać certyfikat główny dla tej opcji.
Wymagaj protokołu TLS i weryfikuj sygnatariusza certyfikatu oraz nazwę hosta	Węzły HDS łączą się tylko wtedy, gdy serwer bazy danych może negocjować protokół TLS. Po nawiązaniu połączenia TLS węzeł porównuje podpisującego certyfikat z serwera bazy danych z urzędem certyfikacji w certyfikacie głównym bazy danych. Jeśli nie są zgodne, węzeł przerywa połączenie. Węzły sprawdzają również, czy nazwa hosta w certyfikacie serwera jest zgodna z nazwą hosta w polu Host i port bazy danych . Nazwy muszą być dokładnie zgodne, w przeciwnym razie węzeł przerywa połączenie. Użyj kontrolki certyfikatu głównego bazy danych poniżej listy rozwijanej, aby przekazać certyfikat główny dla tej opcji.

Po przesłaniu certyfikatu głównego (jeśli jest to konieczne) i kliknięciu przycisku Kontynuuj, narzędzie konfiguracyjne HDS testuje połączenie TLS z serwerem bazy danych. Narzędzie weryfikuje również sygnatariusza certyfikatu i nazwę hosta, jeśli ma to zastosowanie. Jeśli test zakończy się niepowodzeniem, narzędzie wyświetli komunikat o błędzie opisujący problem. Możesz wybrać, czy zignorować błąd i kontynuować konfigurację. (Z powodu różnic w łączności węzły HDS mogą być w stanie ustanowić połączenie TLS, nawet jeśli maszyna narzędziowa do konfiguracji HDS nie może go pomyślnie przetestować).

13

Na stronie Dzienniki systemowe skonfiguruj serwer Syslogd:

Wprowadź adres URL serwera dziennika systemu.

Jeśli serwer nie jest możliwe do rozpoznania DNS z węzłów klastra HDS, użyj adresu IP w adresie URL.

Przykład:
udp://10.92.43.23:514 wskazuje na rejestrowanie do hosta Syslogd 10.92.43.23 na porcie UDP 514.
Jeśli skonfigurowano serwer do korzystania z szyfrowania TLS, zaznacz opcję Czy serwer dziennika systemu jest skonfigurowany do szyfrowania SSL?.

Po zaznaczeniu tego pola wyboru należy wprowadzić adres URL TCP, taki jak tcp://10.92.43.23:514.
Z listy rozwijanej Wybierz zakończenie zapisu dziennika systemowego wybierz odpowiednie ustawienie dla pliku ISO: Wybierz lub nowy wiersz jest używany dla graylogów i rsyslog TCP
- Bajt NULL -- \x00
- Nowy wiersz -- \n — wybierz tę opcję dla graylogów i rsyslog TCP.
Kliknij przycisk Kontynuuj.

14

(Opcjonalnie) Wartość domyślną niektórych parametrów połączenia z bazą danych można zmienić w sekcji Ustawienia zaawansowane. Ogólnie rzecz biorąc, ten parametr jest jedynym parametrem, który można zmienić:

app_datasource_connection_pool_maxRozmiar: 10

15

Kliknij przycisk Kontynuuj na ekranie Resetuj hasło do kont usług .

Okres ważności haseł do konta usługi wynosi dziewięć miesięcy. Użyj tego ekranu, gdy zbliża się wygaśnięcie haseł lub chcesz je zresetować, aby unieważnić poprzednie pliki ISO.

16

Kliknij opcję Pobierz plik ISO. Zapisz plik w miejscu, które jest łatwe do znalezienia.

17

Utwórz kopię zapasową pliku ISO w lokalnym systemie.

Zachowaj bezpieczeństwo kopii zapasowej. Ten plik zawiera główny klucz szyfrowania zawartości bazy danych. Ogranicz dostęp tylko do administratorów usługi hybrydowego zabezpieczenia danych, którzy powinni dokonać zmian w konfiguracji.

18

Aby zamknąć narzędzie konfiguracyjne, wpisz CTRL+C.

Co zrobić dalej

Utwórz kopię zapasową pliku konfiguracyjnego ISO. Potrzebujesz go, aby utworzyć więcej węzłów do odzyskania lub wprowadzić zmiany w konfiguracji. Jeśli stracisz wszystkie kopie pliku ISO, stracisz również klucz główny. Nie można odzyskać kluczy z bazy danych PostgreSQL i Microsoft SQL Server.

Nigdy nie mamy kopii tego klucza i nie możemy pomóc, jeśli go stracisz.

Zainstaluj OVA hosta HDS

Ta procedura służy do utworzenia maszyny wirtualnej z pliku OVA.

1	Użyj klienta VMware vSphere na komputerze, aby zalogować się do wirtualnego hosta ESXi.
2	Wybierz pozycję Plik > Wdróż szablon OVF.
3	W kreatorze określ lokalizację pobranego wcześniej pliku OVA, a następnie kliknij przycisk Dalej.
4	Na stronie Wybierz nazwę i folder wprowadź nazwę maszyny wirtualnej węzła (na przykład „HDS_Node_1”), wybierz lokalizację, w której może znajdować się wdrożenie węzła maszyny wirtualnej, a następnie kliknij przycisk Dalej.
5	Na stronie Wybierz zasób obliczeniowy wybierz docelowy zasób obliczeniowy, a następnie kliknij przycisk Dalej. Uruchamiane jest sprawdzenie poprawności. Po zakończeniu pojawią się szczegóły szablonu.
6	Sprawdź szczegóły szablonu, a następnie kliknij przycisk Dalej.
7	Jeśli zostaniesz poproszony o wybranie konfiguracji zasobu na stronie Konfiguracja , kliknij przycisk 4 procesora , a następnie kliknij przycisk Dalej.
8	Na stronie Wybierz miejsce do przechowywania kliknij przycisk Dalej , aby zaakceptować domyślny format dysku i zasady przechowywania VM.
9	Na stronie Wybierz sieci wybierz opcję sieci z listy pozycji, aby zapewnić żądane łączność z maszyną wirtualną.
10	Na stronie Dostosuj szablon skonfiguruj następujące ustawienia sieciowe: Nazwa hosta — wprowadź nazwę FQDN (nazwę hosta i domenę) lub nazwę hosta pojedynczego słowa dla węzła. Nie trzeba ustawiać domeny tak, aby była zgodna z domeną użytą do uzyskania certyfikatu X.509. Aby zapewnić pomyślną rejestrację w chmurze, należy używać tylko małych znaków w nazwie FQDN lub nazwie hosta ustawionej dla węzła. Kapitalizacja nie jest obecnie obsługiwana. Łączna długość nazwy FQDN nie może przekraczać 64 znaków. Adres IP — wprowadź adres IP interfejsu wewnętrznego węzła. Węzeł powinien mieć wewnętrzny adres IP i nazwę DNS. Protokół DHCP nie jest obsługiwany. Maska — wprowadź adres maski podsieci w notacji kropek. Przykład: 255.255.255.0. Brama — wprowadź adres IP bramy. Brama to węzeł sieciowy, który służy jako punkt dostępu do innej sieci. Serwery DNS — wprowadź oddzieloną przecinkami listę serwerów DNS, które obsługują przekładanie nazw domen na liczbowe adresy IP. (Dozwolonych jest maksymalnie 4 pozycje DNS). Serwery NTP — wprowadź serwer NTP organizacji lub inny zewnętrzny serwer NTP, który może być używany w organizacji. Domyślne serwery NTP mogą nie działać w przypadku wszystkich przedsiębiorstw. Aby wprowadzić wiele serwerów NTP, można także użyć listy rozdzielonej przecinkami. Wdróż wszystkie węzły w tej samej podsieci lub sieci VLAN, aby wszystkie węzły w klastrze były dostępne od klientów w sieci do celów administracyjnych. Jeśli chcesz, możesz pominąć konfigurację ustawień sieciowych i wykonać czynności opisane w artykule Skonfiguruj maszynę wirtualną usługi hybrydowego zabezpieczenia danych , aby skonfigurować ustawienia z konsoli węzła. Opcja konfiguracji ustawień sieciowych podczas wdrażania OVA została przetestowana z ESXi w wersji 6.5. Opcja może być niedostępna we wcześniejszych wersjach.
11	Kliknij prawym przyciskiem myszy VM węzła, a następnie wybierz kolejno opcje Zasilanie > Zasilanie. Oprogramowanie hybrydowego zabezpieczenia danych jest instalowane jako gość na hoście maszyn wirtualnych. Możesz się teraz zalogować do konsoli i skonfigurować węzeł. Wskazówki dotyczące rozwiązywania problemów Może wystąpić opóźnienie o kilka minut przed pojawieniem się kontenerów węzłów. Podczas pierwszego rozruchu na konsoli pojawia się komunikat zapory mostkowej, podczas której nie można się zalogować.

Skonfiguruj VM usługi hybrydowego zabezpieczenia danych

Ta procedura umożliwia zalogowanie się po raz pierwszy w konsoli VM węzła usługi hybrydowego zabezpieczenia danych i ustawienie poświadczeń logowania. Za pomocą konsoli można również skonfigurować ustawienia sieciowe węzła, jeśli nie zostały one skonfigurowane w momencie wdrażania OVA.

1	W kliencie VMware vSphere wybierz swoją maszynę wirtualną węzła usługi hybrydowego zabezpieczenia danych i wybierz kartę Konsola . Zostanie uruchomiona maszyna wirtualna i pojawi się monit o zalogowanie. Jeśli monit o zalogowanie się nie został wyświetlony, naciśnij klawisz Enter.
2	Aby zalogować się i zmienić poświadczenia, należy użyć następującego domyślnego logowania i hasła: Logowanie: `administrator` Hasło: `cisco` Ponieważ logujesz się do maszyny wirtualnej po raz pierwszy, musisz zmienić hasło administratora.
3	Jeśli ustawienia sieciowe zostały już skonfigurowane w sekcji Zainstaluj OVA hosta HDS, pomiń pozostałą część tej procedury. W przeciwnym razie w menu głównym wybierz opcję Edytuj konfigurację .
4	Skonfiguruj statyczną konfigurację z informacjami o adresie IP, maskach, bramie i systemie DNS. Węzeł powinien mieć wewnętrzny adres IP i nazwę DNS. Protokół DHCP nie jest obsługiwany.
5	(Opcjonalnie) Zmień nazwę hosta, domenę lub serwery NTP, jeśli jest to konieczne, aby dostosować ją do zasad sieci. Nie trzeba ustawiać domeny tak, aby była zgodna z domeną użytą do uzyskania certyfikatu X.509.
6	Zapisz konfigurację sieci i uruchom ponownie maszynę wirtualną, aby zmiany zostały zastosowane.

Przesyłanie i montaż obrazu ISO w trybie HDS

Ta procedura służy do konfigurowania maszyny wirtualnej na podstawie pliku ISO utworzonego przy użyciu narzędzia konfiguracji HDS.

Przed rozpoczęciem

Ponieważ plik ISO zawiera klucz główny, powinien być on wyświetlany tylko na zasadzie „need to know”, aby uzyskać dostęp przez maszyny wirtualne usługi hybrydowego zabezpieczenia danych i wszystkich administratorów, którzy mogą potrzebować wprowadzenia zmian. Upewnij się, że tylko ci administratorzy mają dostęp do magazynu danych.

1

Prześlij plik ISO z komputera:

W lewym okienku nawigacyjnym klienta VMware vSphere kliknij serwer ESXi.
Na liście Sprzęt na karcie Konfiguracja kliknij pozycję Miejsce do przechowywania.
Na liście Magazyny danych kliknij prawym przyciskiem myszy magazyn danych dla swoich maszyn wirtualnych i kliknij opcję Przeglądaj magazyn danych.
Kliknij ikonę Prześlij pliki, a następnie kliknij pozycję Prześlij plik.
Przejdź do lokalizacji, w której pobrano plik ISO na swój komputer i kliknij opcję Otwórz.
Kliknij przycisk Tak , aby zaakceptować ostrzeżenie dotyczące operacji przesyłania/pobierania i zamknąć okno dialogowe magazynu danych.

2

Montaż pliku ISO:

W lewym okienku nawigacji klienta VMware vSphere kliknij prawym przyciskiem myszy maszynę wirtualną i kliknij opcję Edytuj ustawienia.
Kliknij OK , aby zaakceptować ostrzeżenie dotyczące opcji edycji ograniczonej.
Kliknij Dysk CD/DVD 1, wybierz opcję montażu z pliku ISO magazynu danych i przejdź do lokalizacji, w której przesłano plik ISO konfiguracji.
Sprawdź Połączono i Połącz przy włączonym zasilaniu.
Zapisz zmiany i ponownie uruchom maszynę wirtualną.

Co zrobić dalej

Jeśli wymagają tego zasady IT, możesz opcjonalnie odinstalować plik ISO, gdy wszystkie węzły przejdą zmiany konfiguracji. Szczegółowe informacje zawiera temat (Opcjonalnie) Odmontowywanie certyfikatu ISO po konfiguracji HDS .

Konfigurowanie węzła HDS do integracji z serwerem proxy

Jeśli środowisko sieciowe wymaga serwera proxy, użyj tej procedury, aby określić typ serwera proxy, który chcesz zintegrować z hybrid Data Security. Jeśli wybierzesz przezroczysty serwer proxy inspekcji lub jawny serwer proxy HTTPS, możesz użyć interfejsu węzła do przekazania i zainstalowania certyfikatu głównego. Możesz także sprawdzić połączenie proxy z poziomu interfejsu i rozwiązać wszelkie potencjalne problemy.

Przed rozpoczęciem

Zobacz Obsługa serwera proxy, aby zapoznać się z omówieniem obsługiwanych opcji serwera proxy.
Wymagania dotyczące serwera proxy

1	Wprowadź adres URL konfiguracji węzła HDS `https://[HDS Node IP or FQDN]/setup` w przeglądarce sieci Web, wprowadź poświadczenia administratora skonfigurowane dla węzła, a następnie kliknij przycisk Zaloguj.
2	Przejdź do pozycji Sklep zaufania i serwer proxy, a następnie wybierz opcję: Brak serwera proxy — opcja domyślna przed zintegrowaniem serwera proxy. Aktualizacja certyfikatu nie jest wymagana. Przezroczysty, nieweryfikujący serwer proxy — węzły nie są skonfigurowane do używania konkretnego adresu serwera proxy i nie powinny wymagać żadnych zmian, aby pracować z nieweryfikowanym serwerem proxy. Aktualizacja certyfikatu nie jest wymagana. Przezroczysty serwer proxy sprawdzający — węzły nie są skonfigurowane do używania konkretnego adresu serwera proxy. We wdrożeniu Hybrid Data Security nie są konieczne żadne zmiany konfiguracji protokołu HTTPS, jednak węzły HDS potrzebują certyfikatu głównego, aby ufać serwerowi proxy. Inspekcja serwerów proxy jest zwykle używana przez IT do egzekwowania zasad, na których można odwiedzać witryny internetowe, a które nie są dozwolone. Ten typ serwera proxy odszyfrowuje cały ruch (nawet HTTPS). Jawny serwer proxy — przy użyciu jawnego serwera proxy można wskazać klientowi (węzły HDS), którego serwera proxy ma być używany, a ta opcja obsługuje kilka typów uwierzytelniania. Po wybraniu tej opcji należy wprowadzić następujące informacje: Adres IP/FQDN serwera proxy — adres, za pomocą którego można uzyskać dostęp do maszyny proxy. Port serwera proxy — numer portu, którego serwer proxy używa do nasłuchiwania ruchu proxy. Protokół proxy Protocol — wybierz opcję http (wyświetla i steruje wszystkimi żądaniami otrzymywanymi od klienta) lub https (udostępnia kanał do serwera, a klient odbiera i sprawdza certyfikat serwera). Wybierz opcję na podstawie tego, co obsługuje Twój serwer proxy. Typ uwierzytelniania — wybierz jeden z następujących typów uwierzytelniania: Brak — dalsze uwierzytelnianie nie jest wymagane. Dostępne dla serwerów proxy HTTP lub HTTPS. Podstawowe — używane w przypadku agenta użytkownika HTTP w celu podania nazwy użytkownika i hasła podczas wykonywania żądania. Używa kodowania Base64. Dostępne dla serwerów proxy HTTP lub HTTPS. W przypadku wybrania tej opcji należy również wprowadzić nazwę użytkownika i hasło. Szyfrowanie — służy do potwierdzania konta przed wysłaniem poufnych informacji. Stosuje funkcję skrótu do nazwy użytkownika i hasła przed wysłaniem przez sieć. Dostępne tylko dla serwerów proxy HTTPS. W przypadku wybrania tej opcji należy również wprowadzić nazwę użytkownika i hasło. Wykonaj kolejne kroki, aby uzyskać przezroczysty serwer proxy inspekcji, jawny serwer proxy HTTP z uwierzytelnianiem podstawowym lub jawny serwer proxy HTTPS.
3	Kliknij przycisk Przekaż certyfikat główny lub Certyfikat jednostkikońcowej , a następnie przejdź do wybierz certyfikat główny dla serwera proxy. Certyfikat został przekazany, ale nie został jeszcze zainstalowany, ponieważ należy ponownie uruchomić węzeł, aby zainstalować certyfikat. Kliknij strzałkę cudzysłów ostrokątnych przy nazwie wystawcy certyfikatu, aby uzyskać więcej szczegółów, lub kliknij przycisk Usuń, jeśli popełnisz błąd i chcesz ponownie przesłać plik.
4	Kliknij przycisk Sprawdź połączenie z serwerem proxy, aby przetestować łączność sieciową między węzłem a serwerem proxy. Jeśli test połączenia zakończy się niepowodzeniem, zostanie wyświetlony komunikat o błędzie z przyczyną i sposobem rozwiązania problemu. Jeśli zostanie wyświetlony komunikat informujący, że zewnętrzne rozpoznawanie nazw DNS nie powiodło się, oznacza to, że węzeł nie może połączyć się z serwerem DNS. Ten warunek jest oczekiwany w wielu jawnych konfiguracjach proxy. Możesz kontynuować konfigurację, a węzeł będzie działać w trybie zablokowanej zewnętrznej rozdzielczości DNS. Jeśli uważasz, że jest to błąd, wykonaj te czynności, a następnie zobacz Wyłącz zablokowany zewnętrzny tryb rozdzielczości DNS.
5	Po przejściu testu połączenia, dla jawnego serwera proxy ustawionego tylko na https, włącz przełącznik na Kieruj wszystkie żądania https portu 443/444 z tego węzła za pośrednictwem jawnego serwera proxy. To ustawienie wymaga 15 sekund, aby zostało wprowadzone.
6	Kliknij opcję Zainstaluj wszystkie certyfikaty w magazynie zaufania (pojawia się w przypadku jawnego serwera proxy HTTPS lub przezroczystego serwera proxy inspekcji) lub Uruchom ponownie (pojawia się w przypadku jawnego serwera proxy HTTP), przeczytaj monit, a następnie kliknij przycisk Zainstaluj, jeśli wszystko jest gotowe. Węzeł uruchomi się ponownie w ciągu kilku minut.
7	Po ponownym uruchomieniu węzła zaloguj się ponownie, jeśli to konieczne, a następnie otwórz stronę Przegląd, aby sprawdzić kontrole łączności, aby upewnić się, że wszystkie są w stanie zielonym. Sprawdzanie połączenia proxy testuje tylko subdomenę webex.com. Jeśli występują problemy z łącznością, typowym problemem jest to, że niektóre domeny chmury wymienione w instrukcjach instalacji są blokowane na serwerze proxy.

Zarejestruj pierwszy węzeł w klastrze

To zadanie pobiera ogólny węzeł utworzony w oknie Skonfiguruj VM usługi hybrydowego zabezpieczenia danych, rejestruje węzeł w chmurze Webex i przekształca go w węzeł usługi hybrydowego zabezpieczenia danych.

Po zarejestrowaniu pierwszego węzła tworzony jest klaster, do którego przypisany jest węzeł. Klaster zawiera co najmniej jeden węzeł wdrożony w celu zapewnienia redundancji.

Przed rozpoczęciem

Po rozpoczęciu rejestracji węzła należy ją wykonać w ciągu 60 minut lub rozpocząć od nowa.
Upewnij się, że wszystkie blokery wyskakujące w przeglądarce są wyłączone lub zezwalasz na wyjątek dla witryny admin.webex.com.

1	Zaloguj się w https://admin.webex.com.
2	Z menu po lewej stronie ekranu wybierz pozycję Usługi.
3	W sekcji Usługi chmury znajdź kartę usługi hybrydowego zabezpieczenia danych i kliknij przycisk Konfiguruj.
4	Na otwieranej stronie kliknij pozycję Dodaj zasób.
5	W pierwszym polu karty Dodaj węzeł wprowadź nazwę klastra, do którego chcesz przypisać węzeł usługi hybrydowego zabezpieczenia danych. Zalecamy nadanie nazwy klastra na podstawie tego, gdzie znajdują się węzły klastra. Przykłady: „San Francisco”, „Nowy Jork” lub „Dallas”
6	W drugim polu wprowadź wewnętrzny adres IP lub w pełni kwalifikowaną nazwę domeny (FQDN) węzła i kliknij opcję Dodaj u dołu ekranu. Ten adres IP lub w pełni kwalifikowana nazwa domeny (FQDN) powinny być zgodne z adresem IP lub nazwą hosta i domeną użytymi w części Konfigurowanie maszyny wirtualnej usługi hybrydowego zabezpieczenia danych. Zostanie wyświetlony komunikat informujący, że możesz zarejestrować węzeł w usłudze Webex.
7	Kliknij opcję Przejdź do węzła. Po kilku chwilach nastąpi przekierowanie do testów łączności z węzłem dla usług Webex. Jeśli wszystkie testy zakończą się pomyślnie, zostanie wyświetlona strona Zezwól na dostęp do węzła usługi hybrydowego zabezpieczenia danych. Tam potwierdzasz, że chcesz przyznać swojej organizacji Webex uprawnienia do dostępu do węzła.
8	Zaznacz pole wyboru Zezwól na dostęp do węzła usługi hybrydowego zabezpieczenia danych , a następnie kliknij przycisk Kontynuuj. Konto zostało zweryfikowane, a komunikat „Rejestracja zakończona” wskazuje, że węzeł jest teraz zarejestrowany w chmurze Webex.
9	Kliknij łącze lub zamknij kartę, aby wrócić do strony hybrydowego zabezpieczenia danych w Partner Hub. Na stronie Hybrydowe zabezpieczenia danych na karcie Zasoby jest wyświetlany nowy klaster zawierający zarejestrowany węzeł. Węzeł automatycznie pobierze najnowsze oprogramowanie z chmury.

Utwórz i zarejestruj więcej węzłów

Aby dodać dodatkowe węzły do klastra, po prostu utwórz dodatkowe maszyny wirtualne i zamontuj ten sam plik ISO konfiguracji, a następnie zarejestruj węzeł. Zalecamy posiadanie co najmniej 3 węzłów.

Przed rozpoczęciem

Po rozpoczęciu rejestracji węzła należy ją wykonać w ciągu 60 minut lub rozpocząć od nowa.
Upewnij się, że wszystkie blokery wyskakujące w przeglądarce są wyłączone lub zezwalasz na wyjątek dla witryny admin.webex.com.

1	Utwórz nową maszynę wirtualną z OVA, powtarzając kroki w Zainstaluj OVA hosta HDS.
2	Skonfiguruj początkową konfigurację na nowej maszynie wirtualnej, powtarzając kroki w artykule Konfigurowanie maszyny wirtualnej usługi hybrydowego zabezpieczenia danych.
3	Na nowej maszynie wirtualnej powtórz czynności opisane w artykule Prześlij i zamontuj certyfikat ISO konfiguracji HDS.
4	Jeśli konfigurujesz serwer proxy dla swojego wdrożenia, powtórz kroki w artykule Konfigurowanie węzła HDS dla integracji serwera proxy w zależności od potrzeb dla nowego węzła.
5	Zarejestruj węzeł. W aplikacji https://admin.webex.com wybierz pozycję Usługi z menu po lewej stronie ekranu. W sekcji Usługi chmury znajdź kartę usługi hybrydowego zabezpieczenia danych i kliknij opcję Wyświetl wszystko. Zastanie wyświetlona strona zasobów hybrydowego zabezpieczenia danych. Nowo utworzony klaster pojawi się na stronie Zasoby . Kliknij klaster, aby wyświetlić węzły przypisane do klastra. Kliknij Dodaj węzeł po prawej stronie ekranu. Wprowadź wewnętrzny adres IP lub w pełni kwalifikowaną nazwę domeny (FQDN) węzła i kliknij przycisk Dodaj. Zostanie otwarta strona z komunikatem informującym, że możesz zarejestrować węzeł w chmurze Webex. Po kilku chwilach nastąpi przekierowanie do testów łączności z węzłem dla usług Webex. Jeśli wszystkie testy zakończą się pomyślnie, zostanie wyświetlona strona Zezwól na dostęp do węzła usługi hybrydowego zabezpieczenia danych. Potwierdzasz tam, że chcesz przyznać swojej organizacji uprawnienia do dostępu do węzła. Zaznacz pole wyboru Zezwól na dostęp do węzła usługi hybrydowego zabezpieczenia danych , a następnie kliknij przycisk Kontynuuj. Konto zostało zweryfikowane, a komunikat „Rejestracja zakończona” wskazuje, że węzeł jest teraz zarejestrowany w chmurze Webex. Kliknij łącze lub zamknij kartę, aby wrócić do strony hybrydowego zabezpieczenia danych w Partner Hub. Komunikat wyskakujący o dodanym węźle pojawia się również w dolnej części ekranu w Partner Hub. Twój węzeł jest zarejestrowany.

Zarządzanie organizacjami dzierżaw w usłudze hybrydowego zabezpieczenia danych dla wielu dzierżaw

Aktywuj usługę HDS dla wielu dzierżaw w Partner Hub

To zadanie gwarantuje, że wszyscy użytkownicy w organizacjach klientów mogą zacząć korzystać z usług HDS dla lokalnych kluczy szyfrowania i innych usług zabezpieczeń.

Przed rozpoczęciem

Upewnij się, że konfiguracja klastra HDS dla wielu dzierżaw została zakończona z wymaganą liczbą węzłów.

1	Zaloguj się w https://admin.webex.com.
2	Z menu po lewej stronie ekranu wybierz pozycję Usługi.
3	W sekcji Usługi chmury znajdź usługę hybrydowego zabezpieczenia danych i kliknij opcję Edytuj ustawienia.
4	Kliknij opcję Aktywuj tryb HDS na karcie Stan trybu HDS .

Dodaj organizacje dzierżawców w Partner Hub

W tym zadaniu przypisujesz organizacje klientów do swojego klastra hybrydowego zabezpieczenia danych.

1	Zaloguj się w https://admin.webex.com.
2	Z menu po lewej stronie ekranu wybierz pozycję Usługi.
3	W sekcji Usługi chmury znajdź usługę hybrydowego zabezpieczenia danych i kliknij opcję Wyświetl wszystko.
4	Kliknij klaster, do którego chcesz przypisać klienta.
5	Przejdź do karty Przypisani klienci .
6	Kliknij opcję Dodaj klientów.
7	Wybierz z menu rozwijanego klienta, którego chcesz dodać.
8	Kliknij Dodaj, klient zostanie dodany do klastra.
9	Powtórz kroki od 6 do 8, aby dodać wielu klientów do klastra.
10	Po dodaniu klientów kliknij przycisk Gotowe w dolnej części ekranu.

Co zrobić dalej

Uruchom narzędzie do konfiguracji usługi HDS zgodnie z opisem w części Utwórz klucze główne klienta (CMK) za pomocą narzędzia do konfiguracji usługi HDS , aby dokończyć proces konfiguracji.

Tworzenie kluczy głównych klientów (CMK) za pomocą narzędzia konfiguracji HDS

Przed rozpoczęciem

Przypisz klientów do odpowiedniego klastra zgodnie z opisem w sekcji Dodaj organizacje dzierżawy w Partner Hub. Uruchom narzędzie Konfiguracja usług HDS, aby zakończyć proces konfiguracji nowo dodanych organizacji klientów.

Narzędzie HDS Setup działa jako kontener platformy Docker na komputerze lokalnym. Aby uzyskać do niego dostęp, uruchom Docker na tym komputerze. Proces konfiguracji wymaga poświadczeń konta w Partner Hub z pełnymi uprawnieniami administratora dla Twojej organizacji.

Jeśli narzędzie konfiguracji HDS działa za serwerem proxy w środowisku, podaj ustawienia serwera proxy (serwer, port, poświadczenia) przez zmienne środowiskowe Docker podczas podnoszenia kontenera Docker w kroku 5. Ta tabela zawiera kilka możliwych zmiennych środowiskowych:

Opis	Zmienna
Serwer proxy HTTP bez uwierzytelniania	`GLOBALNY_AGENT_HTTP_PROXY=http://SERWER_IP:PORT`
Serwer proxy HTTPS bez uwierzytelniania	`GLOBALNY_AGENT_HTTPS_PROXY=http://SERWER_IP:PORT`
Serwer proxy HTTP z uwierzytelnianiem	`GLOBALNY_AGENT_HTTP_PROXY=http://NAZWA_UŻYTKOWNIKA:HASŁO@SERWER_IP:PORT`
Serwer proxy HTTPS z uwierzytelnianiem	`GLOBALNY_AGENT_HTTPS_PROXY=http://NAZWA_UŻYTKOWNIKA:HASŁO@SERWER_IP:PORT`

Wygenerowany plik ISO konfiguracji zawiera klucz główny do szyfrowania bazy danych PostgreSQL lub Microsoft SQL Server. Najnowszą kopię tego pliku należy zawsze wprowadzać zmiany w konfiguracji, takie jak:
- Poświadczenia bazy danych
- Aktualizacje certyfikatu
- Zmiany w zasadach autoryzacji
Jeśli planujesz szyfrować połączenia z bazami danych, skonfiguruj wdrożenie PostgreSQL lub SQL Server dla protokołu TLS.

Proces konfiguracji usługi hybrydowego zabezpieczenia danych tworzy plik ISO. Następnie za pomocą interfejsu ISO można skonfigurować hosta usługi hybrydowego zabezpieczenia danych.

1	W wierszu poleceń komputera wprowadź polecenie odpowiednie dla swojego środowiska: W zwykłych środowiskach: `docker rmi ciscocitg/hds-konfiguracja:stabilna` W środowiskach FedRAMP: `docker rmi ciscocitg/hds-setup-fedramp:stable` Ten krok czyści poprzednie obrazy narzędzia konfiguracji HDS. Jeśli nie ma poprzednich obrazów, zwraca błąd, który można zignorować.
2	Aby zalogować się do rejestru obrazów platformy Docker, wprowadź następujące informacje: `docker login -u hdscustomersro`
3	Po wyświetleniu monitu o hasło wprowadź ten skrót: `dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo`
4	Pobierz najnowszy stabilny obraz dla swojego środowiska: W zwykłych środowiskach: `docker ciągnąć ciscocitg / hds-setup:stable` W środowiskach FedRAMP: `docker ciągnąć ciscocitg/hds-setup-fedramp:stable`
5	Po zakończeniu ściągania wprowadź odpowiednie polecenie dla swojego środowiska: W zwykłych środowiskach bez proxy: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable` W zwykłych środowiskach z proxy HTTP: `docker run -p 8080:8080 --rm -it -e GLOBALNY_AGENT_HTTP_PROXY=http://SERWER_IP:PORT ciscocitg/hds-setup:stable` W zwykłych środowiskach z serwerem proxy HTTPS: `docker run -p 8080:8080 --rm -it -e GLOBALNY_AGENT_HTTPS_PROXY=http://SERWER_IP:PORT ciscocitg/hds-setup:stable` W środowiskach FedRAMP bez proxy: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable` W środowiskach FedRAMP z proxy HTTP: `docker run -p 8080:8080 --rm -it -e GLOBALNY_AGENT_HTTP_PROXY=http://SERWER_IP:PORT ciscocitg/hds-setup-fedramp:stable` W środowiskach FedRAMP z proxy HTTPS: `docker run -p 8080:8080 --rm -it -e GLOBALNY_AGENT_HTTPS_PROXY=http://SERWER_IP:PORT ciscocitg/hds-setup-fedramp:stable` Gdy kontener jest uruchomiony, zobaczysz komunikat „Serwer ekspresowy nasłuchuje na porcie 8080”.
6	Narzędzie konfiguracyjne nie obsługuje łączenia się z hostem localhost za pośrednictwem serwera http://localhost:8080. Użyj, http://127.0.0.1:8080 aby połączyć się z localhost. Użyj przeglądarki internetowej, aby przejść do hosta lokalnego `http://127.0.0.1:8080`i po wyświetleniu monitu wprowadź nazwę użytkownika administratora dla Partner Hub. Narzędzie używa tego pierwszego wpisu nazwy użytkownika w celu ustawienia środowiska dla tego konta. Następnie narzędzie wyświetla standardowy monit o zalogowanie.
7	Po wyświetleniu monitu wprowadź poświadczenia logowania administratora Partner Hub, a następnie kliknij przycisk Zaloguj , aby zezwolić na dostęp do wymaganych usług hybrydowego zabezpieczenia danych.
8	Na stronie Przegląd narzędzia konfiguracji kliknij przycisk Rozpocznij.
9	Na stronie Import ISO kliknij przycisk Tak.
10	Wybierz plik ISO w przeglądarce i prześlij go. Aby wykonać zarządzanie CMK, zapewnij połączenie z bazą danych.
11	Przejdź do karty Zarządzanie CMK dzierżawy , na której znajdziesz następujące trzy sposoby zarządzania CMK dzierżawy. Utwórz CMK dla wszystkich organizacji lub Utwórz CMK — kliknij ten przycisk na banerze u góry ekranu, aby utworzyć CMK dla wszystkich nowo dodanych organizacji. Kliknij przycisk Zarządzaj CMK po prawej stronie ekranu i kliknij przycisk Utwórz CMK , aby utworzyć CMK dla wszystkich nowo dodanych organizacji. Kliknij … w pobliżu oczekującego na status określonej organizacji w tabeli zarządzania CMK i kliknij przycisk Utwórz CMK , aby utworzyć CMK dla tej organizacji.
12	Po pomyślnym utworzeniu CMK stan w tabeli zostanie zmieniony z oczekującego zarządzania CMK na zarządzane CMK.
13	Jeśli tworzenie CMK nie powiedzie się, zostanie wyświetlony błąd.

Usuń organizacje dzierżaw

Przed rozpoczęciem

Po usunięciu użytkownicy organizacji klientów nie będą mogli korzystać z usługi HDS dla potrzeb szyfrowania i utracą wszystkie istniejące obszary. Przed usunięciem organizacji klientów skontaktuj się z partnerem lub opiekunem klienta Cisco.

1	Zaloguj się w https://admin.webex.com.
2	Z menu po lewej stronie ekranu wybierz pozycję Usługi.
3	W sekcji Usługi chmury znajdź usługę hybrydowego zabezpieczenia danych i kliknij opcję Wyświetl wszystko.
4	Na karcie Zasoby kliknij klaster, z którego chcesz usunąć organizacje klientów.
5	Na stronie, która się otworzy, kliknij pozycję Przypisani klienci.
6	Z wyświetlonej listy organizacji klientów kliknij ... po prawej stronie organizacji klienta, którą chcesz usunąć, i kliknij pozycję Usuń z klastra.

Co zrobić dalej

Zakończ proces usuwania, odwołując kody CMK organizacji klientów zgodnie z opisem w części Unieważnij kody CMK dzierżaw usuniętych z HDS.

Unieważnij CMK dzierżaw usuniętych z HDS.

Przed rozpoczęciem

Usuń klientów z odpowiedniego klastra, jak opisano w części Usuń organizacje dzierżawy. Uruchom narzędzie Konfiguracja usług HDS, aby zakończyć proces usuwania organizacji klientów, które zostały usunięte.

Narzędzie HDS Setup działa jako kontener platformy Docker na komputerze lokalnym. Aby uzyskać do niego dostęp, uruchom Docker na tym komputerze. Proces konfiguracji wymaga poświadczeń konta w Partner Hub z pełnymi uprawnieniami administratora dla Twojej organizacji.

Jeśli narzędzie konfiguracji HDS działa za serwerem proxy w środowisku, podaj ustawienia serwera proxy (serwer, port, poświadczenia) przez zmienne środowiskowe Docker podczas podnoszenia kontenera Docker w kroku 5. Ta tabela zawiera kilka możliwych zmiennych środowiskowych:

Opis	Zmienna
Serwer proxy HTTP bez uwierzytelniania	`GLOBALNY_AGENT_HTTP_PROXY=http://SERWER_IP:PORT`
Serwer proxy HTTPS bez uwierzytelniania	`GLOBALNY_AGENT_HTTPS_PROXY=http://SERWER_IP:PORT`
Serwer proxy HTTP z uwierzytelnianiem	`GLOBALNY_AGENT_HTTP_PROXY=http://NAZWA_UŻYTKOWNIKA:HASŁO@SERWER_IP:PORT`
Serwer proxy HTTPS z uwierzytelnianiem	`GLOBALNY_AGENT_HTTPS_PROXY=http://NAZWA_UŻYTKOWNIKA:HASŁO@SERWER_IP:PORT`

Wygenerowany plik ISO konfiguracji zawiera klucz główny do szyfrowania bazy danych PostgreSQL lub Microsoft SQL Server. Najnowszą kopię tego pliku należy zawsze wprowadzać zmiany w konfiguracji, takie jak:
- Poświadczenia bazy danych
- Aktualizacje certyfikatu
- Zmiany w zasadach autoryzacji
Jeśli planujesz szyfrować połączenia z bazami danych, skonfiguruj wdrożenie PostgreSQL lub SQL Server dla protokołu TLS.

Proces konfiguracji usługi hybrydowego zabezpieczenia danych tworzy plik ISO. Następnie za pomocą interfejsu ISO można skonfigurować hosta usługi hybrydowego zabezpieczenia danych.

1	W wierszu poleceń komputera wprowadź polecenie odpowiednie dla swojego środowiska: W zwykłych środowiskach: `docker rmi ciscocitg/hds-konfiguracja:stabilna` W środowiskach FedRAMP: `docker rmi ciscocitg/hds-setup-fedramp:stable` Ten krok czyści poprzednie obrazy narzędzia konfiguracji HDS. Jeśli nie ma poprzednich obrazów, zwraca błąd, który można zignorować.
2	Aby zalogować się do rejestru obrazów platformy Docker, wprowadź następujące informacje: `docker login -u hdscustomersro`
3	Po wyświetleniu monitu o hasło wprowadź ten skrót: `dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo`
4	Pobierz najnowszy stabilny obraz dla swojego środowiska: W zwykłych środowiskach: `docker ciągnąć ciscocitg / hds-setup:stable` W środowiskach FedRAMP: `docker ciągnąć ciscocitg/hds-setup-fedramp:stable`
5	Po zakończeniu ściągania wprowadź odpowiednie polecenie dla swojego środowiska: W zwykłych środowiskach bez proxy: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable` W zwykłych środowiskach z proxy HTTP: `docker run -p 8080:8080 --rm -it -e GLOBALNY_AGENT_HTTP_PROXY=http://SERWER_IP:PORT ciscocitg/hds-setup:stable` W zwykłych środowiskach z serwerem proxy HTTPS: `docker run -p 8080:8080 --rm -it -e GLOBALNY_AGENT_HTTPS_PROXY=http://SERWER_IP:PORT ciscocitg/hds-setup:stable` W środowiskach FedRAMP bez proxy: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable` W środowiskach FedRAMP z proxy HTTP: `docker run -p 8080:8080 --rm -it -e GLOBALNY_AGENT_HTTP_PROXY=http://SERWER_IP:PORT ciscocitg/hds-setup-fedramp:stable` W środowiskach FedRAMP z proxy HTTPS: `docker run -p 8080:8080 --rm -it -e GLOBALNY_AGENT_HTTPS_PROXY=http://SERWER_IP:PORT ciscocitg/hds-setup-fedramp:stable` Gdy kontener jest uruchomiony, zobaczysz komunikat „Serwer ekspresowy nasłuchuje na porcie 8080”.
6	Narzędzie konfiguracyjne nie obsługuje łączenia się z hostem localhost za pośrednictwem serwera http://localhost:8080. Użyj, http://127.0.0.1:8080 aby połączyć się z localhost. Użyj przeglądarki internetowej, aby przejść do hosta lokalnego `http://127.0.0.1:8080`i po wyświetleniu monitu wprowadź nazwę użytkownika administratora dla Partner Hub. Narzędzie używa tego pierwszego wpisu nazwy użytkownika w celu ustawienia środowiska dla tego konta. Następnie narzędzie wyświetla standardowy monit o zalogowanie.
7	Po wyświetleniu monitu wprowadź poświadczenia logowania administratora Partner Hub, a następnie kliknij przycisk Zaloguj , aby zezwolić na dostęp do wymaganych usług hybrydowego zabezpieczenia danych.
8	Na stronie Przegląd narzędzia konfiguracji kliknij przycisk Rozpocznij.
9	Na stronie Import ISO kliknij przycisk Tak.
10	Wybierz plik ISO w przeglądarce i prześlij go.
11	Przejdź do karty Zarządzanie CMK dzierżawy , na której znajdziesz następujące trzy sposoby zarządzania CMK dzierżawy. Unieważnij CMK dla wszystkich organizacji lub Unieważnij CMK — kliknij ten przycisk na banerze u góry ekranu, aby unieważnić CMK wszystkich organizacji, które zostały usunięte. Kliknij przycisk Zarządzaj CMK po prawej stronie ekranu i kliknij przycisk Unieważnij CMK , aby unieważnić CMK wszystkich organizacji, które zostały usunięte. Kliknij w pobliżu stanu CMK, aby unieważnić konkretną organizację, a następnie kliknij przycisk Unieważnij CMK , aby unieważnić CMK dla danej organizacji.
12	Po pomyślnym odwołaniu CMK organizacja klienta nie będzie już widoczna w tabeli.
13	Jeśli unieważnienie CMK nie powiedzie się, zostanie wyświetlony błąd.

Przetestuj swoje wdrożenie usługi hybrydowego zabezpieczenia danych

Ta procedura służy do testowania scenariuszy szyfrowania usługi hybrydowego zabezpieczenia danych dla wielu dzierżaw.

Przed rozpoczęciem

Skonfiguruj wdrożenie usługi hybrydowego zabezpieczenia danych dla wielu dzierżawców.
Upewnij się, że masz dostęp do dziennika systemowego, aby sprawdzić, czy żądania kluczy są przekazywane do wdrożenia hybrydowego zabezpieczenia danych z wieloma dzierżawcami.

1

Twórca obszaru ustawia klawisze dla danego obszaru. Zaloguj się do aplikacji Webex jako jeden z użytkowników organizacji klienta, a następnie utwórz obszar.

Po dezaktywacji wdrożenia usługi hybrydowego zabezpieczenia danych treści w obszarach utworzonych przez użytkowników nie będą już dostępne po zastąpieniu kopii kluczy szyfrowania zapisanych w pamięci podręcznej klienta.

2

Wysyłaj wiadomości do nowego obszaru.

3

Sprawdź dane wyjściowe dziennika systemu, aby sprawdzić, czy żądania kluczy są przekazywane do wdrożenia usługi hybrydowego zabezpieczenia danych.

Aby sprawdzić, czy użytkownik najpierw ustanawia bezpieczny kanał do serwera KMS, odfiltruj w interfejsie kms.data.method=create i kms.data.type=EFEMERAL_KEY_COLLECTION:

Należy znaleźć wpis taki jak następujący (identyfikatory skrócone dla czytelności):

2020-07-21 17:35:34.562 (+0000) INFORMACJE KMS [pool-14-thread-1] — [KMS:REQUEST] odebrano, identyfikator urządzenia: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EFEMERAL_KEY_COLLECTION, kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

Aby sprawdzić, czy użytkownik żąda istniejącego klucza z serwera KMS, odfiltruj dane w interfejsie kms.data.method=retrieve i kms.data.type=KEY:

Znajdziesz tam następujące pozycje:

2020-07-21 17:44:19.889 (+0000) INFORMACJE KMS [pool-14-thread-31] — [KMS:REQUEST] odebrano, identyfikator urządzenia: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

Aby sprawdzić użytkownika z prośbą o utworzenie nowego klucza KMS, odfiltruj według ustawień kms.data.method=create i kms.data.type=KEY_COLLECTION:

Znajdziesz tam następujące pozycje:

2020-07-21 17:44:21.975 (+0000) INFORMACJE KMS [pool-14-thread-33] - [KMS:REQUEST] odebrano, identyfikator urządzenia: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

Aby sprawdzić, czy użytkownik z prośbą o utworzenie nowego obiektu zasobów KMS (KRO) podczas tworzenia obszaru lub innego chronionego zasobu, odfiltruj według ustawień kms.data.method=create i kms.data.type=RESOURCE_COLLECTION:

Znajdziesz tam następujące pozycje:

2020-07-21 17:44:22.808 (+0000) INFORMACJE KMS [pool-15-thread-1] — [KMS:REQUEST] odebrano, identyfikator urządzenia: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

Monitoruj stan hybrydowego zabezpieczenia danych

Wskaźnik stanu w Partner Hub pokazuje, czy wszystko działa dobrze z wdrożeniem hybrydowego zabezpieczenia danych dla wielu dzierżawców. Aby uzyskać bardziej aktywne alerty, zarejestruj się w celu otrzymywania powiadomień e-mail. Będziesz otrzymywać powiadomienia w przypadku alarmów dotyczących usługi lub uaktualnień oprogramowania.

1	W Partner Hub wybierz pozycję Usługi z menu po lewej stronie ekranu.
2	W sekcji Usługi chmury znajdź usługę hybrydowego zabezpieczenia danych i kliknij opcję Edytuj ustawienia. Zastanie wyświetlona strona ustawień usługi hybrydowego zabezpieczenia danych.
3	W sekcji Powiadomienia e-mail wpisz co najmniej jeden adres e-mail oddzielony przecinkami i naciśnij klawisz Enter.

Zarządzaj wdrożeniem urządzeń HDS

Zarządzaj wdrożeniem usług HDS

Do zarządzania wdrożeniem usługi hybrydowego zabezpieczenia danych służą opisane w tym miejscu zadania.

Ustaw harmonogram uaktualniania klastra

Aktualizacje oprogramowania usługi hybrydowego zabezpieczenia danych są wykonywane automatycznie na poziomie klastra, co zapewnia, że na wszystkich węzłach zawsze działa ta sama wersja oprogramowania. Uaktualnienia są wykonywane zgodnie z harmonogramem uaktualniania klastra. Po udostępnieniu uaktualnienia oprogramowania masz możliwość ręcznego uaktualnienia klastra przed zaplanowaną godziną uaktualnienia. Możesz ustawić określony harmonogram uaktualniania lub użyć domyślnego harmonogramu aktualizacji 3:00 czasu AM Daily, Stany Zjednoczone: Ameryka/Los Angeles. W razie potrzeby możesz także zdecydować się na odroczenie nadchodzącego uaktualnienia.

Aby ustawić harmonogram uaktualniania:

1	Zaloguj się do Centrum partnerów.
2	Z menu po lewej stronie ekranu wybierz pozycję Usługi.
3	W sekcji Usługi chmury znajdź usługę hybrydowego zabezpieczenia danych i kliknij opcję Skonfiguruj
4	Na stronie Zasoby hybrydowego zabezpieczenia danych wybierz klaster.
5	Kliknij kartę Ustawienia klastra .
6	Na stronie Ustawienia klastra w obszarze Harmonogram uaktualniania wybierz strefę czasową i strefę czasową harmonogramu uaktualniania. Uwaga: W strefie czasowej wyświetlana jest kolejna dostępna data i godzina uaktualnienia. W razie potrzeby można odroczyć uaktualnienie na następny dzień, klikając opcję Odłóż o 24 godziny.

Zmień konfigurację węzła

Czasami może być konieczna zmiana konfiguracji węzła Hybrid Data Security z takiego powodu, jak:

Zmiana certyfikatów x.509 z powodu wygaśnięcia lub z innych powodów.

Nie obsługujemy zmiany nazwy domeny CN certyfikatu. Domena musi być zgodna z oryginalną domeną użytą do rejestracji klastra.
Aktualizacja ustawień bazy danych w celu zmiany na replikę bazy danych PostgreSQL lub Microsoft SQL Server.

Nie obsługujemy migracji danych z PostgreSQL do Microsoft SQL Server lub odwrotnie. Aby przełączyć środowisko bazy danych, rozpocznij nowe wdrożenie Hybrid Data Security.
Tworzenie nowej konfiguracji w celu przygotowania nowego centrum danych.

Ponadto ze względów bezpieczeństwa usługa Hybrid Data Security używa haseł do kont usług, które mają dziewięciomiesięczny okres użytkowania. Gdy narzędzie HdS Setup wygeneruje te hasła, należy je wdrożyć w każdym z węzłów HDS w pliku konfiguracyjnym ISO. Gdy hasła Twojej organizacji zbliżają się do wygaśnięcia, otrzymasz powiadomienie od zespołu Webex o zresetowaniu hasła do konta komputera. (Wiadomość e-mail zawiera tekst „Użyj interfejsu API konta komputera, aby zaktualizować hasło”). Jeśli Twoje hasła jeszcze nie wygasły, narzędzie oferuje dwie opcje:

Resetowanie programowe — stare i nowe hasła działają przez maksymalnie 10 dni. Wykorzystaj ten okres, aby stopniowo zastępować plik ISO w węzłach.
Zresetuj całkowicie — stare hasła natychmiast przestaną działać.

Jeśli hasła wygasną bez resetowania, ma to wpływ na usługę HDS, wymagając natychmiastowego twardego resetu i wymiany pliku ISO na wszystkich węzłach.

Użyj tej procedury, aby wygenerować nowy konfiguracyjny plik ISO i zastosować go do klastra.

Przed rozpoczęciem

Narzędzie HDS Setup działa jako kontener platformy Docker na komputerze lokalnym. Aby uzyskać do niego dostęp, uruchom Docker na tym komputerze. Proces konfiguracji wymaga poświadczeń konta w Partner Hub z pełnymi uprawnieniami administratora partnera.

Jeśli narzędzie konfiguracji HDS działa za serwerem proxy w środowisku, podaj ustawienia serwera proxy (serwer, port, poświadczenia) przez zmienne środowiskowe Docker podczas wprowadzania kontenera Docker w 1.e. Ta tabela zawiera kilka możliwych zmiennych środowiskowych:

Opis	Zmienna
Serwer proxy HTTP bez uwierzytelniania	`GLOBALNY_AGENT_HTTP_PROXY=http://SERWER_IP:PORT`
Serwer proxy HTTPS bez uwierzytelniania	`GLOBALNY_AGENT_HTTPS_PROXY=http://SERWER_IP:PORT`
Serwer proxy HTTP z uwierzytelnianiem	`GLOBALNY_AGENT_HTTP_PROXY=http://NAZWA_UŻYTKOWNIKA:HASŁO@SERWER_IP:PORT`
Serwer proxy HTTPS z uwierzytelnianiem	`GLOBALNY_AGENT_HTTPS_PROXY=http://NAZWA_UŻYTKOWNIKA:HASŁO@SERWER_IP:PORT`

Do wygenerowania nowej konfiguracji potrzebna jest kopia bieżącego konfiguracyjnego pliku ISO. ISO zawiera klucz główny szyfrujący bazę danych PostgreSQL lub Microsoft SQL Server. Plik ISO jest potrzebny podczas wprowadzania zmian w konfiguracji, w tym poświadczeń bazy danych, aktualizacji certyfikatów lub zmian zasad autoryzacji.

1	Korzystając z platformy Docker na komputerze lokalnym, uruchom narzędzie HDS Setup Tool. W wierszu poleceń komputera wprowadź polecenie odpowiednie dla swojego środowiska: W zwykłych środowiskach: `docker rmi ciscocitg/hds-konfiguracja:stabilna` W środowiskach FedRAMP: `docker rmi ciscocitg/hds-setup-fedramp:stable` Ten krok czyści poprzednie obrazy narzędzia konfiguracji HDS. Jeśli nie ma poprzednich obrazów, zwraca błąd, który można zignorować. Aby zalogować się do rejestru obrazów platformy Docker, wprowadź następujące informacje: `docker login -u hdscustomersro` Po wyświetleniu monitu o hasło wprowadź ten skrót: `dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo` Pobierz najnowszy stabilny obraz dla swojego środowiska: W zwykłych środowiskach: `docker ciągnąć ciscocitg / hds-setup:stable` W środowiskach FedRAMP: `docker ciągnąć ciscocitg/hds-setup-fedramp:stable` Upewnij się, że pobierasz najnowsze narzędzie instalacyjne dla tej procedury. Wersje narzędzia utworzone przed 22 lutego 2018 r. nie mają ekranów resetowania hasła. Po zakończeniu ściągania wprowadź odpowiednie polecenie dla swojego środowiska: W zwykłych środowiskach bez proxy: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable` W zwykłych środowiskach z proxy HTTP: `docker run -p 8080:8080 --rm -it -e GLOBALNY_AGENT_HTTP_PROXY=http://SERWER_IP:PORT ciscocitg/hds-setup:stable` W zwykłych środowiskach z HTTPSproxy: `docker run -p 8080:8080 --rm -it -e GLOBALNY_AGENT_HTTPS_PROXY=http://SERWER_IP:PORT ciscocitg/hds-setup:stable` W środowiskach FedRAMP bez proxy: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable` W środowiskach FedRAMP z proxy HTTP: `docker run -p 8080:8080 --rm -it -e GLOBALNY_AGENT_HTTP_PROXY=http://SERWER_IP:PORT ciscocitg/hds-setup-fedramp:stable` W środowiskach FedRAMP z proxy HTTPS: `docker run -p 8080:8080 --rm -it -e GLOBALNY_AGENT_HTTPS_PROXY=http://SERWER_IP:PORT ciscocitg/hds-setup-fedramp:stable` Gdy kontener jest uruchomiony, widzisz "Serwer ekspresowy nasłuchujący na porcie 8080". Użyj przeglądarki, aby połączyć się z hostem lokalnym, `http://127.0.0.1:8080`. Narzędzie konfiguracyjne nie obsługuje łączenia się z hostem localhost za pośrednictwem serwera http://localhost:8080. Użyj, http://127.0.0.1:8080 aby połączyć się z localhost. Po wyświetleniu monitu wprowadź poświadczenia logowania klienta w Partner Hub, a następnie kliknij przycisk Akceptuj , aby kontynuować. Zaimportuj bieżący konfiguracyjny plik ISO. Postępuj zgodnie z instrukcjami, aby ukończyć narzędzie i pobrać zaktualizowany plik. Aby zamknąć narzędzie konfiguracyjne, wpisz `CTRL+C`. Utwórz kopię zapasową zaktualizowanego pliku w innym centrum danych.
2	Jeśli masz uruchomiony tylko jeden węzeł HDS, utwórz nowy węzeł usługi hybrydowego zabezpieczenia danych i zarejestruj go za pomocą nowego pliku ISO konfiguracji. Aby uzyskać bardziej szczegółowe instrukcje, zobacz Tworzenie i rejestrowanie większej liczby węzłów. Zainstaluj OVA hosta HDS. Skonfiguruj maszynę wirtualną HDS. Zamontuj zaktualizowany plik konfiguracyjny. Zarejestruj nowy węzeł w Partner Hub.
3	W przypadku istniejących węzłów HDS, na których działa starszy plik konfiguracyjny, podłącz plik ISO. Wykonaj następującą procedurę na każdym węźle po kolei, aktualizując każdy węzeł przed wyłączeniem następnego węzła: Wyłącz maszynę wirtualną. W lewym okienku nawigacji klienta VMware vSphere kliknij prawym przyciskiem myszy maszynę wirtualną i kliknij opcję Edytuj ustawienia. Kliknij `pozycję Napęd CD/DVD 1`, wybierz opcję instalacji z pliku ISO i przejdź do lokalizacji, do której pobrano nowy plik konfiguracyjny ISO. Zaznacz Połącz przy włączeniu. Zapisz zmiany i włącz maszynę wirtualną.
4	Powtórz krok 3, aby zastąpić konfigurację na każdym pozostałym węźle, na którym działa stara konfiguracja.

Wyłączanie trybu zablokowanego zewnętrznego rozpoznawania DNS

Podczas rejestrowania węzła lub sprawdzania konfiguracji serwera proxy węzła proces testuje wyszukiwanie DNS i łączność z chmurą Cisco Webex. Jeśli serwer DNS węzła nie może rozpoznać publicznych nazw DNS, węzeł automatycznie przechodzi w tryb zablokowanego zewnętrznego rozpoznawania DNS.

Jeśli węzły są w stanie rozpoznawać publiczne nazwy DNS za pośrednictwem wewnętrznych serwerów DNS, można wyłączyć ten tryb, ponownie uruchamiając test połączenia proxy w każdym węźle.

Przed rozpoczęciem

Upewnij się, że wewnętrzne serwery DNS mogą rozpoznawać publiczne nazwy DNS i że węzły mogą się z nimi komunikować.

1	W przeglądarce sieci Web otwórz interfejs węzła Hybrid Data Security (na przykład adres IP/konfiguracja https://192.0.2.0/setup), wprowadź poświadczenia administratora skonfigurowane dla węzła, a następnie kliknij przycisk Zaloguj.
2	Przejdź do Przegląd (strona domyślna). Gdy ta opcja jest włączona, opcja Zablokowane zewnętrzne rozpoznawanie DNS jest ustawiona na Tak.
3	Przejdź do strony Trust Store & Proxy.
4	Kliknij przycisk Sprawdź połączenie proxy. Jeśli zostanie wyświetlony komunikat informujący, że zewnętrzne rozpoznawanie nazw DNS nie powiodło się, oznacza to, że węzeł nie mógł połączyć się z serwerem DNS i pozostanie w tym trybie. W przeciwnym razie, po ponownym uruchomieniu węzła i powrocie do strony Przegląd, Zablokowane zewnętrzne rozpoznawanie DNS powinno być ustawione na nie.

Co dalej?

Powtórz test połączenia proxy dla każdego węzła w klastrze hybrid Data Security.

Usuń węzeł

Ta procedura umożliwia usunięcie węzła usługi hybrydowego zabezpieczenia danych z chmury Webex. Po usunięciu węzła z klastra usuń maszynę wirtualną, aby zapobiec dalszemu dostępowi do danych zabezpieczeń.

1

Użyj klienta VMware vSphere na komputerze, aby zalogować się do hosta wirtualnego ESXi i wyłączyć maszynę wirtualną.

2

Usuń węzeł:

Zaloguj się do Partner Hub, a następnie wybierz pozycję Usługi.
Na karcie usługi hybrydowego zabezpieczenia danych kliknij przycisk Wyświetl wszystko , aby wyświetlić stronę zasobów usługi hybrydowego zabezpieczenia danych.
Wybierz klaster, aby wyświetlić jego panel Przegląd.
Kliknij węzeł, który chcesz usunąć.
Kliknij Wyrejestruj ten węzeł na panelu wyświetlanym po prawej stronie
Możesz również wyrejestrować węzeł, klikając … po prawej stronie węzła i wybierając opcję Usuń ten węzeł.

3

W kliencie vSphere usuń maszynę wirtualną. (W lewym okienku nawigacyjnym kliknij prawym przyciskiem myszy maszynę wirtualną i kliknij opcję Usuń).

Jeśli nie usuniesz maszyny wirtualnej, pamiętaj, aby odmontować plik ISO konfiguracji. Bez pliku ISO nie możesz korzystać z maszyny wirtualnej w celu uzyskania dostępu do danych zabezpieczeń.

Przywracanie po awarii przy użyciu centrum danych w trybie gotowości

Najważniejszą usługą zapewnianą przez klaster usługi hybrydowego zabezpieczenia danych jest tworzenie i przechowywanie kluczy używanych do szyfrowania wiadomości i innych treści przechowywanych w chmurze Webex. Dla każdego użytkownika w organizacji, który jest przypisany do usługi hybrydowego zabezpieczenia danych, nowe żądania utworzenia kluczy są kierowane do klastra. Klaster jest również odpowiedzialny za zwracanie utworzonych przez siebie kluczy do wszystkich użytkowników uprawnionych do ich pobrania, na przykład członków obszaru konwersacji.

Ponieważ klaster pełni kluczową funkcję dostarczania tych kluczy, konieczne jest, aby klaster nadal działał i aby zachowano odpowiednie kopie zapasowe. Utrata bazy danych usługi hybrydowego zabezpieczenia danych lub konfiguracji ISO użytej do schematu spowoduje NIEODWRACALNĄ UTRATĘ zawartości klienta. Aby zapobiec takiej utracie, obowiązkowe są następujące praktyki:

Jeśli awaria spowoduje niedostępność wdrożenia usług HDS w podstawowym centrum danych, wykonaj tę procedurę, aby ręcznie przełączyć się w tryb awaryjny do centrum danych.

Przed rozpoczęciem

Wyrejestruj wszystkie węzły z Partner Hub, jak opisano w sekcji Usuń węzeł. Aby wykonać opisaną poniżej procedurę przełączenia awaryjnego, użyj najnowszego pliku ISO, który został skonfigurowany w węzłach klastra, który był wcześniej aktywny.

1	Uruchom narzędzie konfiguracji HDS i wykonaj czynności wymienione w części Utwórz konfigurację ISO dla hostów HDS.
2	Zakończ proces konfiguracji i zapisz plik ISO w łatwym do znalezienia miejscu.
3	Utwórz kopię zapasową pliku ISO w lokalnym systemie. Zachowaj bezpieczeństwo kopii zapasowej. Ten plik zawiera główny klucz szyfrowania zawartości bazy danych. Ogranicz dostęp tylko do administratorów usługi hybrydowego zabezpieczenia danych, którzy powinni dokonać zmian w konfiguracji.
4	W lewym okienku nawigacji klienta VMware vSphere kliknij prawym przyciskiem myszy maszynę wirtualną i kliknij opcję Edytuj ustawienia.
5	Kliknij Edytuj ustawienia >Dysk CD/DVD 1 i wybierz Plik ISO magazynu danych. Upewnij się, że opcje Połączono i Połącz po włączeniu zasilania są zaznaczone, aby zaktualizowane zmiany konfiguracji mogły zostać zastosowane po uruchomieniu węzłów.
6	Włącz węzeł HDS i upewnij się, że nie ma alarmów przez co najmniej 15 minut.
7	Zarejestruj węzeł w Partner Hub. Zobacz Zarejestruj pierwszy węzeł w klastrze.
8	Powtórz ten proces dla każdego węzła w centrum danych w trybie gotowości.

Co zrobić dalej

Po przełączeniu awaryjnym, jeśli główne centrum danych ponownie stanie się aktywne, wyrejestruj węzły centrum danych w trybie gotowości i powtórz proces konfiguracji ISO i rejestracji węzłów podstawowego centrum danych, jak wspomniano powyżej.

(Opcjonalnie) Odmontuj ISO po konfiguracji HDS

Standardowa konfiguracja trybu HDS jest uruchomiona z zamontowaną normą ISO. Jednak niektórzy klienci wolą nie pozostawiać plików ISO stale montowanych. Plik ISO można odmontować, gdy wszystkie węzły HDS odbiorą nową konfigurację.

Nadal używasz plików ISO do wprowadzania zmian w konfiguracji. Podczas tworzenia nowego certyfikatu ISO lub aktualizacji certyfikatu ISO za pomocą narzędzia konfiguracji należy zamontować zaktualizowany certyfikat ISO na wszystkich węzłach trybu HDS. Gdy wszystkie węzły odbiorą zmiany konfiguracji, można ponownie odmontować obraz ISO za pomocą tej procedury.

Przed rozpoczęciem

Uaktualnij wszystkie węzły HDS do wersji 2021.01.22.4720 lub nowszej.

1	Wyłącz jeden z węzłów trybu HDS.
2	W urządzeniu vCenter Server Device wybierz węzeł HDS.
3	Wybierz pozycję Edytuj ustawienia > napęd CD/DVD i usuń zaznaczenie pola wyboru Plik ISO magazynu danych.
4	Włącz węzeł HDS i upewnij się, że nie ma alarmów przez co najmniej 20 minut.
5	Powtórz kolejno dla każdego węzła HDS.

Rozwiązywanie problemów z usługą hybrydowego zabezpieczenia danych

Wyświetlanie alertów i rozwiązywanie problemów

Wdrożenie usługi hybrydowego zabezpieczenia danych jest uważane za niedostępne, jeśli wszystkie węzły w klastrze są niedostępne lub klaster działa tak wolno, że wymaga przekroczenia limitu czasu. Jeśli użytkownicy nie mogą połączyć się z klastrem usługi hybrydowego zabezpieczenia danych, wystąpią następujące objawy:

Nie można tworzyć nowych obszarów (nie można utworzyć nowych kluczy)
Nie można odszyfrować wiadomości i tytułów obszarów dla:
- Nowi użytkownicy dodani do obszaru (nie można pobrać kluczy)
- Istniejący użytkownicy w obszarze korzystający z nowego klienta (nie można pobrać kluczy)
Istniejący użytkownicy w obszarze będą nadal działać pomyślnie, o ile ich klienci mają pamięć podręczną kluczy szyfrowania

Ważne jest, aby prawidłowo monitorować klaster usługi hybrydowego zabezpieczenia danych i szybko odpowiadać na wszelkie alerty, aby uniknąć zakłóceń w świadczeniu usług.

Alerty

Jeśli wystąpi problem z konfiguracją usługi hybrydowego zabezpieczenia danych, Partner Hub wyświetla alerty do administratora organizacji i wysyła wiadomości e-mail na skonfigurowany adres e-mail. Alerty obejmują wiele typowych scenariuszy.

Tabela 1. Wspólne problemy i kroki umożliwiające ich rozwiązanie
Alarm	Czynność
Błąd dostępu do lokalnej bazy danych.	Sprawdź, czy nie występują błędy bazy danych lub problemy z siecią lokalną.
Błąd połączenia z lokalną bazą danych.	Sprawdź, czy serwer bazy danych jest dostępny i czy w konfiguracji węzła użyto odpowiednich poświadczeń konta usługi.
Błąd dostępu do usługi chmury.	Sprawdź, czy węzły mogą uzyskać dostęp do serwerów Webex zgodnie z Wymaganiami dotyczącymi łączności zewnętrznej.
Odnawianie rejestracji w usłudze w chmurze.	Przerwano rejestrację w usługach w chmurze. Trwa odnawianie rejestracji.
Rejestracja usługi w chmurze została przerwana.	Rejestracja w usługach w chmurze została zakończona. Usługa jest wyłączana.
Usługa nie została jeszcze aktywowana.	Aktywuj usługę HDS w Partner Hub.
Skonfigurowana domena nie jest zgodna z certyfikatem serwera.	Upewnij się, że certyfikat serwera jest zgodny ze skonfigurowaną domeną aktywacji usługi. Najbardziej prawdopodobną przyczyną jest to, że kod CN certyfikatu został ostatnio zmieniony i różni się teraz od kodu używanego podczas początkowej konfiguracji.
Nie można uwierzytelnić usług w chmurze.	Sprawdź dokładność i możliwe wygaśnięcie poświadczeń konta usługi.
Nie można otworzyć pliku lokalnego magazynu kluczy.	Sprawdź integralność i dokładność haseł w pliku lokalnego magazynu kluczy.
Certyfikat serwera lokalnego jest nieprawidłowy.	Sprawdź datę wygaśnięcia certyfikatu serwera i upewnij się, że został on wydany przez zaufany urząd certyfikacji.
Nie można opublikować metryk.	Sprawdź dostęp sieci lokalnej do usług chmury zewnętrznej.
Katalog /media/configdrive/hds nie istnieje.	Sprawdź konfigurację montażu ISO na hoście wirtualnym. Sprawdź, czy plik ISO istnieje, czy jest skonfigurowany do montażu przy ponownym uruchomieniu i czy zamontowano go pomyślnie.
Konfiguracja organizacji dzierżawy dla dodanych organizacji nie została zakończona	Zakończ konfigurację, tworząc moduły CMK dla nowo dodanych organizacji dzierżaw za pomocą narzędzia konfiguracji HDS.
Nie ukończono konfiguracji organizacji dzierżawy dla usuniętych organizacji	Dokończ konfigurację, odwołując identyfikatory CMK organizacji dzierżaw, które zostały usunięte za pomocą narzędzia konfiguracji HDS.

Rozwiązywanie problemów z usługą hybrydowego zabezpieczenia danych

Podczas rozwiązywania problemów z usługą hybrydowego zabezpieczenia danych należy przestrzegać następujących ogólnych wytycznych.

1	Zapoznaj się z Partner Hub, aby uzyskać alerty i napraw wszystkie znajdujące się w tym miejscu elementy. Zobacz poniższy obrazek w celach informacyjnych.
2	Sprawdź dane wyjściowe serwera dziennika systemu pod kątem aktywności we wdrożeniu usługi hybrydowego zabezpieczenia danych. Filtruj słowa, takie jak „Ostrzeżenie” i „Błąd”, aby pomóc w rozwiązywaniu problemów.
3	Skontaktuj się ze wsparciem Cisco.

Inne uwagi

Znane problemy dotyczące hybrydowego zabezpieczenia danych

Jeśli wyłączysz klaster usługi hybrydowego zabezpieczenia danych (usuwając go w Partner Hub lub zamykając wszystkie węzły), stracisz plik ISO konfiguracji lub stracisz dostęp do bazy danych magazynu kluczy, użytkownicy aplikacji Webex w organizacjach klientów nie będą mogli już korzystać z obszarów z listy Osoby, które zostały utworzone za pomocą kluczy z serwera KMS. Obecnie nie mamy obejścia lub rozwiązania tego problemu i zachęcamy do niezamykania usług HDS po obsłużeniu aktywnych kont użytkowników.
Klient, który ma istniejące połączenie ECDH z serwerem KMS, utrzymuje to połączenie przez pewien czas (prawdopodobnie jedną godzinę).

Użyj OpenSSL do generowania pliku PKCS12

Przed rozpoczęciem

OpenSSL to jedno z narzędzi, które można wykorzystać do tworzenia pliku PKCS12 w odpowiednim formacie do załadowania w narzędziu konfiguracyjnym HDS. Istnieją inne sposoby na to, a my nie popieramy ani nie promujemy jednej drogi nad drugą.
Jeśli zdecydujesz się na użycie protokołu OpenSSL, udostępniamy tę procedurę jako wskazówkę, która pomoże Ci utworzyć plik spełniający wymagania certyfikatu X.509 w wymaganiach certyfikatu X.509. Przed kontynuowaniem zrozum te wymagania.
Zainstaluj protokół OpenSSL w obsługiwanym środowisku. Informacje na temat https://www.openssl.org oprogramowania i dokumentacji można znaleźć.
Utwórz klucz prywatny.
Rozpocznij tę procedurę po otrzymaniu certyfikatu serwera od urzędu certyfikacji (CA).

1	Po otrzymaniu certyfikatu serwera od urzędu certyfikacji zapisz go jako `hdsnode.pem`.
2	Wyświetl certyfikat w postaci tekstu i zweryfikuj szczegóły. `openssl x509 -text -noout -in hdsnode.pem`
3	Użyj edytora tekstu, aby utworzyć plik pakietu certyfikatów o nazwie `hdsnode-bundle.pem`. Plik pakietu musi zawierać certyfikat serwera, wszystkie certyfikaty pośredniego urzędu certyfikacji i certyfikaty głównego urzędu certyfikacji w poniższym formacie: `-----ROZPOCZNIJ CERTYFIKAT------ ### Certyfikat serwera. ### -----ZAKOŃCZ CERTYFIKAT-----------ROZPOCZNIJ CERTYFIKAT------ ### Certyfikat pośredniego urzędu certyfikacji. ### -----ZAKOŃCZ CERTYFIKAT----------------- ### Certyfikat GŁÓWNEGO URZĘDU CERTYFIKACJI. ### -----ZAKOŃCZ CERTYFIKAT-------`
4	Utwórz plik .p12 o przyjaznej nazwie `kms-private-key`. `openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -nazwa kms-private-key -caname kms-private-key -out hdsnode.p12`
5	Sprawdź szczegóły certyfikatu serwera. `openssl pkcs12 - w hdsnode.p12` W wyświetlonym monicie wprowadź hasło, aby zaszyfrować klucz prywatny, tak aby był wyświetlany na wyjściu. Następnie sprawdź, czy klucz prywatny i pierwszy certyfikat zawierają linie `friendlyName: kms-klucz prywatny`. Przykład: bash$ openssl pkcs12 - in hdsnode.p12 Wprowadź hasło importu: Atrybuty MAC zweryfikowane przez OK Bag friendlyName: kms-private-key lokalnyIdentyfikatorKlucza: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Atrybuty kluczowe: Wprowadź zdanie przejścia PEM: Weryfikowanie — wprowadź zdanie przejścia PEM: -----ROZPOCZNIJ ZASZYFROWANY KLUCZ PRYWATNY------ -----ZAKOŃCZ ZASZYFROWANY KLUCZ PRYWATNY------- Atrybuty Bag friendlyName: kms-private-key lokalnyIdentyfikatorKlucza: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 -----BEGIN CERTIFICATE------ -----END CERTIFICATE------ Bag Attributes friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3 -----BEGIN CERTIFICATE----- -----END CERTIFICATE-------

Co zrobić dalej

Wróć do tematu Wymagania wstępne dotyczące usługi hybrydowego zabezpieczenia danych. Będziesz używać pliku hdsnode.p12 i ustawionego dla niego hasła w Utwórz konfigurację ISO dla hostów HDS.

Możesz ponownie użyć tych plików, aby zażądać nowego certyfikatu po wygaśnięciu oryginalnego certyfikatu.

Ruch między węzłami HDS a chmurą

Ruch kolekcji metryk wychodzących

Węzły usługi hybrydowego zabezpieczenia danych wysyłają pewne metryki do chmury Webex. Obejmują one metryki systemowe dotyczące maksymalnej sterty, użytej sterty, obciążenia procesora i liczby wątków; metryki wątków synchronicznych i asynchronicznych; metryki alertów dotyczących progu połączeń szyfrowania, opóźnienia lub długości kolejki żądań; metryki w magazynie danych oraz metryki połączeń szyfrowania. Węzły wysyłają zaszyfrowany materiał klucza przez kanał braku pasma (oddzielny od żądania).

Ruch przychodzący

Węzły usługi hybrydowego zabezpieczenia danych odbierają następujące typy ruchu przychodzącego z chmury Webex:

Żądania szyfrowania od klientów trasowane przez usługę szyfrowania
Uaktualnia oprogramowanie węzła

Skonfiguruj serwery proxy Squid dla hybrydowego zabezpieczenia danych

Websocket nie może połączyć się przez Squid Proxy

Serwery proxy Squid, które sprawdzają ruch HTTPS, mogą zakłócać nawiązywanie połączeń Websocket (wss:), których wymaga hybrydowe zabezpieczenia danych. Poniższe sekcje zawierają wskazówki, jak skonfigurować różne wersje Squid, aby ignorować wss: ruchu zapewniającego prawidłowe funkcjonowanie usług.

Kalmary 4 i 5

Dodaj on_unsupported_protocol dyrektywę do squid.conf:

on_unsupported_protocol tunel wszystkie

Kalmary 3.5.27

Z powodzeniem przetestowaliśmy Hybrid Data Security z następującymi regułami dodanymi do squid.conf. Zasady te mogą ulec zmianie w miarę opracowywania funkcji i aktualizowania chmury Webex.

Acl wssMercuryConnection ssl::server_name_regex połączenie z rtęcią ssl_bump splice wssMercuryConnection acl step1 at_step SslBump1 acl step2 at_step SslBump2 acl step3 at_step SslBump3 ssl_bump peek step1 wszystko ssl_bump stare step2 wszystko ssl_bump bump3 wszystko

Nowe i zmienione informacje

Ta tabela zawiera informacje o nowych funkcjach, zmianach w istniejącej zawartości oraz o wszelkich głównych błędach, które zostały usunięte w Przewodniku wdrażania hybrydowego zabezpieczenia danych dla wielu dzierżawców.

Data	Wprowadzono zmiany
08 stycznia 2025 r.	Dodano uwagę w części Wykonaj początkową konfigurację i pobierz pliki instalacyjne stwierdzającą, że kliknięcie Skonfiguruj na karcie HDS w Partner Hub jest ważnym etapem procesu instalacji.
07 stycznia 2025 r.	Zaktualizowano wymagania dotyczące hosta wirtualnego, przepływ zadań wdrażania hybrydowego zabezpieczenia danych i Zainstaluj OVA hosta HDS , aby wyświetlić nowe wymagania dotyczące ESXi 7.0.
13 grudnia 2024 r.	Opublikowano po raz pierwszy.

Dezaktywuj hybrydowe zabezpieczenia danych dla wielu dzierżaw

Przepływ zadań dezaktywacji trybu HDS dla wielu dzierżawców

Aby całkowicie dezaktywować usługę HDS dla wielu dzierżaw, wykonaj poniższe czynności.

Przed rozpoczęciem

To zadanie powinien wykonywać tylko administrator partnera z pełnymi uprawnieniami.

1	Usuń wszystkich klientów ze wszystkich klastrów, jak opisano w części Usuń organizacje dzierżaw.
2	Unieważnij CMK wszystkich klientów, jak wspomniano w części Unieważnij CMK dzierżaw usuniętych z HDS..
3	Usuń wszystkie węzły ze wszystkich klastrów zgodnie z opisem w sekcji Usuń węzeł.
4	Usuń wszystkie klastry z Partner Hub za pomocą jednej z dwóch poniższych metod. Kliknij klaster, który chcesz usunąć, a następnie wybierz pozycję Usuń ten klaster w prawym górnym rogu strony przeglądu. Na stronie Zasoby kliknij … po prawej stronie klastra i wybierz opcję Usuń klaster.
5	Kliknij kartę Ustawienia na stronie Przegląd usługi hybrydowego zabezpieczenia danych, a następnie opcję Dezaktywuj usługę HDS na karcie stanu usługi HDS.

Wprowadzenie do hybrydowego zabezpieczenia danych dla wielu dzierżaw

Omówienie hybrydowego zabezpieczenia danych dla wielu dzierżaw

Od pierwszego dnia bezpieczeństwo danych było głównym celem podczas projektowania aplikacji Webex. Podstawą tego zabezpieczenia jest kompleksowe szyfrowanie treści, które umożliwiają klienci aplikacji Webex współpracujący z usługą zarządzania kluczami (KMS). Usługa KMS jest odpowiedzialna za tworzenie kluczy kryptograficznych używanych przez klientów do dynamicznego szyfrowania i odszyfrowywania wiadomości i plików oraz zarządzanie nimi.

Domyślnie wszyscy klienci aplikacji Webex otrzymują kompleksowe szyfrowanie za pomocą kluczy dynamicznych przechowywanych w chmurze KMS, w sferze bezpieczeństwa Cisco. Hybrid Data Security przenosi KMS i inne funkcje związane z bezpieczeństwem do centrum danych przedsiębiorstwa, dzięki czemu nikt poza Tobą nie posiada kluczy do zaszyfrowanej zawartości.

Hybrydowe zabezpieczenia danych dla wielu dzierżawców umożliwia organizacjom korzystanie z usług HDS za pośrednictwem zaufanego lokalnego partnera, który może działać jako dostawca usług i zarządzać lokalnym szyfrowaniem i innymi usługami zabezpieczeń. Ta konfiguracja umożliwia organizacji partnerskiej pełną kontrolę nad wdrażaniem kluczy szyfrowania i zarządzaniem nimi oraz zapewnia bezpieczeństwo danych użytkowników organizacji klientów przed dostępem zewnętrznym. Organizacje partnerskie konfigurują wystąpienia HDS i w razie potrzeby tworzą klastry HDS. Każde wystąpienie może obsługiwać wiele organizacji klientów w przeciwieństwie do zwykłego wdrażania usług HDS, które jest ograniczone do jednej organizacji.

Chociaż organizacje partnerskie mają kontrolę nad wdrażaniem i zarządzaniem, nie mają dostępu do danych ani treści generowanych przez klientów. Ten dostęp jest ograniczony do organizacji klientów i ich użytkowników.

Pozwala to również mniejszym organizacjom na korzystanie z HDS, ponieważ usługi zarządzania kluczami i infrastruktura zabezpieczeń, taka jak centra danych, są własnością zaufanego partnera lokalnego.

Jak hybrydowe zabezpieczenia danych dla wielu dzierżawców zapewnia suwerenność danych i kontrolę danych

Treści generowane przez użytkowników są chronione przed dostępem zewnętrznym, na przykład przed dostawcami usług w chmurze.
Lokalni zaufani partnerzy zarządzają kluczami szyfrowania klientów, z którymi mają już ustalone relacje.
Opcja lokalnej pomocy technicznej, jeśli została dostarczona przez partnera.
Obsługuje treści spotkań, wiadomości i połączeń.

Ten dokument ma na celu pomóc organizacjom partnerskim w konfigurowaniu klientów w systemie hybrydowego zabezpieczenia danych dla wielu dzierżawców i zarządzaniu nimi.

Role w hybrydowym zabezpieczeniu danych dla wielu dzierżawców

Administrator partnera z pełnymi uprawnieniami — może zarządzać ustawieniami wszystkich klientów, którymi zarządza partner. Może również przypisywać role administratora istniejącym użytkownikom w organizacji oraz przypisywać określonych klientów do zarządzania przez administratorów partnera.
Administrator partnera — może zarządzać ustawieniami klientów skonfigurowanych przez administratora lub przypisanych do użytkownika.
Administrator z pełnymi uprawnieniami — administrator organizacji partnerskiej, który ma uprawnienia do wykonywania takich zadań jak modyfikowanie ustawień organizacji, zarządzanie licencjami i przypisywanie ról.

Kompleksowa konfiguracja trybu HDS dla wielu dzierżawców i zarządzanie wszystkimi organizacjami klientów — wymagane uprawnienia administratora partnera z pełnymi uprawnieniami i administratora z pełnymi uprawnieniami.
Zarządzanie przypisanymi organizacjami dzierżaw — wymagane uprawnienia administratora partnera i administratora z pełnymi uprawnieniami.

Architektura Security Realm

Architektura chmury Webex dzieli różne typy usług na oddzielne domeny lub domeny zaufania, jak pokazano poniżej.

Aby lepiej zrozumieć usługę hybrydowego zabezpieczenia danych, przyjrzyjmy się najpierw tej czystej chmurze, w której firma Cisco udostępnia wszystkie funkcje w swoich domenach chmury. Usługa tożsamości, jedyne miejsce, w którym użytkownicy mogą być bezpośrednio skorelowani z ich danymi osobowymi, takimi jak adres e-mail, jest logicznie i fizycznie oddzielona od obszaru bezpieczeństwa w centrum danych B. Oba są z kolei oddzielone od obszaru, w którym docelowo przechowywana jest zaszyfrowana zawartość, w centrum danych C.

Na tym schemacie klient jest aplikacją Webex działającą na laptopie użytkownika i uwierzytelnił się w usłudze tożsamości. Gdy użytkownik tworzy wiadomość do wysłania do obszaru, wykonują następujące czynności:

Klient nawiązuje bezpieczne połączenie z usługą zarządzania kluczami (KMS), a następnie żąda klucza w celu zaszyfrowania wiadomości. Bezpieczne połączenie korzysta z protokołu ECDH, a serwer KMS szyfruje klucz przy użyciu klucza głównego AES-256.
Wiadomość jest szyfrowana przed opuszczeniem klienta. Klient wysyła je do usługi indeksowania, która tworzy zaszyfrowane indeksy wyszukiwania, aby pomóc w przyszłych wyszukiwaniu zawartości.
Zaszyfrowana wiadomość jest wysyłana do usługi zgodności w celu sprawdzenia zgodności.
Zaszyfrowana wiadomość jest przechowywana w obszarze miejsca do przechowywania.

Podczas wdrażania hybrydowego zabezpieczenia danych funkcje domeny zabezpieczeń (KMS, indeksowanie i zgodność) są przenoszone do lokalnego centrum danych. Inne usługi w chmurze tworzące usługę Webex (w tym tożsamość i miejsce do przechowywania zawartości) pozostają w domenach Cisco.

Współpraca z innymi organizacjami

Użytkownicy w Twojej organizacji mogą regularnie korzystać z aplikacji Webex do współpracy z uczestnikami zewnętrznymi w innych organizacjach. Gdy jeden z użytkowników poprosi o klucz obszaru należącego do Twojej organizacji (ponieważ został on utworzony przez jednego z użytkowników), serwer KMS wysyła klucz do klienta przez kanał zabezpieczony ECDH. Jeśli jednak inna organizacja jest właścicielem klucza obszaru, serwer KMS kieruje żądanie do chmury Webex przez oddzielny kanał ECDH, aby pobrać klucz z odpowiedniego serwera KMS, a następnie zwraca klucz do użytkownika w oryginalnym kanale.

Usługa KMS działająca w organizacji A sprawdza poprawność połączeń z urządzeniami KMS w innych organizacjach przy użyciu certyfikatów x.509 PKI. Zobacz Przygotowanie środowiska , aby uzyskać szczegółowe informacje na temat generowania certyfikatu x.509 do użycia z wdrożeniem hybrydowego zabezpieczenia danych dla wielu dzierżawców.

Oczekiwania dotyczące wdrożenia hybrydowego zabezpieczenia danych

Wdrożenie hybrydowego zabezpieczenia danych wymaga znacznego zaangażowania i świadomości ryzyka związanego z posiadaniem kluczy szyfrowania.

Aby wdrożyć usługę hybrydowego zabezpieczenia danych, należy zapewnić:

Bezpieczne centrum danych w kraju, które jest obsługiwaną lokalizacją planów Cisco Webex Teams.
Sprzęt, oprogramowanie i dostęp do sieci opisane w części Przygotowanie środowiska.

Całkowita utrata albo konfiguracji ISO tworzonej dla usługi hybrydowego zabezpieczenia danych, albo dostarczonej bazy danych spowoduje utratę kluczy. Utrata klucza uniemożliwia użytkownikom odszyfrowanie zawartości obszaru i innych zaszyfrowanych danych w aplikacji Webex. W takim przypadku można zbudować nowe wdrożenie, ale widoczna będzie tylko nowa zawartość. Aby uniknąć utraty dostępu do danych, należy:

Zarządzanie kopiowaniem i odzyskiwaniem bazy danych oraz certyfikatem ISO konfiguracji.
Przygotuj się do szybkiego odzyskiwania po awarii w przypadku wystąpienia katastrofy, takiej jak awaria dysku bazy danych lub katastrofa centrum danych.

Nie ma mechanizmu, by przenieść klucze z powrotem do chmury po wdrożeniu HDS.

Proces konfiguracji wysokiego poziomu

Ten dokument dotyczy konfigurowania wdrożenia hybrydowego zabezpieczenia danych dla wielu dzierżawców i zarządzania nim:

Skonfiguruj hybrydowe zabezpieczenia danych — obejmuje przygotowanie wymaganej infrastruktury i zainstalowanie oprogramowania hybrydowego zabezpieczenia danych, budowę klastra HDS, dodawanie organizacji dzierżaw do klastra oraz zarządzanie kluczami głównymi klientów (CMK). Umożliwi to wszystkim użytkownikom w organizacjach klientów korzystanie z klastra hybrydowego zabezpieczenia danych do obsługi funkcji zabezpieczeń.

W kolejnych trzech rozdziałach omówiono szczegółowo etapy konfiguracji, aktywacji i zarządzania.
Kontynuuj wdrożenie usługi hybrydowego zabezpieczenia danych — chmura Webex automatycznie zapewnia ciągłe aktualizacje. Dział IT może zapewnić wsparcie Tier One dla tego wdrożenia i w razie potrzeby zaangażować wsparcie Cisco. Możesz korzystać z powiadomień na ekranie i skonfigurować alerty e-mail w Partner Hub.
Zrozumienie popularnych alertów, czynności rozwiązywania problemów i znanych problemów — w przypadku wystąpienia problemów ze wdrażaniem lub korzystaniem z usługi hybrydowego zabezpieczenia danych ostatni rozdział tego przewodnika i załącznik do znanych problemów mogą pomóc w ustaleniu i usunięciu problemu.

Model wdrażania hybrydowego zabezpieczenia danych

W korporacyjnym centrum danych wdrożysz hybrydowe zabezpieczenia danych jako pojedynczy klaster węzłów na osobnych wirtualnych hostach. Węzły komunikują się z chmurą Webex za pośrednictwem bezpiecznych gniazd WebSockets i bezpiecznego HTTP.

Podczas procesu instalacji udostępniamy plik OVA, aby skonfigurować urządzenie wirtualne na maszynach wirtualnych, które udostępniasz. Za pomocą narzędzia konfiguracji usługi HDS można utworzyć niestandardowy plik ISO konfiguracji klastra, który montujesz na każdym węźle. Klaster usługi hybrydowego zabezpieczenia danych korzysta z dostarczonego serwera Syslogd oraz bazy danych PostgreSQL lub Microsoft SQL Server. (Szczegóły połączenia Syslogd i bazy danych można skonfigurować za pomocą narzędzia konfiguracji HDS).

Model wdrażania hybrydowego zabezpieczenia danych

Minimalna liczba węzłów, które można mieć w klastrze, wynosi dwa. Zalecamy co najmniej trzy klastry. Posiadanie wielu węzłów gwarantuje, że usługa nie zostanie przerwana podczas aktualizacji oprogramowania lub innej konserwacji w węźle. (Chmura Webex uaktualnia tylko jeden węzeł naraz).

Wszystkie węzły w klastrze uzyskują dostęp do tego samego magazynu danych klucza oraz do tego samego serwera dziennika systemowego. Same węzły są bezstanowe i obsługują żądania kluczy w sposób zaokrąglony, zgodnie z kierunkiem chmury.

Węzły stają się aktywne po zarejestrowaniu ich w Partner Hub. Aby wyłączyć pojedynczy węzeł, można go wyrejestrować, a w razie potrzeby ponownie go zarejestrować.

Centrum danych w trybie gotowości do odzyskiwania po awarii

Podczas wdrażania konfigurujesz bezpieczne centrum danych w trybie gotowości. W przypadku awarii centrum danych można ręcznie wykonać wdrożenie do centrum danych w trybie gotowości.

Bazy danych aktywnych i rezerwowych centrów danych są ze sobą synchronizowane, co minimalizuje czas potrzebny na wykonanie przełączania awaryjnego.

Aktywne węzły usługi hybrydowego zabezpieczenia danych muszą zawsze znajdować się w tym samym centrum danych, co aktywny serwer bazy danych.

Obsługa serwera proxy

Hybrid Data Security obsługuje jawne, przejrzyste inspekcje i niekontrolujące serwery proxy. Możesz powiązać te serwery proxy z wdrożeniem, aby zabezpieczyć i monitorować ruch z przedsiębiorstwa do chmury. Interfejsu administratora platformy w węzłach można używać do zarządzania certyfikatami i sprawdzania ogólnego stanu łączności po skonfigurowaniu serwera proxy w węzłach.

Węzły Hybrid Data Security obsługują następujące opcje serwera proxy:

Brak serwera proxy — domyślnie, jeśli do zintegrowania serwera proxy nie używasz konfiguracji węzła HDS usługi Trust Store i proxy. Aktualizacja certyfikatu nie jest wymagana.
Przezroczysty, nieweryfikujący serwer proxy — węzły nie są skonfigurowane do używania konkretnego adresu serwera proxy i nie powinny wymagać żadnych zmian, aby pracować z nieweryfikowanym serwerem proxy. Aktualizacja certyfikatu nie jest wymagana.
Przezroczyste tunelowanie lub inspekcja serwera proxy — węzły nie są skonfigurowane do używania określonego adresu serwera proxy. W węzłach nie są wymagane żadne zmiany konfiguracji HTTP ani HTTPS. Jednak węzły potrzebują certyfikatu głównego, aby ufać serwerowi proxy. Inspekcja serwerów proxy jest zwykle używana przez IT do egzekwowania zasad, na których można odwiedzać witryny internetowe, a które nie są dozwolone. Ten typ serwera proxy odszyfrowuje cały ruch (nawet HTTPS).
Jawny serwer proxy — przy użyciu jawnego serwera proxy można wskazać węzłom HDS, którego serwera proxy i schematu uwierzytelniania mają używać. Aby skonfigurować jawny serwer proxy, należy wprowadzić następujące informacje w każdym węźle:
1. Adres IP/FQDN serwera proxy — adres, za pomocą którego można uzyskać dostęp do maszyny proxy.
2. Port serwera proxy — numer portu, którego serwer proxy używa do nasłuchiwania ruchu proxy.
3. Protokół proxy — w zależności od tego, jakie obsługuje serwer proxy, wybierz jeden z następujących protokołów:
  - HTTP — wyświetla i kontroluje wszystkie żądania wysyłane przez klienta.
  - HTTPS — zapewnia kanał do serwera. Klient odbiera i sprawdza poprawność certyfikatu serwera.
4. Typ uwierzytelniania — wybierz jeden z następujących typów uwierzytelniania:
  - Brak — dalsze uwierzytelnianie nie jest wymagane.
    
    Opcja dostępna po wybraniu protokołu HTTP lub HTTPS jako protokołu proxy.
  - Podstawowe — używane w przypadku agenta użytkownika HTTP w celu podania nazwy użytkownika i hasła podczas wykonywania żądania. Używa kodowania Base64.
    
    Opcja dostępna po wybraniu protokołu HTTP lub HTTPS jako protokołu proxy.
    
    Wymaga wprowadzenia nazwy użytkownika i hasła w każdym węźle.
  - Szyfrowanie — służy do potwierdzania konta przed wysłaniem poufnych informacji. Stosuje funkcję skrótu do nazwy użytkownika i hasła przed wysłaniem przez sieć.
    
    Opcja dostępna tylko po wybraniu protokołu HTTPS jako protokołu proxy.
    
    Wymaga wprowadzenia nazwy użytkownika i hasła w każdym węźle.

Przykład hybrydowych węzłów zabezpieczeń danych i serwera proxy

Ten diagram przedstawia przykładowe połączenie między hybrid data security, siecią i serwerem proxy. W przypadku opcji przezroczystego serwera proxy inspekcji i jawnego sprawdzania HTTPS ten sam certyfikat główny musi być zainstalowany na serwerze proxy i w węzłach Hybrid Data Security.

Zablokowany tryb zewnętrznego rozpoznawania DNS (jawne konfiguracje serwera proxy)

Podczas rejestrowania węzła lub sprawdzania konfiguracji serwera proxy węzła proces testuje wyszukiwanie DNS i łączność z chmurą Cisco Webex. We wdrożeniach z jawnymi konfiguracjami serwera proxy, które nie zezwalają na zewnętrzne rozpoznawanie DNS dla klientów wewnętrznych, jeśli węzeł nie może wysłać kwerendy do serwerów DNS, automatycznie przechodzi w tryb zablokowanego zewnętrznego rozpoznawania DNS. W tym trybie można kontynuować rejestrację węzła i inne testy łączności serwera proxy.

Przygotuj środowisko

Wymagania dotyczące hybrydowego zabezpieczenia danych dla wielu dzierżaw

Wymagania licencyjne usługi Cisco Webex

Aby wdrożyć hybrydowe zabezpieczenia danych dla wielu dzierżaw:

Organizacje partnerskie: Skontaktuj się z partnerem lub opiekunem klienta firmy Cisco i upewnij się, że funkcja wielu dzierżaw jest włączona.
Organizacje dzierżaw: Musisz mieć pakiet Pro Pack dla Cisco Webex Control Hub. (Patrz https://www.cisco.com/go/pro-pack.)

Wymagania pulpitu Docker

Przed zainstalowaniem węzłów HDS należy uruchomić program konfiguracyjny programu Docker Desktop. Docker niedawno zaktualizował swój model licencjonowania. Twoja organizacja może wymagać płatnej subskrypcji platformy Docker Desktop.Your organization might require a paid subscription for Docker Desktop. Aby uzyskać szczegółowe informacje, zobacz wpis na blogu Platformy Docker " Docker aktualizuje i rozszerza nasze subskrypcje produktów".

Wymagania certyfikatu X.509

Łańcuch certyfikatów musi spełniać następujące wymagania:

Tabela 1. Wymagania certyfikatu X.509 dla wdrożenia hybrydowego zabezpieczenia danych
Wymaganie	Szczegóły
Podpisany przez zaufany urząd certyfikacji (CA)	Domyślnie ufamy urzędom certyfikacji na liście Mozilli (z wyjątkiem WoSign i StartCom) pod adresem https://wiki.mozilla.org/CA:IncludedCAs.
Nosi nazwę domeny z nazwą pospolitą (CN), która identyfikuje wdrożenie usługi hybrydowego zabezpieczenia danych Nie jest certyfikatem z symbolem wieloznacznym	Numer CN nie musi być dostępny ani być prowadzącym na żywo. Zalecamy używanie nazwy odzwierciedlającej organizację, na przykład `hds.company.com`. CN nie może zawierać znaku * (symbolu wieloznacznego). Kod CN służy do weryfikowania węzłów usługi hybrydowego zabezpieczenia danych w klientach aplikacji Webex. Wszystkie węzły usługi hybrydowego zabezpieczenia danych w klastrze używają tego samego certyfikatu. Serwer KMS identyfikuje się używając domeny CN, a nie żadnej domeny zdefiniowanej w polach SAN x.509v3. Po zarejestrowaniu węzła z tym certyfikatem nie jest obsługiwana zmiana nazwy domeny CN.
Podpis bez SHA1	Oprogramowanie KMS nie obsługuje podpisów SHA1 w celu walidacji połączeń z modułami KMS innych organizacji.
Sformatowany jako plik PKCS #12 zabezpieczony hasłem Użyj przyjaznej nazwy `kms-private-key` , aby oznaczyć certyfikat, klucz prywatny i wszelkie certyfikaty pośrednie do przesłania.	Możesz użyć konwertera, takiego jak OpenSSL, aby zmienić format certyfikatu. Hasło trzeba będzie wprowadzić podczas uruchamiania narzędzia konfiguracji usług HDS.

Oprogramowanie KMS nie wymuszało użycia kluczy ani rozszerzonych ograniczeń użycia kluczy. Niektóre urzędy certyfikacji wymagają, aby do każdego certyfikatu miały zastosowanie rozszerzone ograniczenia użycia klucza, takie jak uwierzytelnianie serwera. Można używać uwierzytelniania serwera lub innych ustawień.

Wymagania dotyczące hosta wirtualnego

Hosty wirtualne, które skonfigurujesz jako węzły usługi hybrydowego zabezpieczenia danych w klastrze, mają następujące wymagania:

Co najmniej dwa oddzielne hosty (zalecane 3) rozmieszczone w tym samym bezpiecznym centrum danych
Zainstalowano i uruchomiono program VMware ESXi 7.0 (lub nowszy).

Jeśli masz starszą wersję oprogramowania ESXi, musisz ją uaktualnić.
Co najmniej 4 procesory vCPU, 8 GB pamięci głównej, 30 GB miejsca na lokalny dysk twardy na serwer

Wymagania serwera bazy danych

Utwórz nową bazę danych do przechowywania kluczy. Nie należy używać domyślnej bazy danych. Aplikacje HDS, po zainstalowaniu, tworzą schemat bazy danych.

Serwer bazy danych ma dwie opcje. Wymagania dotyczące każdego z nich są następujące:

Tabela 2. Wymagania serwera bazy danych według typu bazy danych
PostgreSQL-a	Serwer Microsoft SQL
PostgreSQL 14, 15 lub 16 jest zainstalowany i uruchomiony.	Zainstalowano oprogramowanie SQL Server 2016, 2017 lub 2019 (Enterprise lub Standard). Program SQL Server 2016 wymaga pakietu Service Pack 2 i aktualizacji skumulowanej 2 lub nowszej.
Co najmniej 8 procesorów vCPU, 16 GB pamięci głównej, wystarczająca ilość miejsca na dysku twardym i monitorowanie, aby nie było przekroczone (zalecane 2 TB, jeśli chcesz uruchomić bazę danych przez długi czas bez konieczności zwiększania miejsca do przechowywania)	Co najmniej 8 procesorów vCPU, 16 GB pamięci głównej, wystarczająca ilość miejsca na dysku twardym i monitorowanie, aby nie było przekroczone (zalecane 2 TB, jeśli chcesz uruchomić bazę danych przez długi czas bez konieczności zwiększania miejsca do przechowywania)

Oprogramowanie HDS instaluje obecnie następujące wersje sterowników do komunikacji z serwerem bazy danych:

PostgreSQL-a

Serwer Microsoft SQL

Postgres JDBC sterownik 42.2.5

Sterownik SQL Server JDBC 4.6

Ta wersja sterownika obsługuje funkcję SQL Server Always On (zawsze włączone wystąpienia klastra przełączenia awaryjnego i zawsze włączone grupy dostępności).

Dodatkowe wymagania dotyczące uwierzytelniania w systemie Windows przy użyciu programu Microsoft SQL Server

Jeśli chcesz, aby węzły HDS korzystały z uwierzytelniania w systemie Windows w celu uzyskania dostępu do bazy danych magazynu kluczy na serwerze Microsoft SQL Server, potrzebujesz następującej konfiguracji w środowisku:

Wszystkie węzły HDS, infrastruktura Active Directory i oprogramowanie MS SQL Server muszą być synchronizowane z protokołem NTP.
Konto systemu Windows dostarczane węzłom HDS musi mieć dostęp do odczytu/zapisu do bazy danych.
Serwery DNS dostarczane do węzłów HDS muszą być w stanie rozpoznać Twoje centrum dystrybucji kluczy (KDC).
Wystąpienie bazy danych HDS na serwerze Microsoft SQL można zarejestrować jako nazwę główną usługi (SPN) w usłudze Active Directory. Zobacz Rejestrowanie nazwy głównej usługi dla połączeń Kerberos.

Narzędzie konfiguracyjne usługi HDS, uruchamianie usługi HDS i lokalny serwer KMS muszą korzystać z uwierzytelniania systemu Windows, aby uzyskać dostęp do bazy danych magazynu kluczy. Używają oni szczegółów z konfiguracji ISO do skonstruowania SPN przy żądaniu dostępu z uwierzytelnianiem Kerberos.

Wymagania dotyczące łączności zewnętrznej

Skonfiguruj zaporę, aby zezwolić na następującą łączność dla aplikacji HDS:

Aplikacja	Protokół	Port	Kierunek z aplikacji	Miejsce docelowe
Węzły hybrydowego zabezpieczenia danych	TCP	443	Wychodzące HTTPS i WSS	Serwery Webex: .wbx2.com .ciscospark.com Wszyscy prowadzący Common Identity Inne adresy URL wymienione na liście dla hybrydowego zabezpieczenia danych w tabeli Dodatkowe adresy URL dla usług hybrydowych Webex w sekcji Wymagania sieciowe dla usług Webex
Narzędzie konfiguracji usług HDS	TCP	443	Wychodzący HTTPS	*.wbx2.com Wszyscy prowadzący Common Identity hub.docker.com

Węzły usługi hybrydowego zabezpieczenia danych współpracują z tłumaczeniem dostępu do sieci (NAT) lub zaporą, o ile translacja NAT lub zapora sieciowa zezwalają na wymagane połączenia wychodzące z adresami domen w poprzedniej tabeli. W przypadku połączeń przychodzących do węzłów usługi hybrydowego zabezpieczenia danych żadne porty nie powinny być widoczne z Internetu. W centrum danych klienci potrzebują do celów administracyjnych dostępu do węzłów usługi hybrydowego zabezpieczenia danych na portach TCP 443 i 22.

Adresy URL dla hostów usługi Common Identity (CI) są specyficzne dla regionów. Są to bieżące hosty CI:

Region	Adresy URL hosta wspólnej tożsamości
Ameryka	https://idbroker.webex.com https://identity.webex.com https://idbroker-b-us.webex.com https://identity-b-us.webex.com
Unia Europejska	https://idbroker-eu.webex.com https://identity-eu.webex.com
Kanada	https://idbroker-ca.webex.com https://identity-ca.webex.com
Singapur	https://idbroker-sg.webex.com https://identity-sg.webex.com
Zjednoczone Emiraty Arabskie	https://idbroker-ae.webex.com https://identity-ae.webex.com

Wymagania dotyczące serwera proxy

Oficjalnie obsługujemy następujące rozwiązania proxy, które można zintegrować z węzłami Hybrid Data Security.
- Przezroczysty serwer proxy — Cisco Web Security Appliance (WSA).
- Jawny serwer proxy — Squid.
  
  Serwery proxy Squid, które sprawdzają ruch HTTPS, mogą zakłócać nawiązywanie połączeń WebSocket (wss:). Aby rozwiązać ten problem, zobacz Konfigurowanie serwerów proxy Squid na potrzeby hybrydowego zabezpieczenia danych.
Obsługujemy następujące kombinacje typów uwierzytelniania dla jawnych serwerów proxy:
- Brak uwierzytelniania za pomocą protokołu HTTP lub HTTPS
- Uwierzytelnianie podstawowe za pomocą protokołu HTTP lub HTTPS
- Uwierzytelnianie szyfrowane tylko przy użyciu protokołu HTTPS
W przypadku przezroczystego serwera proxy inspekcji lub jawnego serwera proxy HTTPS musisz mieć kopię certyfikatu głównego serwera proxy. Instrukcje wdrażania w tym przewodniku informają, jak przekazać kopię do magazynów zaufania węzłów hybrid Data Security.
Sieć obsługująca węzły HDS musi być skonfigurowana tak, aby wymuszała kierowanie wychodzącego ruchu TCP na porcie 443 przez serwer proxy.
Serwery proxy, które sprawdzają ruch sieci web, mogą zakłócać połączenia gniazd internetowych. Jeśli ten problem wystąpi, ominięcie (nie inspekcja) ruchu do wbx2.com i ciscospark.com rozwiąże problem.

Spełnij wymagania wstępne dotyczące usługi hybrydowego zabezpieczenia danych

Skorzystaj z tej listy kontrolnej, aby upewnić się, że możesz zainstalować i skonfigurować klaster usługi hybrydowego zabezpieczenia danych.

1	Upewnij się, że organizacja partnerska ma włączoną funkcję HDS dla wielu dzierżawców i uzyskaj poświadczenia konta z pełnymi uprawnieniami administratora partnera i pełnego administratora. Upewnij się, że Twoja organizacja klienta Webex jest włączona dla usługi Pro Pack for Cisco Webex Control Hub. Skontaktuj się z partnerem lub opiekunem klienta Cisco w celu uzyskania pomocy w tym procesie. Organizacje klientów nie powinny mieć żadnych istniejących wdrożeń usług HDS.
2	Wybierz nazwę domeny dla wdrożenia HDS (na przykład `hds.company.com`) i uzyskaj łańcuch certyfikatów zawierający certyfikat X.509, klucz prywatny i certyfikaty pośrednie. Łańcuch certyfikatów musi spełniać wymagania określone w wymaganiach certyfikatu X.509.
3	Przygotuj identycznych wirtualnych prowadzących, które zostaną skonfigurowane jako węzły usługi hybrydowego zabezpieczenia danych w klastrze. Potrzebujesz co najmniej dwóch oddzielnych hostów (zalecane 3) rozmieszczonych w tym samym bezpiecznym centrum danych, które spełniają wymagania określone w wymaganiach dotyczących hosta wirtualnego.
4	Przygotuj serwer bazy danych, który będzie pełnił rolę kluczowego magazynu danych dla klastra, zgodnie z wymaganiami serwera bazy danych. Serwer bazy danych musi być umieszczony w bezpiecznym centrum danych z wirtualnymi hostami. Tworzenie bazy danych do przechowywania kluczy. (Należy utworzyć tę bazę danych — nie używaj domyślnej bazy danych. Aplikacje HDS, gdy są zainstalowane, tworzą schemat bazy danych). Zbierz szczegóły, których węzły będą używać do komunikacji z serwerem bazy danych: nazwa hosta lub adres IP (hosta) i port nazwa bazy danych (dbname) do przechowywania klucza nazwa użytkownika i hasło użytkownika z wszystkimi uprawnieniami w bazie danych przechowywania kluczy
5	W celu szybkiego odzyskiwania po awarii skonfiguruj środowisko kopii zapasowej w innym centrum danych. Środowisko tworzenia kopii zapasowych jest lustrzane dla środowiska produkcyjnego maszyn wirtualnych i zapasowego serwera bazy danych. Jeśli na przykład w produkcji są 3 maszyny wirtualne z węzłami HDS, środowisko kopii zapasowej powinno zawierać 3 maszyny wirtualne.
6	Skonfiguruj hosta dziennika systemu, aby zbierał dzienniki z węzłów w klastrze. Zbierz adres sieciowy i port dziennika systemu (domyślnie jest to UDP 514).
7	Utwórz zasady bezpiecznych kopii zapasowych dla węzłów usługi hybrydowego zabezpieczenia danych, serwera bazy danych i hosta dziennika systemowego. Aby zapobiec nieodwracalnej utracie danych, należy wykonać kopię zapasową bazy danych i pliku ISO konfiguracji wygenerowanego dla węzłów usługi hybrydowego zabezpieczenia danych. Ponieważ węzły usługi hybrydowego zabezpieczenia danych przechowują klucze używane do szyfrowania i odszyfrowywania zawartości, niepowodzenie utrzymania operacyjnego wdrożenia spowoduje NIEODWRACALNĄ UTRATĘ tej zawartości. Klienci aplikacji Webex buforują swoje klucze, więc awaria może nie być natychmiast zauważalna, ale z czasem stanie się oczywista. O ile nie można zapobiec tymczasowym awariom, można je odzyskać. Jednak całkowita utrata (brak dostępnych kopii zapasowych) bazy danych lub pliku ISO konfiguracji spowoduje, że dane klienta nie będą mogły zostać odzyskane. Oczekuje się, że operatorzy węzłów usługi hybrydowego zabezpieczenia danych będą utrzymywać częste kopie zapasowe bazy danych i pliku ISO konfiguracji oraz będą przygotowani do odbudowania centrum danych usługi hybrydowego zabezpieczenia danych w przypadku wystąpienia katastrofalnej awarii.
8	Upewnij się, że konfiguracja zapory umożliwia łączność z węzłami usługi hybrydowego zabezpieczenia danych, jak opisano w części Wymagania dotyczące łączności zewnętrznej.
9	Zainstaluj aplikację Docker ( https://www.docker.com) na dowolnym lokalnym komputerze z obsługiwanym systemem operacyjnym (Microsoft Windows 10 Professional lub Enterprise 64-bitowy lub Mac OSX Yosemite 10.10.3 lub nowszym) za pomocą przeglądarki internetowej, która może uzyskać do niej dostęp pod adresem http://127.0.0.1:8080. Wystąpienie usługi Docker umożliwia pobranie i uruchomienie narzędzia konfiguracyjnego HDS, które tworzy informacje o konfiguracji lokalnej dla wszystkich węzłów usługi hybrydowego zabezpieczenia danych. Być może potrzebujesz licencji Docker Desktop. Aby uzyskać więcej informacji, zobacz Wymagania dotyczące pulpitu Docker . Aby zainstalować i uruchomić narzędzie konfiguracji usługi HDS, komputer lokalny musi mieć łączność opisaną w sekcji Wymagania dotyczące łączności zewnętrznej.
10	Jeśli integrujesz serwer proxy z usługą hybrydowego zabezpieczenia danych, upewnij się, że spełnia wymagania serwera proxy.

Skonfiguruj klaster usługi hybrydowego zabezpieczenia danych

Przepływ zadań wdrażania hybrydowego zabezpieczenia danych

Przed rozpoczęciem

1	Wykonywanie pierwszej konfiguracji i pobieranie plików instalacyjnych Pobierz plik OVA na komputer lokalny w celu późniejszego użycia.
2	Tworzenie certyfikatu ISO konfiguracji dla hostów trybu HDS Użyj narzędzia konfiguracji usługi HDS, aby utworzyć plik konfiguracyjny ISO dla węzłów usługi hybrydowego zabezpieczenia danych.
3	Zainstaluj OVA hosta HDS Utwórz maszynę wirtualną z pliku OVA i wykonaj konfigurację początkową, taką jak ustawienia sieciowe. Opcja konfigurowania ustawień sieciowych podczas wdrażania OVA została przetestowana z ESXi 7.0. Opcja może być niedostępna we wcześniejszych wersjach.
4	Skonfiguruj VM usługi hybrydowego zabezpieczenia danych Zaloguj się do konsoli VM i ustaw poświadczenia logowania. Skonfiguruj ustawienia sieciowe węzła, jeśli nie zostały one skonfigurowane w czasie wdrażania OVA.
5	Przesyłanie i montaż obrazu ISO w trybie HDS Skonfiguruj maszynę wirtualną z pliku konfiguracyjnego ISO utworzonego przy użyciu narzędzia konfiguracji HDS.
6	Konfigurowanie węzła HDS do integracji z serwerem proxy Jeśli środowisko sieciowe wymaga konfiguracji serwera proxy, określ typ serwera proxy, który będzie używany dla węzła, a w razie potrzeby dodaj certyfikat serwera proxy do magazynu zaufanych certyfikatów.
7	Zarejestruj pierwszy węzeł w klastrze Zarejestruj maszynę wirtualną w chmurze Cisco Webex jako węzeł usługi hybrydowego zabezpieczenia danych.
8	Utwórz i zarejestruj więcej węzłów Zakończ konfigurację klastra.
9	Aktywuj usługę HDS dla wielu dzierżaw w Partner Hub. Aktywuj usługę HDS i zarządzaj organizacjami dzierżaw w Partner Hub.

Wykonywanie pierwszej konfiguracji i pobieranie plików instalacyjnych

W tym zadaniu pobierasz plik OVA na komputer (a nie na serwery, które są skonfigurowane jako węzły usługi hybrydowego zabezpieczenia danych). Tego pliku używasz później w procesie instalacji.

1	Zaloguj się do Partner Hub, a następnie kliknij pozycję Usługi.
2	W sekcji Usługi chmury znajdź kartę usługi hybrydowego zabezpieczenia danych, a następnie kliknij przycisk Konfiguruj. Kliknięcie opcji Skonfiguruj w Partner Hub ma kluczowe znaczenie dla procesu wdrażania. Nie należy kontynuować instalacji bez wykonania tego kroku.
3	Kliknij opcję Dodaj zasób i kliknij opcję Pobierz plik OVA na karcie Zainstaluj i skonfiguruj oprogramowanie . Starsze wersje pakietu oprogramowania (OVA) nie będą zgodne z najnowszymi aktualizacjami usługi hybrydowego zabezpieczenia danych. Może to powodować problemy podczas uaktualniania aplikacji. Upewnij się, że pobierasz najnowszą wersję pliku OVA. Możesz również pobrać OVA w dowolnym momencie w sekcji Pomoc . Kliknij kolejno opcje Ustawienia > Pomoc > Pobierz oprogramowanie usługi hybrydowego zabezpieczenia danych. Plik OVA automatycznie rozpocznie się pobieranie. Zapisz plik w lokalizacji na komputerze.
4	Opcjonalnie kliknij opcję Zobacz przewodnik wdrażania hybrydowego zabezpieczenia danych , aby sprawdzić, czy jest dostępna nowsza wersja tego przewodnika.

Tworzenie certyfikatu ISO konfiguracji dla hostów trybu HDS

Proces konfiguracji usługi hybrydowego zabezpieczenia danych tworzy plik ISO. Następnie za pomocą interfejsu ISO można skonfigurować hosta usługi hybrydowego zabezpieczenia danych.

Przed rozpoczęciem

Narzędzie HDS Setup działa jako kontener platformy Docker na komputerze lokalnym. Aby uzyskać do niego dostęp, uruchom Docker na tym komputerze. Proces konfiguracji wymaga poświadczeń konta w Partner Hub z pełnymi uprawnieniami administratora.

Jeśli narzędzie konfiguracji HDS działa za serwerem proxy w środowisku, podaj ustawienia serwera proxy (serwer, port, poświadczenia) za pośrednictwem zmiennych środowiskowych Docker podczas podnoszenia kontenera Docker w kroku 5 poniżej. Ta tabela zawiera kilka możliwych zmiennych środowiskowych:

Opis

Zmienna

Serwer proxy HTTP bez uwierzytelniania

GLOBALNY_AGENT_HTTP_PROXY=http://SERWER_IP:PORT

Serwer proxy HTTPS bez uwierzytelniania

GLOBALNY_AGENT_HTTPS_PROXY=http://SERWER_IP:PORT

Serwer proxy HTTP z uwierzytelnianiem

GLOBALNY_AGENT_HTTP_PROXY=http://NAZWA_UŻYTKOWNIKA:HASŁO@SERWER_IP:PORT

Serwer proxy HTTPS z uwierzytelnianiem

GLOBALNY_AGENT_HTTPS_PROXY=http://NAZWA_UŻYTKOWNIKA:HASŁO@SERWER_IP:PORT
Wygenerowany plik ISO konfiguracji zawiera klucz główny do szyfrowania bazy danych PostgreSQL lub Microsoft SQL Server. Najnowszą kopię tego pliku należy zawsze wprowadzać zmiany w konfiguracji, takie jak:
- Poświadczenia bazy danych
- Aktualizacje certyfikatu
- Zmiany w zasadach autoryzacji
Jeśli planujesz szyfrować połączenia z bazami danych, skonfiguruj wdrożenie PostgreSQL lub SQL Server dla protokołu TLS.

1

W wierszu poleceń komputera wprowadź polecenie odpowiednie dla swojego środowiska:

W zwykłych środowiskach:

docker rmi ciscocitg/hds-konfiguracja:stabilna

W środowiskach FedRAMP:

docker rmi ciscocitg/hds-setup-fedramp:stable

Ten krok czyści poprzednie obrazy narzędzia konfiguracji HDS. Jeśli nie ma poprzednich obrazów, zwraca błąd, który można zignorować.

2

Aby zalogować się do rejestru obrazów platformy Docker, wprowadź następujące informacje:

docker login -u hdscustomersro

3

Po wyświetleniu monitu o hasło wprowadź ten skrót:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

4

Pobierz najnowszy stabilny obraz dla swojego środowiska:

W zwykłych środowiskach:

docker ciągnąć ciscocitg / hds-setup:stable

W środowiskach FedRAMP:

docker ciągnąć ciscocitg/hds-setup-fedramp:stable

5

Po zakończeniu ściągania wprowadź odpowiednie polecenie dla swojego środowiska:

W zwykłych środowiskach bez proxy:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

W zwykłych środowiskach z proxy HTTP:

docker run -p 8080:8080 --rm -it -e GLOBALNY_AGENT_HTTP_PROXY=http://SERWER_IP:PORT ciscocitg/hds-setup:stable

W zwykłych środowiskach z serwerem proxy HTTPS:

docker run -p 8080:8080 --rm -it -e GLOBALNY_AGENT_HTTPS_PROXY=http://SERWER_IP:PORT ciscocitg/hds-setup:stable

W środowiskach FedRAMP bez proxy:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

W środowiskach FedRAMP z proxy HTTP:

docker run -p 8080:8080 --rm -it -e GLOBALNY_AGENT_HTTP_PROXY=http://SERWER_IP:PORT ciscocitg/hds-setup-fedramp:stable

W środowiskach FedRAMP z proxy HTTPS:

docker run -p 8080:8080 --rm -it -e GLOBALNY_AGENT_HTTPS_PROXY=http://SERWER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Gdy kontener jest uruchomiony, zobaczysz komunikat „Serwer ekspresowy nasłuchuje na porcie 8080”.

6

Narzędzie konfiguracyjne nie obsługuje łączenia się z hostem localhost za pośrednictwem serwera http://localhost:8080. Użyj, http://127.0.0.1:8080 aby połączyć się z localhost.

Użyj przeglądarki internetowej, aby przejść do hosta lokalnego http://127.0.0.1:8080i po wyświetleniu monitu wprowadź nazwę użytkownika administratora dla Partner Hub.

Narzędzie używa tego pierwszego wpisu nazwy użytkownika w celu ustawienia środowiska dla tego konta. Następnie narzędzie wyświetla standardowy monit o zalogowanie.

7

Po wyświetleniu monitu wprowadź poświadczenia logowania administratora Partner Hub, a następnie kliknij przycisk Zaloguj , aby zezwolić na dostęp do wymaganych usług hybrydowego zabezpieczenia danych.

8

Na stronie Przegląd narzędzia konfiguracji kliknij przycisk Rozpocznij.

9

Na stronie Import ISO dostępne są następujące opcje:

Nie — jeśli tworzysz pierwszy węzeł HDS, nie masz pliku ISO do przesłania.
Tak — jeśli węzły HDS zostały już utworzone, należy wybrać plik ISO w oknie przeglądarki i przesłać go.

10

Sprawdź, czy certyfikat X.509 spełnia wymagania określone w wymaganiach certyfikatu X.509.

Jeśli nigdy wcześniej nie przesłano certyfikatu, prześlij certyfikat X.509, wprowadź hasło i kliknij przycisk Kontynuuj.
Jeśli certyfikat jest OK, kliknij przycisk Kontynuuj.
Jeśli certyfikat wygasł lub chcesz go zastąpić, wybierz opcję Nie , aby kontynuować używanie łańcucha certyfikatów HDS i klucza prywatnego z poprzedniego certyfikatu ISO?. Prześlij nowy certyfikat X.509, wprowadź hasło i kliknij przycisk Kontynuuj.

11

Wprowadź adres bazy danych i konto usługi HDS, aby uzyskać dostęp do magazynu danych klucza:

Wybierz opcję Typ bazy danych (PostgreSQL lub Microsoft SQL Server).

Po wybraniu opcji Microsoft SQL Server zostanie wyświetlone pole Typ uwierzytelniania.
(Tylko Microsoft SQL Server ) Wybierz typ uwierzytelniania:
- Uwierzytelnianie podstawowe: W polu Nazwa użytkownika należy podać lokalną nazwę konta serwera SQL.
- Uwierzytelnianie w systemie Windows: Wymagane jest konto dla systemu Windows w formacie użytkownik@DOMENA w Nazwa użytkownika pole.
Wprowadź adres serwera bazy danych w formacie : lub :.

Przykład:
dbhost.example.org:1433 lub 198.51.100.17:1433

Do uwierzytelniania podstawowego można użyć adresu IP, jeśli węzły nie mogą używać systemu DNS do rozpoznania nazwy hosta.

Jeśli używasz uwierzytelniania w systemie Windows, musisz wprowadzić w pełni kwalifikowaną nazwę domeny w formacie dbhost.example.org:1433
Wprowadź nazwę bazy danych.
Wprowadź nazwę użytkownika i hasło użytkownika ze wszystkimi uprawnieniami w bazie danych do przechowywania kluczy.

12

Wybierz tryb połączenia bazy danych TLS:

Tryb	Opis
Preferuj protokół TLS (opcja domyślna)	Węzły HDS nie wymagają protokołu TLS do łączenia się z serwerem bazy danych. Po włączeniu protokołu TLS na serwerze bazy danych węzły spróbują nawiązać szyfrowane połączenie.
Wymagaj tlS	Węzły HDS łączą się tylko wtedy, gdy serwer bazy danych może negocjować protokół TLS.
Wymagaj protokołu TLS i weryfikuj sygnatariusza certyfikatu	Ten tryb nie ma zastosowania do baz danych SQL Server. Węzły HDS łączą się tylko wtedy, gdy serwer bazy danych może negocjować protokół TLS. Po nawiązaniu połączenia TLS węzeł porównuje podpisującego certyfikat z serwera bazy danych z urzędem certyfikacji w certyfikacie głównym bazy danych. Jeśli nie są zgodne, węzeł przerywa połączenie. Użyj kontrolki certyfikatu głównego bazy danych poniżej listy rozwijanej, aby przekazać certyfikat główny dla tej opcji.
Wymagaj protokołu TLS i weryfikuj sygnatariusza certyfikatu oraz nazwę hosta	Węzły HDS łączą się tylko wtedy, gdy serwer bazy danych może negocjować protokół TLS. Po nawiązaniu połączenia TLS węzeł porównuje podpisującego certyfikat z serwera bazy danych z urzędem certyfikacji w certyfikacie głównym bazy danych. Jeśli nie są zgodne, węzeł przerywa połączenie. Węzły sprawdzają również, czy nazwa hosta w certyfikacie serwera jest zgodna z nazwą hosta w polu Host i port bazy danych . Nazwy muszą być dokładnie zgodne, w przeciwnym razie węzeł przerywa połączenie. Użyj kontrolki certyfikatu głównego bazy danych poniżej listy rozwijanej, aby przekazać certyfikat główny dla tej opcji.

Po przesłaniu certyfikatu głównego (jeśli jest to konieczne) i kliknięciu przycisku Kontynuuj, narzędzie konfiguracyjne HDS testuje połączenie TLS z serwerem bazy danych. Narzędzie weryfikuje również sygnatariusza certyfikatu i nazwę hosta, jeśli ma to zastosowanie. Jeśli test zakończy się niepowodzeniem, narzędzie wyświetli komunikat o błędzie opisujący problem. Możesz wybrać, czy zignorować błąd i kontynuować konfigurację. (Z powodu różnic w łączności węzły HDS mogą być w stanie ustanowić połączenie TLS, nawet jeśli maszyna narzędziowa do konfiguracji HDS nie może go pomyślnie przetestować).

13

Na stronie Dzienniki systemowe skonfiguruj serwer Syslogd:

Wprowadź adres URL serwera dziennika systemu.

Jeśli serwer nie jest możliwe do rozpoznania DNS z węzłów klastra HDS, użyj adresu IP w adresie URL.

Przykład:
udp://10.92.43.23:514 wskazuje na rejestrowanie do hosta Syslogd 10.92.43.23 na porcie UDP 514.
Jeśli skonfigurowano serwer do korzystania z szyfrowania TLS, zaznacz opcję Czy serwer dziennika systemu jest skonfigurowany do szyfrowania SSL?.

Po zaznaczeniu tego pola wyboru należy wprowadzić adres URL TCP, taki jak tcp://10.92.43.23:514.
Z listy rozwijanej Wybierz zakończenie zapisu dziennika systemowego wybierz odpowiednie ustawienie dla pliku ISO: Wybierz lub nowy wiersz jest używany dla graylogów i rsyslog TCP
- Bajt NULL -- \x00
- Nowy wiersz -- \n — wybierz tę opcję dla graylogów i rsyslog TCP.
Kliknij przycisk Kontynuuj.

14

(Opcjonalnie) Wartość domyślną niektórych parametrów połączenia z bazą danych można zmienić w sekcji Ustawienia zaawansowane. Ogólnie rzecz biorąc, ten parametr jest jedynym parametrem, który można zmienić:

app_datasource_connection_pool_maxRozmiar: 10

15

Kliknij przycisk Kontynuuj na ekranie Resetuj hasło do kont usług .

Okres ważności haseł do konta usługi wynosi dziewięć miesięcy. Użyj tego ekranu, gdy zbliża się wygaśnięcie haseł lub chcesz je zresetować, aby unieważnić poprzednie pliki ISO.

16

Kliknij opcję Pobierz plik ISO. Zapisz plik w miejscu, które jest łatwe do znalezienia.

17

Utwórz kopię zapasową pliku ISO w lokalnym systemie.

Zachowaj bezpieczeństwo kopii zapasowej. Ten plik zawiera główny klucz szyfrowania zawartości bazy danych. Ogranicz dostęp tylko do administratorów usługi hybrydowego zabezpieczenia danych, którzy powinni dokonać zmian w konfiguracji.

18

Aby zamknąć narzędzie konfiguracyjne, wpisz CTRL+C.

Co zrobić dalej

Utwórz kopię zapasową pliku konfiguracyjnego ISO. Potrzebujesz go, aby utworzyć więcej węzłów do odzyskania lub wprowadzić zmiany w konfiguracji. Jeśli stracisz wszystkie kopie pliku ISO, stracisz również klucz główny. Nie można odzyskać kluczy z bazy danych PostgreSQL i Microsoft SQL Server.

Nigdy nie mamy kopii tego klucza i nie możemy pomóc, jeśli go stracisz.

Zainstaluj OVA hosta HDS

Ta procedura służy do utworzenia maszyny wirtualnej z pliku OVA.

1	Użyj klienta VMware vSphere na komputerze, aby zalogować się do wirtualnego hosta ESXi.
2	Wybierz pozycję Plik > Wdróż szablon OVF.
3	W kreatorze określ lokalizację pobranego wcześniej pliku OVA, a następnie kliknij przycisk Dalej.
4	Na stronie Wybierz nazwę i folder wprowadź nazwę maszyny wirtualnej węzła (na przykład „HDS_Node_1”), wybierz lokalizację, w której może znajdować się wdrożenie węzła maszyny wirtualnej, a następnie kliknij przycisk Dalej.
5	Na stronie Wybierz zasób obliczeniowy wybierz docelowy zasób obliczeniowy, a następnie kliknij przycisk Dalej. Uruchamiane jest sprawdzenie poprawności. Po zakończeniu pojawią się szczegóły szablonu.
6	Sprawdź szczegóły szablonu, a następnie kliknij przycisk Dalej.
7	Jeśli zostaniesz poproszony o wybranie konfiguracji zasobu na stronie Konfiguracja , kliknij przycisk 4 procesora , a następnie kliknij przycisk Dalej.
8	Na stronie Wybierz miejsce do przechowywania kliknij przycisk Dalej , aby zaakceptować domyślny format dysku i zasady przechowywania VM.
9	Na stronie Wybierz sieci wybierz opcję sieci z listy pozycji, aby zapewnić żądane łączność z maszyną wirtualną.
10	Na stronie Dostosuj szablon skonfiguruj następujące ustawienia sieciowe: Nazwa hosta — wprowadź nazwę FQDN (nazwę hosta i domenę) lub nazwę hosta pojedynczego słowa dla węzła. Nie trzeba ustawiać domeny tak, aby była zgodna z domeną użytą do uzyskania certyfikatu X.509. Aby zapewnić pomyślną rejestrację w chmurze, należy używać tylko małych znaków w nazwie FQDN lub nazwie hosta ustawionej dla węzła. Kapitalizacja nie jest obecnie obsługiwana. Łączna długość nazwy FQDN nie może przekraczać 64 znaków. Adres IP — wprowadź adres IP interfejsu wewnętrznego węzła. Węzeł powinien mieć wewnętrzny adres IP i nazwę DNS. Protokół DHCP nie jest obsługiwany. Maska — wprowadź adres maski podsieci w notacji kropek. Przykład: 255.255.255.0. Brama — wprowadź adres IP bramy. Brama to węzeł sieciowy, który służy jako punkt dostępu do innej sieci. Serwery DNS — wprowadź listę serwerów DNS, które obsługują przekładanie nazw domen na liczbowe adresy IP. (Dozwolonych jest maksymalnie 4 pozycje DNS). Serwery NTP — wprowadź serwer NTP organizacji lub inny zewnętrzny serwer NTP, który może być używany w organizacji. Domyślne serwery NTP mogą nie działać w przypadku wszystkich przedsiębiorstw. Aby wprowadzić wiele serwerów NTP, można także użyć listy rozdzielonej przecinkami. Wdróż wszystkie węzły w tej samej podsieci lub sieci VLAN, aby wszystkie węzły w klastrze były dostępne od klientów w sieci do celów administracyjnych. Jeśli chcesz, możesz pominąć konfigurację ustawień sieciowych i wykonać czynności opisane w artykule Skonfiguruj maszynę wirtualną usługi hybrydowego zabezpieczenia danych , aby skonfigurować ustawienia z konsoli węzła. Opcja konfigurowania ustawień sieciowych podczas wdrażania OVA została przetestowana z ESXi 7.0. Opcja może być niedostępna we wcześniejszych wersjach.
11	Kliknij prawym przyciskiem myszy VM węzła, a następnie wybierz kolejno opcje Zasilanie > Zasilanie. Oprogramowanie hybrydowego zabezpieczenia danych jest instalowane jako gość na hoście maszyn wirtualnych. Możesz się teraz zalogować do konsoli i skonfigurować węzeł. Wskazówki dotyczące rozwiązywania problemów Może wystąpić opóźnienie o kilka minut przed pojawieniem się kontenerów węzłów. Podczas pierwszego rozruchu na konsoli pojawia się komunikat zapory mostkowej, podczas której nie można się zalogować.

Skonfiguruj VM usługi hybrydowego zabezpieczenia danych

Ta procedura umożliwia zalogowanie się po raz pierwszy w konsoli VM węzła usługi hybrydowego zabezpieczenia danych i ustawienie poświadczeń logowania. Za pomocą konsoli można również skonfigurować ustawienia sieciowe węzła, jeśli nie zostały one skonfigurowane w momencie wdrażania OVA.

1	W kliencie VMware vSphere wybierz swoją maszynę wirtualną węzła usługi hybrydowego zabezpieczenia danych i wybierz kartę Konsola . Zostanie uruchomiona maszyna wirtualna i pojawi się monit o zalogowanie. Jeśli monit o zalogowanie się nie został wyświetlony, naciśnij klawisz Enter.
2	Aby zalogować się i zmienić poświadczenia, należy użyć następującego domyślnego logowania i hasła: Logowanie: `administrator` Hasło: `cisco` Ponieważ logujesz się do maszyny wirtualnej po raz pierwszy, musisz zmienić hasło administratora.
3	Jeśli ustawienia sieciowe zostały już skonfigurowane w sekcji Zainstaluj OVA hosta HDS, pomiń pozostałą część tej procedury. W przeciwnym razie w menu głównym wybierz opcję Edytuj konfigurację .
4	Skonfiguruj statyczną konfigurację z informacjami o adresie IP, maskach, bramie i systemie DNS. Węzeł powinien mieć wewnętrzny adres IP i nazwę DNS. Protokół DHCP nie jest obsługiwany.
5	(Opcjonalnie) Zmień nazwę hosta, domenę lub serwery NTP, jeśli jest to konieczne, aby dostosować ją do zasad sieci. Nie trzeba ustawiać domeny tak, aby była zgodna z domeną użytą do uzyskania certyfikatu X.509.
6	Zapisz konfigurację sieci i uruchom ponownie maszynę wirtualną, aby zmiany zostały zastosowane.

Przesyłanie i montaż obrazu ISO w trybie HDS

Ta procedura służy do konfigurowania maszyny wirtualnej na podstawie pliku ISO utworzonego przy użyciu narzędzia konfiguracji HDS.

Przed rozpoczęciem

Ponieważ plik ISO zawiera klucz główny, powinien być on wyświetlany tylko na zasadzie „need to know”, aby uzyskać dostęp przez maszyny wirtualne usługi hybrydowego zabezpieczenia danych i wszystkich administratorów, którzy mogą potrzebować wprowadzenia zmian. Upewnij się, że tylko ci administratorzy mają dostęp do magazynu danych.

1

Prześlij plik ISO z komputera:

W lewym okienku nawigacyjnym klienta VMware vSphere kliknij serwer ESXi.
Na liście Sprzęt na karcie Konfiguracja kliknij pozycję Miejsce do przechowywania.
Na liście Magazyny danych kliknij prawym przyciskiem myszy magazyn danych dla swoich maszyn wirtualnych i kliknij opcję Przeglądaj magazyn danych.
Kliknij ikonę Prześlij pliki, a następnie kliknij pozycję Prześlij plik.
Przejdź do lokalizacji, w której pobrano plik ISO na swój komputer i kliknij opcję Otwórz.
Kliknij przycisk Tak , aby zaakceptować ostrzeżenie dotyczące operacji przesyłania/pobierania i zamknąć okno dialogowe magazynu danych.

2

Montaż pliku ISO:

W lewym okienku nawigacji klienta VMware vSphere kliknij prawym przyciskiem myszy maszynę wirtualną i kliknij opcję Edytuj ustawienia.
Kliknij OK , aby zaakceptować ostrzeżenie dotyczące opcji edycji ograniczonej.
Kliknij Dysk CD/DVD 1, wybierz opcję montażu z pliku ISO magazynu danych i przejdź do lokalizacji, w której przesłano plik ISO konfiguracji.
Sprawdź Połączono i Połącz przy włączonym zasilaniu.
Zapisz zmiany i ponownie uruchom maszynę wirtualną.

Co zrobić dalej

Jeśli wymagają tego zasady IT, możesz opcjonalnie odinstalować plik ISO, gdy wszystkie węzły przejdą zmiany konfiguracji. Szczegółowe informacje zawiera temat (Opcjonalnie) Odmontowywanie certyfikatu ISO po konfiguracji HDS .

Konfigurowanie węzła HDS do integracji z serwerem proxy

Jeśli środowisko sieciowe wymaga serwera proxy, użyj tej procedury, aby określić typ serwera proxy, który chcesz zintegrować z hybrid Data Security. Jeśli wybierzesz przezroczysty serwer proxy inspekcji lub jawny serwer proxy HTTPS, możesz użyć interfejsu węzła do przekazania i zainstalowania certyfikatu głównego. Możesz także sprawdzić połączenie proxy z poziomu interfejsu i rozwiązać wszelkie potencjalne problemy.

Przed rozpoczęciem

Zobacz Obsługa serwera proxy, aby zapoznać się z omówieniem obsługiwanych opcji serwera proxy.
Wymagania dotyczące serwera proxy

1	Wprowadź adres URL konfiguracji węzła HDS `https://[HDS Node IP or FQDN]/setup` w przeglądarce sieci Web, wprowadź poświadczenia administratora skonfigurowane dla węzła, a następnie kliknij przycisk Zaloguj.
2	Przejdź do pozycji Sklep zaufania i serwer proxy, a następnie wybierz opcję: Brak serwera proxy — opcja domyślna przed zintegrowaniem serwera proxy. Aktualizacja certyfikatu nie jest wymagana. Przezroczysty, nieweryfikujący serwer proxy — węzły nie są skonfigurowane do używania konkretnego adresu serwera proxy i nie powinny wymagać żadnych zmian, aby pracować z nieweryfikowanym serwerem proxy. Aktualizacja certyfikatu nie jest wymagana. Przezroczysty serwer proxy sprawdzający — węzły nie są skonfigurowane do używania konkretnego adresu serwera proxy. We wdrożeniu Hybrid Data Security nie są konieczne żadne zmiany konfiguracji protokołu HTTPS, jednak węzły HDS potrzebują certyfikatu głównego, aby ufać serwerowi proxy. Inspekcja serwerów proxy jest zwykle używana przez IT do egzekwowania zasad, na których można odwiedzać witryny internetowe, a które nie są dozwolone. Ten typ serwera proxy odszyfrowuje cały ruch (nawet HTTPS). Jawny serwer proxy — przy użyciu jawnego serwera proxy można wskazać klientowi (węzły HDS), którego serwera proxy ma być używany, a ta opcja obsługuje kilka typów uwierzytelniania. Po wybraniu tej opcji należy wprowadzić następujące informacje: Adres IP/FQDN serwera proxy — adres, za pomocą którego można uzyskać dostęp do maszyny proxy. Port serwera proxy — numer portu, którego serwer proxy używa do nasłuchiwania ruchu proxy. Protokół proxy Protocol — wybierz opcję http (wyświetla i steruje wszystkimi żądaniami otrzymywanymi od klienta) lub https (udostępnia kanał do serwera, a klient odbiera i sprawdza certyfikat serwera). Wybierz opcję na podstawie tego, co obsługuje Twój serwer proxy. Typ uwierzytelniania — wybierz jeden z następujących typów uwierzytelniania: Brak — dalsze uwierzytelnianie nie jest wymagane. Dostępne dla serwerów proxy HTTP lub HTTPS. Podstawowe — używane w przypadku agenta użytkownika HTTP w celu podania nazwy użytkownika i hasła podczas wykonywania żądania. Używa kodowania Base64. Dostępne dla serwerów proxy HTTP lub HTTPS. W przypadku wybrania tej opcji należy również wprowadzić nazwę użytkownika i hasło. Szyfrowanie — służy do potwierdzania konta przed wysłaniem poufnych informacji. Stosuje funkcję skrótu do nazwy użytkownika i hasła przed wysłaniem przez sieć. Dostępne tylko dla serwerów proxy HTTPS. W przypadku wybrania tej opcji należy również wprowadzić nazwę użytkownika i hasło. Wykonaj kolejne kroki, aby uzyskać przezroczysty serwer proxy inspekcji, jawny serwer proxy HTTP z uwierzytelnianiem podstawowym lub jawny serwer proxy HTTPS.
3	Kliknij przycisk Przekaż certyfikat główny lub Certyfikat jednostkikońcowej , a następnie przejdź do wybierz certyfikat główny dla serwera proxy. Certyfikat został przekazany, ale nie został jeszcze zainstalowany, ponieważ należy ponownie uruchomić węzeł, aby zainstalować certyfikat. Kliknij strzałkę cudzysłów ostrokątnych przy nazwie wystawcy certyfikatu, aby uzyskać więcej szczegółów, lub kliknij przycisk Usuń, jeśli popełnisz błąd i chcesz ponownie przesłać plik.
4	Kliknij przycisk Sprawdź połączenie z serwerem proxy, aby przetestować łączność sieciową między węzłem a serwerem proxy. Jeśli test połączenia zakończy się niepowodzeniem, zostanie wyświetlony komunikat o błędzie z przyczyną i sposobem rozwiązania problemu. Jeśli zostanie wyświetlony komunikat informujący, że zewnętrzne rozpoznawanie nazw DNS nie powiodło się, oznacza to, że węzeł nie może połączyć się z serwerem DNS. Ten warunek jest oczekiwany w wielu jawnych konfiguracjach proxy. Możesz kontynuować konfigurację, a węzeł będzie działać w trybie zablokowanej zewnętrznej rozdzielczości DNS. Jeśli uważasz, że jest to błąd, wykonaj te czynności, a następnie zobacz Wyłącz zablokowany zewnętrzny tryb rozdzielczości DNS.
5	Po przejściu testu połączenia, dla jawnego serwera proxy ustawionego tylko na https, włącz przełącznik na Kieruj wszystkie żądania https portu 443/444 z tego węzła za pośrednictwem jawnego serwera proxy. To ustawienie wymaga 15 sekund, aby zostało wprowadzone.
6	Kliknij opcję Zainstaluj wszystkie certyfikaty w magazynie zaufania (pojawia się w przypadku jawnego serwera proxy HTTPS lub przezroczystego serwera proxy inspekcji) lub Uruchom ponownie (pojawia się w przypadku jawnego serwera proxy HTTP), przeczytaj monit, a następnie kliknij przycisk Zainstaluj, jeśli wszystko jest gotowe. Węzeł uruchomi się ponownie w ciągu kilku minut.
7	Po ponownym uruchomieniu węzła zaloguj się ponownie, jeśli to konieczne, a następnie otwórz stronę Przegląd, aby sprawdzić kontrole łączności, aby upewnić się, że wszystkie są w stanie zielonym. Sprawdzanie połączenia proxy testuje tylko subdomenę webex.com. Jeśli występują problemy z łącznością, typowym problemem jest to, że niektóre domeny chmury wymienione w instrukcjach instalacji są blokowane na serwerze proxy.

Zarejestruj pierwszy węzeł w klastrze

To zadanie pobiera ogólny węzeł utworzony w oknie Skonfiguruj VM usługi hybrydowego zabezpieczenia danych, rejestruje węzeł w chmurze Webex i przekształca go w węzeł usługi hybrydowego zabezpieczenia danych.

Po zarejestrowaniu pierwszego węzła tworzony jest klaster, do którego przypisany jest węzeł. Klaster zawiera co najmniej jeden węzeł wdrożony w celu zapewnienia redundancji.

Przed rozpoczęciem

Po rozpoczęciu rejestracji węzła należy ją wykonać w ciągu 60 minut lub rozpocząć od nowa.
Upewnij się, że wszystkie blokery wyskakujące w przeglądarce są wyłączone lub zezwalasz na wyjątek dla witryny admin.webex.com.

1	Zaloguj się w https://admin.webex.com.
2	Z menu po lewej stronie ekranu wybierz pozycję Usługi.
3	W sekcji Usługi chmury znajdź kartę usługi hybrydowego zabezpieczenia danych i kliknij przycisk Konfiguruj.
4	Na otwieranej stronie kliknij pozycję Dodaj zasób.
5	W pierwszym polu karty Dodaj węzeł wprowadź nazwę klastra, do którego chcesz przypisać węzeł usługi hybrydowego zabezpieczenia danych. Zalecamy nadanie nazwy klastra na podstawie tego, gdzie znajdują się węzły klastra. Przykłady: „San Francisco”, „Nowy Jork” lub „Dallas”
6	W drugim polu wprowadź wewnętrzny adres IP lub w pełni kwalifikowaną nazwę domeny (FQDN) węzła i kliknij opcję Dodaj u dołu ekranu. Ten adres IP lub w pełni kwalifikowana nazwa domeny (FQDN) powinny być zgodne z adresem IP lub nazwą hosta i domeną użytymi w części Konfigurowanie maszyny wirtualnej usługi hybrydowego zabezpieczenia danych. Zostanie wyświetlony komunikat informujący, że możesz zarejestrować węzeł w usłudze Webex.
7	Kliknij opcję Przejdź do węzła. Po kilku chwilach nastąpi przekierowanie do testów łączności z węzłem dla usług Webex. Jeśli wszystkie testy zakończą się pomyślnie, zostanie wyświetlona strona Zezwól na dostęp do węzła usługi hybrydowego zabezpieczenia danych. Tam potwierdzasz, że chcesz przyznać swojej organizacji Webex uprawnienia do dostępu do węzła.
8	Zaznacz pole wyboru Zezwól na dostęp do węzła usługi hybrydowego zabezpieczenia danych , a następnie kliknij przycisk Kontynuuj. Konto zostało zweryfikowane, a komunikat „Rejestracja zakończona” wskazuje, że węzeł jest teraz zarejestrowany w chmurze Webex.
9	Kliknij łącze lub zamknij kartę, aby wrócić do strony hybrydowego zabezpieczenia danych w Partner Hub. Na stronie Hybrydowe zabezpieczenia danych na karcie Zasoby jest wyświetlany nowy klaster zawierający zarejestrowany węzeł. Węzeł automatycznie pobierze najnowsze oprogramowanie z chmury.

Utwórz i zarejestruj więcej węzłów

Aby dodać dodatkowe węzły do klastra, po prostu utwórz dodatkowe maszyny wirtualne i zamontuj ten sam plik ISO konfiguracji, a następnie zarejestruj węzeł. Zalecamy posiadanie co najmniej 3 węzłów.

Przed rozpoczęciem

Po rozpoczęciu rejestracji węzła należy ją wykonać w ciągu 60 minut lub rozpocząć od nowa.
Upewnij się, że wszystkie blokery wyskakujące w przeglądarce są wyłączone lub zezwalasz na wyjątek dla witryny admin.webex.com.

1	Utwórz nową maszynę wirtualną z OVA, powtarzając kroki w Zainstaluj OVA hosta HDS.
2	Skonfiguruj początkową konfigurację na nowej maszynie wirtualnej, powtarzając kroki w artykule Konfigurowanie maszyny wirtualnej usługi hybrydowego zabezpieczenia danych.
3	Na nowej maszynie wirtualnej powtórz czynności opisane w artykule Prześlij i zamontuj certyfikat ISO konfiguracji HDS.
4	Jeśli konfigurujesz serwer proxy dla swojego wdrożenia, powtórz kroki w artykule Konfigurowanie węzła HDS dla integracji serwera proxy w zależności od potrzeb dla nowego węzła.
5	Zarejestruj węzeł. W aplikacji https://admin.webex.com wybierz pozycję Usługi z menu po lewej stronie ekranu. W sekcji Usługi chmury znajdź kartę usługi hybrydowego zabezpieczenia danych i kliknij opcję Wyświetl wszystko. Zastanie wyświetlona strona zasobów hybrydowego zabezpieczenia danych. Nowo utworzony klaster pojawi się na stronie Zasoby . Kliknij klaster, aby wyświetlić węzły przypisane do klastra. Kliknij Dodaj węzeł po prawej stronie ekranu. Wprowadź wewnętrzny adres IP lub w pełni kwalifikowaną nazwę domeny (FQDN) węzła i kliknij przycisk Dodaj. Zostanie otwarta strona z komunikatem informującym, że możesz zarejestrować węzeł w chmurze Webex. Po kilku chwilach nastąpi przekierowanie do testów łączności z węzłem dla usług Webex. Jeśli wszystkie testy zakończą się pomyślnie, zostanie wyświetlona strona Zezwól na dostęp do węzła usługi hybrydowego zabezpieczenia danych. Potwierdzasz tam, że chcesz przyznać swojej organizacji uprawnienia do dostępu do węzła. Zaznacz pole wyboru Zezwól na dostęp do węzła usługi hybrydowego zabezpieczenia danych , a następnie kliknij przycisk Kontynuuj. Konto zostało zweryfikowane, a komunikat „Rejestracja zakończona” wskazuje, że węzeł jest teraz zarejestrowany w chmurze Webex. Kliknij łącze lub zamknij kartę, aby wrócić do strony hybrydowego zabezpieczenia danych w Partner Hub. Komunikat wyskakujący o dodanym węźle pojawia się również w dolnej części ekranu w Partner Hub. Twój węzeł jest zarejestrowany.

Zarządzanie organizacjami dzierżaw w usłudze hybrydowego zabezpieczenia danych dla wielu dzierżaw

Aktywuj usługę HDS dla wielu dzierżaw w Partner Hub

To zadanie gwarantuje, że wszyscy użytkownicy w organizacjach klientów mogą zacząć korzystać z usług HDS dla lokalnych kluczy szyfrowania i innych usług zabezpieczeń.

Przed rozpoczęciem

Upewnij się, że konfiguracja klastra HDS dla wielu dzierżaw została zakończona z wymaganą liczbą węzłów.

1	Zaloguj się w https://admin.webex.com.
2	Z menu po lewej stronie ekranu wybierz pozycję Usługi.
3	W sekcji Usługi chmury znajdź usługę hybrydowego zabezpieczenia danych i kliknij opcję Edytuj ustawienia.
4	Kliknij opcję Aktywuj tryb HDS na karcie Stan trybu HDS .

Dodaj organizacje dzierżawców w Partner Hub

W tym zadaniu przypisujesz organizacje klientów do swojego klastra hybrydowego zabezpieczenia danych.

1	Zaloguj się w https://admin.webex.com.
2	Z menu po lewej stronie ekranu wybierz pozycję Usługi.
3	W sekcji Usługi chmury znajdź usługę hybrydowego zabezpieczenia danych i kliknij opcję Wyświetl wszystko.
4	Kliknij klaster, do którego chcesz przypisać klienta.
5	Przejdź do karty Przypisani klienci .
6	Kliknij opcję Dodaj klientów.
7	Wybierz z menu rozwijanego klienta, którego chcesz dodać.
8	Kliknij Dodaj, klient zostanie dodany do klastra.
9	Powtórz kroki od 6 do 8, aby dodać wielu klientów do klastra.
10	Po dodaniu klientów kliknij przycisk Gotowe w dolnej części ekranu.

Co zrobić dalej

Uruchom narzędzie do konfiguracji usługi HDS zgodnie z opisem w części Utwórz klucze główne klienta (CMK) za pomocą narzędzia do konfiguracji usługi HDS , aby dokończyć proces konfiguracji.

Tworzenie kluczy głównych klientów (CMK) za pomocą narzędzia konfiguracji HDS

Przed rozpoczęciem

Przypisz klientów do odpowiedniego klastra zgodnie z opisem w sekcji Dodaj organizacje dzierżawy w Partner Hub. Uruchom narzędzie Konfiguracja usług HDS, aby zakończyć proces konfiguracji nowo dodanych organizacji klientów.

Narzędzie HDS Setup działa jako kontener platformy Docker na komputerze lokalnym. Aby uzyskać do niego dostęp, uruchom Docker na tym komputerze. Proces konfiguracji wymaga poświadczeń konta w Partner Hub z pełnymi uprawnieniami administratora dla Twojej organizacji.

Jeśli narzędzie konfiguracji HDS działa za serwerem proxy w środowisku, podaj ustawienia serwera proxy (serwer, port, poświadczenia) przez zmienne środowiskowe Docker podczas podnoszenia kontenera Docker w kroku 5. Ta tabela zawiera kilka możliwych zmiennych środowiskowych:

Opis	Zmienna
Serwer proxy HTTP bez uwierzytelniania	`GLOBALNY_AGENT_HTTP_PROXY=http://SERWER_IP:PORT`
Serwer proxy HTTPS bez uwierzytelniania	`GLOBALNY_AGENT_HTTPS_PROXY=http://SERWER_IP:PORT`
Serwer proxy HTTP z uwierzytelnianiem	`GLOBALNY_AGENT_HTTP_PROXY=http://NAZWA_UŻYTKOWNIKA:HASŁO@SERWER_IP:PORT`
Serwer proxy HTTPS z uwierzytelnianiem	`GLOBALNY_AGENT_HTTPS_PROXY=http://NAZWA_UŻYTKOWNIKA:HASŁO@SERWER_IP:PORT`

Wygenerowany plik ISO konfiguracji zawiera klucz główny do szyfrowania bazy danych PostgreSQL lub Microsoft SQL Server. Najnowszą kopię tego pliku należy zawsze wprowadzać zmiany w konfiguracji, takie jak:
- Poświadczenia bazy danych
- Aktualizacje certyfikatu
- Zmiany w zasadach autoryzacji
Jeśli planujesz szyfrować połączenia z bazami danych, skonfiguruj wdrożenie PostgreSQL lub SQL Server dla protokołu TLS.

Proces konfiguracji usługi hybrydowego zabezpieczenia danych tworzy plik ISO. Następnie za pomocą interfejsu ISO można skonfigurować hosta usługi hybrydowego zabezpieczenia danych.

1	W wierszu poleceń komputera wprowadź polecenie odpowiednie dla swojego środowiska: W zwykłych środowiskach: `docker rmi ciscocitg/hds-konfiguracja:stabilna` W środowiskach FedRAMP: `docker rmi ciscocitg/hds-setup-fedramp:stable` Ten krok czyści poprzednie obrazy narzędzia konfiguracji HDS. Jeśli nie ma poprzednich obrazów, zwraca błąd, który można zignorować.
2	Aby zalogować się do rejestru obrazów platformy Docker, wprowadź następujące informacje: `docker login -u hdscustomersro`
3	Po wyświetleniu monitu o hasło wprowadź ten skrót: `dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo`
4	Pobierz najnowszy stabilny obraz dla swojego środowiska: W zwykłych środowiskach: `docker ciągnąć ciscocitg / hds-setup:stable` W środowiskach FedRAMP: `docker ciągnąć ciscocitg/hds-setup-fedramp:stable`
5	Po zakończeniu ściągania wprowadź odpowiednie polecenie dla swojego środowiska: W zwykłych środowiskach bez proxy: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable` W zwykłych środowiskach z proxy HTTP: `docker run -p 8080:8080 --rm -it -e GLOBALNY_AGENT_HTTP_PROXY=http://SERWER_IP:PORT ciscocitg/hds-setup:stable` W zwykłych środowiskach z serwerem proxy HTTPS: `docker run -p 8080:8080 --rm -it -e GLOBALNY_AGENT_HTTPS_PROXY=http://SERWER_IP:PORT ciscocitg/hds-setup:stable` W środowiskach FedRAMP bez proxy: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable` W środowiskach FedRAMP z proxy HTTP: `docker run -p 8080:8080 --rm -it -e GLOBALNY_AGENT_HTTP_PROXY=http://SERWER_IP:PORT ciscocitg/hds-setup-fedramp:stable` W środowiskach FedRAMP z proxy HTTPS: `docker run -p 8080:8080 --rm -it -e GLOBALNY_AGENT_HTTPS_PROXY=http://SERWER_IP:PORT ciscocitg/hds-setup-fedramp:stable` Gdy kontener jest uruchomiony, zobaczysz komunikat „Serwer ekspresowy nasłuchuje na porcie 8080”.
6	Narzędzie konfiguracyjne nie obsługuje łączenia się z hostem localhost za pośrednictwem serwera http://localhost:8080. Użyj, http://127.0.0.1:8080 aby połączyć się z localhost. Użyj przeglądarki internetowej, aby przejść do hosta lokalnego `http://127.0.0.1:8080`i po wyświetleniu monitu wprowadź nazwę użytkownika administratora dla Partner Hub. Narzędzie używa tego pierwszego wpisu nazwy użytkownika w celu ustawienia środowiska dla tego konta. Następnie narzędzie wyświetla standardowy monit o zalogowanie.
7	Po wyświetleniu monitu wprowadź poświadczenia logowania administratora Partner Hub, a następnie kliknij przycisk Zaloguj , aby zezwolić na dostęp do wymaganych usług hybrydowego zabezpieczenia danych.
8	Na stronie Przegląd narzędzia konfiguracji kliknij przycisk Rozpocznij.
9	Na stronie Import ISO kliknij przycisk Tak.
10	Wybierz plik ISO w przeglądarce i prześlij go. Aby wykonać zarządzanie CMK, zapewnij połączenie z bazą danych.
11	Przejdź do karty Zarządzanie CMK dzierżawy , na której znajdziesz następujące trzy sposoby zarządzania CMK dzierżawy. Utwórz CMK dla wszystkich organizacji lub Utwórz CMK — kliknij ten przycisk na banerze u góry ekranu, aby utworzyć CMK dla wszystkich nowo dodanych organizacji. Kliknij przycisk Zarządzaj CMK po prawej stronie ekranu i kliknij przycisk Utwórz CMK , aby utworzyć CMK dla wszystkich nowo dodanych organizacji. Kliknij … w pobliżu oczekującego na status określonej organizacji w tabeli zarządzania CMK i kliknij przycisk Utwórz CMK , aby utworzyć CMK dla tej organizacji.
12	Po pomyślnym utworzeniu CMK stan w tabeli zostanie zmieniony z oczekującego zarządzania CMK na zarządzane CMK.
13	Jeśli tworzenie CMK nie powiedzie się, zostanie wyświetlony błąd.

Usuń organizacje dzierżaw

Przed rozpoczęciem

Po usunięciu użytkownicy organizacji klientów nie będą mogli korzystać z usługi HDS dla potrzeb szyfrowania i utracą wszystkie istniejące obszary. Przed usunięciem organizacji klientów skontaktuj się z partnerem lub opiekunem klienta Cisco.

1	Zaloguj się w https://admin.webex.com.
2	Z menu po lewej stronie ekranu wybierz pozycję Usługi.
3	W sekcji Usługi chmury znajdź usługę hybrydowego zabezpieczenia danych i kliknij opcję Wyświetl wszystko.
4	Na karcie Zasoby kliknij klaster, z którego chcesz usunąć organizacje klientów.
5	Na stronie, która się otworzy, kliknij pozycję Przypisani klienci.
6	Z wyświetlonej listy organizacji klientów kliknij ... po prawej stronie organizacji klienta, którą chcesz usunąć, i kliknij pozycję Usuń z klastra.

Co zrobić dalej

Zakończ proces usuwania, odwołując kody CMK organizacji klientów zgodnie z opisem w części Unieważnij kody CMK dzierżaw usuniętych z HDS.

Unieważnij CMK dzierżaw usuniętych z HDS.

Przed rozpoczęciem

Usuń klientów z odpowiedniego klastra, jak opisano w części Usuń organizacje dzierżawy. Uruchom narzędzie Konfiguracja usług HDS, aby zakończyć proces usuwania organizacji klientów, które zostały usunięte.

Narzędzie HDS Setup działa jako kontener platformy Docker na komputerze lokalnym. Aby uzyskać do niego dostęp, uruchom Docker na tym komputerze. Proces konfiguracji wymaga poświadczeń konta w Partner Hub z pełnymi uprawnieniami administratora dla Twojej organizacji.

Jeśli narzędzie konfiguracji HDS działa za serwerem proxy w środowisku, podaj ustawienia serwera proxy (serwer, port, poświadczenia) przez zmienne środowiskowe Docker podczas podnoszenia kontenera Docker w kroku 5. Ta tabela zawiera kilka możliwych zmiennych środowiskowych:

Opis	Zmienna
Serwer proxy HTTP bez uwierzytelniania	`GLOBALNY_AGENT_HTTP_PROXY=http://SERWER_IP:PORT`
Serwer proxy HTTPS bez uwierzytelniania	`GLOBALNY_AGENT_HTTPS_PROXY=http://SERWER_IP:PORT`
Serwer proxy HTTP z uwierzytelnianiem	`GLOBALNY_AGENT_HTTP_PROXY=http://NAZWA_UŻYTKOWNIKA:HASŁO@SERWER_IP:PORT`
Serwer proxy HTTPS z uwierzytelnianiem	`GLOBALNY_AGENT_HTTPS_PROXY=http://NAZWA_UŻYTKOWNIKA:HASŁO@SERWER_IP:PORT`

Wygenerowany plik ISO konfiguracji zawiera klucz główny do szyfrowania bazy danych PostgreSQL lub Microsoft SQL Server. Najnowszą kopię tego pliku należy zawsze wprowadzać zmiany w konfiguracji, takie jak:
- Poświadczenia bazy danych
- Aktualizacje certyfikatu
- Zmiany w zasadach autoryzacji
Jeśli planujesz szyfrować połączenia z bazami danych, skonfiguruj wdrożenie PostgreSQL lub SQL Server dla protokołu TLS.

Proces konfiguracji usługi hybrydowego zabezpieczenia danych tworzy plik ISO. Następnie za pomocą interfejsu ISO można skonfigurować hosta usługi hybrydowego zabezpieczenia danych.

1	W wierszu poleceń komputera wprowadź polecenie odpowiednie dla swojego środowiska: W zwykłych środowiskach: `docker rmi ciscocitg/hds-konfiguracja:stabilna` W środowiskach FedRAMP: `docker rmi ciscocitg/hds-setup-fedramp:stable` Ten krok czyści poprzednie obrazy narzędzia konfiguracji HDS. Jeśli nie ma poprzednich obrazów, zwraca błąd, który można zignorować.
2	Aby zalogować się do rejestru obrazów platformy Docker, wprowadź następujące informacje: `docker login -u hdscustomersro`
3	Po wyświetleniu monitu o hasło wprowadź ten skrót: `dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo`
4	Pobierz najnowszy stabilny obraz dla swojego środowiska: W zwykłych środowiskach: `docker ciągnąć ciscocitg / hds-setup:stable` W środowiskach FedRAMP: `docker ciągnąć ciscocitg/hds-setup-fedramp:stable`
5	Po zakończeniu ściągania wprowadź odpowiednie polecenie dla swojego środowiska: W zwykłych środowiskach bez proxy: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable` W zwykłych środowiskach z proxy HTTP: `docker run -p 8080:8080 --rm -it -e GLOBALNY_AGENT_HTTP_PROXY=http://SERWER_IP:PORT ciscocitg/hds-setup:stable` W zwykłych środowiskach z serwerem proxy HTTPS: `docker run -p 8080:8080 --rm -it -e GLOBALNY_AGENT_HTTPS_PROXY=http://SERWER_IP:PORT ciscocitg/hds-setup:stable` W środowiskach FedRAMP bez proxy: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable` W środowiskach FedRAMP z proxy HTTP: `docker run -p 8080:8080 --rm -it -e GLOBALNY_AGENT_HTTP_PROXY=http://SERWER_IP:PORT ciscocitg/hds-setup-fedramp:stable` W środowiskach FedRAMP z proxy HTTPS: `docker run -p 8080:8080 --rm -it -e GLOBALNY_AGENT_HTTPS_PROXY=http://SERWER_IP:PORT ciscocitg/hds-setup-fedramp:stable` Gdy kontener jest uruchomiony, zobaczysz komunikat „Serwer ekspresowy nasłuchuje na porcie 8080”.
6	Narzędzie konfiguracyjne nie obsługuje łączenia się z hostem localhost za pośrednictwem serwera http://localhost:8080. Użyj, http://127.0.0.1:8080 aby połączyć się z localhost. Użyj przeglądarki internetowej, aby przejść do hosta lokalnego `http://127.0.0.1:8080`i po wyświetleniu monitu wprowadź nazwę użytkownika administratora dla Partner Hub. Narzędzie używa tego pierwszego wpisu nazwy użytkownika w celu ustawienia środowiska dla tego konta. Następnie narzędzie wyświetla standardowy monit o zalogowanie.
7	Po wyświetleniu monitu wprowadź poświadczenia logowania administratora Partner Hub, a następnie kliknij przycisk Zaloguj , aby zezwolić na dostęp do wymaganych usług hybrydowego zabezpieczenia danych.
8	Na stronie Przegląd narzędzia konfiguracji kliknij przycisk Rozpocznij.
9	Na stronie Import ISO kliknij przycisk Tak.
10	Wybierz plik ISO w przeglądarce i prześlij go.
11	Przejdź do karty Zarządzanie CMK dzierżawy , na której znajdziesz następujące trzy sposoby zarządzania CMK dzierżawy. Unieważnij CMK dla wszystkich organizacji lub Unieważnij CMK — kliknij ten przycisk na banerze u góry ekranu, aby unieważnić CMK wszystkich organizacji, które zostały usunięte. Kliknij przycisk Zarządzaj CMK po prawej stronie ekranu i kliknij przycisk Unieważnij CMK , aby unieważnić CMK wszystkich organizacji, które zostały usunięte. Kliknij w pobliżu stanu CMK, aby unieważnić konkretną organizację, a następnie kliknij przycisk Unieważnij CMK , aby unieważnić CMK dla danej organizacji.
12	Po pomyślnym odwołaniu CMK organizacja klienta nie będzie już widoczna w tabeli.
13	Jeśli unieważnienie CMK nie powiedzie się, zostanie wyświetlony błąd.

Przetestuj swoje wdrożenie usługi hybrydowego zabezpieczenia danych

Ta procedura służy do testowania scenariuszy szyfrowania usługi hybrydowego zabezpieczenia danych dla wielu dzierżaw.

Przed rozpoczęciem

Skonfiguruj wdrożenie usługi hybrydowego zabezpieczenia danych dla wielu dzierżawców.
Upewnij się, że masz dostęp do dziennika systemowego, aby sprawdzić, czy żądania kluczy są przekazywane do wdrożenia hybrydowego zabezpieczenia danych z wieloma dzierżawcami.

1

Twórca obszaru ustawia klawisze dla danego obszaru. Zaloguj się do aplikacji Webex jako jeden z użytkowników organizacji klienta, a następnie utwórz obszar.

Po dezaktywacji wdrożenia usługi hybrydowego zabezpieczenia danych treści w obszarach utworzonych przez użytkowników nie będą już dostępne po zastąpieniu kopii kluczy szyfrowania zapisanych w pamięci podręcznej klienta.

2

Wysyłaj wiadomości do nowego obszaru.

3

Sprawdź dane wyjściowe dziennika systemu, aby sprawdzić, czy żądania kluczy są przekazywane do wdrożenia usługi hybrydowego zabezpieczenia danych.

Aby sprawdzić, czy użytkownik najpierw ustanawia bezpieczny kanał do serwera KMS, odfiltruj w interfejsie kms.data.method=create i kms.data.type=EFEMERAL_KEY_COLLECTION:

Należy znaleźć wpis taki jak następujący (identyfikatory skrócone dla czytelności):

2020-07-21 17:35:34.562 (+0000) INFORMACJE KMS [pool-14-thread-1] — [KMS:REQUEST] odebrano, identyfikator urządzenia: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EFEMERAL_KEY_COLLECTION, kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

Aby sprawdzić, czy użytkownik żąda istniejącego klucza z serwera KMS, odfiltruj dane w interfejsie kms.data.method=retrieve i kms.data.type=KEY:

Znajdziesz tam następujące pozycje:

2020-07-21 17:44:19.889 (+0000) INFORMACJE KMS [pool-14-thread-31] — [KMS:REQUEST] odebrano, identyfikator urządzenia: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

Aby sprawdzić użytkownika z prośbą o utworzenie nowego klucza KMS, odfiltruj według ustawień kms.data.method=create i kms.data.type=KEY_COLLECTION:

Znajdziesz tam następujące pozycje:

2020-07-21 17:44:21.975 (+0000) INFORMACJE KMS [pool-14-thread-33] - [KMS:REQUEST] odebrano, identyfikator urządzenia: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

Aby sprawdzić, czy użytkownik z prośbą o utworzenie nowego obiektu zasobów KMS (KRO) podczas tworzenia obszaru lub innego chronionego zasobu, odfiltruj według ustawień kms.data.method=create i kms.data.type=RESOURCE_COLLECTION:

Znajdziesz tam następujące pozycje:

2020-07-21 17:44:22.808 (+0000) INFORMACJE KMS [pool-15-thread-1] — [KMS:REQUEST] odebrano, identyfikator urządzenia: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

Monitoruj stan hybrydowego zabezpieczenia danych

Wskaźnik stanu w Partner Hub pokazuje, czy wszystko działa dobrze z wdrożeniem hybrydowego zabezpieczenia danych dla wielu dzierżawców. Aby uzyskać bardziej aktywne alerty, zarejestruj się w celu otrzymywania powiadomień e-mail. Będziesz otrzymywać powiadomienia w przypadku alarmów dotyczących usługi lub uaktualnień oprogramowania.

1	W Partner Hub wybierz pozycję Usługi z menu po lewej stronie ekranu.
2	W sekcji Usługi chmury znajdź usługę hybrydowego zabezpieczenia danych i kliknij opcję Edytuj ustawienia. Zastanie wyświetlona strona ustawień usługi hybrydowego zabezpieczenia danych.
3	W sekcji Powiadomienia e-mail wpisz co najmniej jeden adres e-mail oddzielony przecinkami i naciśnij klawisz Enter.

Zarządzaj wdrożeniem urządzeń HDS

Zarządzaj wdrożeniem usług HDS

Do zarządzania wdrożeniem usługi hybrydowego zabezpieczenia danych służą opisane w tym miejscu zadania.

Ustaw harmonogram uaktualniania klastra

Aktualizacje oprogramowania usługi hybrydowego zabezpieczenia danych są wykonywane automatycznie na poziomie klastra, co zapewnia, że na wszystkich węzłach zawsze działa ta sama wersja oprogramowania. Uaktualnienia są wykonywane zgodnie z harmonogramem uaktualniania klastra. Po udostępnieniu uaktualnienia oprogramowania masz możliwość ręcznego uaktualnienia klastra przed zaplanowaną godziną uaktualnienia. Możesz ustawić określony harmonogram uaktualniania lub użyć domyślnego harmonogramu aktualizacji 3:00 czasu AM Daily, Stany Zjednoczone: Ameryka/Los Angeles. W razie potrzeby możesz także zdecydować się na odroczenie nadchodzącego uaktualnienia.

Aby ustawić harmonogram uaktualniania:

1	Zaloguj się do Centrum partnerów.
2	Z menu po lewej stronie ekranu wybierz pozycję Usługi.
3	W sekcji Usługi chmury znajdź usługę hybrydowego zabezpieczenia danych i kliknij opcję Skonfiguruj
4	Na stronie Zasoby hybrydowego zabezpieczenia danych wybierz klaster.
5	Kliknij kartę Ustawienia klastra .
6	Na stronie Ustawienia klastra w obszarze Harmonogram uaktualniania wybierz strefę czasową i strefę czasową harmonogramu uaktualniania. Uwaga: W strefie czasowej wyświetlana jest kolejna dostępna data i godzina uaktualnienia. W razie potrzeby można odroczyć uaktualnienie na następny dzień, klikając opcję Odłóż o 24 godziny.

Zmień konfigurację węzła

Czasami może być konieczna zmiana konfiguracji węzła Hybrid Data Security z takiego powodu, jak:

Zmiana certyfikatów x.509 z powodu wygaśnięcia lub z innych powodów.

Nie obsługujemy zmiany nazwy domeny CN certyfikatu. Domena musi być zgodna z oryginalną domeną użytą do rejestracji klastra.
Aktualizacja ustawień bazy danych w celu zmiany na replikę bazy danych PostgreSQL lub Microsoft SQL Server.

Nie obsługujemy migracji danych z PostgreSQL do Microsoft SQL Server lub odwrotnie. Aby przełączyć środowisko bazy danych, rozpocznij nowe wdrożenie Hybrid Data Security.
Tworzenie nowej konfiguracji w celu przygotowania nowego centrum danych.

Ponadto ze względów bezpieczeństwa usługa Hybrid Data Security używa haseł do kont usług, które mają dziewięciomiesięczny okres użytkowania. Gdy narzędzie HdS Setup wygeneruje te hasła, należy je wdrożyć w każdym z węzłów HDS w pliku konfiguracyjnym ISO. Gdy hasła Twojej organizacji zbliżają się do wygaśnięcia, otrzymasz powiadomienie od zespołu Webex o zresetowaniu hasła do konta komputera. (Wiadomość e-mail zawiera tekst „Użyj interfejsu API konta komputera, aby zaktualizować hasło”). Jeśli Twoje hasła jeszcze nie wygasły, narzędzie oferuje dwie opcje:

Resetowanie programowe — stare i nowe hasła działają przez maksymalnie 10 dni. Wykorzystaj ten okres, aby stopniowo zastępować plik ISO w węzłach.
Zresetuj całkowicie — stare hasła natychmiast przestaną działać.

Jeśli hasła wygasną bez resetowania, ma to wpływ na usługę HDS, wymagając natychmiastowego twardego resetu i wymiany pliku ISO na wszystkich węzłach.

Użyj tej procedury, aby wygenerować nowy konfiguracyjny plik ISO i zastosować go do klastra.

Przed rozpoczęciem

Narzędzie HDS Setup działa jako kontener platformy Docker na komputerze lokalnym. Aby uzyskać do niego dostęp, uruchom Docker na tym komputerze. Proces konfiguracji wymaga poświadczeń konta w Partner Hub z pełnymi uprawnieniami administratora partnera.

Jeśli narzędzie konfiguracji HDS działa za serwerem proxy w środowisku, podaj ustawienia serwera proxy (serwer, port, poświadczenia) przez zmienne środowiskowe Docker podczas wprowadzania kontenera Docker w 1.e. Ta tabela zawiera kilka możliwych zmiennych środowiskowych:

Opis	Zmienna
Serwer proxy HTTP bez uwierzytelniania	`GLOBALNY_AGENT_HTTP_PROXY=http://SERWER_IP:PORT`
Serwer proxy HTTPS bez uwierzytelniania	`GLOBALNY_AGENT_HTTPS_PROXY=http://SERWER_IP:PORT`
Serwer proxy HTTP z uwierzytelnianiem	`GLOBALNY_AGENT_HTTP_PROXY=http://NAZWA_UŻYTKOWNIKA:HASŁO@SERWER_IP:PORT`
Serwer proxy HTTPS z uwierzytelnianiem	`GLOBALNY_AGENT_HTTPS_PROXY=http://NAZWA_UŻYTKOWNIKA:HASŁO@SERWER_IP:PORT`

Do wygenerowania nowej konfiguracji potrzebna jest kopia bieżącego konfiguracyjnego pliku ISO. ISO zawiera klucz główny szyfrujący bazę danych PostgreSQL lub Microsoft SQL Server. Plik ISO jest potrzebny podczas wprowadzania zmian w konfiguracji, w tym poświadczeń bazy danych, aktualizacji certyfikatów lub zmian zasad autoryzacji.

1	Korzystając z platformy Docker na komputerze lokalnym, uruchom narzędzie HDS Setup Tool. W wierszu poleceń komputera wprowadź polecenie odpowiednie dla swojego środowiska: W zwykłych środowiskach: `docker rmi ciscocitg/hds-konfiguracja:stabilna` W środowiskach FedRAMP: `docker rmi ciscocitg/hds-setup-fedramp:stable` Ten krok czyści poprzednie obrazy narzędzia konfiguracji HDS. Jeśli nie ma poprzednich obrazów, zwraca błąd, który można zignorować. Aby zalogować się do rejestru obrazów platformy Docker, wprowadź następujące informacje: `docker login -u hdscustomersro` Po wyświetleniu monitu o hasło wprowadź ten skrót: `dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo` Pobierz najnowszy stabilny obraz dla swojego środowiska: W zwykłych środowiskach: `docker ciągnąć ciscocitg / hds-setup:stable` W środowiskach FedRAMP: `docker ciągnąć ciscocitg/hds-setup-fedramp:stable` Upewnij się, że pobierasz najnowsze narzędzie instalacyjne dla tej procedury. Wersje narzędzia utworzone przed 22 lutego 2018 r. nie mają ekranów resetowania hasła. Po zakończeniu ściągania wprowadź odpowiednie polecenie dla swojego środowiska: W zwykłych środowiskach bez proxy: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable` W zwykłych środowiskach z proxy HTTP: `docker run -p 8080:8080 --rm -it -e GLOBALNY_AGENT_HTTP_PROXY=http://SERWER_IP:PORT ciscocitg/hds-setup:stable` W zwykłych środowiskach z HTTPSproxy: `docker run -p 8080:8080 --rm -it -e GLOBALNY_AGENT_HTTPS_PROXY=http://SERWER_IP:PORT ciscocitg/hds-setup:stable` W środowiskach FedRAMP bez proxy: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable` W środowiskach FedRAMP z proxy HTTP: `docker run -p 8080:8080 --rm -it -e GLOBALNY_AGENT_HTTP_PROXY=http://SERWER_IP:PORT ciscocitg/hds-setup-fedramp:stable` W środowiskach FedRAMP z proxy HTTPS: `docker run -p 8080:8080 --rm -it -e GLOBALNY_AGENT_HTTPS_PROXY=http://SERWER_IP:PORT ciscocitg/hds-setup-fedramp:stable` Gdy kontener jest uruchomiony, widzisz "Serwer ekspresowy nasłuchujący na porcie 8080". Użyj przeglądarki, aby połączyć się z hostem lokalnym, `http://127.0.0.1:8080`. Narzędzie konfiguracyjne nie obsługuje łączenia się z hostem localhost za pośrednictwem serwera http://localhost:8080. Użyj, http://127.0.0.1:8080 aby połączyć się z localhost. Po wyświetleniu monitu wprowadź poświadczenia logowania klienta w Partner Hub, a następnie kliknij przycisk Akceptuj , aby kontynuować. Zaimportuj bieżący konfiguracyjny plik ISO. Postępuj zgodnie z instrukcjami, aby ukończyć narzędzie i pobrać zaktualizowany plik. Aby zamknąć narzędzie konfiguracyjne, wpisz `CTRL+C`. Utwórz kopię zapasową zaktualizowanego pliku w innym centrum danych.
2	Jeśli masz uruchomiony tylko jeden węzeł HDS, utwórz nowy węzeł usługi hybrydowego zabezpieczenia danych i zarejestruj go za pomocą nowego pliku ISO konfiguracji. Aby uzyskać bardziej szczegółowe instrukcje, zobacz Tworzenie i rejestrowanie większej liczby węzłów. Zainstaluj OVA hosta HDS. Skonfiguruj maszynę wirtualną HDS. Zamontuj zaktualizowany plik konfiguracyjny. Zarejestruj nowy węzeł w Partner Hub.
3	W przypadku istniejących węzłów HDS, na których działa starszy plik konfiguracyjny, podłącz plik ISO. Wykonaj następującą procedurę na każdym węźle po kolei, aktualizując każdy węzeł przed wyłączeniem następnego węzła: Wyłącz maszynę wirtualną. W lewym okienku nawigacji klienta VMware vSphere kliknij prawym przyciskiem myszy maszynę wirtualną i kliknij opcję Edytuj ustawienia. Kliknij `pozycję Napęd CD/DVD 1`, wybierz opcję instalacji z pliku ISO i przejdź do lokalizacji, do której pobrano nowy plik konfiguracyjny ISO. Zaznacz Połącz przy włączeniu. Zapisz zmiany i włącz maszynę wirtualną.
4	Powtórz krok 3, aby zastąpić konfigurację na każdym pozostałym węźle, na którym działa stara konfiguracja.

Wyłączanie trybu zablokowanego zewnętrznego rozpoznawania DNS

Podczas rejestrowania węzła lub sprawdzania konfiguracji serwera proxy węzła proces testuje wyszukiwanie DNS i łączność z chmurą Cisco Webex. Jeśli serwer DNS węzła nie może rozpoznać publicznych nazw DNS, węzeł automatycznie przechodzi w tryb zablokowanego zewnętrznego rozpoznawania DNS.

Jeśli węzły są w stanie rozpoznawać publiczne nazwy DNS za pośrednictwem wewnętrznych serwerów DNS, można wyłączyć ten tryb, ponownie uruchamiając test połączenia proxy w każdym węźle.

Przed rozpoczęciem

Upewnij się, że wewnętrzne serwery DNS mogą rozpoznawać publiczne nazwy DNS i że węzły mogą się z nimi komunikować.

1	W przeglądarce sieci Web otwórz interfejs węzła Hybrid Data Security (na przykład adres IP/konfiguracja https://192.0.2.0/setup), wprowadź poświadczenia administratora skonfigurowane dla węzła, a następnie kliknij przycisk Zaloguj.
2	Przejdź do Przegląd (strona domyślna). Gdy ta opcja jest włączona, opcja Zablokowane zewnętrzne rozpoznawanie DNS jest ustawiona na Tak.
3	Przejdź do strony Trust Store & Proxy.
4	Kliknij przycisk Sprawdź połączenie proxy. Jeśli zostanie wyświetlony komunikat informujący, że zewnętrzne rozpoznawanie nazw DNS nie powiodło się, oznacza to, że węzeł nie mógł połączyć się z serwerem DNS i pozostanie w tym trybie. W przeciwnym razie, po ponownym uruchomieniu węzła i powrocie do strony Przegląd, Zablokowane zewnętrzne rozpoznawanie DNS powinno być ustawione na nie.

Co dalej?

Powtórz test połączenia proxy dla każdego węzła w klastrze hybrid Data Security.

Usuń węzeł

Ta procedura umożliwia usunięcie węzła usługi hybrydowego zabezpieczenia danych z chmury Webex. Po usunięciu węzła z klastra usuń maszynę wirtualną, aby zapobiec dalszemu dostępowi do danych zabezpieczeń.

1

Użyj klienta VMware vSphere na komputerze, aby zalogować się do hosta wirtualnego ESXi i wyłączyć maszynę wirtualną.

2

Usuń węzeł:

Zaloguj się do Partner Hub, a następnie wybierz pozycję Usługi.
Na karcie usługi hybrydowego zabezpieczenia danych kliknij przycisk Wyświetl wszystko , aby wyświetlić stronę zasobów usługi hybrydowego zabezpieczenia danych.
Wybierz klaster, aby wyświetlić jego panel Przegląd.
Kliknij węzeł, który chcesz usunąć.
Kliknij Wyrejestruj ten węzeł na panelu wyświetlanym po prawej stronie
Możesz również wyrejestrować węzeł, klikając … po prawej stronie węzła i wybierając opcję Usuń ten węzeł.

3

W kliencie vSphere usuń maszynę wirtualną. (W lewym okienku nawigacyjnym kliknij prawym przyciskiem myszy maszynę wirtualną i kliknij opcję Usuń).

Jeśli nie usuniesz maszyny wirtualnej, pamiętaj, aby odmontować plik ISO konfiguracji. Bez pliku ISO nie możesz korzystać z maszyny wirtualnej w celu uzyskania dostępu do danych zabezpieczeń.

Przywracanie po awarii przy użyciu centrum danych w trybie gotowości

Najważniejszą usługą zapewnianą przez klaster usługi hybrydowego zabezpieczenia danych jest tworzenie i przechowywanie kluczy używanych do szyfrowania wiadomości i innych treści przechowywanych w chmurze Webex. Dla każdego użytkownika w organizacji, który jest przypisany do usługi hybrydowego zabezpieczenia danych, nowe żądania utworzenia kluczy są kierowane do klastra. Klaster jest również odpowiedzialny za zwracanie utworzonych przez siebie kluczy do wszystkich użytkowników uprawnionych do ich pobrania, na przykład członków obszaru konwersacji.

Ponieważ klaster pełni kluczową funkcję dostarczania tych kluczy, konieczne jest, aby klaster nadal działał i aby zachowano odpowiednie kopie zapasowe. Utrata bazy danych usługi hybrydowego zabezpieczenia danych lub konfiguracji ISO użytej do schematu spowoduje NIEODWRACALNĄ UTRATĘ zawartości klienta. Aby zapobiec takiej utracie, obowiązkowe są następujące praktyki:

Jeśli awaria spowoduje niedostępność wdrożenia usług HDS w podstawowym centrum danych, wykonaj tę procedurę, aby ręcznie przełączyć się w tryb awaryjny do centrum danych.

Przed rozpoczęciem

Wyrejestruj wszystkie węzły z Partner Hub, jak opisano w sekcji Usuń węzeł. Aby wykonać opisaną poniżej procedurę przełączenia awaryjnego, użyj najnowszego pliku ISO, który został skonfigurowany w węzłach klastra, który był wcześniej aktywny.

1	Uruchom narzędzie konfiguracji HDS i wykonaj czynności wymienione w części Utwórz konfigurację ISO dla hostów HDS.
2	Zakończ proces konfiguracji i zapisz plik ISO w łatwym do znalezienia miejscu.
3	Utwórz kopię zapasową pliku ISO w lokalnym systemie. Zachowaj bezpieczeństwo kopii zapasowej. Ten plik zawiera główny klucz szyfrowania zawartości bazy danych. Ogranicz dostęp tylko do administratorów usługi hybrydowego zabezpieczenia danych, którzy powinni dokonać zmian w konfiguracji.
4	W lewym okienku nawigacji klienta VMware vSphere kliknij prawym przyciskiem myszy maszynę wirtualną i kliknij opcję Edytuj ustawienia.
5	Kliknij Edytuj ustawienia >Dysk CD/DVD 1 i wybierz Plik ISO magazynu danych. Upewnij się, że opcje Połączono i Połącz po włączeniu zasilania są zaznaczone, aby zaktualizowane zmiany konfiguracji mogły zostać zastosowane po uruchomieniu węzłów.
6	Włącz węzeł HDS i upewnij się, że nie ma alarmów przez co najmniej 15 minut.
7	Zarejestruj węzeł w Partner Hub. Zobacz Zarejestruj pierwszy węzeł w klastrze.
8	Powtórz ten proces dla każdego węzła w centrum danych w trybie gotowości.

Co zrobić dalej

Po przełączeniu awaryjnym, jeśli główne centrum danych ponownie stanie się aktywne, wyrejestruj węzły centrum danych w trybie gotowości i powtórz proces konfiguracji ISO i rejestracji węzłów podstawowego centrum danych, jak wspomniano powyżej.

(Opcjonalnie) Odmontuj ISO po konfiguracji HDS

Standardowa konfiguracja trybu HDS jest uruchomiona z zamontowaną normą ISO. Jednak niektórzy klienci wolą nie pozostawiać plików ISO stale montowanych. Plik ISO można odmontować, gdy wszystkie węzły HDS odbiorą nową konfigurację.

Nadal używasz plików ISO do wprowadzania zmian w konfiguracji. Podczas tworzenia nowego certyfikatu ISO lub aktualizacji certyfikatu ISO za pomocą narzędzia konfiguracji należy zamontować zaktualizowany certyfikat ISO na wszystkich węzłach trybu HDS. Gdy wszystkie węzły odbiorą zmiany konfiguracji, można ponownie odmontować obraz ISO za pomocą tej procedury.

Przed rozpoczęciem

Uaktualnij wszystkie węzły HDS do wersji 2021.01.22.4720 lub nowszej.

1	Wyłącz jeden z węzłów trybu HDS.
2	W urządzeniu vCenter Server Device wybierz węzeł HDS.
3	Wybierz pozycję Edytuj ustawienia > napęd CD/DVD i usuń zaznaczenie pola wyboru Plik ISO magazynu danych.
4	Włącz węzeł HDS i upewnij się, że nie ma alarmów przez co najmniej 20 minut.
5	Powtórz kolejno dla każdego węzła HDS.

Rozwiązywanie problemów z usługą hybrydowego zabezpieczenia danych

Wyświetlanie alertów i rozwiązywanie problemów

Wdrożenie usługi hybrydowego zabezpieczenia danych jest uważane za niedostępne, jeśli wszystkie węzły w klastrze są niedostępne lub klaster działa tak wolno, że wymaga przekroczenia limitu czasu. Jeśli użytkownicy nie mogą połączyć się z klastrem usługi hybrydowego zabezpieczenia danych, wystąpią następujące objawy:

Nie można tworzyć nowych obszarów (nie można utworzyć nowych kluczy)
Nie można odszyfrować wiadomości i tytułów obszarów dla:
- Nowi użytkownicy dodani do obszaru (nie można pobrać kluczy)
- Istniejący użytkownicy w obszarze korzystający z nowego klienta (nie można pobrać kluczy)
Istniejący użytkownicy w obszarze będą nadal działać pomyślnie, o ile ich klienci mają pamięć podręczną kluczy szyfrowania

Ważne jest, aby prawidłowo monitorować klaster usługi hybrydowego zabezpieczenia danych i szybko odpowiadać na wszelkie alerty, aby uniknąć zakłóceń w świadczeniu usług.

Alerty

Jeśli wystąpi problem z konfiguracją usługi hybrydowego zabezpieczenia danych, Partner Hub wyświetla alerty do administratora organizacji i wysyła wiadomości e-mail na skonfigurowany adres e-mail. Alerty obejmują wiele typowych scenariuszy.

Tabela 1. Wspólne problemy i kroki umożliwiające ich rozwiązanie
Alarm	Czynność
Błąd dostępu do lokalnej bazy danych.	Sprawdź, czy nie występują błędy bazy danych lub problemy z siecią lokalną.
Błąd połączenia z lokalną bazą danych.	Sprawdź, czy serwer bazy danych jest dostępny i czy w konfiguracji węzła użyto odpowiednich poświadczeń konta usługi.
Błąd dostępu do usługi chmury.	Sprawdź, czy węzły mogą uzyskać dostęp do serwerów Webex zgodnie z Wymaganiami dotyczącymi łączności zewnętrznej.
Odnawianie rejestracji w usłudze w chmurze.	Przerwano rejestrację w usługach w chmurze. Trwa odnawianie rejestracji.
Rejestracja usługi w chmurze została przerwana.	Rejestracja w usługach w chmurze została zakończona. Usługa jest wyłączana.
Usługa nie została jeszcze aktywowana.	Aktywuj usługę HDS w Partner Hub.
Skonfigurowana domena nie jest zgodna z certyfikatem serwera.	Upewnij się, że certyfikat serwera jest zgodny ze skonfigurowaną domeną aktywacji usługi. Najbardziej prawdopodobną przyczyną jest to, że kod CN certyfikatu został ostatnio zmieniony i różni się teraz od kodu używanego podczas początkowej konfiguracji.
Nie można uwierzytelnić usług w chmurze.	Sprawdź dokładność i możliwe wygaśnięcie poświadczeń konta usługi.
Nie można otworzyć pliku lokalnego magazynu kluczy.	Sprawdź integralność i dokładność haseł w pliku lokalnego magazynu kluczy.
Certyfikat serwera lokalnego jest nieprawidłowy.	Sprawdź datę wygaśnięcia certyfikatu serwera i upewnij się, że został on wydany przez zaufany urząd certyfikacji.
Nie można opublikować metryk.	Sprawdź dostęp sieci lokalnej do usług chmury zewnętrznej.
Katalog /media/configdrive/hds nie istnieje.	Sprawdź konfigurację montażu ISO na hoście wirtualnym. Sprawdź, czy plik ISO istnieje, czy jest skonfigurowany do montażu przy ponownym uruchomieniu i czy zamontowano go pomyślnie.
Konfiguracja organizacji dzierżawy dla dodanych organizacji nie została zakończona	Zakończ konfigurację, tworząc moduły CMK dla nowo dodanych organizacji dzierżaw za pomocą narzędzia konfiguracji HDS.
Nie ukończono konfiguracji organizacji dzierżawy dla usuniętych organizacji	Dokończ konfigurację, odwołując identyfikatory CMK organizacji dzierżaw, które zostały usunięte za pomocą narzędzia konfiguracji HDS.

Rozwiązywanie problemów z usługą hybrydowego zabezpieczenia danych

Podczas rozwiązywania problemów z usługą hybrydowego zabezpieczenia danych należy przestrzegać następujących ogólnych wytycznych.

1	Zapoznaj się z Partner Hub, aby uzyskać alerty i napraw wszystkie znajdujące się w tym miejscu elementy. Zobacz poniższy obrazek w celach informacyjnych.
2	Sprawdź dane wyjściowe serwera dziennika systemu pod kątem aktywności we wdrożeniu usługi hybrydowego zabezpieczenia danych. Filtruj słowa, takie jak „Ostrzeżenie” i „Błąd”, aby pomóc w rozwiązywaniu problemów.
3	Skontaktuj się ze wsparciem Cisco.

Inne uwagi

Znane problemy dotyczące hybrydowego zabezpieczenia danych

Jeśli wyłączysz klaster usługi hybrydowego zabezpieczenia danych (usuwając go w Partner Hub lub zamykając wszystkie węzły), stracisz plik ISO konfiguracji lub stracisz dostęp do bazy danych magazynu kluczy, użytkownicy aplikacji Webex w organizacjach klientów nie będą mogli już korzystać z obszarów z listy Osoby, które zostały utworzone za pomocą kluczy z serwera KMS. Obecnie nie mamy obejścia lub rozwiązania tego problemu i zachęcamy do niezamykania usług HDS po obsłużeniu aktywnych kont użytkowników.
Klient, który ma istniejące połączenie ECDH z serwerem KMS, utrzymuje to połączenie przez pewien czas (prawdopodobnie jedną godzinę).

Użyj OpenSSL do generowania pliku PKCS12

Przed rozpoczęciem

OpenSSL to jedno z narzędzi, które można wykorzystać do tworzenia pliku PKCS12 w odpowiednim formacie do załadowania w narzędziu konfiguracyjnym HDS. Istnieją inne sposoby na to, a my nie popieramy ani nie promujemy jednej drogi nad drugą.
Jeśli zdecydujesz się na użycie protokołu OpenSSL, udostępniamy tę procedurę jako wskazówkę, która pomoże Ci utworzyć plik spełniający wymagania certyfikatu X.509 w wymaganiach certyfikatu X.509. Przed kontynuowaniem zrozum te wymagania.
Zainstaluj protokół OpenSSL w obsługiwanym środowisku. Informacje na temat https://www.openssl.org oprogramowania i dokumentacji można znaleźć.
Utwórz klucz prywatny.
Rozpocznij tę procedurę po otrzymaniu certyfikatu serwera od urzędu certyfikacji (CA).

1	Po otrzymaniu certyfikatu serwera od urzędu certyfikacji zapisz go jako `hdsnode.pem`.
2	Wyświetl certyfikat w postaci tekstu i zweryfikuj szczegóły. `openssl x509 -text -noout -in hdsnode.pem`
3	Użyj edytora tekstu, aby utworzyć plik pakietu certyfikatów o nazwie `hdsnode-bundle.pem`. Plik pakietu musi zawierać certyfikat serwera, wszystkie certyfikaty pośredniego urzędu certyfikacji i certyfikaty głównego urzędu certyfikacji w poniższym formacie: `-----ROZPOCZNIJ CERTYFIKAT------ ### Certyfikat serwera. ### -----ZAKOŃCZ CERTYFIKAT-----------ROZPOCZNIJ CERTYFIKAT------ ### Certyfikat pośredniego urzędu certyfikacji. ### -----ZAKOŃCZ CERTYFIKAT----------------- ### Certyfikat GŁÓWNEGO URZĘDU CERTYFIKACJI. ### -----ZAKOŃCZ CERTYFIKAT-------`
4	Utwórz plik .p12 o przyjaznej nazwie `kms-private-key`. `openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -nazwa kms-private-key -caname kms-private-key -out hdsnode.p12`
5	Sprawdź szczegóły certyfikatu serwera. `openssl pkcs12 - w hdsnode.p12` W wyświetlonym monicie wprowadź hasło, aby zaszyfrować klucz prywatny, tak aby był wyświetlany na wyjściu. Następnie sprawdź, czy klucz prywatny i pierwszy certyfikat zawierają linie `friendlyName: kms-klucz prywatny`. Przykład: bash$ openssl pkcs12 - in hdsnode.p12 Wprowadź hasło importu: Atrybuty MAC zweryfikowane przez OK Bag friendlyName: kms-private-key lokalnyIdentyfikatorKlucza: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Atrybuty kluczowe: Wprowadź zdanie przejścia PEM: Weryfikowanie — wprowadź zdanie przejścia PEM: -----ROZPOCZNIJ ZASZYFROWANY KLUCZ PRYWATNY------ -----ZAKOŃCZ ZASZYFROWANY KLUCZ PRYWATNY------- Atrybuty Bag friendlyName: kms-private-key lokalnyIdentyfikatorKlucza: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 -----BEGIN CERTIFICATE------ -----END CERTIFICATE------ Bag Attributes friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3 -----BEGIN CERTIFICATE----- -----END CERTIFICATE-------

Co zrobić dalej

Wróć do tematu Wymagania wstępne dotyczące usługi hybrydowego zabezpieczenia danych. Będziesz używać pliku hdsnode.p12 i ustawionego dla niego hasła w Utwórz konfigurację ISO dla hostów HDS.

Możesz ponownie użyć tych plików, aby zażądać nowego certyfikatu po wygaśnięciu oryginalnego certyfikatu.

Ruch między węzłami HDS a chmurą

Ruch kolekcji metryk wychodzących

Węzły usługi hybrydowego zabezpieczenia danych wysyłają pewne metryki do chmury Webex. Obejmują one metryki systemowe dotyczące maksymalnej sterty, użytej sterty, obciążenia procesora i liczby wątków; metryki wątków synchronicznych i asynchronicznych; metryki alertów dotyczących progu połączeń szyfrowania, opóźnienia lub długości kolejki żądań; metryki w magazynie danych oraz metryki połączeń szyfrowania. Węzły wysyłają zaszyfrowany materiał klucza przez kanał braku pasma (oddzielny od żądania).

Ruch przychodzący

Węzły usługi hybrydowego zabezpieczenia danych odbierają następujące typy ruchu przychodzącego z chmury Webex:

Żądania szyfrowania od klientów trasowane przez usługę szyfrowania
Uaktualnia oprogramowanie węzła

Skonfiguruj serwery proxy Squid dla hybrydowego zabezpieczenia danych

Websocket nie może połączyć się przez Squid Proxy

Serwery proxy Squid, które sprawdzają ruch HTTPS, mogą zakłócać nawiązywanie połączeń Websocket (wss:), których wymaga hybrydowe zabezpieczenia danych. Poniższe sekcje zawierają wskazówki, jak skonfigurować różne wersje Squid, aby ignorować wss: ruchu zapewniającego prawidłowe funkcjonowanie usług.

Kalmary 4 i 5

Dodaj on_unsupported_protocol dyrektywę do squid.conf:

on_unsupported_protocol tunel wszystkie

Kalmary 3.5.27

Z powodzeniem przetestowaliśmy Hybrid Data Security z następującymi regułami dodanymi do squid.conf. Zasady te mogą ulec zmianie w miarę opracowywania funkcji i aktualizowania chmury Webex.

Acl wssMercuryConnection ssl::server_name_regex połączenie z rtęcią ssl_bump splice wssMercuryConnection acl step1 at_step SslBump1 acl step2 at_step SslBump2 acl step3 at_step SslBump3 ssl_bump peek step1 wszystko ssl_bump stare step2 wszystko ssl_bump bump3 wszystko

Nowe i zmienione informacje

Ta tabela zawiera informacje o nowych funkcjach, zmianach w istniejącej zawartości oraz o wszelkich głównych błędach, które zostały usunięte w Przewodniku wdrażania hybrydowego zabezpieczenia danych dla wielu dzierżawców.

Data	Wprowadzono zmiany
08 stycznia 2025 r.	Dodano uwagę w części Wykonaj początkową konfigurację i pobierz pliki instalacyjne stwierdzającą, że kliknięcie Skonfiguruj na karcie HDS w Partner Hub jest ważnym etapem procesu instalacji.
07 stycznia 2025 r.	Zaktualizowano wymagania dotyczące hosta wirtualnego, przepływ zadań wdrażania hybrydowego zabezpieczenia danych i Zainstaluj OVA hosta HDS , aby wyświetlić nowe wymagania dotyczące ESXi 7.0.
13 grudnia 2024 r.	Opublikowano po raz pierwszy.

Dezaktywuj hybrydowe zabezpieczenia danych dla wielu dzierżaw

Przepływ zadań dezaktywacji trybu HDS dla wielu dzierżawców

Aby całkowicie dezaktywować usługę HDS dla wielu dzierżaw, wykonaj poniższe czynności.

Przed rozpoczęciem

To zadanie powinien wykonywać tylko administrator partnera z pełnymi uprawnieniami.

1	Usuń wszystkich klientów ze wszystkich klastrów, jak opisano w części Usuń organizacje dzierżaw.
2	Unieważnij CMK wszystkich klientów, jak wspomniano w części Unieważnij CMK dzierżaw usuniętych z HDS..
3	Usuń wszystkie węzły ze wszystkich klastrów zgodnie z opisem w sekcji Usuń węzeł.
4	Usuń wszystkie klastry z Partner Hub za pomocą jednej z dwóch poniższych metod. Kliknij klaster, który chcesz usunąć, a następnie wybierz pozycję Usuń ten klaster w prawym górnym rogu strony przeglądu. Na stronie Zasoby kliknij … po prawej stronie klastra i wybierz opcję Usuń klaster.
5	Kliknij kartę Ustawienia na stronie Przegląd usługi hybrydowego zabezpieczenia danych, a następnie opcję Dezaktywuj usługę HDS na karcie stanu usługi HDS.

Wprowadzenie do hybrydowego zabezpieczenia danych dla wielu dzierżaw

Omówienie hybrydowego zabezpieczenia danych dla wielu dzierżaw

Od pierwszego dnia bezpieczeństwo danych było głównym celem podczas projektowania aplikacji Webex. Podstawą tego zabezpieczenia jest kompleksowe szyfrowanie treści, które umożliwiają klienci aplikacji Webex współpracujący z usługą zarządzania kluczami (KMS). Usługa KMS jest odpowiedzialna za tworzenie kluczy kryptograficznych używanych przez klientów do dynamicznego szyfrowania i odszyfrowywania wiadomości i plików oraz zarządzanie nimi.

Domyślnie wszyscy klienci aplikacji Webex otrzymują kompleksowe szyfrowanie za pomocą kluczy dynamicznych przechowywanych w chmurze KMS, w sferze bezpieczeństwa Cisco. Hybrid Data Security przenosi KMS i inne funkcje związane z bezpieczeństwem do centrum danych przedsiębiorstwa, dzięki czemu nikt poza Tobą nie posiada kluczy do zaszyfrowanej zawartości.

Hybrydowe zabezpieczenia danych dla wielu dzierżawców umożliwia organizacjom korzystanie z usług HDS za pośrednictwem zaufanego lokalnego partnera, który może działać jako dostawca usług i zarządzać lokalnym szyfrowaniem i innymi usługami zabezpieczeń. Ta konfiguracja umożliwia organizacji partnerskiej pełną kontrolę nad wdrażaniem kluczy szyfrowania i zarządzaniem nimi oraz zapewnia bezpieczeństwo danych użytkowników organizacji klientów przed dostępem zewnętrznym. Organizacje partnerskie konfigurują wystąpienia HDS i w razie potrzeby tworzą klastry HDS. Każde wystąpienie może obsługiwać wiele organizacji klientów w przeciwieństwie do zwykłego wdrażania usług HDS, które jest ograniczone do jednej organizacji.

Chociaż organizacje partnerskie mają kontrolę nad wdrażaniem i zarządzaniem, nie mają dostępu do danych ani treści generowanych przez klientów. Ten dostęp jest ograniczony do organizacji klientów i ich użytkowników.

Pozwala to również mniejszym organizacjom na korzystanie z HDS, ponieważ usługi zarządzania kluczami i infrastruktura zabezpieczeń, taka jak centra danych, są własnością zaufanego partnera lokalnego.

Jak hybrydowe zabezpieczenia danych dla wielu dzierżawców zapewnia suwerenność danych i kontrolę danych

Treści generowane przez użytkowników są chronione przed dostępem zewnętrznym, na przykład przed dostawcami usług w chmurze.
Lokalni zaufani partnerzy zarządzają kluczami szyfrowania klientów, z którymi mają już ustalone relacje.
Opcja lokalnej pomocy technicznej, jeśli została dostarczona przez partnera.
Obsługuje treści spotkań, wiadomości i połączeń.

Ten dokument ma na celu pomóc organizacjom partnerskim w konfigurowaniu klientów w systemie hybrydowego zabezpieczenia danych dla wielu dzierżawców i zarządzaniu nimi.

Role w hybrydowym zabezpieczeniu danych dla wielu dzierżawców

Administrator partnera z pełnymi uprawnieniami — może zarządzać ustawieniami wszystkich klientów, którymi zarządza partner. Może również przypisywać role administratora istniejącym użytkownikom w organizacji oraz przypisywać określonych klientów do zarządzania przez administratorów partnera.
Administrator partnera — może zarządzać ustawieniami klientów skonfigurowanych przez administratora lub przypisanych do użytkownika.
Administrator z pełnymi uprawnieniami — administrator organizacji partnerskiej, który ma uprawnienia do wykonywania takich zadań jak modyfikowanie ustawień organizacji, zarządzanie licencjami i przypisywanie ról.

Kompleksowa konfiguracja trybu HDS dla wielu dzierżawców i zarządzanie wszystkimi organizacjami klientów — wymagane uprawnienia administratora partnera z pełnymi uprawnieniami i administratora z pełnymi uprawnieniami.
Zarządzanie przypisanymi organizacjami dzierżaw — wymagane uprawnienia administratora partnera i administratora z pełnymi uprawnieniami.

Architektura Security Realm

Architektura chmury Webex dzieli różne typy usług na oddzielne domeny lub domeny zaufania, jak pokazano poniżej.

Aby lepiej zrozumieć usługę hybrydowego zabezpieczenia danych, przyjrzyjmy się najpierw tej czystej chmurze, w której firma Cisco udostępnia wszystkie funkcje w swoich domenach chmury. Usługa tożsamości, jedyne miejsce, w którym użytkownicy mogą być bezpośrednio skorelowani z ich danymi osobowymi, takimi jak adres e-mail, jest logicznie i fizycznie oddzielona od obszaru bezpieczeństwa w centrum danych B. Oba są z kolei oddzielone od obszaru, w którym docelowo przechowywana jest zaszyfrowana zawartość, w centrum danych C.

Na tym schemacie klient jest aplikacją Webex działającą na laptopie użytkownika i uwierzytelnił się w usłudze tożsamości. Gdy użytkownik tworzy wiadomość do wysłania do obszaru, wykonują następujące czynności:

Klient nawiązuje bezpieczne połączenie z usługą zarządzania kluczami (KMS), a następnie żąda klucza w celu zaszyfrowania wiadomości. Bezpieczne połączenie korzysta z protokołu ECDH, a serwer KMS szyfruje klucz przy użyciu klucza głównego AES-256.
Wiadomość jest szyfrowana przed opuszczeniem klienta. Klient wysyła je do usługi indeksowania, która tworzy zaszyfrowane indeksy wyszukiwania, aby pomóc w przyszłych wyszukiwaniu zawartości.
Zaszyfrowana wiadomość jest wysyłana do usługi zgodności w celu sprawdzenia zgodności.
Zaszyfrowana wiadomość jest przechowywana w obszarze miejsca do przechowywania.

Podczas wdrażania hybrydowego zabezpieczenia danych funkcje domeny zabezpieczeń (KMS, indeksowanie i zgodność) są przenoszone do lokalnego centrum danych. Inne usługi w chmurze tworzące usługę Webex (w tym tożsamość i miejsce do przechowywania zawartości) pozostają w domenach Cisco.

Współpraca z innymi organizacjami

Użytkownicy w Twojej organizacji mogą regularnie korzystać z aplikacji Webex do współpracy z uczestnikami zewnętrznymi w innych organizacjach. Gdy jeden z użytkowników poprosi o klucz obszaru należącego do Twojej organizacji (ponieważ został on utworzony przez jednego z użytkowników), serwer KMS wysyła klucz do klienta przez kanał zabezpieczony ECDH. Jeśli jednak inna organizacja jest właścicielem klucza obszaru, serwer KMS kieruje żądanie do chmury Webex przez oddzielny kanał ECDH, aby pobrać klucz z odpowiedniego serwera KMS, a następnie zwraca klucz do użytkownika w oryginalnym kanale.

Usługa KMS działająca w organizacji A sprawdza poprawność połączeń z urządzeniami KMS w innych organizacjach przy użyciu certyfikatów x.509 PKI. Zobacz Przygotowanie środowiska , aby uzyskać szczegółowe informacje na temat generowania certyfikatu x.509 do użycia z wdrożeniem hybrydowego zabezpieczenia danych dla wielu dzierżawców.

Oczekiwania dotyczące wdrożenia hybrydowego zabezpieczenia danych

Wdrożenie hybrydowego zabezpieczenia danych wymaga znacznego zaangażowania i świadomości ryzyka związanego z posiadaniem kluczy szyfrowania.

Aby wdrożyć usługę hybrydowego zabezpieczenia danych, należy zapewnić:

Bezpieczne centrum danych w kraju, które jest obsługiwaną lokalizacją planów Cisco Webex Teams.
Sprzęt, oprogramowanie i dostęp do sieci opisane w części Przygotowanie środowiska.

Całkowita utrata albo konfiguracji ISO tworzonej dla usługi hybrydowego zabezpieczenia danych, albo dostarczonej bazy danych spowoduje utratę kluczy. Utrata klucza uniemożliwia użytkownikom odszyfrowanie zawartości obszaru i innych zaszyfrowanych danych w aplikacji Webex. W takim przypadku można zbudować nowe wdrożenie, ale widoczna będzie tylko nowa zawartość. Aby uniknąć utraty dostępu do danych, należy:

Zarządzanie kopiowaniem i odzyskiwaniem bazy danych oraz certyfikatem ISO konfiguracji.
Przygotuj się do szybkiego odzyskiwania po awarii w przypadku wystąpienia katastrofy, takiej jak awaria dysku bazy danych lub katastrofa centrum danych.

Nie ma mechanizmu, by przenieść klucze z powrotem do chmury po wdrożeniu HDS.

Proces konfiguracji wysokiego poziomu

Ten dokument dotyczy konfigurowania wdrożenia hybrydowego zabezpieczenia danych dla wielu dzierżawców i zarządzania nim:

Skonfiguruj hybrydowe zabezpieczenia danych — obejmuje przygotowanie wymaganej infrastruktury i zainstalowanie oprogramowania hybrydowego zabezpieczenia danych, budowę klastra HDS, dodawanie organizacji dzierżaw do klastra oraz zarządzanie kluczami głównymi klientów (CMK). Umożliwi to wszystkim użytkownikom w organizacjach klientów korzystanie z klastra hybrydowego zabezpieczenia danych do obsługi funkcji zabezpieczeń.

W kolejnych trzech rozdziałach omówiono szczegółowo etapy konfiguracji, aktywacji i zarządzania.
Kontynuuj wdrożenie usługi hybrydowego zabezpieczenia danych — chmura Webex automatycznie zapewnia ciągłe aktualizacje. Dział IT może zapewnić wsparcie Tier One dla tego wdrożenia i w razie potrzeby zaangażować wsparcie Cisco. Możesz korzystać z powiadomień na ekranie i skonfigurować alerty e-mail w Partner Hub.
Zrozumienie popularnych alertów, czynności rozwiązywania problemów i znanych problemów — w przypadku wystąpienia problemów ze wdrażaniem lub korzystaniem z usługi hybrydowego zabezpieczenia danych ostatni rozdział tego przewodnika i załącznik do znanych problemów mogą pomóc w ustaleniu i usunięciu problemu.

Model wdrażania hybrydowego zabezpieczenia danych

W korporacyjnym centrum danych wdrożysz hybrydowe zabezpieczenia danych jako pojedynczy klaster węzłów na osobnych wirtualnych hostach. Węzły komunikują się z chmurą Webex za pośrednictwem bezpiecznych gniazd WebSockets i bezpiecznego HTTP.

Podczas procesu instalacji udostępniamy plik OVA, aby skonfigurować urządzenie wirtualne na maszynach wirtualnych, które udostępniasz. Za pomocą narzędzia konfiguracji usługi HDS można utworzyć niestandardowy plik ISO konfiguracji klastra, który montujesz na każdym węźle. Klaster usługi hybrydowego zabezpieczenia danych korzysta z dostarczonego serwera Syslogd oraz bazy danych PostgreSQL lub Microsoft SQL Server. (Szczegóły połączenia Syslogd i bazy danych można skonfigurować za pomocą narzędzia konfiguracji HDS).

Model wdrażania hybrydowego zabezpieczenia danych

Minimalna liczba węzłów, które można mieć w klastrze, wynosi dwa. Zalecamy co najmniej trzy klastry. Posiadanie wielu węzłów gwarantuje, że usługa nie zostanie przerwana podczas aktualizacji oprogramowania lub innej konserwacji w węźle. (Chmura Webex uaktualnia tylko jeden węzeł naraz).

Wszystkie węzły w klastrze uzyskują dostęp do tego samego magazynu danych klucza oraz do tego samego serwera dziennika systemowego. Same węzły są bezstanowe i obsługują żądania kluczy w sposób zaokrąglony, zgodnie z kierunkiem chmury.

Węzły stają się aktywne po zarejestrowaniu ich w Partner Hub. Aby wyłączyć pojedynczy węzeł, można go wyrejestrować, a w razie potrzeby ponownie go zarejestrować.

Centrum danych w trybie gotowości do odzyskiwania po awarii

Podczas wdrażania konfigurujesz bezpieczne centrum danych w trybie gotowości. W przypadku awarii centrum danych można ręcznie wykonać wdrożenie do centrum danych w trybie gotowości.

Bazy danych aktywnych i rezerwowych centrów danych są ze sobą synchronizowane, co minimalizuje czas potrzebny na wykonanie przełączania awaryjnego.

Aktywne węzły usługi hybrydowego zabezpieczenia danych muszą zawsze znajdować się w tym samym centrum danych, co aktywny serwer bazy danych.

Obsługa serwera proxy

Hybrid Data Security obsługuje jawne, przejrzyste inspekcje i niekontrolujące serwery proxy. Możesz powiązać te serwery proxy z wdrożeniem, aby zabezpieczyć i monitorować ruch z przedsiębiorstwa do chmury. Interfejsu administratora platformy w węzłach można używać do zarządzania certyfikatami i sprawdzania ogólnego stanu łączności po skonfigurowaniu serwera proxy w węzłach.

Węzły Hybrid Data Security obsługują następujące opcje serwera proxy:

Brak serwera proxy — domyślnie, jeśli do zintegrowania serwera proxy nie używasz konfiguracji węzła HDS usługi Trust Store i proxy. Aktualizacja certyfikatu nie jest wymagana.
Przezroczysty, nieweryfikujący serwer proxy — węzły nie są skonfigurowane do używania konkretnego adresu serwera proxy i nie powinny wymagać żadnych zmian, aby pracować z nieweryfikowanym serwerem proxy. Aktualizacja certyfikatu nie jest wymagana.
Przezroczyste tunelowanie lub inspekcja serwera proxy — węzły nie są skonfigurowane do używania określonego adresu serwera proxy. W węzłach nie są wymagane żadne zmiany konfiguracji HTTP ani HTTPS. Jednak węzły potrzebują certyfikatu głównego, aby ufać serwerowi proxy. Inspekcja serwerów proxy jest zwykle używana przez IT do egzekwowania zasad, na których można odwiedzać witryny internetowe, a które nie są dozwolone. Ten typ serwera proxy odszyfrowuje cały ruch (nawet HTTPS).
Jawny serwer proxy — przy użyciu jawnego serwera proxy można wskazać węzłom HDS, którego serwera proxy i schematu uwierzytelniania mają używać. Aby skonfigurować jawny serwer proxy, należy wprowadzić następujące informacje w każdym węźle:
1. Adres IP/FQDN serwera proxy — adres, za pomocą którego można uzyskać dostęp do maszyny proxy.
2. Port serwera proxy — numer portu, którego serwer proxy używa do nasłuchiwania ruchu proxy.
3. Protokół proxy — w zależności od tego, jakie obsługuje serwer proxy, wybierz jeden z następujących protokołów:
  - HTTP — wyświetla i kontroluje wszystkie żądania wysyłane przez klienta.
  - HTTPS — zapewnia kanał do serwera. Klient odbiera i sprawdza poprawność certyfikatu serwera.
4. Typ uwierzytelniania — wybierz jeden z następujących typów uwierzytelniania:
  - Brak — dalsze uwierzytelnianie nie jest wymagane.
    
    Opcja dostępna po wybraniu protokołu HTTP lub HTTPS jako protokołu proxy.
  - Podstawowe — używane w przypadku agenta użytkownika HTTP w celu podania nazwy użytkownika i hasła podczas wykonywania żądania. Używa kodowania Base64.
    
    Opcja dostępna po wybraniu protokołu HTTP lub HTTPS jako protokołu proxy.
    
    Wymaga wprowadzenia nazwy użytkownika i hasła w każdym węźle.
  - Szyfrowanie — służy do potwierdzania konta przed wysłaniem poufnych informacji. Stosuje funkcję skrótu do nazwy użytkownika i hasła przed wysłaniem przez sieć.
    
    Opcja dostępna tylko po wybraniu protokołu HTTPS jako protokołu proxy.
    
    Wymaga wprowadzenia nazwy użytkownika i hasła w każdym węźle.

Przykład hybrydowych węzłów zabezpieczeń danych i serwera proxy

Ten diagram przedstawia przykładowe połączenie między hybrid data security, siecią i serwerem proxy. W przypadku opcji przezroczystego serwera proxy inspekcji i jawnego sprawdzania HTTPS ten sam certyfikat główny musi być zainstalowany na serwerze proxy i w węzłach Hybrid Data Security.

Zablokowany tryb zewnętrznego rozpoznawania DNS (jawne konfiguracje serwera proxy)

Podczas rejestrowania węzła lub sprawdzania konfiguracji serwera proxy węzła proces testuje wyszukiwanie DNS i łączność z chmurą Cisco Webex. We wdrożeniach z jawnymi konfiguracjami serwera proxy, które nie zezwalają na zewnętrzne rozpoznawanie DNS dla klientów wewnętrznych, jeśli węzeł nie może wysłać kwerendy do serwerów DNS, automatycznie przechodzi w tryb zablokowanego zewnętrznego rozpoznawania DNS. W tym trybie można kontynuować rejestrację węzła i inne testy łączności serwera proxy.

Przygotuj środowisko

Wymagania dotyczące hybrydowego zabezpieczenia danych dla wielu dzierżaw

Wymagania licencyjne usługi Cisco Webex

Aby wdrożyć hybrydowe zabezpieczenia danych dla wielu dzierżaw:

Organizacje partnerskie: Skontaktuj się z partnerem lub opiekunem klienta firmy Cisco i upewnij się, że funkcja wielu dzierżaw jest włączona.
Organizacje dzierżaw: Musisz mieć pakiet Pro Pack dla Cisco Webex Control Hub. (Patrz https://www.cisco.com/go/pro-pack.)

Wymagania pulpitu Docker

Przed zainstalowaniem węzłów HDS należy uruchomić program konfiguracyjny programu Docker Desktop. Docker niedawno zaktualizował swój model licencjonowania. Twoja organizacja może wymagać płatnej subskrypcji platformy Docker Desktop.Your organization might require a paid subscription for Docker Desktop. Aby uzyskać szczegółowe informacje, zobacz wpis na blogu Platformy Docker " Docker aktualizuje i rozszerza nasze subskrypcje produktów".

Wymagania certyfikatu X.509

Łańcuch certyfikatów musi spełniać następujące wymagania:

Tabela 1. Wymagania certyfikatu X.509 dla wdrożenia hybrydowego zabezpieczenia danych
Wymaganie	Szczegóły
Podpisany przez zaufany urząd certyfikacji (CA)	Domyślnie ufamy urzędom certyfikacji na liście Mozilli (z wyjątkiem WoSign i StartCom) pod adresem https://wiki.mozilla.org/CA:IncludedCAs.
Nosi nazwę domeny z nazwą pospolitą (CN), która identyfikuje wdrożenie usługi hybrydowego zabezpieczenia danych Nie jest certyfikatem z symbolem wieloznacznym	Numer CN nie musi być dostępny ani być prowadzącym na żywo. Zalecamy używanie nazwy odzwierciedlającej organizację, na przykład `hds.company.com`. CN nie może zawierać znaku * (symbolu wieloznacznego). Kod CN służy do weryfikowania węzłów usługi hybrydowego zabezpieczenia danych w klientach aplikacji Webex. Wszystkie węzły usługi hybrydowego zabezpieczenia danych w klastrze używają tego samego certyfikatu. Serwer KMS identyfikuje się używając domeny CN, a nie żadnej domeny zdefiniowanej w polach SAN x.509v3. Po zarejestrowaniu węzła z tym certyfikatem nie jest obsługiwana zmiana nazwy domeny CN.
Podpis bez SHA1	Oprogramowanie KMS nie obsługuje podpisów SHA1 w celu walidacji połączeń z modułami KMS innych organizacji.
Sformatowany jako plik PKCS #12 zabezpieczony hasłem Użyj przyjaznej nazwy `kms-private-key` , aby oznaczyć certyfikat, klucz prywatny i wszelkie certyfikaty pośrednie do przesłania.	Możesz użyć konwertera, takiego jak OpenSSL, aby zmienić format certyfikatu. Hasło trzeba będzie wprowadzić podczas uruchamiania narzędzia konfiguracji usług HDS.

Oprogramowanie KMS nie wymuszało użycia kluczy ani rozszerzonych ograniczeń użycia kluczy. Niektóre urzędy certyfikacji wymagają, aby do każdego certyfikatu miały zastosowanie rozszerzone ograniczenia użycia klucza, takie jak uwierzytelnianie serwera. Można używać uwierzytelniania serwera lub innych ustawień.

Wymagania dotyczące hosta wirtualnego

Hosty wirtualne, które skonfigurujesz jako węzły usługi hybrydowego zabezpieczenia danych w klastrze, mają następujące wymagania:

Co najmniej dwa oddzielne hosty (zalecane 3) rozmieszczone w tym samym bezpiecznym centrum danych
Zainstalowano i uruchomiono program VMware ESXi 7.0 (lub nowszy).

Jeśli masz starszą wersję oprogramowania ESXi, musisz ją uaktualnić.
Co najmniej 4 procesory vCPU, 8 GB pamięci głównej, 30 GB miejsca na lokalny dysk twardy na serwer

Wymagania serwera bazy danych

Utwórz nową bazę danych do przechowywania kluczy. Nie należy używać domyślnej bazy danych. Aplikacje HDS, po zainstalowaniu, tworzą schemat bazy danych.

Serwer bazy danych ma dwie opcje. Wymagania dotyczące każdego z nich są następujące:

Tabela 2. Wymagania serwera bazy danych według typu bazy danych
PostgreSQL-a	Serwer Microsoft SQL
PostgreSQL 14, 15 lub 16 jest zainstalowany i uruchomiony.	Zainstalowano oprogramowanie SQL Server 2016, 2017 lub 2019 (Enterprise lub Standard). Program SQL Server 2016 wymaga pakietu Service Pack 2 i aktualizacji skumulowanej 2 lub nowszej.
Co najmniej 8 procesorów vCPU, 16 GB pamięci głównej, wystarczająca ilość miejsca na dysku twardym i monitorowanie, aby nie było przekroczone (zalecane 2 TB, jeśli chcesz uruchomić bazę danych przez długi czas bez konieczności zwiększania miejsca do przechowywania)	Co najmniej 8 procesorów vCPU, 16 GB pamięci głównej, wystarczająca ilość miejsca na dysku twardym i monitorowanie, aby nie było przekroczone (zalecane 2 TB, jeśli chcesz uruchomić bazę danych przez długi czas bez konieczności zwiększania miejsca do przechowywania)

Oprogramowanie HDS instaluje obecnie następujące wersje sterowników do komunikacji z serwerem bazy danych:

PostgreSQL-a

Serwer Microsoft SQL

Postgres JDBC sterownik 42.2.5

Sterownik SQL Server JDBC 4.6

Ta wersja sterownika obsługuje funkcję SQL Server Always On (zawsze włączone wystąpienia klastra przełączenia awaryjnego i zawsze włączone grupy dostępności).

Dodatkowe wymagania dotyczące uwierzytelniania w systemie Windows przy użyciu programu Microsoft SQL Server

Jeśli chcesz, aby węzły HDS korzystały z uwierzytelniania w systemie Windows w celu uzyskania dostępu do bazy danych magazynu kluczy na serwerze Microsoft SQL Server, potrzebujesz następującej konfiguracji w środowisku:

Wszystkie węzły HDS, infrastruktura Active Directory i oprogramowanie MS SQL Server muszą być synchronizowane z protokołem NTP.
Konto systemu Windows dostarczane węzłom HDS musi mieć dostęp do odczytu/zapisu do bazy danych.
Serwery DNS dostarczane do węzłów HDS muszą być w stanie rozpoznać Twoje centrum dystrybucji kluczy (KDC).
Wystąpienie bazy danych HDS na serwerze Microsoft SQL można zarejestrować jako nazwę główną usługi (SPN) w usłudze Active Directory. Zobacz Rejestrowanie nazwy głównej usługi dla połączeń Kerberos.

Narzędzie konfiguracyjne usługi HDS, uruchamianie usługi HDS i lokalny serwer KMS muszą korzystać z uwierzytelniania systemu Windows, aby uzyskać dostęp do bazy danych magazynu kluczy. Używają oni szczegółów z konfiguracji ISO do skonstruowania SPN przy żądaniu dostępu z uwierzytelnianiem Kerberos.

Wymagania dotyczące łączności zewnętrznej

Skonfiguruj zaporę, aby zezwolić na następującą łączność dla aplikacji HDS:

Aplikacja	Protokół	Port	Kierunek z aplikacji	Miejsce docelowe
Węzły hybrydowego zabezpieczenia danych	TCP	443	Wychodzące HTTPS i WSS	Serwery Webex: .wbx2.com .ciscospark.com Wszyscy prowadzący Common Identity Inne adresy URL wymienione na liście dla hybrydowego zabezpieczenia danych w tabeli Dodatkowe adresy URL dla usług hybrydowych Webex w sekcji Wymagania sieciowe dla usług Webex
Narzędzie konfiguracji usług HDS	TCP	443	Wychodzący HTTPS	*.wbx2.com Wszyscy prowadzący Common Identity hub.docker.com

Węzły usługi hybrydowego zabezpieczenia danych współpracują z tłumaczeniem dostępu do sieci (NAT) lub zaporą, o ile translacja NAT lub zapora sieciowa zezwalają na wymagane połączenia wychodzące z adresami domen w poprzedniej tabeli. W przypadku połączeń przychodzących do węzłów usługi hybrydowego zabezpieczenia danych żadne porty nie powinny być widoczne z Internetu. W centrum danych klienci potrzebują do celów administracyjnych dostępu do węzłów usługi hybrydowego zabezpieczenia danych na portach TCP 443 i 22.

Adresy URL dla hostów usługi Common Identity (CI) są specyficzne dla regionów. Są to bieżące hosty CI:

Region	Adresy URL hosta wspólnej tożsamości
Ameryka	https://idbroker.webex.com https://identity.webex.com https://idbroker-b-us.webex.com https://identity-b-us.webex.com
Unia Europejska	https://idbroker-eu.webex.com https://identity-eu.webex.com
Kanada	https://idbroker-ca.webex.com https://identity-ca.webex.com
Singapur	https://idbroker-sg.webex.com https://identity-sg.webex.com
Zjednoczone Emiraty Arabskie	https://idbroker-ae.webex.com https://identity-ae.webex.com

Wymagania dotyczące serwera proxy

Oficjalnie obsługujemy następujące rozwiązania proxy, które można zintegrować z węzłami Hybrid Data Security.
- Przezroczysty serwer proxy — Cisco Web Security Appliance (WSA).
- Jawny serwer proxy — Squid.
  
  Serwery proxy Squid, które sprawdzają ruch HTTPS, mogą zakłócać nawiązywanie połączeń WebSocket (wss:). Aby rozwiązać ten problem, zobacz Konfigurowanie serwerów proxy Squid na potrzeby hybrydowego zabezpieczenia danych.
Obsługujemy następujące kombinacje typów uwierzytelniania dla jawnych serwerów proxy:
- Brak uwierzytelniania za pomocą protokołu HTTP lub HTTPS
- Uwierzytelnianie podstawowe za pomocą protokołu HTTP lub HTTPS
- Uwierzytelnianie szyfrowane tylko przy użyciu protokołu HTTPS
W przypadku przezroczystego serwera proxy inspekcji lub jawnego serwera proxy HTTPS musisz mieć kopię certyfikatu głównego serwera proxy. Instrukcje wdrażania w tym przewodniku informają, jak przekazać kopię do magazynów zaufania węzłów hybrid Data Security.
Sieć obsługująca węzły HDS musi być skonfigurowana tak, aby wymuszała kierowanie wychodzącego ruchu TCP na porcie 443 przez serwer proxy.
Serwery proxy, które sprawdzają ruch sieci web, mogą zakłócać połączenia gniazd internetowych. Jeśli ten problem wystąpi, ominięcie (nie inspekcja) ruchu do wbx2.com i ciscospark.com rozwiąże problem.

Spełnij wymagania wstępne dotyczące usługi hybrydowego zabezpieczenia danych

Skorzystaj z tej listy kontrolnej, aby upewnić się, że możesz zainstalować i skonfigurować klaster usługi hybrydowego zabezpieczenia danych.

1	Upewnij się, że organizacja partnerska ma włączoną funkcję HDS dla wielu dzierżawców i uzyskaj poświadczenia konta z pełnymi uprawnieniami administratora partnera i pełnego administratora. Upewnij się, że Twoja organizacja klienta Webex jest włączona dla usługi Pro Pack for Cisco Webex Control Hub. Skontaktuj się z partnerem lub opiekunem klienta Cisco w celu uzyskania pomocy w tym procesie. Organizacje klientów nie powinny mieć żadnych istniejących wdrożeń usług HDS.
2	Wybierz nazwę domeny dla wdrożenia HDS (na przykład `hds.company.com`) i uzyskaj łańcuch certyfikatów zawierający certyfikat X.509, klucz prywatny i certyfikaty pośrednie. Łańcuch certyfikatów musi spełniać wymagania określone w wymaganiach certyfikatu X.509.
3	Przygotuj identycznych wirtualnych prowadzących, które zostaną skonfigurowane jako węzły usługi hybrydowego zabezpieczenia danych w klastrze. Potrzebujesz co najmniej dwóch oddzielnych hostów (zalecane 3) rozmieszczonych w tym samym bezpiecznym centrum danych, które spełniają wymagania określone w wymaganiach dotyczących hosta wirtualnego.
4	Przygotuj serwer bazy danych, który będzie pełnił rolę kluczowego magazynu danych dla klastra, zgodnie z wymaganiami serwera bazy danych. Serwer bazy danych musi być umieszczony w bezpiecznym centrum danych z wirtualnymi hostami. Tworzenie bazy danych do przechowywania kluczy. (Należy utworzyć tę bazę danych — nie używaj domyślnej bazy danych. Aplikacje HDS, gdy są zainstalowane, tworzą schemat bazy danych). Zbierz szczegóły, których węzły będą używać do komunikacji z serwerem bazy danych: nazwa hosta lub adres IP (hosta) i port nazwa bazy danych (dbname) do przechowywania klucza nazwa użytkownika i hasło użytkownika z wszystkimi uprawnieniami w bazie danych przechowywania kluczy
5	W celu szybkiego odzyskiwania po awarii skonfiguruj środowisko kopii zapasowej w innym centrum danych. Środowisko tworzenia kopii zapasowych jest lustrzane dla środowiska produkcyjnego maszyn wirtualnych i zapasowego serwera bazy danych. Jeśli na przykład w produkcji są 3 maszyny wirtualne z węzłami HDS, środowisko kopii zapasowej powinno zawierać 3 maszyny wirtualne.
6	Skonfiguruj hosta dziennika systemu, aby zbierał dzienniki z węzłów w klastrze. Zbierz adres sieciowy i port dziennika systemu (domyślnie jest to UDP 514).
7	Utwórz zasady bezpiecznych kopii zapasowych dla węzłów usługi hybrydowego zabezpieczenia danych, serwera bazy danych i hosta dziennika systemowego. Aby zapobiec nieodwracalnej utracie danych, należy wykonać kopię zapasową bazy danych i pliku ISO konfiguracji wygenerowanego dla węzłów usługi hybrydowego zabezpieczenia danych. Ponieważ węzły usługi hybrydowego zabezpieczenia danych przechowują klucze używane do szyfrowania i odszyfrowywania zawartości, niepowodzenie utrzymania operacyjnego wdrożenia spowoduje NIEODWRACALNĄ UTRATĘ tej zawartości. Klienci aplikacji Webex buforują swoje klucze, więc awaria może nie być natychmiast zauważalna, ale z czasem stanie się oczywista. O ile nie można zapobiec tymczasowym awariom, można je odzyskać. Jednak całkowita utrata (brak dostępnych kopii zapasowych) bazy danych lub pliku ISO konfiguracji spowoduje, że dane klienta nie będą mogły zostać odzyskane. Oczekuje się, że operatorzy węzłów usługi hybrydowego zabezpieczenia danych będą utrzymywać częste kopie zapasowe bazy danych i pliku ISO konfiguracji oraz będą przygotowani do odbudowania centrum danych usługi hybrydowego zabezpieczenia danych w przypadku wystąpienia katastrofalnej awarii.
8	Upewnij się, że konfiguracja zapory umożliwia łączność z węzłami usługi hybrydowego zabezpieczenia danych, jak opisano w części Wymagania dotyczące łączności zewnętrznej.
9	Zainstaluj aplikację Docker ( https://www.docker.com) na dowolnym lokalnym komputerze z obsługiwanym systemem operacyjnym (Microsoft Windows 10 Professional lub Enterprise 64-bitowy lub Mac OSX Yosemite 10.10.3 lub nowszym) za pomocą przeglądarki internetowej, która może uzyskać do niej dostęp pod adresem http://127.0.0.1:8080. Wystąpienie usługi Docker umożliwia pobranie i uruchomienie narzędzia konfiguracyjnego HDS, które tworzy informacje o konfiguracji lokalnej dla wszystkich węzłów usługi hybrydowego zabezpieczenia danych. Być może potrzebujesz licencji Docker Desktop. Aby uzyskać więcej informacji, zobacz Wymagania dotyczące pulpitu Docker . Aby zainstalować i uruchomić narzędzie konfiguracji usługi HDS, komputer lokalny musi mieć łączność opisaną w sekcji Wymagania dotyczące łączności zewnętrznej.
10	Jeśli integrujesz serwer proxy z usługą hybrydowego zabezpieczenia danych, upewnij się, że spełnia wymagania serwera proxy.

Skonfiguruj klaster usługi hybrydowego zabezpieczenia danych

Przepływ zadań wdrażania hybrydowego zabezpieczenia danych

Przed rozpoczęciem

1	Wykonywanie pierwszej konfiguracji i pobieranie plików instalacyjnych Pobierz plik OVA na komputer lokalny w celu późniejszego użycia.
2	Tworzenie certyfikatu ISO konfiguracji dla hostów trybu HDS Użyj narzędzia konfiguracji usługi HDS, aby utworzyć plik konfiguracyjny ISO dla węzłów usługi hybrydowego zabezpieczenia danych.
3	Zainstaluj OVA hosta HDS Utwórz maszynę wirtualną z pliku OVA i wykonaj konfigurację początkową, taką jak ustawienia sieciowe. Opcja konfigurowania ustawień sieciowych podczas wdrażania OVA została przetestowana z ESXi 7.0. Opcja może być niedostępna we wcześniejszych wersjach.
4	Skonfiguruj VM usługi hybrydowego zabezpieczenia danych Zaloguj się do konsoli VM i ustaw poświadczenia logowania. Skonfiguruj ustawienia sieciowe węzła, jeśli nie zostały one skonfigurowane w czasie wdrażania OVA.
5	Przesyłanie i montaż obrazu ISO w trybie HDS Skonfiguruj maszynę wirtualną z pliku konfiguracyjnego ISO utworzonego przy użyciu narzędzia konfiguracji HDS.
6	Konfigurowanie węzła HDS do integracji z serwerem proxy Jeśli środowisko sieciowe wymaga konfiguracji serwera proxy, określ typ serwera proxy, który będzie używany dla węzła, a w razie potrzeby dodaj certyfikat serwera proxy do magazynu zaufanych certyfikatów.
7	Zarejestruj pierwszy węzeł w klastrze Zarejestruj maszynę wirtualną w chmurze Cisco Webex jako węzeł usługi hybrydowego zabezpieczenia danych.
8	Utwórz i zarejestruj więcej węzłów Zakończ konfigurację klastra.
9	Aktywuj usługę HDS dla wielu dzierżaw w Partner Hub. Aktywuj usługę HDS i zarządzaj organizacjami dzierżaw w Partner Hub.

Wykonywanie pierwszej konfiguracji i pobieranie plików instalacyjnych

W tym zadaniu pobierasz plik OVA na komputer (a nie na serwery, które są skonfigurowane jako węzły usługi hybrydowego zabezpieczenia danych). Tego pliku używasz później w procesie instalacji.

1	Zaloguj się do Partner Hub, a następnie kliknij pozycję Usługi.
2	W sekcji Usługi chmury znajdź kartę usługi hybrydowego zabezpieczenia danych, a następnie kliknij przycisk Konfiguruj. Kliknięcie opcji Skonfiguruj w Partner Hub ma kluczowe znaczenie dla procesu wdrażania. Nie należy kontynuować instalacji bez wykonania tego kroku.
3	Kliknij opcję Dodaj zasób i kliknij opcję Pobierz plik OVA na karcie Zainstaluj i skonfiguruj oprogramowanie . Starsze wersje pakietu oprogramowania (OVA) nie będą zgodne z najnowszymi aktualizacjami usługi hybrydowego zabezpieczenia danych. Może to powodować problemy podczas uaktualniania aplikacji. Upewnij się, że pobierasz najnowszą wersję pliku OVA. Możesz również pobrać OVA w dowolnym momencie w sekcji Pomoc . Kliknij kolejno opcje Ustawienia > Pomoc > Pobierz oprogramowanie usługi hybrydowego zabezpieczenia danych. Plik OVA automatycznie rozpocznie się pobieranie. Zapisz plik w lokalizacji na komputerze.
4	Opcjonalnie kliknij opcję Zobacz przewodnik wdrażania hybrydowego zabezpieczenia danych , aby sprawdzić, czy jest dostępna nowsza wersja tego przewodnika.

Tworzenie certyfikatu ISO konfiguracji dla hostów trybu HDS

Proces konfiguracji usługi hybrydowego zabezpieczenia danych tworzy plik ISO. Następnie za pomocą interfejsu ISO można skonfigurować hosta usługi hybrydowego zabezpieczenia danych.

Przed rozpoczęciem

Narzędzie HDS Setup działa jako kontener platformy Docker na komputerze lokalnym. Aby uzyskać do niego dostęp, uruchom Docker na tym komputerze. Proces konfiguracji wymaga poświadczeń konta w Partner Hub z pełnymi uprawnieniami administratora.

Jeśli narzędzie konfiguracji HDS działa za serwerem proxy w środowisku, podaj ustawienia serwera proxy (serwer, port, poświadczenia) za pośrednictwem zmiennych środowiskowych Docker podczas podnoszenia kontenera Docker w kroku 5 poniżej. Ta tabela zawiera kilka możliwych zmiennych środowiskowych:

Opis

Zmienna

Serwer proxy HTTP bez uwierzytelniania

GLOBALNY_AGENT_HTTP_PROXY=http://SERWER_IP:PORT

Serwer proxy HTTPS bez uwierzytelniania

GLOBALNY_AGENT_HTTPS_PROXY=http://SERWER_IP:PORT

Serwer proxy HTTP z uwierzytelnianiem

GLOBALNY_AGENT_HTTP_PROXY=http://NAZWA_UŻYTKOWNIKA:HASŁO@SERWER_IP:PORT

Serwer proxy HTTPS z uwierzytelnianiem

GLOBALNY_AGENT_HTTPS_PROXY=http://NAZWA_UŻYTKOWNIKA:HASŁO@SERWER_IP:PORT
Wygenerowany plik ISO konfiguracji zawiera klucz główny do szyfrowania bazy danych PostgreSQL lub Microsoft SQL Server. Najnowszą kopię tego pliku należy zawsze wprowadzać zmiany w konfiguracji, takie jak:
- Poświadczenia bazy danych
- Aktualizacje certyfikatu
- Zmiany w zasadach autoryzacji
Jeśli planujesz szyfrować połączenia z bazami danych, skonfiguruj wdrożenie PostgreSQL lub SQL Server dla protokołu TLS.

1

W wierszu poleceń komputera wprowadź polecenie odpowiednie dla swojego środowiska:

W zwykłych środowiskach:

docker rmi ciscocitg/hds-konfiguracja:stabilna

W środowiskach FedRAMP:

docker rmi ciscocitg/hds-setup-fedramp:stable

Ten krok czyści poprzednie obrazy narzędzia konfiguracji HDS. Jeśli nie ma poprzednich obrazów, zwraca błąd, który można zignorować.

2

Aby zalogować się do rejestru obrazów platformy Docker, wprowadź następujące informacje:

docker login -u hdscustomersro

3

Po wyświetleniu monitu o hasło wprowadź ten skrót:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

4

Pobierz najnowszy stabilny obraz dla swojego środowiska:

W zwykłych środowiskach:

docker ciągnąć ciscocitg / hds-setup:stable

W środowiskach FedRAMP:

docker ciągnąć ciscocitg/hds-setup-fedramp:stable

5

Po zakończeniu ściągania wprowadź odpowiednie polecenie dla swojego środowiska:

W zwykłych środowiskach bez proxy:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

W zwykłych środowiskach z proxy HTTP:

docker run -p 8080:8080 --rm -it -e GLOBALNY_AGENT_HTTP_PROXY=http://SERWER_IP:PORT ciscocitg/hds-setup:stable

W zwykłych środowiskach z serwerem proxy HTTPS:

docker run -p 8080:8080 --rm -it -e GLOBALNY_AGENT_HTTPS_PROXY=http://SERWER_IP:PORT ciscocitg/hds-setup:stable

W środowiskach FedRAMP bez proxy:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

W środowiskach FedRAMP z proxy HTTP:

docker run -p 8080:8080 --rm -it -e GLOBALNY_AGENT_HTTP_PROXY=http://SERWER_IP:PORT ciscocitg/hds-setup-fedramp:stable

W środowiskach FedRAMP z proxy HTTPS:

docker run -p 8080:8080 --rm -it -e GLOBALNY_AGENT_HTTPS_PROXY=http://SERWER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Gdy kontener jest uruchomiony, zobaczysz komunikat „Serwer ekspresowy nasłuchuje na porcie 8080”.

6

Narzędzie konfiguracyjne nie obsługuje łączenia się z hostem localhost za pośrednictwem serwera http://localhost:8080. Użyj, http://127.0.0.1:8080 aby połączyć się z localhost.

Użyj przeglądarki internetowej, aby przejść do hosta lokalnego http://127.0.0.1:8080i po wyświetleniu monitu wprowadź nazwę użytkownika administratora dla Partner Hub.

Narzędzie używa tego pierwszego wpisu nazwy użytkownika w celu ustawienia środowiska dla tego konta. Następnie narzędzie wyświetla standardowy monit o zalogowanie.

7

Po wyświetleniu monitu wprowadź poświadczenia logowania administratora Partner Hub, a następnie kliknij przycisk Zaloguj , aby zezwolić na dostęp do wymaganych usług hybrydowego zabezpieczenia danych.

8

Na stronie Przegląd narzędzia konfiguracji kliknij przycisk Rozpocznij.

9

Na stronie Import ISO dostępne są następujące opcje:

Nie — jeśli tworzysz pierwszy węzeł HDS, nie masz pliku ISO do przesłania.
Tak — jeśli węzły HDS zostały już utworzone, należy wybrać plik ISO w oknie przeglądarki i przesłać go.

10

Sprawdź, czy certyfikat X.509 spełnia wymagania określone w wymaganiach certyfikatu X.509.

Jeśli nigdy wcześniej nie przesłano certyfikatu, prześlij certyfikat X.509, wprowadź hasło i kliknij przycisk Kontynuuj.
Jeśli certyfikat jest OK, kliknij przycisk Kontynuuj.
Jeśli certyfikat wygasł lub chcesz go zastąpić, wybierz opcję Nie , aby kontynuować używanie łańcucha certyfikatów HDS i klucza prywatnego z poprzedniego certyfikatu ISO?. Prześlij nowy certyfikat X.509, wprowadź hasło i kliknij przycisk Kontynuuj.

11

Wprowadź adres bazy danych i konto usługi HDS, aby uzyskać dostęp do magazynu danych klucza:

Wybierz opcję Typ bazy danych (PostgreSQL lub Microsoft SQL Server).

Po wybraniu opcji Microsoft SQL Server zostanie wyświetlone pole Typ uwierzytelniania.
(Tylko Microsoft SQL Server ) Wybierz typ uwierzytelniania:
- Uwierzytelnianie podstawowe: W polu Nazwa użytkownika należy podać lokalną nazwę konta serwera SQL.
- Uwierzytelnianie w systemie Windows: Wymagane jest konto dla systemu Windows w formacie użytkownik@DOMENA w Nazwa użytkownika pole.
Wprowadź adres serwera bazy danych w formacie : lub :.

Przykład:
dbhost.example.org:1433 lub 198.51.100.17:1433

Do uwierzytelniania podstawowego można użyć adresu IP, jeśli węzły nie mogą używać systemu DNS do rozpoznania nazwy hosta.

Jeśli używasz uwierzytelniania w systemie Windows, musisz wprowadzić w pełni kwalifikowaną nazwę domeny w formacie dbhost.example.org:1433
Wprowadź nazwę bazy danych.
Wprowadź nazwę użytkownika i hasło użytkownika ze wszystkimi uprawnieniami w bazie danych do przechowywania kluczy.

12

Wybierz tryb połączenia bazy danych TLS:

Tryb	Opis
Preferuj protokół TLS (opcja domyślna)	Węzły HDS nie wymagają protokołu TLS do łączenia się z serwerem bazy danych. Po włączeniu protokołu TLS na serwerze bazy danych węzły spróbują nawiązać szyfrowane połączenie.
Wymagaj tlS	Węzły HDS łączą się tylko wtedy, gdy serwer bazy danych może negocjować protokół TLS.
Wymagaj protokołu TLS i weryfikuj sygnatariusza certyfikatu	Ten tryb nie ma zastosowania do baz danych SQL Server. Węzły HDS łączą się tylko wtedy, gdy serwer bazy danych może negocjować protokół TLS. Po nawiązaniu połączenia TLS węzeł porównuje podpisującego certyfikat z serwera bazy danych z urzędem certyfikacji w certyfikacie głównym bazy danych. Jeśli nie są zgodne, węzeł przerywa połączenie. Użyj kontrolki certyfikatu głównego bazy danych poniżej listy rozwijanej, aby przekazać certyfikat główny dla tej opcji.
Wymagaj protokołu TLS i weryfikuj sygnatariusza certyfikatu oraz nazwę hosta	Węzły HDS łączą się tylko wtedy, gdy serwer bazy danych może negocjować protokół TLS. Po nawiązaniu połączenia TLS węzeł porównuje podpisującego certyfikat z serwera bazy danych z urzędem certyfikacji w certyfikacie głównym bazy danych. Jeśli nie są zgodne, węzeł przerywa połączenie. Węzły sprawdzają również, czy nazwa hosta w certyfikacie serwera jest zgodna z nazwą hosta w polu Host i port bazy danych . Nazwy muszą być dokładnie zgodne, w przeciwnym razie węzeł przerywa połączenie. Użyj kontrolki certyfikatu głównego bazy danych poniżej listy rozwijanej, aby przekazać certyfikat główny dla tej opcji.

Po przesłaniu certyfikatu głównego (jeśli jest to konieczne) i kliknięciu przycisku Kontynuuj, narzędzie konfiguracyjne HDS testuje połączenie TLS z serwerem bazy danych. Narzędzie weryfikuje również sygnatariusza certyfikatu i nazwę hosta, jeśli ma to zastosowanie. Jeśli test zakończy się niepowodzeniem, narzędzie wyświetli komunikat o błędzie opisujący problem. Możesz wybrać, czy zignorować błąd i kontynuować konfigurację. (Z powodu różnic w łączności węzły HDS mogą być w stanie ustanowić połączenie TLS, nawet jeśli maszyna narzędziowa do konfiguracji HDS nie może go pomyślnie przetestować).

13

Na stronie Dzienniki systemowe skonfiguruj serwer Syslogd:

Wprowadź adres URL serwera dziennika systemu.

Jeśli serwer nie jest możliwe do rozpoznania DNS z węzłów klastra HDS, użyj adresu IP w adresie URL.

Przykład:
udp://10.92.43.23:514 wskazuje na rejestrowanie do hosta Syslogd 10.92.43.23 na porcie UDP 514.
Jeśli skonfigurowano serwer do korzystania z szyfrowania TLS, zaznacz opcję Czy serwer dziennika systemu jest skonfigurowany do szyfrowania SSL?.

Po zaznaczeniu tego pola wyboru należy wprowadzić adres URL TCP, taki jak tcp://10.92.43.23:514.
Z listy rozwijanej Wybierz zakończenie zapisu dziennika systemowego wybierz odpowiednie ustawienie dla pliku ISO: Wybierz lub nowy wiersz jest używany dla graylogów i rsyslog TCP
- Bajt NULL -- \x00
- Nowy wiersz -- \n — wybierz tę opcję dla graylogów i rsyslog TCP.
Kliknij przycisk Kontynuuj.

14

(Opcjonalnie) Wartość domyślną niektórych parametrów połączenia z bazą danych można zmienić w sekcji Ustawienia zaawansowane. Ogólnie rzecz biorąc, ten parametr jest jedynym parametrem, który można zmienić:

app_datasource_connection_pool_maxRozmiar: 10

15

Kliknij przycisk Kontynuuj na ekranie Resetuj hasło do kont usług .

Okres ważności haseł do konta usługi wynosi dziewięć miesięcy. Użyj tego ekranu, gdy zbliża się wygaśnięcie haseł lub chcesz je zresetować, aby unieważnić poprzednie pliki ISO.

16

Kliknij opcję Pobierz plik ISO. Zapisz plik w miejscu, które jest łatwe do znalezienia.

17

Utwórz kopię zapasową pliku ISO w lokalnym systemie.

Zachowaj bezpieczeństwo kopii zapasowej. Ten plik zawiera główny klucz szyfrowania zawartości bazy danych. Ogranicz dostęp tylko do administratorów usługi hybrydowego zabezpieczenia danych, którzy powinni dokonać zmian w konfiguracji.

18

Aby zamknąć narzędzie konfiguracyjne, wpisz CTRL+C.

Co zrobić dalej

Utwórz kopię zapasową pliku konfiguracyjnego ISO. Potrzebujesz go, aby utworzyć więcej węzłów do odzyskania lub wprowadzić zmiany w konfiguracji. Jeśli stracisz wszystkie kopie pliku ISO, stracisz również klucz główny. Nie można odzyskać kluczy z bazy danych PostgreSQL i Microsoft SQL Server.

Nigdy nie mamy kopii tego klucza i nie możemy pomóc, jeśli go stracisz.

Zainstaluj OVA hosta HDS

Ta procedura służy do utworzenia maszyny wirtualnej z pliku OVA.

1	Użyj klienta VMware vSphere na komputerze, aby zalogować się do wirtualnego hosta ESXi.
2	Wybierz pozycję Plik > Wdróż szablon OVF.
3	W kreatorze określ lokalizację pobranego wcześniej pliku OVA, a następnie kliknij przycisk Dalej.
4	Na stronie Wybierz nazwę i folder wprowadź nazwę maszyny wirtualnej węzła (na przykład „HDS_Node_1”), wybierz lokalizację, w której może znajdować się wdrożenie węzła maszyny wirtualnej, a następnie kliknij przycisk Dalej.
5	Na stronie Wybierz zasób obliczeniowy wybierz docelowy zasób obliczeniowy, a następnie kliknij przycisk Dalej. Uruchamiane jest sprawdzenie poprawności. Po zakończeniu pojawią się szczegóły szablonu.
6	Sprawdź szczegóły szablonu, a następnie kliknij przycisk Dalej.
7	Jeśli zostaniesz poproszony o wybranie konfiguracji zasobu na stronie Konfiguracja , kliknij przycisk 4 procesora , a następnie kliknij przycisk Dalej.
8	Na stronie Wybierz miejsce do przechowywania kliknij przycisk Dalej , aby zaakceptować domyślny format dysku i zasady przechowywania VM.
9	Na stronie Wybierz sieci wybierz opcję sieci z listy pozycji, aby zapewnić żądane łączność z maszyną wirtualną.
10	Na stronie Dostosuj szablon skonfiguruj następujące ustawienia sieciowe: Nazwa hosta — wprowadź nazwę FQDN (nazwę hosta i domenę) lub nazwę hosta pojedynczego słowa dla węzła. Nie trzeba ustawiać domeny tak, aby była zgodna z domeną użytą do uzyskania certyfikatu X.509. Aby zapewnić pomyślną rejestrację w chmurze, należy używać tylko małych znaków w nazwie FQDN lub nazwie hosta ustawionej dla węzła. Kapitalizacja nie jest obecnie obsługiwana. Łączna długość nazwy FQDN nie może przekraczać 64 znaków. Adres IP — wprowadź adres IP interfejsu wewnętrznego węzła. Węzeł powinien mieć wewnętrzny adres IP i nazwę DNS. Protokół DHCP nie jest obsługiwany. Maska — wprowadź adres maski podsieci w notacji kropek. Przykład: 255.255.255.0. Brama — wprowadź adres IP bramy. Brama to węzeł sieciowy, który służy jako punkt dostępu do innej sieci. Serwery DNS — wprowadź listę serwerów DNS, które obsługują przekładanie nazw domen na liczbowe adresy IP. (Dozwolonych jest maksymalnie 4 pozycje DNS). Serwery NTP — wprowadź serwer NTP organizacji lub inny zewnętrzny serwer NTP, który może być używany w organizacji. Domyślne serwery NTP mogą nie działać w przypadku wszystkich przedsiębiorstw. Aby wprowadzić wiele serwerów NTP, można także użyć listy rozdzielonej przecinkami. Wdróż wszystkie węzły w tej samej podsieci lub sieci VLAN, aby wszystkie węzły w klastrze były dostępne od klientów w sieci do celów administracyjnych. Jeśli chcesz, możesz pominąć konfigurację ustawień sieciowych i wykonać czynności opisane w artykule Skonfiguruj maszynę wirtualną usługi hybrydowego zabezpieczenia danych , aby skonfigurować ustawienia z konsoli węzła. Opcja konfigurowania ustawień sieciowych podczas wdrażania OVA została przetestowana z ESXi 7.0. Opcja może być niedostępna we wcześniejszych wersjach.
11	Kliknij prawym przyciskiem myszy VM węzła, a następnie wybierz kolejno opcje Zasilanie > Zasilanie. Oprogramowanie hybrydowego zabezpieczenia danych jest instalowane jako gość na hoście maszyn wirtualnych. Możesz się teraz zalogować do konsoli i skonfigurować węzeł. Wskazówki dotyczące rozwiązywania problemów Może wystąpić opóźnienie o kilka minut przed pojawieniem się kontenerów węzłów. Podczas pierwszego rozruchu na konsoli pojawia się komunikat zapory mostkowej, podczas której nie można się zalogować.

Skonfiguruj VM usługi hybrydowego zabezpieczenia danych

Ta procedura umożliwia zalogowanie się po raz pierwszy w konsoli VM węzła usługi hybrydowego zabezpieczenia danych i ustawienie poświadczeń logowania. Za pomocą konsoli można również skonfigurować ustawienia sieciowe węzła, jeśli nie zostały one skonfigurowane w momencie wdrażania OVA.

1	W kliencie VMware vSphere wybierz swoją maszynę wirtualną węzła usługi hybrydowego zabezpieczenia danych i wybierz kartę Konsola . Zostanie uruchomiona maszyna wirtualna i pojawi się monit o zalogowanie. Jeśli monit o zalogowanie się nie został wyświetlony, naciśnij klawisz Enter.
2	Aby zalogować się i zmienić poświadczenia, należy użyć następującego domyślnego logowania i hasła: Logowanie: `administrator` Hasło: `cisco` Ponieważ logujesz się do maszyny wirtualnej po raz pierwszy, musisz zmienić hasło administratora.
3	Jeśli ustawienia sieciowe zostały już skonfigurowane w sekcji Zainstaluj OVA hosta HDS, pomiń pozostałą część tej procedury. W przeciwnym razie w menu głównym wybierz opcję Edytuj konfigurację .
4	Skonfiguruj statyczną konfigurację z informacjami o adresie IP, maskach, bramie i systemie DNS. Węzeł powinien mieć wewnętrzny adres IP i nazwę DNS. Protokół DHCP nie jest obsługiwany.
5	(Opcjonalnie) Zmień nazwę hosta, domenę lub serwery NTP, jeśli jest to konieczne, aby dostosować ją do zasad sieci. Nie trzeba ustawiać domeny tak, aby była zgodna z domeną użytą do uzyskania certyfikatu X.509.
6	Zapisz konfigurację sieci i uruchom ponownie maszynę wirtualną, aby zmiany zostały zastosowane.

Przesyłanie i montaż obrazu ISO w trybie HDS

Ta procedura służy do konfigurowania maszyny wirtualnej na podstawie pliku ISO utworzonego przy użyciu narzędzia konfiguracji HDS.

Przed rozpoczęciem

Ponieważ plik ISO zawiera klucz główny, powinien być on wyświetlany tylko na zasadzie „need to know”, aby uzyskać dostęp przez maszyny wirtualne usługi hybrydowego zabezpieczenia danych i wszystkich administratorów, którzy mogą potrzebować wprowadzenia zmian. Upewnij się, że tylko ci administratorzy mają dostęp do magazynu danych.

1

Prześlij plik ISO z komputera:

W lewym okienku nawigacyjnym klienta VMware vSphere kliknij serwer ESXi.
Na liście Sprzęt na karcie Konfiguracja kliknij pozycję Miejsce do przechowywania.
Na liście Magazyny danych kliknij prawym przyciskiem myszy magazyn danych dla swoich maszyn wirtualnych i kliknij opcję Przeglądaj magazyn danych.
Kliknij ikonę Prześlij pliki, a następnie kliknij pozycję Prześlij plik.
Przejdź do lokalizacji, w której pobrano plik ISO na swój komputer i kliknij opcję Otwórz.
Kliknij przycisk Tak , aby zaakceptować ostrzeżenie dotyczące operacji przesyłania/pobierania i zamknąć okno dialogowe magazynu danych.

2

Montaż pliku ISO:

W lewym okienku nawigacji klienta VMware vSphere kliknij prawym przyciskiem myszy maszynę wirtualną i kliknij opcję Edytuj ustawienia.
Kliknij OK , aby zaakceptować ostrzeżenie dotyczące opcji edycji ograniczonej.
Kliknij Dysk CD/DVD 1, wybierz opcję montażu z pliku ISO magazynu danych i przejdź do lokalizacji, w której przesłano plik ISO konfiguracji.
Sprawdź Połączono i Połącz przy włączonym zasilaniu.
Zapisz zmiany i ponownie uruchom maszynę wirtualną.

Co zrobić dalej

Jeśli wymagają tego zasady IT, możesz opcjonalnie odinstalować plik ISO, gdy wszystkie węzły przejdą zmiany konfiguracji. Szczegółowe informacje zawiera temat (Opcjonalnie) Odmontowywanie certyfikatu ISO po konfiguracji HDS .

Konfigurowanie węzła HDS do integracji z serwerem proxy

Jeśli środowisko sieciowe wymaga serwera proxy, użyj tej procedury, aby określić typ serwera proxy, który chcesz zintegrować z hybrid Data Security. Jeśli wybierzesz przezroczysty serwer proxy inspekcji lub jawny serwer proxy HTTPS, możesz użyć interfejsu węzła do przekazania i zainstalowania certyfikatu głównego. Możesz także sprawdzić połączenie proxy z poziomu interfejsu i rozwiązać wszelkie potencjalne problemy.

Przed rozpoczęciem

Zobacz Obsługa serwera proxy, aby zapoznać się z omówieniem obsługiwanych opcji serwera proxy.
Wymagania dotyczące serwera proxy

1	Wprowadź adres URL konfiguracji węzła HDS `https://[HDS Node IP or FQDN]/setup` w przeglądarce sieci Web, wprowadź poświadczenia administratora skonfigurowane dla węzła, a następnie kliknij przycisk Zaloguj.
2	Przejdź do pozycji Sklep zaufania i serwer proxy, a następnie wybierz opcję: Brak serwera proxy — opcja domyślna przed zintegrowaniem serwera proxy. Aktualizacja certyfikatu nie jest wymagana. Przezroczysty, nieweryfikujący serwer proxy — węzły nie są skonfigurowane do używania konkretnego adresu serwera proxy i nie powinny wymagać żadnych zmian, aby pracować z nieweryfikowanym serwerem proxy. Aktualizacja certyfikatu nie jest wymagana. Przezroczysty serwer proxy sprawdzający — węzły nie są skonfigurowane do używania konkretnego adresu serwera proxy. We wdrożeniu Hybrid Data Security nie są konieczne żadne zmiany konfiguracji protokołu HTTPS, jednak węzły HDS potrzebują certyfikatu głównego, aby ufać serwerowi proxy. Inspekcja serwerów proxy jest zwykle używana przez IT do egzekwowania zasad, na których można odwiedzać witryny internetowe, a które nie są dozwolone. Ten typ serwera proxy odszyfrowuje cały ruch (nawet HTTPS). Jawny serwer proxy — przy użyciu jawnego serwera proxy można wskazać klientowi (węzły HDS), którego serwera proxy ma być używany, a ta opcja obsługuje kilka typów uwierzytelniania. Po wybraniu tej opcji należy wprowadzić następujące informacje: Adres IP/FQDN serwera proxy — adres, za pomocą którego można uzyskać dostęp do maszyny proxy. Port serwera proxy — numer portu, którego serwer proxy używa do nasłuchiwania ruchu proxy. Protokół proxy Protocol — wybierz opcję http (wyświetla i steruje wszystkimi żądaniami otrzymywanymi od klienta) lub https (udostępnia kanał do serwera, a klient odbiera i sprawdza certyfikat serwera). Wybierz opcję na podstawie tego, co obsługuje Twój serwer proxy. Typ uwierzytelniania — wybierz jeden z następujących typów uwierzytelniania: Brak — dalsze uwierzytelnianie nie jest wymagane. Dostępne dla serwerów proxy HTTP lub HTTPS. Podstawowe — używane w przypadku agenta użytkownika HTTP w celu podania nazwy użytkownika i hasła podczas wykonywania żądania. Używa kodowania Base64. Dostępne dla serwerów proxy HTTP lub HTTPS. W przypadku wybrania tej opcji należy również wprowadzić nazwę użytkownika i hasło. Szyfrowanie — służy do potwierdzania konta przed wysłaniem poufnych informacji. Stosuje funkcję skrótu do nazwy użytkownika i hasła przed wysłaniem przez sieć. Dostępne tylko dla serwerów proxy HTTPS. W przypadku wybrania tej opcji należy również wprowadzić nazwę użytkownika i hasło. Wykonaj kolejne kroki, aby uzyskać przezroczysty serwer proxy inspekcji, jawny serwer proxy HTTP z uwierzytelnianiem podstawowym lub jawny serwer proxy HTTPS.
3	Kliknij przycisk Przekaż certyfikat główny lub Certyfikat jednostkikońcowej , a następnie przejdź do wybierz certyfikat główny dla serwera proxy. Certyfikat został przekazany, ale nie został jeszcze zainstalowany, ponieważ należy ponownie uruchomić węzeł, aby zainstalować certyfikat. Kliknij strzałkę cudzysłów ostrokątnych przy nazwie wystawcy certyfikatu, aby uzyskać więcej szczegółów, lub kliknij przycisk Usuń, jeśli popełnisz błąd i chcesz ponownie przesłać plik.
4	Kliknij przycisk Sprawdź połączenie z serwerem proxy, aby przetestować łączność sieciową między węzłem a serwerem proxy. Jeśli test połączenia zakończy się niepowodzeniem, zostanie wyświetlony komunikat o błędzie z przyczyną i sposobem rozwiązania problemu. Jeśli zostanie wyświetlony komunikat informujący, że zewnętrzne rozpoznawanie nazw DNS nie powiodło się, oznacza to, że węzeł nie może połączyć się z serwerem DNS. Ten warunek jest oczekiwany w wielu jawnych konfiguracjach proxy. Możesz kontynuować konfigurację, a węzeł będzie działać w trybie zablokowanej zewnętrznej rozdzielczości DNS. Jeśli uważasz, że jest to błąd, wykonaj te czynności, a następnie zobacz Wyłącz zablokowany zewnętrzny tryb rozdzielczości DNS.
5	Po przejściu testu połączenia, dla jawnego serwera proxy ustawionego tylko na https, włącz przełącznik na Kieruj wszystkie żądania https portu 443/444 z tego węzła za pośrednictwem jawnego serwera proxy. To ustawienie wymaga 15 sekund, aby zostało wprowadzone.
6	Kliknij opcję Zainstaluj wszystkie certyfikaty w magazynie zaufania (pojawia się w przypadku jawnego serwera proxy HTTPS lub przezroczystego serwera proxy inspekcji) lub Uruchom ponownie (pojawia się w przypadku jawnego serwera proxy HTTP), przeczytaj monit, a następnie kliknij przycisk Zainstaluj, jeśli wszystko jest gotowe. Węzeł uruchomi się ponownie w ciągu kilku minut.
7	Po ponownym uruchomieniu węzła zaloguj się ponownie, jeśli to konieczne, a następnie otwórz stronę Przegląd, aby sprawdzić kontrole łączności, aby upewnić się, że wszystkie są w stanie zielonym. Sprawdzanie połączenia proxy testuje tylko subdomenę webex.com. Jeśli występują problemy z łącznością, typowym problemem jest to, że niektóre domeny chmury wymienione w instrukcjach instalacji są blokowane na serwerze proxy.

Zarejestruj pierwszy węzeł w klastrze

To zadanie pobiera ogólny węzeł utworzony w oknie Skonfiguruj VM usługi hybrydowego zabezpieczenia danych, rejestruje węzeł w chmurze Webex i przekształca go w węzeł usługi hybrydowego zabezpieczenia danych.

Po zarejestrowaniu pierwszego węzła tworzony jest klaster, do którego przypisany jest węzeł. Klaster zawiera co najmniej jeden węzeł wdrożony w celu zapewnienia redundancji.

Przed rozpoczęciem

Po rozpoczęciu rejestracji węzła należy ją wykonać w ciągu 60 minut lub rozpocząć od nowa.
Upewnij się, że wszystkie blokery wyskakujące w przeglądarce są wyłączone lub zezwalasz na wyjątek dla witryny admin.webex.com.

1	Zaloguj się w https://admin.webex.com.
2	Z menu po lewej stronie ekranu wybierz pozycję Usługi.
3	W sekcji Usługi chmury znajdź kartę usługi hybrydowego zabezpieczenia danych i kliknij przycisk Konfiguruj.
4	Na otwieranej stronie kliknij pozycję Dodaj zasób.
5	W pierwszym polu karty Dodaj węzeł wprowadź nazwę klastra, do którego chcesz przypisać węzeł usługi hybrydowego zabezpieczenia danych. Zalecamy nadanie nazwy klastra na podstawie tego, gdzie znajdują się węzły klastra. Przykłady: „San Francisco”, „Nowy Jork” lub „Dallas”
6	W drugim polu wprowadź wewnętrzny adres IP lub w pełni kwalifikowaną nazwę domeny (FQDN) węzła i kliknij opcję Dodaj u dołu ekranu. Ten adres IP lub w pełni kwalifikowana nazwa domeny (FQDN) powinny być zgodne z adresem IP lub nazwą hosta i domeną użytymi w części Konfigurowanie maszyny wirtualnej usługi hybrydowego zabezpieczenia danych. Zostanie wyświetlony komunikat informujący, że możesz zarejestrować węzeł w usłudze Webex.
7	Kliknij opcję Przejdź do węzła. Po kilku chwilach nastąpi przekierowanie do testów łączności z węzłem dla usług Webex. Jeśli wszystkie testy zakończą się pomyślnie, zostanie wyświetlona strona Zezwól na dostęp do węzła usługi hybrydowego zabezpieczenia danych. Tam potwierdzasz, że chcesz przyznać swojej organizacji Webex uprawnienia do dostępu do węzła.
8	Zaznacz pole wyboru Zezwól na dostęp do węzła usługi hybrydowego zabezpieczenia danych , a następnie kliknij przycisk Kontynuuj. Konto zostało zweryfikowane, a komunikat „Rejestracja zakończona” wskazuje, że węzeł jest teraz zarejestrowany w chmurze Webex.
9	Kliknij łącze lub zamknij kartę, aby wrócić do strony hybrydowego zabezpieczenia danych w Partner Hub. Na stronie Hybrydowe zabezpieczenia danych na karcie Zasoby jest wyświetlany nowy klaster zawierający zarejestrowany węzeł. Węzeł automatycznie pobierze najnowsze oprogramowanie z chmury.

Utwórz i zarejestruj więcej węzłów

Aby dodać dodatkowe węzły do klastra, po prostu utwórz dodatkowe maszyny wirtualne i zamontuj ten sam plik ISO konfiguracji, a następnie zarejestruj węzeł. Zalecamy posiadanie co najmniej 3 węzłów.

Przed rozpoczęciem

Po rozpoczęciu rejestracji węzła należy ją wykonać w ciągu 60 minut lub rozpocząć od nowa.
Upewnij się, że wszystkie blokery wyskakujące w przeglądarce są wyłączone lub zezwalasz na wyjątek dla witryny admin.webex.com.

1	Utwórz nową maszynę wirtualną z OVA, powtarzając kroki w Zainstaluj OVA hosta HDS.
2	Skonfiguruj początkową konfigurację na nowej maszynie wirtualnej, powtarzając kroki w artykule Konfigurowanie maszyny wirtualnej usługi hybrydowego zabezpieczenia danych.
3	Na nowej maszynie wirtualnej powtórz czynności opisane w artykule Prześlij i zamontuj certyfikat ISO konfiguracji HDS.
4	Jeśli konfigurujesz serwer proxy dla swojego wdrożenia, powtórz kroki w artykule Konfigurowanie węzła HDS dla integracji serwera proxy w zależności od potrzeb dla nowego węzła.
5	Zarejestruj węzeł. W aplikacji https://admin.webex.com wybierz pozycję Usługi z menu po lewej stronie ekranu. W sekcji Usługi chmury znajdź kartę usługi hybrydowego zabezpieczenia danych i kliknij opcję Wyświetl wszystko. Zastanie wyświetlona strona zasobów hybrydowego zabezpieczenia danych. Nowo utworzony klaster pojawi się na stronie Zasoby . Kliknij klaster, aby wyświetlić węzły przypisane do klastra. Kliknij Dodaj węzeł po prawej stronie ekranu. Wprowadź wewnętrzny adres IP lub w pełni kwalifikowaną nazwę domeny (FQDN) węzła i kliknij przycisk Dodaj. Zostanie otwarta strona z komunikatem informującym, że możesz zarejestrować węzeł w chmurze Webex. Po kilku chwilach nastąpi przekierowanie do testów łączności z węzłem dla usług Webex. Jeśli wszystkie testy zakończą się pomyślnie, zostanie wyświetlona strona Zezwól na dostęp do węzła usługi hybrydowego zabezpieczenia danych. Potwierdzasz tam, że chcesz przyznać swojej organizacji uprawnienia do dostępu do węzła. Zaznacz pole wyboru Zezwól na dostęp do węzła usługi hybrydowego zabezpieczenia danych , a następnie kliknij przycisk Kontynuuj. Konto zostało zweryfikowane, a komunikat „Rejestracja zakończona” wskazuje, że węzeł jest teraz zarejestrowany w chmurze Webex. Kliknij łącze lub zamknij kartę, aby wrócić do strony hybrydowego zabezpieczenia danych w Partner Hub. Komunikat wyskakujący o dodanym węźle pojawia się również w dolnej części ekranu w Partner Hub. Twój węzeł jest zarejestrowany.

Zarządzanie organizacjami dzierżaw w usłudze hybrydowego zabezpieczenia danych dla wielu dzierżaw

Aktywuj usługę HDS dla wielu dzierżaw w Partner Hub

To zadanie gwarantuje, że wszyscy użytkownicy w organizacjach klientów mogą zacząć korzystać z usług HDS dla lokalnych kluczy szyfrowania i innych usług zabezpieczeń.

Przed rozpoczęciem

Upewnij się, że konfiguracja klastra HDS dla wielu dzierżaw została zakończona z wymaganą liczbą węzłów.

1	Zaloguj się w https://admin.webex.com.
2	Z menu po lewej stronie ekranu wybierz pozycję Usługi.
3	W sekcji Usługi chmury znajdź usługę hybrydowego zabezpieczenia danych i kliknij opcję Edytuj ustawienia.
4	Kliknij opcję Aktywuj tryb HDS na karcie Stan trybu HDS .

Dodaj organizacje dzierżawców w Partner Hub

W tym zadaniu przypisujesz organizacje klientów do swojego klastra hybrydowego zabezpieczenia danych.

1	Zaloguj się w https://admin.webex.com.
2	Z menu po lewej stronie ekranu wybierz pozycję Usługi.
3	W sekcji Usługi chmury znajdź usługę hybrydowego zabezpieczenia danych i kliknij opcję Wyświetl wszystko.
4	Kliknij klaster, do którego chcesz przypisać klienta.
5	Przejdź do karty Przypisani klienci .
6	Kliknij opcję Dodaj klientów.
7	Wybierz z menu rozwijanego klienta, którego chcesz dodać.
8	Kliknij Dodaj, klient zostanie dodany do klastra.
9	Powtórz kroki od 6 do 8, aby dodać wielu klientów do klastra.
10	Po dodaniu klientów kliknij przycisk Gotowe w dolnej części ekranu.

Co zrobić dalej

Uruchom narzędzie do konfiguracji usługi HDS zgodnie z opisem w części Utwórz klucze główne klienta (CMK) za pomocą narzędzia do konfiguracji usługi HDS , aby dokończyć proces konfiguracji.

Tworzenie kluczy głównych klientów (CMK) za pomocą narzędzia konfiguracji HDS

Przed rozpoczęciem

Przypisz klientów do odpowiedniego klastra zgodnie z opisem w sekcji Dodaj organizacje dzierżawy w Partner Hub. Uruchom narzędzie Konfiguracja usług HDS, aby zakończyć proces konfiguracji nowo dodanych organizacji klientów.

Narzędzie HDS Setup działa jako kontener platformy Docker na komputerze lokalnym. Aby uzyskać do niego dostęp, uruchom Docker na tym komputerze. Proces konfiguracji wymaga poświadczeń konta w Partner Hub z pełnymi uprawnieniami administratora dla Twojej organizacji.

Jeśli narzędzie konfiguracji HDS działa za serwerem proxy w środowisku, podaj ustawienia serwera proxy (serwer, port, poświadczenia) przez zmienne środowiskowe Docker podczas podnoszenia kontenera Docker w kroku 5. Ta tabela zawiera kilka możliwych zmiennych środowiskowych:

Opis	Zmienna
Serwer proxy HTTP bez uwierzytelniania	`GLOBALNY_AGENT_HTTP_PROXY=http://SERWER_IP:PORT`
Serwer proxy HTTPS bez uwierzytelniania	`GLOBALNY_AGENT_HTTPS_PROXY=http://SERWER_IP:PORT`
Serwer proxy HTTP z uwierzytelnianiem	`GLOBALNY_AGENT_HTTP_PROXY=http://NAZWA_UŻYTKOWNIKA:HASŁO@SERWER_IP:PORT`
Serwer proxy HTTPS z uwierzytelnianiem	`GLOBALNY_AGENT_HTTPS_PROXY=http://NAZWA_UŻYTKOWNIKA:HASŁO@SERWER_IP:PORT`

Wygenerowany plik ISO konfiguracji zawiera klucz główny do szyfrowania bazy danych PostgreSQL lub Microsoft SQL Server. Najnowszą kopię tego pliku należy zawsze wprowadzać zmiany w konfiguracji, takie jak:
- Poświadczenia bazy danych
- Aktualizacje certyfikatu
- Zmiany w zasadach autoryzacji
Jeśli planujesz szyfrować połączenia z bazami danych, skonfiguruj wdrożenie PostgreSQL lub SQL Server dla protokołu TLS.

Proces konfiguracji usługi hybrydowego zabezpieczenia danych tworzy plik ISO. Następnie za pomocą interfejsu ISO można skonfigurować hosta usługi hybrydowego zabezpieczenia danych.

1	W wierszu poleceń komputera wprowadź polecenie odpowiednie dla swojego środowiska: W zwykłych środowiskach: `docker rmi ciscocitg/hds-konfiguracja:stabilna` W środowiskach FedRAMP: `docker rmi ciscocitg/hds-setup-fedramp:stable` Ten krok czyści poprzednie obrazy narzędzia konfiguracji HDS. Jeśli nie ma poprzednich obrazów, zwraca błąd, który można zignorować.
2	Aby zalogować się do rejestru obrazów platformy Docker, wprowadź następujące informacje: `docker login -u hdscustomersro`
3	Po wyświetleniu monitu o hasło wprowadź ten skrót: `dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo`
4	Pobierz najnowszy stabilny obraz dla swojego środowiska: W zwykłych środowiskach: `docker ciągnąć ciscocitg / hds-setup:stable` W środowiskach FedRAMP: `docker ciągnąć ciscocitg/hds-setup-fedramp:stable`
5	Po zakończeniu ściągania wprowadź odpowiednie polecenie dla swojego środowiska: W zwykłych środowiskach bez proxy: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable` W zwykłych środowiskach z proxy HTTP: `docker run -p 8080:8080 --rm -it -e GLOBALNY_AGENT_HTTP_PROXY=http://SERWER_IP:PORT ciscocitg/hds-setup:stable` W zwykłych środowiskach z serwerem proxy HTTPS: `docker run -p 8080:8080 --rm -it -e GLOBALNY_AGENT_HTTPS_PROXY=http://SERWER_IP:PORT ciscocitg/hds-setup:stable` W środowiskach FedRAMP bez proxy: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable` W środowiskach FedRAMP z proxy HTTP: `docker run -p 8080:8080 --rm -it -e GLOBALNY_AGENT_HTTP_PROXY=http://SERWER_IP:PORT ciscocitg/hds-setup-fedramp:stable` W środowiskach FedRAMP z proxy HTTPS: `docker run -p 8080:8080 --rm -it -e GLOBALNY_AGENT_HTTPS_PROXY=http://SERWER_IP:PORT ciscocitg/hds-setup-fedramp:stable` Gdy kontener jest uruchomiony, zobaczysz komunikat „Serwer ekspresowy nasłuchuje na porcie 8080”.
6	Narzędzie konfiguracyjne nie obsługuje łączenia się z hostem localhost za pośrednictwem serwera http://localhost:8080. Użyj, http://127.0.0.1:8080 aby połączyć się z localhost. Użyj przeglądarki internetowej, aby przejść do hosta lokalnego `http://127.0.0.1:8080`i po wyświetleniu monitu wprowadź nazwę użytkownika administratora dla Partner Hub. Narzędzie używa tego pierwszego wpisu nazwy użytkownika w celu ustawienia środowiska dla tego konta. Następnie narzędzie wyświetla standardowy monit o zalogowanie.
7	Po wyświetleniu monitu wprowadź poświadczenia logowania administratora Partner Hub, a następnie kliknij przycisk Zaloguj , aby zezwolić na dostęp do wymaganych usług hybrydowego zabezpieczenia danych.
8	Na stronie Przegląd narzędzia konfiguracji kliknij przycisk Rozpocznij.
9	Na stronie Import ISO kliknij przycisk Tak.
10	Wybierz plik ISO w przeglądarce i prześlij go. Aby wykonać zarządzanie CMK, zapewnij połączenie z bazą danych.
11	Przejdź do karty Zarządzanie CMK dzierżawy , na której znajdziesz następujące trzy sposoby zarządzania CMK dzierżawy. Utwórz CMK dla wszystkich organizacji lub Utwórz CMK — kliknij ten przycisk na banerze u góry ekranu, aby utworzyć CMK dla wszystkich nowo dodanych organizacji. Kliknij przycisk Zarządzaj CMK po prawej stronie ekranu i kliknij przycisk Utwórz CMK , aby utworzyć CMK dla wszystkich nowo dodanych organizacji. Kliknij … w pobliżu oczekującego na status określonej organizacji w tabeli zarządzania CMK i kliknij przycisk Utwórz CMK , aby utworzyć CMK dla tej organizacji.
12	Po pomyślnym utworzeniu CMK stan w tabeli zostanie zmieniony z oczekującego zarządzania CMK na zarządzane CMK.
13	Jeśli tworzenie CMK nie powiedzie się, zostanie wyświetlony błąd.

Usuń organizacje dzierżaw

Przed rozpoczęciem

Po usunięciu użytkownicy organizacji klientów nie będą mogli korzystać z usługi HDS dla potrzeb szyfrowania i utracą wszystkie istniejące obszary. Przed usunięciem organizacji klientów skontaktuj się z partnerem lub opiekunem klienta Cisco.

1	Zaloguj się w https://admin.webex.com.
2	Z menu po lewej stronie ekranu wybierz pozycję Usługi.
3	W sekcji Usługi chmury znajdź usługę hybrydowego zabezpieczenia danych i kliknij opcję Wyświetl wszystko.
4	Na karcie Zasoby kliknij klaster, z którego chcesz usunąć organizacje klientów.
5	Na stronie, która się otworzy, kliknij pozycję Przypisani klienci.
6	Z wyświetlonej listy organizacji klientów kliknij ... po prawej stronie organizacji klienta, którą chcesz usunąć, i kliknij pozycję Usuń z klastra.

Co zrobić dalej

Zakończ proces usuwania, odwołując kody CMK organizacji klientów zgodnie z opisem w części Unieważnij kody CMK dzierżaw usuniętych z HDS.

Unieważnij CMK dzierżaw usuniętych z HDS.

Przed rozpoczęciem

Usuń klientów z odpowiedniego klastra, jak opisano w części Usuń organizacje dzierżawy. Uruchom narzędzie Konfiguracja usług HDS, aby zakończyć proces usuwania organizacji klientów, które zostały usunięte.

Narzędzie HDS Setup działa jako kontener platformy Docker na komputerze lokalnym. Aby uzyskać do niego dostęp, uruchom Docker na tym komputerze. Proces konfiguracji wymaga poświadczeń konta w Partner Hub z pełnymi uprawnieniami administratora dla Twojej organizacji.

Jeśli narzędzie konfiguracji HDS działa za serwerem proxy w środowisku, podaj ustawienia serwera proxy (serwer, port, poświadczenia) przez zmienne środowiskowe Docker podczas podnoszenia kontenera Docker w kroku 5. Ta tabela zawiera kilka możliwych zmiennych środowiskowych:

Opis	Zmienna
Serwer proxy HTTP bez uwierzytelniania	`GLOBALNY_AGENT_HTTP_PROXY=http://SERWER_IP:PORT`
Serwer proxy HTTPS bez uwierzytelniania	`GLOBALNY_AGENT_HTTPS_PROXY=http://SERWER_IP:PORT`
Serwer proxy HTTP z uwierzytelnianiem	`GLOBALNY_AGENT_HTTP_PROXY=http://NAZWA_UŻYTKOWNIKA:HASŁO@SERWER_IP:PORT`
Serwer proxy HTTPS z uwierzytelnianiem	`GLOBALNY_AGENT_HTTPS_PROXY=http://NAZWA_UŻYTKOWNIKA:HASŁO@SERWER_IP:PORT`

Wygenerowany plik ISO konfiguracji zawiera klucz główny do szyfrowania bazy danych PostgreSQL lub Microsoft SQL Server. Najnowszą kopię tego pliku należy zawsze wprowadzać zmiany w konfiguracji, takie jak:
- Poświadczenia bazy danych
- Aktualizacje certyfikatu
- Zmiany w zasadach autoryzacji
Jeśli planujesz szyfrować połączenia z bazami danych, skonfiguruj wdrożenie PostgreSQL lub SQL Server dla protokołu TLS.

Proces konfiguracji usługi hybrydowego zabezpieczenia danych tworzy plik ISO. Następnie za pomocą interfejsu ISO można skonfigurować hosta usługi hybrydowego zabezpieczenia danych.

1	W wierszu poleceń komputera wprowadź polecenie odpowiednie dla swojego środowiska: W zwykłych środowiskach: `docker rmi ciscocitg/hds-konfiguracja:stabilna` W środowiskach FedRAMP: `docker rmi ciscocitg/hds-setup-fedramp:stable` Ten krok czyści poprzednie obrazy narzędzia konfiguracji HDS. Jeśli nie ma poprzednich obrazów, zwraca błąd, który można zignorować.
2	Aby zalogować się do rejestru obrazów platformy Docker, wprowadź następujące informacje: `docker login -u hdscustomersro`
3	Po wyświetleniu monitu o hasło wprowadź ten skrót: `dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo`
4	Pobierz najnowszy stabilny obraz dla swojego środowiska: W zwykłych środowiskach: `docker ciągnąć ciscocitg / hds-setup:stable` W środowiskach FedRAMP: `docker ciągnąć ciscocitg/hds-setup-fedramp:stable`
5	Po zakończeniu ściągania wprowadź odpowiednie polecenie dla swojego środowiska: W zwykłych środowiskach bez proxy: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable` W zwykłych środowiskach z proxy HTTP: `docker run -p 8080:8080 --rm -it -e GLOBALNY_AGENT_HTTP_PROXY=http://SERWER_IP:PORT ciscocitg/hds-setup:stable` W zwykłych środowiskach z serwerem proxy HTTPS: `docker run -p 8080:8080 --rm -it -e GLOBALNY_AGENT_HTTPS_PROXY=http://SERWER_IP:PORT ciscocitg/hds-setup:stable` W środowiskach FedRAMP bez proxy: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable` W środowiskach FedRAMP z proxy HTTP: `docker run -p 8080:8080 --rm -it -e GLOBALNY_AGENT_HTTP_PROXY=http://SERWER_IP:PORT ciscocitg/hds-setup-fedramp:stable` W środowiskach FedRAMP z proxy HTTPS: `docker run -p 8080:8080 --rm -it -e GLOBALNY_AGENT_HTTPS_PROXY=http://SERWER_IP:PORT ciscocitg/hds-setup-fedramp:stable` Gdy kontener jest uruchomiony, zobaczysz komunikat „Serwer ekspresowy nasłuchuje na porcie 8080”.
6	Narzędzie konfiguracyjne nie obsługuje łączenia się z hostem localhost za pośrednictwem serwera http://localhost:8080. Użyj, http://127.0.0.1:8080 aby połączyć się z localhost. Użyj przeglądarki internetowej, aby przejść do hosta lokalnego `http://127.0.0.1:8080`i po wyświetleniu monitu wprowadź nazwę użytkownika administratora dla Partner Hub. Narzędzie używa tego pierwszego wpisu nazwy użytkownika w celu ustawienia środowiska dla tego konta. Następnie narzędzie wyświetla standardowy monit o zalogowanie.
7	Po wyświetleniu monitu wprowadź poświadczenia logowania administratora Partner Hub, a następnie kliknij przycisk Zaloguj , aby zezwolić na dostęp do wymaganych usług hybrydowego zabezpieczenia danych.
8	Na stronie Przegląd narzędzia konfiguracji kliknij przycisk Rozpocznij.
9	Na stronie Import ISO kliknij przycisk Tak.
10	Wybierz plik ISO w przeglądarce i prześlij go.
11	Przejdź do karty Zarządzanie CMK dzierżawy , na której znajdziesz następujące trzy sposoby zarządzania CMK dzierżawy. Unieważnij CMK dla wszystkich organizacji lub Unieważnij CMK — kliknij ten przycisk na banerze u góry ekranu, aby unieważnić CMK wszystkich organizacji, które zostały usunięte. Kliknij przycisk Zarządzaj CMK po prawej stronie ekranu i kliknij przycisk Unieważnij CMK , aby unieważnić CMK wszystkich organizacji, które zostały usunięte. Kliknij w pobliżu stanu CMK, aby unieważnić konkretną organizację, a następnie kliknij przycisk Unieważnij CMK , aby unieważnić CMK dla danej organizacji.
12	Po pomyślnym odwołaniu CMK organizacja klienta nie będzie już widoczna w tabeli.
13	Jeśli unieważnienie CMK nie powiedzie się, zostanie wyświetlony błąd.

Przetestuj swoje wdrożenie usługi hybrydowego zabezpieczenia danych

Ta procedura służy do testowania scenariuszy szyfrowania usługi hybrydowego zabezpieczenia danych dla wielu dzierżaw.

Przed rozpoczęciem

Skonfiguruj wdrożenie usługi hybrydowego zabezpieczenia danych dla wielu dzierżawców.
Upewnij się, że masz dostęp do dziennika systemowego, aby sprawdzić, czy żądania kluczy są przekazywane do wdrożenia hybrydowego zabezpieczenia danych z wieloma dzierżawcami.

1

Twórca obszaru ustawia klawisze dla danego obszaru. Zaloguj się do aplikacji Webex jako jeden z użytkowników organizacji klienta, a następnie utwórz obszar.

Po dezaktywacji wdrożenia usługi hybrydowego zabezpieczenia danych treści w obszarach utworzonych przez użytkowników nie będą już dostępne po zastąpieniu kopii kluczy szyfrowania zapisanych w pamięci podręcznej klienta.

2

Wysyłaj wiadomości do nowego obszaru.

3

Sprawdź dane wyjściowe dziennika systemu, aby sprawdzić, czy żądania kluczy są przekazywane do wdrożenia usługi hybrydowego zabezpieczenia danych.

Aby sprawdzić, czy użytkownik najpierw ustanawia bezpieczny kanał do serwera KMS, odfiltruj w interfejsie kms.data.method=create i kms.data.type=EFEMERAL_KEY_COLLECTION:

Należy znaleźć wpis taki jak następujący (identyfikatory skrócone dla czytelności):

2020-07-21 17:35:34.562 (+0000) INFORMACJE KMS [pool-14-thread-1] — [KMS:REQUEST] odebrano, identyfikator urządzenia: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EFEMERAL_KEY_COLLECTION, kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

Aby sprawdzić, czy użytkownik żąda istniejącego klucza z serwera KMS, odfiltruj dane w interfejsie kms.data.method=retrieve i kms.data.type=KEY:

Znajdziesz tam następujące pozycje:

2020-07-21 17:44:19.889 (+0000) INFORMACJE KMS [pool-14-thread-31] — [KMS:REQUEST] odebrano, identyfikator urządzenia: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

Aby sprawdzić użytkownika z prośbą o utworzenie nowego klucza KMS, odfiltruj według ustawień kms.data.method=create i kms.data.type=KEY_COLLECTION:

Znajdziesz tam następujące pozycje:

2020-07-21 17:44:21.975 (+0000) INFORMACJE KMS [pool-14-thread-33] - [KMS:REQUEST] odebrano, identyfikator urządzenia: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

Aby sprawdzić, czy użytkownik z prośbą o utworzenie nowego obiektu zasobów KMS (KRO) podczas tworzenia obszaru lub innego chronionego zasobu, odfiltruj według ustawień kms.data.method=create i kms.data.type=RESOURCE_COLLECTION:

Znajdziesz tam następujące pozycje:

2020-07-21 17:44:22.808 (+0000) INFORMACJE KMS [pool-15-thread-1] — [KMS:REQUEST] odebrano, identyfikator urządzenia: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

Monitoruj stan hybrydowego zabezpieczenia danych

Wskaźnik stanu w Partner Hub pokazuje, czy wszystko działa dobrze z wdrożeniem hybrydowego zabezpieczenia danych dla wielu dzierżawców. Aby uzyskać bardziej aktywne alerty, zarejestruj się w celu otrzymywania powiadomień e-mail. Będziesz otrzymywać powiadomienia w przypadku alarmów dotyczących usługi lub uaktualnień oprogramowania.

1	W Partner Hub wybierz pozycję Usługi z menu po lewej stronie ekranu.
2	W sekcji Usługi chmury znajdź usługę hybrydowego zabezpieczenia danych i kliknij opcję Edytuj ustawienia. Zastanie wyświetlona strona ustawień usługi hybrydowego zabezpieczenia danych.
3	W sekcji Powiadomienia e-mail wpisz co najmniej jeden adres e-mail oddzielony przecinkami i naciśnij klawisz Enter.

Zarządzaj wdrożeniem urządzeń HDS

Zarządzaj wdrożeniem usług HDS

Do zarządzania wdrożeniem usługi hybrydowego zabezpieczenia danych służą opisane w tym miejscu zadania.

Ustaw harmonogram uaktualniania klastra

Aktualizacje oprogramowania usługi hybrydowego zabezpieczenia danych są wykonywane automatycznie na poziomie klastra, co zapewnia, że na wszystkich węzłach zawsze działa ta sama wersja oprogramowania. Uaktualnienia są wykonywane zgodnie z harmonogramem uaktualniania klastra. Po udostępnieniu uaktualnienia oprogramowania masz możliwość ręcznego uaktualnienia klastra przed zaplanowaną godziną uaktualnienia. Możesz ustawić określony harmonogram uaktualniania lub użyć domyślnego harmonogramu aktualizacji 3:00 czasu AM Daily, Stany Zjednoczone: Ameryka/Los Angeles. W razie potrzeby możesz także zdecydować się na odroczenie nadchodzącego uaktualnienia.

Aby ustawić harmonogram uaktualniania:

1	Zaloguj się do Centrum partnerów.
2	Z menu po lewej stronie ekranu wybierz pozycję Usługi.
3	W sekcji Usługi chmury znajdź usługę hybrydowego zabezpieczenia danych i kliknij opcję Skonfiguruj
4	Na stronie Zasoby hybrydowego zabezpieczenia danych wybierz klaster.
5	Kliknij kartę Ustawienia klastra .
6	Na stronie Ustawienia klastra w obszarze Harmonogram uaktualniania wybierz strefę czasową i strefę czasową harmonogramu uaktualniania. Uwaga: W strefie czasowej wyświetlana jest kolejna dostępna data i godzina uaktualnienia. W razie potrzeby można odroczyć uaktualnienie na następny dzień, klikając opcję Odłóż o 24 godziny.

Zmień konfigurację węzła

Czasami może być konieczna zmiana konfiguracji węzła Hybrid Data Security z takiego powodu, jak:

Zmiana certyfikatów x.509 z powodu wygaśnięcia lub z innych powodów.

Nie obsługujemy zmiany nazwy domeny CN certyfikatu. Domena musi być zgodna z oryginalną domeną użytą do rejestracji klastra.
Aktualizacja ustawień bazy danych w celu zmiany na replikę bazy danych PostgreSQL lub Microsoft SQL Server.

Nie obsługujemy migracji danych z PostgreSQL do Microsoft SQL Server lub odwrotnie. Aby przełączyć środowisko bazy danych, rozpocznij nowe wdrożenie Hybrid Data Security.
Tworzenie nowej konfiguracji w celu przygotowania nowego centrum danych.

Ponadto ze względów bezpieczeństwa usługa Hybrid Data Security używa haseł do kont usług, które mają dziewięciomiesięczny okres użytkowania. Gdy narzędzie HdS Setup wygeneruje te hasła, należy je wdrożyć w każdym z węzłów HDS w pliku konfiguracyjnym ISO. Gdy hasła Twojej organizacji zbliżają się do wygaśnięcia, otrzymasz powiadomienie od zespołu Webex o zresetowaniu hasła do konta komputera. (Wiadomość e-mail zawiera tekst „Użyj interfejsu API konta komputera, aby zaktualizować hasło”). Jeśli Twoje hasła jeszcze nie wygasły, narzędzie oferuje dwie opcje:

Resetowanie programowe — stare i nowe hasła działają przez maksymalnie 10 dni. Wykorzystaj ten okres, aby stopniowo zastępować plik ISO w węzłach.
Zresetuj całkowicie — stare hasła natychmiast przestaną działać.

Jeśli hasła wygasną bez resetowania, ma to wpływ na usługę HDS, wymagając natychmiastowego twardego resetu i wymiany pliku ISO na wszystkich węzłach.

Użyj tej procedury, aby wygenerować nowy konfiguracyjny plik ISO i zastosować go do klastra.

Przed rozpoczęciem

Narzędzie HDS Setup działa jako kontener platformy Docker na komputerze lokalnym. Aby uzyskać do niego dostęp, uruchom Docker na tym komputerze. Proces konfiguracji wymaga poświadczeń konta w Partner Hub z pełnymi uprawnieniami administratora partnera.

Jeśli narzędzie konfiguracji HDS działa za serwerem proxy w środowisku, podaj ustawienia serwera proxy (serwer, port, poświadczenia) przez zmienne środowiskowe Docker podczas wprowadzania kontenera Docker w 1.e. Ta tabela zawiera kilka możliwych zmiennych środowiskowych:

Opis	Zmienna
Serwer proxy HTTP bez uwierzytelniania	`GLOBALNY_AGENT_HTTP_PROXY=http://SERWER_IP:PORT`
Serwer proxy HTTPS bez uwierzytelniania	`GLOBALNY_AGENT_HTTPS_PROXY=http://SERWER_IP:PORT`
Serwer proxy HTTP z uwierzytelnianiem	`GLOBALNY_AGENT_HTTP_PROXY=http://NAZWA_UŻYTKOWNIKA:HASŁO@SERWER_IP:PORT`
Serwer proxy HTTPS z uwierzytelnianiem	`GLOBALNY_AGENT_HTTPS_PROXY=http://NAZWA_UŻYTKOWNIKA:HASŁO@SERWER_IP:PORT`

Do wygenerowania nowej konfiguracji potrzebna jest kopia bieżącego konfiguracyjnego pliku ISO. ISO zawiera klucz główny szyfrujący bazę danych PostgreSQL lub Microsoft SQL Server. Plik ISO jest potrzebny podczas wprowadzania zmian w konfiguracji, w tym poświadczeń bazy danych, aktualizacji certyfikatów lub zmian zasad autoryzacji.

1	Korzystając z platformy Docker na komputerze lokalnym, uruchom narzędzie HDS Setup Tool. W wierszu poleceń komputera wprowadź polecenie odpowiednie dla swojego środowiska: W zwykłych środowiskach: `docker rmi ciscocitg/hds-konfiguracja:stabilna` W środowiskach FedRAMP: `docker rmi ciscocitg/hds-setup-fedramp:stable` Ten krok czyści poprzednie obrazy narzędzia konfiguracji HDS. Jeśli nie ma poprzednich obrazów, zwraca błąd, który można zignorować. Aby zalogować się do rejestru obrazów platformy Docker, wprowadź następujące informacje: `docker login -u hdscustomersro` Po wyświetleniu monitu o hasło wprowadź ten skrót: `dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo` Pobierz najnowszy stabilny obraz dla swojego środowiska: W zwykłych środowiskach: `docker ciągnąć ciscocitg / hds-setup:stable` W środowiskach FedRAMP: `docker ciągnąć ciscocitg/hds-setup-fedramp:stable` Upewnij się, że pobierasz najnowsze narzędzie instalacyjne dla tej procedury. Wersje narzędzia utworzone przed 22 lutego 2018 r. nie mają ekranów resetowania hasła. Po zakończeniu ściągania wprowadź odpowiednie polecenie dla swojego środowiska: W zwykłych środowiskach bez proxy: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable` W zwykłych środowiskach z proxy HTTP: `docker run -p 8080:8080 --rm -it -e GLOBALNY_AGENT_HTTP_PROXY=http://SERWER_IP:PORT ciscocitg/hds-setup:stable` W zwykłych środowiskach z HTTPSproxy: `docker run -p 8080:8080 --rm -it -e GLOBALNY_AGENT_HTTPS_PROXY=http://SERWER_IP:PORT ciscocitg/hds-setup:stable` W środowiskach FedRAMP bez proxy: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable` W środowiskach FedRAMP z proxy HTTP: `docker run -p 8080:8080 --rm -it -e GLOBALNY_AGENT_HTTP_PROXY=http://SERWER_IP:PORT ciscocitg/hds-setup-fedramp:stable` W środowiskach FedRAMP z proxy HTTPS: `docker run -p 8080:8080 --rm -it -e GLOBALNY_AGENT_HTTPS_PROXY=http://SERWER_IP:PORT ciscocitg/hds-setup-fedramp:stable` Gdy kontener jest uruchomiony, widzisz "Serwer ekspresowy nasłuchujący na porcie 8080". Użyj przeglądarki, aby połączyć się z hostem lokalnym, `http://127.0.0.1:8080`. Narzędzie konfiguracyjne nie obsługuje łączenia się z hostem localhost za pośrednictwem serwera http://localhost:8080. Użyj, http://127.0.0.1:8080 aby połączyć się z localhost. Po wyświetleniu monitu wprowadź poświadczenia logowania klienta w Partner Hub, a następnie kliknij przycisk Akceptuj , aby kontynuować. Zaimportuj bieżący konfiguracyjny plik ISO. Postępuj zgodnie z instrukcjami, aby ukończyć narzędzie i pobrać zaktualizowany plik. Aby zamknąć narzędzie konfiguracyjne, wpisz `CTRL+C`. Utwórz kopię zapasową zaktualizowanego pliku w innym centrum danych.
2	Jeśli masz uruchomiony tylko jeden węzeł HDS, utwórz nowy węzeł usługi hybrydowego zabezpieczenia danych i zarejestruj go za pomocą nowego pliku ISO konfiguracji. Aby uzyskać bardziej szczegółowe instrukcje, zobacz Tworzenie i rejestrowanie większej liczby węzłów. Zainstaluj OVA hosta HDS. Skonfiguruj maszynę wirtualną HDS. Zamontuj zaktualizowany plik konfiguracyjny. Zarejestruj nowy węzeł w Partner Hub.
3	W przypadku istniejących węzłów HDS, na których działa starszy plik konfiguracyjny, podłącz plik ISO. Wykonaj następującą procedurę na każdym węźle po kolei, aktualizując każdy węzeł przed wyłączeniem następnego węzła: Wyłącz maszynę wirtualną. W lewym okienku nawigacji klienta VMware vSphere kliknij prawym przyciskiem myszy maszynę wirtualną i kliknij opcję Edytuj ustawienia. Kliknij `pozycję Napęd CD/DVD 1`, wybierz opcję instalacji z pliku ISO i przejdź do lokalizacji, do której pobrano nowy plik konfiguracyjny ISO. Zaznacz Połącz przy włączeniu. Zapisz zmiany i włącz maszynę wirtualną.
4	Powtórz krok 3, aby zastąpić konfigurację na każdym pozostałym węźle, na którym działa stara konfiguracja.

Wyłączanie trybu zablokowanego zewnętrznego rozpoznawania DNS

Podczas rejestrowania węzła lub sprawdzania konfiguracji serwera proxy węzła proces testuje wyszukiwanie DNS i łączność z chmurą Cisco Webex. Jeśli serwer DNS węzła nie może rozpoznać publicznych nazw DNS, węzeł automatycznie przechodzi w tryb zablokowanego zewnętrznego rozpoznawania DNS.

Jeśli węzły są w stanie rozpoznawać publiczne nazwy DNS za pośrednictwem wewnętrznych serwerów DNS, można wyłączyć ten tryb, ponownie uruchamiając test połączenia proxy w każdym węźle.

Przed rozpoczęciem

Upewnij się, że wewnętrzne serwery DNS mogą rozpoznawać publiczne nazwy DNS i że węzły mogą się z nimi komunikować.

1	W przeglądarce sieci Web otwórz interfejs węzła Hybrid Data Security (na przykład adres IP/konfiguracja https://192.0.2.0/setup), wprowadź poświadczenia administratora skonfigurowane dla węzła, a następnie kliknij przycisk Zaloguj.
2	Przejdź do Przegląd (strona domyślna). Gdy ta opcja jest włączona, opcja Zablokowane zewnętrzne rozpoznawanie DNS jest ustawiona na Tak.
3	Przejdź do strony Trust Store & Proxy.
4	Kliknij przycisk Sprawdź połączenie proxy. Jeśli zostanie wyświetlony komunikat informujący, że zewnętrzne rozpoznawanie nazw DNS nie powiodło się, oznacza to, że węzeł nie mógł połączyć się z serwerem DNS i pozostanie w tym trybie. W przeciwnym razie, po ponownym uruchomieniu węzła i powrocie do strony Przegląd, Zablokowane zewnętrzne rozpoznawanie DNS powinno być ustawione na nie.

Co dalej?

Powtórz test połączenia proxy dla każdego węzła w klastrze hybrid Data Security.

Usuń węzeł

Ta procedura umożliwia usunięcie węzła usługi hybrydowego zabezpieczenia danych z chmury Webex. Po usunięciu węzła z klastra usuń maszynę wirtualną, aby zapobiec dalszemu dostępowi do danych zabezpieczeń.

1

Użyj klienta VMware vSphere na komputerze, aby zalogować się do hosta wirtualnego ESXi i wyłączyć maszynę wirtualną.

2

Usuń węzeł:

Zaloguj się do Partner Hub, a następnie wybierz pozycję Usługi.
Na karcie usługi hybrydowego zabezpieczenia danych kliknij przycisk Wyświetl wszystko , aby wyświetlić stronę zasobów usługi hybrydowego zabezpieczenia danych.
Wybierz klaster, aby wyświetlić jego panel Przegląd.
Kliknij węzeł, który chcesz usunąć.
Kliknij Wyrejestruj ten węzeł na panelu wyświetlanym po prawej stronie
Możesz również wyrejestrować węzeł, klikając … po prawej stronie węzła i wybierając opcję Usuń ten węzeł.

3

W kliencie vSphere usuń maszynę wirtualną. (W lewym okienku nawigacyjnym kliknij prawym przyciskiem myszy maszynę wirtualną i kliknij opcję Usuń).

Jeśli nie usuniesz maszyny wirtualnej, pamiętaj, aby odmontować plik ISO konfiguracji. Bez pliku ISO nie możesz korzystać z maszyny wirtualnej w celu uzyskania dostępu do danych zabezpieczeń.

Przywracanie po awarii przy użyciu centrum danych w trybie gotowości

Najważniejszą usługą zapewnianą przez klaster usługi hybrydowego zabezpieczenia danych jest tworzenie i przechowywanie kluczy używanych do szyfrowania wiadomości i innych treści przechowywanych w chmurze Webex. Dla każdego użytkownika w organizacji, który jest przypisany do usługi hybrydowego zabezpieczenia danych, nowe żądania utworzenia kluczy są kierowane do klastra. Klaster jest również odpowiedzialny za zwracanie utworzonych przez siebie kluczy do wszystkich użytkowników uprawnionych do ich pobrania, na przykład członków obszaru konwersacji.

Ponieważ klaster pełni kluczową funkcję dostarczania tych kluczy, konieczne jest, aby klaster nadal działał i aby zachowano odpowiednie kopie zapasowe. Utrata bazy danych usługi hybrydowego zabezpieczenia danych lub konfiguracji ISO użytej do schematu spowoduje NIEODWRACALNĄ UTRATĘ zawartości klienta. Aby zapobiec takiej utracie, obowiązkowe są następujące praktyki:

Jeśli awaria spowoduje niedostępność wdrożenia usług HDS w podstawowym centrum danych, wykonaj tę procedurę, aby ręcznie przełączyć się w tryb awaryjny do centrum danych.

Przed rozpoczęciem

Wyrejestruj wszystkie węzły z Partner Hub, jak opisano w sekcji Usuń węzeł. Aby wykonać opisaną poniżej procedurę przełączenia awaryjnego, użyj najnowszego pliku ISO, który został skonfigurowany w węzłach klastra, który był wcześniej aktywny.

1	Uruchom narzędzie konfiguracji HDS i wykonaj czynności wymienione w części Utwórz konfigurację ISO dla hostów HDS.
2	Zakończ proces konfiguracji i zapisz plik ISO w łatwym do znalezienia miejscu.
3	Utwórz kopię zapasową pliku ISO w lokalnym systemie. Zachowaj bezpieczeństwo kopii zapasowej. Ten plik zawiera główny klucz szyfrowania zawartości bazy danych. Ogranicz dostęp tylko do administratorów usługi hybrydowego zabezpieczenia danych, którzy powinni dokonać zmian w konfiguracji.
4	W lewym okienku nawigacji klienta VMware vSphere kliknij prawym przyciskiem myszy maszynę wirtualną i kliknij opcję Edytuj ustawienia.
5	Kliknij Edytuj ustawienia >Dysk CD/DVD 1 i wybierz Plik ISO magazynu danych. Upewnij się, że opcje Połączono i Połącz po włączeniu zasilania są zaznaczone, aby zaktualizowane zmiany konfiguracji mogły zostać zastosowane po uruchomieniu węzłów.
6	Włącz węzeł HDS i upewnij się, że nie ma alarmów przez co najmniej 15 minut.
7	Zarejestruj węzeł w Partner Hub. Zobacz Zarejestruj pierwszy węzeł w klastrze.
8	Powtórz ten proces dla każdego węzła w centrum danych w trybie gotowości.

Co zrobić dalej

Po przełączeniu awaryjnym, jeśli główne centrum danych ponownie stanie się aktywne, wyrejestruj węzły centrum danych w trybie gotowości i powtórz proces konfiguracji ISO i rejestracji węzłów podstawowego centrum danych, jak wspomniano powyżej.

(Opcjonalnie) Odmontuj ISO po konfiguracji HDS

Standardowa konfiguracja trybu HDS jest uruchomiona z zamontowaną normą ISO. Jednak niektórzy klienci wolą nie pozostawiać plików ISO stale montowanych. Plik ISO można odmontować, gdy wszystkie węzły HDS odbiorą nową konfigurację.

Nadal używasz plików ISO do wprowadzania zmian w konfiguracji. Podczas tworzenia nowego certyfikatu ISO lub aktualizacji certyfikatu ISO za pomocą narzędzia konfiguracji należy zamontować zaktualizowany certyfikat ISO na wszystkich węzłach trybu HDS. Gdy wszystkie węzły odbiorą zmiany konfiguracji, można ponownie odmontować obraz ISO za pomocą tej procedury.

Przed rozpoczęciem

Uaktualnij wszystkie węzły HDS do wersji 2021.01.22.4720 lub nowszej.

1	Wyłącz jeden z węzłów trybu HDS.
2	W urządzeniu vCenter Server Device wybierz węzeł HDS.
3	Wybierz pozycję Edytuj ustawienia > napęd CD/DVD i usuń zaznaczenie pola wyboru Plik ISO magazynu danych.
4	Włącz węzeł HDS i upewnij się, że nie ma alarmów przez co najmniej 20 minut.
5	Powtórz kolejno dla każdego węzła HDS.

Rozwiązywanie problemów z usługą hybrydowego zabezpieczenia danych

Wyświetlanie alertów i rozwiązywanie problemów

Wdrożenie usługi hybrydowego zabezpieczenia danych jest uważane za niedostępne, jeśli wszystkie węzły w klastrze są niedostępne lub klaster działa tak wolno, że wymaga przekroczenia limitu czasu. Jeśli użytkownicy nie mogą połączyć się z klastrem usługi hybrydowego zabezpieczenia danych, wystąpią następujące objawy:

Nie można tworzyć nowych obszarów (nie można utworzyć nowych kluczy)
Nie można odszyfrować wiadomości i tytułów obszarów dla:
- Nowi użytkownicy dodani do obszaru (nie można pobrać kluczy)
- Istniejący użytkownicy w obszarze korzystający z nowego klienta (nie można pobrać kluczy)
Istniejący użytkownicy w obszarze będą nadal działać pomyślnie, o ile ich klienci mają pamięć podręczną kluczy szyfrowania

Ważne jest, aby prawidłowo monitorować klaster usługi hybrydowego zabezpieczenia danych i szybko odpowiadać na wszelkie alerty, aby uniknąć zakłóceń w świadczeniu usług.

Alerty

Jeśli wystąpi problem z konfiguracją usługi hybrydowego zabezpieczenia danych, Partner Hub wyświetla alerty do administratora organizacji i wysyła wiadomości e-mail na skonfigurowany adres e-mail. Alerty obejmują wiele typowych scenariuszy.

Tabela 1. Wspólne problemy i kroki umożliwiające ich rozwiązanie
Alarm	Czynność
Błąd dostępu do lokalnej bazy danych.	Sprawdź, czy nie występują błędy bazy danych lub problemy z siecią lokalną.
Błąd połączenia z lokalną bazą danych.	Sprawdź, czy serwer bazy danych jest dostępny i czy w konfiguracji węzła użyto odpowiednich poświadczeń konta usługi.
Błąd dostępu do usługi chmury.	Sprawdź, czy węzły mogą uzyskać dostęp do serwerów Webex zgodnie z Wymaganiami dotyczącymi łączności zewnętrznej.
Odnawianie rejestracji w usłudze w chmurze.	Przerwano rejestrację w usługach w chmurze. Trwa odnawianie rejestracji.
Rejestracja usługi w chmurze została przerwana.	Rejestracja w usługach w chmurze została zakończona. Usługa jest wyłączana.
Usługa nie została jeszcze aktywowana.	Aktywuj usługę HDS w Partner Hub.
Skonfigurowana domena nie jest zgodna z certyfikatem serwera.	Upewnij się, że certyfikat serwera jest zgodny ze skonfigurowaną domeną aktywacji usługi. Najbardziej prawdopodobną przyczyną jest to, że kod CN certyfikatu został ostatnio zmieniony i różni się teraz od kodu używanego podczas początkowej konfiguracji.
Nie można uwierzytelnić usług w chmurze.	Sprawdź dokładność i możliwe wygaśnięcie poświadczeń konta usługi.
Nie można otworzyć pliku lokalnego magazynu kluczy.	Sprawdź integralność i dokładność haseł w pliku lokalnego magazynu kluczy.
Certyfikat serwera lokalnego jest nieprawidłowy.	Sprawdź datę wygaśnięcia certyfikatu serwera i upewnij się, że został on wydany przez zaufany urząd certyfikacji.
Nie można opublikować metryk.	Sprawdź dostęp sieci lokalnej do usług chmury zewnętrznej.
Katalog /media/configdrive/hds nie istnieje.	Sprawdź konfigurację montażu ISO na hoście wirtualnym. Sprawdź, czy plik ISO istnieje, czy jest skonfigurowany do montażu przy ponownym uruchomieniu i czy zamontowano go pomyślnie.
Konfiguracja organizacji dzierżawy dla dodanych organizacji nie została zakończona	Zakończ konfigurację, tworząc moduły CMK dla nowo dodanych organizacji dzierżaw za pomocą narzędzia konfiguracji HDS.
Nie ukończono konfiguracji organizacji dzierżawy dla usuniętych organizacji	Dokończ konfigurację, odwołując identyfikatory CMK organizacji dzierżaw, które zostały usunięte za pomocą narzędzia konfiguracji HDS.

Rozwiązywanie problemów z usługą hybrydowego zabezpieczenia danych

Podczas rozwiązywania problemów z usługą hybrydowego zabezpieczenia danych należy przestrzegać następujących ogólnych wytycznych.

1	Zapoznaj się z Partner Hub, aby uzyskać alerty i napraw wszystkie znajdujące się w tym miejscu elementy. Zobacz poniższy obrazek w celach informacyjnych.
2	Sprawdź dane wyjściowe serwera dziennika systemu pod kątem aktywności we wdrożeniu usługi hybrydowego zabezpieczenia danych. Filtruj słowa, takie jak „Ostrzeżenie” i „Błąd”, aby pomóc w rozwiązywaniu problemów.
3	Skontaktuj się ze wsparciem Cisco.

Inne uwagi

Znane problemy dotyczące hybrydowego zabezpieczenia danych

Jeśli wyłączysz klaster usługi hybrydowego zabezpieczenia danych (usuwając go w Partner Hub lub zamykając wszystkie węzły), stracisz plik ISO konfiguracji lub stracisz dostęp do bazy danych magazynu kluczy, użytkownicy aplikacji Webex w organizacjach klientów nie będą mogli już korzystać z obszarów z listy Osoby, które zostały utworzone za pomocą kluczy z serwera KMS. Obecnie nie mamy obejścia lub rozwiązania tego problemu i zachęcamy do niezamykania usług HDS po obsłużeniu aktywnych kont użytkowników.
Klient, który ma istniejące połączenie ECDH z serwerem KMS, utrzymuje to połączenie przez pewien czas (prawdopodobnie jedną godzinę).

Użyj OpenSSL do generowania pliku PKCS12

Przed rozpoczęciem

OpenSSL to jedno z narzędzi, które można wykorzystać do tworzenia pliku PKCS12 w odpowiednim formacie do załadowania w narzędziu konfiguracyjnym HDS. Istnieją inne sposoby na to, a my nie popieramy ani nie promujemy jednej drogi nad drugą.
Jeśli zdecydujesz się na użycie protokołu OpenSSL, udostępniamy tę procedurę jako wskazówkę, która pomoże Ci utworzyć plik spełniający wymagania certyfikatu X.509 w wymaganiach certyfikatu X.509. Przed kontynuowaniem zrozum te wymagania.
Zainstaluj protokół OpenSSL w obsługiwanym środowisku. Informacje na temat https://www.openssl.org oprogramowania i dokumentacji można znaleźć.
Utwórz klucz prywatny.
Rozpocznij tę procedurę po otrzymaniu certyfikatu serwera od urzędu certyfikacji (CA).

1	Po otrzymaniu certyfikatu serwera od urzędu certyfikacji zapisz go jako `hdsnode.pem`.
2	Wyświetl certyfikat w postaci tekstu i zweryfikuj szczegóły. `openssl x509 -text -noout -in hdsnode.pem`
3	Użyj edytora tekstu, aby utworzyć plik pakietu certyfikatów o nazwie `hdsnode-bundle.pem`. Plik pakietu musi zawierać certyfikat serwera, wszystkie certyfikaty pośredniego urzędu certyfikacji i certyfikaty głównego urzędu certyfikacji w poniższym formacie: `-----ROZPOCZNIJ CERTYFIKAT------ ### Certyfikat serwera. ### -----ZAKOŃCZ CERTYFIKAT-----------ROZPOCZNIJ CERTYFIKAT------ ### Certyfikat pośredniego urzędu certyfikacji. ### -----ZAKOŃCZ CERTYFIKAT----------------- ### Certyfikat GŁÓWNEGO URZĘDU CERTYFIKACJI. ### -----ZAKOŃCZ CERTYFIKAT-------`
4	Utwórz plik .p12 o przyjaznej nazwie `kms-private-key`. `openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -nazwa kms-private-key -caname kms-private-key -out hdsnode.p12`
5	Sprawdź szczegóły certyfikatu serwera. `openssl pkcs12 - w hdsnode.p12` W wyświetlonym monicie wprowadź hasło, aby zaszyfrować klucz prywatny, tak aby był wyświetlany na wyjściu. Następnie sprawdź, czy klucz prywatny i pierwszy certyfikat zawierają linie `friendlyName: kms-klucz prywatny`. Przykład: bash$ openssl pkcs12 - in hdsnode.p12 Wprowadź hasło importu: Atrybuty MAC zweryfikowane przez OK Bag friendlyName: kms-private-key lokalnyIdentyfikatorKlucza: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Atrybuty kluczowe: Wprowadź zdanie przejścia PEM: Weryfikowanie — wprowadź zdanie przejścia PEM: -----ROZPOCZNIJ ZASZYFROWANY KLUCZ PRYWATNY------ -----ZAKOŃCZ ZASZYFROWANY KLUCZ PRYWATNY------- Atrybuty Bag friendlyName: kms-private-key lokalnyIdentyfikatorKlucza: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 -----BEGIN CERTIFICATE------ -----END CERTIFICATE------ Bag Attributes friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3 -----BEGIN CERTIFICATE----- -----END CERTIFICATE-------

Co zrobić dalej

Wróć do tematu Wymagania wstępne dotyczące usługi hybrydowego zabezpieczenia danych. Będziesz używać pliku hdsnode.p12 i ustawionego dla niego hasła w Utwórz konfigurację ISO dla hostów HDS.

Możesz ponownie użyć tych plików, aby zażądać nowego certyfikatu po wygaśnięciu oryginalnego certyfikatu.

Ruch między węzłami HDS a chmurą

Ruch kolekcji metryk wychodzących

Węzły usługi hybrydowego zabezpieczenia danych wysyłają pewne metryki do chmury Webex. Obejmują one metryki systemowe dotyczące maksymalnej sterty, użytej sterty, obciążenia procesora i liczby wątków; metryki wątków synchronicznych i asynchronicznych; metryki alertów dotyczących progu połączeń szyfrowania, opóźnienia lub długości kolejki żądań; metryki w magazynie danych oraz metryki połączeń szyfrowania. Węzły wysyłają zaszyfrowany materiał klucza przez kanał braku pasma (oddzielny od żądania).

Ruch przychodzący

Węzły usługi hybrydowego zabezpieczenia danych odbierają następujące typy ruchu przychodzącego z chmury Webex:

Żądania szyfrowania od klientów trasowane przez usługę szyfrowania
Uaktualnia oprogramowanie węzła

Skonfiguruj serwery proxy Squid dla hybrydowego zabezpieczenia danych

Websocket nie może połączyć się przez Squid Proxy

Serwery proxy Squid, które sprawdzają ruch HTTPS, mogą zakłócać nawiązywanie połączeń Websocket (wss:), których wymaga hybrydowe zabezpieczenia danych. Poniższe sekcje zawierają wskazówki, jak skonfigurować różne wersje Squid, aby ignorować wss: ruchu zapewniającego prawidłowe funkcjonowanie usług.

Kalmary 4 i 5

Dodaj on_unsupported_protocol dyrektywę do squid.conf:

on_unsupported_protocol tunel wszystkie

Kalmary 3.5.27

Z powodzeniem przetestowaliśmy Hybrid Data Security z następującymi regułami dodanymi do squid.conf. Zasady te mogą ulec zmianie w miarę opracowywania funkcji i aktualizowania chmury Webex.

Acl wssMercuryConnection ssl::server_name_regex połączenie z rtęcią ssl_bump splice wssMercuryConnection acl step1 at_step SslBump1 acl step2 at_step SslBump2 acl step3 at_step SslBump3 ssl_bump peek step1 wszystko ssl_bump stare step2 wszystko ssl_bump bump3 wszystko

Nowe i zmienione informacje

Ta tabela zawiera informacje o nowych funkcjach, zmianach w istniejącej zawartości oraz o wszelkich głównych błędach, które zostały usunięte w Przewodniku wdrażania hybrydowego zabezpieczenia danych dla wielu dzierżawców.

Data	Wprowadzono zmiany
08 stycznia 2025 r.	Dodano uwagę w części Wykonaj początkową konfigurację i pobierz pliki instalacyjne stwierdzającą, że kliknięcie Skonfiguruj na karcie HDS w Partner Hub jest ważnym etapem procesu instalacji.
07 stycznia 2025 r.	Zaktualizowano wymagania dotyczące hosta wirtualnego, przepływ zadań wdrażania hybrydowego zabezpieczenia danych i Zainstaluj OVA hosta HDS , aby wyświetlić nowe wymagania dotyczące ESXi 7.0.
13 grudnia 2024 r.	Opublikowano po raz pierwszy.

Dezaktywuj hybrydowe zabezpieczenia danych dla wielu dzierżaw

Przepływ zadań dezaktywacji trybu HDS dla wielu dzierżawców

Aby całkowicie dezaktywować usługę HDS dla wielu dzierżaw, wykonaj poniższe czynności.

Przed rozpoczęciem

To zadanie powinien wykonywać tylko administrator partnera z pełnymi uprawnieniami.

1	Usuń wszystkich klientów ze wszystkich klastrów, jak opisano w części Usuń organizacje dzierżaw.
2	Unieważnij CMK wszystkich klientów, jak wspomniano w części Unieważnij CMK dzierżaw usuniętych z HDS..
3	Usuń wszystkie węzły ze wszystkich klastrów zgodnie z opisem w sekcji Usuń węzeł.
4	Usuń wszystkie klastry z Partner Hub za pomocą jednej z dwóch poniższych metod. Kliknij klaster, który chcesz usunąć, a następnie wybierz pozycję Usuń ten klaster w prawym górnym rogu strony przeglądu. Na stronie Zasoby kliknij … po prawej stronie klastra i wybierz opcję Usuń klaster.
5	Kliknij kartę Ustawienia na stronie Przegląd usługi hybrydowego zabezpieczenia danych, a następnie opcję Dezaktywuj usługę HDS na karcie stanu usługi HDS.

Wprowadzenie do hybrydowego zabezpieczenia danych dla wielu dzierżaw

Omówienie hybrydowego zabezpieczenia danych dla wielu dzierżaw

Od pierwszego dnia bezpieczeństwo danych było głównym celem podczas projektowania aplikacji Webex. Podstawą tego zabezpieczenia jest kompleksowe szyfrowanie treści, które umożliwiają klienci aplikacji Webex współpracujący z usługą zarządzania kluczami (KMS). Usługa KMS jest odpowiedzialna za tworzenie kluczy kryptograficznych używanych przez klientów do dynamicznego szyfrowania i odszyfrowywania wiadomości i plików oraz zarządzanie nimi.

Domyślnie wszyscy klienci aplikacji Webex otrzymują kompleksowe szyfrowanie za pomocą kluczy dynamicznych przechowywanych w chmurze KMS, w sferze bezpieczeństwa Cisco. Hybrid Data Security przenosi KMS i inne funkcje związane z bezpieczeństwem do centrum danych przedsiębiorstwa, dzięki czemu nikt poza Tobą nie posiada kluczy do zaszyfrowanej zawartości.

Hybrydowe zabezpieczenia danych dla wielu dzierżawców umożliwia organizacjom korzystanie z usług HDS za pośrednictwem zaufanego lokalnego partnera, który może działać jako dostawca usług i zarządzać lokalnym szyfrowaniem i innymi usługami zabezpieczeń. Ta konfiguracja umożliwia organizacji partnerskiej pełną kontrolę nad wdrażaniem kluczy szyfrowania i zarządzaniem nimi oraz zapewnia bezpieczeństwo danych użytkowników organizacji klientów przed dostępem zewnętrznym. Organizacje partnerskie konfigurują wystąpienia HDS i w razie potrzeby tworzą klastry HDS. Każde wystąpienie może obsługiwać wiele organizacji klientów w przeciwieństwie do zwykłego wdrażania usług HDS, które jest ograniczone do jednej organizacji.

Chociaż organizacje partnerskie mają kontrolę nad wdrażaniem i zarządzaniem, nie mają dostępu do danych ani treści generowanych przez klientów. Ten dostęp jest ograniczony do organizacji klientów i ich użytkowników.

Pozwala to również mniejszym organizacjom na korzystanie z HDS, ponieważ usługi zarządzania kluczami i infrastruktura zabezpieczeń, taka jak centra danych, są własnością zaufanego partnera lokalnego.

Jak hybrydowe zabezpieczenia danych dla wielu dzierżawców zapewnia suwerenność danych i kontrolę danych

Treści generowane przez użytkowników są chronione przed dostępem zewnętrznym, na przykład przed dostawcami usług w chmurze.
Lokalni zaufani partnerzy zarządzają kluczami szyfrowania klientów, z którymi mają już ustalone relacje.
Opcja lokalnej pomocy technicznej, jeśli została dostarczona przez partnera.
Obsługuje treści spotkań, wiadomości i połączeń.

Ten dokument ma na celu pomóc organizacjom partnerskim w konfigurowaniu klientów w systemie hybrydowego zabezpieczenia danych dla wielu dzierżawców i zarządzaniu nimi.

Role w hybrydowym zabezpieczeniu danych dla wielu dzierżawców

Administrator partnera z pełnymi uprawnieniami — może zarządzać ustawieniami wszystkich klientów, którymi zarządza partner. Może również przypisywać role administratora istniejącym użytkownikom w organizacji oraz przypisywać określonych klientów do zarządzania przez administratorów partnera.
Administrator partnera — może zarządzać ustawieniami klientów skonfigurowanych przez administratora lub przypisanych do użytkownika.
Administrator z pełnymi uprawnieniami — administrator organizacji partnerskiej, który ma uprawnienia do wykonywania takich zadań jak modyfikowanie ustawień organizacji, zarządzanie licencjami i przypisywanie ról.

Kompleksowa konfiguracja trybu HDS dla wielu dzierżawców i zarządzanie wszystkimi organizacjami klientów — wymagane uprawnienia administratora partnera z pełnymi uprawnieniami i administratora z pełnymi uprawnieniami.
Zarządzanie przypisanymi organizacjami dzierżaw — wymagane uprawnienia administratora partnera i administratora z pełnymi uprawnieniami.

Architektura Security Realm

Architektura chmury Webex dzieli różne typy usług na oddzielne domeny lub domeny zaufania, jak pokazano poniżej.

Aby lepiej zrozumieć usługę hybrydowego zabezpieczenia danych, przyjrzyjmy się najpierw tej czystej chmurze, w której firma Cisco udostępnia wszystkie funkcje w swoich domenach chmury. Usługa tożsamości, jedyne miejsce, w którym użytkownicy mogą być bezpośrednio skorelowani z ich danymi osobowymi, takimi jak adres e-mail, jest logicznie i fizycznie oddzielona od obszaru bezpieczeństwa w centrum danych B. Oba są z kolei oddzielone od obszaru, w którym docelowo przechowywana jest zaszyfrowana zawartość, w centrum danych C.

Na tym schemacie klient jest aplikacją Webex działającą na laptopie użytkownika i uwierzytelnił się w usłudze tożsamości. Gdy użytkownik tworzy wiadomość do wysłania do obszaru, wykonują następujące czynności:

Klient nawiązuje bezpieczne połączenie z usługą zarządzania kluczami (KMS), a następnie żąda klucza w celu zaszyfrowania wiadomości. Bezpieczne połączenie korzysta z protokołu ECDH, a serwer KMS szyfruje klucz przy użyciu klucza głównego AES-256.
Wiadomość jest szyfrowana przed opuszczeniem klienta. Klient wysyła je do usługi indeksowania, która tworzy zaszyfrowane indeksy wyszukiwania, aby pomóc w przyszłych wyszukiwaniu zawartości.
Zaszyfrowana wiadomość jest wysyłana do usługi zgodności w celu sprawdzenia zgodności.
Zaszyfrowana wiadomość jest przechowywana w obszarze miejsca do przechowywania.

Podczas wdrażania hybrydowego zabezpieczenia danych funkcje domeny zabezpieczeń (KMS, indeksowanie i zgodność) są przenoszone do lokalnego centrum danych. Inne usługi w chmurze tworzące usługę Webex (w tym tożsamość i miejsce do przechowywania zawartości) pozostają w domenach Cisco.

Współpraca z innymi organizacjami

Użytkownicy w Twojej organizacji mogą regularnie korzystać z aplikacji Webex do współpracy z uczestnikami zewnętrznymi w innych organizacjach. Gdy jeden z użytkowników poprosi o klucz obszaru należącego do Twojej organizacji (ponieważ został on utworzony przez jednego z użytkowników), serwer KMS wysyła klucz do klienta przez kanał zabezpieczony ECDH. Jeśli jednak inna organizacja jest właścicielem klucza obszaru, serwer KMS kieruje żądanie do chmury Webex przez oddzielny kanał ECDH, aby pobrać klucz z odpowiedniego serwera KMS, a następnie zwraca klucz do użytkownika w oryginalnym kanale.

Usługa KMS działająca w organizacji A sprawdza poprawność połączeń z urządzeniami KMS w innych organizacjach przy użyciu certyfikatów x.509 PKI. Zobacz Przygotowanie środowiska , aby uzyskać szczegółowe informacje na temat generowania certyfikatu x.509 do użycia z wdrożeniem hybrydowego zabezpieczenia danych dla wielu dzierżawców.

Oczekiwania dotyczące wdrożenia hybrydowego zabezpieczenia danych

Wdrożenie hybrydowego zabezpieczenia danych wymaga znacznego zaangażowania i świadomości ryzyka związanego z posiadaniem kluczy szyfrowania.

Aby wdrożyć usługę hybrydowego zabezpieczenia danych, należy zapewnić:

Bezpieczne centrum danych w kraju, które jest obsługiwaną lokalizacją planów Cisco Webex Teams.
Sprzęt, oprogramowanie i dostęp do sieci opisane w części Przygotowanie środowiska.

Całkowita utrata albo konfiguracji ISO tworzonej dla usługi hybrydowego zabezpieczenia danych, albo dostarczonej bazy danych spowoduje utratę kluczy. Utrata klucza uniemożliwia użytkownikom odszyfrowanie zawartości obszaru i innych zaszyfrowanych danych w aplikacji Webex. W takim przypadku można zbudować nowe wdrożenie, ale widoczna będzie tylko nowa zawartość. Aby uniknąć utraty dostępu do danych, należy:

Zarządzanie kopiowaniem i odzyskiwaniem bazy danych oraz certyfikatem ISO konfiguracji.
Przygotuj się do szybkiego odzyskiwania po awarii w przypadku wystąpienia katastrofy, takiej jak awaria dysku bazy danych lub katastrofa centrum danych.

Nie ma mechanizmu, by przenieść klucze z powrotem do chmury po wdrożeniu HDS.

Proces konfiguracji wysokiego poziomu

Ten dokument dotyczy konfigurowania wdrożenia hybrydowego zabezpieczenia danych dla wielu dzierżawców i zarządzania nim:

Skonfiguruj hybrydowe zabezpieczenia danych — obejmuje przygotowanie wymaganej infrastruktury i zainstalowanie oprogramowania hybrydowego zabezpieczenia danych, budowę klastra HDS, dodawanie organizacji dzierżaw do klastra oraz zarządzanie kluczami głównymi klientów (CMK). Umożliwi to wszystkim użytkownikom w organizacjach klientów korzystanie z klastra hybrydowego zabezpieczenia danych do obsługi funkcji zabezpieczeń.

W kolejnych trzech rozdziałach omówiono szczegółowo etapy konfiguracji, aktywacji i zarządzania.
Kontynuuj wdrożenie usługi hybrydowego zabezpieczenia danych — chmura Webex automatycznie zapewnia ciągłe aktualizacje. Dział IT może zapewnić wsparcie Tier One dla tego wdrożenia i w razie potrzeby zaangażować wsparcie Cisco. Możesz korzystać z powiadomień na ekranie i skonfigurować alerty e-mail w Partner Hub.
Zrozumienie popularnych alertów, czynności rozwiązywania problemów i znanych problemów — w przypadku wystąpienia problemów ze wdrażaniem lub korzystaniem z usługi hybrydowego zabezpieczenia danych ostatni rozdział tego przewodnika i załącznik do znanych problemów mogą pomóc w ustaleniu i usunięciu problemu.

Model wdrażania hybrydowego zabezpieczenia danych

W korporacyjnym centrum danych wdrożysz hybrydowe zabezpieczenia danych jako pojedynczy klaster węzłów na osobnych wirtualnych hostach. Węzły komunikują się z chmurą Webex za pośrednictwem bezpiecznych gniazd WebSockets i bezpiecznego HTTP.

Podczas procesu instalacji udostępniamy plik OVA, aby skonfigurować urządzenie wirtualne na maszynach wirtualnych, które udostępniasz. Za pomocą narzędzia konfiguracji usługi HDS można utworzyć niestandardowy plik ISO konfiguracji klastra, który montujesz na każdym węźle. Klaster usługi hybrydowego zabezpieczenia danych korzysta z dostarczonego serwera Syslogd oraz bazy danych PostgreSQL lub Microsoft SQL Server. (Szczegóły połączenia Syslogd i bazy danych można skonfigurować za pomocą narzędzia konfiguracji HDS).

Model wdrażania hybrydowego zabezpieczenia danych

Minimalna liczba węzłów, które można mieć w klastrze, wynosi dwa. Zalecamy co najmniej trzy klastry. Posiadanie wielu węzłów gwarantuje, że usługa nie zostanie przerwana podczas aktualizacji oprogramowania lub innej konserwacji w węźle. (Chmura Webex uaktualnia tylko jeden węzeł naraz).

Wszystkie węzły w klastrze uzyskują dostęp do tego samego magazynu danych klucza oraz do tego samego serwera dziennika systemowego. Same węzły są bezstanowe i obsługują żądania kluczy w sposób zaokrąglony, zgodnie z kierunkiem chmury.

Węzły stają się aktywne po zarejestrowaniu ich w Partner Hub. Aby wyłączyć pojedynczy węzeł, można go wyrejestrować, a w razie potrzeby ponownie go zarejestrować.

Centrum danych w trybie gotowości do odzyskiwania po awarii

Podczas wdrażania konfigurujesz bezpieczne centrum danych w trybie gotowości. W przypadku awarii centrum danych można ręcznie wykonać wdrożenie do centrum danych w trybie gotowości.

Bazy danych aktywnych i rezerwowych centrów danych są ze sobą synchronizowane, co minimalizuje czas potrzebny na wykonanie przełączania awaryjnego.

Aktywne węzły usługi hybrydowego zabezpieczenia danych muszą zawsze znajdować się w tym samym centrum danych, co aktywny serwer bazy danych.

Obsługa serwera proxy

Hybrid Data Security obsługuje jawne, przejrzyste inspekcje i niekontrolujące serwery proxy. Możesz powiązać te serwery proxy z wdrożeniem, aby zabezpieczyć i monitorować ruch z przedsiębiorstwa do chmury. Interfejsu administratora platformy w węzłach można używać do zarządzania certyfikatami i sprawdzania ogólnego stanu łączności po skonfigurowaniu serwera proxy w węzłach.

Węzły Hybrid Data Security obsługują następujące opcje serwera proxy:

Brak serwera proxy — domyślnie, jeśli do zintegrowania serwera proxy nie używasz konfiguracji węzła HDS usługi Trust Store i proxy. Aktualizacja certyfikatu nie jest wymagana.
Przezroczysty, nieweryfikujący serwer proxy — węzły nie są skonfigurowane do używania konkretnego adresu serwera proxy i nie powinny wymagać żadnych zmian, aby pracować z nieweryfikowanym serwerem proxy. Aktualizacja certyfikatu nie jest wymagana.
Przezroczyste tunelowanie lub inspekcja serwera proxy — węzły nie są skonfigurowane do używania określonego adresu serwera proxy. W węzłach nie są wymagane żadne zmiany konfiguracji HTTP ani HTTPS. Jednak węzły potrzebują certyfikatu głównego, aby ufać serwerowi proxy. Inspekcja serwerów proxy jest zwykle używana przez IT do egzekwowania zasad, na których można odwiedzać witryny internetowe, a które nie są dozwolone. Ten typ serwera proxy odszyfrowuje cały ruch (nawet HTTPS).
Jawny serwer proxy — przy użyciu jawnego serwera proxy można wskazać węzłom HDS, którego serwera proxy i schematu uwierzytelniania mają używać. Aby skonfigurować jawny serwer proxy, należy wprowadzić następujące informacje w każdym węźle:
1. Adres IP/FQDN serwera proxy — adres, za pomocą którego można uzyskać dostęp do maszyny proxy.
2. Port serwera proxy — numer portu, którego serwer proxy używa do nasłuchiwania ruchu proxy.
3. Protokół proxy — w zależności od tego, jakie obsługuje serwer proxy, wybierz jeden z następujących protokołów:
  - HTTP — wyświetla i kontroluje wszystkie żądania wysyłane przez klienta.
  - HTTPS — zapewnia kanał do serwera. Klient odbiera i sprawdza poprawność certyfikatu serwera.
4. Typ uwierzytelniania — wybierz jeden z następujących typów uwierzytelniania:
  - Brak — dalsze uwierzytelnianie nie jest wymagane.
    
    Opcja dostępna po wybraniu protokołu HTTP lub HTTPS jako protokołu proxy.
  - Podstawowe — używane w przypadku agenta użytkownika HTTP w celu podania nazwy użytkownika i hasła podczas wykonywania żądania. Używa kodowania Base64.
    
    Opcja dostępna po wybraniu protokołu HTTP lub HTTPS jako protokołu proxy.
    
    Wymaga wprowadzenia nazwy użytkownika i hasła w każdym węźle.
  - Szyfrowanie — służy do potwierdzania konta przed wysłaniem poufnych informacji. Stosuje funkcję skrótu do nazwy użytkownika i hasła przed wysłaniem przez sieć.
    
    Opcja dostępna tylko po wybraniu protokołu HTTPS jako protokołu proxy.
    
    Wymaga wprowadzenia nazwy użytkownika i hasła w każdym węźle.

Przykład hybrydowych węzłów zabezpieczeń danych i serwera proxy

Ten diagram przedstawia przykładowe połączenie między hybrid data security, siecią i serwerem proxy. W przypadku opcji przezroczystego serwera proxy inspekcji i jawnego sprawdzania HTTPS ten sam certyfikat główny musi być zainstalowany na serwerze proxy i w węzłach Hybrid Data Security.

Zablokowany tryb zewnętrznego rozpoznawania DNS (jawne konfiguracje serwera proxy)

Podczas rejestrowania węzła lub sprawdzania konfiguracji serwera proxy węzła proces testuje wyszukiwanie DNS i łączność z chmurą Cisco Webex. We wdrożeniach z jawnymi konfiguracjami serwera proxy, które nie zezwalają na zewnętrzne rozpoznawanie DNS dla klientów wewnętrznych, jeśli węzeł nie może wysłać kwerendy do serwerów DNS, automatycznie przechodzi w tryb zablokowanego zewnętrznego rozpoznawania DNS. W tym trybie można kontynuować rejestrację węzła i inne testy łączności serwera proxy.

Przygotuj środowisko

Wymagania dotyczące hybrydowego zabezpieczenia danych dla wielu dzierżaw

Wymagania licencyjne usługi Cisco Webex

Aby wdrożyć hybrydowe zabezpieczenia danych dla wielu dzierżaw:

Organizacje partnerskie: Skontaktuj się z partnerem lub opiekunem klienta firmy Cisco i upewnij się, że funkcja wielu dzierżaw jest włączona.
Organizacje dzierżaw: Musisz mieć pakiet Pro Pack dla Cisco Webex Control Hub. (Patrz https://www.cisco.com/go/pro-pack.)

Wymagania pulpitu Docker

Przed zainstalowaniem węzłów HDS należy uruchomić program konfiguracyjny programu Docker Desktop. Docker niedawno zaktualizował swój model licencjonowania. Twoja organizacja może wymagać płatnej subskrypcji platformy Docker Desktop.Your organization might require a paid subscription for Docker Desktop. Aby uzyskać szczegółowe informacje, zobacz wpis na blogu Platformy Docker " Docker aktualizuje i rozszerza nasze subskrypcje produktów".

Wymagania certyfikatu X.509

Łańcuch certyfikatów musi spełniać następujące wymagania:

Tabela 1. Wymagania certyfikatu X.509 dla wdrożenia hybrydowego zabezpieczenia danych
Wymaganie	Szczegóły
Podpisany przez zaufany urząd certyfikacji (CA)	Domyślnie ufamy urzędom certyfikacji na liście Mozilli (z wyjątkiem WoSign i StartCom) pod adresem https://wiki.mozilla.org/CA:IncludedCAs.
Nosi nazwę domeny z nazwą pospolitą (CN), która identyfikuje wdrożenie usługi hybrydowego zabezpieczenia danych Nie jest certyfikatem z symbolem wieloznacznym	Numer CN nie musi być dostępny ani być prowadzącym na żywo. Zalecamy używanie nazwy odzwierciedlającej organizację, na przykład `hds.company.com`. CN nie może zawierać znaku * (symbolu wieloznacznego). Kod CN służy do weryfikowania węzłów usługi hybrydowego zabezpieczenia danych w klientach aplikacji Webex. Wszystkie węzły usługi hybrydowego zabezpieczenia danych w klastrze używają tego samego certyfikatu. Serwer KMS identyfikuje się używając domeny CN, a nie żadnej domeny zdefiniowanej w polach SAN x.509v3. Po zarejestrowaniu węzła z tym certyfikatem nie jest obsługiwana zmiana nazwy domeny CN.
Podpis bez SHA1	Oprogramowanie KMS nie obsługuje podpisów SHA1 w celu walidacji połączeń z modułami KMS innych organizacji.
Sformatowany jako plik PKCS #12 zabezpieczony hasłem Użyj przyjaznej nazwy `kms-private-key` , aby oznaczyć certyfikat, klucz prywatny i wszelkie certyfikaty pośrednie do przesłania.	Możesz użyć konwertera, takiego jak OpenSSL, aby zmienić format certyfikatu. Hasło trzeba będzie wprowadzić podczas uruchamiania narzędzia konfiguracji usług HDS.

Oprogramowanie KMS nie wymuszało użycia kluczy ani rozszerzonych ograniczeń użycia kluczy. Niektóre urzędy certyfikacji wymagają, aby do każdego certyfikatu miały zastosowanie rozszerzone ograniczenia użycia klucza, takie jak uwierzytelnianie serwera. Można używać uwierzytelniania serwera lub innych ustawień.

Wymagania dotyczące hosta wirtualnego

Hosty wirtualne, które skonfigurujesz jako węzły usługi hybrydowego zabezpieczenia danych w klastrze, mają następujące wymagania:

Co najmniej dwa oddzielne hosty (zalecane 3) rozmieszczone w tym samym bezpiecznym centrum danych
Zainstalowano i uruchomiono program VMware ESXi 7.0 (lub nowszy).

Jeśli masz starszą wersję oprogramowania ESXi, musisz ją uaktualnić.
Co najmniej 4 procesory vCPU, 8 GB pamięci głównej, 30 GB miejsca na lokalny dysk twardy na serwer

Wymagania serwera bazy danych

Utwórz nową bazę danych do przechowywania kluczy. Nie należy używać domyślnej bazy danych. Aplikacje HDS, po zainstalowaniu, tworzą schemat bazy danych.

Serwer bazy danych ma dwie opcje. Wymagania dotyczące każdego z nich są następujące:

Tabela 2. Wymagania serwera bazy danych według typu bazy danych
PostgreSQL-a	Serwer Microsoft SQL
PostgreSQL 14, 15 lub 16 jest zainstalowany i uruchomiony.	Zainstalowano oprogramowanie SQL Server 2016, 2017 lub 2019 (Enterprise lub Standard). Program SQL Server 2016 wymaga pakietu Service Pack 2 i aktualizacji skumulowanej 2 lub nowszej.
Co najmniej 8 procesorów vCPU, 16 GB pamięci głównej, wystarczająca ilość miejsca na dysku twardym i monitorowanie, aby nie było przekroczone (zalecane 2 TB, jeśli chcesz uruchomić bazę danych przez długi czas bez konieczności zwiększania miejsca do przechowywania)	Co najmniej 8 procesorów vCPU, 16 GB pamięci głównej, wystarczająca ilość miejsca na dysku twardym i monitorowanie, aby nie było przekroczone (zalecane 2 TB, jeśli chcesz uruchomić bazę danych przez długi czas bez konieczności zwiększania miejsca do przechowywania)

Oprogramowanie HDS instaluje obecnie następujące wersje sterowników do komunikacji z serwerem bazy danych:

PostgreSQL-a

Serwer Microsoft SQL

Postgres JDBC sterownik 42.2.5

Sterownik SQL Server JDBC 4.6

Ta wersja sterownika obsługuje funkcję SQL Server Always On (zawsze włączone wystąpienia klastra przełączenia awaryjnego i zawsze włączone grupy dostępności).

Dodatkowe wymagania dotyczące uwierzytelniania w systemie Windows przy użyciu programu Microsoft SQL Server

Jeśli chcesz, aby węzły HDS korzystały z uwierzytelniania w systemie Windows w celu uzyskania dostępu do bazy danych magazynu kluczy na serwerze Microsoft SQL Server, potrzebujesz następującej konfiguracji w środowisku:

Wszystkie węzły HDS, infrastruktura Active Directory i oprogramowanie MS SQL Server muszą być synchronizowane z protokołem NTP.
Konto systemu Windows dostarczane węzłom HDS musi mieć dostęp do odczytu/zapisu do bazy danych.
Serwery DNS dostarczane do węzłów HDS muszą być w stanie rozpoznać Twoje centrum dystrybucji kluczy (KDC).
Wystąpienie bazy danych HDS na serwerze Microsoft SQL można zarejestrować jako nazwę główną usługi (SPN) w usłudze Active Directory. Zobacz Rejestrowanie nazwy głównej usługi dla połączeń Kerberos.

Narzędzie konfiguracyjne usługi HDS, uruchamianie usługi HDS i lokalny serwer KMS muszą korzystać z uwierzytelniania systemu Windows, aby uzyskać dostęp do bazy danych magazynu kluczy. Używają oni szczegółów z konfiguracji ISO do skonstruowania SPN przy żądaniu dostępu z uwierzytelnianiem Kerberos.

Wymagania dotyczące łączności zewnętrznej

Skonfiguruj zaporę, aby zezwolić na następującą łączność dla aplikacji HDS:

Aplikacja	Protokół	Port	Kierunek z aplikacji	Miejsce docelowe
Węzły hybrydowego zabezpieczenia danych	TCP	443	Wychodzące HTTPS i WSS	Serwery Webex: .wbx2.com .ciscospark.com Wszyscy prowadzący Common Identity Inne adresy URL wymienione na liście dla hybrydowego zabezpieczenia danych w tabeli Dodatkowe adresy URL dla usług hybrydowych Webex w sekcji Wymagania sieciowe dla usług Webex
Narzędzie konfiguracji usług HDS	TCP	443	Wychodzący HTTPS	*.wbx2.com Wszyscy prowadzący Common Identity hub.docker.com

Węzły usługi hybrydowego zabezpieczenia danych współpracują z tłumaczeniem dostępu do sieci (NAT) lub zaporą, o ile translacja NAT lub zapora sieciowa zezwalają na wymagane połączenia wychodzące z adresami domen w poprzedniej tabeli. W przypadku połączeń przychodzących do węzłów usługi hybrydowego zabezpieczenia danych żadne porty nie powinny być widoczne z Internetu. W centrum danych klienci potrzebują do celów administracyjnych dostępu do węzłów usługi hybrydowego zabezpieczenia danych na portach TCP 443 i 22.

Adresy URL dla hostów usługi Common Identity (CI) są specyficzne dla regionów. Są to bieżące hosty CI:

Region	Adresy URL hosta wspólnej tożsamości
Ameryka	https://idbroker.webex.com https://identity.webex.com https://idbroker-b-us.webex.com https://identity-b-us.webex.com
Unia Europejska	https://idbroker-eu.webex.com https://identity-eu.webex.com
Kanada	https://idbroker-ca.webex.com https://identity-ca.webex.com
Singapur	https://idbroker-sg.webex.com https://identity-sg.webex.com
Zjednoczone Emiraty Arabskie	https://idbroker-ae.webex.com https://identity-ae.webex.com

Wymagania dotyczące serwera proxy

Oficjalnie obsługujemy następujące rozwiązania proxy, które można zintegrować z węzłami Hybrid Data Security.
- Przezroczysty serwer proxy — Cisco Web Security Appliance (WSA).
- Jawny serwer proxy — Squid.
  
  Serwery proxy Squid, które sprawdzają ruch HTTPS, mogą zakłócać nawiązywanie połączeń WebSocket (wss:). Aby rozwiązać ten problem, zobacz Konfigurowanie serwerów proxy Squid na potrzeby hybrydowego zabezpieczenia danych.
Obsługujemy następujące kombinacje typów uwierzytelniania dla jawnych serwerów proxy:
- Brak uwierzytelniania za pomocą protokołu HTTP lub HTTPS
- Uwierzytelnianie podstawowe za pomocą protokołu HTTP lub HTTPS
- Uwierzytelnianie szyfrowane tylko przy użyciu protokołu HTTPS
W przypadku przezroczystego serwera proxy inspekcji lub jawnego serwera proxy HTTPS musisz mieć kopię certyfikatu głównego serwera proxy. Instrukcje wdrażania w tym przewodniku informają, jak przekazać kopię do magazynów zaufania węzłów hybrid Data Security.
Sieć obsługująca węzły HDS musi być skonfigurowana tak, aby wymuszała kierowanie wychodzącego ruchu TCP na porcie 443 przez serwer proxy.
Serwery proxy, które sprawdzają ruch sieci web, mogą zakłócać połączenia gniazd internetowych. Jeśli ten problem wystąpi, ominięcie (nie inspekcja) ruchu do wbx2.com i ciscospark.com rozwiąże problem.

Spełnij wymagania wstępne dotyczące usługi hybrydowego zabezpieczenia danych

Skorzystaj z tej listy kontrolnej, aby upewnić się, że możesz zainstalować i skonfigurować klaster usługi hybrydowego zabezpieczenia danych.

1	Upewnij się, że organizacja partnerska ma włączoną funkcję HDS dla wielu dzierżawców i uzyskaj poświadczenia konta z pełnymi uprawnieniami administratora partnera i pełnego administratora. Upewnij się, że Twoja organizacja klienta Webex jest włączona dla usługi Pro Pack for Cisco Webex Control Hub. Skontaktuj się z partnerem lub opiekunem klienta Cisco w celu uzyskania pomocy w tym procesie. Organizacje klientów nie powinny mieć żadnych istniejących wdrożeń usług HDS.
2	Wybierz nazwę domeny dla wdrożenia HDS (na przykład `hds.company.com`) i uzyskaj łańcuch certyfikatów zawierający certyfikat X.509, klucz prywatny i certyfikaty pośrednie. Łańcuch certyfikatów musi spełniać wymagania określone w wymaganiach certyfikatu X.509.
3	Przygotuj identycznych wirtualnych prowadzących, które zostaną skonfigurowane jako węzły usługi hybrydowego zabezpieczenia danych w klastrze. Potrzebujesz co najmniej dwóch oddzielnych hostów (zalecane 3) rozmieszczonych w tym samym bezpiecznym centrum danych, które spełniają wymagania określone w wymaganiach dotyczących hosta wirtualnego.
4	Przygotuj serwer bazy danych, który będzie pełnił rolę kluczowego magazynu danych dla klastra, zgodnie z wymaganiami serwera bazy danych. Serwer bazy danych musi być umieszczony w bezpiecznym centrum danych z wirtualnymi hostami. Tworzenie bazy danych do przechowywania kluczy. (Należy utworzyć tę bazę danych — nie używaj domyślnej bazy danych. Aplikacje HDS, gdy są zainstalowane, tworzą schemat bazy danych). Zbierz szczegóły, których węzły będą używać do komunikacji z serwerem bazy danych: nazwa hosta lub adres IP (hosta) i port nazwa bazy danych (dbname) do przechowywania klucza nazwa użytkownika i hasło użytkownika z wszystkimi uprawnieniami w bazie danych przechowywania kluczy
5	W celu szybkiego odzyskiwania po awarii skonfiguruj środowisko kopii zapasowej w innym centrum danych. Środowisko tworzenia kopii zapasowych jest lustrzane dla środowiska produkcyjnego maszyn wirtualnych i zapasowego serwera bazy danych. Jeśli na przykład w produkcji są 3 maszyny wirtualne z węzłami HDS, środowisko kopii zapasowej powinno zawierać 3 maszyny wirtualne.
6	Skonfiguruj hosta dziennika systemu, aby zbierał dzienniki z węzłów w klastrze. Zbierz adres sieciowy i port dziennika systemu (domyślnie jest to UDP 514).
7	Utwórz zasady bezpiecznych kopii zapasowych dla węzłów usługi hybrydowego zabezpieczenia danych, serwera bazy danych i hosta dziennika systemowego. Aby zapobiec nieodwracalnej utracie danych, należy wykonać kopię zapasową bazy danych i pliku ISO konfiguracji wygenerowanego dla węzłów usługi hybrydowego zabezpieczenia danych. Ponieważ węzły usługi hybrydowego zabezpieczenia danych przechowują klucze używane do szyfrowania i odszyfrowywania zawartości, niepowodzenie utrzymania operacyjnego wdrożenia spowoduje NIEODWRACALNĄ UTRATĘ tej zawartości. Klienci aplikacji Webex buforują swoje klucze, więc awaria może nie być natychmiast zauważalna, ale z czasem stanie się oczywista. O ile nie można zapobiec tymczasowym awariom, można je odzyskać. Jednak całkowita utrata (brak dostępnych kopii zapasowych) bazy danych lub pliku ISO konfiguracji spowoduje, że dane klienta nie będą mogły zostać odzyskane. Oczekuje się, że operatorzy węzłów usługi hybrydowego zabezpieczenia danych będą utrzymywać częste kopie zapasowe bazy danych i pliku ISO konfiguracji oraz będą przygotowani do odbudowania centrum danych usługi hybrydowego zabezpieczenia danych w przypadku wystąpienia katastrofalnej awarii.
8	Upewnij się, że konfiguracja zapory umożliwia łączność z węzłami usługi hybrydowego zabezpieczenia danych, jak opisano w części Wymagania dotyczące łączności zewnętrznej.
9	Zainstaluj aplikację Docker ( https://www.docker.com) na dowolnym lokalnym komputerze z obsługiwanym systemem operacyjnym (Microsoft Windows 10 Professional lub Enterprise 64-bitowy lub Mac OSX Yosemite 10.10.3 lub nowszym) za pomocą przeglądarki internetowej, która może uzyskać do niej dostęp pod adresem http://127.0.0.1:8080. Wystąpienie usługi Docker umożliwia pobranie i uruchomienie narzędzia konfiguracyjnego HDS, które tworzy informacje o konfiguracji lokalnej dla wszystkich węzłów usługi hybrydowego zabezpieczenia danych. Być może potrzebujesz licencji Docker Desktop. Aby uzyskać więcej informacji, zobacz Wymagania dotyczące pulpitu Docker . Aby zainstalować i uruchomić narzędzie konfiguracji usługi HDS, komputer lokalny musi mieć łączność opisaną w sekcji Wymagania dotyczące łączności zewnętrznej.
10	Jeśli integrujesz serwer proxy z usługą hybrydowego zabezpieczenia danych, upewnij się, że spełnia wymagania serwera proxy.

Skonfiguruj klaster usługi hybrydowego zabezpieczenia danych

Przepływ zadań wdrażania hybrydowego zabezpieczenia danych

Przed rozpoczęciem

1	Wykonywanie pierwszej konfiguracji i pobieranie plików instalacyjnych Pobierz plik OVA na komputer lokalny w celu późniejszego użycia.
2	Tworzenie certyfikatu ISO konfiguracji dla hostów trybu HDS Użyj narzędzia konfiguracji usługi HDS, aby utworzyć plik konfiguracyjny ISO dla węzłów usługi hybrydowego zabezpieczenia danych.
3	Zainstaluj OVA hosta HDS Utwórz maszynę wirtualną z pliku OVA i wykonaj konfigurację początkową, taką jak ustawienia sieciowe. Opcja konfigurowania ustawień sieciowych podczas wdrażania OVA została przetestowana z ESXi 7.0. Opcja może być niedostępna we wcześniejszych wersjach.
4	Skonfiguruj VM usługi hybrydowego zabezpieczenia danych Zaloguj się do konsoli VM i ustaw poświadczenia logowania. Skonfiguruj ustawienia sieciowe węzła, jeśli nie zostały one skonfigurowane w czasie wdrażania OVA.
5	Przesyłanie i montaż obrazu ISO w trybie HDS Skonfiguruj maszynę wirtualną z pliku konfiguracyjnego ISO utworzonego przy użyciu narzędzia konfiguracji HDS.
6	Konfigurowanie węzła HDS do integracji z serwerem proxy Jeśli środowisko sieciowe wymaga konfiguracji serwera proxy, określ typ serwera proxy, który będzie używany dla węzła, a w razie potrzeby dodaj certyfikat serwera proxy do magazynu zaufanych certyfikatów.
7	Zarejestruj pierwszy węzeł w klastrze Zarejestruj maszynę wirtualną w chmurze Cisco Webex jako węzeł usługi hybrydowego zabezpieczenia danych.
8	Utwórz i zarejestruj więcej węzłów Zakończ konfigurację klastra.
9	Aktywuj usługę HDS dla wielu dzierżaw w Partner Hub. Aktywuj usługę HDS i zarządzaj organizacjami dzierżaw w Partner Hub.

Wykonywanie pierwszej konfiguracji i pobieranie plików instalacyjnych

W tym zadaniu pobierasz plik OVA na komputer (a nie na serwery, które są skonfigurowane jako węzły usługi hybrydowego zabezpieczenia danych). Tego pliku używasz później w procesie instalacji.

1	Zaloguj się do Partner Hub, a następnie kliknij pozycję Usługi.
2	W sekcji Usługi chmury znajdź kartę usługi hybrydowego zabezpieczenia danych, a następnie kliknij przycisk Konfiguruj. Kliknięcie opcji Skonfiguruj w Partner Hub ma kluczowe znaczenie dla procesu wdrażania. Nie należy kontynuować instalacji bez wykonania tego kroku.
3	Kliknij opcję Dodaj zasób i kliknij opcję Pobierz plik OVA na karcie Zainstaluj i skonfiguruj oprogramowanie . Starsze wersje pakietu oprogramowania (OVA) nie będą zgodne z najnowszymi aktualizacjami usługi hybrydowego zabezpieczenia danych. Może to powodować problemy podczas uaktualniania aplikacji. Upewnij się, że pobierasz najnowszą wersję pliku OVA. Możesz również pobrać OVA w dowolnym momencie w sekcji Pomoc . Kliknij kolejno opcje Ustawienia > Pomoc > Pobierz oprogramowanie usługi hybrydowego zabezpieczenia danych. Plik OVA automatycznie rozpocznie się pobieranie. Zapisz plik w lokalizacji na komputerze.
4	Opcjonalnie kliknij opcję Zobacz przewodnik wdrażania hybrydowego zabezpieczenia danych , aby sprawdzić, czy jest dostępna nowsza wersja tego przewodnika.

Tworzenie certyfikatu ISO konfiguracji dla hostów trybu HDS

Proces konfiguracji usługi hybrydowego zabezpieczenia danych tworzy plik ISO. Następnie za pomocą interfejsu ISO można skonfigurować hosta usługi hybrydowego zabezpieczenia danych.

Przed rozpoczęciem

Narzędzie HDS Setup działa jako kontener platformy Docker na komputerze lokalnym. Aby uzyskać do niego dostęp, uruchom Docker na tym komputerze. Proces konfiguracji wymaga poświadczeń konta w Partner Hub z pełnymi uprawnieniami administratora.

Jeśli narzędzie konfiguracji HDS działa za serwerem proxy w środowisku, podaj ustawienia serwera proxy (serwer, port, poświadczenia) za pośrednictwem zmiennych środowiskowych Docker podczas podnoszenia kontenera Docker w kroku 5 poniżej. Ta tabela zawiera kilka możliwych zmiennych środowiskowych:

Opis

Zmienna

Serwer proxy HTTP bez uwierzytelniania

GLOBALNY_AGENT_HTTP_PROXY=http://SERWER_IP:PORT

Serwer proxy HTTPS bez uwierzytelniania

GLOBALNY_AGENT_HTTPS_PROXY=http://SERWER_IP:PORT

Serwer proxy HTTP z uwierzytelnianiem

GLOBALNY_AGENT_HTTP_PROXY=http://NAZWA_UŻYTKOWNIKA:HASŁO@SERWER_IP:PORT

Serwer proxy HTTPS z uwierzytelnianiem

GLOBALNY_AGENT_HTTPS_PROXY=http://NAZWA_UŻYTKOWNIKA:HASŁO@SERWER_IP:PORT
Wygenerowany plik ISO konfiguracji zawiera klucz główny do szyfrowania bazy danych PostgreSQL lub Microsoft SQL Server. Najnowszą kopię tego pliku należy zawsze wprowadzać zmiany w konfiguracji, takie jak:
- Poświadczenia bazy danych
- Aktualizacje certyfikatu
- Zmiany w zasadach autoryzacji
Jeśli planujesz szyfrować połączenia z bazami danych, skonfiguruj wdrożenie PostgreSQL lub SQL Server dla protokołu TLS.

1

W wierszu poleceń komputera wprowadź polecenie odpowiednie dla swojego środowiska:

W zwykłych środowiskach:

docker rmi ciscocitg/hds-konfiguracja:stabilna

W środowiskach FedRAMP:

docker rmi ciscocitg/hds-setup-fedramp:stable

Ten krok czyści poprzednie obrazy narzędzia konfiguracji HDS. Jeśli nie ma poprzednich obrazów, zwraca błąd, który można zignorować.

2

Aby zalogować się do rejestru obrazów platformy Docker, wprowadź następujące informacje:

docker login -u hdscustomersro

3

Po wyświetleniu monitu o hasło wprowadź ten skrót:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

4

Pobierz najnowszy stabilny obraz dla swojego środowiska:

W zwykłych środowiskach:

docker ciągnąć ciscocitg / hds-setup:stable

W środowiskach FedRAMP:

docker ciągnąć ciscocitg/hds-setup-fedramp:stable

5

Po zakończeniu ściągania wprowadź odpowiednie polecenie dla swojego środowiska:

W zwykłych środowiskach bez proxy:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

W zwykłych środowiskach z proxy HTTP:

docker run -p 8080:8080 --rm -it -e GLOBALNY_AGENT_HTTP_PROXY=http://SERWER_IP:PORT ciscocitg/hds-setup:stable

W zwykłych środowiskach z serwerem proxy HTTPS:

docker run -p 8080:8080 --rm -it -e GLOBALNY_AGENT_HTTPS_PROXY=http://SERWER_IP:PORT ciscocitg/hds-setup:stable

W środowiskach FedRAMP bez proxy:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

W środowiskach FedRAMP z proxy HTTP:

docker run -p 8080:8080 --rm -it -e GLOBALNY_AGENT_HTTP_PROXY=http://SERWER_IP:PORT ciscocitg/hds-setup-fedramp:stable

W środowiskach FedRAMP z proxy HTTPS:

docker run -p 8080:8080 --rm -it -e GLOBALNY_AGENT_HTTPS_PROXY=http://SERWER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Gdy kontener jest uruchomiony, zobaczysz komunikat „Serwer ekspresowy nasłuchuje na porcie 8080”.

6

Narzędzie konfiguracyjne nie obsługuje łączenia się z hostem localhost za pośrednictwem serwera http://localhost:8080. Użyj, http://127.0.0.1:8080 aby połączyć się z localhost.

Użyj przeglądarki internetowej, aby przejść do hosta lokalnego http://127.0.0.1:8080i po wyświetleniu monitu wprowadź nazwę użytkownika administratora dla Partner Hub.

Narzędzie używa tego pierwszego wpisu nazwy użytkownika w celu ustawienia środowiska dla tego konta. Następnie narzędzie wyświetla standardowy monit o zalogowanie.

7

Po wyświetleniu monitu wprowadź poświadczenia logowania administratora Partner Hub, a następnie kliknij przycisk Zaloguj , aby zezwolić na dostęp do wymaganych usług hybrydowego zabezpieczenia danych.

8

Na stronie Przegląd narzędzia konfiguracji kliknij przycisk Rozpocznij.

9

Na stronie Import ISO dostępne są następujące opcje:

Nie — jeśli tworzysz pierwszy węzeł HDS, nie masz pliku ISO do przesłania.
Tak — jeśli węzły HDS zostały już utworzone, należy wybrać plik ISO w oknie przeglądarki i przesłać go.

10

Sprawdź, czy certyfikat X.509 spełnia wymagania określone w wymaganiach certyfikatu X.509.

Jeśli nigdy wcześniej nie przesłano certyfikatu, prześlij certyfikat X.509, wprowadź hasło i kliknij przycisk Kontynuuj.
Jeśli certyfikat jest OK, kliknij przycisk Kontynuuj.
Jeśli certyfikat wygasł lub chcesz go zastąpić, wybierz opcję Nie , aby kontynuować używanie łańcucha certyfikatów HDS i klucza prywatnego z poprzedniego certyfikatu ISO?. Prześlij nowy certyfikat X.509, wprowadź hasło i kliknij przycisk Kontynuuj.

11

Wprowadź adres bazy danych i konto usługi HDS, aby uzyskać dostęp do magazynu danych klucza:

Wybierz opcję Typ bazy danych (PostgreSQL lub Microsoft SQL Server).

Po wybraniu opcji Microsoft SQL Server zostanie wyświetlone pole Typ uwierzytelniania.
(Tylko Microsoft SQL Server ) Wybierz typ uwierzytelniania:
- Uwierzytelnianie podstawowe: W polu Nazwa użytkownika należy podać lokalną nazwę konta serwera SQL.
- Uwierzytelnianie w systemie Windows: Wymagane jest konto dla systemu Windows w formacie użytkownik@DOMENA w Nazwa użytkownika pole.
Wprowadź adres serwera bazy danych w formacie : lub :.

Przykład:
dbhost.example.org:1433 lub 198.51.100.17:1433

Do uwierzytelniania podstawowego można użyć adresu IP, jeśli węzły nie mogą używać systemu DNS do rozpoznania nazwy hosta.

Jeśli używasz uwierzytelniania w systemie Windows, musisz wprowadzić w pełni kwalifikowaną nazwę domeny w formacie dbhost.example.org:1433
Wprowadź nazwę bazy danych.
Wprowadź nazwę użytkownika i hasło użytkownika ze wszystkimi uprawnieniami w bazie danych do przechowywania kluczy.

12

Wybierz tryb połączenia bazy danych TLS:

Tryb	Opis
Preferuj protokół TLS (opcja domyślna)	Węzły HDS nie wymagają protokołu TLS do łączenia się z serwerem bazy danych. Po włączeniu protokołu TLS na serwerze bazy danych węzły spróbują nawiązać szyfrowane połączenie.
Wymagaj tlS	Węzły HDS łączą się tylko wtedy, gdy serwer bazy danych może negocjować protokół TLS.
Wymagaj protokołu TLS i weryfikuj sygnatariusza certyfikatu	Ten tryb nie ma zastosowania do baz danych SQL Server. Węzły HDS łączą się tylko wtedy, gdy serwer bazy danych może negocjować protokół TLS. Po nawiązaniu połączenia TLS węzeł porównuje podpisującego certyfikat z serwera bazy danych z urzędem certyfikacji w certyfikacie głównym bazy danych. Jeśli nie są zgodne, węzeł przerywa połączenie. Użyj kontrolki certyfikatu głównego bazy danych poniżej listy rozwijanej, aby przekazać certyfikat główny dla tej opcji.
Wymagaj protokołu TLS i weryfikuj sygnatariusza certyfikatu oraz nazwę hosta	Węzły HDS łączą się tylko wtedy, gdy serwer bazy danych może negocjować protokół TLS. Po nawiązaniu połączenia TLS węzeł porównuje podpisującego certyfikat z serwera bazy danych z urzędem certyfikacji w certyfikacie głównym bazy danych. Jeśli nie są zgodne, węzeł przerywa połączenie. Węzły sprawdzają również, czy nazwa hosta w certyfikacie serwera jest zgodna z nazwą hosta w polu Host i port bazy danych . Nazwy muszą być dokładnie zgodne, w przeciwnym razie węzeł przerywa połączenie. Użyj kontrolki certyfikatu głównego bazy danych poniżej listy rozwijanej, aby przekazać certyfikat główny dla tej opcji.

Po przesłaniu certyfikatu głównego (jeśli jest to konieczne) i kliknięciu przycisku Kontynuuj, narzędzie konfiguracyjne HDS testuje połączenie TLS z serwerem bazy danych. Narzędzie weryfikuje również sygnatariusza certyfikatu i nazwę hosta, jeśli ma to zastosowanie. Jeśli test zakończy się niepowodzeniem, narzędzie wyświetli komunikat o błędzie opisujący problem. Możesz wybrać, czy zignorować błąd i kontynuować konfigurację. (Z powodu różnic w łączności węzły HDS mogą być w stanie ustanowić połączenie TLS, nawet jeśli maszyna narzędziowa do konfiguracji HDS nie może go pomyślnie przetestować).

13

Na stronie Dzienniki systemowe skonfiguruj serwer Syslogd:

Wprowadź adres URL serwera dziennika systemu.

Jeśli serwer nie jest możliwe do rozpoznania DNS z węzłów klastra HDS, użyj adresu IP w adresie URL.

Przykład:
udp://10.92.43.23:514 wskazuje na rejestrowanie do hosta Syslogd 10.92.43.23 na porcie UDP 514.
Jeśli skonfigurowano serwer do korzystania z szyfrowania TLS, zaznacz opcję Czy serwer dziennika systemu jest skonfigurowany do szyfrowania SSL?.

Po zaznaczeniu tego pola wyboru należy wprowadzić adres URL TCP, taki jak tcp://10.92.43.23:514.
Z listy rozwijanej Wybierz zakończenie zapisu dziennika systemowego wybierz odpowiednie ustawienie dla pliku ISO: Wybierz lub nowy wiersz jest używany dla graylogów i rsyslog TCP
- Bajt NULL -- \x00
- Nowy wiersz -- \n — wybierz tę opcję dla graylogów i rsyslog TCP.
Kliknij przycisk Kontynuuj.

14

(Opcjonalnie) Wartość domyślną niektórych parametrów połączenia z bazą danych można zmienić w sekcji Ustawienia zaawansowane. Ogólnie rzecz biorąc, ten parametr jest jedynym parametrem, który można zmienić:

app_datasource_connection_pool_maxRozmiar: 10

15

Kliknij przycisk Kontynuuj na ekranie Resetuj hasło do kont usług .

Okres ważności haseł do konta usługi wynosi dziewięć miesięcy. Użyj tego ekranu, gdy zbliża się wygaśnięcie haseł lub chcesz je zresetować, aby unieważnić poprzednie pliki ISO.

16

Kliknij opcję Pobierz plik ISO. Zapisz plik w miejscu, które jest łatwe do znalezienia.

17

Utwórz kopię zapasową pliku ISO w lokalnym systemie.

Zachowaj bezpieczeństwo kopii zapasowej. Ten plik zawiera główny klucz szyfrowania zawartości bazy danych. Ogranicz dostęp tylko do administratorów usługi hybrydowego zabezpieczenia danych, którzy powinni dokonać zmian w konfiguracji.

18

Aby zamknąć narzędzie konfiguracyjne, wpisz CTRL+C.

Co zrobić dalej

Utwórz kopię zapasową pliku konfiguracyjnego ISO. Potrzebujesz go, aby utworzyć więcej węzłów do odzyskania lub wprowadzić zmiany w konfiguracji. Jeśli stracisz wszystkie kopie pliku ISO, stracisz również klucz główny. Nie można odzyskać kluczy z bazy danych PostgreSQL i Microsoft SQL Server.

Nigdy nie mamy kopii tego klucza i nie możemy pomóc, jeśli go stracisz.

Zainstaluj OVA hosta HDS

Ta procedura służy do utworzenia maszyny wirtualnej z pliku OVA.

1	Użyj klienta VMware vSphere na komputerze, aby zalogować się do wirtualnego hosta ESXi.
2	Wybierz pozycję Plik > Wdróż szablon OVF.
3	W kreatorze określ lokalizację pobranego wcześniej pliku OVA, a następnie kliknij przycisk Dalej.
4	Na stronie Wybierz nazwę i folder wprowadź nazwę maszyny wirtualnej węzła (na przykład „HDS_Node_1”), wybierz lokalizację, w której może znajdować się wdrożenie węzła maszyny wirtualnej, a następnie kliknij przycisk Dalej.
5	Na stronie Wybierz zasób obliczeniowy wybierz docelowy zasób obliczeniowy, a następnie kliknij przycisk Dalej. Uruchamiane jest sprawdzenie poprawności. Po zakończeniu pojawią się szczegóły szablonu.
6	Sprawdź szczegóły szablonu, a następnie kliknij przycisk Dalej.
7	Jeśli zostaniesz poproszony o wybranie konfiguracji zasobu na stronie Konfiguracja , kliknij przycisk 4 procesora , a następnie kliknij przycisk Dalej.
8	Na stronie Wybierz miejsce do przechowywania kliknij przycisk Dalej , aby zaakceptować domyślny format dysku i zasady przechowywania VM.
9	Na stronie Wybierz sieci wybierz opcję sieci z listy pozycji, aby zapewnić żądane łączność z maszyną wirtualną.
10	Na stronie Dostosuj szablon skonfiguruj następujące ustawienia sieciowe: Nazwa hosta — wprowadź nazwę FQDN (nazwę hosta i domenę) lub nazwę hosta pojedynczego słowa dla węzła. Nie trzeba ustawiać domeny tak, aby była zgodna z domeną użytą do uzyskania certyfikatu X.509. Aby zapewnić pomyślną rejestrację w chmurze, należy używać tylko małych znaków w nazwie FQDN lub nazwie hosta ustawionej dla węzła. Kapitalizacja nie jest obecnie obsługiwana. Łączna długość nazwy FQDN nie może przekraczać 64 znaków. Adres IP — wprowadź adres IP interfejsu wewnętrznego węzła. Węzeł powinien mieć wewnętrzny adres IP i nazwę DNS. Protokół DHCP nie jest obsługiwany. Maska — wprowadź adres maski podsieci w notacji kropek. Przykład: 255.255.255.0. Brama — wprowadź adres IP bramy. Brama to węzeł sieciowy, który służy jako punkt dostępu do innej sieci. Serwery DNS — wprowadź listę serwerów DNS, które obsługują przekładanie nazw domen na liczbowe adresy IP. (Dozwolonych jest maksymalnie 4 pozycje DNS). Serwery NTP — wprowadź serwer NTP organizacji lub inny zewnętrzny serwer NTP, który może być używany w organizacji. Domyślne serwery NTP mogą nie działać w przypadku wszystkich przedsiębiorstw. Aby wprowadzić wiele serwerów NTP, można także użyć listy rozdzielonej przecinkami. Wdróż wszystkie węzły w tej samej podsieci lub sieci VLAN, aby wszystkie węzły w klastrze były dostępne od klientów w sieci do celów administracyjnych. Jeśli chcesz, możesz pominąć konfigurację ustawień sieciowych i wykonać czynności opisane w artykule Skonfiguruj maszynę wirtualną usługi hybrydowego zabezpieczenia danych , aby skonfigurować ustawienia z konsoli węzła. Opcja konfigurowania ustawień sieciowych podczas wdrażania OVA została przetestowana z ESXi 7.0. Opcja może być niedostępna we wcześniejszych wersjach.
11	Kliknij prawym przyciskiem myszy VM węzła, a następnie wybierz kolejno opcje Zasilanie > Zasilanie. Oprogramowanie hybrydowego zabezpieczenia danych jest instalowane jako gość na hoście maszyn wirtualnych. Możesz się teraz zalogować do konsoli i skonfigurować węzeł. Wskazówki dotyczące rozwiązywania problemów Może wystąpić opóźnienie o kilka minut przed pojawieniem się kontenerów węzłów. Podczas pierwszego rozruchu na konsoli pojawia się komunikat zapory mostkowej, podczas której nie można się zalogować.

Skonfiguruj VM usługi hybrydowego zabezpieczenia danych

Ta procedura umożliwia zalogowanie się po raz pierwszy w konsoli VM węzła usługi hybrydowego zabezpieczenia danych i ustawienie poświadczeń logowania. Za pomocą konsoli można również skonfigurować ustawienia sieciowe węzła, jeśli nie zostały one skonfigurowane w momencie wdrażania OVA.

1	W kliencie VMware vSphere wybierz swoją maszynę wirtualną węzła usługi hybrydowego zabezpieczenia danych i wybierz kartę Konsola . Zostanie uruchomiona maszyna wirtualna i pojawi się monit o zalogowanie. Jeśli monit o zalogowanie się nie został wyświetlony, naciśnij klawisz Enter.
2	Aby zalogować się i zmienić poświadczenia, należy użyć następującego domyślnego logowania i hasła: Logowanie: `administrator` Hasło: `cisco` Ponieważ logujesz się do maszyny wirtualnej po raz pierwszy, musisz zmienić hasło administratora.
3	Jeśli ustawienia sieciowe zostały już skonfigurowane w sekcji Zainstaluj OVA hosta HDS, pomiń pozostałą część tej procedury. W przeciwnym razie w menu głównym wybierz opcję Edytuj konfigurację .
4	Skonfiguruj statyczną konfigurację z informacjami o adresie IP, maskach, bramie i systemie DNS. Węzeł powinien mieć wewnętrzny adres IP i nazwę DNS. Protokół DHCP nie jest obsługiwany.
5	(Opcjonalnie) Zmień nazwę hosta, domenę lub serwery NTP, jeśli jest to konieczne, aby dostosować ją do zasad sieci. Nie trzeba ustawiać domeny tak, aby była zgodna z domeną użytą do uzyskania certyfikatu X.509.
6	Zapisz konfigurację sieci i uruchom ponownie maszynę wirtualną, aby zmiany zostały zastosowane.

Przesyłanie i montaż obrazu ISO w trybie HDS

Ta procedura służy do konfigurowania maszyny wirtualnej na podstawie pliku ISO utworzonego przy użyciu narzędzia konfiguracji HDS.

Przed rozpoczęciem

Ponieważ plik ISO zawiera klucz główny, powinien być on wyświetlany tylko na zasadzie „need to know”, aby uzyskać dostęp przez maszyny wirtualne usługi hybrydowego zabezpieczenia danych i wszystkich administratorów, którzy mogą potrzebować wprowadzenia zmian. Upewnij się, że tylko ci administratorzy mają dostęp do magazynu danych.

1

Prześlij plik ISO z komputera:

W lewym okienku nawigacyjnym klienta VMware vSphere kliknij serwer ESXi.
Na liście Sprzęt na karcie Konfiguracja kliknij pozycję Miejsce do przechowywania.
Na liście Magazyny danych kliknij prawym przyciskiem myszy magazyn danych dla swoich maszyn wirtualnych i kliknij opcję Przeglądaj magazyn danych.
Kliknij ikonę Prześlij pliki, a następnie kliknij pozycję Prześlij plik.
Przejdź do lokalizacji, w której pobrano plik ISO na swój komputer i kliknij opcję Otwórz.
Kliknij przycisk Tak , aby zaakceptować ostrzeżenie dotyczące operacji przesyłania/pobierania i zamknąć okno dialogowe magazynu danych.

2

Montaż pliku ISO:

W lewym okienku nawigacji klienta VMware vSphere kliknij prawym przyciskiem myszy maszynę wirtualną i kliknij opcję Edytuj ustawienia.
Kliknij OK , aby zaakceptować ostrzeżenie dotyczące opcji edycji ograniczonej.
Kliknij Dysk CD/DVD 1, wybierz opcję montażu z pliku ISO magazynu danych i przejdź do lokalizacji, w której przesłano plik ISO konfiguracji.
Sprawdź Połączono i Połącz przy włączonym zasilaniu.
Zapisz zmiany i ponownie uruchom maszynę wirtualną.

Co zrobić dalej

Jeśli wymagają tego zasady IT, możesz opcjonalnie odinstalować plik ISO, gdy wszystkie węzły przejdą zmiany konfiguracji. Szczegółowe informacje zawiera temat (Opcjonalnie) Odmontowywanie certyfikatu ISO po konfiguracji HDS .

Konfigurowanie węzła HDS do integracji z serwerem proxy

Jeśli środowisko sieciowe wymaga serwera proxy, użyj tej procedury, aby określić typ serwera proxy, który chcesz zintegrować z hybrid Data Security. Jeśli wybierzesz przezroczysty serwer proxy inspekcji lub jawny serwer proxy HTTPS, możesz użyć interfejsu węzła do przekazania i zainstalowania certyfikatu głównego. Możesz także sprawdzić połączenie proxy z poziomu interfejsu i rozwiązać wszelkie potencjalne problemy.

Przed rozpoczęciem

Zobacz Obsługa serwera proxy, aby zapoznać się z omówieniem obsługiwanych opcji serwera proxy.
Wymagania dotyczące serwera proxy

1	Wprowadź adres URL konfiguracji węzła HDS `https://[HDS Node IP or FQDN]/setup` w przeglądarce sieci Web, wprowadź poświadczenia administratora skonfigurowane dla węzła, a następnie kliknij przycisk Zaloguj.
2	Przejdź do pozycji Sklep zaufania i serwer proxy, a następnie wybierz opcję: Brak serwera proxy — opcja domyślna przed zintegrowaniem serwera proxy. Aktualizacja certyfikatu nie jest wymagana. Przezroczysty, nieweryfikujący serwer proxy — węzły nie są skonfigurowane do używania konkretnego adresu serwera proxy i nie powinny wymagać żadnych zmian, aby pracować z nieweryfikowanym serwerem proxy. Aktualizacja certyfikatu nie jest wymagana. Przezroczysty serwer proxy sprawdzający — węzły nie są skonfigurowane do używania konkretnego adresu serwera proxy. We wdrożeniu Hybrid Data Security nie są konieczne żadne zmiany konfiguracji protokołu HTTPS, jednak węzły HDS potrzebują certyfikatu głównego, aby ufać serwerowi proxy. Inspekcja serwerów proxy jest zwykle używana przez IT do egzekwowania zasad, na których można odwiedzać witryny internetowe, a które nie są dozwolone. Ten typ serwera proxy odszyfrowuje cały ruch (nawet HTTPS). Jawny serwer proxy — przy użyciu jawnego serwera proxy można wskazać klientowi (węzły HDS), którego serwera proxy ma być używany, a ta opcja obsługuje kilka typów uwierzytelniania. Po wybraniu tej opcji należy wprowadzić następujące informacje: Adres IP/FQDN serwera proxy — adres, za pomocą którego można uzyskać dostęp do maszyny proxy. Port serwera proxy — numer portu, którego serwer proxy używa do nasłuchiwania ruchu proxy. Protokół proxy Protocol — wybierz opcję http (wyświetla i steruje wszystkimi żądaniami otrzymywanymi od klienta) lub https (udostępnia kanał do serwera, a klient odbiera i sprawdza certyfikat serwera). Wybierz opcję na podstawie tego, co obsługuje Twój serwer proxy. Typ uwierzytelniania — wybierz jeden z następujących typów uwierzytelniania: Brak — dalsze uwierzytelnianie nie jest wymagane. Dostępne dla serwerów proxy HTTP lub HTTPS. Podstawowe — używane w przypadku agenta użytkownika HTTP w celu podania nazwy użytkownika i hasła podczas wykonywania żądania. Używa kodowania Base64. Dostępne dla serwerów proxy HTTP lub HTTPS. W przypadku wybrania tej opcji należy również wprowadzić nazwę użytkownika i hasło. Szyfrowanie — służy do potwierdzania konta przed wysłaniem poufnych informacji. Stosuje funkcję skrótu do nazwy użytkownika i hasła przed wysłaniem przez sieć. Dostępne tylko dla serwerów proxy HTTPS. W przypadku wybrania tej opcji należy również wprowadzić nazwę użytkownika i hasło. Wykonaj kolejne kroki, aby uzyskać przezroczysty serwer proxy inspekcji, jawny serwer proxy HTTP z uwierzytelnianiem podstawowym lub jawny serwer proxy HTTPS.
3	Kliknij przycisk Przekaż certyfikat główny lub Certyfikat jednostkikońcowej , a następnie przejdź do wybierz certyfikat główny dla serwera proxy. Certyfikat został przekazany, ale nie został jeszcze zainstalowany, ponieważ należy ponownie uruchomić węzeł, aby zainstalować certyfikat. Kliknij strzałkę cudzysłów ostrokątnych przy nazwie wystawcy certyfikatu, aby uzyskać więcej szczegółów, lub kliknij przycisk Usuń, jeśli popełnisz błąd i chcesz ponownie przesłać plik.
4	Kliknij przycisk Sprawdź połączenie z serwerem proxy, aby przetestować łączność sieciową między węzłem a serwerem proxy. Jeśli test połączenia zakończy się niepowodzeniem, zostanie wyświetlony komunikat o błędzie z przyczyną i sposobem rozwiązania problemu. Jeśli zostanie wyświetlony komunikat informujący, że zewnętrzne rozpoznawanie nazw DNS nie powiodło się, oznacza to, że węzeł nie może połączyć się z serwerem DNS. Ten warunek jest oczekiwany w wielu jawnych konfiguracjach proxy. Możesz kontynuować konfigurację, a węzeł będzie działać w trybie zablokowanej zewnętrznej rozdzielczości DNS. Jeśli uważasz, że jest to błąd, wykonaj te czynności, a następnie zobacz Wyłącz zablokowany zewnętrzny tryb rozdzielczości DNS.
5	Po przejściu testu połączenia, dla jawnego serwera proxy ustawionego tylko na https, włącz przełącznik na Kieruj wszystkie żądania https portu 443/444 z tego węzła za pośrednictwem jawnego serwera proxy. To ustawienie wymaga 15 sekund, aby zostało wprowadzone.
6	Kliknij opcję Zainstaluj wszystkie certyfikaty w magazynie zaufania (pojawia się w przypadku jawnego serwera proxy HTTPS lub przezroczystego serwera proxy inspekcji) lub Uruchom ponownie (pojawia się w przypadku jawnego serwera proxy HTTP), przeczytaj monit, a następnie kliknij przycisk Zainstaluj, jeśli wszystko jest gotowe. Węzeł uruchomi się ponownie w ciągu kilku minut.
7	Po ponownym uruchomieniu węzła zaloguj się ponownie, jeśli to konieczne, a następnie otwórz stronę Przegląd, aby sprawdzić kontrole łączności, aby upewnić się, że wszystkie są w stanie zielonym. Sprawdzanie połączenia proxy testuje tylko subdomenę webex.com. Jeśli występują problemy z łącznością, typowym problemem jest to, że niektóre domeny chmury wymienione w instrukcjach instalacji są blokowane na serwerze proxy.

Zarejestruj pierwszy węzeł w klastrze

To zadanie pobiera ogólny węzeł utworzony w oknie Skonfiguruj VM usługi hybrydowego zabezpieczenia danych, rejestruje węzeł w chmurze Webex i przekształca go w węzeł usługi hybrydowego zabezpieczenia danych.

Po zarejestrowaniu pierwszego węzła tworzony jest klaster, do którego przypisany jest węzeł. Klaster zawiera co najmniej jeden węzeł wdrożony w celu zapewnienia redundancji.

Przed rozpoczęciem

Po rozpoczęciu rejestracji węzła należy ją wykonać w ciągu 60 minut lub rozpocząć od nowa.
Upewnij się, że wszystkie blokery wyskakujące w przeglądarce są wyłączone lub zezwalasz na wyjątek dla witryny admin.webex.com.

1	Zaloguj się w https://admin.webex.com.
2	Z menu po lewej stronie ekranu wybierz pozycję Usługi.
3	W sekcji Usługi chmury znajdź kartę usługi hybrydowego zabezpieczenia danych i kliknij przycisk Konfiguruj.
4	Na otwieranej stronie kliknij pozycję Dodaj zasób.
5	W pierwszym polu karty Dodaj węzeł wprowadź nazwę klastra, do którego chcesz przypisać węzeł usługi hybrydowego zabezpieczenia danych. Zalecamy nadanie nazwy klastra na podstawie tego, gdzie znajdują się węzły klastra. Przykłady: „San Francisco”, „Nowy Jork” lub „Dallas”
6	W drugim polu wprowadź wewnętrzny adres IP lub w pełni kwalifikowaną nazwę domeny (FQDN) węzła i kliknij opcję Dodaj u dołu ekranu. Ten adres IP lub w pełni kwalifikowana nazwa domeny (FQDN) powinny być zgodne z adresem IP lub nazwą hosta i domeną użytymi w części Konfigurowanie maszyny wirtualnej usługi hybrydowego zabezpieczenia danych. Zostanie wyświetlony komunikat informujący, że możesz zarejestrować węzeł w usłudze Webex.
7	Kliknij opcję Przejdź do węzła. Po kilku chwilach nastąpi przekierowanie do testów łączności z węzłem dla usług Webex. Jeśli wszystkie testy zakończą się pomyślnie, zostanie wyświetlona strona Zezwól na dostęp do węzła usługi hybrydowego zabezpieczenia danych. Tam potwierdzasz, że chcesz przyznać swojej organizacji Webex uprawnienia do dostępu do węzła.
8	Zaznacz pole wyboru Zezwól na dostęp do węzła usługi hybrydowego zabezpieczenia danych , a następnie kliknij przycisk Kontynuuj. Konto zostało zweryfikowane, a komunikat „Rejestracja zakończona” wskazuje, że węzeł jest teraz zarejestrowany w chmurze Webex.
9	Kliknij łącze lub zamknij kartę, aby wrócić do strony hybrydowego zabezpieczenia danych w Partner Hub. Na stronie Hybrydowe zabezpieczenia danych na karcie Zasoby jest wyświetlany nowy klaster zawierający zarejestrowany węzeł. Węzeł automatycznie pobierze najnowsze oprogramowanie z chmury.

Utwórz i zarejestruj więcej węzłów

Aby dodać dodatkowe węzły do klastra, po prostu utwórz dodatkowe maszyny wirtualne i zamontuj ten sam plik ISO konfiguracji, a następnie zarejestruj węzeł. Zalecamy posiadanie co najmniej 3 węzłów.

Przed rozpoczęciem

Po rozpoczęciu rejestracji węzła należy ją wykonać w ciągu 60 minut lub rozpocząć od nowa.
Upewnij się, że wszystkie blokery wyskakujące w przeglądarce są wyłączone lub zezwalasz na wyjątek dla witryny admin.webex.com.

1	Utwórz nową maszynę wirtualną z OVA, powtarzając kroki w Zainstaluj OVA hosta HDS.
2	Skonfiguruj początkową konfigurację na nowej maszynie wirtualnej, powtarzając kroki w artykule Konfigurowanie maszyny wirtualnej usługi hybrydowego zabezpieczenia danych.
3	Na nowej maszynie wirtualnej powtórz czynności opisane w artykule Prześlij i zamontuj certyfikat ISO konfiguracji HDS.
4	Jeśli konfigurujesz serwer proxy dla swojego wdrożenia, powtórz kroki w artykule Konfigurowanie węzła HDS dla integracji serwera proxy w zależności od potrzeb dla nowego węzła.
5	Zarejestruj węzeł. W aplikacji https://admin.webex.com wybierz pozycję Usługi z menu po lewej stronie ekranu. W sekcji Usługi chmury znajdź kartę usługi hybrydowego zabezpieczenia danych i kliknij opcję Wyświetl wszystko. Zastanie wyświetlona strona zasobów hybrydowego zabezpieczenia danych. Nowo utworzony klaster pojawi się na stronie Zasoby . Kliknij klaster, aby wyświetlić węzły przypisane do klastra. Kliknij Dodaj węzeł po prawej stronie ekranu. Wprowadź wewnętrzny adres IP lub w pełni kwalifikowaną nazwę domeny (FQDN) węzła i kliknij przycisk Dodaj. Zostanie otwarta strona z komunikatem informującym, że możesz zarejestrować węzeł w chmurze Webex. Po kilku chwilach nastąpi przekierowanie do testów łączności z węzłem dla usług Webex. Jeśli wszystkie testy zakończą się pomyślnie, zostanie wyświetlona strona Zezwól na dostęp do węzła usługi hybrydowego zabezpieczenia danych. Potwierdzasz tam, że chcesz przyznać swojej organizacji uprawnienia do dostępu do węzła. Zaznacz pole wyboru Zezwól na dostęp do węzła usługi hybrydowego zabezpieczenia danych , a następnie kliknij przycisk Kontynuuj. Konto zostało zweryfikowane, a komunikat „Rejestracja zakończona” wskazuje, że węzeł jest teraz zarejestrowany w chmurze Webex. Kliknij łącze lub zamknij kartę, aby wrócić do strony hybrydowego zabezpieczenia danych w Partner Hub. Komunikat wyskakujący o dodanym węźle pojawia się również w dolnej części ekranu w Partner Hub. Twój węzeł jest zarejestrowany.

Zarządzanie organizacjami dzierżaw w usłudze hybrydowego zabezpieczenia danych dla wielu dzierżaw

Aktywuj usługę HDS dla wielu dzierżaw w Partner Hub

To zadanie gwarantuje, że wszyscy użytkownicy w organizacjach klientów mogą zacząć korzystać z usług HDS dla lokalnych kluczy szyfrowania i innych usług zabezpieczeń.

Przed rozpoczęciem

Upewnij się, że konfiguracja klastra HDS dla wielu dzierżaw została zakończona z wymaganą liczbą węzłów.

1	Zaloguj się w https://admin.webex.com.
2	Z menu po lewej stronie ekranu wybierz pozycję Usługi.
3	W sekcji Usługi chmury znajdź usługę hybrydowego zabezpieczenia danych i kliknij opcję Edytuj ustawienia.
4	Kliknij opcję Aktywuj tryb HDS na karcie Stan trybu HDS .

Dodaj organizacje dzierżawców w Partner Hub

W tym zadaniu przypisujesz organizacje klientów do swojego klastra hybrydowego zabezpieczenia danych.

1	Zaloguj się w https://admin.webex.com.
2	Z menu po lewej stronie ekranu wybierz pozycję Usługi.
3	W sekcji Usługi chmury znajdź usługę hybrydowego zabezpieczenia danych i kliknij opcję Wyświetl wszystko.
4	Kliknij klaster, do którego chcesz przypisać klienta.
5	Przejdź do karty Przypisani klienci .
6	Kliknij opcję Dodaj klientów.
7	Wybierz z menu rozwijanego klienta, którego chcesz dodać.
8	Kliknij Dodaj, klient zostanie dodany do klastra.
9	Powtórz kroki od 6 do 8, aby dodać wielu klientów do klastra.
10	Po dodaniu klientów kliknij przycisk Gotowe w dolnej części ekranu.

Co zrobić dalej

Uruchom narzędzie do konfiguracji usługi HDS zgodnie z opisem w części Utwórz klucze główne klienta (CMK) za pomocą narzędzia do konfiguracji usługi HDS , aby dokończyć proces konfiguracji.

Tworzenie kluczy głównych klientów (CMK) za pomocą narzędzia konfiguracji HDS

Przed rozpoczęciem

Przypisz klientów do odpowiedniego klastra zgodnie z opisem w sekcji Dodaj organizacje dzierżawy w Partner Hub. Uruchom narzędzie Konfiguracja usług HDS, aby zakończyć proces konfiguracji nowo dodanych organizacji klientów.

Narzędzie HDS Setup działa jako kontener platformy Docker na komputerze lokalnym. Aby uzyskać do niego dostęp, uruchom Docker na tym komputerze. Proces konfiguracji wymaga poświadczeń konta w Partner Hub z pełnymi uprawnieniami administratora dla Twojej organizacji.

Jeśli narzędzie konfiguracji HDS działa za serwerem proxy w środowisku, podaj ustawienia serwera proxy (serwer, port, poświadczenia) przez zmienne środowiskowe Docker podczas podnoszenia kontenera Docker w kroku 5. Ta tabela zawiera kilka możliwych zmiennych środowiskowych:

Opis	Zmienna
Serwer proxy HTTP bez uwierzytelniania	`GLOBALNY_AGENT_HTTP_PROXY=http://SERWER_IP:PORT`
Serwer proxy HTTPS bez uwierzytelniania	`GLOBALNY_AGENT_HTTPS_PROXY=http://SERWER_IP:PORT`
Serwer proxy HTTP z uwierzytelnianiem	`GLOBALNY_AGENT_HTTP_PROXY=http://NAZWA_UŻYTKOWNIKA:HASŁO@SERWER_IP:PORT`
Serwer proxy HTTPS z uwierzytelnianiem	`GLOBALNY_AGENT_HTTPS_PROXY=http://NAZWA_UŻYTKOWNIKA:HASŁO@SERWER_IP:PORT`

Wygenerowany plik ISO konfiguracji zawiera klucz główny do szyfrowania bazy danych PostgreSQL lub Microsoft SQL Server. Najnowszą kopię tego pliku należy zawsze wprowadzać zmiany w konfiguracji, takie jak:
- Poświadczenia bazy danych
- Aktualizacje certyfikatu
- Zmiany w zasadach autoryzacji
Jeśli planujesz szyfrować połączenia z bazami danych, skonfiguruj wdrożenie PostgreSQL lub SQL Server dla protokołu TLS.

Proces konfiguracji usługi hybrydowego zabezpieczenia danych tworzy plik ISO. Następnie za pomocą interfejsu ISO można skonfigurować hosta usługi hybrydowego zabezpieczenia danych.

1	W wierszu poleceń komputera wprowadź polecenie odpowiednie dla swojego środowiska: W zwykłych środowiskach: `docker rmi ciscocitg/hds-konfiguracja:stabilna` W środowiskach FedRAMP: `docker rmi ciscocitg/hds-setup-fedramp:stable` Ten krok czyści poprzednie obrazy narzędzia konfiguracji HDS. Jeśli nie ma poprzednich obrazów, zwraca błąd, który można zignorować.
2	Aby zalogować się do rejestru obrazów platformy Docker, wprowadź następujące informacje: `docker login -u hdscustomersro`
3	Po wyświetleniu monitu o hasło wprowadź ten skrót: `dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo`
4	Pobierz najnowszy stabilny obraz dla swojego środowiska: W zwykłych środowiskach: `docker ciągnąć ciscocitg / hds-setup:stable` W środowiskach FedRAMP: `docker ciągnąć ciscocitg/hds-setup-fedramp:stable`
5	Po zakończeniu ściągania wprowadź odpowiednie polecenie dla swojego środowiska: W zwykłych środowiskach bez proxy: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable` W zwykłych środowiskach z proxy HTTP: `docker run -p 8080:8080 --rm -it -e GLOBALNY_AGENT_HTTP_PROXY=http://SERWER_IP:PORT ciscocitg/hds-setup:stable` W zwykłych środowiskach z serwerem proxy HTTPS: `docker run -p 8080:8080 --rm -it -e GLOBALNY_AGENT_HTTPS_PROXY=http://SERWER_IP:PORT ciscocitg/hds-setup:stable` W środowiskach FedRAMP bez proxy: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable` W środowiskach FedRAMP z proxy HTTP: `docker run -p 8080:8080 --rm -it -e GLOBALNY_AGENT_HTTP_PROXY=http://SERWER_IP:PORT ciscocitg/hds-setup-fedramp:stable` W środowiskach FedRAMP z proxy HTTPS: `docker run -p 8080:8080 --rm -it -e GLOBALNY_AGENT_HTTPS_PROXY=http://SERWER_IP:PORT ciscocitg/hds-setup-fedramp:stable` Gdy kontener jest uruchomiony, zobaczysz komunikat „Serwer ekspresowy nasłuchuje na porcie 8080”.
6	Narzędzie konfiguracyjne nie obsługuje łączenia się z hostem localhost za pośrednictwem serwera http://localhost:8080. Użyj, http://127.0.0.1:8080 aby połączyć się z localhost. Użyj przeglądarki internetowej, aby przejść do hosta lokalnego `http://127.0.0.1:8080`i po wyświetleniu monitu wprowadź nazwę użytkownika administratora dla Partner Hub. Narzędzie używa tego pierwszego wpisu nazwy użytkownika w celu ustawienia środowiska dla tego konta. Następnie narzędzie wyświetla standardowy monit o zalogowanie.
7	Po wyświetleniu monitu wprowadź poświadczenia logowania administratora Partner Hub, a następnie kliknij przycisk Zaloguj , aby zezwolić na dostęp do wymaganych usług hybrydowego zabezpieczenia danych.
8	Na stronie Przegląd narzędzia konfiguracji kliknij przycisk Rozpocznij.
9	Na stronie Import ISO kliknij przycisk Tak.
10	Wybierz plik ISO w przeglądarce i prześlij go. Aby wykonać zarządzanie CMK, zapewnij połączenie z bazą danych.
11	Przejdź do karty Zarządzanie CMK dzierżawy , na której znajdziesz następujące trzy sposoby zarządzania CMK dzierżawy. Utwórz CMK dla wszystkich organizacji lub Utwórz CMK — kliknij ten przycisk na banerze u góry ekranu, aby utworzyć CMK dla wszystkich nowo dodanych organizacji. Kliknij przycisk Zarządzaj CMK po prawej stronie ekranu i kliknij przycisk Utwórz CMK , aby utworzyć CMK dla wszystkich nowo dodanych organizacji. Kliknij … w pobliżu oczekującego na status określonej organizacji w tabeli zarządzania CMK i kliknij przycisk Utwórz CMK , aby utworzyć CMK dla tej organizacji.
12	Po pomyślnym utworzeniu CMK stan w tabeli zostanie zmieniony z oczekującego zarządzania CMK na zarządzane CMK.
13	Jeśli tworzenie CMK nie powiedzie się, zostanie wyświetlony błąd.

Usuń organizacje dzierżaw

Przed rozpoczęciem

Po usunięciu użytkownicy organizacji klientów nie będą mogli korzystać z usługi HDS dla potrzeb szyfrowania i utracą wszystkie istniejące obszary. Przed usunięciem organizacji klientów skontaktuj się z partnerem lub opiekunem klienta Cisco.

1	Zaloguj się w https://admin.webex.com.
2	Z menu po lewej stronie ekranu wybierz pozycję Usługi.
3	W sekcji Usługi chmury znajdź usługę hybrydowego zabezpieczenia danych i kliknij opcję Wyświetl wszystko.
4	Na karcie Zasoby kliknij klaster, z którego chcesz usunąć organizacje klientów.
5	Na stronie, która się otworzy, kliknij pozycję Przypisani klienci.
6	Z wyświetlonej listy organizacji klientów kliknij ... po prawej stronie organizacji klienta, którą chcesz usunąć, i kliknij pozycję Usuń z klastra.

Co zrobić dalej

Zakończ proces usuwania, odwołując kody CMK organizacji klientów zgodnie z opisem w części Unieważnij kody CMK dzierżaw usuniętych z HDS.

Unieważnij CMK dzierżaw usuniętych z HDS.

Przed rozpoczęciem

Usuń klientów z odpowiedniego klastra, jak opisano w części Usuń organizacje dzierżawy. Uruchom narzędzie Konfiguracja usług HDS, aby zakończyć proces usuwania organizacji klientów, które zostały usunięte.

Narzędzie HDS Setup działa jako kontener platformy Docker na komputerze lokalnym. Aby uzyskać do niego dostęp, uruchom Docker na tym komputerze. Proces konfiguracji wymaga poświadczeń konta w Partner Hub z pełnymi uprawnieniami administratora dla Twojej organizacji.

Jeśli narzędzie konfiguracji HDS działa za serwerem proxy w środowisku, podaj ustawienia serwera proxy (serwer, port, poświadczenia) przez zmienne środowiskowe Docker podczas podnoszenia kontenera Docker w kroku 5. Ta tabela zawiera kilka możliwych zmiennych środowiskowych:

Opis	Zmienna
Serwer proxy HTTP bez uwierzytelniania	`GLOBALNY_AGENT_HTTP_PROXY=http://SERWER_IP:PORT`
Serwer proxy HTTPS bez uwierzytelniania	`GLOBALNY_AGENT_HTTPS_PROXY=http://SERWER_IP:PORT`
Serwer proxy HTTP z uwierzytelnianiem	`GLOBALNY_AGENT_HTTP_PROXY=http://NAZWA_UŻYTKOWNIKA:HASŁO@SERWER_IP:PORT`
Serwer proxy HTTPS z uwierzytelnianiem	`GLOBALNY_AGENT_HTTPS_PROXY=http://NAZWA_UŻYTKOWNIKA:HASŁO@SERWER_IP:PORT`

Wygenerowany plik ISO konfiguracji zawiera klucz główny do szyfrowania bazy danych PostgreSQL lub Microsoft SQL Server. Najnowszą kopię tego pliku należy zawsze wprowadzać zmiany w konfiguracji, takie jak:
- Poświadczenia bazy danych
- Aktualizacje certyfikatu
- Zmiany w zasadach autoryzacji
Jeśli planujesz szyfrować połączenia z bazami danych, skonfiguruj wdrożenie PostgreSQL lub SQL Server dla protokołu TLS.

Proces konfiguracji usługi hybrydowego zabezpieczenia danych tworzy plik ISO. Następnie za pomocą interfejsu ISO można skonfigurować hosta usługi hybrydowego zabezpieczenia danych.

1	W wierszu poleceń komputera wprowadź polecenie odpowiednie dla swojego środowiska: W zwykłych środowiskach: `docker rmi ciscocitg/hds-konfiguracja:stabilna` W środowiskach FedRAMP: `docker rmi ciscocitg/hds-setup-fedramp:stable` Ten krok czyści poprzednie obrazy narzędzia konfiguracji HDS. Jeśli nie ma poprzednich obrazów, zwraca błąd, który można zignorować.
2	Aby zalogować się do rejestru obrazów platformy Docker, wprowadź następujące informacje: `docker login -u hdscustomersro`
3	Po wyświetleniu monitu o hasło wprowadź ten skrót: `dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo`
4	Pobierz najnowszy stabilny obraz dla swojego środowiska: W zwykłych środowiskach: `docker ciągnąć ciscocitg / hds-setup:stable` W środowiskach FedRAMP: `docker ciągnąć ciscocitg/hds-setup-fedramp:stable`
5	Po zakończeniu ściągania wprowadź odpowiednie polecenie dla swojego środowiska: W zwykłych środowiskach bez proxy: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable` W zwykłych środowiskach z proxy HTTP: `docker run -p 8080:8080 --rm -it -e GLOBALNY_AGENT_HTTP_PROXY=http://SERWER_IP:PORT ciscocitg/hds-setup:stable` W zwykłych środowiskach z serwerem proxy HTTPS: `docker run -p 8080:8080 --rm -it -e GLOBALNY_AGENT_HTTPS_PROXY=http://SERWER_IP:PORT ciscocitg/hds-setup:stable` W środowiskach FedRAMP bez proxy: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable` W środowiskach FedRAMP z proxy HTTP: `docker run -p 8080:8080 --rm -it -e GLOBALNY_AGENT_HTTP_PROXY=http://SERWER_IP:PORT ciscocitg/hds-setup-fedramp:stable` W środowiskach FedRAMP z proxy HTTPS: `docker run -p 8080:8080 --rm -it -e GLOBALNY_AGENT_HTTPS_PROXY=http://SERWER_IP:PORT ciscocitg/hds-setup-fedramp:stable` Gdy kontener jest uruchomiony, zobaczysz komunikat „Serwer ekspresowy nasłuchuje na porcie 8080”.
6	Narzędzie konfiguracyjne nie obsługuje łączenia się z hostem localhost za pośrednictwem serwera http://localhost:8080. Użyj, http://127.0.0.1:8080 aby połączyć się z localhost. Użyj przeglądarki internetowej, aby przejść do hosta lokalnego `http://127.0.0.1:8080`i po wyświetleniu monitu wprowadź nazwę użytkownika administratora dla Partner Hub. Narzędzie używa tego pierwszego wpisu nazwy użytkownika w celu ustawienia środowiska dla tego konta. Następnie narzędzie wyświetla standardowy monit o zalogowanie.
7	Po wyświetleniu monitu wprowadź poświadczenia logowania administratora Partner Hub, a następnie kliknij przycisk Zaloguj , aby zezwolić na dostęp do wymaganych usług hybrydowego zabezpieczenia danych.
8	Na stronie Przegląd narzędzia konfiguracji kliknij przycisk Rozpocznij.
9	Na stronie Import ISO kliknij przycisk Tak.
10	Wybierz plik ISO w przeglądarce i prześlij go.
11	Przejdź do karty Zarządzanie CMK dzierżawy , na której znajdziesz następujące trzy sposoby zarządzania CMK dzierżawy. Unieważnij CMK dla wszystkich organizacji lub Unieważnij CMK — kliknij ten przycisk na banerze u góry ekranu, aby unieważnić CMK wszystkich organizacji, które zostały usunięte. Kliknij przycisk Zarządzaj CMK po prawej stronie ekranu i kliknij przycisk Unieważnij CMK , aby unieważnić CMK wszystkich organizacji, które zostały usunięte. Kliknij w pobliżu stanu CMK, aby unieważnić konkretną organizację, a następnie kliknij przycisk Unieważnij CMK , aby unieważnić CMK dla danej organizacji.
12	Po pomyślnym odwołaniu CMK organizacja klienta nie będzie już widoczna w tabeli.
13	Jeśli unieważnienie CMK nie powiedzie się, zostanie wyświetlony błąd.

Przetestuj swoje wdrożenie usługi hybrydowego zabezpieczenia danych

Ta procedura służy do testowania scenariuszy szyfrowania usługi hybrydowego zabezpieczenia danych dla wielu dzierżaw.

Przed rozpoczęciem

Skonfiguruj wdrożenie usługi hybrydowego zabezpieczenia danych dla wielu dzierżawców.
Upewnij się, że masz dostęp do dziennika systemowego, aby sprawdzić, czy żądania kluczy są przekazywane do wdrożenia hybrydowego zabezpieczenia danych z wieloma dzierżawcami.

1

Twórca obszaru ustawia klawisze dla danego obszaru. Zaloguj się do aplikacji Webex jako jeden z użytkowników organizacji klienta, a następnie utwórz obszar.

Po dezaktywacji wdrożenia usługi hybrydowego zabezpieczenia danych treści w obszarach utworzonych przez użytkowników nie będą już dostępne po zastąpieniu kopii kluczy szyfrowania zapisanych w pamięci podręcznej klienta.

2

Wysyłaj wiadomości do nowego obszaru.

3

Sprawdź dane wyjściowe dziennika systemu, aby sprawdzić, czy żądania kluczy są przekazywane do wdrożenia usługi hybrydowego zabezpieczenia danych.

Aby sprawdzić, czy użytkownik najpierw ustanawia bezpieczny kanał do serwera KMS, odfiltruj w interfejsie kms.data.method=create i kms.data.type=EFEMERAL_KEY_COLLECTION:

Należy znaleźć wpis taki jak następujący (identyfikatory skrócone dla czytelności):

2020-07-21 17:35:34.562 (+0000) INFORMACJE KMS [pool-14-thread-1] — [KMS:REQUEST] odebrano, identyfikator urządzenia: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EFEMERAL_KEY_COLLECTION, kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

Aby sprawdzić, czy użytkownik żąda istniejącego klucza z serwera KMS, odfiltruj dane w interfejsie kms.data.method=retrieve i kms.data.type=KEY:

Znajdziesz tam następujące pozycje:

2020-07-21 17:44:19.889 (+0000) INFORMACJE KMS [pool-14-thread-31] — [KMS:REQUEST] odebrano, identyfikator urządzenia: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

Aby sprawdzić użytkownika z prośbą o utworzenie nowego klucza KMS, odfiltruj według ustawień kms.data.method=create i kms.data.type=KEY_COLLECTION:

Znajdziesz tam następujące pozycje:

2020-07-21 17:44:21.975 (+0000) INFORMACJE KMS [pool-14-thread-33] - [KMS:REQUEST] odebrano, identyfikator urządzenia: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

Aby sprawdzić, czy użytkownik z prośbą o utworzenie nowego obiektu zasobów KMS (KRO) podczas tworzenia obszaru lub innego chronionego zasobu, odfiltruj według ustawień kms.data.method=create i kms.data.type=RESOURCE_COLLECTION:

Znajdziesz tam następujące pozycje:

2020-07-21 17:44:22.808 (+0000) INFORMACJE KMS [pool-15-thread-1] — [KMS:REQUEST] odebrano, identyfikator urządzenia: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

Monitoruj stan hybrydowego zabezpieczenia danych

Wskaźnik stanu w Partner Hub pokazuje, czy wszystko działa dobrze z wdrożeniem hybrydowego zabezpieczenia danych dla wielu dzierżawców. Aby uzyskać bardziej aktywne alerty, zarejestruj się w celu otrzymywania powiadomień e-mail. Będziesz otrzymywać powiadomienia w przypadku alarmów dotyczących usługi lub uaktualnień oprogramowania.

1	W Partner Hub wybierz pozycję Usługi z menu po lewej stronie ekranu.
2	W sekcji Usługi chmury znajdź usługę hybrydowego zabezpieczenia danych i kliknij opcję Edytuj ustawienia. Zastanie wyświetlona strona ustawień usługi hybrydowego zabezpieczenia danych.
3	W sekcji Powiadomienia e-mail wpisz co najmniej jeden adres e-mail oddzielony przecinkami i naciśnij klawisz Enter.

Zarządzaj wdrożeniem urządzeń HDS

Zarządzaj wdrożeniem usług HDS

Do zarządzania wdrożeniem usługi hybrydowego zabezpieczenia danych służą opisane w tym miejscu zadania.

Ustaw harmonogram uaktualniania klastra

Aktualizacje oprogramowania usługi hybrydowego zabezpieczenia danych są wykonywane automatycznie na poziomie klastra, co zapewnia, że na wszystkich węzłach zawsze działa ta sama wersja oprogramowania. Uaktualnienia są wykonywane zgodnie z harmonogramem uaktualniania klastra. Po udostępnieniu uaktualnienia oprogramowania masz możliwość ręcznego uaktualnienia klastra przed zaplanowaną godziną uaktualnienia. Możesz ustawić określony harmonogram uaktualniania lub użyć domyślnego harmonogramu aktualizacji 3:00 czasu AM Daily, Stany Zjednoczone: Ameryka/Los Angeles. W razie potrzeby możesz także zdecydować się na odroczenie nadchodzącego uaktualnienia.

Aby ustawić harmonogram uaktualniania:

1	Zaloguj się do Centrum partnerów.
2	Z menu po lewej stronie ekranu wybierz pozycję Usługi.
3	W sekcji Usługi chmury znajdź usługę hybrydowego zabezpieczenia danych i kliknij opcję Skonfiguruj
4	Na stronie Zasoby hybrydowego zabezpieczenia danych wybierz klaster.
5	Kliknij kartę Ustawienia klastra .
6	Na stronie Ustawienia klastra w obszarze Harmonogram uaktualniania wybierz strefę czasową i strefę czasową harmonogramu uaktualniania. Uwaga: W strefie czasowej wyświetlana jest kolejna dostępna data i godzina uaktualnienia. W razie potrzeby można odroczyć uaktualnienie na następny dzień, klikając opcję Odłóż o 24 godziny.

Zmień konfigurację węzła

Czasami może być konieczna zmiana konfiguracji węzła Hybrid Data Security z takiego powodu, jak:

Zmiana certyfikatów x.509 z powodu wygaśnięcia lub z innych powodów.

Nie obsługujemy zmiany nazwy domeny CN certyfikatu. Domena musi być zgodna z oryginalną domeną użytą do rejestracji klastra.
Aktualizacja ustawień bazy danych w celu zmiany na replikę bazy danych PostgreSQL lub Microsoft SQL Server.

Nie obsługujemy migracji danych z PostgreSQL do Microsoft SQL Server lub odwrotnie. Aby przełączyć środowisko bazy danych, rozpocznij nowe wdrożenie Hybrid Data Security.
Tworzenie nowej konfiguracji w celu przygotowania nowego centrum danych.

Ponadto ze względów bezpieczeństwa usługa Hybrid Data Security używa haseł do kont usług, które mają dziewięciomiesięczny okres użytkowania. Gdy narzędzie HdS Setup wygeneruje te hasła, należy je wdrożyć w każdym z węzłów HDS w pliku konfiguracyjnym ISO. Gdy hasła Twojej organizacji zbliżają się do wygaśnięcia, otrzymasz powiadomienie od zespołu Webex o zresetowaniu hasła do konta komputera. (Wiadomość e-mail zawiera tekst „Użyj interfejsu API konta komputera, aby zaktualizować hasło”). Jeśli Twoje hasła jeszcze nie wygasły, narzędzie oferuje dwie opcje:

Resetowanie programowe — stare i nowe hasła działają przez maksymalnie 10 dni. Wykorzystaj ten okres, aby stopniowo zastępować plik ISO w węzłach.
Zresetuj całkowicie — stare hasła natychmiast przestaną działać.

Jeśli hasła wygasną bez resetowania, ma to wpływ na usługę HDS, wymagając natychmiastowego twardego resetu i wymiany pliku ISO na wszystkich węzłach.

Użyj tej procedury, aby wygenerować nowy konfiguracyjny plik ISO i zastosować go do klastra.

Przed rozpoczęciem

Narzędzie HDS Setup działa jako kontener platformy Docker na komputerze lokalnym. Aby uzyskać do niego dostęp, uruchom Docker na tym komputerze. Proces konfiguracji wymaga poświadczeń konta w Partner Hub z pełnymi uprawnieniami administratora partnera.

Jeśli narzędzie konfiguracji HDS działa za serwerem proxy w środowisku, podaj ustawienia serwera proxy (serwer, port, poświadczenia) przez zmienne środowiskowe Docker podczas wprowadzania kontenera Docker w 1.e. Ta tabela zawiera kilka możliwych zmiennych środowiskowych:

Opis	Zmienna
Serwer proxy HTTP bez uwierzytelniania	`GLOBALNY_AGENT_HTTP_PROXY=http://SERWER_IP:PORT`
Serwer proxy HTTPS bez uwierzytelniania	`GLOBALNY_AGENT_HTTPS_PROXY=http://SERWER_IP:PORT`
Serwer proxy HTTP z uwierzytelnianiem	`GLOBALNY_AGENT_HTTP_PROXY=http://NAZWA_UŻYTKOWNIKA:HASŁO@SERWER_IP:PORT`
Serwer proxy HTTPS z uwierzytelnianiem	`GLOBALNY_AGENT_HTTPS_PROXY=http://NAZWA_UŻYTKOWNIKA:HASŁO@SERWER_IP:PORT`

Do wygenerowania nowej konfiguracji potrzebna jest kopia bieżącego konfiguracyjnego pliku ISO. ISO zawiera klucz główny szyfrujący bazę danych PostgreSQL lub Microsoft SQL Server. Plik ISO jest potrzebny podczas wprowadzania zmian w konfiguracji, w tym poświadczeń bazy danych, aktualizacji certyfikatów lub zmian zasad autoryzacji.

1	Korzystając z platformy Docker na komputerze lokalnym, uruchom narzędzie HDS Setup Tool. W wierszu poleceń komputera wprowadź polecenie odpowiednie dla swojego środowiska: W zwykłych środowiskach: `docker rmi ciscocitg/hds-konfiguracja:stabilna` W środowiskach FedRAMP: `docker rmi ciscocitg/hds-setup-fedramp:stable` Ten krok czyści poprzednie obrazy narzędzia konfiguracji HDS. Jeśli nie ma poprzednich obrazów, zwraca błąd, który można zignorować. Aby zalogować się do rejestru obrazów platformy Docker, wprowadź następujące informacje: `docker login -u hdscustomersro` Po wyświetleniu monitu o hasło wprowadź ten skrót: `dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo` Pobierz najnowszy stabilny obraz dla swojego środowiska: W zwykłych środowiskach: `docker ciągnąć ciscocitg / hds-setup:stable` W środowiskach FedRAMP: `docker ciągnąć ciscocitg/hds-setup-fedramp:stable` Upewnij się, że pobierasz najnowsze narzędzie instalacyjne dla tej procedury. Wersje narzędzia utworzone przed 22 lutego 2018 r. nie mają ekranów resetowania hasła. Po zakończeniu ściągania wprowadź odpowiednie polecenie dla swojego środowiska: W zwykłych środowiskach bez proxy: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable` W zwykłych środowiskach z proxy HTTP: `docker run -p 8080:8080 --rm -it -e GLOBALNY_AGENT_HTTP_PROXY=http://SERWER_IP:PORT ciscocitg/hds-setup:stable` W zwykłych środowiskach z HTTPSproxy: `docker run -p 8080:8080 --rm -it -e GLOBALNY_AGENT_HTTPS_PROXY=http://SERWER_IP:PORT ciscocitg/hds-setup:stable` W środowiskach FedRAMP bez proxy: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable` W środowiskach FedRAMP z proxy HTTP: `docker run -p 8080:8080 --rm -it -e GLOBALNY_AGENT_HTTP_PROXY=http://SERWER_IP:PORT ciscocitg/hds-setup-fedramp:stable` W środowiskach FedRAMP z proxy HTTPS: `docker run -p 8080:8080 --rm -it -e GLOBALNY_AGENT_HTTPS_PROXY=http://SERWER_IP:PORT ciscocitg/hds-setup-fedramp:stable` Gdy kontener jest uruchomiony, widzisz "Serwer ekspresowy nasłuchujący na porcie 8080". Użyj przeglądarki, aby połączyć się z hostem lokalnym, `http://127.0.0.1:8080`. Narzędzie konfiguracyjne nie obsługuje łączenia się z hostem localhost za pośrednictwem serwera http://localhost:8080. Użyj, http://127.0.0.1:8080 aby połączyć się z localhost. Po wyświetleniu monitu wprowadź poświadczenia logowania klienta w Partner Hub, a następnie kliknij przycisk Akceptuj , aby kontynuować. Zaimportuj bieżący konfiguracyjny plik ISO. Postępuj zgodnie z instrukcjami, aby ukończyć narzędzie i pobrać zaktualizowany plik. Aby zamknąć narzędzie konfiguracyjne, wpisz `CTRL+C`. Utwórz kopię zapasową zaktualizowanego pliku w innym centrum danych.
2	Jeśli masz uruchomiony tylko jeden węzeł HDS, utwórz nowy węzeł usługi hybrydowego zabezpieczenia danych i zarejestruj go za pomocą nowego pliku ISO konfiguracji. Aby uzyskać bardziej szczegółowe instrukcje, zobacz Tworzenie i rejestrowanie większej liczby węzłów. Zainstaluj OVA hosta HDS. Skonfiguruj maszynę wirtualną HDS. Zamontuj zaktualizowany plik konfiguracyjny. Zarejestruj nowy węzeł w Partner Hub.
3	W przypadku istniejących węzłów HDS, na których działa starszy plik konfiguracyjny, podłącz plik ISO. Wykonaj następującą procedurę na każdym węźle po kolei, aktualizując każdy węzeł przed wyłączeniem następnego węzła: Wyłącz maszynę wirtualną. W lewym okienku nawigacji klienta VMware vSphere kliknij prawym przyciskiem myszy maszynę wirtualną i kliknij opcję Edytuj ustawienia. Kliknij `pozycję Napęd CD/DVD 1`, wybierz opcję instalacji z pliku ISO i przejdź do lokalizacji, do której pobrano nowy plik konfiguracyjny ISO. Zaznacz Połącz przy włączeniu. Zapisz zmiany i włącz maszynę wirtualną.
4	Powtórz krok 3, aby zastąpić konfigurację na każdym pozostałym węźle, na którym działa stara konfiguracja.

Wyłączanie trybu zablokowanego zewnętrznego rozpoznawania DNS

Podczas rejestrowania węzła lub sprawdzania konfiguracji serwera proxy węzła proces testuje wyszukiwanie DNS i łączność z chmurą Cisco Webex. Jeśli serwer DNS węzła nie może rozpoznać publicznych nazw DNS, węzeł automatycznie przechodzi w tryb zablokowanego zewnętrznego rozpoznawania DNS.

Jeśli węzły są w stanie rozpoznawać publiczne nazwy DNS za pośrednictwem wewnętrznych serwerów DNS, można wyłączyć ten tryb, ponownie uruchamiając test połączenia proxy w każdym węźle.

Przed rozpoczęciem

Upewnij się, że wewnętrzne serwery DNS mogą rozpoznawać publiczne nazwy DNS i że węzły mogą się z nimi komunikować.

1	W przeglądarce sieci Web otwórz interfejs węzła Hybrid Data Security (na przykład adres IP/konfiguracja https://192.0.2.0/setup), wprowadź poświadczenia administratora skonfigurowane dla węzła, a następnie kliknij przycisk Zaloguj.
2	Przejdź do Przegląd (strona domyślna). Gdy ta opcja jest włączona, opcja Zablokowane zewnętrzne rozpoznawanie DNS jest ustawiona na Tak.
3	Przejdź do strony Trust Store & Proxy.
4	Kliknij przycisk Sprawdź połączenie proxy. Jeśli zostanie wyświetlony komunikat informujący, że zewnętrzne rozpoznawanie nazw DNS nie powiodło się, oznacza to, że węzeł nie mógł połączyć się z serwerem DNS i pozostanie w tym trybie. W przeciwnym razie, po ponownym uruchomieniu węzła i powrocie do strony Przegląd, Zablokowane zewnętrzne rozpoznawanie DNS powinno być ustawione na nie.

Co dalej?

Powtórz test połączenia proxy dla każdego węzła w klastrze hybrid Data Security.

Usuń węzeł

Ta procedura umożliwia usunięcie węzła usługi hybrydowego zabezpieczenia danych z chmury Webex. Po usunięciu węzła z klastra usuń maszynę wirtualną, aby zapobiec dalszemu dostępowi do danych zabezpieczeń.

1

Użyj klienta VMware vSphere na komputerze, aby zalogować się do hosta wirtualnego ESXi i wyłączyć maszynę wirtualną.

2

Usuń węzeł:

Zaloguj się do Partner Hub, a następnie wybierz pozycję Usługi.
Na karcie usługi hybrydowego zabezpieczenia danych kliknij przycisk Wyświetl wszystko , aby wyświetlić stronę zasobów usługi hybrydowego zabezpieczenia danych.
Wybierz klaster, aby wyświetlić jego panel Przegląd.
Kliknij węzeł, który chcesz usunąć.
Kliknij Wyrejestruj ten węzeł na panelu wyświetlanym po prawej stronie
Możesz również wyrejestrować węzeł, klikając … po prawej stronie węzła i wybierając opcję Usuń ten węzeł.

3

W kliencie vSphere usuń maszynę wirtualną. (W lewym okienku nawigacyjnym kliknij prawym przyciskiem myszy maszynę wirtualną i kliknij opcję Usuń).

Jeśli nie usuniesz maszyny wirtualnej, pamiętaj, aby odmontować plik ISO konfiguracji. Bez pliku ISO nie możesz korzystać z maszyny wirtualnej w celu uzyskania dostępu do danych zabezpieczeń.

Przywracanie po awarii przy użyciu centrum danych w trybie gotowości

Najważniejszą usługą zapewnianą przez klaster usługi hybrydowego zabezpieczenia danych jest tworzenie i przechowywanie kluczy używanych do szyfrowania wiadomości i innych treści przechowywanych w chmurze Webex. Dla każdego użytkownika w organizacji, który jest przypisany do usługi hybrydowego zabezpieczenia danych, nowe żądania utworzenia kluczy są kierowane do klastra. Klaster jest również odpowiedzialny za zwracanie utworzonych przez siebie kluczy do wszystkich użytkowników uprawnionych do ich pobrania, na przykład członków obszaru konwersacji.

Ponieważ klaster pełni kluczową funkcję dostarczania tych kluczy, konieczne jest, aby klaster nadal działał i aby zachowano odpowiednie kopie zapasowe. Utrata bazy danych usługi hybrydowego zabezpieczenia danych lub konfiguracji ISO użytej do schematu spowoduje NIEODWRACALNĄ UTRATĘ zawartości klienta. Aby zapobiec takiej utracie, obowiązkowe są następujące praktyki:

Jeśli awaria spowoduje niedostępność wdrożenia usług HDS w podstawowym centrum danych, wykonaj tę procedurę, aby ręcznie przełączyć się w tryb awaryjny do centrum danych.

Przed rozpoczęciem

Wyrejestruj wszystkie węzły z Partner Hub, jak opisano w sekcji Usuń węzeł. Aby wykonać opisaną poniżej procedurę przełączenia awaryjnego, użyj najnowszego pliku ISO, który został skonfigurowany w węzłach klastra, który był wcześniej aktywny.

1	Uruchom narzędzie konfiguracji HDS i wykonaj czynności wymienione w części Utwórz konfigurację ISO dla hostów HDS.
2	Zakończ proces konfiguracji i zapisz plik ISO w łatwym do znalezienia miejscu.
3	Utwórz kopię zapasową pliku ISO w lokalnym systemie. Zachowaj bezpieczeństwo kopii zapasowej. Ten plik zawiera główny klucz szyfrowania zawartości bazy danych. Ogranicz dostęp tylko do administratorów usługi hybrydowego zabezpieczenia danych, którzy powinni dokonać zmian w konfiguracji.
4	W lewym okienku nawigacji klienta VMware vSphere kliknij prawym przyciskiem myszy maszynę wirtualną i kliknij opcję Edytuj ustawienia.
5	Kliknij Edytuj ustawienia >Dysk CD/DVD 1 i wybierz Plik ISO magazynu danych. Upewnij się, że opcje Połączono i Połącz po włączeniu zasilania są zaznaczone, aby zaktualizowane zmiany konfiguracji mogły zostać zastosowane po uruchomieniu węzłów.
6	Włącz węzeł HDS i upewnij się, że nie ma alarmów przez co najmniej 15 minut.
7	Zarejestruj węzeł w Partner Hub. Zobacz Zarejestruj pierwszy węzeł w klastrze.
8	Powtórz ten proces dla każdego węzła w centrum danych w trybie gotowości.

Co zrobić dalej

Po przełączeniu awaryjnym, jeśli główne centrum danych ponownie stanie się aktywne, wyrejestruj węzły centrum danych w trybie gotowości i powtórz proces konfiguracji ISO i rejestracji węzłów podstawowego centrum danych, jak wspomniano powyżej.

(Opcjonalnie) Odmontuj ISO po konfiguracji HDS

Standardowa konfiguracja trybu HDS jest uruchomiona z zamontowaną normą ISO. Jednak niektórzy klienci wolą nie pozostawiać plików ISO stale montowanych. Plik ISO można odmontować, gdy wszystkie węzły HDS odbiorą nową konfigurację.

Nadal używasz plików ISO do wprowadzania zmian w konfiguracji. Podczas tworzenia nowego certyfikatu ISO lub aktualizacji certyfikatu ISO za pomocą narzędzia konfiguracji należy zamontować zaktualizowany certyfikat ISO na wszystkich węzłach trybu HDS. Gdy wszystkie węzły odbiorą zmiany konfiguracji, można ponownie odmontować obraz ISO za pomocą tej procedury.

Przed rozpoczęciem

Uaktualnij wszystkie węzły HDS do wersji 2021.01.22.4720 lub nowszej.

1	Wyłącz jeden z węzłów trybu HDS.
2	W urządzeniu vCenter Server Device wybierz węzeł HDS.
3	Wybierz pozycję Edytuj ustawienia > napęd CD/DVD i usuń zaznaczenie pola wyboru Plik ISO magazynu danych.
4	Włącz węzeł HDS i upewnij się, że nie ma alarmów przez co najmniej 20 minut.
5	Powtórz kolejno dla każdego węzła HDS.

Rozwiązywanie problemów z usługą hybrydowego zabezpieczenia danych

Wyświetlanie alertów i rozwiązywanie problemów

Wdrożenie usługi hybrydowego zabezpieczenia danych jest uważane za niedostępne, jeśli wszystkie węzły w klastrze są niedostępne lub klaster działa tak wolno, że wymaga przekroczenia limitu czasu. Jeśli użytkownicy nie mogą połączyć się z klastrem usługi hybrydowego zabezpieczenia danych, wystąpią następujące objawy:

Nie można tworzyć nowych obszarów (nie można utworzyć nowych kluczy)
Nie można odszyfrować wiadomości i tytułów obszarów dla:
- Nowi użytkownicy dodani do obszaru (nie można pobrać kluczy)
- Istniejący użytkownicy w obszarze korzystający z nowego klienta (nie można pobrać kluczy)
Istniejący użytkownicy w obszarze będą nadal działać pomyślnie, o ile ich klienci mają pamięć podręczną kluczy szyfrowania

Ważne jest, aby prawidłowo monitorować klaster usługi hybrydowego zabezpieczenia danych i szybko odpowiadać na wszelkie alerty, aby uniknąć zakłóceń w świadczeniu usług.

Alerty

Jeśli wystąpi problem z konfiguracją usługi hybrydowego zabezpieczenia danych, Partner Hub wyświetla alerty do administratora organizacji i wysyła wiadomości e-mail na skonfigurowany adres e-mail. Alerty obejmują wiele typowych scenariuszy.

Tabela 1. Wspólne problemy i kroki umożliwiające ich rozwiązanie
Alarm	Czynność
Błąd dostępu do lokalnej bazy danych.	Sprawdź, czy nie występują błędy bazy danych lub problemy z siecią lokalną.
Błąd połączenia z lokalną bazą danych.	Sprawdź, czy serwer bazy danych jest dostępny i czy w konfiguracji węzła użyto odpowiednich poświadczeń konta usługi.
Błąd dostępu do usługi chmury.	Sprawdź, czy węzły mogą uzyskać dostęp do serwerów Webex zgodnie z Wymaganiami dotyczącymi łączności zewnętrznej.
Odnawianie rejestracji w usłudze w chmurze.	Przerwano rejestrację w usługach w chmurze. Trwa odnawianie rejestracji.
Rejestracja usługi w chmurze została przerwana.	Rejestracja w usługach w chmurze została zakończona. Usługa jest wyłączana.
Usługa nie została jeszcze aktywowana.	Aktywuj usługę HDS w Partner Hub.
Skonfigurowana domena nie jest zgodna z certyfikatem serwera.	Upewnij się, że certyfikat serwera jest zgodny ze skonfigurowaną domeną aktywacji usługi. Najbardziej prawdopodobną przyczyną jest to, że kod CN certyfikatu został ostatnio zmieniony i różni się teraz od kodu używanego podczas początkowej konfiguracji.
Nie można uwierzytelnić usług w chmurze.	Sprawdź dokładność i możliwe wygaśnięcie poświadczeń konta usługi.
Nie można otworzyć pliku lokalnego magazynu kluczy.	Sprawdź integralność i dokładność haseł w pliku lokalnego magazynu kluczy.
Certyfikat serwera lokalnego jest nieprawidłowy.	Sprawdź datę wygaśnięcia certyfikatu serwera i upewnij się, że został on wydany przez zaufany urząd certyfikacji.
Nie można opublikować metryk.	Sprawdź dostęp sieci lokalnej do usług chmury zewnętrznej.
Katalog /media/configdrive/hds nie istnieje.	Sprawdź konfigurację montażu ISO na hoście wirtualnym. Sprawdź, czy plik ISO istnieje, czy jest skonfigurowany do montażu przy ponownym uruchomieniu i czy zamontowano go pomyślnie.
Konfiguracja organizacji dzierżawy dla dodanych organizacji nie została zakończona	Zakończ konfigurację, tworząc moduły CMK dla nowo dodanych organizacji dzierżaw za pomocą narzędzia konfiguracji HDS.
Nie ukończono konfiguracji organizacji dzierżawy dla usuniętych organizacji	Dokończ konfigurację, odwołując identyfikatory CMK organizacji dzierżaw, które zostały usunięte za pomocą narzędzia konfiguracji HDS.

Rozwiązywanie problemów z usługą hybrydowego zabezpieczenia danych

Podczas rozwiązywania problemów z usługą hybrydowego zabezpieczenia danych należy przestrzegać następujących ogólnych wytycznych.

1	Zapoznaj się z Partner Hub, aby uzyskać alerty i napraw wszystkie znajdujące się w tym miejscu elementy. Zobacz poniższy obrazek w celach informacyjnych.
2	Sprawdź dane wyjściowe serwera dziennika systemu pod kątem aktywności we wdrożeniu usługi hybrydowego zabezpieczenia danych. Filtruj słowa, takie jak „Ostrzeżenie” i „Błąd”, aby pomóc w rozwiązywaniu problemów.
3	Skontaktuj się ze wsparciem Cisco.

Inne uwagi

Znane problemy dotyczące hybrydowego zabezpieczenia danych

Jeśli wyłączysz klaster usługi hybrydowego zabezpieczenia danych (usuwając go w Partner Hub lub zamykając wszystkie węzły), stracisz plik ISO konfiguracji lub stracisz dostęp do bazy danych magazynu kluczy, użytkownicy aplikacji Webex w organizacjach klientów nie będą mogli już korzystać z obszarów z listy Osoby, które zostały utworzone za pomocą kluczy z serwera KMS. Obecnie nie mamy obejścia lub rozwiązania tego problemu i zachęcamy do niezamykania usług HDS po obsłużeniu aktywnych kont użytkowników.
Klient, który ma istniejące połączenie ECDH z serwerem KMS, utrzymuje to połączenie przez pewien czas (prawdopodobnie jedną godzinę).

Użyj OpenSSL do generowania pliku PKCS12

Przed rozpoczęciem

OpenSSL to jedno z narzędzi, które można wykorzystać do tworzenia pliku PKCS12 w odpowiednim formacie do załadowania w narzędziu konfiguracyjnym HDS. Istnieją inne sposoby na to, a my nie popieramy ani nie promujemy jednej drogi nad drugą.
Jeśli zdecydujesz się na użycie protokołu OpenSSL, udostępniamy tę procedurę jako wskazówkę, która pomoże Ci utworzyć plik spełniający wymagania certyfikatu X.509 w wymaganiach certyfikatu X.509. Przed kontynuowaniem zrozum te wymagania.
Zainstaluj protokół OpenSSL w obsługiwanym środowisku. Informacje na temat https://www.openssl.org oprogramowania i dokumentacji można znaleźć.
Utwórz klucz prywatny.
Rozpocznij tę procedurę po otrzymaniu certyfikatu serwera od urzędu certyfikacji (CA).

1	Po otrzymaniu certyfikatu serwera od urzędu certyfikacji zapisz go jako `hdsnode.pem`.
2	Wyświetl certyfikat w postaci tekstu i zweryfikuj szczegóły. `openssl x509 -text -noout -in hdsnode.pem`
3	Użyj edytora tekstu, aby utworzyć plik pakietu certyfikatów o nazwie `hdsnode-bundle.pem`. Plik pakietu musi zawierać certyfikat serwera, wszystkie certyfikaty pośredniego urzędu certyfikacji i certyfikaty głównego urzędu certyfikacji w poniższym formacie: `-----ROZPOCZNIJ CERTYFIKAT------ ### Certyfikat serwera. ### -----ZAKOŃCZ CERTYFIKAT-----------ROZPOCZNIJ CERTYFIKAT------ ### Certyfikat pośredniego urzędu certyfikacji. ### -----ZAKOŃCZ CERTYFIKAT----------------- ### Certyfikat GŁÓWNEGO URZĘDU CERTYFIKACJI. ### -----ZAKOŃCZ CERTYFIKAT-------`
4	Utwórz plik .p12 o przyjaznej nazwie `kms-private-key`. `openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -nazwa kms-private-key -caname kms-private-key -out hdsnode.p12`
5	Sprawdź szczegóły certyfikatu serwera. `openssl pkcs12 - w hdsnode.p12` W wyświetlonym monicie wprowadź hasło, aby zaszyfrować klucz prywatny, tak aby był wyświetlany na wyjściu. Następnie sprawdź, czy klucz prywatny i pierwszy certyfikat zawierają linie `friendlyName: kms-klucz prywatny`. Przykład: bash$ openssl pkcs12 - in hdsnode.p12 Wprowadź hasło importu: Atrybuty MAC zweryfikowane przez OK Bag friendlyName: kms-private-key lokalnyIdentyfikatorKlucza: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Atrybuty kluczowe: Wprowadź zdanie przejścia PEM: Weryfikowanie — wprowadź zdanie przejścia PEM: -----ROZPOCZNIJ ZASZYFROWANY KLUCZ PRYWATNY------ -----ZAKOŃCZ ZASZYFROWANY KLUCZ PRYWATNY------- Atrybuty Bag friendlyName: kms-private-key lokalnyIdentyfikatorKlucza: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 -----BEGIN CERTIFICATE------ -----END CERTIFICATE------ Bag Attributes friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3 -----BEGIN CERTIFICATE----- -----END CERTIFICATE-------

Co zrobić dalej

Wróć do tematu Wymagania wstępne dotyczące usługi hybrydowego zabezpieczenia danych. Będziesz używać pliku hdsnode.p12 i ustawionego dla niego hasła w Utwórz konfigurację ISO dla hostów HDS.

Możesz ponownie użyć tych plików, aby zażądać nowego certyfikatu po wygaśnięciu oryginalnego certyfikatu.

Ruch między węzłami HDS a chmurą

Ruch kolekcji metryk wychodzących

Węzły usługi hybrydowego zabezpieczenia danych wysyłają pewne metryki do chmury Webex. Obejmują one metryki systemowe dotyczące maksymalnej sterty, użytej sterty, obciążenia procesora i liczby wątków; metryki wątków synchronicznych i asynchronicznych; metryki alertów dotyczących progu połączeń szyfrowania, opóźnienia lub długości kolejki żądań; metryki w magazynie danych oraz metryki połączeń szyfrowania. Węzły wysyłają zaszyfrowany materiał klucza przez kanał braku pasma (oddzielny od żądania).

Ruch przychodzący

Węzły usługi hybrydowego zabezpieczenia danych odbierają następujące typy ruchu przychodzącego z chmury Webex:

Żądania szyfrowania od klientów trasowane przez usługę szyfrowania
Uaktualnia oprogramowanie węzła

Skonfiguruj serwery proxy Squid dla hybrydowego zabezpieczenia danych

Websocket nie może połączyć się przez Squid Proxy

Serwery proxy Squid, które sprawdzają ruch HTTPS, mogą zakłócać nawiązywanie połączeń Websocket (wss:), których wymaga hybrydowe zabezpieczenia danych. Poniższe sekcje zawierają wskazówki, jak skonfigurować różne wersje Squid, aby ignorować wss: ruchu zapewniającego prawidłowe funkcjonowanie usług.

Kalmary 4 i 5

Dodaj on_unsupported_protocol dyrektywę do squid.conf:

on_unsupported_protocol tunel wszystkie

Kalmary 3.5.27

Z powodzeniem przetestowaliśmy Hybrid Data Security z następującymi regułami dodanymi do squid.conf. Zasady te mogą ulec zmianie w miarę opracowywania funkcji i aktualizowania chmury Webex.

Acl wssMercuryConnection ssl::server_name_regex połączenie z rtęcią ssl_bump splice wssMercuryConnection acl step1 at_step SslBump1 acl step2 at_step SslBump2 acl step3 at_step SslBump3 ssl_bump peek step1 wszystko ssl_bump stare step2 wszystko ssl_bump bump3 wszystko

Nowe i zmienione informacje

Ta tabela zawiera informacje o nowych funkcjach, zmianach w istniejącej zawartości oraz o wszelkich głównych błędach, które zostały usunięte w Przewodniku wdrażania hybrydowego zabezpieczenia danych dla wielu dzierżawców.

Data	Wprowadzono zmiany
15 stycznia 2025 r.	Dodano ograniczenia usługi hybrydowego zabezpieczenia danych dla wielu dzierżaw.
08 stycznia 2025 r.	Dodano uwagę w części Wykonaj początkową konfigurację i pobierz pliki instalacyjne stwierdzającą, że kliknięcie Skonfiguruj na karcie HDS w Partner Hub jest ważnym etapem procesu instalacji.
07 stycznia 2025 r.	Zaktualizowano wymagania dotyczące hosta wirtualnego, przepływ zadań wdrażania hybrydowego zabezpieczenia danych i Zainstaluj OVA hosta HDS , aby wyświetlić nowe wymagania dotyczące ESXi 7.0.
13 grudnia 2024 r.	Opublikowano po raz pierwszy.

Dezaktywuj hybrydowe zabezpieczenia danych dla wielu dzierżaw

Przepływ zadań dezaktywacji trybu HDS dla wielu dzierżawców

Aby całkowicie dezaktywować usługę HDS dla wielu dzierżaw, wykonaj poniższe czynności.

Przed rozpoczęciem

To zadanie powinien wykonywać tylko administrator partnera z pełnymi uprawnieniami.

1	Usuń wszystkich klientów ze wszystkich klastrów, jak opisano w części Usuń organizacje dzierżaw.
2	Unieważnij CMK wszystkich klientów, jak wspomniano w części Unieważnij CMK dzierżaw usuniętych z HDS..
3	Usuń wszystkie węzły ze wszystkich klastrów zgodnie z opisem w sekcji Usuń węzeł.
4	Usuń wszystkie klastry z Partner Hub za pomocą jednej z dwóch poniższych metod. Kliknij klaster, który chcesz usunąć, a następnie wybierz pozycję Usuń ten klaster w prawym górnym rogu strony przeglądu. Na stronie Zasoby kliknij … po prawej stronie klastra i wybierz opcję Usuń klaster.
5	Kliknij kartę Ustawienia na stronie Przegląd usługi hybrydowego zabezpieczenia danych, a następnie opcję Dezaktywuj usługę HDS na karcie stanu usługi HDS.

Wprowadzenie do hybrydowego zabezpieczenia danych dla wielu dzierżaw

Omówienie hybrydowego zabezpieczenia danych dla wielu dzierżaw

Od pierwszego dnia bezpieczeństwo danych było głównym celem podczas projektowania aplikacji Webex. Podstawą tego zabezpieczenia jest kompleksowe szyfrowanie treści, które umożliwiają klienci aplikacji Webex współpracujący z usługą zarządzania kluczami (KMS). Usługa KMS jest odpowiedzialna za tworzenie kluczy kryptograficznych używanych przez klientów do dynamicznego szyfrowania i odszyfrowywania wiadomości i plików oraz zarządzanie nimi.

Domyślnie wszyscy klienci aplikacji Webex otrzymują kompleksowe szyfrowanie za pomocą kluczy dynamicznych przechowywanych w chmurze KMS, w sferze bezpieczeństwa Cisco. Hybrid Data Security przenosi KMS i inne funkcje związane z bezpieczeństwem do centrum danych przedsiębiorstwa, dzięki czemu nikt poza Tobą nie posiada kluczy do zaszyfrowanej zawartości.

Hybrydowe zabezpieczenia danych dla wielu dzierżawców umożliwia organizacjom korzystanie z usług HDS za pośrednictwem zaufanego lokalnego partnera, który może działać jako dostawca usług i zarządzać lokalnym szyfrowaniem i innymi usługami zabezpieczeń. Ta konfiguracja umożliwia organizacji partnerskiej pełną kontrolę nad wdrażaniem kluczy szyfrowania i zarządzaniem nimi oraz zapewnia bezpieczeństwo danych użytkowników organizacji klientów przed dostępem zewnętrznym. Organizacje partnerskie konfigurują wystąpienia HDS i w razie potrzeby tworzą klastry HDS. Każde wystąpienie może obsługiwać wiele organizacji klientów w przeciwieństwie do zwykłego wdrażania usług HDS, które jest ograniczone do jednej organizacji.

Chociaż organizacje partnerskie mają kontrolę nad wdrażaniem i zarządzaniem, nie mają dostępu do danych ani treści generowanych przez klientów. Ten dostęp jest ograniczony do organizacji klientów i ich użytkowników.

Pozwala to również mniejszym organizacjom na korzystanie z HDS, ponieważ usługi zarządzania kluczami i infrastruktura zabezpieczeń, taka jak centra danych, są własnością zaufanego partnera lokalnego.

Jak hybrydowe zabezpieczenia danych dla wielu dzierżawców zapewnia suwerenność danych i kontrolę danych

Treści generowane przez użytkowników są chronione przed dostępem zewnętrznym, na przykład przed dostawcami usług w chmurze.
Lokalni zaufani partnerzy zarządzają kluczami szyfrowania klientów, z którymi mają już ustalone relacje.
Opcja lokalnej pomocy technicznej, jeśli została dostarczona przez partnera.
Obsługuje treści spotkań, wiadomości i połączeń.

Ten dokument ma na celu pomóc organizacjom partnerskim w konfigurowaniu klientów w systemie hybrydowego zabezpieczenia danych dla wielu dzierżawców i zarządzaniu nimi.

Ograniczenia hybrydowego zabezpieczenia danych dla wielu dzierżaw

Organizacje partnerskie nie mogą mieć żadnego aktywnego wdrożenia usług HDS w Control Hub.
Organizacje najemców lub klientów, które chcą być zarządzane przez partnera, nie mogą mieć żadnego istniejącego wdrożenia usług HDS w Control Hub.
Po wdrożeniu usługi HDS dla wielu dzierżaw przez partnera wszyscy użytkownicy organizacji klientów oraz użytkownicy organizacji partnerskiej zaczynają korzystać z usług szyfrowania HDS dla wielu dzierżaw.

Organizacja partnerska i organizacje klientów, którymi zarządzają, będą korzystać z tego samego wdrożenia usług HDS dla wielu dzierżawców.

Organizacja partnerska nie będzie już korzystać z serwera KMS w chmurze po wdrożeniu usług HDS dla wielu dzierżawców.
Nie ma mechanizmu umożliwiającego powrót kluczy do usługi KMS w chmurze po wdrożeniu usługi HDS.
Obecnie każde wdrożenie HDS dla wielu dzierżawców może mieć tylko jeden klaster z wieloma węzłami.
Role administratora mają pewne ograniczenia. Szczegółowe informacje można znaleźć w poniższej sekcji.

Role w usłudze hybrydowego zabezpieczenia danych dla wielu dzierżaw

Administrator partnera z pełnymi uprawnieniami — może zarządzać ustawieniami wszystkich klientów, którymi zarządza partner. Może również przypisywać role administratora istniejącym użytkownikom w organizacji oraz przypisywać określonych klientów do zarządzania przez administratorów partnera.
Administrator partnera — może zarządzać ustawieniami klientów skonfigurowanych przez administratora lub przypisanych do użytkownika.
Administrator z pełnymi uprawnieniami — administrator organizacji partnerskiej, który ma uprawnienia do wykonywania takich zadań jak modyfikowanie ustawień organizacji, zarządzanie licencjami i przypisywanie ról.

Kompleksowa konfiguracja trybu HDS dla wielu dzierżawców i zarządzanie wszystkimi organizacjami klientów — wymagane uprawnienia administratora partnera z pełnymi uprawnieniami i administratora z pełnymi uprawnieniami.
Zarządzanie przypisanymi organizacjami dzierżaw — wymagane uprawnienia administratora partnera i administratora z pełnymi uprawnieniami.

Architektura Security Realm

Architektura chmury Webex dzieli różne typy usług na oddzielne domeny lub domeny zaufania, jak pokazano poniżej.

Aby lepiej zrozumieć usługę hybrydowego zabezpieczenia danych, przyjrzyjmy się najpierw tej czystej chmurze, w której firma Cisco udostępnia wszystkie funkcje w swoich domenach chmury. Usługa tożsamości, jedyne miejsce, w którym użytkownicy mogą być bezpośrednio skorelowani z ich danymi osobowymi, takimi jak adres e-mail, jest logicznie i fizycznie oddzielona od obszaru bezpieczeństwa w centrum danych B. Oba są z kolei oddzielone od obszaru, w którym docelowo przechowywana jest zaszyfrowana zawartość, w centrum danych C.

Na tym schemacie klient jest aplikacją Webex działającą na laptopie użytkownika i uwierzytelnił się w usłudze tożsamości. Gdy użytkownik tworzy wiadomość do wysłania do obszaru, wykonują następujące czynności:

Klient nawiązuje bezpieczne połączenie z usługą zarządzania kluczami (KMS), a następnie żąda klucza w celu zaszyfrowania wiadomości. Bezpieczne połączenie korzysta z protokołu ECDH, a serwer KMS szyfruje klucz przy użyciu klucza głównego AES-256.
Wiadomość jest szyfrowana przed opuszczeniem klienta. Klient wysyła je do usługi indeksowania, która tworzy zaszyfrowane indeksy wyszukiwania, aby pomóc w przyszłych wyszukiwaniu zawartości.
Zaszyfrowana wiadomość jest wysyłana do usługi zgodności w celu sprawdzenia zgodności.
Zaszyfrowana wiadomość jest przechowywana w obszarze miejsca do przechowywania.

Podczas wdrażania hybrydowego zabezpieczenia danych funkcje domeny zabezpieczeń (KMS, indeksowanie i zgodność) są przenoszone do lokalnego centrum danych. Inne usługi w chmurze tworzące usługę Webex (w tym tożsamość i miejsce do przechowywania zawartości) pozostają w domenach Cisco.

Współpraca z innymi organizacjami

Użytkownicy w Twojej organizacji mogą regularnie korzystać z aplikacji Webex do współpracy z uczestnikami zewnętrznymi w innych organizacjach. Gdy jeden z użytkowników poprosi o klucz obszaru należącego do Twojej organizacji (ponieważ został on utworzony przez jednego z użytkowników), serwer KMS wysyła klucz do klienta przez kanał zabezpieczony ECDH. Jeśli jednak inna organizacja jest właścicielem klucza obszaru, serwer KMS kieruje żądanie do chmury Webex przez oddzielny kanał ECDH, aby pobrać klucz z odpowiedniego serwera KMS, a następnie zwraca klucz do użytkownika w oryginalnym kanale.

Usługa KMS działająca w organizacji A sprawdza poprawność połączeń z urządzeniami KMS w innych organizacjach przy użyciu certyfikatów x.509 PKI. Zobacz Przygotowanie środowiska , aby uzyskać szczegółowe informacje na temat generowania certyfikatu x.509 do użycia z wdrożeniem hybrydowego zabezpieczenia danych dla wielu dzierżawców.

Oczekiwania dotyczące wdrożenia hybrydowego zabezpieczenia danych

Wdrożenie hybrydowego zabezpieczenia danych wymaga znacznego zaangażowania i świadomości ryzyka związanego z posiadaniem kluczy szyfrowania.

Aby wdrożyć usługę hybrydowego zabezpieczenia danych, należy zapewnić:

Bezpieczne centrum danych w kraju, które jest obsługiwaną lokalizacją planów Cisco Webex Teams.
Sprzęt, oprogramowanie i dostęp do sieci opisane w części Przygotowanie środowiska.

Całkowita utrata albo konfiguracji ISO tworzonej dla usługi hybrydowego zabezpieczenia danych, albo dostarczonej bazy danych spowoduje utratę kluczy. Utrata klucza uniemożliwia użytkownikom odszyfrowanie zawartości obszaru i innych zaszyfrowanych danych w aplikacji Webex. W takim przypadku można zbudować nowe wdrożenie, ale widoczna będzie tylko nowa zawartość. Aby uniknąć utraty dostępu do danych, należy:

Zarządzanie kopiowaniem i odzyskiwaniem bazy danych oraz certyfikatem ISO konfiguracji.
Przygotuj się do szybkiego odzyskiwania po awarii w przypadku wystąpienia katastrofy, takiej jak awaria dysku bazy danych lub katastrofa centrum danych.

Nie ma mechanizmu, by przenieść klucze z powrotem do chmury po wdrożeniu HDS.

Proces konfiguracji wysokiego poziomu

Ten dokument dotyczy konfigurowania wdrożenia hybrydowego zabezpieczenia danych dla wielu dzierżawców i zarządzania nim:

Skonfiguruj hybrydowe zabezpieczenia danych — obejmuje przygotowanie wymaganej infrastruktury i zainstalowanie oprogramowania hybrydowego zabezpieczenia danych, budowę klastra HDS, dodawanie organizacji dzierżaw do klastra oraz zarządzanie kluczami głównymi klientów (CMK). Umożliwi to wszystkim użytkownikom w organizacjach klientów korzystanie z klastra hybrydowego zabezpieczenia danych do obsługi funkcji zabezpieczeń.

W kolejnych trzech rozdziałach omówiono szczegółowo etapy konfiguracji, aktywacji i zarządzania.
Kontynuuj wdrożenie usługi hybrydowego zabezpieczenia danych — chmura Webex automatycznie zapewnia ciągłe aktualizacje. Dział IT może zapewnić wsparcie Tier One dla tego wdrożenia i w razie potrzeby zaangażować wsparcie Cisco. Możesz korzystać z powiadomień na ekranie i skonfigurować alerty e-mail w Partner Hub.
Zrozumienie popularnych alertów, czynności rozwiązywania problemów i znanych problemów — w przypadku wystąpienia problemów ze wdrażaniem lub korzystaniem z usługi hybrydowego zabezpieczenia danych ostatni rozdział tego przewodnika i załącznik do znanych problemów mogą pomóc w ustaleniu i usunięciu problemu.

Model wdrażania hybrydowego zabezpieczenia danych

W korporacyjnym centrum danych wdrożysz hybrydowe zabezpieczenia danych jako pojedynczy klaster węzłów na osobnych wirtualnych hostach. Węzły komunikują się z chmurą Webex za pośrednictwem bezpiecznych gniazd WebSockets i bezpiecznego HTTP.

Podczas procesu instalacji udostępniamy plik OVA, aby skonfigurować urządzenie wirtualne na maszynach wirtualnych, które udostępniasz. Za pomocą narzędzia konfiguracji usługi HDS można utworzyć niestandardowy plik ISO konfiguracji klastra, który montujesz na każdym węźle. Klaster usługi hybrydowego zabezpieczenia danych korzysta z dostarczonego serwera Syslogd oraz bazy danych PostgreSQL lub Microsoft SQL Server. (Szczegóły połączenia Syslogd i bazy danych można skonfigurować za pomocą narzędzia konfiguracji HDS).

Model wdrażania hybrydowego zabezpieczenia danych

Minimalna liczba węzłów, które można mieć w klastrze, wynosi dwa. Zalecamy co najmniej trzy klastry. Posiadanie wielu węzłów gwarantuje, że usługa nie zostanie przerwana podczas aktualizacji oprogramowania lub innej konserwacji w węźle. (Chmura Webex uaktualnia tylko jeden węzeł naraz).

Wszystkie węzły w klastrze uzyskują dostęp do tego samego magazynu danych klucza oraz do tego samego serwera dziennika systemowego. Same węzły są bezstanowe i obsługują żądania kluczy w sposób zaokrąglony, zgodnie z kierunkiem chmury.

Węzły stają się aktywne po zarejestrowaniu ich w Partner Hub. Aby wyłączyć pojedynczy węzeł, można go wyrejestrować, a w razie potrzeby ponownie go zarejestrować.

Centrum danych w trybie gotowości do odzyskiwania po awarii

Podczas wdrażania konfigurujesz bezpieczne centrum danych w trybie gotowości. W przypadku awarii centrum danych można ręcznie wykonać wdrożenie do centrum danych w trybie gotowości.

Bazy danych aktywnych i rezerwowych centrów danych są ze sobą synchronizowane, co minimalizuje czas potrzebny na wykonanie przełączania awaryjnego.

Aktywne węzły usługi hybrydowego zabezpieczenia danych muszą zawsze znajdować się w tym samym centrum danych, co aktywny serwer bazy danych.

Obsługa serwera proxy

Hybrid Data Security obsługuje jawne, przejrzyste inspekcje i niekontrolujące serwery proxy. Możesz powiązać te serwery proxy z wdrożeniem, aby zabezpieczyć i monitorować ruch z przedsiębiorstwa do chmury. Interfejsu administratora platformy w węzłach można używać do zarządzania certyfikatami i sprawdzania ogólnego stanu łączności po skonfigurowaniu serwera proxy w węzłach.

Węzły Hybrid Data Security obsługują następujące opcje serwera proxy:

Brak serwera proxy — domyślnie, jeśli do zintegrowania serwera proxy nie używasz konfiguracji węzła HDS usługi Trust Store i proxy. Aktualizacja certyfikatu nie jest wymagana.
Przezroczysty, nieweryfikujący serwer proxy — węzły nie są skonfigurowane do używania konkretnego adresu serwera proxy i nie powinny wymagać żadnych zmian, aby pracować z nieweryfikowanym serwerem proxy. Aktualizacja certyfikatu nie jest wymagana.
Przezroczyste tunelowanie lub inspekcja serwera proxy — węzły nie są skonfigurowane do używania określonego adresu serwera proxy. W węzłach nie są wymagane żadne zmiany konfiguracji HTTP ani HTTPS. Jednak węzły potrzebują certyfikatu głównego, aby ufać serwerowi proxy. Inspekcja serwerów proxy jest zwykle używana przez IT do egzekwowania zasad, na których można odwiedzać witryny internetowe, a które nie są dozwolone. Ten typ serwera proxy odszyfrowuje cały ruch (nawet HTTPS).
Jawny serwer proxy — przy użyciu jawnego serwera proxy można wskazać węzłom HDS, którego serwera proxy i schematu uwierzytelniania mają używać. Aby skonfigurować jawny serwer proxy, należy wprowadzić następujące informacje w każdym węźle:
1. Adres IP/FQDN serwera proxy — adres, za pomocą którego można uzyskać dostęp do maszyny proxy.
2. Port serwera proxy — numer portu, którego serwer proxy używa do nasłuchiwania ruchu proxy.
3. Protokół proxy — w zależności od tego, jakie obsługuje serwer proxy, wybierz jeden z następujących protokołów:
  - HTTP — wyświetla i kontroluje wszystkie żądania wysyłane przez klienta.
  - HTTPS — zapewnia kanał do serwera. Klient odbiera i sprawdza poprawność certyfikatu serwera.
4. Typ uwierzytelniania — wybierz jeden z następujących typów uwierzytelniania:
  - Brak — dalsze uwierzytelnianie nie jest wymagane.
    
    Opcja dostępna po wybraniu protokołu HTTP lub HTTPS jako protokołu proxy.
  - Podstawowe — używane w przypadku agenta użytkownika HTTP w celu podania nazwy użytkownika i hasła podczas wykonywania żądania. Używa kodowania Base64.
    
    Opcja dostępna po wybraniu protokołu HTTP lub HTTPS jako protokołu proxy.
    
    Wymaga wprowadzenia nazwy użytkownika i hasła w każdym węźle.
  - Szyfrowanie — służy do potwierdzania konta przed wysłaniem poufnych informacji. Stosuje funkcję skrótu do nazwy użytkownika i hasła przed wysłaniem przez sieć.
    
    Opcja dostępna tylko po wybraniu protokołu HTTPS jako protokołu proxy.
    
    Wymaga wprowadzenia nazwy użytkownika i hasła w każdym węźle.

Przykład hybrydowych węzłów zabezpieczeń danych i serwera proxy

Ten diagram przedstawia przykładowe połączenie między hybrid data security, siecią i serwerem proxy. W przypadku opcji przezroczystego serwera proxy inspekcji i jawnego sprawdzania HTTPS ten sam certyfikat główny musi być zainstalowany na serwerze proxy i w węzłach Hybrid Data Security.

Zablokowany tryb zewnętrznego rozpoznawania DNS (jawne konfiguracje serwera proxy)

Podczas rejestrowania węzła lub sprawdzania konfiguracji serwera proxy węzła proces testuje wyszukiwanie DNS i łączność z chmurą Cisco Webex. We wdrożeniach z jawnymi konfiguracjami serwera proxy, które nie zezwalają na zewnętrzne rozpoznawanie DNS dla klientów wewnętrznych, jeśli węzeł nie może wysłać kwerendy do serwerów DNS, automatycznie przechodzi w tryb zablokowanego zewnętrznego rozpoznawania DNS. W tym trybie można kontynuować rejestrację węzła i inne testy łączności serwera proxy.

Przygotuj środowisko

Wymagania dotyczące hybrydowego zabezpieczenia danych dla wielu dzierżaw

Wymagania licencyjne usługi Cisco Webex

Aby wdrożyć hybrydowe zabezpieczenia danych dla wielu dzierżaw:

Organizacje partnerskie: Skontaktuj się z partnerem lub opiekunem klienta firmy Cisco i upewnij się, że funkcja wielu dzierżaw jest włączona.
Organizacje dzierżaw: Musisz mieć pakiet Pro Pack dla Cisco Webex Control Hub. (Patrz https://www.cisco.com/go/pro-pack.)

Wymagania pulpitu Docker

Przed zainstalowaniem węzłów HDS należy uruchomić program konfiguracyjny programu Docker Desktop. Docker niedawno zaktualizował swój model licencjonowania. Twoja organizacja może wymagać płatnej subskrypcji platformy Docker Desktop.Your organization might require a paid subscription for Docker Desktop. Aby uzyskać szczegółowe informacje, zobacz wpis na blogu Platformy Docker " Docker aktualizuje i rozszerza nasze subskrypcje produktów".

Wymagania certyfikatu X.509

Łańcuch certyfikatów musi spełniać następujące wymagania:

Tabela 1. Wymagania certyfikatu X.509 dla wdrożenia hybrydowego zabezpieczenia danych
Wymaganie	Szczegóły
Podpisany przez zaufany urząd certyfikacji (CA)	Domyślnie ufamy urzędom certyfikacji na liście Mozilli (z wyjątkiem WoSign i StartCom) pod adresem https://wiki.mozilla.org/CA:IncludedCAs.
Nosi nazwę domeny z nazwą pospolitą (CN), która identyfikuje wdrożenie usługi hybrydowego zabezpieczenia danych Nie jest certyfikatem z symbolem wieloznacznym	Numer CN nie musi być dostępny ani być prowadzącym na żywo. Zalecamy używanie nazwy odzwierciedlającej organizację, na przykład `hds.company.com`. CN nie może zawierać znaku * (symbolu wieloznacznego). Kod CN służy do weryfikowania węzłów usługi hybrydowego zabezpieczenia danych w klientach aplikacji Webex. Wszystkie węzły usługi hybrydowego zabezpieczenia danych w klastrze używają tego samego certyfikatu. Serwer KMS identyfikuje się używając domeny CN, a nie żadnej domeny zdefiniowanej w polach SAN x.509v3. Po zarejestrowaniu węzła z tym certyfikatem nie jest obsługiwana zmiana nazwy domeny CN.
Podpis bez SHA1	Oprogramowanie KMS nie obsługuje podpisów SHA1 w celu walidacji połączeń z modułami KMS innych organizacji.
Sformatowany jako plik PKCS #12 zabezpieczony hasłem Użyj przyjaznej nazwy `kms-private-key` , aby oznaczyć certyfikat, klucz prywatny i wszelkie certyfikaty pośrednie do przesłania.	Możesz użyć konwertera, takiego jak OpenSSL, aby zmienić format certyfikatu. Hasło trzeba będzie wprowadzić podczas uruchamiania narzędzia konfiguracji usług HDS.

Oprogramowanie KMS nie wymuszało użycia kluczy ani rozszerzonych ograniczeń użycia kluczy. Niektóre urzędy certyfikacji wymagają, aby do każdego certyfikatu miały zastosowanie rozszerzone ograniczenia użycia klucza, takie jak uwierzytelnianie serwera. Można używać uwierzytelniania serwera lub innych ustawień.

Wymagania dotyczące hosta wirtualnego

Hosty wirtualne, które skonfigurujesz jako węzły usługi hybrydowego zabezpieczenia danych w klastrze, mają następujące wymagania:

Co najmniej dwa oddzielne hosty (zalecane 3) rozmieszczone w tym samym bezpiecznym centrum danych
Zainstalowano i uruchomiono program VMware ESXi 7.0 (lub nowszy).

Jeśli masz starszą wersję oprogramowania ESXi, musisz ją uaktualnić.
Co najmniej 4 procesory vCPU, 8 GB pamięci głównej, 30 GB miejsca na lokalny dysk twardy na serwer

Wymagania serwera bazy danych

Utwórz nową bazę danych do przechowywania kluczy. Nie należy używać domyślnej bazy danych. Aplikacje HDS, po zainstalowaniu, tworzą schemat bazy danych.

Serwer bazy danych ma dwie opcje. Wymagania dotyczące każdego z nich są następujące:

Tabela 2. Wymagania serwera bazy danych według typu bazy danych
PostgreSQL-a	Serwer Microsoft SQL
PostgreSQL 14, 15 lub 16 jest zainstalowany i uruchomiony.	Zainstalowano oprogramowanie SQL Server 2016, 2017 lub 2019 (Enterprise lub Standard). Program SQL Server 2016 wymaga pakietu Service Pack 2 i aktualizacji skumulowanej 2 lub nowszej.
Co najmniej 8 procesorów vCPU, 16 GB pamięci głównej, wystarczająca ilość miejsca na dysku twardym i monitorowanie, aby nie było przekroczone (zalecane 2 TB, jeśli chcesz uruchomić bazę danych przez długi czas bez konieczności zwiększania miejsca do przechowywania)	Co najmniej 8 procesorów vCPU, 16 GB pamięci głównej, wystarczająca ilość miejsca na dysku twardym i monitorowanie, aby nie było przekroczone (zalecane 2 TB, jeśli chcesz uruchomić bazę danych przez długi czas bez konieczności zwiększania miejsca do przechowywania)

Oprogramowanie HDS instaluje obecnie następujące wersje sterowników do komunikacji z serwerem bazy danych:

PostgreSQL-a

Serwer Microsoft SQL

Postgres JDBC sterownik 42.2.5

Sterownik SQL Server JDBC 4.6

Ta wersja sterownika obsługuje funkcję SQL Server Always On (zawsze włączone wystąpienia klastra przełączenia awaryjnego i zawsze włączone grupy dostępności).

Dodatkowe wymagania dotyczące uwierzytelniania w systemie Windows przy użyciu programu Microsoft SQL Server

Jeśli chcesz, aby węzły HDS korzystały z uwierzytelniania w systemie Windows w celu uzyskania dostępu do bazy danych magazynu kluczy na serwerze Microsoft SQL Server, potrzebujesz następującej konfiguracji w środowisku:

Wszystkie węzły HDS, infrastruktura Active Directory i oprogramowanie MS SQL Server muszą być synchronizowane z protokołem NTP.
Konto systemu Windows dostarczane węzłom HDS musi mieć dostęp do odczytu/zapisu do bazy danych.
Serwery DNS dostarczane do węzłów HDS muszą być w stanie rozpoznać Twoje centrum dystrybucji kluczy (KDC).
Wystąpienie bazy danych HDS na serwerze Microsoft SQL można zarejestrować jako nazwę główną usługi (SPN) w usłudze Active Directory. Zobacz Rejestrowanie nazwy głównej usługi dla połączeń Kerberos.

Narzędzie konfiguracyjne usługi HDS, uruchamianie usługi HDS i lokalny serwer KMS muszą korzystać z uwierzytelniania systemu Windows, aby uzyskać dostęp do bazy danych magazynu kluczy. Używają oni szczegółów z konfiguracji ISO do skonstruowania SPN przy żądaniu dostępu z uwierzytelnianiem Kerberos.

Wymagania dotyczące łączności zewnętrznej

Skonfiguruj zaporę, aby zezwolić na następującą łączność dla aplikacji HDS:

Aplikacja	Protokół	Port	Kierunek z aplikacji	Miejsce docelowe
Węzły hybrydowego zabezpieczenia danych	TCP	443	Wychodzące HTTPS i WSS	Serwery Webex: .wbx2.com .ciscospark.com Wszyscy prowadzący Common Identity Inne adresy URL wymienione na liście dla hybrydowego zabezpieczenia danych w tabeli Dodatkowe adresy URL dla usług hybrydowych Webex w sekcji Wymagania sieciowe dla usług Webex
Narzędzie konfiguracji usług HDS	TCP	443	Wychodzący HTTPS	*.wbx2.com Wszyscy prowadzący Common Identity hub.docker.com

Węzły usługi hybrydowego zabezpieczenia danych współpracują z tłumaczeniem dostępu do sieci (NAT) lub zaporą, o ile translacja NAT lub zapora sieciowa zezwalają na wymagane połączenia wychodzące z adresami domen w poprzedniej tabeli. W przypadku połączeń przychodzących do węzłów usługi hybrydowego zabezpieczenia danych żadne porty nie powinny być widoczne z Internetu. W centrum danych klienci potrzebują do celów administracyjnych dostępu do węzłów usługi hybrydowego zabezpieczenia danych na portach TCP 443 i 22.

Adresy URL dla hostów usługi Common Identity (CI) są specyficzne dla regionów. Są to bieżące hosty CI:

Region	Adresy URL hosta wspólnej tożsamości
Ameryka	https://idbroker.webex.com https://identity.webex.com https://idbroker-b-us.webex.com https://identity-b-us.webex.com
Unia Europejska	https://idbroker-eu.webex.com https://identity-eu.webex.com
Kanada	https://idbroker-ca.webex.com https://identity-ca.webex.com
Singapur	https://idbroker-sg.webex.com https://identity-sg.webex.com
Zjednoczone Emiraty Arabskie	https://idbroker-ae.webex.com https://identity-ae.webex.com

Wymagania dotyczące serwera proxy

Oficjalnie obsługujemy następujące rozwiązania proxy, które można zintegrować z węzłami Hybrid Data Security.
- Przezroczysty serwer proxy — Cisco Web Security Appliance (WSA).
- Jawny serwer proxy — Squid.
  
  Serwery proxy Squid, które sprawdzają ruch HTTPS, mogą zakłócać nawiązywanie połączeń WebSocket (wss:). Aby rozwiązać ten problem, zobacz Konfigurowanie serwerów proxy Squid na potrzeby hybrydowego zabezpieczenia danych.
Obsługujemy następujące kombinacje typów uwierzytelniania dla jawnych serwerów proxy:
- Brak uwierzytelniania za pomocą protokołu HTTP lub HTTPS
- Uwierzytelnianie podstawowe za pomocą protokołu HTTP lub HTTPS
- Uwierzytelnianie szyfrowane tylko przy użyciu protokołu HTTPS
W przypadku przezroczystego serwera proxy inspekcji lub jawnego serwera proxy HTTPS musisz mieć kopię certyfikatu głównego serwera proxy. Instrukcje wdrażania w tym przewodniku informają, jak przekazać kopię do magazynów zaufania węzłów hybrid Data Security.
Sieć obsługująca węzły HDS musi być skonfigurowana tak, aby wymuszała kierowanie wychodzącego ruchu TCP na porcie 443 przez serwer proxy.
Serwery proxy, które sprawdzają ruch sieci web, mogą zakłócać połączenia gniazd internetowych. Jeśli ten problem wystąpi, ominięcie (nie inspekcja) ruchu do wbx2.com i ciscospark.com rozwiąże problem.

Spełnij wymagania wstępne dotyczące usługi hybrydowego zabezpieczenia danych

Skorzystaj z tej listy kontrolnej, aby upewnić się, że możesz zainstalować i skonfigurować klaster usługi hybrydowego zabezpieczenia danych.

1	Upewnij się, że organizacja partnerska ma włączoną funkcję HDS dla wielu dzierżawców i uzyskaj poświadczenia konta z pełnymi uprawnieniami administratora partnera i pełnego administratora. Upewnij się, że Twoja organizacja klienta Webex jest włączona dla usługi Pro Pack for Cisco Webex Control Hub. Skontaktuj się z partnerem lub opiekunem klienta Cisco w celu uzyskania pomocy w tym procesie. Organizacje klientów nie powinny mieć żadnych istniejących wdrożeń usług HDS.
2	Wybierz nazwę domeny dla wdrożenia HDS (na przykład `hds.company.com`) i uzyskaj łańcuch certyfikatów zawierający certyfikat X.509, klucz prywatny i certyfikaty pośrednie. Łańcuch certyfikatów musi spełniać wymagania określone w wymaganiach certyfikatu X.509.
3	Przygotuj identycznych wirtualnych prowadzących, które zostaną skonfigurowane jako węzły usługi hybrydowego zabezpieczenia danych w klastrze. Potrzebujesz co najmniej dwóch oddzielnych hostów (zalecane 3) rozmieszczonych w tym samym bezpiecznym centrum danych, które spełniają wymagania określone w wymaganiach dotyczących hosta wirtualnego.
4	Przygotuj serwer bazy danych, który będzie pełnił rolę kluczowego magazynu danych dla klastra, zgodnie z wymaganiami serwera bazy danych. Serwer bazy danych musi być umieszczony w bezpiecznym centrum danych z wirtualnymi hostami. Tworzenie bazy danych do przechowywania kluczy. (Należy utworzyć tę bazę danych — nie używaj domyślnej bazy danych. Aplikacje HDS, gdy są zainstalowane, tworzą schemat bazy danych). Zbierz szczegóły, których węzły będą używać do komunikacji z serwerem bazy danych: nazwa hosta lub adres IP (hosta) i port nazwa bazy danych (dbname) do przechowywania klucza nazwa użytkownika i hasło użytkownika z wszystkimi uprawnieniami w bazie danych przechowywania kluczy
5	W celu szybkiego odzyskiwania po awarii skonfiguruj środowisko kopii zapasowej w innym centrum danych. Środowisko tworzenia kopii zapasowych jest lustrzane dla środowiska produkcyjnego maszyn wirtualnych i zapasowego serwera bazy danych. Jeśli na przykład w produkcji są 3 maszyny wirtualne z węzłami HDS, środowisko kopii zapasowej powinno zawierać 3 maszyny wirtualne.
6	Skonfiguruj hosta dziennika systemu, aby zbierał dzienniki z węzłów w klastrze. Zbierz adres sieciowy i port dziennika systemu (domyślnie jest to UDP 514).
7	Utwórz zasady bezpiecznych kopii zapasowych dla węzłów usługi hybrydowego zabezpieczenia danych, serwera bazy danych i hosta dziennika systemowego. Aby zapobiec nieodwracalnej utracie danych, należy wykonać kopię zapasową bazy danych i pliku ISO konfiguracji wygenerowanego dla węzłów usługi hybrydowego zabezpieczenia danych. Ponieważ węzły usługi hybrydowego zabezpieczenia danych przechowują klucze używane do szyfrowania i odszyfrowywania zawartości, niepowodzenie utrzymania operacyjnego wdrożenia spowoduje NIEODWRACALNĄ UTRATĘ tej zawartości. Klienci aplikacji Webex buforują swoje klucze, więc awaria może nie być natychmiast zauważalna, ale z czasem stanie się oczywista. O ile nie można zapobiec tymczasowym awariom, można je odzyskać. Jednak całkowita utrata (brak dostępnych kopii zapasowych) bazy danych lub pliku ISO konfiguracji spowoduje, że dane klienta nie będą mogły zostać odzyskane. Oczekuje się, że operatorzy węzłów usługi hybrydowego zabezpieczenia danych będą utrzymywać częste kopie zapasowe bazy danych i pliku ISO konfiguracji oraz będą przygotowani do odbudowania centrum danych usługi hybrydowego zabezpieczenia danych w przypadku wystąpienia katastrofalnej awarii.
8	Upewnij się, że konfiguracja zapory umożliwia łączność z węzłami usługi hybrydowego zabezpieczenia danych, jak opisano w części Wymagania dotyczące łączności zewnętrznej.
9	Zainstaluj aplikację Docker ( https://www.docker.com) na dowolnym lokalnym komputerze z obsługiwanym systemem operacyjnym (Microsoft Windows 10 Professional lub Enterprise 64-bitowy lub Mac OSX Yosemite 10.10.3 lub nowszym) za pomocą przeglądarki internetowej, która może uzyskać do niej dostęp pod adresem http://127.0.0.1:8080. Wystąpienie usługi Docker umożliwia pobranie i uruchomienie narzędzia konfiguracyjnego HDS, które tworzy informacje o konfiguracji lokalnej dla wszystkich węzłów usługi hybrydowego zabezpieczenia danych. Być może potrzebujesz licencji Docker Desktop. Aby uzyskać więcej informacji, zobacz Wymagania dotyczące pulpitu Docker . Aby zainstalować i uruchomić narzędzie konfiguracji usługi HDS, komputer lokalny musi mieć łączność opisaną w sekcji Wymagania dotyczące łączności zewnętrznej.
10	Jeśli integrujesz serwer proxy z usługą hybrydowego zabezpieczenia danych, upewnij się, że spełnia wymagania serwera proxy.

Skonfiguruj klaster usługi hybrydowego zabezpieczenia danych

Przepływ zadań wdrażania hybrydowego zabezpieczenia danych

Przed rozpoczęciem

1	Wykonywanie pierwszej konfiguracji i pobieranie plików instalacyjnych Pobierz plik OVA na komputer lokalny w celu późniejszego użycia.
2	Tworzenie certyfikatu ISO konfiguracji dla hostów trybu HDS Użyj narzędzia konfiguracji usługi HDS, aby utworzyć plik konfiguracyjny ISO dla węzłów usługi hybrydowego zabezpieczenia danych.
3	Zainstaluj OVA hosta HDS Utwórz maszynę wirtualną z pliku OVA i wykonaj konfigurację początkową, taką jak ustawienia sieciowe. Opcja konfigurowania ustawień sieciowych podczas wdrażania OVA została przetestowana z ESXi 7.0. Opcja może być niedostępna we wcześniejszych wersjach.
4	Skonfiguruj VM usługi hybrydowego zabezpieczenia danych Zaloguj się do konsoli VM i ustaw poświadczenia logowania. Skonfiguruj ustawienia sieciowe węzła, jeśli nie zostały one skonfigurowane w czasie wdrażania OVA.
5	Przesyłanie i montaż obrazu ISO w trybie HDS Skonfiguruj maszynę wirtualną z pliku konfiguracyjnego ISO utworzonego przy użyciu narzędzia konfiguracji HDS.
6	Konfigurowanie węzła HDS do integracji z serwerem proxy Jeśli środowisko sieciowe wymaga konfiguracji serwera proxy, określ typ serwera proxy, który będzie używany dla węzła, a w razie potrzeby dodaj certyfikat serwera proxy do magazynu zaufanych certyfikatów.
7	Zarejestruj pierwszy węzeł w klastrze Zarejestruj maszynę wirtualną w chmurze Cisco Webex jako węzeł usługi hybrydowego zabezpieczenia danych.
8	Utwórz i zarejestruj więcej węzłów Zakończ konfigurację klastra.
9	Aktywuj usługę HDS dla wielu dzierżaw w Partner Hub. Aktywuj usługę HDS i zarządzaj organizacjami dzierżaw w Partner Hub.

Wykonywanie pierwszej konfiguracji i pobieranie plików instalacyjnych

W tym zadaniu pobierasz plik OVA na komputer (a nie na serwery, które są skonfigurowane jako węzły usługi hybrydowego zabezpieczenia danych). Tego pliku używasz później w procesie instalacji.

1	Zaloguj się do Partner Hub, a następnie kliknij pozycję Usługi.
2	W sekcji Usługi chmury znajdź kartę usługi hybrydowego zabezpieczenia danych, a następnie kliknij przycisk Konfiguruj. Kliknięcie opcji Skonfiguruj w Partner Hub ma kluczowe znaczenie dla procesu wdrażania. Nie należy kontynuować instalacji bez wykonania tego kroku.
3	Kliknij opcję Dodaj zasób i kliknij opcję Pobierz plik OVA na karcie Zainstaluj i skonfiguruj oprogramowanie . Starsze wersje pakietu oprogramowania (OVA) nie będą zgodne z najnowszymi aktualizacjami usługi hybrydowego zabezpieczenia danych. Może to powodować problemy podczas uaktualniania aplikacji. Upewnij się, że pobierasz najnowszą wersję pliku OVA. Możesz również pobrać OVA w dowolnym momencie w sekcji Pomoc . Kliknij kolejno opcje Ustawienia > Pomoc > Pobierz oprogramowanie usługi hybrydowego zabezpieczenia danych. Plik OVA automatycznie rozpocznie się pobieranie. Zapisz plik w lokalizacji na komputerze.
4	Opcjonalnie kliknij opcję Zobacz przewodnik wdrażania hybrydowego zabezpieczenia danych , aby sprawdzić, czy jest dostępna nowsza wersja tego przewodnika.

Tworzenie certyfikatu ISO konfiguracji dla hostów trybu HDS

Proces konfiguracji usługi hybrydowego zabezpieczenia danych tworzy plik ISO. Następnie za pomocą interfejsu ISO można skonfigurować hosta usługi hybrydowego zabezpieczenia danych.

Przed rozpoczęciem

Narzędzie HDS Setup działa jako kontener platformy Docker na komputerze lokalnym. Aby uzyskać do niego dostęp, uruchom Docker na tym komputerze. Proces konfiguracji wymaga poświadczeń konta w Partner Hub z pełnymi uprawnieniami administratora.

Jeśli narzędzie konfiguracji HDS działa za serwerem proxy w środowisku, podaj ustawienia serwera proxy (serwer, port, poświadczenia) za pośrednictwem zmiennych środowiskowych Docker podczas podnoszenia kontenera Docker w kroku 5 poniżej. Ta tabela zawiera kilka możliwych zmiennych środowiskowych:

Opis

Zmienna

Serwer proxy HTTP bez uwierzytelniania

GLOBALNY_AGENT_HTTP_PROXY=http://SERWER_IP:PORT

Serwer proxy HTTPS bez uwierzytelniania

GLOBALNY_AGENT_HTTPS_PROXY=http://SERWER_IP:PORT

Serwer proxy HTTP z uwierzytelnianiem

GLOBALNY_AGENT_HTTP_PROXY=http://NAZWA_UŻYTKOWNIKA:HASŁO@SERWER_IP:PORT

Serwer proxy HTTPS z uwierzytelnianiem

GLOBALNY_AGENT_HTTPS_PROXY=http://NAZWA_UŻYTKOWNIKA:HASŁO@SERWER_IP:PORT
Wygenerowany plik ISO konfiguracji zawiera klucz główny do szyfrowania bazy danych PostgreSQL lub Microsoft SQL Server. Najnowszą kopię tego pliku należy zawsze wprowadzać zmiany w konfiguracji, takie jak:
- Poświadczenia bazy danych
- Aktualizacje certyfikatu
- Zmiany w zasadach autoryzacji
Jeśli planujesz szyfrować połączenia z bazami danych, skonfiguruj wdrożenie PostgreSQL lub SQL Server dla protokołu TLS.

1

W wierszu poleceń komputera wprowadź polecenie odpowiednie dla swojego środowiska:

W zwykłych środowiskach:

docker rmi ciscocitg/hds-konfiguracja:stabilna

W środowiskach FedRAMP:

docker rmi ciscocitg/hds-setup-fedramp:stable

Ten krok czyści poprzednie obrazy narzędzia konfiguracji HDS. Jeśli nie ma poprzednich obrazów, zwraca błąd, który można zignorować.

2

Aby zalogować się do rejestru obrazów platformy Docker, wprowadź następujące informacje:

docker login -u hdscustomersro

3

Po wyświetleniu monitu o hasło wprowadź ten skrót:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

4

Pobierz najnowszy stabilny obraz dla swojego środowiska:

W zwykłych środowiskach:

docker ciągnąć ciscocitg / hds-setup:stable

W środowiskach FedRAMP:

docker ciągnąć ciscocitg/hds-setup-fedramp:stable

5

Po zakończeniu ściągania wprowadź odpowiednie polecenie dla swojego środowiska:

W zwykłych środowiskach bez proxy:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

W zwykłych środowiskach z proxy HTTP:

docker run -p 8080:8080 --rm -it -e GLOBALNY_AGENT_HTTP_PROXY=http://SERWER_IP:PORT ciscocitg/hds-setup:stable

W zwykłych środowiskach z serwerem proxy HTTPS:

docker run -p 8080:8080 --rm -it -e GLOBALNY_AGENT_HTTPS_PROXY=http://SERWER_IP:PORT ciscocitg/hds-setup:stable

W środowiskach FedRAMP bez proxy:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

W środowiskach FedRAMP z proxy HTTP:

docker run -p 8080:8080 --rm -it -e GLOBALNY_AGENT_HTTP_PROXY=http://SERWER_IP:PORT ciscocitg/hds-setup-fedramp:stable

W środowiskach FedRAMP z proxy HTTPS:

docker run -p 8080:8080 --rm -it -e GLOBALNY_AGENT_HTTPS_PROXY=http://SERWER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Gdy kontener jest uruchomiony, zobaczysz komunikat „Serwer ekspresowy nasłuchuje na porcie 8080”.

6

Narzędzie konfiguracyjne nie obsługuje łączenia się z hostem localhost za pośrednictwem serwera http://localhost:8080. Użyj, http://127.0.0.1:8080 aby połączyć się z localhost.

Użyj przeglądarki internetowej, aby przejść do hosta lokalnego http://127.0.0.1:8080i po wyświetleniu monitu wprowadź nazwę użytkownika administratora dla Partner Hub.

Narzędzie używa tego pierwszego wpisu nazwy użytkownika w celu ustawienia środowiska dla tego konta. Następnie narzędzie wyświetla standardowy monit o zalogowanie.

7

Po wyświetleniu monitu wprowadź poświadczenia logowania administratora Partner Hub, a następnie kliknij przycisk Zaloguj , aby zezwolić na dostęp do wymaganych usług hybrydowego zabezpieczenia danych.

8

Na stronie Przegląd narzędzia konfiguracji kliknij przycisk Rozpocznij.

9

Na stronie Import ISO dostępne są następujące opcje:

Nie — jeśli tworzysz pierwszy węzeł HDS, nie masz pliku ISO do przesłania.
Tak — jeśli węzły HDS zostały już utworzone, należy wybrać plik ISO w oknie przeglądarki i przesłać go.

10

Sprawdź, czy certyfikat X.509 spełnia wymagania określone w wymaganiach certyfikatu X.509.

Jeśli nigdy wcześniej nie przesłano certyfikatu, prześlij certyfikat X.509, wprowadź hasło i kliknij przycisk Kontynuuj.
Jeśli certyfikat jest OK, kliknij przycisk Kontynuuj.
Jeśli certyfikat wygasł lub chcesz go zastąpić, wybierz opcję Nie , aby kontynuować używanie łańcucha certyfikatów HDS i klucza prywatnego z poprzedniego certyfikatu ISO?. Prześlij nowy certyfikat X.509, wprowadź hasło i kliknij przycisk Kontynuuj.

11

Wprowadź adres bazy danych i konto usługi HDS, aby uzyskać dostęp do magazynu danych klucza:

Wybierz opcję Typ bazy danych (PostgreSQL lub Microsoft SQL Server).

Po wybraniu opcji Microsoft SQL Server zostanie wyświetlone pole Typ uwierzytelniania.
(Tylko Microsoft SQL Server ) Wybierz typ uwierzytelniania:
- Uwierzytelnianie podstawowe: W polu Nazwa użytkownika należy podać lokalną nazwę konta serwera SQL.
- Uwierzytelnianie w systemie Windows: Wymagane jest konto dla systemu Windows w formacie użytkownik@DOMENA w Nazwa użytkownika pole.
Wprowadź adres serwera bazy danych w formacie : lub :.

Przykład:
dbhost.example.org:1433 lub 198.51.100.17:1433

Do uwierzytelniania podstawowego można użyć adresu IP, jeśli węzły nie mogą używać systemu DNS do rozpoznania nazwy hosta.

Jeśli używasz uwierzytelniania w systemie Windows, musisz wprowadzić w pełni kwalifikowaną nazwę domeny w formacie dbhost.example.org:1433
Wprowadź nazwę bazy danych.
Wprowadź nazwę użytkownika i hasło użytkownika ze wszystkimi uprawnieniami w bazie danych do przechowywania kluczy.

12

Wybierz tryb połączenia bazy danych TLS:

Tryb	Opis
Preferuj protokół TLS (opcja domyślna)	Węzły HDS nie wymagają protokołu TLS do łączenia się z serwerem bazy danych. Po włączeniu protokołu TLS na serwerze bazy danych węzły spróbują nawiązać szyfrowane połączenie.
Wymagaj tlS	Węzły HDS łączą się tylko wtedy, gdy serwer bazy danych może negocjować protokół TLS.
Wymagaj protokołu TLS i weryfikuj sygnatariusza certyfikatu	Ten tryb nie ma zastosowania do baz danych SQL Server. Węzły HDS łączą się tylko wtedy, gdy serwer bazy danych może negocjować protokół TLS. Po nawiązaniu połączenia TLS węzeł porównuje podpisującego certyfikat z serwera bazy danych z urzędem certyfikacji w certyfikacie głównym bazy danych. Jeśli nie są zgodne, węzeł przerywa połączenie. Użyj kontrolki certyfikatu głównego bazy danych poniżej listy rozwijanej, aby przekazać certyfikat główny dla tej opcji.
Wymagaj protokołu TLS i weryfikuj sygnatariusza certyfikatu oraz nazwę hosta	Węzły HDS łączą się tylko wtedy, gdy serwer bazy danych może negocjować protokół TLS. Po nawiązaniu połączenia TLS węzeł porównuje podpisującego certyfikat z serwera bazy danych z urzędem certyfikacji w certyfikacie głównym bazy danych. Jeśli nie są zgodne, węzeł przerywa połączenie. Węzły sprawdzają również, czy nazwa hosta w certyfikacie serwera jest zgodna z nazwą hosta w polu Host i port bazy danych . Nazwy muszą być dokładnie zgodne, w przeciwnym razie węzeł przerywa połączenie. Użyj kontrolki certyfikatu głównego bazy danych poniżej listy rozwijanej, aby przekazać certyfikat główny dla tej opcji.

Po przesłaniu certyfikatu głównego (jeśli jest to konieczne) i kliknięciu przycisku Kontynuuj, narzędzie konfiguracyjne HDS testuje połączenie TLS z serwerem bazy danych. Narzędzie weryfikuje również sygnatariusza certyfikatu i nazwę hosta, jeśli ma to zastosowanie. Jeśli test zakończy się niepowodzeniem, narzędzie wyświetli komunikat o błędzie opisujący problem. Możesz wybrać, czy zignorować błąd i kontynuować konfigurację. (Z powodu różnic w łączności węzły HDS mogą być w stanie ustanowić połączenie TLS, nawet jeśli maszyna narzędziowa do konfiguracji HDS nie może go pomyślnie przetestować).

13

Na stronie Dzienniki systemowe skonfiguruj serwer Syslogd:

Wprowadź adres URL serwera dziennika systemu.

Jeśli serwer nie jest możliwe do rozpoznania DNS z węzłów klastra HDS, użyj adresu IP w adresie URL.

Przykład:
udp://10.92.43.23:514 wskazuje na rejestrowanie do hosta Syslogd 10.92.43.23 na porcie UDP 514.
Jeśli skonfigurowano serwer do korzystania z szyfrowania TLS, zaznacz opcję Czy serwer dziennika systemu jest skonfigurowany do szyfrowania SSL?.

Po zaznaczeniu tego pola wyboru należy wprowadzić adres URL TCP, taki jak tcp://10.92.43.23:514.
Z listy rozwijanej Wybierz zakończenie zapisu dziennika systemowego wybierz odpowiednie ustawienie dla pliku ISO: Wybierz lub nowy wiersz jest używany dla graylogów i rsyslog TCP
- Bajt NULL -- \x00
- Nowy wiersz -- \n — wybierz tę opcję dla graylogów i rsyslog TCP.
Kliknij przycisk Kontynuuj.

14

(Opcjonalnie) Wartość domyślną niektórych parametrów połączenia z bazą danych można zmienić w sekcji Ustawienia zaawansowane. Ogólnie rzecz biorąc, ten parametr jest jedynym parametrem, który można zmienić:

app_datasource_connection_pool_maxRozmiar: 10

15

Kliknij przycisk Kontynuuj na ekranie Resetuj hasło do kont usług .

Okres ważności haseł do konta usługi wynosi dziewięć miesięcy. Użyj tego ekranu, gdy zbliża się wygaśnięcie haseł lub chcesz je zresetować, aby unieważnić poprzednie pliki ISO.

16

Kliknij opcję Pobierz plik ISO. Zapisz plik w miejscu, które jest łatwe do znalezienia.

17

Utwórz kopię zapasową pliku ISO w lokalnym systemie.

Zachowaj bezpieczeństwo kopii zapasowej. Ten plik zawiera główny klucz szyfrowania zawartości bazy danych. Ogranicz dostęp tylko do administratorów usługi hybrydowego zabezpieczenia danych, którzy powinni dokonać zmian w konfiguracji.

18

Aby zamknąć narzędzie konfiguracyjne, wpisz CTRL+C.

Co zrobić dalej

Utwórz kopię zapasową pliku konfiguracyjnego ISO. Potrzebujesz go, aby utworzyć więcej węzłów do odzyskania lub wprowadzić zmiany w konfiguracji. Jeśli stracisz wszystkie kopie pliku ISO, stracisz również klucz główny. Nie można odzyskać kluczy z bazy danych PostgreSQL i Microsoft SQL Server.

Nigdy nie mamy kopii tego klucza i nie możemy pomóc, jeśli go stracisz.

Zainstaluj OVA hosta HDS

Ta procedura służy do utworzenia maszyny wirtualnej z pliku OVA.

1	Użyj klienta VMware vSphere na komputerze, aby zalogować się do wirtualnego hosta ESXi.
2	Wybierz pozycję Plik > Wdróż szablon OVF.
3	W kreatorze określ lokalizację pobranego wcześniej pliku OVA, a następnie kliknij przycisk Dalej.
4	Na stronie Wybierz nazwę i folder wprowadź nazwę maszyny wirtualnej węzła (na przykład „HDS_Node_1”), wybierz lokalizację, w której może znajdować się wdrożenie węzła maszyny wirtualnej, a następnie kliknij przycisk Dalej.
5	Na stronie Wybierz zasób obliczeniowy wybierz docelowy zasób obliczeniowy, a następnie kliknij przycisk Dalej. Uruchamiane jest sprawdzenie poprawności. Po zakończeniu pojawią się szczegóły szablonu.
6	Sprawdź szczegóły szablonu, a następnie kliknij przycisk Dalej.
7	Jeśli zostaniesz poproszony o wybranie konfiguracji zasobu na stronie Konfiguracja , kliknij przycisk 4 procesora , a następnie kliknij przycisk Dalej.
8	Na stronie Wybierz miejsce do przechowywania kliknij przycisk Dalej , aby zaakceptować domyślny format dysku i zasady przechowywania VM.
9	Na stronie Wybierz sieci wybierz opcję sieci z listy pozycji, aby zapewnić żądane łączność z maszyną wirtualną.
10	Na stronie Dostosuj szablon skonfiguruj następujące ustawienia sieciowe: Nazwa hosta — wprowadź nazwę FQDN (nazwę hosta i domenę) lub nazwę hosta pojedynczego słowa dla węzła. Nie trzeba ustawiać domeny tak, aby była zgodna z domeną użytą do uzyskania certyfikatu X.509. Aby zapewnić pomyślną rejestrację w chmurze, należy używać tylko małych znaków w nazwie FQDN lub nazwie hosta ustawionej dla węzła. Kapitalizacja nie jest obecnie obsługiwana. Łączna długość nazwy FQDN nie może przekraczać 64 znaków. Adres IP — wprowadź adres IP interfejsu wewnętrznego węzła. Węzeł powinien mieć wewnętrzny adres IP i nazwę DNS. Protokół DHCP nie jest obsługiwany. Maska — wprowadź adres maski podsieci w notacji kropek. Przykład: 255.255.255.0. Brama — wprowadź adres IP bramy. Brama to węzeł sieciowy, który służy jako punkt dostępu do innej sieci. Serwery DNS — wprowadź listę serwerów DNS, które obsługują przekładanie nazw domen na liczbowe adresy IP. (Dozwolonych jest maksymalnie 4 pozycje DNS). Serwery NTP — wprowadź serwer NTP organizacji lub inny zewnętrzny serwer NTP, który może być używany w organizacji. Domyślne serwery NTP mogą nie działać w przypadku wszystkich przedsiębiorstw. Aby wprowadzić wiele serwerów NTP, można także użyć listy rozdzielonej przecinkami. Wdróż wszystkie węzły w tej samej podsieci lub sieci VLAN, aby wszystkie węzły w klastrze były dostępne od klientów w sieci do celów administracyjnych. Jeśli chcesz, możesz pominąć konfigurację ustawień sieciowych i wykonać czynności opisane w artykule Skonfiguruj maszynę wirtualną usługi hybrydowego zabezpieczenia danych , aby skonfigurować ustawienia z konsoli węzła. Opcja konfigurowania ustawień sieciowych podczas wdrażania OVA została przetestowana z ESXi 7.0. Opcja może być niedostępna we wcześniejszych wersjach.
11	Kliknij prawym przyciskiem myszy VM węzła, a następnie wybierz kolejno opcje Zasilanie > Zasilanie. Oprogramowanie hybrydowego zabezpieczenia danych jest instalowane jako gość na hoście maszyn wirtualnych. Możesz się teraz zalogować do konsoli i skonfigurować węzeł. Wskazówki dotyczące rozwiązywania problemów Może wystąpić opóźnienie o kilka minut przed pojawieniem się kontenerów węzłów. Podczas pierwszego rozruchu na konsoli pojawia się komunikat zapory mostkowej, podczas której nie można się zalogować.

Skonfiguruj VM usługi hybrydowego zabezpieczenia danych

Ta procedura umożliwia zalogowanie się po raz pierwszy w konsoli VM węzła usługi hybrydowego zabezpieczenia danych i ustawienie poświadczeń logowania. Za pomocą konsoli można również skonfigurować ustawienia sieciowe węzła, jeśli nie zostały one skonfigurowane w momencie wdrażania OVA.

1	W kliencie VMware vSphere wybierz swoją maszynę wirtualną węzła usługi hybrydowego zabezpieczenia danych i wybierz kartę Konsola . Zostanie uruchomiona maszyna wirtualna i pojawi się monit o zalogowanie. Jeśli monit o zalogowanie się nie został wyświetlony, naciśnij klawisz Enter.
2	Aby zalogować się i zmienić poświadczenia, należy użyć następującego domyślnego logowania i hasła: Logowanie: `administrator` Hasło: `cisco` Ponieważ logujesz się do maszyny wirtualnej po raz pierwszy, musisz zmienić hasło administratora.
3	Jeśli ustawienia sieciowe zostały już skonfigurowane w sekcji Zainstaluj OVA hosta HDS, pomiń pozostałą część tej procedury. W przeciwnym razie w menu głównym wybierz opcję Edytuj konfigurację .
4	Skonfiguruj statyczną konfigurację z informacjami o adresie IP, maskach, bramie i systemie DNS. Węzeł powinien mieć wewnętrzny adres IP i nazwę DNS. Protokół DHCP nie jest obsługiwany.
5	(Opcjonalnie) Zmień nazwę hosta, domenę lub serwery NTP, jeśli jest to konieczne, aby dostosować ją do zasad sieci. Nie trzeba ustawiać domeny tak, aby była zgodna z domeną użytą do uzyskania certyfikatu X.509.
6	Zapisz konfigurację sieci i uruchom ponownie maszynę wirtualną, aby zmiany zostały zastosowane.

Przesyłanie i montaż obrazu ISO w trybie HDS

Ta procedura służy do konfigurowania maszyny wirtualnej na podstawie pliku ISO utworzonego przy użyciu narzędzia konfiguracji HDS.

Przed rozpoczęciem

Ponieważ plik ISO zawiera klucz główny, powinien być on wyświetlany tylko na zasadzie „need to know”, aby uzyskać dostęp przez maszyny wirtualne usługi hybrydowego zabezpieczenia danych i wszystkich administratorów, którzy mogą potrzebować wprowadzenia zmian. Upewnij się, że tylko ci administratorzy mają dostęp do magazynu danych.

1

Prześlij plik ISO z komputera:

W lewym okienku nawigacyjnym klienta VMware vSphere kliknij serwer ESXi.
Na liście Sprzęt na karcie Konfiguracja kliknij pozycję Miejsce do przechowywania.
Na liście Magazyny danych kliknij prawym przyciskiem myszy magazyn danych dla swoich maszyn wirtualnych i kliknij opcję Przeglądaj magazyn danych.
Kliknij ikonę Prześlij pliki, a następnie kliknij pozycję Prześlij plik.
Przejdź do lokalizacji, w której pobrano plik ISO na swój komputer i kliknij opcję Otwórz.
Kliknij przycisk Tak , aby zaakceptować ostrzeżenie dotyczące operacji przesyłania/pobierania i zamknąć okno dialogowe magazynu danych.

2

Montaż pliku ISO:

W lewym okienku nawigacji klienta VMware vSphere kliknij prawym przyciskiem myszy maszynę wirtualną i kliknij opcję Edytuj ustawienia.
Kliknij OK , aby zaakceptować ostrzeżenie dotyczące opcji edycji ograniczonej.
Kliknij Dysk CD/DVD 1, wybierz opcję montażu z pliku ISO magazynu danych i przejdź do lokalizacji, w której przesłano plik ISO konfiguracji.
Sprawdź Połączono i Połącz przy włączonym zasilaniu.
Zapisz zmiany i ponownie uruchom maszynę wirtualną.

Co zrobić dalej

Jeśli wymagają tego zasady IT, możesz opcjonalnie odinstalować plik ISO, gdy wszystkie węzły przejdą zmiany konfiguracji. Szczegółowe informacje zawiera temat (Opcjonalnie) Odmontowywanie certyfikatu ISO po konfiguracji HDS .

Konfigurowanie węzła HDS do integracji z serwerem proxy

Jeśli środowisko sieciowe wymaga serwera proxy, użyj tej procedury, aby określić typ serwera proxy, który chcesz zintegrować z hybrid Data Security. Jeśli wybierzesz przezroczysty serwer proxy inspekcji lub jawny serwer proxy HTTPS, możesz użyć interfejsu węzła do przekazania i zainstalowania certyfikatu głównego. Możesz także sprawdzić połączenie proxy z poziomu interfejsu i rozwiązać wszelkie potencjalne problemy.

Przed rozpoczęciem

Zobacz Obsługa serwera proxy, aby zapoznać się z omówieniem obsługiwanych opcji serwera proxy.
Wymagania dotyczące serwera proxy

1	Wprowadź adres URL konfiguracji węzła HDS `https://[HDS Node IP or FQDN]/setup` w przeglądarce sieci Web, wprowadź poświadczenia administratora skonfigurowane dla węzła, a następnie kliknij przycisk Zaloguj.
2	Przejdź do pozycji Sklep zaufania i serwer proxy, a następnie wybierz opcję: Brak serwera proxy — opcja domyślna przed zintegrowaniem serwera proxy. Aktualizacja certyfikatu nie jest wymagana. Przezroczysty, nieweryfikujący serwer proxy — węzły nie są skonfigurowane do używania konkretnego adresu serwera proxy i nie powinny wymagać żadnych zmian, aby pracować z nieweryfikowanym serwerem proxy. Aktualizacja certyfikatu nie jest wymagana. Przezroczysty serwer proxy sprawdzający — węzły nie są skonfigurowane do używania konkretnego adresu serwera proxy. We wdrożeniu Hybrid Data Security nie są konieczne żadne zmiany konfiguracji protokołu HTTPS, jednak węzły HDS potrzebują certyfikatu głównego, aby ufać serwerowi proxy. Inspekcja serwerów proxy jest zwykle używana przez IT do egzekwowania zasad, na których można odwiedzać witryny internetowe, a które nie są dozwolone. Ten typ serwera proxy odszyfrowuje cały ruch (nawet HTTPS). Jawny serwer proxy — przy użyciu jawnego serwera proxy można wskazać klientowi (węzły HDS), którego serwera proxy ma być używany, a ta opcja obsługuje kilka typów uwierzytelniania. Po wybraniu tej opcji należy wprowadzić następujące informacje: Adres IP/FQDN serwera proxy — adres, za pomocą którego można uzyskać dostęp do maszyny proxy. Port serwera proxy — numer portu, którego serwer proxy używa do nasłuchiwania ruchu proxy. Protokół proxy Protocol — wybierz opcję http (wyświetla i steruje wszystkimi żądaniami otrzymywanymi od klienta) lub https (udostępnia kanał do serwera, a klient odbiera i sprawdza certyfikat serwera). Wybierz opcję na podstawie tego, co obsługuje Twój serwer proxy. Typ uwierzytelniania — wybierz jeden z następujących typów uwierzytelniania: Brak — dalsze uwierzytelnianie nie jest wymagane. Dostępne dla serwerów proxy HTTP lub HTTPS. Podstawowe — używane w przypadku agenta użytkownika HTTP w celu podania nazwy użytkownika i hasła podczas wykonywania żądania. Używa kodowania Base64. Dostępne dla serwerów proxy HTTP lub HTTPS. W przypadku wybrania tej opcji należy również wprowadzić nazwę użytkownika i hasło. Szyfrowanie — służy do potwierdzania konta przed wysłaniem poufnych informacji. Stosuje funkcję skrótu do nazwy użytkownika i hasła przed wysłaniem przez sieć. Dostępne tylko dla serwerów proxy HTTPS. W przypadku wybrania tej opcji należy również wprowadzić nazwę użytkownika i hasło. Wykonaj kolejne kroki, aby uzyskać przezroczysty serwer proxy inspekcji, jawny serwer proxy HTTP z uwierzytelnianiem podstawowym lub jawny serwer proxy HTTPS.
3	Kliknij przycisk Przekaż certyfikat główny lub Certyfikat jednostkikońcowej , a następnie przejdź do wybierz certyfikat główny dla serwera proxy. Certyfikat został przekazany, ale nie został jeszcze zainstalowany, ponieważ należy ponownie uruchomić węzeł, aby zainstalować certyfikat. Kliknij strzałkę cudzysłów ostrokątnych przy nazwie wystawcy certyfikatu, aby uzyskać więcej szczegółów, lub kliknij przycisk Usuń, jeśli popełnisz błąd i chcesz ponownie przesłać plik.
4	Kliknij przycisk Sprawdź połączenie z serwerem proxy, aby przetestować łączność sieciową między węzłem a serwerem proxy. Jeśli test połączenia zakończy się niepowodzeniem, zostanie wyświetlony komunikat o błędzie z przyczyną i sposobem rozwiązania problemu. Jeśli zostanie wyświetlony komunikat informujący, że zewnętrzne rozpoznawanie nazw DNS nie powiodło się, oznacza to, że węzeł nie może połączyć się z serwerem DNS. Ten warunek jest oczekiwany w wielu jawnych konfiguracjach proxy. Możesz kontynuować konfigurację, a węzeł będzie działać w trybie zablokowanej zewnętrznej rozdzielczości DNS. Jeśli uważasz, że jest to błąd, wykonaj te czynności, a następnie zobacz Wyłącz zablokowany zewnętrzny tryb rozdzielczości DNS.
5	Po przejściu testu połączenia, dla jawnego serwera proxy ustawionego tylko na https, włącz przełącznik na Kieruj wszystkie żądania https portu 443/444 z tego węzła za pośrednictwem jawnego serwera proxy. To ustawienie wymaga 15 sekund, aby zostało wprowadzone.
6	Kliknij opcję Zainstaluj wszystkie certyfikaty w magazynie zaufania (pojawia się w przypadku jawnego serwera proxy HTTPS lub przezroczystego serwera proxy inspekcji) lub Uruchom ponownie (pojawia się w przypadku jawnego serwera proxy HTTP), przeczytaj monit, a następnie kliknij przycisk Zainstaluj, jeśli wszystko jest gotowe. Węzeł uruchomi się ponownie w ciągu kilku minut.
7	Po ponownym uruchomieniu węzła zaloguj się ponownie, jeśli to konieczne, a następnie otwórz stronę Przegląd, aby sprawdzić kontrole łączności, aby upewnić się, że wszystkie są w stanie zielonym. Sprawdzanie połączenia proxy testuje tylko subdomenę webex.com. Jeśli występują problemy z łącznością, typowym problemem jest to, że niektóre domeny chmury wymienione w instrukcjach instalacji są blokowane na serwerze proxy.

Zarejestruj pierwszy węzeł w klastrze

To zadanie pobiera ogólny węzeł utworzony w oknie Skonfiguruj VM usługi hybrydowego zabezpieczenia danych, rejestruje węzeł w chmurze Webex i przekształca go w węzeł usługi hybrydowego zabezpieczenia danych.

Po zarejestrowaniu pierwszego węzła tworzony jest klaster, do którego przypisany jest węzeł. Klaster zawiera co najmniej jeden węzeł wdrożony w celu zapewnienia redundancji.

Przed rozpoczęciem

Po rozpoczęciu rejestracji węzła należy ją wykonać w ciągu 60 minut lub rozpocząć od nowa.
Upewnij się, że wszystkie blokery wyskakujące w przeglądarce są wyłączone lub zezwalasz na wyjątek dla witryny admin.webex.com.

1	Zaloguj się w https://admin.webex.com.
2	Z menu po lewej stronie ekranu wybierz pozycję Usługi.
3	W sekcji Usługi chmury znajdź kartę usługi hybrydowego zabezpieczenia danych i kliknij przycisk Konfiguruj.
4	Na otwieranej stronie kliknij pozycję Dodaj zasób.
5	W pierwszym polu karty Dodaj węzeł wprowadź nazwę klastra, do którego chcesz przypisać węzeł usługi hybrydowego zabezpieczenia danych. Zalecamy nadanie nazwy klastra na podstawie tego, gdzie znajdują się węzły klastra. Przykłady: „San Francisco”, „Nowy Jork” lub „Dallas”
6	W drugim polu wprowadź wewnętrzny adres IP lub w pełni kwalifikowaną nazwę domeny (FQDN) węzła i kliknij opcję Dodaj u dołu ekranu. Ten adres IP lub w pełni kwalifikowana nazwa domeny (FQDN) powinny być zgodne z adresem IP lub nazwą hosta i domeną użytymi w części Konfigurowanie maszyny wirtualnej usługi hybrydowego zabezpieczenia danych. Zostanie wyświetlony komunikat informujący, że możesz zarejestrować węzeł w usłudze Webex.
7	Kliknij opcję Przejdź do węzła. Po kilku chwilach nastąpi przekierowanie do testów łączności z węzłem dla usług Webex. Jeśli wszystkie testy zakończą się pomyślnie, zostanie wyświetlona strona Zezwól na dostęp do węzła usługi hybrydowego zabezpieczenia danych. Tam potwierdzasz, że chcesz przyznać swojej organizacji Webex uprawnienia do dostępu do węzła.
8	Zaznacz pole wyboru Zezwól na dostęp do węzła usługi hybrydowego zabezpieczenia danych , a następnie kliknij przycisk Kontynuuj. Konto zostało zweryfikowane, a komunikat „Rejestracja zakończona” wskazuje, że węzeł jest teraz zarejestrowany w chmurze Webex.
9	Kliknij łącze lub zamknij kartę, aby wrócić do strony hybrydowego zabezpieczenia danych w Partner Hub. Na stronie Hybrydowe zabezpieczenia danych na karcie Zasoby jest wyświetlany nowy klaster zawierający zarejestrowany węzeł. Węzeł automatycznie pobierze najnowsze oprogramowanie z chmury.

Utwórz i zarejestruj więcej węzłów

Aby dodać dodatkowe węzły do klastra, po prostu utwórz dodatkowe maszyny wirtualne i zamontuj ten sam plik ISO konfiguracji, a następnie zarejestruj węzeł. Zalecamy posiadanie co najmniej 3 węzłów.

Przed rozpoczęciem

Po rozpoczęciu rejestracji węzła należy ją wykonać w ciągu 60 minut lub rozpocząć od nowa.
Upewnij się, że wszystkie blokery wyskakujące w przeglądarce są wyłączone lub zezwalasz na wyjątek dla witryny admin.webex.com.

1	Utwórz nową maszynę wirtualną z OVA, powtarzając kroki w Zainstaluj OVA hosta HDS.
2	Skonfiguruj początkową konfigurację na nowej maszynie wirtualnej, powtarzając kroki w artykule Konfigurowanie maszyny wirtualnej usługi hybrydowego zabezpieczenia danych.
3	Na nowej maszynie wirtualnej powtórz czynności opisane w artykule Prześlij i zamontuj certyfikat ISO konfiguracji HDS.
4	Jeśli konfigurujesz serwer proxy dla swojego wdrożenia, powtórz kroki w artykule Konfigurowanie węzła HDS dla integracji serwera proxy w zależności od potrzeb dla nowego węzła.
5	Zarejestruj węzeł. W aplikacji https://admin.webex.com wybierz pozycję Usługi z menu po lewej stronie ekranu. W sekcji Usługi chmury znajdź kartę usługi hybrydowego zabezpieczenia danych i kliknij opcję Wyświetl wszystko. Zastanie wyświetlona strona zasobów hybrydowego zabezpieczenia danych. Nowo utworzony klaster pojawi się na stronie Zasoby . Kliknij klaster, aby wyświetlić węzły przypisane do klastra. Kliknij Dodaj węzeł po prawej stronie ekranu. Wprowadź wewnętrzny adres IP lub w pełni kwalifikowaną nazwę domeny (FQDN) węzła i kliknij przycisk Dodaj. Zostanie otwarta strona z komunikatem informującym, że możesz zarejestrować węzeł w chmurze Webex. Po kilku chwilach nastąpi przekierowanie do testów łączności z węzłem dla usług Webex. Jeśli wszystkie testy zakończą się pomyślnie, zostanie wyświetlona strona Zezwól na dostęp do węzła usługi hybrydowego zabezpieczenia danych. Potwierdzasz tam, że chcesz przyznać swojej organizacji uprawnienia do dostępu do węzła. Zaznacz pole wyboru Zezwól na dostęp do węzła usługi hybrydowego zabezpieczenia danych , a następnie kliknij przycisk Kontynuuj. Konto zostało zweryfikowane, a komunikat „Rejestracja zakończona” wskazuje, że węzeł jest teraz zarejestrowany w chmurze Webex. Kliknij łącze lub zamknij kartę, aby wrócić do strony hybrydowego zabezpieczenia danych w Partner Hub. Komunikat wyskakujący o dodanym węźle pojawia się również w dolnej części ekranu w Partner Hub. Twój węzeł jest zarejestrowany.

Zarządzanie organizacjami dzierżaw w usłudze hybrydowego zabezpieczenia danych dla wielu dzierżaw

Aktywuj usługę HDS dla wielu dzierżaw w Partner Hub

To zadanie gwarantuje, że wszyscy użytkownicy w organizacjach klientów mogą zacząć korzystać z usług HDS dla lokalnych kluczy szyfrowania i innych usług zabezpieczeń.

Przed rozpoczęciem

Upewnij się, że konfiguracja klastra HDS dla wielu dzierżaw została zakończona z wymaganą liczbą węzłów.

1	Zaloguj się w https://admin.webex.com.
2	Z menu po lewej stronie ekranu wybierz pozycję Usługi.
3	W sekcji Usługi chmury znajdź usługę hybrydowego zabezpieczenia danych i kliknij opcję Edytuj ustawienia.
4	Kliknij opcję Aktywuj tryb HDS na karcie Stan trybu HDS .

Dodaj organizacje dzierżawców w Partner Hub

W tym zadaniu przypisujesz organizacje klientów do swojego klastra hybrydowego zabezpieczenia danych.

1	Zaloguj się w https://admin.webex.com.
2	Z menu po lewej stronie ekranu wybierz pozycję Usługi.
3	W sekcji Usługi chmury znajdź usługę hybrydowego zabezpieczenia danych i kliknij opcję Wyświetl wszystko.
4	Kliknij klaster, do którego chcesz przypisać klienta.
5	Przejdź do karty Przypisani klienci .
6	Kliknij opcję Dodaj klientów.
7	Wybierz z menu rozwijanego klienta, którego chcesz dodać.
8	Kliknij Dodaj, klient zostanie dodany do klastra.
9	Powtórz kroki od 6 do 8, aby dodać wielu klientów do klastra.
10	Po dodaniu klientów kliknij przycisk Gotowe w dolnej części ekranu.

Co zrobić dalej

Uruchom narzędzie do konfiguracji usługi HDS zgodnie z opisem w części Utwórz klucze główne klienta (CMK) za pomocą narzędzia do konfiguracji usługi HDS , aby dokończyć proces konfiguracji.

Tworzenie kluczy głównych klientów (CMK) za pomocą narzędzia konfiguracji HDS

Przed rozpoczęciem

Przypisz klientów do odpowiedniego klastra zgodnie z opisem w sekcji Dodaj organizacje dzierżawy w Partner Hub. Uruchom narzędzie Konfiguracja usług HDS, aby zakończyć proces konfiguracji nowo dodanych organizacji klientów.

Narzędzie HDS Setup działa jako kontener platformy Docker na komputerze lokalnym. Aby uzyskać do niego dostęp, uruchom Docker na tym komputerze. Proces konfiguracji wymaga poświadczeń konta w Partner Hub z pełnymi uprawnieniami administratora dla Twojej organizacji.

Jeśli narzędzie konfiguracji HDS działa za serwerem proxy w środowisku, podaj ustawienia serwera proxy (serwer, port, poświadczenia) przez zmienne środowiskowe Docker podczas podnoszenia kontenera Docker w kroku 5. Ta tabela zawiera kilka możliwych zmiennych środowiskowych:

Opis	Zmienna
Serwer proxy HTTP bez uwierzytelniania	`GLOBALNY_AGENT_HTTP_PROXY=http://SERWER_IP:PORT`
Serwer proxy HTTPS bez uwierzytelniania	`GLOBALNY_AGENT_HTTPS_PROXY=http://SERWER_IP:PORT`
Serwer proxy HTTP z uwierzytelnianiem	`GLOBALNY_AGENT_HTTP_PROXY=http://NAZWA_UŻYTKOWNIKA:HASŁO@SERWER_IP:PORT`
Serwer proxy HTTPS z uwierzytelnianiem	`GLOBALNY_AGENT_HTTPS_PROXY=http://NAZWA_UŻYTKOWNIKA:HASŁO@SERWER_IP:PORT`

Wygenerowany plik ISO konfiguracji zawiera klucz główny do szyfrowania bazy danych PostgreSQL lub Microsoft SQL Server. Najnowszą kopię tego pliku należy zawsze wprowadzać zmiany w konfiguracji, takie jak:
- Poświadczenia bazy danych
- Aktualizacje certyfikatu
- Zmiany w zasadach autoryzacji
Jeśli planujesz szyfrować połączenia z bazami danych, skonfiguruj wdrożenie PostgreSQL lub SQL Server dla protokołu TLS.

Proces konfiguracji usługi hybrydowego zabezpieczenia danych tworzy plik ISO. Następnie za pomocą interfejsu ISO można skonfigurować hosta usługi hybrydowego zabezpieczenia danych.

1	W wierszu poleceń komputera wprowadź polecenie odpowiednie dla swojego środowiska: W zwykłych środowiskach: `docker rmi ciscocitg/hds-konfiguracja:stabilna` W środowiskach FedRAMP: `docker rmi ciscocitg/hds-setup-fedramp:stable` Ten krok czyści poprzednie obrazy narzędzia konfiguracji HDS. Jeśli nie ma poprzednich obrazów, zwraca błąd, który można zignorować.
2	Aby zalogować się do rejestru obrazów platformy Docker, wprowadź następujące informacje: `docker login -u hdscustomersro`
3	Po wyświetleniu monitu o hasło wprowadź ten skrót: `dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo`
4	Pobierz najnowszy stabilny obraz dla swojego środowiska: W zwykłych środowiskach: `docker ciągnąć ciscocitg / hds-setup:stable` W środowiskach FedRAMP: `docker ciągnąć ciscocitg/hds-setup-fedramp:stable`
5	Po zakończeniu ściągania wprowadź odpowiednie polecenie dla swojego środowiska: W zwykłych środowiskach bez proxy: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable` W zwykłych środowiskach z proxy HTTP: `docker run -p 8080:8080 --rm -it -e GLOBALNY_AGENT_HTTP_PROXY=http://SERWER_IP:PORT ciscocitg/hds-setup:stable` W zwykłych środowiskach z serwerem proxy HTTPS: `docker run -p 8080:8080 --rm -it -e GLOBALNY_AGENT_HTTPS_PROXY=http://SERWER_IP:PORT ciscocitg/hds-setup:stable` W środowiskach FedRAMP bez proxy: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable` W środowiskach FedRAMP z proxy HTTP: `docker run -p 8080:8080 --rm -it -e GLOBALNY_AGENT_HTTP_PROXY=http://SERWER_IP:PORT ciscocitg/hds-setup-fedramp:stable` W środowiskach FedRAMP z proxy HTTPS: `docker run -p 8080:8080 --rm -it -e GLOBALNY_AGENT_HTTPS_PROXY=http://SERWER_IP:PORT ciscocitg/hds-setup-fedramp:stable` Gdy kontener jest uruchomiony, zobaczysz komunikat „Serwer ekspresowy nasłuchuje na porcie 8080”.
6	Narzędzie konfiguracyjne nie obsługuje łączenia się z hostem localhost za pośrednictwem serwera http://localhost:8080. Użyj, http://127.0.0.1:8080 aby połączyć się z localhost. Użyj przeglądarki internetowej, aby przejść do hosta lokalnego `http://127.0.0.1:8080`i po wyświetleniu monitu wprowadź nazwę użytkownika administratora dla Partner Hub. Narzędzie używa tego pierwszego wpisu nazwy użytkownika w celu ustawienia środowiska dla tego konta. Następnie narzędzie wyświetla standardowy monit o zalogowanie.
7	Po wyświetleniu monitu wprowadź poświadczenia logowania administratora Partner Hub, a następnie kliknij przycisk Zaloguj , aby zezwolić na dostęp do wymaganych usług hybrydowego zabezpieczenia danych.
8	Na stronie Przegląd narzędzia konfiguracji kliknij przycisk Rozpocznij.
9	Na stronie Import ISO kliknij przycisk Tak.
10	Wybierz plik ISO w przeglądarce i prześlij go. Aby wykonać zarządzanie CMK, zapewnij połączenie z bazą danych.
11	Przejdź do karty Zarządzanie CMK dzierżawy , na której znajdziesz następujące trzy sposoby zarządzania CMK dzierżawy. Utwórz CMK dla wszystkich organizacji lub Utwórz CMK — kliknij ten przycisk na banerze u góry ekranu, aby utworzyć CMK dla wszystkich nowo dodanych organizacji. Kliknij przycisk Zarządzaj CMK po prawej stronie ekranu i kliknij przycisk Utwórz CMK , aby utworzyć CMK dla wszystkich nowo dodanych organizacji. Kliknij … w pobliżu oczekującego na status określonej organizacji w tabeli zarządzania CMK i kliknij przycisk Utwórz CMK , aby utworzyć CMK dla tej organizacji.
12	Po pomyślnym utworzeniu CMK stan w tabeli zostanie zmieniony z oczekującego zarządzania CMK na zarządzane CMK.
13	Jeśli tworzenie CMK nie powiedzie się, zostanie wyświetlony błąd.

Usuń organizacje dzierżaw

Przed rozpoczęciem

Po usunięciu użytkownicy organizacji klientów nie będą mogli korzystać z usługi HDS dla potrzeb szyfrowania i utracą wszystkie istniejące obszary. Przed usunięciem organizacji klientów skontaktuj się z partnerem lub opiekunem klienta Cisco.

1	Zaloguj się w https://admin.webex.com.
2	Z menu po lewej stronie ekranu wybierz pozycję Usługi.
3	W sekcji Usługi chmury znajdź usługę hybrydowego zabezpieczenia danych i kliknij opcję Wyświetl wszystko.
4	Na karcie Zasoby kliknij klaster, z którego chcesz usunąć organizacje klientów.
5	Na stronie, która się otworzy, kliknij pozycję Przypisani klienci.
6	Z wyświetlonej listy organizacji klientów kliknij ... po prawej stronie organizacji klienta, którą chcesz usunąć, i kliknij pozycję Usuń z klastra.

Co zrobić dalej

Zakończ proces usuwania, odwołując kody CMK organizacji klientów zgodnie z opisem w części Unieważnij kody CMK dzierżaw usuniętych z HDS.

Unieważnij CMK dzierżaw usuniętych z HDS.

Przed rozpoczęciem

Usuń klientów z odpowiedniego klastra, jak opisano w części Usuń organizacje dzierżawy. Uruchom narzędzie Konfiguracja usług HDS, aby zakończyć proces usuwania organizacji klientów, które zostały usunięte.

Narzędzie HDS Setup działa jako kontener platformy Docker na komputerze lokalnym. Aby uzyskać do niego dostęp, uruchom Docker na tym komputerze. Proces konfiguracji wymaga poświadczeń konta w Partner Hub z pełnymi uprawnieniami administratora dla Twojej organizacji.

Jeśli narzędzie konfiguracji HDS działa za serwerem proxy w środowisku, podaj ustawienia serwera proxy (serwer, port, poświadczenia) przez zmienne środowiskowe Docker podczas podnoszenia kontenera Docker w kroku 5. Ta tabela zawiera kilka możliwych zmiennych środowiskowych:

Opis	Zmienna
Serwer proxy HTTP bez uwierzytelniania	`GLOBALNY_AGENT_HTTP_PROXY=http://SERWER_IP:PORT`
Serwer proxy HTTPS bez uwierzytelniania	`GLOBALNY_AGENT_HTTPS_PROXY=http://SERWER_IP:PORT`
Serwer proxy HTTP z uwierzytelnianiem	`GLOBALNY_AGENT_HTTP_PROXY=http://NAZWA_UŻYTKOWNIKA:HASŁO@SERWER_IP:PORT`
Serwer proxy HTTPS z uwierzytelnianiem	`GLOBALNY_AGENT_HTTPS_PROXY=http://NAZWA_UŻYTKOWNIKA:HASŁO@SERWER_IP:PORT`

Wygenerowany plik ISO konfiguracji zawiera klucz główny do szyfrowania bazy danych PostgreSQL lub Microsoft SQL Server. Najnowszą kopię tego pliku należy zawsze wprowadzać zmiany w konfiguracji, takie jak:
- Poświadczenia bazy danych
- Aktualizacje certyfikatu
- Zmiany w zasadach autoryzacji
Jeśli planujesz szyfrować połączenia z bazami danych, skonfiguruj wdrożenie PostgreSQL lub SQL Server dla protokołu TLS.

Proces konfiguracji usługi hybrydowego zabezpieczenia danych tworzy plik ISO. Następnie za pomocą interfejsu ISO można skonfigurować hosta usługi hybrydowego zabezpieczenia danych.

1	W wierszu poleceń komputera wprowadź polecenie odpowiednie dla swojego środowiska: W zwykłych środowiskach: `docker rmi ciscocitg/hds-konfiguracja:stabilna` W środowiskach FedRAMP: `docker rmi ciscocitg/hds-setup-fedramp:stable` Ten krok czyści poprzednie obrazy narzędzia konfiguracji HDS. Jeśli nie ma poprzednich obrazów, zwraca błąd, który można zignorować.
2	Aby zalogować się do rejestru obrazów platformy Docker, wprowadź następujące informacje: `docker login -u hdscustomersro`
3	Po wyświetleniu monitu o hasło wprowadź ten skrót: `dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo`
4	Pobierz najnowszy stabilny obraz dla swojego środowiska: W zwykłych środowiskach: `docker ciągnąć ciscocitg / hds-setup:stable` W środowiskach FedRAMP: `docker ciągnąć ciscocitg/hds-setup-fedramp:stable`
5	Po zakończeniu ściągania wprowadź odpowiednie polecenie dla swojego środowiska: W zwykłych środowiskach bez proxy: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable` W zwykłych środowiskach z proxy HTTP: `docker run -p 8080:8080 --rm -it -e GLOBALNY_AGENT_HTTP_PROXY=http://SERWER_IP:PORT ciscocitg/hds-setup:stable` W zwykłych środowiskach z serwerem proxy HTTPS: `docker run -p 8080:8080 --rm -it -e GLOBALNY_AGENT_HTTPS_PROXY=http://SERWER_IP:PORT ciscocitg/hds-setup:stable` W środowiskach FedRAMP bez proxy: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable` W środowiskach FedRAMP z proxy HTTP: `docker run -p 8080:8080 --rm -it -e GLOBALNY_AGENT_HTTP_PROXY=http://SERWER_IP:PORT ciscocitg/hds-setup-fedramp:stable` W środowiskach FedRAMP z proxy HTTPS: `docker run -p 8080:8080 --rm -it -e GLOBALNY_AGENT_HTTPS_PROXY=http://SERWER_IP:PORT ciscocitg/hds-setup-fedramp:stable` Gdy kontener jest uruchomiony, zobaczysz komunikat „Serwer ekspresowy nasłuchuje na porcie 8080”.
6	Narzędzie konfiguracyjne nie obsługuje łączenia się z hostem localhost za pośrednictwem serwera http://localhost:8080. Użyj, http://127.0.0.1:8080 aby połączyć się z localhost. Użyj przeglądarki internetowej, aby przejść do hosta lokalnego `http://127.0.0.1:8080`i po wyświetleniu monitu wprowadź nazwę użytkownika administratora dla Partner Hub. Narzędzie używa tego pierwszego wpisu nazwy użytkownika w celu ustawienia środowiska dla tego konta. Następnie narzędzie wyświetla standardowy monit o zalogowanie.
7	Po wyświetleniu monitu wprowadź poświadczenia logowania administratora Partner Hub, a następnie kliknij przycisk Zaloguj , aby zezwolić na dostęp do wymaganych usług hybrydowego zabezpieczenia danych.
8	Na stronie Przegląd narzędzia konfiguracji kliknij przycisk Rozpocznij.
9	Na stronie Import ISO kliknij przycisk Tak.
10	Wybierz plik ISO w przeglądarce i prześlij go.
11	Przejdź do karty Zarządzanie CMK dzierżawy , na której znajdziesz następujące trzy sposoby zarządzania CMK dzierżawy. Unieważnij CMK dla wszystkich organizacji lub Unieważnij CMK — kliknij ten przycisk na banerze u góry ekranu, aby unieważnić CMK wszystkich organizacji, które zostały usunięte. Kliknij przycisk Zarządzaj CMK po prawej stronie ekranu i kliknij przycisk Unieważnij CMK , aby unieważnić CMK wszystkich organizacji, które zostały usunięte. Kliknij w pobliżu stanu CMK, aby unieważnić konkretną organizację, a następnie kliknij przycisk Unieważnij CMK , aby unieważnić CMK dla danej organizacji.
12	Po pomyślnym odwołaniu CMK organizacja klienta nie będzie już widoczna w tabeli.
13	Jeśli unieważnienie CMK nie powiedzie się, zostanie wyświetlony błąd.

Przetestuj swoje wdrożenie usługi hybrydowego zabezpieczenia danych

Ta procedura służy do testowania scenariuszy szyfrowania usługi hybrydowego zabezpieczenia danych dla wielu dzierżaw.

Przed rozpoczęciem

Skonfiguruj wdrożenie usługi hybrydowego zabezpieczenia danych dla wielu dzierżawców.
Upewnij się, że masz dostęp do dziennika systemowego, aby sprawdzić, czy żądania kluczy są przekazywane do wdrożenia hybrydowego zabezpieczenia danych z wieloma dzierżawcami.

1

Twórca obszaru ustawia klawisze dla danego obszaru. Zaloguj się do aplikacji Webex jako jeden z użytkowników organizacji klienta, a następnie utwórz obszar.

Po dezaktywacji wdrożenia usługi hybrydowego zabezpieczenia danych treści w obszarach utworzonych przez użytkowników nie będą już dostępne po zastąpieniu kopii kluczy szyfrowania zapisanych w pamięci podręcznej klienta.

2

Wysyłaj wiadomości do nowego obszaru.

3

Sprawdź dane wyjściowe dziennika systemu, aby sprawdzić, czy żądania kluczy są przekazywane do wdrożenia usługi hybrydowego zabezpieczenia danych.

Aby sprawdzić, czy użytkownik najpierw ustanawia bezpieczny kanał do serwera KMS, odfiltruj w interfejsie kms.data.method=create i kms.data.type=EFEMERAL_KEY_COLLECTION:

Należy znaleźć wpis taki jak następujący (identyfikatory skrócone dla czytelności):

2020-07-21 17:35:34.562 (+0000) INFORMACJE KMS [pool-14-thread-1] — [KMS:REQUEST] odebrano, identyfikator urządzenia: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EFEMERAL_KEY_COLLECTION, kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

Aby sprawdzić, czy użytkownik żąda istniejącego klucza z serwera KMS, odfiltruj dane w interfejsie kms.data.method=retrieve i kms.data.type=KEY:

Znajdziesz tam następujące pozycje:

2020-07-21 17:44:19.889 (+0000) INFORMACJE KMS [pool-14-thread-31] — [KMS:REQUEST] odebrano, identyfikator urządzenia: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

Aby sprawdzić użytkownika z prośbą o utworzenie nowego klucza KMS, odfiltruj według ustawień kms.data.method=create i kms.data.type=KEY_COLLECTION:

Znajdziesz tam następujące pozycje:

2020-07-21 17:44:21.975 (+0000) INFORMACJE KMS [pool-14-thread-33] - [KMS:REQUEST] odebrano, identyfikator urządzenia: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

Aby sprawdzić, czy użytkownik z prośbą o utworzenie nowego obiektu zasobów KMS (KRO) podczas tworzenia obszaru lub innego chronionego zasobu, odfiltruj według ustawień kms.data.method=create i kms.data.type=RESOURCE_COLLECTION:

Znajdziesz tam następujące pozycje:

2020-07-21 17:44:22.808 (+0000) INFORMACJE KMS [pool-15-thread-1] — [KMS:REQUEST] odebrano, identyfikator urządzenia: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

Monitoruj stan hybrydowego zabezpieczenia danych

Wskaźnik stanu w Partner Hub pokazuje, czy wszystko działa dobrze z wdrożeniem hybrydowego zabezpieczenia danych dla wielu dzierżawców. Aby uzyskać bardziej aktywne alerty, zarejestruj się w celu otrzymywania powiadomień e-mail. Będziesz otrzymywać powiadomienia w przypadku alarmów dotyczących usługi lub uaktualnień oprogramowania.

1	W Partner Hub wybierz pozycję Usługi z menu po lewej stronie ekranu.
2	W sekcji Usługi chmury znajdź usługę hybrydowego zabezpieczenia danych i kliknij opcję Edytuj ustawienia. Zastanie wyświetlona strona ustawień usługi hybrydowego zabezpieczenia danych.
3	W sekcji Powiadomienia e-mail wpisz co najmniej jeden adres e-mail oddzielony przecinkami i naciśnij klawisz Enter.

Zarządzaj wdrożeniem urządzeń HDS

Zarządzaj wdrożeniem usług HDS

Do zarządzania wdrożeniem usługi hybrydowego zabezpieczenia danych służą opisane w tym miejscu zadania.

Ustaw harmonogram uaktualniania klastra

Aktualizacje oprogramowania usługi hybrydowego zabezpieczenia danych są wykonywane automatycznie na poziomie klastra, co zapewnia, że na wszystkich węzłach zawsze działa ta sama wersja oprogramowania. Uaktualnienia są wykonywane zgodnie z harmonogramem uaktualniania klastra. Po udostępnieniu uaktualnienia oprogramowania masz możliwość ręcznego uaktualnienia klastra przed zaplanowaną godziną uaktualnienia. Możesz ustawić określony harmonogram uaktualniania lub użyć domyślnego harmonogramu aktualizacji 3:00 czasu AM Daily, Stany Zjednoczone: Ameryka/Los Angeles. W razie potrzeby możesz także zdecydować się na odroczenie nadchodzącego uaktualnienia.

Aby ustawić harmonogram uaktualniania:

1	Zaloguj się do Centrum partnerów.
2	Z menu po lewej stronie ekranu wybierz pozycję Usługi.
3	W sekcji Usługi chmury znajdź usługę hybrydowego zabezpieczenia danych i kliknij opcję Skonfiguruj
4	Na stronie Zasoby hybrydowego zabezpieczenia danych wybierz klaster.
5	Kliknij kartę Ustawienia klastra .
6	Na stronie Ustawienia klastra w obszarze Harmonogram uaktualniania wybierz strefę czasową i strefę czasową harmonogramu uaktualniania. Uwaga: W strefie czasowej wyświetlana jest kolejna dostępna data i godzina uaktualnienia. W razie potrzeby można odroczyć uaktualnienie na następny dzień, klikając opcję Odłóż o 24 godziny.

Zmień konfigurację węzła

Czasami może być konieczna zmiana konfiguracji węzła Hybrid Data Security z takiego powodu, jak:

Zmiana certyfikatów x.509 z powodu wygaśnięcia lub z innych powodów.

Nie obsługujemy zmiany nazwy domeny CN certyfikatu. Domena musi być zgodna z oryginalną domeną użytą do rejestracji klastra.
Aktualizacja ustawień bazy danych w celu zmiany na replikę bazy danych PostgreSQL lub Microsoft SQL Server.

Nie obsługujemy migracji danych z PostgreSQL do Microsoft SQL Server lub odwrotnie. Aby przełączyć środowisko bazy danych, rozpocznij nowe wdrożenie Hybrid Data Security.
Tworzenie nowej konfiguracji w celu przygotowania nowego centrum danych.

Ponadto ze względów bezpieczeństwa usługa Hybrid Data Security używa haseł do kont usług, które mają dziewięciomiesięczny okres użytkowania. Gdy narzędzie HdS Setup wygeneruje te hasła, należy je wdrożyć w każdym z węzłów HDS w pliku konfiguracyjnym ISO. Gdy hasła Twojej organizacji zbliżają się do wygaśnięcia, otrzymasz powiadomienie od zespołu Webex o zresetowaniu hasła do konta komputera. (Wiadomość e-mail zawiera tekst „Użyj interfejsu API konta komputera, aby zaktualizować hasło”). Jeśli Twoje hasła jeszcze nie wygasły, narzędzie oferuje dwie opcje:

Resetowanie programowe — stare i nowe hasła działają przez maksymalnie 10 dni. Wykorzystaj ten okres, aby stopniowo zastępować plik ISO w węzłach.
Zresetuj całkowicie — stare hasła natychmiast przestaną działać.

Jeśli hasła wygasną bez resetowania, ma to wpływ na usługę HDS, wymagając natychmiastowego twardego resetu i wymiany pliku ISO na wszystkich węzłach.

Użyj tej procedury, aby wygenerować nowy konfiguracyjny plik ISO i zastosować go do klastra.

Przed rozpoczęciem

Narzędzie HDS Setup działa jako kontener platformy Docker na komputerze lokalnym. Aby uzyskać do niego dostęp, uruchom Docker na tym komputerze. Proces konfiguracji wymaga poświadczeń konta w Partner Hub z pełnymi uprawnieniami administratora partnera.

Jeśli narzędzie konfiguracji HDS działa za serwerem proxy w środowisku, podaj ustawienia serwera proxy (serwer, port, poświadczenia) przez zmienne środowiskowe Docker podczas wprowadzania kontenera Docker w 1.e. Ta tabela zawiera kilka możliwych zmiennych środowiskowych:

Opis	Zmienna
Serwer proxy HTTP bez uwierzytelniania	`GLOBALNY_AGENT_HTTP_PROXY=http://SERWER_IP:PORT`
Serwer proxy HTTPS bez uwierzytelniania	`GLOBALNY_AGENT_HTTPS_PROXY=http://SERWER_IP:PORT`
Serwer proxy HTTP z uwierzytelnianiem	`GLOBALNY_AGENT_HTTP_PROXY=http://NAZWA_UŻYTKOWNIKA:HASŁO@SERWER_IP:PORT`
Serwer proxy HTTPS z uwierzytelnianiem	`GLOBALNY_AGENT_HTTPS_PROXY=http://NAZWA_UŻYTKOWNIKA:HASŁO@SERWER_IP:PORT`

Do wygenerowania nowej konfiguracji potrzebna jest kopia bieżącego konfiguracyjnego pliku ISO. ISO zawiera klucz główny szyfrujący bazę danych PostgreSQL lub Microsoft SQL Server. Plik ISO jest potrzebny podczas wprowadzania zmian w konfiguracji, w tym poświadczeń bazy danych, aktualizacji certyfikatów lub zmian zasad autoryzacji.

1	Korzystając z platformy Docker na komputerze lokalnym, uruchom narzędzie HDS Setup Tool. W wierszu poleceń komputera wprowadź polecenie odpowiednie dla swojego środowiska: W zwykłych środowiskach: `docker rmi ciscocitg/hds-konfiguracja:stabilna` W środowiskach FedRAMP: `docker rmi ciscocitg/hds-setup-fedramp:stable` Ten krok czyści poprzednie obrazy narzędzia konfiguracji HDS. Jeśli nie ma poprzednich obrazów, zwraca błąd, który można zignorować. Aby zalogować się do rejestru obrazów platformy Docker, wprowadź następujące informacje: `docker login -u hdscustomersro` Po wyświetleniu monitu o hasło wprowadź ten skrót: `dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo` Pobierz najnowszy stabilny obraz dla swojego środowiska: W zwykłych środowiskach: `docker ciągnąć ciscocitg / hds-setup:stable` W środowiskach FedRAMP: `docker ciągnąć ciscocitg/hds-setup-fedramp:stable` Upewnij się, że pobierasz najnowsze narzędzie instalacyjne dla tej procedury. Wersje narzędzia utworzone przed 22 lutego 2018 r. nie mają ekranów resetowania hasła. Po zakończeniu ściągania wprowadź odpowiednie polecenie dla swojego środowiska: W zwykłych środowiskach bez proxy: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable` W zwykłych środowiskach z proxy HTTP: `docker run -p 8080:8080 --rm -it -e GLOBALNY_AGENT_HTTP_PROXY=http://SERWER_IP:PORT ciscocitg/hds-setup:stable` W zwykłych środowiskach z HTTPSproxy: `docker run -p 8080:8080 --rm -it -e GLOBALNY_AGENT_HTTPS_PROXY=http://SERWER_IP:PORT ciscocitg/hds-setup:stable` W środowiskach FedRAMP bez proxy: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable` W środowiskach FedRAMP z proxy HTTP: `docker run -p 8080:8080 --rm -it -e GLOBALNY_AGENT_HTTP_PROXY=http://SERWER_IP:PORT ciscocitg/hds-setup-fedramp:stable` W środowiskach FedRAMP z proxy HTTPS: `docker run -p 8080:8080 --rm -it -e GLOBALNY_AGENT_HTTPS_PROXY=http://SERWER_IP:PORT ciscocitg/hds-setup-fedramp:stable` Gdy kontener jest uruchomiony, widzisz "Serwer ekspresowy nasłuchujący na porcie 8080". Użyj przeglądarki, aby połączyć się z hostem lokalnym, `http://127.0.0.1:8080`. Narzędzie konfiguracyjne nie obsługuje łączenia się z hostem localhost za pośrednictwem serwera http://localhost:8080. Użyj, http://127.0.0.1:8080 aby połączyć się z localhost. Po wyświetleniu monitu wprowadź poświadczenia logowania klienta w Partner Hub, a następnie kliknij przycisk Akceptuj , aby kontynuować. Zaimportuj bieżący konfiguracyjny plik ISO. Postępuj zgodnie z instrukcjami, aby ukończyć narzędzie i pobrać zaktualizowany plik. Aby zamknąć narzędzie konfiguracyjne, wpisz `CTRL+C`. Utwórz kopię zapasową zaktualizowanego pliku w innym centrum danych.
2	Jeśli masz uruchomiony tylko jeden węzeł HDS, utwórz nowy węzeł usługi hybrydowego zabezpieczenia danych i zarejestruj go za pomocą nowego pliku ISO konfiguracji. Aby uzyskać bardziej szczegółowe instrukcje, zobacz Tworzenie i rejestrowanie większej liczby węzłów. Zainstaluj OVA hosta HDS. Skonfiguruj maszynę wirtualną HDS. Zamontuj zaktualizowany plik konfiguracyjny. Zarejestruj nowy węzeł w Partner Hub.
3	W przypadku istniejących węzłów HDS, na których działa starszy plik konfiguracyjny, podłącz plik ISO. Wykonaj następującą procedurę na każdym węźle po kolei, aktualizując każdy węzeł przed wyłączeniem następnego węzła: Wyłącz maszynę wirtualną. W lewym okienku nawigacji klienta VMware vSphere kliknij prawym przyciskiem myszy maszynę wirtualną i kliknij opcję Edytuj ustawienia. Kliknij `pozycję Napęd CD/DVD 1`, wybierz opcję instalacji z pliku ISO i przejdź do lokalizacji, do której pobrano nowy plik konfiguracyjny ISO. Zaznacz Połącz przy włączeniu. Zapisz zmiany i włącz maszynę wirtualną.
4	Powtórz krok 3, aby zastąpić konfigurację na każdym pozostałym węźle, na którym działa stara konfiguracja.

Wyłączanie trybu zablokowanego zewnętrznego rozpoznawania DNS

Podczas rejestrowania węzła lub sprawdzania konfiguracji serwera proxy węzła proces testuje wyszukiwanie DNS i łączność z chmurą Cisco Webex. Jeśli serwer DNS węzła nie może rozpoznać publicznych nazw DNS, węzeł automatycznie przechodzi w tryb zablokowanego zewnętrznego rozpoznawania DNS.

Jeśli węzły są w stanie rozpoznawać publiczne nazwy DNS za pośrednictwem wewnętrznych serwerów DNS, można wyłączyć ten tryb, ponownie uruchamiając test połączenia proxy w każdym węźle.

Przed rozpoczęciem

Upewnij się, że wewnętrzne serwery DNS mogą rozpoznawać publiczne nazwy DNS i że węzły mogą się z nimi komunikować.

1	W przeglądarce sieci Web otwórz interfejs węzła Hybrid Data Security (na przykład adres IP/konfiguracja https://192.0.2.0/setup), wprowadź poświadczenia administratora skonfigurowane dla węzła, a następnie kliknij przycisk Zaloguj.
2	Przejdź do Przegląd (strona domyślna). Gdy ta opcja jest włączona, opcja Zablokowane zewnętrzne rozpoznawanie DNS jest ustawiona na Tak.
3	Przejdź do strony Trust Store & Proxy.
4	Kliknij przycisk Sprawdź połączenie proxy. Jeśli zostanie wyświetlony komunikat informujący, że zewnętrzne rozpoznawanie nazw DNS nie powiodło się, oznacza to, że węzeł nie mógł połączyć się z serwerem DNS i pozostanie w tym trybie. W przeciwnym razie, po ponownym uruchomieniu węzła i powrocie do strony Przegląd, Zablokowane zewnętrzne rozpoznawanie DNS powinno być ustawione na nie.

Co dalej?

Powtórz test połączenia proxy dla każdego węzła w klastrze hybrid Data Security.

Usuń węzeł

Ta procedura umożliwia usunięcie węzła usługi hybrydowego zabezpieczenia danych z chmury Webex. Po usunięciu węzła z klastra usuń maszynę wirtualną, aby zapobiec dalszemu dostępowi do danych zabezpieczeń.

1

Użyj klienta VMware vSphere na komputerze, aby zalogować się do hosta wirtualnego ESXi i wyłączyć maszynę wirtualną.

2

Usuń węzeł:

Zaloguj się do Partner Hub, a następnie wybierz pozycję Usługi.
Na karcie usługi hybrydowego zabezpieczenia danych kliknij przycisk Wyświetl wszystko , aby wyświetlić stronę zasobów usługi hybrydowego zabezpieczenia danych.
Wybierz klaster, aby wyświetlić jego panel Przegląd.
Kliknij węzeł, który chcesz usunąć.
Kliknij Wyrejestruj ten węzeł na panelu wyświetlanym po prawej stronie
Możesz również wyrejestrować węzeł, klikając … po prawej stronie węzła i wybierając opcję Usuń ten węzeł.

3

W kliencie vSphere usuń maszynę wirtualną. (W lewym okienku nawigacyjnym kliknij prawym przyciskiem myszy maszynę wirtualną i kliknij opcję Usuń).

Jeśli nie usuniesz maszyny wirtualnej, pamiętaj, aby odmontować plik ISO konfiguracji. Bez pliku ISO nie możesz korzystać z maszyny wirtualnej w celu uzyskania dostępu do danych zabezpieczeń.

Przywracanie po awarii przy użyciu centrum danych w trybie gotowości

Najważniejszą usługą zapewnianą przez klaster usługi hybrydowego zabezpieczenia danych jest tworzenie i przechowywanie kluczy używanych do szyfrowania wiadomości i innych treści przechowywanych w chmurze Webex. Dla każdego użytkownika w organizacji, który jest przypisany do usługi hybrydowego zabezpieczenia danych, nowe żądania utworzenia kluczy są kierowane do klastra. Klaster jest również odpowiedzialny za zwracanie utworzonych przez siebie kluczy do wszystkich użytkowników uprawnionych do ich pobrania, na przykład członków obszaru konwersacji.

Ponieważ klaster pełni kluczową funkcję dostarczania tych kluczy, konieczne jest, aby klaster nadal działał i aby zachowano odpowiednie kopie zapasowe. Utrata bazy danych usługi hybrydowego zabezpieczenia danych lub konfiguracji ISO użytej do schematu spowoduje NIEODWRACALNĄ UTRATĘ zawartości klienta. Aby zapobiec takiej utracie, obowiązkowe są następujące praktyki:

Jeśli awaria spowoduje niedostępność wdrożenia usług HDS w podstawowym centrum danych, wykonaj tę procedurę, aby ręcznie przełączyć się w tryb awaryjny do centrum danych.

Przed rozpoczęciem

Wyrejestruj wszystkie węzły z Partner Hub, jak opisano w sekcji Usuń węzeł. Aby wykonać opisaną poniżej procedurę przełączenia awaryjnego, użyj najnowszego pliku ISO, który został skonfigurowany w węzłach klastra, który był wcześniej aktywny.

1	Uruchom narzędzie konfiguracji HDS i wykonaj czynności wymienione w części Utwórz konfigurację ISO dla hostów HDS.
2	Zakończ proces konfiguracji i zapisz plik ISO w łatwym do znalezienia miejscu.
3	Utwórz kopię zapasową pliku ISO w lokalnym systemie. Zachowaj bezpieczeństwo kopii zapasowej. Ten plik zawiera główny klucz szyfrowania zawartości bazy danych. Ogranicz dostęp tylko do administratorów usługi hybrydowego zabezpieczenia danych, którzy powinni dokonać zmian w konfiguracji.
4	W lewym okienku nawigacji klienta VMware vSphere kliknij prawym przyciskiem myszy maszynę wirtualną i kliknij opcję Edytuj ustawienia.
5	Kliknij Edytuj ustawienia >Dysk CD/DVD 1 i wybierz Plik ISO magazynu danych. Upewnij się, że opcje Połączono i Połącz po włączeniu zasilania są zaznaczone, aby zaktualizowane zmiany konfiguracji mogły zostać zastosowane po uruchomieniu węzłów.
6	Włącz węzeł HDS i upewnij się, że nie ma alarmów przez co najmniej 15 minut.
7	Zarejestruj węzeł w Partner Hub. Zobacz Zarejestruj pierwszy węzeł w klastrze.
8	Powtórz ten proces dla każdego węzła w centrum danych w trybie gotowości.

Co zrobić dalej

Po przełączeniu awaryjnym, jeśli główne centrum danych ponownie stanie się aktywne, wyrejestruj węzły centrum danych w trybie gotowości i powtórz proces konfiguracji ISO i rejestracji węzłów podstawowego centrum danych, jak wspomniano powyżej.

(Opcjonalnie) Odmontuj ISO po konfiguracji HDS

Standardowa konfiguracja trybu HDS jest uruchomiona z zamontowaną normą ISO. Jednak niektórzy klienci wolą nie pozostawiać plików ISO stale montowanych. Plik ISO można odmontować, gdy wszystkie węzły HDS odbiorą nową konfigurację.

Nadal używasz plików ISO do wprowadzania zmian w konfiguracji. Podczas tworzenia nowego certyfikatu ISO lub aktualizacji certyfikatu ISO za pomocą narzędzia konfiguracji należy zamontować zaktualizowany certyfikat ISO na wszystkich węzłach trybu HDS. Gdy wszystkie węzły odbiorą zmiany konfiguracji, można ponownie odmontować obraz ISO za pomocą tej procedury.

Przed rozpoczęciem

Uaktualnij wszystkie węzły HDS do wersji 2021.01.22.4720 lub nowszej.

1	Wyłącz jeden z węzłów trybu HDS.
2	W urządzeniu vCenter Server Device wybierz węzeł HDS.
3	Wybierz pozycję Edytuj ustawienia > napęd CD/DVD i usuń zaznaczenie pola wyboru Plik ISO magazynu danych.
4	Włącz węzeł HDS i upewnij się, że nie ma alarmów przez co najmniej 20 minut.
5	Powtórz kolejno dla każdego węzła HDS.

Rozwiązywanie problemów z usługą hybrydowego zabezpieczenia danych

Wyświetlanie alertów i rozwiązywanie problemów

Wdrożenie usługi hybrydowego zabezpieczenia danych jest uważane za niedostępne, jeśli wszystkie węzły w klastrze są niedostępne lub klaster działa tak wolno, że wymaga przekroczenia limitu czasu. Jeśli użytkownicy nie mogą połączyć się z klastrem usługi hybrydowego zabezpieczenia danych, wystąpią następujące objawy:

Nie można tworzyć nowych obszarów (nie można utworzyć nowych kluczy)
Nie można odszyfrować wiadomości i tytułów obszarów dla:
- Nowi użytkownicy dodani do obszaru (nie można pobrać kluczy)
- Istniejący użytkownicy w obszarze korzystający z nowego klienta (nie można pobrać kluczy)
Istniejący użytkownicy w obszarze będą nadal działać pomyślnie, o ile ich klienci mają pamięć podręczną kluczy szyfrowania

Ważne jest, aby prawidłowo monitorować klaster usługi hybrydowego zabezpieczenia danych i szybko odpowiadać na wszelkie alerty, aby uniknąć zakłóceń w świadczeniu usług.

Alerty

Jeśli wystąpi problem z konfiguracją usługi hybrydowego zabezpieczenia danych, Partner Hub wyświetla alerty do administratora organizacji i wysyła wiadomości e-mail na skonfigurowany adres e-mail. Alerty obejmują wiele typowych scenariuszy.

Tabela 1. Wspólne problemy i kroki umożliwiające ich rozwiązanie
Alarm	Czynność
Błąd dostępu do lokalnej bazy danych.	Sprawdź, czy nie występują błędy bazy danych lub problemy z siecią lokalną.
Błąd połączenia z lokalną bazą danych.	Sprawdź, czy serwer bazy danych jest dostępny i czy w konfiguracji węzła użyto odpowiednich poświadczeń konta usługi.
Błąd dostępu do usługi chmury.	Sprawdź, czy węzły mogą uzyskać dostęp do serwerów Webex zgodnie z Wymaganiami dotyczącymi łączności zewnętrznej.
Odnawianie rejestracji w usłudze w chmurze.	Przerwano rejestrację w usługach w chmurze. Trwa odnawianie rejestracji.
Rejestracja usługi w chmurze została przerwana.	Rejestracja w usługach w chmurze została zakończona. Usługa jest wyłączana.
Usługa nie została jeszcze aktywowana.	Aktywuj usługę HDS w Partner Hub.
Skonfigurowana domena nie jest zgodna z certyfikatem serwera.	Upewnij się, że certyfikat serwera jest zgodny ze skonfigurowaną domeną aktywacji usługi. Najbardziej prawdopodobną przyczyną jest to, że kod CN certyfikatu został ostatnio zmieniony i różni się teraz od kodu używanego podczas początkowej konfiguracji.
Nie można uwierzytelnić usług w chmurze.	Sprawdź dokładność i możliwe wygaśnięcie poświadczeń konta usługi.
Nie można otworzyć pliku lokalnego magazynu kluczy.	Sprawdź integralność i dokładność haseł w pliku lokalnego magazynu kluczy.
Certyfikat serwera lokalnego jest nieprawidłowy.	Sprawdź datę wygaśnięcia certyfikatu serwera i upewnij się, że został on wydany przez zaufany urząd certyfikacji.
Nie można opublikować metryk.	Sprawdź dostęp sieci lokalnej do usług chmury zewnętrznej.
Katalog /media/configdrive/hds nie istnieje.	Sprawdź konfigurację montażu ISO na hoście wirtualnym. Sprawdź, czy plik ISO istnieje, czy jest skonfigurowany do montażu przy ponownym uruchomieniu i czy zamontowano go pomyślnie.
Konfiguracja organizacji dzierżawy dla dodanych organizacji nie została zakończona	Zakończ konfigurację, tworząc moduły CMK dla nowo dodanych organizacji dzierżaw za pomocą narzędzia konfiguracji HDS.
Nie ukończono konfiguracji organizacji dzierżawy dla usuniętych organizacji	Dokończ konfigurację, odwołując identyfikatory CMK organizacji dzierżaw, które zostały usunięte za pomocą narzędzia konfiguracji HDS.

Rozwiązywanie problemów z usługą hybrydowego zabezpieczenia danych

Podczas rozwiązywania problemów z usługą hybrydowego zabezpieczenia danych należy przestrzegać następujących ogólnych wytycznych.

1	Zapoznaj się z Partner Hub, aby uzyskać alerty i napraw wszystkie znajdujące się w tym miejscu elementy. Zobacz poniższy obrazek w celach informacyjnych.
2	Sprawdź dane wyjściowe serwera dziennika systemu pod kątem aktywności we wdrożeniu usługi hybrydowego zabezpieczenia danych. Filtruj słowa, takie jak „Ostrzeżenie” i „Błąd”, aby pomóc w rozwiązywaniu problemów.
3	Skontaktuj się ze wsparciem Cisco.

Inne uwagi

Znane problemy dotyczące hybrydowego zabezpieczenia danych

Jeśli wyłączysz klaster usługi hybrydowego zabezpieczenia danych (usuwając go w Partner Hub lub zamykając wszystkie węzły), stracisz plik ISO konfiguracji lub stracisz dostęp do bazy danych magazynu kluczy, użytkownicy aplikacji Webex w organizacjach klientów nie będą mogli już korzystać z obszarów z listy Osoby, które zostały utworzone za pomocą kluczy z serwera KMS. Obecnie nie mamy obejścia lub rozwiązania tego problemu i zachęcamy do niezamykania usług HDS po obsłużeniu aktywnych kont użytkowników.
Klient, który ma istniejące połączenie ECDH z serwerem KMS, utrzymuje to połączenie przez pewien czas (prawdopodobnie jedną godzinę).

Użyj OpenSSL do generowania pliku PKCS12

Przed rozpoczęciem

OpenSSL to jedno z narzędzi, które można wykorzystać do tworzenia pliku PKCS12 w odpowiednim formacie do załadowania w narzędziu konfiguracyjnym HDS. Istnieją inne sposoby na to, a my nie popieramy ani nie promujemy jednej drogi nad drugą.
Jeśli zdecydujesz się na użycie protokołu OpenSSL, udostępniamy tę procedurę jako wskazówkę, która pomoże Ci utworzyć plik spełniający wymagania certyfikatu X.509 w wymaganiach certyfikatu X.509. Przed kontynuowaniem zrozum te wymagania.
Zainstaluj protokół OpenSSL w obsługiwanym środowisku. Informacje na temat https://www.openssl.org oprogramowania i dokumentacji można znaleźć.
Utwórz klucz prywatny.
Rozpocznij tę procedurę po otrzymaniu certyfikatu serwera od urzędu certyfikacji (CA).

1	Po otrzymaniu certyfikatu serwera od urzędu certyfikacji zapisz go jako `hdsnode.pem`.
2	Wyświetl certyfikat w postaci tekstu i zweryfikuj szczegóły. `openssl x509 -text -noout -in hdsnode.pem`
3	Użyj edytora tekstu, aby utworzyć plik pakietu certyfikatów o nazwie `hdsnode-bundle.pem`. Plik pakietu musi zawierać certyfikat serwera, wszystkie certyfikaty pośredniego urzędu certyfikacji i certyfikaty głównego urzędu certyfikacji w poniższym formacie: `-----ROZPOCZNIJ CERTYFIKAT------ ### Certyfikat serwera. ### -----ZAKOŃCZ CERTYFIKAT-----------ROZPOCZNIJ CERTYFIKAT------ ### Certyfikat pośredniego urzędu certyfikacji. ### -----ZAKOŃCZ CERTYFIKAT----------------- ### Certyfikat GŁÓWNEGO URZĘDU CERTYFIKACJI. ### -----ZAKOŃCZ CERTYFIKAT-------`
4	Utwórz plik .p12 o przyjaznej nazwie `kms-private-key`. `openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -nazwa kms-private-key -caname kms-private-key -out hdsnode.p12`
5	Sprawdź szczegóły certyfikatu serwera. `openssl pkcs12 - w hdsnode.p12` W wyświetlonym monicie wprowadź hasło, aby zaszyfrować klucz prywatny, tak aby był wyświetlany na wyjściu. Następnie sprawdź, czy klucz prywatny i pierwszy certyfikat zawierają linie `friendlyName: kms-klucz prywatny`. Przykład: bash$ openssl pkcs12 - in hdsnode.p12 Wprowadź hasło importu: Atrybuty MAC zweryfikowane przez OK Bag friendlyName: kms-private-key lokalnyIdentyfikatorKlucza: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Atrybuty kluczowe: Wprowadź zdanie przejścia PEM: Weryfikowanie — wprowadź zdanie przejścia PEM: -----ROZPOCZNIJ ZASZYFROWANY KLUCZ PRYWATNY------ -----ZAKOŃCZ ZASZYFROWANY KLUCZ PRYWATNY------- Atrybuty Bag friendlyName: kms-private-key lokalnyIdentyfikatorKlucza: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 -----BEGIN CERTIFICATE------ -----END CERTIFICATE------ Bag Attributes friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3 -----BEGIN CERTIFICATE----- -----END CERTIFICATE-------

Co zrobić dalej

Wróć do tematu Wymagania wstępne dotyczące usługi hybrydowego zabezpieczenia danych. Będziesz używać pliku hdsnode.p12 i ustawionego dla niego hasła w Utwórz konfigurację ISO dla hostów HDS.

Możesz ponownie użyć tych plików, aby zażądać nowego certyfikatu po wygaśnięciu oryginalnego certyfikatu.

Ruch między węzłami HDS a chmurą

Ruch kolekcji metryk wychodzących

Węzły usługi hybrydowego zabezpieczenia danych wysyłają pewne metryki do chmury Webex. Obejmują one metryki systemowe dotyczące maksymalnej sterty, użytej sterty, obciążenia procesora i liczby wątków; metryki wątków synchronicznych i asynchronicznych; metryki alertów dotyczących progu połączeń szyfrowania, opóźnienia lub długości kolejki żądań; metryki w magazynie danych oraz metryki połączeń szyfrowania. Węzły wysyłają zaszyfrowany materiał klucza przez kanał braku pasma (oddzielny od żądania).

Ruch przychodzący

Węzły usługi hybrydowego zabezpieczenia danych odbierają następujące typy ruchu przychodzącego z chmury Webex:

Żądania szyfrowania od klientów trasowane przez usługę szyfrowania
Uaktualnia oprogramowanie węzła

Skonfiguruj serwery proxy Squid dla hybrydowego zabezpieczenia danych

Websocket nie może połączyć się przez Squid Proxy

Serwery proxy Squid, które sprawdzają ruch HTTPS, mogą zakłócać nawiązywanie połączeń Websocket (wss:), których wymaga hybrydowe zabezpieczenia danych. Poniższe sekcje zawierają wskazówki, jak skonfigurować różne wersje Squid, aby ignorować wss: ruchu zapewniającego prawidłowe funkcjonowanie usług.

Kalmary 4 i 5

Dodaj on_unsupported_protocol dyrektywę do squid.conf:

on_unsupported_protocol tunel wszystkie

Kalmary 3.5.27

Z powodzeniem przetestowaliśmy Hybrid Data Security z następującymi regułami dodanymi do squid.conf. Zasady te mogą ulec zmianie w miarę opracowywania funkcji i aktualizowania chmury Webex.

Acl wssMercuryConnection ssl::server_name_regex połączenie z rtęcią ssl_bump splice wssMercuryConnection acl step1 at_step SslBump1 acl step2 at_step SslBump2 acl step3 at_step SslBump3 ssl_bump peek step1 wszystko ssl_bump stare step2 wszystko ssl_bump bump3 wszystko

Nowe i zmienione informacje

Ta tabela zawiera informacje o nowych funkcjach, zmianach w istniejącej zawartości oraz o wszelkich głównych błędach, które zostały usunięte w Przewodniku wdrażania hybrydowego zabezpieczenia danych dla wielu dzierżawców.

Data	Wprowadzono zmiany
30 stycznia 2025 r.	Dodano wersję SQL Server 2022 do listy obsługiwanych serwerów SQL w sekcji Wymagania dotyczące serwera bazy danych.
15 stycznia 2025 r.	Dodano ograniczenia usługi hybrydowego zabezpieczenia danych dla wielu dzierżaw.
08 stycznia 2025 r.	Dodano uwagę w części Wykonaj początkową konfigurację i pobierz pliki instalacyjne stwierdzającą, że kliknięcie Skonfiguruj na karcie HDS w Partner Hub jest ważnym etapem procesu instalacji.
07 stycznia 2025 r.	Zaktualizowano wymagania dotyczące hosta wirtualnego, przepływ zadań wdrażania hybrydowego zabezpieczenia danych i Zainstaluj OVA hosta HDS , aby wyświetlić nowe wymagania dotyczące ESXi 7.0.
13 grudnia 2024 r.	Opublikowano po raz pierwszy.

Dezaktywuj hybrydowe zabezpieczenia danych dla wielu dzierżaw

Przepływ zadań dezaktywacji trybu HDS dla wielu dzierżawców

Aby całkowicie dezaktywować usługę HDS dla wielu dzierżaw, wykonaj poniższe czynności.

Przed rozpoczęciem

To zadanie powinien wykonywać tylko administrator partnera z pełnymi uprawnieniami.

1	Usuń wszystkich klientów ze wszystkich klastrów, jak opisano w części Usuń organizacje dzierżaw.
2	Unieważnij CMK wszystkich klientów, jak wspomniano w części Unieważnij CMK dzierżaw usuniętych z HDS..
3	Usuń wszystkie węzły ze wszystkich klastrów zgodnie z opisem w sekcji Usuń węzeł.
4	Usuń wszystkie klastry z Partner Hub za pomocą jednej z dwóch poniższych metod. Kliknij klaster, który chcesz usunąć, a następnie wybierz pozycję Usuń ten klaster w prawym górnym rogu strony przeglądu. Na stronie Zasoby kliknij … po prawej stronie klastra i wybierz opcję Usuń klaster.
5	Kliknij kartę Ustawienia na stronie Przegląd usługi hybrydowego zabezpieczenia danych, a następnie opcję Dezaktywuj usługę HDS na karcie stanu usługi HDS.

Wprowadzenie do hybrydowego zabezpieczenia danych dla wielu dzierżaw

Omówienie hybrydowego zabezpieczenia danych dla wielu dzierżaw

Od pierwszego dnia bezpieczeństwo danych było głównym celem podczas projektowania aplikacji Webex. Podstawą tego zabezpieczenia jest kompleksowe szyfrowanie treści, które umożliwiają klienci aplikacji Webex współpracujący z usługą zarządzania kluczami (KMS). Usługa KMS jest odpowiedzialna za tworzenie kluczy kryptograficznych używanych przez klientów do dynamicznego szyfrowania i odszyfrowywania wiadomości i plików oraz zarządzanie nimi.

Domyślnie wszyscy klienci aplikacji Webex otrzymują kompleksowe szyfrowanie za pomocą kluczy dynamicznych przechowywanych w chmurze KMS, w sferze bezpieczeństwa Cisco. Hybrid Data Security przenosi KMS i inne funkcje związane z bezpieczeństwem do centrum danych przedsiębiorstwa, dzięki czemu nikt poza Tobą nie posiada kluczy do zaszyfrowanej zawartości.

Hybrydowe zabezpieczenia danych dla wielu dzierżawców umożliwia organizacjom korzystanie z usług HDS za pośrednictwem zaufanego lokalnego partnera, który może działać jako dostawca usług i zarządzać lokalnym szyfrowaniem i innymi usługami zabezpieczeń. Ta konfiguracja umożliwia organizacji partnerskiej pełną kontrolę nad wdrażaniem kluczy szyfrowania i zarządzaniem nimi oraz zapewnia bezpieczeństwo danych użytkowników organizacji klientów przed dostępem zewnętrznym. Organizacje partnerskie konfigurują wystąpienia HDS i w razie potrzeby tworzą klastry HDS. Każde wystąpienie może obsługiwać wiele organizacji klientów w przeciwieństwie do zwykłego wdrażania usług HDS, które jest ograniczone do jednej organizacji.

Chociaż organizacje partnerskie mają kontrolę nad wdrażaniem i zarządzaniem, nie mają dostępu do danych ani treści generowanych przez klientów. Ten dostęp jest ograniczony do organizacji klientów i ich użytkowników.

Pozwala to również mniejszym organizacjom na korzystanie z HDS, ponieważ usługi zarządzania kluczami i infrastruktura zabezpieczeń, taka jak centra danych, są własnością zaufanego partnera lokalnego.

Jak hybrydowe zabezpieczenia danych dla wielu dzierżawców zapewnia suwerenność danych i kontrolę danych

Treści generowane przez użytkowników są chronione przed dostępem zewnętrznym, na przykład przed dostawcami usług w chmurze.
Lokalni zaufani partnerzy zarządzają kluczami szyfrowania klientów, z którymi mają już ustalone relacje.
Opcja lokalnej pomocy technicznej, jeśli została dostarczona przez partnera.
Obsługuje treści spotkań, wiadomości i połączeń.

Ten dokument ma na celu pomóc organizacjom partnerskim w konfigurowaniu klientów w systemie hybrydowego zabezpieczenia danych dla wielu dzierżawców i zarządzaniu nimi.

Ograniczenia hybrydowego zabezpieczenia danych dla wielu dzierżaw

Organizacje partnerskie nie mogą mieć żadnego aktywnego wdrożenia usług HDS w Control Hub.
Organizacje najemców lub klientów, które chcą być zarządzane przez partnera, nie mogą mieć żadnego istniejącego wdrożenia usług HDS w Control Hub.
Po wdrożeniu usługi HDS dla wielu dzierżaw przez partnera wszyscy użytkownicy organizacji klientów oraz użytkownicy organizacji partnerskiej zaczynają korzystać z usług szyfrowania HDS dla wielu dzierżaw.

Organizacja partnerska i organizacje klientów, którymi zarządzają, będą korzystać z tego samego wdrożenia usług HDS dla wielu dzierżawców.

Organizacja partnerska nie będzie już korzystać z serwera KMS w chmurze po wdrożeniu usług HDS dla wielu dzierżawców.
Nie ma mechanizmu umożliwiającego powrót kluczy do usługi KMS w chmurze po wdrożeniu usługi HDS.
Obecnie każde wdrożenie HDS dla wielu dzierżawców może mieć tylko jeden klaster z wieloma węzłami.
Role administratora mają pewne ograniczenia. Szczegółowe informacje można znaleźć w poniższej sekcji.

Role w usłudze hybrydowego zabezpieczenia danych dla wielu dzierżaw

Administrator partnera z pełnymi uprawnieniami — może zarządzać ustawieniami wszystkich klientów, którymi zarządza partner. Może również przypisywać role administratora istniejącym użytkownikom w organizacji oraz przypisywać określonych klientów do zarządzania przez administratorów partnera.
Administrator partnera — może zarządzać ustawieniami klientów skonfigurowanych przez administratora lub przypisanych do użytkownika.
Administrator z pełnymi uprawnieniami — administrator organizacji partnerskiej, który ma uprawnienia do wykonywania takich zadań jak modyfikowanie ustawień organizacji, zarządzanie licencjami i przypisywanie ról.

Kompleksowa konfiguracja trybu HDS dla wielu dzierżawców i zarządzanie wszystkimi organizacjami klientów — wymagane uprawnienia administratora partnera z pełnymi uprawnieniami i administratora z pełnymi uprawnieniami.
Zarządzanie przypisanymi organizacjami dzierżaw — wymagane uprawnienia administratora partnera i administratora z pełnymi uprawnieniami.

Architektura Security Realm

Architektura chmury Webex dzieli różne typy usług na oddzielne domeny lub domeny zaufania, jak pokazano poniżej.

Aby lepiej zrozumieć usługę hybrydowego zabezpieczenia danych, przyjrzyjmy się najpierw tej czystej chmurze, w której firma Cisco udostępnia wszystkie funkcje w swoich domenach chmury. Usługa tożsamości, jedyne miejsce, w którym użytkownicy mogą być bezpośrednio skorelowani z ich danymi osobowymi, takimi jak adres e-mail, jest logicznie i fizycznie oddzielona od obszaru bezpieczeństwa w centrum danych B. Oba są z kolei oddzielone od obszaru, w którym docelowo przechowywana jest zaszyfrowana zawartość, w centrum danych C.

Na tym schemacie klient jest aplikacją Webex działającą na laptopie użytkownika i uwierzytelnił się w usłudze tożsamości. Gdy użytkownik tworzy wiadomość do wysłania do obszaru, wykonują następujące czynności:

Klient nawiązuje bezpieczne połączenie z usługą zarządzania kluczami (KMS), a następnie żąda klucza w celu zaszyfrowania wiadomości. Bezpieczne połączenie korzysta z protokołu ECDH, a serwer KMS szyfruje klucz przy użyciu klucza głównego AES-256.
Wiadomość jest szyfrowana przed opuszczeniem klienta. Klient wysyła je do usługi indeksowania, która tworzy zaszyfrowane indeksy wyszukiwania, aby pomóc w przyszłych wyszukiwaniu zawartości.
Zaszyfrowana wiadomość jest wysyłana do usługi zgodności w celu sprawdzenia zgodności.
Zaszyfrowana wiadomość jest przechowywana w obszarze miejsca do przechowywania.

Podczas wdrażania hybrydowego zabezpieczenia danych funkcje domeny zabezpieczeń (KMS, indeksowanie i zgodność) są przenoszone do lokalnego centrum danych. Inne usługi w chmurze tworzące usługę Webex (w tym tożsamość i miejsce do przechowywania zawartości) pozostają w domenach Cisco.

Współpraca z innymi organizacjami

Użytkownicy w Twojej organizacji mogą regularnie korzystać z aplikacji Webex do współpracy z uczestnikami zewnętrznymi w innych organizacjach. Gdy jeden z użytkowników poprosi o klucz obszaru należącego do Twojej organizacji (ponieważ został on utworzony przez jednego z użytkowników), serwer KMS wysyła klucz do klienta przez kanał zabezpieczony ECDH. Jeśli jednak inna organizacja jest właścicielem klucza obszaru, serwer KMS kieruje żądanie do chmury Webex przez oddzielny kanał ECDH, aby pobrać klucz z odpowiedniego serwera KMS, a następnie zwraca klucz do użytkownika w oryginalnym kanale.

Usługa KMS działająca w organizacji A sprawdza poprawność połączeń z urządzeniami KMS w innych organizacjach przy użyciu certyfikatów x.509 PKI. Zobacz Przygotowanie środowiska , aby uzyskać szczegółowe informacje na temat generowania certyfikatu x.509 do użycia z wdrożeniem hybrydowego zabezpieczenia danych dla wielu dzierżawców.

Oczekiwania dotyczące wdrożenia hybrydowego zabezpieczenia danych

Wdrożenie hybrydowego zabezpieczenia danych wymaga znacznego zaangażowania i świadomości ryzyka związanego z posiadaniem kluczy szyfrowania.

Aby wdrożyć usługę hybrydowego zabezpieczenia danych, należy zapewnić:

Bezpieczne centrum danych w kraju, które jest obsługiwaną lokalizacją planów Cisco Webex Teams.
Sprzęt, oprogramowanie i dostęp do sieci opisane w części Przygotowanie środowiska.

Całkowita utrata albo konfiguracji ISO tworzonej dla usługi hybrydowego zabezpieczenia danych, albo dostarczonej bazy danych spowoduje utratę kluczy. Utrata klucza uniemożliwia użytkownikom odszyfrowanie zawartości obszaru i innych zaszyfrowanych danych w aplikacji Webex. W takim przypadku można zbudować nowe wdrożenie, ale widoczna będzie tylko nowa zawartość. Aby uniknąć utraty dostępu do danych, należy:

Zarządzanie kopiowaniem i odzyskiwaniem bazy danych oraz certyfikatem ISO konfiguracji.
Przygotuj się do szybkiego odzyskiwania po awarii w przypadku wystąpienia katastrofy, takiej jak awaria dysku bazy danych lub katastrofa centrum danych.

Nie ma mechanizmu, by przenieść klucze z powrotem do chmury po wdrożeniu HDS.

Proces konfiguracji wysokiego poziomu

Ten dokument dotyczy konfigurowania wdrożenia hybrydowego zabezpieczenia danych dla wielu dzierżawców i zarządzania nim:

Skonfiguruj hybrydowe zabezpieczenia danych — obejmuje przygotowanie wymaganej infrastruktury i zainstalowanie oprogramowania hybrydowego zabezpieczenia danych, budowę klastra HDS, dodawanie organizacji dzierżaw do klastra oraz zarządzanie kluczami głównymi klientów (CMK). Umożliwi to wszystkim użytkownikom w organizacjach klientów korzystanie z klastra hybrydowego zabezpieczenia danych do obsługi funkcji zabezpieczeń.

W kolejnych trzech rozdziałach omówiono szczegółowo etapy konfiguracji, aktywacji i zarządzania.
Kontynuuj wdrożenie usługi hybrydowego zabezpieczenia danych — chmura Webex automatycznie zapewnia ciągłe aktualizacje. Dział IT może zapewnić wsparcie Tier One dla tego wdrożenia i w razie potrzeby zaangażować wsparcie Cisco. Możesz korzystać z powiadomień na ekranie i skonfigurować alerty e-mail w Partner Hub.
Zrozumienie popularnych alertów, czynności rozwiązywania problemów i znanych problemów — w przypadku wystąpienia problemów ze wdrażaniem lub korzystaniem z usługi hybrydowego zabezpieczenia danych ostatni rozdział tego przewodnika i załącznik do znanych problemów mogą pomóc w ustaleniu i usunięciu problemu.

Model wdrażania hybrydowego zabezpieczenia danych

W korporacyjnym centrum danych wdrożysz hybrydowe zabezpieczenia danych jako pojedynczy klaster węzłów na osobnych wirtualnych hostach. Węzły komunikują się z chmurą Webex za pośrednictwem bezpiecznych gniazd WebSockets i bezpiecznego HTTP.

Podczas procesu instalacji udostępniamy plik OVA, aby skonfigurować urządzenie wirtualne na maszynach wirtualnych, które udostępniasz. Za pomocą narzędzia konfiguracji usługi HDS można utworzyć niestandardowy plik ISO konfiguracji klastra, który montujesz na każdym węźle. Klaster usługi hybrydowego zabezpieczenia danych korzysta z dostarczonego serwera Syslogd oraz bazy danych PostgreSQL lub Microsoft SQL Server. (Szczegóły połączenia Syslogd i bazy danych można skonfigurować za pomocą narzędzia konfiguracji HDS).

Model wdrażania hybrydowego zabezpieczenia danych

Minimalna liczba węzłów, które można mieć w klastrze, wynosi dwa. Zalecamy co najmniej trzy klastry. Posiadanie wielu węzłów gwarantuje, że usługa nie zostanie przerwana podczas aktualizacji oprogramowania lub innej konserwacji w węźle. (Chmura Webex uaktualnia tylko jeden węzeł naraz).

Wszystkie węzły w klastrze uzyskują dostęp do tego samego magazynu danych klucza oraz do tego samego serwera dziennika systemowego. Same węzły są bezstanowe i obsługują żądania kluczy w sposób zaokrąglony, zgodnie z kierunkiem chmury.

Węzły stają się aktywne po zarejestrowaniu ich w Partner Hub. Aby wyłączyć pojedynczy węzeł, można go wyrejestrować, a w razie potrzeby ponownie go zarejestrować.

Centrum danych w trybie gotowości do odzyskiwania po awarii

Podczas wdrażania konfigurujesz bezpieczne centrum danych w trybie gotowości. W przypadku awarii centrum danych można ręcznie wykonać wdrożenie do centrum danych w trybie gotowości.

Bazy danych aktywnych i rezerwowych centrów danych są ze sobą synchronizowane, co minimalizuje czas potrzebny na wykonanie przełączania awaryjnego.

Aktywne węzły usługi hybrydowego zabezpieczenia danych muszą zawsze znajdować się w tym samym centrum danych, co aktywny serwer bazy danych.

Obsługa serwera proxy

Hybrid Data Security obsługuje jawne, przejrzyste inspekcje i niekontrolujące serwery proxy. Możesz powiązać te serwery proxy z wdrożeniem, aby zabezpieczyć i monitorować ruch z przedsiębiorstwa do chmury. Interfejsu administratora platformy w węzłach można używać do zarządzania certyfikatami i sprawdzania ogólnego stanu łączności po skonfigurowaniu serwera proxy w węzłach.

Węzły Hybrid Data Security obsługują następujące opcje serwera proxy:

Brak serwera proxy — domyślnie, jeśli do zintegrowania serwera proxy nie używasz konfiguracji węzła HDS usługi Trust Store i proxy. Aktualizacja certyfikatu nie jest wymagana.
Przezroczysty, nieweryfikujący serwer proxy — węzły nie są skonfigurowane do używania konkretnego adresu serwera proxy i nie powinny wymagać żadnych zmian, aby pracować z nieweryfikowanym serwerem proxy. Aktualizacja certyfikatu nie jest wymagana.
Przezroczyste tunelowanie lub inspekcja serwera proxy — węzły nie są skonfigurowane do używania określonego adresu serwera proxy. W węzłach nie są wymagane żadne zmiany konfiguracji HTTP ani HTTPS. Jednak węzły potrzebują certyfikatu głównego, aby ufać serwerowi proxy. Inspekcja serwerów proxy jest zwykle używana przez IT do egzekwowania zasad, na których można odwiedzać witryny internetowe, a które nie są dozwolone. Ten typ serwera proxy odszyfrowuje cały ruch (nawet HTTPS).
Jawny serwer proxy — przy użyciu jawnego serwera proxy można wskazać węzłom HDS, którego serwera proxy i schematu uwierzytelniania mają używać. Aby skonfigurować jawny serwer proxy, należy wprowadzić następujące informacje w każdym węźle:
1. Adres IP/FQDN serwera proxy — adres, za pomocą którego można uzyskać dostęp do maszyny proxy.
2. Port serwera proxy — numer portu, którego serwer proxy używa do nasłuchiwania ruchu proxy.
3. Protokół proxy — w zależności od tego, jakie obsługuje serwer proxy, wybierz jeden z następujących protokołów:
  - HTTP — wyświetla i kontroluje wszystkie żądania wysyłane przez klienta.
  - HTTPS — zapewnia kanał do serwera. Klient odbiera i sprawdza poprawność certyfikatu serwera.
4. Typ uwierzytelniania — wybierz jeden z następujących typów uwierzytelniania:
  - Brak — dalsze uwierzytelnianie nie jest wymagane.
    
    Opcja dostępna po wybraniu protokołu HTTP lub HTTPS jako protokołu proxy.
  - Podstawowe — używane w przypadku agenta użytkownika HTTP w celu podania nazwy użytkownika i hasła podczas wykonywania żądania. Używa kodowania Base64.
    
    Opcja dostępna po wybraniu protokołu HTTP lub HTTPS jako protokołu proxy.
    
    Wymaga wprowadzenia nazwy użytkownika i hasła w każdym węźle.
  - Szyfrowanie — służy do potwierdzania konta przed wysłaniem poufnych informacji. Stosuje funkcję skrótu do nazwy użytkownika i hasła przed wysłaniem przez sieć.
    
    Opcja dostępna tylko po wybraniu protokołu HTTPS jako protokołu proxy.
    
    Wymaga wprowadzenia nazwy użytkownika i hasła w każdym węźle.

Przykład hybrydowych węzłów zabezpieczeń danych i serwera proxy

Ten diagram przedstawia przykładowe połączenie między hybrid data security, siecią i serwerem proxy. W przypadku opcji przezroczystego serwera proxy inspekcji i jawnego sprawdzania HTTPS ten sam certyfikat główny musi być zainstalowany na serwerze proxy i w węzłach Hybrid Data Security.

Zablokowany tryb zewnętrznego rozpoznawania DNS (jawne konfiguracje serwera proxy)

Podczas rejestrowania węzła lub sprawdzania konfiguracji serwera proxy węzła proces testuje wyszukiwanie DNS i łączność z chmurą Cisco Webex. We wdrożeniach z jawnymi konfiguracjami serwera proxy, które nie zezwalają na zewnętrzne rozpoznawanie DNS dla klientów wewnętrznych, jeśli węzeł nie może wysłać kwerendy do serwerów DNS, automatycznie przechodzi w tryb zablokowanego zewnętrznego rozpoznawania DNS. W tym trybie można kontynuować rejestrację węzła i inne testy łączności serwera proxy.

Przygotuj środowisko

Wymagania dotyczące hybrydowego zabezpieczenia danych dla wielu dzierżaw

Wymagania licencyjne usługi Cisco Webex

Aby wdrożyć hybrydowe zabezpieczenia danych dla wielu dzierżaw:

Organizacje partnerskie: Skontaktuj się z partnerem lub opiekunem klienta firmy Cisco i upewnij się, że funkcja wielu dzierżaw jest włączona.
Organizacje dzierżaw: Musisz mieć pakiet Pro Pack dla Cisco Webex Control Hub. (Patrz https://www.cisco.com/go/pro-pack.)

Wymagania pulpitu Docker

Przed zainstalowaniem węzłów HDS należy uruchomić program konfiguracyjny programu Docker Desktop. Docker niedawno zaktualizował swój model licencjonowania. Twoja organizacja może wymagać płatnej subskrypcji platformy Docker Desktop.Your organization might require a paid subscription for Docker Desktop. Aby uzyskać szczegółowe informacje, zobacz wpis na blogu Platformy Docker " Docker aktualizuje i rozszerza nasze subskrypcje produktów".

Wymagania certyfikatu X.509

Łańcuch certyfikatów musi spełniać następujące wymagania:

Tabela 1. Wymagania certyfikatu X.509 dla wdrożenia hybrydowego zabezpieczenia danych
Wymaganie	Szczegóły
Podpisany przez zaufany urząd certyfikacji (CA)	Domyślnie ufamy urzędom certyfikacji na liście Mozilli (z wyjątkiem WoSign i StartCom) pod adresem https://wiki.mozilla.org/CA:IncludedCAs.
Nosi nazwę domeny z nazwą pospolitą (CN), która identyfikuje wdrożenie usługi hybrydowego zabezpieczenia danych Nie jest certyfikatem z symbolem wieloznacznym	Numer CN nie musi być dostępny ani być prowadzącym na żywo. Zalecamy używanie nazwy odzwierciedlającej organizację, na przykład `hds.company.com`. CN nie może zawierać znaku * (symbolu wieloznacznego). Kod CN służy do weryfikowania węzłów usługi hybrydowego zabezpieczenia danych w klientach aplikacji Webex. Wszystkie węzły usługi hybrydowego zabezpieczenia danych w klastrze używają tego samego certyfikatu. Serwer KMS identyfikuje się używając domeny CN, a nie żadnej domeny zdefiniowanej w polach SAN x.509v3. Po zarejestrowaniu węzła z tym certyfikatem nie jest obsługiwana zmiana nazwy domeny CN.
Podpis bez SHA1	Oprogramowanie KMS nie obsługuje podpisów SHA1 w celu walidacji połączeń z modułami KMS innych organizacji.
Sformatowany jako plik PKCS #12 zabezpieczony hasłem Użyj przyjaznej nazwy `kms-private-key` , aby oznaczyć certyfikat, klucz prywatny i wszelkie certyfikaty pośrednie do przesłania.	Możesz użyć konwertera, takiego jak OpenSSL, aby zmienić format certyfikatu. Hasło trzeba będzie wprowadzić podczas uruchamiania narzędzia konfiguracji usług HDS.

Oprogramowanie KMS nie wymuszało użycia kluczy ani rozszerzonych ograniczeń użycia kluczy. Niektóre urzędy certyfikacji wymagają, aby do każdego certyfikatu miały zastosowanie rozszerzone ograniczenia użycia klucza, takie jak uwierzytelnianie serwera. Można używać uwierzytelniania serwera lub innych ustawień.

Wymagania dotyczące hosta wirtualnego

Hosty wirtualne, które skonfigurujesz jako węzły usługi hybrydowego zabezpieczenia danych w klastrze, mają następujące wymagania:

Co najmniej dwa oddzielne hosty (zalecane 3) rozmieszczone w tym samym bezpiecznym centrum danych
Zainstalowano i uruchomiono program VMware ESXi 7.0 (lub nowszy).

Jeśli masz starszą wersję oprogramowania ESXi, musisz ją uaktualnić.
Co najmniej 4 procesory vCPU, 8 GB pamięci głównej, 30 GB miejsca na lokalny dysk twardy na serwer

Wymagania serwera bazy danych

Utwórz nową bazę danych do przechowywania kluczy. Nie należy używać domyślnej bazy danych. Aplikacje HDS, po zainstalowaniu, tworzą schemat bazy danych.

Serwer bazy danych ma dwie opcje. Wymagania dotyczące każdego z nich są następujące:

Tabela 2. Wymagania serwera bazy danych według typu bazy danych
PostgreSQL-a	Serwer Microsoft SQL
PostgreSQL 14, 15 lub 16 jest zainstalowany i uruchomiony.	Zainstalowano oprogramowanie SQL Server 2016, 2017, 2019 lub 2022 (Enterprise lub Standard). Program SQL Server 2016 wymaga pakietu Service Pack 2 i aktualizacji skumulowanej 2 lub nowszej.
Co najmniej 8 procesorów vCPU, 16 GB pamięci głównej, wystarczająca ilość miejsca na dysku twardym i monitorowanie, aby nie było przekroczone (zalecane 2 TB, jeśli chcesz uruchomić bazę danych przez długi czas bez konieczności zwiększania miejsca do przechowywania)	Co najmniej 8 procesorów vCPU, 16 GB pamięci głównej, wystarczająca ilość miejsca na dysku twardym i monitorowanie, aby nie było przekroczone (zalecane 2 TB, jeśli chcesz uruchomić bazę danych przez długi czas bez konieczności zwiększania miejsca do przechowywania)

Oprogramowanie HDS instaluje obecnie następujące wersje sterowników do komunikacji z serwerem bazy danych:

PostgreSQL-a

Serwer Microsoft SQL

Postgres JDBC sterownik 42.2.5

Sterownik SQL Server JDBC 4.6

Ta wersja sterownika obsługuje funkcję SQL Server Always On (zawsze włączone wystąpienia klastra przełączenia awaryjnego i zawsze włączone grupy dostępności).

Dodatkowe wymagania dotyczące uwierzytelniania w systemie Windows przy użyciu programu Microsoft SQL Server

Jeśli chcesz, aby węzły HDS korzystały z uwierzytelniania w systemie Windows w celu uzyskania dostępu do bazy danych magazynu kluczy na serwerze Microsoft SQL Server, potrzebujesz następującej konfiguracji w środowisku:

Wszystkie węzły HDS, infrastruktura Active Directory i oprogramowanie MS SQL Server muszą być synchronizowane z protokołem NTP.
Konto systemu Windows dostarczane węzłom HDS musi mieć dostęp do odczytu/zapisu do bazy danych.
Serwery DNS dostarczane do węzłów HDS muszą być w stanie rozpoznać Twoje centrum dystrybucji kluczy (KDC).
Wystąpienie bazy danych HDS na serwerze Microsoft SQL można zarejestrować jako nazwę główną usługi (SPN) w usłudze Active Directory. Zobacz Rejestrowanie nazwy głównej usługi dla połączeń Kerberos.

Narzędzie konfiguracyjne usługi HDS, uruchamianie usługi HDS i lokalny serwer KMS muszą korzystać z uwierzytelniania systemu Windows, aby uzyskać dostęp do bazy danych magazynu kluczy. Używają oni szczegółów z konfiguracji ISO do skonstruowania SPN przy żądaniu dostępu z uwierzytelnianiem Kerberos.

Wymagania dotyczące łączności zewnętrznej

Skonfiguruj zaporę, aby zezwolić na następującą łączność dla aplikacji HDS:

Aplikacja	Protokół	Port	Kierunek z aplikacji	Miejsce docelowe
Węzły hybrydowego zabezpieczenia danych	TCP	443	Wychodzące HTTPS i WSS	Serwery Webex: .wbx2.com .ciscospark.com Wszyscy prowadzący Common Identity Inne adresy URL wymienione na liście dla hybrydowego zabezpieczenia danych w tabeli Dodatkowe adresy URL dla usług hybrydowych Webex w sekcji Wymagania sieciowe dla usług Webex
Narzędzie konfiguracji usług HDS	TCP	443	Wychodzący HTTPS	*.wbx2.com Wszyscy prowadzący Common Identity hub.docker.com

Węzły usługi hybrydowego zabezpieczenia danych współpracują z tłumaczeniem dostępu do sieci (NAT) lub zaporą, o ile translacja NAT lub zapora sieciowa zezwalają na wymagane połączenia wychodzące z adresami domen w poprzedniej tabeli. W przypadku połączeń przychodzących do węzłów usługi hybrydowego zabezpieczenia danych żadne porty nie powinny być widoczne z Internetu. W centrum danych klienci potrzebują do celów administracyjnych dostępu do węzłów usługi hybrydowego zabezpieczenia danych na portach TCP 443 i 22.

Adresy URL dla hostów usługi Common Identity (CI) są specyficzne dla regionów. Są to bieżące hosty CI:

Region	Adresy URL hosta wspólnej tożsamości
Ameryka	https://idbroker.webex.com https://identity.webex.com https://idbroker-b-us.webex.com https://identity-b-us.webex.com
Unia Europejska	https://idbroker-eu.webex.com https://identity-eu.webex.com
Kanada	https://idbroker-ca.webex.com https://identity-ca.webex.com
Singapur	https://idbroker-sg.webex.com https://identity-sg.webex.com
Zjednoczone Emiraty Arabskie	https://idbroker-ae.webex.com https://identity-ae.webex.com

Wymagania dotyczące serwera proxy

Oficjalnie obsługujemy następujące rozwiązania proxy, które można zintegrować z węzłami Hybrid Data Security.
- Przezroczysty serwer proxy — Cisco Web Security Appliance (WSA).
- Jawny serwer proxy — Squid.
  
  Serwery proxy Squid, które sprawdzają ruch HTTPS, mogą zakłócać nawiązywanie połączeń WebSocket (wss:). Aby rozwiązać ten problem, zobacz Konfigurowanie serwerów proxy Squid na potrzeby hybrydowego zabezpieczenia danych.
Obsługujemy następujące kombinacje typów uwierzytelniania dla jawnych serwerów proxy:
- Brak uwierzytelniania za pomocą protokołu HTTP lub HTTPS
- Uwierzytelnianie podstawowe za pomocą protokołu HTTP lub HTTPS
- Uwierzytelnianie szyfrowane tylko przy użyciu protokołu HTTPS
W przypadku przezroczystego serwera proxy inspekcji lub jawnego serwera proxy HTTPS musisz mieć kopię certyfikatu głównego serwera proxy. Instrukcje wdrażania w tym przewodniku informają, jak przekazać kopię do magazynów zaufania węzłów hybrid Data Security.
Sieć obsługująca węzły HDS musi być skonfigurowana tak, aby wymuszała kierowanie wychodzącego ruchu TCP na porcie 443 przez serwer proxy.
Serwery proxy, które sprawdzają ruch sieci web, mogą zakłócać połączenia gniazd internetowych. Jeśli ten problem wystąpi, ominięcie (nie inspekcja) ruchu do wbx2.com i ciscospark.com rozwiąże problem.

Spełnij wymagania wstępne dotyczące usługi hybrydowego zabezpieczenia danych

Skorzystaj z tej listy kontrolnej, aby upewnić się, że możesz zainstalować i skonfigurować klaster usługi hybrydowego zabezpieczenia danych.

1	Upewnij się, że organizacja partnerska ma włączoną funkcję HDS dla wielu dzierżawców i uzyskaj poświadczenia konta z pełnymi uprawnieniami administratora partnera i pełnego administratora. Upewnij się, że Twoja organizacja klienta Webex jest włączona dla usługi Pro Pack for Cisco Webex Control Hub. Skontaktuj się z partnerem lub opiekunem klienta Cisco w celu uzyskania pomocy w tym procesie. Organizacje klientów nie powinny mieć żadnych istniejących wdrożeń usług HDS.
2	Wybierz nazwę domeny dla wdrożenia HDS (na przykład `hds.company.com`) i uzyskaj łańcuch certyfikatów zawierający certyfikat X.509, klucz prywatny i certyfikaty pośrednie. Łańcuch certyfikatów musi spełniać wymagania określone w wymaganiach certyfikatu X.509.
3	Przygotuj identycznych wirtualnych prowadzących, które zostaną skonfigurowane jako węzły usługi hybrydowego zabezpieczenia danych w klastrze. Potrzebujesz co najmniej dwóch oddzielnych hostów (zalecane 3) rozmieszczonych w tym samym bezpiecznym centrum danych, które spełniają wymagania określone w wymaganiach dotyczących hosta wirtualnego.
4	Przygotuj serwer bazy danych, który będzie pełnił rolę kluczowego magazynu danych dla klastra, zgodnie z wymaganiami serwera bazy danych. Serwer bazy danych musi być umieszczony w bezpiecznym centrum danych z wirtualnymi hostami. Tworzenie bazy danych do przechowywania kluczy. (Należy utworzyć tę bazę danych — nie używaj domyślnej bazy danych. Aplikacje HDS, gdy są zainstalowane, tworzą schemat bazy danych). Zbierz szczegóły, których węzły będą używać do komunikacji z serwerem bazy danych: nazwa hosta lub adres IP (hosta) i port nazwa bazy danych (dbname) do przechowywania klucza nazwa użytkownika i hasło użytkownika z wszystkimi uprawnieniami w bazie danych przechowywania kluczy
5	W celu szybkiego odzyskiwania po awarii skonfiguruj środowisko kopii zapasowej w innym centrum danych. Środowisko tworzenia kopii zapasowych jest lustrzane dla środowiska produkcyjnego maszyn wirtualnych i zapasowego serwera bazy danych. Jeśli na przykład w produkcji są 3 maszyny wirtualne z węzłami HDS, środowisko kopii zapasowej powinno zawierać 3 maszyny wirtualne.
6	Skonfiguruj hosta dziennika systemu, aby zbierał dzienniki z węzłów w klastrze. Zbierz adres sieciowy i port dziennika systemu (domyślnie jest to UDP 514).
7	Utwórz zasady bezpiecznych kopii zapasowych dla węzłów usługi hybrydowego zabezpieczenia danych, serwera bazy danych i hosta dziennika systemowego. Aby zapobiec nieodwracalnej utracie danych, należy wykonać kopię zapasową bazy danych i pliku ISO konfiguracji wygenerowanego dla węzłów usługi hybrydowego zabezpieczenia danych. Ponieważ węzły usługi hybrydowego zabezpieczenia danych przechowują klucze używane do szyfrowania i odszyfrowywania zawartości, niepowodzenie utrzymania operacyjnego wdrożenia spowoduje NIEODWRACALNĄ UTRATĘ tej zawartości. Klienci aplikacji Webex buforują swoje klucze, więc awaria może nie być natychmiast zauważalna, ale z czasem stanie się oczywista. O ile nie można zapobiec tymczasowym awariom, można je odzyskać. Jednak całkowita utrata (brak dostępnych kopii zapasowych) bazy danych lub pliku ISO konfiguracji spowoduje, że dane klienta nie będą mogły zostać odzyskane. Oczekuje się, że operatorzy węzłów usługi hybrydowego zabezpieczenia danych będą utrzymywać częste kopie zapasowe bazy danych i pliku ISO konfiguracji oraz będą przygotowani do odbudowania centrum danych usługi hybrydowego zabezpieczenia danych w przypadku wystąpienia katastrofalnej awarii.
8	Upewnij się, że konfiguracja zapory umożliwia łączność z węzłami usługi hybrydowego zabezpieczenia danych, jak opisano w części Wymagania dotyczące łączności zewnętrznej.
9	Zainstaluj aplikację Docker ( https://www.docker.com) na dowolnym lokalnym komputerze z obsługiwanym systemem operacyjnym (Microsoft Windows 10 Professional lub Enterprise 64-bitowy lub Mac OSX Yosemite 10.10.3 lub nowszym) za pomocą przeglądarki internetowej, która może uzyskać do niej dostęp pod adresem http://127.0.0.1:8080. Wystąpienie usługi Docker umożliwia pobranie i uruchomienie narzędzia konfiguracyjnego HDS, które tworzy informacje o konfiguracji lokalnej dla wszystkich węzłów usługi hybrydowego zabezpieczenia danych. Być może potrzebujesz licencji Docker Desktop. Aby uzyskać więcej informacji, zobacz Wymagania dotyczące pulpitu Docker . Aby zainstalować i uruchomić narzędzie konfiguracji usługi HDS, komputer lokalny musi mieć łączność opisaną w sekcji Wymagania dotyczące łączności zewnętrznej.
10	Jeśli integrujesz serwer proxy z usługą hybrydowego zabezpieczenia danych, upewnij się, że spełnia wymagania serwera proxy.

Skonfiguruj klaster usługi hybrydowego zabezpieczenia danych

Przepływ zadań wdrażania hybrydowego zabezpieczenia danych

Przed rozpoczęciem

1	Wykonywanie pierwszej konfiguracji i pobieranie plików instalacyjnych Pobierz plik OVA na komputer lokalny w celu późniejszego użycia.
2	Tworzenie certyfikatu ISO konfiguracji dla hostów trybu HDS Użyj narzędzia konfiguracji usługi HDS, aby utworzyć plik konfiguracyjny ISO dla węzłów usługi hybrydowego zabezpieczenia danych.
3	Zainstaluj OVA hosta HDS Utwórz maszynę wirtualną z pliku OVA i wykonaj konfigurację początkową, taką jak ustawienia sieciowe. Opcja konfigurowania ustawień sieciowych podczas wdrażania OVA została przetestowana z ESXi 7.0. Opcja może być niedostępna we wcześniejszych wersjach.
4	Skonfiguruj VM usługi hybrydowego zabezpieczenia danych Zaloguj się do konsoli VM i ustaw poświadczenia logowania. Skonfiguruj ustawienia sieciowe węzła, jeśli nie zostały one skonfigurowane w czasie wdrażania OVA.
5	Przesyłanie i montaż obrazu ISO w trybie HDS Skonfiguruj maszynę wirtualną z pliku konfiguracyjnego ISO utworzonego przy użyciu narzędzia konfiguracji HDS.
6	Konfigurowanie węzła HDS do integracji z serwerem proxy Jeśli środowisko sieciowe wymaga konfiguracji serwera proxy, określ typ serwera proxy, który będzie używany dla węzła, a w razie potrzeby dodaj certyfikat serwera proxy do magazynu zaufanych certyfikatów.
7	Zarejestruj pierwszy węzeł w klastrze Zarejestruj maszynę wirtualną w chmurze Cisco Webex jako węzeł usługi hybrydowego zabezpieczenia danych.
8	Utwórz i zarejestruj więcej węzłów Zakończ konfigurację klastra.
9	Aktywuj usługę HDS dla wielu dzierżaw w Partner Hub. Aktywuj usługę HDS i zarządzaj organizacjami dzierżaw w Partner Hub.

Wykonywanie pierwszej konfiguracji i pobieranie plików instalacyjnych

W tym zadaniu pobierasz plik OVA na komputer (a nie na serwery, które są skonfigurowane jako węzły usługi hybrydowego zabezpieczenia danych). Tego pliku używasz później w procesie instalacji.

1	Zaloguj się do Partner Hub, a następnie kliknij pozycję Usługi.
2	W sekcji Usługi chmury znajdź kartę usługi hybrydowego zabezpieczenia danych, a następnie kliknij przycisk Konfiguruj. Kliknięcie opcji Skonfiguruj w Partner Hub ma kluczowe znaczenie dla procesu wdrażania. Nie należy kontynuować instalacji bez wykonania tego kroku.
3	Kliknij opcję Dodaj zasób i kliknij opcję Pobierz plik OVA na karcie Zainstaluj i skonfiguruj oprogramowanie . Starsze wersje pakietu oprogramowania (OVA) nie będą zgodne z najnowszymi aktualizacjami usługi hybrydowego zabezpieczenia danych. Może to powodować problemy podczas uaktualniania aplikacji. Upewnij się, że pobierasz najnowszą wersję pliku OVA. Możesz również pobrać OVA w dowolnym momencie w sekcji Pomoc . Kliknij kolejno opcje Ustawienia > Pomoc > Pobierz oprogramowanie usługi hybrydowego zabezpieczenia danych. Plik OVA automatycznie rozpocznie się pobieranie. Zapisz plik w lokalizacji na komputerze.
4	Opcjonalnie kliknij opcję Zobacz przewodnik wdrażania hybrydowego zabezpieczenia danych , aby sprawdzić, czy jest dostępna nowsza wersja tego przewodnika.

Tworzenie certyfikatu ISO konfiguracji dla hostów trybu HDS

Proces konfiguracji usługi hybrydowego zabezpieczenia danych tworzy plik ISO. Następnie za pomocą interfejsu ISO można skonfigurować hosta usługi hybrydowego zabezpieczenia danych.

Przed rozpoczęciem

Narzędzie HDS Setup działa jako kontener platformy Docker na komputerze lokalnym. Aby uzyskać do niego dostęp, uruchom Docker na tym komputerze. Proces konfiguracji wymaga poświadczeń konta w Partner Hub z pełnymi uprawnieniami administratora.

Jeśli narzędzie konfiguracji HDS działa za serwerem proxy w środowisku, podaj ustawienia serwera proxy (serwer, port, poświadczenia) za pośrednictwem zmiennych środowiskowych Docker podczas podnoszenia kontenera Docker w kroku 5 poniżej. Ta tabela zawiera kilka możliwych zmiennych środowiskowych:

Opis

Zmienna

Serwer proxy HTTP bez uwierzytelniania

GLOBALNY_AGENT_HTTP_PROXY=http://SERWER_IP:PORT

Serwer proxy HTTPS bez uwierzytelniania

GLOBALNY_AGENT_HTTPS_PROXY=http://SERWER_IP:PORT

Serwer proxy HTTP z uwierzytelnianiem

GLOBALNY_AGENT_HTTP_PROXY=http://NAZWA_UŻYTKOWNIKA:HASŁO@SERWER_IP:PORT

Serwer proxy HTTPS z uwierzytelnianiem

GLOBALNY_AGENT_HTTPS_PROXY=http://NAZWA_UŻYTKOWNIKA:HASŁO@SERWER_IP:PORT
Wygenerowany plik ISO konfiguracji zawiera klucz główny do szyfrowania bazy danych PostgreSQL lub Microsoft SQL Server. Najnowszą kopię tego pliku należy zawsze wprowadzać zmiany w konfiguracji, takie jak:
- Poświadczenia bazy danych
- Aktualizacje certyfikatu
- Zmiany w zasadach autoryzacji
Jeśli planujesz szyfrować połączenia z bazami danych, skonfiguruj wdrożenie PostgreSQL lub SQL Server dla protokołu TLS.

1

W wierszu poleceń komputera wprowadź polecenie odpowiednie dla swojego środowiska:

W zwykłych środowiskach:

docker rmi ciscocitg/hds-konfiguracja:stabilna

W środowiskach FedRAMP:

docker rmi ciscocitg/hds-setup-fedramp:stable

Ten krok czyści poprzednie obrazy narzędzia konfiguracji HDS. Jeśli nie ma poprzednich obrazów, zwraca błąd, który można zignorować.

2

Aby zalogować się do rejestru obrazów platformy Docker, wprowadź następujące informacje:

docker login -u hdscustomersro

3

Po wyświetleniu monitu o hasło wprowadź ten skrót:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

4

Pobierz najnowszy stabilny obraz dla swojego środowiska:

W zwykłych środowiskach:

docker ciągnąć ciscocitg / hds-setup:stable

W środowiskach FedRAMP:

docker ciągnąć ciscocitg/hds-setup-fedramp:stable

5

Po zakończeniu ściągania wprowadź odpowiednie polecenie dla swojego środowiska:

W zwykłych środowiskach bez proxy:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

W zwykłych środowiskach z proxy HTTP:

docker run -p 8080:8080 --rm -it -e GLOBALNY_AGENT_HTTP_PROXY=http://SERWER_IP:PORT ciscocitg/hds-setup:stable

W zwykłych środowiskach z serwerem proxy HTTPS:

docker run -p 8080:8080 --rm -it -e GLOBALNY_AGENT_HTTPS_PROXY=http://SERWER_IP:PORT ciscocitg/hds-setup:stable

W środowiskach FedRAMP bez proxy:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

W środowiskach FedRAMP z proxy HTTP:

docker run -p 8080:8080 --rm -it -e GLOBALNY_AGENT_HTTP_PROXY=http://SERWER_IP:PORT ciscocitg/hds-setup-fedramp:stable

W środowiskach FedRAMP z proxy HTTPS:

docker run -p 8080:8080 --rm -it -e GLOBALNY_AGENT_HTTPS_PROXY=http://SERWER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Gdy kontener jest uruchomiony, zobaczysz komunikat „Serwer ekspresowy nasłuchuje na porcie 8080”.

6

Narzędzie konfiguracyjne nie obsługuje łączenia się z hostem localhost za pośrednictwem serwera http://localhost:8080. Użyj, http://127.0.0.1:8080 aby połączyć się z localhost.

Użyj przeglądarki internetowej, aby przejść do hosta lokalnego http://127.0.0.1:8080i po wyświetleniu monitu wprowadź nazwę użytkownika administratora dla Partner Hub.

Narzędzie używa tego pierwszego wpisu nazwy użytkownika w celu ustawienia środowiska dla tego konta. Następnie narzędzie wyświetla standardowy monit o zalogowanie.

7

Po wyświetleniu monitu wprowadź poświadczenia logowania administratora Partner Hub, a następnie kliknij przycisk Zaloguj , aby zezwolić na dostęp do wymaganych usług hybrydowego zabezpieczenia danych.

8

Na stronie Przegląd narzędzia konfiguracji kliknij przycisk Rozpocznij.

9

Na stronie Import ISO dostępne są następujące opcje:

Nie — jeśli tworzysz pierwszy węzeł HDS, nie masz pliku ISO do przesłania.
Tak — jeśli węzły HDS zostały już utworzone, należy wybrać plik ISO w oknie przeglądarki i przesłać go.

10

Sprawdź, czy certyfikat X.509 spełnia wymagania określone w wymaganiach certyfikatu X.509.

Jeśli nigdy wcześniej nie przesłano certyfikatu, prześlij certyfikat X.509, wprowadź hasło i kliknij przycisk Kontynuuj.
Jeśli certyfikat jest OK, kliknij przycisk Kontynuuj.
Jeśli certyfikat wygasł lub chcesz go zastąpić, wybierz opcję Nie , aby kontynuować używanie łańcucha certyfikatów HDS i klucza prywatnego z poprzedniego certyfikatu ISO?. Prześlij nowy certyfikat X.509, wprowadź hasło i kliknij przycisk Kontynuuj.

11

Wprowadź adres bazy danych i konto usługi HDS, aby uzyskać dostęp do magazynu danych klucza:

Wybierz opcję Typ bazy danych (PostgreSQL lub Microsoft SQL Server).

Po wybraniu opcji Microsoft SQL Server zostanie wyświetlone pole Typ uwierzytelniania.
(Tylko Microsoft SQL Server ) Wybierz typ uwierzytelniania:
- Uwierzytelnianie podstawowe: W polu Nazwa użytkownika należy podać lokalną nazwę konta serwera SQL.
- Uwierzytelnianie w systemie Windows: Wymagane jest konto dla systemu Windows w formacie użytkownik@DOMENA w Nazwa użytkownika pole.
Wprowadź adres serwera bazy danych w formacie : lub :.

Przykład:
dbhost.example.org:1433 lub 198.51.100.17:1433

Do uwierzytelniania podstawowego można użyć adresu IP, jeśli węzły nie mogą używać systemu DNS do rozpoznania nazwy hosta.

Jeśli używasz uwierzytelniania w systemie Windows, musisz wprowadzić w pełni kwalifikowaną nazwę domeny w formacie dbhost.example.org:1433
Wprowadź nazwę bazy danych.
Wprowadź nazwę użytkownika i hasło użytkownika ze wszystkimi uprawnieniami w bazie danych do przechowywania kluczy.

12

Wybierz tryb połączenia bazy danych TLS:

Tryb	Opis
Preferuj protokół TLS (opcja domyślna)	Węzły HDS nie wymagają protokołu TLS do łączenia się z serwerem bazy danych. Po włączeniu protokołu TLS na serwerze bazy danych węzły spróbują nawiązać szyfrowane połączenie.
Wymagaj tlS	Węzły HDS łączą się tylko wtedy, gdy serwer bazy danych może negocjować protokół TLS.
Wymagaj protokołu TLS i weryfikuj sygnatariusza certyfikatu	Ten tryb nie ma zastosowania do baz danych SQL Server. Węzły HDS łączą się tylko wtedy, gdy serwer bazy danych może negocjować protokół TLS. Po nawiązaniu połączenia TLS węzeł porównuje podpisującego certyfikat z serwera bazy danych z urzędem certyfikacji w certyfikacie głównym bazy danych. Jeśli nie są zgodne, węzeł przerywa połączenie. Użyj kontrolki certyfikatu głównego bazy danych poniżej listy rozwijanej, aby przekazać certyfikat główny dla tej opcji.
Wymagaj protokołu TLS i weryfikuj sygnatariusza certyfikatu oraz nazwę hosta	Węzły HDS łączą się tylko wtedy, gdy serwer bazy danych może negocjować protokół TLS. Po nawiązaniu połączenia TLS węzeł porównuje podpisującego certyfikat z serwera bazy danych z urzędem certyfikacji w certyfikacie głównym bazy danych. Jeśli nie są zgodne, węzeł przerywa połączenie. Węzły sprawdzają również, czy nazwa hosta w certyfikacie serwera jest zgodna z nazwą hosta w polu Host i port bazy danych . Nazwy muszą być dokładnie zgodne, w przeciwnym razie węzeł przerywa połączenie. Użyj kontrolki certyfikatu głównego bazy danych poniżej listy rozwijanej, aby przekazać certyfikat główny dla tej opcji.

Po przesłaniu certyfikatu głównego (jeśli jest to konieczne) i kliknięciu przycisku Kontynuuj, narzędzie konfiguracyjne HDS testuje połączenie TLS z serwerem bazy danych. Narzędzie weryfikuje również sygnatariusza certyfikatu i nazwę hosta, jeśli ma to zastosowanie. Jeśli test zakończy się niepowodzeniem, narzędzie wyświetli komunikat o błędzie opisujący problem. Możesz wybrać, czy zignorować błąd i kontynuować konfigurację. (Z powodu różnic w łączności węzły HDS mogą być w stanie ustanowić połączenie TLS, nawet jeśli maszyna narzędziowa do konfiguracji HDS nie może go pomyślnie przetestować).

13

Na stronie Dzienniki systemowe skonfiguruj serwer Syslogd:

Wprowadź adres URL serwera dziennika systemu.

Jeśli serwer nie jest możliwe do rozpoznania DNS z węzłów klastra HDS, użyj adresu IP w adresie URL.

Przykład:
udp://10.92.43.23:514 wskazuje na rejestrowanie do hosta Syslogd 10.92.43.23 na porcie UDP 514.
Jeśli skonfigurowano serwer do korzystania z szyfrowania TLS, zaznacz opcję Czy serwer dziennika systemu jest skonfigurowany do szyfrowania SSL?.

Po zaznaczeniu tego pola wyboru należy wprowadzić adres URL TCP, taki jak tcp://10.92.43.23:514.
Z listy rozwijanej Wybierz zakończenie zapisu dziennika systemowego wybierz odpowiednie ustawienie dla pliku ISO: Wybierz lub nowy wiersz jest używany dla graylogów i rsyslog TCP
- Bajt NULL -- \x00
- Nowy wiersz -- \n — wybierz tę opcję dla graylogów i rsyslog TCP.
Kliknij przycisk Kontynuuj.

14

(Opcjonalnie) Wartość domyślną niektórych parametrów połączenia z bazą danych można zmienić w sekcji Ustawienia zaawansowane. Ogólnie rzecz biorąc, ten parametr jest jedynym parametrem, który można zmienić:

app_datasource_connection_pool_maxRozmiar: 10

15

Kliknij przycisk Kontynuuj na ekranie Resetuj hasło do kont usług .

Okres ważności haseł do konta usługi wynosi dziewięć miesięcy. Użyj tego ekranu, gdy zbliża się wygaśnięcie haseł lub chcesz je zresetować, aby unieważnić poprzednie pliki ISO.

16

Kliknij opcję Pobierz plik ISO. Zapisz plik w miejscu, które jest łatwe do znalezienia.

17

Utwórz kopię zapasową pliku ISO w lokalnym systemie.

Zachowaj bezpieczeństwo kopii zapasowej. Ten plik zawiera główny klucz szyfrowania zawartości bazy danych. Ogranicz dostęp tylko do administratorów usługi hybrydowego zabezpieczenia danych, którzy powinni dokonać zmian w konfiguracji.

18

Aby zamknąć narzędzie konfiguracyjne, wpisz CTRL+C.

Co zrobić dalej

Utwórz kopię zapasową pliku konfiguracyjnego ISO. Potrzebujesz go, aby utworzyć więcej węzłów do odzyskania lub wprowadzić zmiany w konfiguracji. Jeśli stracisz wszystkie kopie pliku ISO, stracisz również klucz główny. Nie można odzyskać kluczy z bazy danych PostgreSQL i Microsoft SQL Server.

Nigdy nie mamy kopii tego klucza i nie możemy pomóc, jeśli go stracisz.

Zainstaluj OVA hosta HDS

Ta procedura służy do utworzenia maszyny wirtualnej z pliku OVA.

1	Użyj klienta VMware vSphere na komputerze, aby zalogować się do wirtualnego hosta ESXi.
2	Wybierz pozycję Plik > Wdróż szablon OVF.
3	W kreatorze określ lokalizację pobranego wcześniej pliku OVA, a następnie kliknij przycisk Dalej.
4	Na stronie Wybierz nazwę i folder wprowadź nazwę maszyny wirtualnej węzła (na przykład „HDS_Node_1”), wybierz lokalizację, w której może znajdować się wdrożenie węzła maszyny wirtualnej, a następnie kliknij przycisk Dalej.
5	Na stronie Wybierz zasób obliczeniowy wybierz docelowy zasób obliczeniowy, a następnie kliknij przycisk Dalej. Uruchamiane jest sprawdzenie poprawności. Po zakończeniu pojawią się szczegóły szablonu.
6	Sprawdź szczegóły szablonu, a następnie kliknij przycisk Dalej.
7	Jeśli zostaniesz poproszony o wybranie konfiguracji zasobu na stronie Konfiguracja , kliknij przycisk 4 procesora , a następnie kliknij przycisk Dalej.
8	Na stronie Wybierz miejsce do przechowywania kliknij przycisk Dalej , aby zaakceptować domyślny format dysku i zasady przechowywania VM.
9	Na stronie Wybierz sieci wybierz opcję sieci z listy pozycji, aby zapewnić żądane łączność z maszyną wirtualną.
10	Na stronie Dostosuj szablon skonfiguruj następujące ustawienia sieciowe: Nazwa hosta — wprowadź nazwę FQDN (nazwę hosta i domenę) lub nazwę hosta pojedynczego słowa dla węzła. Nie trzeba ustawiać domeny tak, aby była zgodna z domeną użytą do uzyskania certyfikatu X.509. Aby zapewnić pomyślną rejestrację w chmurze, należy używać tylko małych znaków w nazwie FQDN lub nazwie hosta ustawionej dla węzła. Kapitalizacja nie jest obecnie obsługiwana. Łączna długość nazwy FQDN nie może przekraczać 64 znaków. Adres IP — wprowadź adres IP interfejsu wewnętrznego węzła. Węzeł powinien mieć wewnętrzny adres IP i nazwę DNS. Protokół DHCP nie jest obsługiwany. Maska — wprowadź adres maski podsieci w notacji kropek. Przykład: 255.255.255.0. Brama — wprowadź adres IP bramy. Brama to węzeł sieciowy, który służy jako punkt dostępu do innej sieci. Serwery DNS — wprowadź listę serwerów DNS, które obsługują przekładanie nazw domen na liczbowe adresy IP. (Dozwolonych jest maksymalnie 4 pozycje DNS). Serwery NTP — wprowadź serwer NTP organizacji lub inny zewnętrzny serwer NTP, który może być używany w organizacji. Domyślne serwery NTP mogą nie działać w przypadku wszystkich przedsiębiorstw. Aby wprowadzić wiele serwerów NTP, można także użyć listy rozdzielonej przecinkami. Wdróż wszystkie węzły w tej samej podsieci lub sieci VLAN, aby wszystkie węzły w klastrze były dostępne od klientów w sieci do celów administracyjnych. Jeśli chcesz, możesz pominąć konfigurację ustawień sieciowych i wykonać czynności opisane w artykule Skonfiguruj maszynę wirtualną usługi hybrydowego zabezpieczenia danych , aby skonfigurować ustawienia z konsoli węzła. Opcja konfigurowania ustawień sieciowych podczas wdrażania OVA została przetestowana z ESXi 7.0. Opcja może być niedostępna we wcześniejszych wersjach.
11	Kliknij prawym przyciskiem myszy VM węzła, a następnie wybierz kolejno opcje Zasilanie > Zasilanie. Oprogramowanie hybrydowego zabezpieczenia danych jest instalowane jako gość na hoście maszyn wirtualnych. Możesz się teraz zalogować do konsoli i skonfigurować węzeł. Wskazówki dotyczące rozwiązywania problemów Może wystąpić opóźnienie o kilka minut przed pojawieniem się kontenerów węzłów. Podczas pierwszego rozruchu na konsoli pojawia się komunikat zapory mostkowej, podczas której nie można się zalogować.

Skonfiguruj VM usługi hybrydowego zabezpieczenia danych

Ta procedura umożliwia zalogowanie się po raz pierwszy w konsoli VM węzła usługi hybrydowego zabezpieczenia danych i ustawienie poświadczeń logowania. Za pomocą konsoli można również skonfigurować ustawienia sieciowe węzła, jeśli nie zostały one skonfigurowane w momencie wdrażania OVA.

1	W kliencie VMware vSphere wybierz swoją maszynę wirtualną węzła usługi hybrydowego zabezpieczenia danych i wybierz kartę Konsola . Zostanie uruchomiona maszyna wirtualna i pojawi się monit o zalogowanie. Jeśli monit o zalogowanie się nie został wyświetlony, naciśnij klawisz Enter.
2	Aby zalogować się i zmienić poświadczenia, należy użyć następującego domyślnego logowania i hasła: Logowanie: `administrator` Hasło: `cisco` Ponieważ logujesz się do maszyny wirtualnej po raz pierwszy, musisz zmienić hasło administratora.
3	Jeśli ustawienia sieciowe zostały już skonfigurowane w sekcji Zainstaluj OVA hosta HDS, pomiń pozostałą część tej procedury. W przeciwnym razie w menu głównym wybierz opcję Edytuj konfigurację .
4	Skonfiguruj statyczną konfigurację z informacjami o adresie IP, maskach, bramie i systemie DNS. Węzeł powinien mieć wewnętrzny adres IP i nazwę DNS. Protokół DHCP nie jest obsługiwany.
5	(Opcjonalnie) Zmień nazwę hosta, domenę lub serwery NTP, jeśli jest to konieczne, aby dostosować ją do zasad sieci. Nie trzeba ustawiać domeny tak, aby była zgodna z domeną użytą do uzyskania certyfikatu X.509.
6	Zapisz konfigurację sieci i uruchom ponownie maszynę wirtualną, aby zmiany zostały zastosowane.

Przesyłanie i montaż obrazu ISO w trybie HDS

Ta procedura służy do konfigurowania maszyny wirtualnej na podstawie pliku ISO utworzonego przy użyciu narzędzia konfiguracji HDS.

Przed rozpoczęciem

Ponieważ plik ISO zawiera klucz główny, powinien być on wyświetlany tylko na zasadzie „need to know”, aby uzyskać dostęp przez maszyny wirtualne usługi hybrydowego zabezpieczenia danych i wszystkich administratorów, którzy mogą potrzebować wprowadzenia zmian. Upewnij się, że tylko ci administratorzy mają dostęp do magazynu danych.

1

Prześlij plik ISO z komputera:

W lewym okienku nawigacyjnym klienta VMware vSphere kliknij serwer ESXi.
Na liście Sprzęt na karcie Konfiguracja kliknij pozycję Miejsce do przechowywania.
Na liście Magazyny danych kliknij prawym przyciskiem myszy magazyn danych dla swoich maszyn wirtualnych i kliknij opcję Przeglądaj magazyn danych.
Kliknij ikonę Prześlij pliki, a następnie kliknij pozycję Prześlij plik.
Przejdź do lokalizacji, w której pobrano plik ISO na swój komputer i kliknij opcję Otwórz.
Kliknij przycisk Tak , aby zaakceptować ostrzeżenie dotyczące operacji przesyłania/pobierania i zamknąć okno dialogowe magazynu danych.

2

Montaż pliku ISO:

W lewym okienku nawigacji klienta VMware vSphere kliknij prawym przyciskiem myszy maszynę wirtualną i kliknij opcję Edytuj ustawienia.
Kliknij OK , aby zaakceptować ostrzeżenie dotyczące opcji edycji ograniczonej.
Kliknij Dysk CD/DVD 1, wybierz opcję montażu z pliku ISO magazynu danych i przejdź do lokalizacji, w której przesłano plik ISO konfiguracji.
Sprawdź Połączono i Połącz przy włączonym zasilaniu.
Zapisz zmiany i ponownie uruchom maszynę wirtualną.

Co zrobić dalej

Jeśli wymagają tego zasady IT, możesz opcjonalnie odinstalować plik ISO, gdy wszystkie węzły przejdą zmiany konfiguracji. Szczegółowe informacje zawiera temat (Opcjonalnie) Odmontowywanie certyfikatu ISO po konfiguracji HDS .

Konfigurowanie węzła HDS do integracji z serwerem proxy

Jeśli środowisko sieciowe wymaga serwera proxy, użyj tej procedury, aby określić typ serwera proxy, który chcesz zintegrować z hybrid Data Security. Jeśli wybierzesz przezroczysty serwer proxy inspekcji lub jawny serwer proxy HTTPS, możesz użyć interfejsu węzła do przekazania i zainstalowania certyfikatu głównego. Możesz także sprawdzić połączenie proxy z poziomu interfejsu i rozwiązać wszelkie potencjalne problemy.

Przed rozpoczęciem

Zobacz Obsługa serwera proxy, aby zapoznać się z omówieniem obsługiwanych opcji serwera proxy.
Wymagania dotyczące serwera proxy

1	Wprowadź adres URL konfiguracji węzła HDS `https://[HDS Node IP or FQDN]/setup` w przeglądarce sieci Web, wprowadź poświadczenia administratora skonfigurowane dla węzła, a następnie kliknij przycisk Zaloguj.
2	Przejdź do pozycji Sklep zaufania i serwer proxy, a następnie wybierz opcję: Brak serwera proxy — opcja domyślna przed zintegrowaniem serwera proxy. Aktualizacja certyfikatu nie jest wymagana. Przezroczysty, nieweryfikujący serwer proxy — węzły nie są skonfigurowane do używania konkretnego adresu serwera proxy i nie powinny wymagać żadnych zmian, aby pracować z nieweryfikowanym serwerem proxy. Aktualizacja certyfikatu nie jest wymagana. Przezroczysty serwer proxy sprawdzający — węzły nie są skonfigurowane do używania konkretnego adresu serwera proxy. We wdrożeniu Hybrid Data Security nie są konieczne żadne zmiany konfiguracji protokołu HTTPS, jednak węzły HDS potrzebują certyfikatu głównego, aby ufać serwerowi proxy. Inspekcja serwerów proxy jest zwykle używana przez IT do egzekwowania zasad, na których można odwiedzać witryny internetowe, a które nie są dozwolone. Ten typ serwera proxy odszyfrowuje cały ruch (nawet HTTPS). Jawny serwer proxy — przy użyciu jawnego serwera proxy można wskazać klientowi (węzły HDS), którego serwera proxy ma być używany, a ta opcja obsługuje kilka typów uwierzytelniania. Po wybraniu tej opcji należy wprowadzić następujące informacje: Adres IP/FQDN serwera proxy — adres, za pomocą którego można uzyskać dostęp do maszyny proxy. Port serwera proxy — numer portu, którego serwer proxy używa do nasłuchiwania ruchu proxy. Protokół proxy Protocol — wybierz opcję http (wyświetla i steruje wszystkimi żądaniami otrzymywanymi od klienta) lub https (udostępnia kanał do serwera, a klient odbiera i sprawdza certyfikat serwera). Wybierz opcję na podstawie tego, co obsługuje Twój serwer proxy. Typ uwierzytelniania — wybierz jeden z następujących typów uwierzytelniania: Brak — dalsze uwierzytelnianie nie jest wymagane. Dostępne dla serwerów proxy HTTP lub HTTPS. Podstawowe — używane w przypadku agenta użytkownika HTTP w celu podania nazwy użytkownika i hasła podczas wykonywania żądania. Używa kodowania Base64. Dostępne dla serwerów proxy HTTP lub HTTPS. W przypadku wybrania tej opcji należy również wprowadzić nazwę użytkownika i hasło. Szyfrowanie — służy do potwierdzania konta przed wysłaniem poufnych informacji. Stosuje funkcję skrótu do nazwy użytkownika i hasła przed wysłaniem przez sieć. Dostępne tylko dla serwerów proxy HTTPS. W przypadku wybrania tej opcji należy również wprowadzić nazwę użytkownika i hasło. Wykonaj kolejne kroki, aby uzyskać przezroczysty serwer proxy inspekcji, jawny serwer proxy HTTP z uwierzytelnianiem podstawowym lub jawny serwer proxy HTTPS.
3	Kliknij przycisk Przekaż certyfikat główny lub Certyfikat jednostkikońcowej , a następnie przejdź do wybierz certyfikat główny dla serwera proxy. Certyfikat został przekazany, ale nie został jeszcze zainstalowany, ponieważ należy ponownie uruchomić węzeł, aby zainstalować certyfikat. Kliknij strzałkę cudzysłów ostrokątnych przy nazwie wystawcy certyfikatu, aby uzyskać więcej szczegółów, lub kliknij przycisk Usuń, jeśli popełnisz błąd i chcesz ponownie przesłać plik.
4	Kliknij przycisk Sprawdź połączenie z serwerem proxy, aby przetestować łączność sieciową między węzłem a serwerem proxy. Jeśli test połączenia zakończy się niepowodzeniem, zostanie wyświetlony komunikat o błędzie z przyczyną i sposobem rozwiązania problemu. Jeśli zostanie wyświetlony komunikat informujący, że zewnętrzne rozpoznawanie nazw DNS nie powiodło się, oznacza to, że węzeł nie może połączyć się z serwerem DNS. Ten warunek jest oczekiwany w wielu jawnych konfiguracjach proxy. Możesz kontynuować konfigurację, a węzeł będzie działać w trybie zablokowanej zewnętrznej rozdzielczości DNS. Jeśli uważasz, że jest to błąd, wykonaj te czynności, a następnie zobacz Wyłącz zablokowany zewnętrzny tryb rozdzielczości DNS.
5	Po przejściu testu połączenia, dla jawnego serwera proxy ustawionego tylko na https, włącz przełącznik na Kieruj wszystkie żądania https portu 443/444 z tego węzła za pośrednictwem jawnego serwera proxy. To ustawienie wymaga 15 sekund, aby zostało wprowadzone.
6	Kliknij opcję Zainstaluj wszystkie certyfikaty w magazynie zaufania (pojawia się w przypadku jawnego serwera proxy HTTPS lub przezroczystego serwera proxy inspekcji) lub Uruchom ponownie (pojawia się w przypadku jawnego serwera proxy HTTP), przeczytaj monit, a następnie kliknij przycisk Zainstaluj, jeśli wszystko jest gotowe. Węzeł uruchomi się ponownie w ciągu kilku minut.
7	Po ponownym uruchomieniu węzła zaloguj się ponownie, jeśli to konieczne, a następnie otwórz stronę Przegląd, aby sprawdzić kontrole łączności, aby upewnić się, że wszystkie są w stanie zielonym. Sprawdzanie połączenia proxy testuje tylko subdomenę webex.com. Jeśli występują problemy z łącznością, typowym problemem jest to, że niektóre domeny chmury wymienione w instrukcjach instalacji są blokowane na serwerze proxy.

Zarejestruj pierwszy węzeł w klastrze

To zadanie pobiera ogólny węzeł utworzony w oknie Skonfiguruj VM usługi hybrydowego zabezpieczenia danych, rejestruje węzeł w chmurze Webex i przekształca go w węzeł usługi hybrydowego zabezpieczenia danych.

Po zarejestrowaniu pierwszego węzła tworzony jest klaster, do którego przypisany jest węzeł. Klaster zawiera co najmniej jeden węzeł wdrożony w celu zapewnienia redundancji.

Przed rozpoczęciem

Po rozpoczęciu rejestracji węzła należy ją wykonać w ciągu 60 minut lub rozpocząć od nowa.
Upewnij się, że wszystkie blokery wyskakujące w przeglądarce są wyłączone lub zezwalasz na wyjątek dla witryny admin.webex.com.

1	Zaloguj się w https://admin.webex.com.
2	Z menu po lewej stronie ekranu wybierz pozycję Usługi.
3	W sekcji Usługi chmury znajdź kartę usługi hybrydowego zabezpieczenia danych i kliknij przycisk Konfiguruj.
4	Na otwieranej stronie kliknij pozycję Dodaj zasób.
5	W pierwszym polu karty Dodaj węzeł wprowadź nazwę klastra, do którego chcesz przypisać węzeł usługi hybrydowego zabezpieczenia danych. Zalecamy nadanie nazwy klastra na podstawie tego, gdzie znajdują się węzły klastra. Przykłady: „San Francisco”, „Nowy Jork” lub „Dallas”
6	W drugim polu wprowadź wewnętrzny adres IP lub w pełni kwalifikowaną nazwę domeny (FQDN) węzła i kliknij opcję Dodaj u dołu ekranu. Ten adres IP lub w pełni kwalifikowana nazwa domeny (FQDN) powinny być zgodne z adresem IP lub nazwą hosta i domeną użytymi w części Konfigurowanie maszyny wirtualnej usługi hybrydowego zabezpieczenia danych. Zostanie wyświetlony komunikat informujący, że możesz zarejestrować węzeł w usłudze Webex.
7	Kliknij opcję Przejdź do węzła. Po kilku chwilach nastąpi przekierowanie do testów łączności z węzłem dla usług Webex. Jeśli wszystkie testy zakończą się pomyślnie, zostanie wyświetlona strona Zezwól na dostęp do węzła usługi hybrydowego zabezpieczenia danych. Tam potwierdzasz, że chcesz przyznać swojej organizacji Webex uprawnienia do dostępu do węzła.
8	Zaznacz pole wyboru Zezwól na dostęp do węzła usługi hybrydowego zabezpieczenia danych , a następnie kliknij przycisk Kontynuuj. Konto zostało zweryfikowane, a komunikat „Rejestracja zakończona” wskazuje, że węzeł jest teraz zarejestrowany w chmurze Webex.
9	Kliknij łącze lub zamknij kartę, aby wrócić do strony hybrydowego zabezpieczenia danych w Partner Hub. Na stronie Hybrydowe zabezpieczenia danych na karcie Zasoby jest wyświetlany nowy klaster zawierający zarejestrowany węzeł. Węzeł automatycznie pobierze najnowsze oprogramowanie z chmury.

Utwórz i zarejestruj więcej węzłów

Aby dodać dodatkowe węzły do klastra, po prostu utwórz dodatkowe maszyny wirtualne i zamontuj ten sam plik ISO konfiguracji, a następnie zarejestruj węzeł. Zalecamy posiadanie co najmniej 3 węzłów.

Przed rozpoczęciem

Po rozpoczęciu rejestracji węzła należy ją wykonać w ciągu 60 minut lub rozpocząć od nowa.
Upewnij się, że wszystkie blokery wyskakujące w przeglądarce są wyłączone lub zezwalasz na wyjątek dla witryny admin.webex.com.

1	Utwórz nową maszynę wirtualną z OVA, powtarzając kroki w Zainstaluj OVA hosta HDS.
2	Skonfiguruj początkową konfigurację na nowej maszynie wirtualnej, powtarzając kroki w artykule Konfigurowanie maszyny wirtualnej usługi hybrydowego zabezpieczenia danych.
3	Na nowej maszynie wirtualnej powtórz czynności opisane w artykule Prześlij i zamontuj certyfikat ISO konfiguracji HDS.
4	Jeśli konfigurujesz serwer proxy dla swojego wdrożenia, powtórz kroki w artykule Konfigurowanie węzła HDS dla integracji serwera proxy w zależności od potrzeb dla nowego węzła.
5	Zarejestruj węzeł. W aplikacji https://admin.webex.com wybierz pozycję Usługi z menu po lewej stronie ekranu. W sekcji Usługi chmury znajdź kartę usługi hybrydowego zabezpieczenia danych i kliknij opcję Wyświetl wszystko. Zastanie wyświetlona strona zasobów hybrydowego zabezpieczenia danych. Nowo utworzony klaster pojawi się na stronie Zasoby . Kliknij klaster, aby wyświetlić węzły przypisane do klastra. Kliknij Dodaj węzeł po prawej stronie ekranu. Wprowadź wewnętrzny adres IP lub w pełni kwalifikowaną nazwę domeny (FQDN) węzła i kliknij przycisk Dodaj. Zostanie otwarta strona z komunikatem informującym, że możesz zarejestrować węzeł w chmurze Webex. Po kilku chwilach nastąpi przekierowanie do testów łączności z węzłem dla usług Webex. Jeśli wszystkie testy zakończą się pomyślnie, zostanie wyświetlona strona Zezwól na dostęp do węzła usługi hybrydowego zabezpieczenia danych. Potwierdzasz tam, że chcesz przyznać swojej organizacji uprawnienia do dostępu do węzła. Zaznacz pole wyboru Zezwól na dostęp do węzła usługi hybrydowego zabezpieczenia danych , a następnie kliknij przycisk Kontynuuj. Konto zostało zweryfikowane, a komunikat „Rejestracja zakończona” wskazuje, że węzeł jest teraz zarejestrowany w chmurze Webex. Kliknij łącze lub zamknij kartę, aby wrócić do strony hybrydowego zabezpieczenia danych w Partner Hub. Komunikat wyskakujący o dodanym węźle pojawia się również w dolnej części ekranu w Partner Hub. Twój węzeł jest zarejestrowany.

Zarządzanie organizacjami dzierżaw w usłudze hybrydowego zabezpieczenia danych dla wielu dzierżaw

Aktywuj usługę HDS dla wielu dzierżaw w Partner Hub

To zadanie gwarantuje, że wszyscy użytkownicy w organizacjach klientów mogą zacząć korzystać z usług HDS dla lokalnych kluczy szyfrowania i innych usług zabezpieczeń.

Przed rozpoczęciem

Upewnij się, że konfiguracja klastra HDS dla wielu dzierżaw została zakończona z wymaganą liczbą węzłów.

1	Zaloguj się w https://admin.webex.com.
2	Z menu po lewej stronie ekranu wybierz pozycję Usługi.
3	W sekcji Usługi chmury znajdź usługę hybrydowego zabezpieczenia danych i kliknij opcję Edytuj ustawienia.
4	Kliknij opcję Aktywuj tryb HDS na karcie Stan trybu HDS .

Dodaj organizacje dzierżawców w Partner Hub

W tym zadaniu przypisujesz organizacje klientów do swojego klastra hybrydowego zabezpieczenia danych.

1	Zaloguj się w https://admin.webex.com.
2	Z menu po lewej stronie ekranu wybierz pozycję Usługi.
3	W sekcji Usługi chmury znajdź usługę hybrydowego zabezpieczenia danych i kliknij opcję Wyświetl wszystko.
4	Kliknij klaster, do którego chcesz przypisać klienta.
5	Przejdź do karty Przypisani klienci .
6	Kliknij opcję Dodaj klientów.
7	Wybierz z menu rozwijanego klienta, którego chcesz dodać.
8	Kliknij Dodaj, klient zostanie dodany do klastra.
9	Powtórz kroki od 6 do 8, aby dodać wielu klientów do klastra.
10	Po dodaniu klientów kliknij przycisk Gotowe w dolnej części ekranu.

Co zrobić dalej

Uruchom narzędzie do konfiguracji usługi HDS zgodnie z opisem w części Utwórz klucze główne klienta (CMK) za pomocą narzędzia do konfiguracji usługi HDS , aby dokończyć proces konfiguracji.

Tworzenie kluczy głównych klientów (CMK) za pomocą narzędzia konfiguracji HDS

Przed rozpoczęciem

Przypisz klientów do odpowiedniego klastra zgodnie z opisem w sekcji Dodaj organizacje dzierżawy w Partner Hub. Uruchom narzędzie Konfiguracja usług HDS, aby zakończyć proces konfiguracji nowo dodanych organizacji klientów.

Narzędzie HDS Setup działa jako kontener platformy Docker na komputerze lokalnym. Aby uzyskać do niego dostęp, uruchom Docker na tym komputerze. Proces konfiguracji wymaga poświadczeń konta w Partner Hub z pełnymi uprawnieniami administratora dla Twojej organizacji.

Jeśli narzędzie konfiguracji HDS działa za serwerem proxy w środowisku, podaj ustawienia serwera proxy (serwer, port, poświadczenia) przez zmienne środowiskowe Docker podczas podnoszenia kontenera Docker w kroku 5. Ta tabela zawiera kilka możliwych zmiennych środowiskowych:

Opis	Zmienna
Serwer proxy HTTP bez uwierzytelniania	`GLOBALNY_AGENT_HTTP_PROXY=http://SERWER_IP:PORT`
Serwer proxy HTTPS bez uwierzytelniania	`GLOBALNY_AGENT_HTTPS_PROXY=http://SERWER_IP:PORT`
Serwer proxy HTTP z uwierzytelnianiem	`GLOBALNY_AGENT_HTTP_PROXY=http://NAZWA_UŻYTKOWNIKA:HASŁO@SERWER_IP:PORT`
Serwer proxy HTTPS z uwierzytelnianiem	`GLOBALNY_AGENT_HTTPS_PROXY=http://NAZWA_UŻYTKOWNIKA:HASŁO@SERWER_IP:PORT`

Wygenerowany plik ISO konfiguracji zawiera klucz główny do szyfrowania bazy danych PostgreSQL lub Microsoft SQL Server. Najnowszą kopię tego pliku należy zawsze wprowadzać zmiany w konfiguracji, takie jak:
- Poświadczenia bazy danych
- Aktualizacje certyfikatu
- Zmiany w zasadach autoryzacji
Jeśli planujesz szyfrować połączenia z bazami danych, skonfiguruj wdrożenie PostgreSQL lub SQL Server dla protokołu TLS.

Proces konfiguracji usługi hybrydowego zabezpieczenia danych tworzy plik ISO. Następnie za pomocą interfejsu ISO można skonfigurować hosta usługi hybrydowego zabezpieczenia danych.

1	W wierszu poleceń komputera wprowadź polecenie odpowiednie dla swojego środowiska: W zwykłych środowiskach: `docker rmi ciscocitg/hds-konfiguracja:stabilna` W środowiskach FedRAMP: `docker rmi ciscocitg/hds-setup-fedramp:stable` Ten krok czyści poprzednie obrazy narzędzia konfiguracji HDS. Jeśli nie ma poprzednich obrazów, zwraca błąd, który można zignorować.
2	Aby zalogować się do rejestru obrazów platformy Docker, wprowadź następujące informacje: `docker login -u hdscustomersro`
3	Po wyświetleniu monitu o hasło wprowadź ten skrót: `dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo`
4	Pobierz najnowszy stabilny obraz dla swojego środowiska: W zwykłych środowiskach: `docker ciągnąć ciscocitg / hds-setup:stable` W środowiskach FedRAMP: `docker ciągnąć ciscocitg/hds-setup-fedramp:stable`
5	Po zakończeniu ściągania wprowadź odpowiednie polecenie dla swojego środowiska: W zwykłych środowiskach bez proxy: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable` W zwykłych środowiskach z proxy HTTP: `docker run -p 8080:8080 --rm -it -e GLOBALNY_AGENT_HTTP_PROXY=http://SERWER_IP:PORT ciscocitg/hds-setup:stable` W zwykłych środowiskach z serwerem proxy HTTPS: `docker run -p 8080:8080 --rm -it -e GLOBALNY_AGENT_HTTPS_PROXY=http://SERWER_IP:PORT ciscocitg/hds-setup:stable` W środowiskach FedRAMP bez proxy: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable` W środowiskach FedRAMP z proxy HTTP: `docker run -p 8080:8080 --rm -it -e GLOBALNY_AGENT_HTTP_PROXY=http://SERWER_IP:PORT ciscocitg/hds-setup-fedramp:stable` W środowiskach FedRAMP z proxy HTTPS: `docker run -p 8080:8080 --rm -it -e GLOBALNY_AGENT_HTTPS_PROXY=http://SERWER_IP:PORT ciscocitg/hds-setup-fedramp:stable` Gdy kontener jest uruchomiony, zobaczysz komunikat „Serwer ekspresowy nasłuchuje na porcie 8080”.
6	Narzędzie konfiguracyjne nie obsługuje łączenia się z hostem localhost za pośrednictwem serwera http://localhost:8080. Użyj, http://127.0.0.1:8080 aby połączyć się z localhost. Użyj przeglądarki internetowej, aby przejść do hosta lokalnego `http://127.0.0.1:8080`i po wyświetleniu monitu wprowadź nazwę użytkownika administratora dla Partner Hub. Narzędzie używa tego pierwszego wpisu nazwy użytkownika w celu ustawienia środowiska dla tego konta. Następnie narzędzie wyświetla standardowy monit o zalogowanie.
7	Po wyświetleniu monitu wprowadź poświadczenia logowania administratora Partner Hub, a następnie kliknij przycisk Zaloguj , aby zezwolić na dostęp do wymaganych usług hybrydowego zabezpieczenia danych.
8	Na stronie Przegląd narzędzia konfiguracji kliknij przycisk Rozpocznij.
9	Na stronie Import ISO kliknij przycisk Tak.
10	Wybierz plik ISO w przeglądarce i prześlij go. Aby wykonać zarządzanie CMK, zapewnij połączenie z bazą danych.
11	Przejdź do karty Zarządzanie CMK dzierżawy , na której znajdziesz następujące trzy sposoby zarządzania CMK dzierżawy. Utwórz CMK dla wszystkich organizacji lub Utwórz CMK — kliknij ten przycisk na banerze u góry ekranu, aby utworzyć CMK dla wszystkich nowo dodanych organizacji. Kliknij przycisk Zarządzaj CMK po prawej stronie ekranu i kliknij przycisk Utwórz CMK , aby utworzyć CMK dla wszystkich nowo dodanych organizacji. Kliknij … w pobliżu oczekującego na status określonej organizacji w tabeli zarządzania CMK i kliknij przycisk Utwórz CMK , aby utworzyć CMK dla tej organizacji.
12	Po pomyślnym utworzeniu CMK stan w tabeli zostanie zmieniony z oczekującego zarządzania CMK na zarządzane CMK.
13	Jeśli tworzenie CMK nie powiedzie się, zostanie wyświetlony błąd.

Usuń organizacje dzierżaw

Przed rozpoczęciem

Po usunięciu użytkownicy organizacji klientów nie będą mogli korzystać z usługi HDS dla potrzeb szyfrowania i utracą wszystkie istniejące obszary. Przed usunięciem organizacji klientów skontaktuj się z partnerem lub opiekunem klienta Cisco.

1	Zaloguj się w https://admin.webex.com.
2	Z menu po lewej stronie ekranu wybierz pozycję Usługi.
3	W sekcji Usługi chmury znajdź usługę hybrydowego zabezpieczenia danych i kliknij opcję Wyświetl wszystko.
4	Na karcie Zasoby kliknij klaster, z którego chcesz usunąć organizacje klientów.
5	Na stronie, która się otworzy, kliknij pozycję Przypisani klienci.
6	Z wyświetlonej listy organizacji klientów kliknij ... po prawej stronie organizacji klienta, którą chcesz usunąć, i kliknij pozycję Usuń z klastra.

Co zrobić dalej

Zakończ proces usuwania, odwołując kody CMK organizacji klientów zgodnie z opisem w części Unieważnij kody CMK dzierżaw usuniętych z HDS.

Unieważnij CMK dzierżaw usuniętych z HDS.

Przed rozpoczęciem

Usuń klientów z odpowiedniego klastra, jak opisano w części Usuń organizacje dzierżawy. Uruchom narzędzie Konfiguracja usług HDS, aby zakończyć proces usuwania organizacji klientów, które zostały usunięte.

Narzędzie HDS Setup działa jako kontener platformy Docker na komputerze lokalnym. Aby uzyskać do niego dostęp, uruchom Docker na tym komputerze. Proces konfiguracji wymaga poświadczeń konta w Partner Hub z pełnymi uprawnieniami administratora dla Twojej organizacji.

Jeśli narzędzie konfiguracji HDS działa za serwerem proxy w środowisku, podaj ustawienia serwera proxy (serwer, port, poświadczenia) przez zmienne środowiskowe Docker podczas podnoszenia kontenera Docker w kroku 5. Ta tabela zawiera kilka możliwych zmiennych środowiskowych:

Opis	Zmienna
Serwer proxy HTTP bez uwierzytelniania	`GLOBALNY_AGENT_HTTP_PROXY=http://SERWER_IP:PORT`
Serwer proxy HTTPS bez uwierzytelniania	`GLOBALNY_AGENT_HTTPS_PROXY=http://SERWER_IP:PORT`
Serwer proxy HTTP z uwierzytelnianiem	`GLOBALNY_AGENT_HTTP_PROXY=http://NAZWA_UŻYTKOWNIKA:HASŁO@SERWER_IP:PORT`
Serwer proxy HTTPS z uwierzytelnianiem	`GLOBALNY_AGENT_HTTPS_PROXY=http://NAZWA_UŻYTKOWNIKA:HASŁO@SERWER_IP:PORT`

Wygenerowany plik ISO konfiguracji zawiera klucz główny do szyfrowania bazy danych PostgreSQL lub Microsoft SQL Server. Najnowszą kopię tego pliku należy zawsze wprowadzać zmiany w konfiguracji, takie jak:
- Poświadczenia bazy danych
- Aktualizacje certyfikatu
- Zmiany w zasadach autoryzacji
Jeśli planujesz szyfrować połączenia z bazami danych, skonfiguruj wdrożenie PostgreSQL lub SQL Server dla protokołu TLS.

Proces konfiguracji usługi hybrydowego zabezpieczenia danych tworzy plik ISO. Następnie za pomocą interfejsu ISO można skonfigurować hosta usługi hybrydowego zabezpieczenia danych.

1	W wierszu poleceń komputera wprowadź polecenie odpowiednie dla swojego środowiska: W zwykłych środowiskach: `docker rmi ciscocitg/hds-konfiguracja:stabilna` W środowiskach FedRAMP: `docker rmi ciscocitg/hds-setup-fedramp:stable` Ten krok czyści poprzednie obrazy narzędzia konfiguracji HDS. Jeśli nie ma poprzednich obrazów, zwraca błąd, który można zignorować.
2	Aby zalogować się do rejestru obrazów platformy Docker, wprowadź następujące informacje: `docker login -u hdscustomersro`
3	Po wyświetleniu monitu o hasło wprowadź ten skrót: `dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo`
4	Pobierz najnowszy stabilny obraz dla swojego środowiska: W zwykłych środowiskach: `docker ciągnąć ciscocitg / hds-setup:stable` W środowiskach FedRAMP: `docker ciągnąć ciscocitg/hds-setup-fedramp:stable`
5	Po zakończeniu ściągania wprowadź odpowiednie polecenie dla swojego środowiska: W zwykłych środowiskach bez proxy: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable` W zwykłych środowiskach z proxy HTTP: `docker run -p 8080:8080 --rm -it -e GLOBALNY_AGENT_HTTP_PROXY=http://SERWER_IP:PORT ciscocitg/hds-setup:stable` W zwykłych środowiskach z serwerem proxy HTTPS: `docker run -p 8080:8080 --rm -it -e GLOBALNY_AGENT_HTTPS_PROXY=http://SERWER_IP:PORT ciscocitg/hds-setup:stable` W środowiskach FedRAMP bez proxy: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable` W środowiskach FedRAMP z proxy HTTP: `docker run -p 8080:8080 --rm -it -e GLOBALNY_AGENT_HTTP_PROXY=http://SERWER_IP:PORT ciscocitg/hds-setup-fedramp:stable` W środowiskach FedRAMP z proxy HTTPS: `docker run -p 8080:8080 --rm -it -e GLOBALNY_AGENT_HTTPS_PROXY=http://SERWER_IP:PORT ciscocitg/hds-setup-fedramp:stable` Gdy kontener jest uruchomiony, zobaczysz komunikat „Serwer ekspresowy nasłuchuje na porcie 8080”.
6	Narzędzie konfiguracyjne nie obsługuje łączenia się z hostem localhost za pośrednictwem serwera http://localhost:8080. Użyj, http://127.0.0.1:8080 aby połączyć się z localhost. Użyj przeglądarki internetowej, aby przejść do hosta lokalnego `http://127.0.0.1:8080`i po wyświetleniu monitu wprowadź nazwę użytkownika administratora dla Partner Hub. Narzędzie używa tego pierwszego wpisu nazwy użytkownika w celu ustawienia środowiska dla tego konta. Następnie narzędzie wyświetla standardowy monit o zalogowanie.
7	Po wyświetleniu monitu wprowadź poświadczenia logowania administratora Partner Hub, a następnie kliknij przycisk Zaloguj , aby zezwolić na dostęp do wymaganych usług hybrydowego zabezpieczenia danych.
8	Na stronie Przegląd narzędzia konfiguracji kliknij przycisk Rozpocznij.
9	Na stronie Import ISO kliknij przycisk Tak.
10	Wybierz plik ISO w przeglądarce i prześlij go.
11	Przejdź do karty Zarządzanie CMK dzierżawy , na której znajdziesz następujące trzy sposoby zarządzania CMK dzierżawy. Unieważnij CMK dla wszystkich organizacji lub Unieważnij CMK — kliknij ten przycisk na banerze u góry ekranu, aby unieważnić CMK wszystkich organizacji, które zostały usunięte. Kliknij przycisk Zarządzaj CMK po prawej stronie ekranu i kliknij przycisk Unieważnij CMK , aby unieważnić CMK wszystkich organizacji, które zostały usunięte. Kliknij w pobliżu stanu CMK, aby unieważnić konkretną organizację, a następnie kliknij przycisk Unieważnij CMK , aby unieważnić CMK dla danej organizacji.
12	Po pomyślnym odwołaniu CMK organizacja klienta nie będzie już widoczna w tabeli.
13	Jeśli unieważnienie CMK nie powiedzie się, zostanie wyświetlony błąd.

Przetestuj swoje wdrożenie usługi hybrydowego zabezpieczenia danych

Ta procedura służy do testowania scenariuszy szyfrowania usługi hybrydowego zabezpieczenia danych dla wielu dzierżaw.

Przed rozpoczęciem

Skonfiguruj wdrożenie usługi hybrydowego zabezpieczenia danych dla wielu dzierżawców.
Upewnij się, że masz dostęp do dziennika systemowego, aby sprawdzić, czy żądania kluczy są przekazywane do wdrożenia hybrydowego zabezpieczenia danych z wieloma dzierżawcami.

1

Twórca obszaru ustawia klawisze dla danego obszaru. Zaloguj się do aplikacji Webex jako jeden z użytkowników organizacji klienta, a następnie utwórz obszar.

Po dezaktywacji wdrożenia usługi hybrydowego zabezpieczenia danych treści w obszarach utworzonych przez użytkowników nie będą już dostępne po zastąpieniu kopii kluczy szyfrowania zapisanych w pamięci podręcznej klienta.

2

Wysyłaj wiadomości do nowego obszaru.

3

Sprawdź dane wyjściowe dziennika systemu, aby sprawdzić, czy żądania kluczy są przekazywane do wdrożenia usługi hybrydowego zabezpieczenia danych.

Aby sprawdzić, czy użytkownik najpierw ustanawia bezpieczny kanał do serwera KMS, odfiltruj w interfejsie kms.data.method=create i kms.data.type=EFEMERAL_KEY_COLLECTION:

Należy znaleźć wpis taki jak następujący (identyfikatory skrócone dla czytelności):

2020-07-21 17:35:34.562 (+0000) INFORMACJE KMS [pool-14-thread-1] — [KMS:REQUEST] odebrano, identyfikator urządzenia: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EFEMERAL_KEY_COLLECTION, kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

Aby sprawdzić, czy użytkownik żąda istniejącego klucza z serwera KMS, odfiltruj dane w interfejsie kms.data.method=retrieve i kms.data.type=KEY:

Znajdziesz tam następujące pozycje:

2020-07-21 17:44:19.889 (+0000) INFORMACJE KMS [pool-14-thread-31] — [KMS:REQUEST] odebrano, identyfikator urządzenia: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

Aby sprawdzić użytkownika z prośbą o utworzenie nowego klucza KMS, odfiltruj według ustawień kms.data.method=create i kms.data.type=KEY_COLLECTION:

Znajdziesz tam następujące pozycje:

2020-07-21 17:44:21.975 (+0000) INFORMACJE KMS [pool-14-thread-33] - [KMS:REQUEST] odebrano, identyfikator urządzenia: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

Aby sprawdzić, czy użytkownik z prośbą o utworzenie nowego obiektu zasobów KMS (KRO) podczas tworzenia obszaru lub innego chronionego zasobu, odfiltruj według ustawień kms.data.method=create i kms.data.type=RESOURCE_COLLECTION:

Znajdziesz tam następujące pozycje:

2020-07-21 17:44:22.808 (+0000) INFORMACJE KMS [pool-15-thread-1] — [KMS:REQUEST] odebrano, identyfikator urządzenia: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

Monitoruj stan hybrydowego zabezpieczenia danych

Wskaźnik stanu w Partner Hub pokazuje, czy wszystko działa dobrze z wdrożeniem hybrydowego zabezpieczenia danych dla wielu dzierżawców. Aby uzyskać bardziej aktywne alerty, zarejestruj się w celu otrzymywania powiadomień e-mail. Będziesz otrzymywać powiadomienia w przypadku alarmów dotyczących usługi lub uaktualnień oprogramowania.

1	W Partner Hub wybierz pozycję Usługi z menu po lewej stronie ekranu.
2	W sekcji Usługi chmury znajdź usługę hybrydowego zabezpieczenia danych i kliknij opcję Edytuj ustawienia. Zastanie wyświetlona strona ustawień usługi hybrydowego zabezpieczenia danych.
3	W sekcji Powiadomienia e-mail wpisz co najmniej jeden adres e-mail oddzielony przecinkami i naciśnij klawisz Enter.

Zarządzaj wdrożeniem urządzeń HDS

Zarządzaj wdrożeniem usług HDS

Do zarządzania wdrożeniem usługi hybrydowego zabezpieczenia danych służą opisane w tym miejscu zadania.

Ustaw harmonogram uaktualniania klastra

Aktualizacje oprogramowania usługi hybrydowego zabezpieczenia danych są wykonywane automatycznie na poziomie klastra, co zapewnia, że na wszystkich węzłach zawsze działa ta sama wersja oprogramowania. Uaktualnienia są wykonywane zgodnie z harmonogramem uaktualniania klastra. Po udostępnieniu uaktualnienia oprogramowania masz możliwość ręcznego uaktualnienia klastra przed zaplanowaną godziną uaktualnienia. Możesz ustawić określony harmonogram uaktualniania lub użyć domyślnego harmonogramu aktualizacji 3:00 czasu AM Daily, Stany Zjednoczone: Ameryka/Los Angeles. W razie potrzeby możesz także zdecydować się na odroczenie nadchodzącego uaktualnienia.

Aby ustawić harmonogram uaktualniania:

1	Zaloguj się do Centrum partnerów.
2	Z menu po lewej stronie ekranu wybierz pozycję Usługi.
3	W sekcji Usługi chmury znajdź usługę hybrydowego zabezpieczenia danych i kliknij opcję Skonfiguruj
4	Na stronie Zasoby hybrydowego zabezpieczenia danych wybierz klaster.
5	Kliknij kartę Ustawienia klastra .
6	Na stronie Ustawienia klastra w obszarze Harmonogram uaktualniania wybierz strefę czasową i strefę czasową harmonogramu uaktualniania. Uwaga: W strefie czasowej wyświetlana jest kolejna dostępna data i godzina uaktualnienia. W razie potrzeby można odroczyć uaktualnienie na następny dzień, klikając opcję Odłóż o 24 godziny.

Zmień konfigurację węzła

Czasami może być konieczna zmiana konfiguracji węzła Hybrid Data Security z takiego powodu, jak:

Zmiana certyfikatów x.509 z powodu wygaśnięcia lub z innych powodów.

Nie obsługujemy zmiany nazwy domeny CN certyfikatu. Domena musi być zgodna z oryginalną domeną użytą do rejestracji klastra.
Aktualizacja ustawień bazy danych w celu zmiany na replikę bazy danych PostgreSQL lub Microsoft SQL Server.

Nie obsługujemy migracji danych z PostgreSQL do Microsoft SQL Server lub odwrotnie. Aby przełączyć środowisko bazy danych, rozpocznij nowe wdrożenie Hybrid Data Security.
Tworzenie nowej konfiguracji w celu przygotowania nowego centrum danych.

Ponadto ze względów bezpieczeństwa usługa Hybrid Data Security używa haseł do kont usług, które mają dziewięciomiesięczny okres użytkowania. Gdy narzędzie HdS Setup wygeneruje te hasła, należy je wdrożyć w każdym z węzłów HDS w pliku konfiguracyjnym ISO. Gdy hasła Twojej organizacji zbliżają się do wygaśnięcia, otrzymasz powiadomienie od zespołu Webex o zresetowaniu hasła do konta komputera. (Wiadomość e-mail zawiera tekst „Użyj interfejsu API konta komputera, aby zaktualizować hasło”). Jeśli Twoje hasła jeszcze nie wygasły, narzędzie oferuje dwie opcje:

Resetowanie programowe — stare i nowe hasła działają przez maksymalnie 10 dni. Wykorzystaj ten okres, aby stopniowo zastępować plik ISO w węzłach.
Zresetuj całkowicie — stare hasła natychmiast przestaną działać.

Jeśli hasła wygasną bez resetowania, ma to wpływ na usługę HDS, wymagając natychmiastowego twardego resetu i wymiany pliku ISO na wszystkich węzłach.

Użyj tej procedury, aby wygenerować nowy konfiguracyjny plik ISO i zastosować go do klastra.

Przed rozpoczęciem

Narzędzie HDS Setup działa jako kontener platformy Docker na komputerze lokalnym. Aby uzyskać do niego dostęp, uruchom Docker na tym komputerze. Proces konfiguracji wymaga poświadczeń konta w Partner Hub z pełnymi uprawnieniami administratora partnera.

Jeśli narzędzie konfiguracji HDS działa za serwerem proxy w środowisku, podaj ustawienia serwera proxy (serwer, port, poświadczenia) przez zmienne środowiskowe Docker podczas wprowadzania kontenera Docker w 1.e. Ta tabela zawiera kilka możliwych zmiennych środowiskowych:

Opis	Zmienna
Serwer proxy HTTP bez uwierzytelniania	`GLOBALNY_AGENT_HTTP_PROXY=http://SERWER_IP:PORT`
Serwer proxy HTTPS bez uwierzytelniania	`GLOBALNY_AGENT_HTTPS_PROXY=http://SERWER_IP:PORT`
Serwer proxy HTTP z uwierzytelnianiem	`GLOBALNY_AGENT_HTTP_PROXY=http://NAZWA_UŻYTKOWNIKA:HASŁO@SERWER_IP:PORT`
Serwer proxy HTTPS z uwierzytelnianiem	`GLOBALNY_AGENT_HTTPS_PROXY=http://NAZWA_UŻYTKOWNIKA:HASŁO@SERWER_IP:PORT`

Do wygenerowania nowej konfiguracji potrzebna jest kopia bieżącego konfiguracyjnego pliku ISO. ISO zawiera klucz główny szyfrujący bazę danych PostgreSQL lub Microsoft SQL Server. Plik ISO jest potrzebny podczas wprowadzania zmian w konfiguracji, w tym poświadczeń bazy danych, aktualizacji certyfikatów lub zmian zasad autoryzacji.

1	Korzystając z platformy Docker na komputerze lokalnym, uruchom narzędzie HDS Setup Tool. W wierszu poleceń komputera wprowadź polecenie odpowiednie dla swojego środowiska: W zwykłych środowiskach: `docker rmi ciscocitg/hds-konfiguracja:stabilna` W środowiskach FedRAMP: `docker rmi ciscocitg/hds-setup-fedramp:stable` Ten krok czyści poprzednie obrazy narzędzia konfiguracji HDS. Jeśli nie ma poprzednich obrazów, zwraca błąd, który można zignorować. Aby zalogować się do rejestru obrazów platformy Docker, wprowadź następujące informacje: `docker login -u hdscustomersro` Po wyświetleniu monitu o hasło wprowadź ten skrót: `dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo` Pobierz najnowszy stabilny obraz dla swojego środowiska: W zwykłych środowiskach: `docker ciągnąć ciscocitg / hds-setup:stable` W środowiskach FedRAMP: `docker ciągnąć ciscocitg/hds-setup-fedramp:stable` Upewnij się, że pobierasz najnowsze narzędzie instalacyjne dla tej procedury. Wersje narzędzia utworzone przed 22 lutego 2018 r. nie mają ekranów resetowania hasła. Po zakończeniu ściągania wprowadź odpowiednie polecenie dla swojego środowiska: W zwykłych środowiskach bez proxy: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable` W zwykłych środowiskach z proxy HTTP: `docker run -p 8080:8080 --rm -it -e GLOBALNY_AGENT_HTTP_PROXY=http://SERWER_IP:PORT ciscocitg/hds-setup:stable` W zwykłych środowiskach z HTTPSproxy: `docker run -p 8080:8080 --rm -it -e GLOBALNY_AGENT_HTTPS_PROXY=http://SERWER_IP:PORT ciscocitg/hds-setup:stable` W środowiskach FedRAMP bez proxy: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable` W środowiskach FedRAMP z proxy HTTP: `docker run -p 8080:8080 --rm -it -e GLOBALNY_AGENT_HTTP_PROXY=http://SERWER_IP:PORT ciscocitg/hds-setup-fedramp:stable` W środowiskach FedRAMP z proxy HTTPS: `docker run -p 8080:8080 --rm -it -e GLOBALNY_AGENT_HTTPS_PROXY=http://SERWER_IP:PORT ciscocitg/hds-setup-fedramp:stable` Gdy kontener jest uruchomiony, widzisz "Serwer ekspresowy nasłuchujący na porcie 8080". Użyj przeglądarki, aby połączyć się z hostem lokalnym, `http://127.0.0.1:8080`. Narzędzie konfiguracyjne nie obsługuje łączenia się z hostem localhost za pośrednictwem serwera http://localhost:8080. Użyj, http://127.0.0.1:8080 aby połączyć się z localhost. Po wyświetleniu monitu wprowadź poświadczenia logowania klienta w Partner Hub, a następnie kliknij przycisk Akceptuj , aby kontynuować. Zaimportuj bieżący konfiguracyjny plik ISO. Postępuj zgodnie z instrukcjami, aby ukończyć narzędzie i pobrać zaktualizowany plik. Aby zamknąć narzędzie konfiguracyjne, wpisz `CTRL+C`. Utwórz kopię zapasową zaktualizowanego pliku w innym centrum danych.
2	Jeśli masz uruchomiony tylko jeden węzeł HDS, utwórz nowy węzeł usługi hybrydowego zabezpieczenia danych i zarejestruj go za pomocą nowego pliku ISO konfiguracji. Aby uzyskać bardziej szczegółowe instrukcje, zobacz Tworzenie i rejestrowanie większej liczby węzłów. Zainstaluj OVA hosta HDS. Skonfiguruj maszynę wirtualną HDS. Zamontuj zaktualizowany plik konfiguracyjny. Zarejestruj nowy węzeł w Partner Hub.
3	W przypadku istniejących węzłów HDS, na których działa starszy plik konfiguracyjny, podłącz plik ISO. Wykonaj następującą procedurę na każdym węźle po kolei, aktualizując każdy węzeł przed wyłączeniem następnego węzła: Wyłącz maszynę wirtualną. W lewym okienku nawigacji klienta VMware vSphere kliknij prawym przyciskiem myszy maszynę wirtualną i kliknij opcję Edytuj ustawienia. Kliknij `pozycję Napęd CD/DVD 1`, wybierz opcję instalacji z pliku ISO i przejdź do lokalizacji, do której pobrano nowy plik konfiguracyjny ISO. Zaznacz Połącz przy włączeniu. Zapisz zmiany i włącz maszynę wirtualną.
4	Powtórz krok 3, aby zastąpić konfigurację na każdym pozostałym węźle, na którym działa stara konfiguracja.

Wyłączanie trybu zablokowanego zewnętrznego rozpoznawania DNS

Podczas rejestrowania węzła lub sprawdzania konfiguracji serwera proxy węzła proces testuje wyszukiwanie DNS i łączność z chmurą Cisco Webex. Jeśli serwer DNS węzła nie może rozpoznać publicznych nazw DNS, węzeł automatycznie przechodzi w tryb zablokowanego zewnętrznego rozpoznawania DNS.

Jeśli węzły są w stanie rozpoznawać publiczne nazwy DNS za pośrednictwem wewnętrznych serwerów DNS, można wyłączyć ten tryb, ponownie uruchamiając test połączenia proxy w każdym węźle.

Przed rozpoczęciem

Upewnij się, że wewnętrzne serwery DNS mogą rozpoznawać publiczne nazwy DNS i że węzły mogą się z nimi komunikować.

1	W przeglądarce sieci Web otwórz interfejs węzła Hybrid Data Security (na przykład adres IP/konfiguracja https://192.0.2.0/setup), wprowadź poświadczenia administratora skonfigurowane dla węzła, a następnie kliknij przycisk Zaloguj.
2	Przejdź do Przegląd (strona domyślna). Gdy ta opcja jest włączona, opcja Zablokowane zewnętrzne rozpoznawanie DNS jest ustawiona na Tak.
3	Przejdź do strony Trust Store & Proxy.
4	Kliknij przycisk Sprawdź połączenie proxy. Jeśli zostanie wyświetlony komunikat informujący, że zewnętrzne rozpoznawanie nazw DNS nie powiodło się, oznacza to, że węzeł nie mógł połączyć się z serwerem DNS i pozostanie w tym trybie. W przeciwnym razie, po ponownym uruchomieniu węzła i powrocie do strony Przegląd, Zablokowane zewnętrzne rozpoznawanie DNS powinno być ustawione na nie.

Co dalej?

Powtórz test połączenia proxy dla każdego węzła w klastrze hybrid Data Security.

Usuń węzeł

Ta procedura umożliwia usunięcie węzła usługi hybrydowego zabezpieczenia danych z chmury Webex. Po usunięciu węzła z klastra usuń maszynę wirtualną, aby zapobiec dalszemu dostępowi do danych zabezpieczeń.

1

Użyj klienta VMware vSphere na komputerze, aby zalogować się do hosta wirtualnego ESXi i wyłączyć maszynę wirtualną.

2

Usuń węzeł:

Zaloguj się do Partner Hub, a następnie wybierz pozycję Usługi.
Na karcie usługi hybrydowego zabezpieczenia danych kliknij przycisk Wyświetl wszystko , aby wyświetlić stronę zasobów usługi hybrydowego zabezpieczenia danych.
Wybierz klaster, aby wyświetlić jego panel Przegląd.
Kliknij węzeł, który chcesz usunąć.
Kliknij Wyrejestruj ten węzeł na panelu wyświetlanym po prawej stronie
Możesz również wyrejestrować węzeł, klikając … po prawej stronie węzła i wybierając opcję Usuń ten węzeł.

3

W kliencie vSphere usuń maszynę wirtualną. (W lewym okienku nawigacyjnym kliknij prawym przyciskiem myszy maszynę wirtualną i kliknij opcję Usuń).

Jeśli nie usuniesz maszyny wirtualnej, pamiętaj, aby odmontować plik ISO konfiguracji. Bez pliku ISO nie możesz korzystać z maszyny wirtualnej w celu uzyskania dostępu do danych zabezpieczeń.

Przywracanie po awarii przy użyciu centrum danych w trybie gotowości

Najważniejszą usługą zapewnianą przez klaster usługi hybrydowego zabezpieczenia danych jest tworzenie i przechowywanie kluczy używanych do szyfrowania wiadomości i innych treści przechowywanych w chmurze Webex. Dla każdego użytkownika w organizacji, który jest przypisany do usługi hybrydowego zabezpieczenia danych, nowe żądania utworzenia kluczy są kierowane do klastra. Klaster jest również odpowiedzialny za zwracanie utworzonych przez siebie kluczy do wszystkich użytkowników uprawnionych do ich pobrania, na przykład członków obszaru konwersacji.

Ponieważ klaster pełni kluczową funkcję dostarczania tych kluczy, konieczne jest, aby klaster nadal działał i aby zachowano odpowiednie kopie zapasowe. Utrata bazy danych usługi hybrydowego zabezpieczenia danych lub konfiguracji ISO użytej do schematu spowoduje NIEODWRACALNĄ UTRATĘ zawartości klienta. Aby zapobiec takiej utracie, obowiązkowe są następujące praktyki:

Jeśli awaria spowoduje niedostępność wdrożenia usług HDS w podstawowym centrum danych, wykonaj tę procedurę, aby ręcznie przełączyć się w tryb awaryjny do centrum danych.

Przed rozpoczęciem

Wyrejestruj wszystkie węzły z Partner Hub, jak opisano w sekcji Usuń węzeł. Aby wykonać opisaną poniżej procedurę przełączenia awaryjnego, użyj najnowszego pliku ISO, który został skonfigurowany w węzłach klastra, który był wcześniej aktywny.

1	Uruchom narzędzie konfiguracji HDS i wykonaj czynności wymienione w części Utwórz konfigurację ISO dla hostów HDS.
2	Zakończ proces konfiguracji i zapisz plik ISO w łatwym do znalezienia miejscu.
3	Utwórz kopię zapasową pliku ISO w lokalnym systemie. Zachowaj bezpieczeństwo kopii zapasowej. Ten plik zawiera główny klucz szyfrowania zawartości bazy danych. Ogranicz dostęp tylko do administratorów usługi hybrydowego zabezpieczenia danych, którzy powinni dokonać zmian w konfiguracji.
4	W lewym okienku nawigacji klienta VMware vSphere kliknij prawym przyciskiem myszy maszynę wirtualną i kliknij opcję Edytuj ustawienia.
5	Kliknij Edytuj ustawienia >Dysk CD/DVD 1 i wybierz Plik ISO magazynu danych. Upewnij się, że opcje Połączono i Połącz po włączeniu zasilania są zaznaczone, aby zaktualizowane zmiany konfiguracji mogły zostać zastosowane po uruchomieniu węzłów.
6	Włącz węzeł HDS i upewnij się, że nie ma alarmów przez co najmniej 15 minut.
7	Zarejestruj węzeł w Partner Hub. Zobacz Zarejestruj pierwszy węzeł w klastrze.
8	Powtórz ten proces dla każdego węzła w centrum danych w trybie gotowości.

Co zrobić dalej

Po przełączeniu awaryjnym, jeśli główne centrum danych ponownie stanie się aktywne, wyrejestruj węzły centrum danych w trybie gotowości i powtórz proces konfiguracji ISO i rejestracji węzłów podstawowego centrum danych, jak wspomniano powyżej.

(Opcjonalnie) Odmontuj ISO po konfiguracji HDS

Standardowa konfiguracja trybu HDS jest uruchomiona z zamontowaną normą ISO. Jednak niektórzy klienci wolą nie pozostawiać plików ISO stale montowanych. Plik ISO można odmontować, gdy wszystkie węzły HDS odbiorą nową konfigurację.

Nadal używasz plików ISO do wprowadzania zmian w konfiguracji. Podczas tworzenia nowego certyfikatu ISO lub aktualizacji certyfikatu ISO za pomocą narzędzia konfiguracji należy zamontować zaktualizowany certyfikat ISO na wszystkich węzłach trybu HDS. Gdy wszystkie węzły odbiorą zmiany konfiguracji, można ponownie odmontować obraz ISO za pomocą tej procedury.

Przed rozpoczęciem

Uaktualnij wszystkie węzły HDS do wersji 2021.01.22.4720 lub nowszej.

1	Wyłącz jeden z węzłów trybu HDS.
2	W urządzeniu vCenter Server Device wybierz węzeł HDS.
3	Wybierz pozycję Edytuj ustawienia > napęd CD/DVD i usuń zaznaczenie pola wyboru Plik ISO magazynu danych.
4	Włącz węzeł HDS i upewnij się, że nie ma alarmów przez co najmniej 20 minut.
5	Powtórz kolejno dla każdego węzła HDS.

Rozwiązywanie problemów z usługą hybrydowego zabezpieczenia danych

Wyświetlanie alertów i rozwiązywanie problemów

Wdrożenie usługi hybrydowego zabezpieczenia danych jest uważane za niedostępne, jeśli wszystkie węzły w klastrze są niedostępne lub klaster działa tak wolno, że wymaga przekroczenia limitu czasu. Jeśli użytkownicy nie mogą połączyć się z klastrem usługi hybrydowego zabezpieczenia danych, wystąpią następujące objawy:

Nie można tworzyć nowych obszarów (nie można utworzyć nowych kluczy)
Nie można odszyfrować wiadomości i tytułów obszarów dla:
- Nowi użytkownicy dodani do obszaru (nie można pobrać kluczy)
- Istniejący użytkownicy w obszarze korzystający z nowego klienta (nie można pobrać kluczy)
Istniejący użytkownicy w obszarze będą nadal działać pomyślnie, o ile ich klienci mają pamięć podręczną kluczy szyfrowania

Ważne jest, aby prawidłowo monitorować klaster usługi hybrydowego zabezpieczenia danych i szybko odpowiadać na wszelkie alerty, aby uniknąć zakłóceń w świadczeniu usług.

Alerty

Jeśli wystąpi problem z konfiguracją usługi hybrydowego zabezpieczenia danych, Partner Hub wyświetla alerty do administratora organizacji i wysyła wiadomości e-mail na skonfigurowany adres e-mail. Alerty obejmują wiele typowych scenariuszy.

Tabela 1. Wspólne problemy i kroki umożliwiające ich rozwiązanie
Alarm	Czynność
Błąd dostępu do lokalnej bazy danych.	Sprawdź, czy nie występują błędy bazy danych lub problemy z siecią lokalną.
Błąd połączenia z lokalną bazą danych.	Sprawdź, czy serwer bazy danych jest dostępny i czy w konfiguracji węzła użyto odpowiednich poświadczeń konta usługi.
Błąd dostępu do usługi chmury.	Sprawdź, czy węzły mogą uzyskać dostęp do serwerów Webex zgodnie z Wymaganiami dotyczącymi łączności zewnętrznej.
Odnawianie rejestracji w usłudze w chmurze.	Przerwano rejestrację w usługach w chmurze. Trwa odnawianie rejestracji.
Rejestracja usługi w chmurze została przerwana.	Rejestracja w usługach w chmurze została zakończona. Usługa jest wyłączana.
Usługa nie została jeszcze aktywowana.	Aktywuj usługę HDS w Partner Hub.
Skonfigurowana domena nie jest zgodna z certyfikatem serwera.	Upewnij się, że certyfikat serwera jest zgodny ze skonfigurowaną domeną aktywacji usługi. Najbardziej prawdopodobną przyczyną jest to, że kod CN certyfikatu został ostatnio zmieniony i różni się teraz od kodu używanego podczas początkowej konfiguracji.
Nie można uwierzytelnić usług w chmurze.	Sprawdź dokładność i możliwe wygaśnięcie poświadczeń konta usługi.
Nie można otworzyć pliku lokalnego magazynu kluczy.	Sprawdź integralność i dokładność haseł w pliku lokalnego magazynu kluczy.
Certyfikat serwera lokalnego jest nieprawidłowy.	Sprawdź datę wygaśnięcia certyfikatu serwera i upewnij się, że został on wydany przez zaufany urząd certyfikacji.
Nie można opublikować metryk.	Sprawdź dostęp sieci lokalnej do usług chmury zewnętrznej.
Katalog /media/configdrive/hds nie istnieje.	Sprawdź konfigurację montażu ISO na hoście wirtualnym. Sprawdź, czy plik ISO istnieje, czy jest skonfigurowany do montażu przy ponownym uruchomieniu i czy zamontowano go pomyślnie.
Konfiguracja organizacji dzierżawy dla dodanych organizacji nie została zakończona	Zakończ konfigurację, tworząc moduły CMK dla nowo dodanych organizacji dzierżaw za pomocą narzędzia konfiguracji HDS.
Nie ukończono konfiguracji organizacji dzierżawy dla usuniętych organizacji	Dokończ konfigurację, odwołując identyfikatory CMK organizacji dzierżaw, które zostały usunięte za pomocą narzędzia konfiguracji HDS.

Rozwiązywanie problemów z usługą hybrydowego zabezpieczenia danych

Podczas rozwiązywania problemów z usługą hybrydowego zabezpieczenia danych należy przestrzegać następujących ogólnych wytycznych.

1	Zapoznaj się z Partner Hub, aby uzyskać alerty i napraw wszystkie znajdujące się w tym miejscu elementy. Zobacz poniższy obrazek w celach informacyjnych.
2	Sprawdź dane wyjściowe serwera dziennika systemu pod kątem aktywności we wdrożeniu usługi hybrydowego zabezpieczenia danych. Filtruj słowa, takie jak „Ostrzeżenie” i „Błąd”, aby pomóc w rozwiązywaniu problemów.
3	Skontaktuj się ze wsparciem Cisco.

Inne uwagi

Znane problemy dotyczące hybrydowego zabezpieczenia danych

Jeśli wyłączysz klaster usługi hybrydowego zabezpieczenia danych (usuwając go w Partner Hub lub zamykając wszystkie węzły), stracisz plik ISO konfiguracji lub stracisz dostęp do bazy danych magazynu kluczy, użytkownicy aplikacji Webex w organizacjach klientów nie będą mogli już korzystać z obszarów z listy Osoby, które zostały utworzone za pomocą kluczy z serwera KMS. Obecnie nie mamy obejścia lub rozwiązania tego problemu i zachęcamy do niezamykania usług HDS po obsłużeniu aktywnych kont użytkowników.
Klient, który ma istniejące połączenie ECDH z serwerem KMS, utrzymuje to połączenie przez pewien czas (prawdopodobnie jedną godzinę).

Użyj OpenSSL do generowania pliku PKCS12

Przed rozpoczęciem

OpenSSL to jedno z narzędzi, które można wykorzystać do tworzenia pliku PKCS12 w odpowiednim formacie do załadowania w narzędziu konfiguracyjnym HDS. Istnieją inne sposoby na to, a my nie popieramy ani nie promujemy jednej drogi nad drugą.
Jeśli zdecydujesz się na użycie protokołu OpenSSL, udostępniamy tę procedurę jako wskazówkę, która pomoże Ci utworzyć plik spełniający wymagania certyfikatu X.509 w wymaganiach certyfikatu X.509. Przed kontynuowaniem zrozum te wymagania.
Zainstaluj protokół OpenSSL w obsługiwanym środowisku. Informacje na temat https://www.openssl.org oprogramowania i dokumentacji można znaleźć.
Utwórz klucz prywatny.
Rozpocznij tę procedurę po otrzymaniu certyfikatu serwera od urzędu certyfikacji (CA).

1	Po otrzymaniu certyfikatu serwera od urzędu certyfikacji zapisz go jako `hdsnode.pem`.
2	Wyświetl certyfikat w postaci tekstu i zweryfikuj szczegóły. `openssl x509 -text -noout -in hdsnode.pem`
3	Użyj edytora tekstu, aby utworzyć plik pakietu certyfikatów o nazwie `hdsnode-bundle.pem`. Plik pakietu musi zawierać certyfikat serwera, wszystkie certyfikaty pośredniego urzędu certyfikacji i certyfikaty głównego urzędu certyfikacji w poniższym formacie: `-----ROZPOCZNIJ CERTYFIKAT------ ### Certyfikat serwera. ### -----ZAKOŃCZ CERTYFIKAT-----------ROZPOCZNIJ CERTYFIKAT------ ### Certyfikat pośredniego urzędu certyfikacji. ### -----ZAKOŃCZ CERTYFIKAT----------------- ### Certyfikat GŁÓWNEGO URZĘDU CERTYFIKACJI. ### -----ZAKOŃCZ CERTYFIKAT-------`
4	Utwórz plik .p12 o przyjaznej nazwie `kms-private-key`. `openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -nazwa kms-private-key -caname kms-private-key -out hdsnode.p12`
5	Sprawdź szczegóły certyfikatu serwera. `openssl pkcs12 - w hdsnode.p12` W wyświetlonym monicie wprowadź hasło, aby zaszyfrować klucz prywatny, tak aby był wyświetlany na wyjściu. Następnie sprawdź, czy klucz prywatny i pierwszy certyfikat zawierają linie `friendlyName: kms-klucz prywatny`. Przykład: bash$ openssl pkcs12 - in hdsnode.p12 Wprowadź hasło importu: Atrybuty MAC zweryfikowane przez OK Bag friendlyName: kms-private-key lokalnyIdentyfikatorKlucza: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Atrybuty kluczowe: Wprowadź zdanie przejścia PEM: Weryfikowanie — wprowadź zdanie przejścia PEM: -----ROZPOCZNIJ ZASZYFROWANY KLUCZ PRYWATNY------ -----ZAKOŃCZ ZASZYFROWANY KLUCZ PRYWATNY------- Atrybuty Bag friendlyName: kms-private-key lokalnyIdentyfikatorKlucza: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 -----BEGIN CERTIFICATE------ -----END CERTIFICATE------ Bag Attributes friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3 -----BEGIN CERTIFICATE----- -----END CERTIFICATE-------

Co zrobić dalej

Wróć do tematu Wymagania wstępne dotyczące usługi hybrydowego zabezpieczenia danych. Będziesz używać pliku hdsnode.p12 i ustawionego dla niego hasła w Utwórz konfigurację ISO dla hostów HDS.

Możesz ponownie użyć tych plików, aby zażądać nowego certyfikatu po wygaśnięciu oryginalnego certyfikatu.

Ruch między węzłami HDS a chmurą

Ruch kolekcji metryk wychodzących

Węzły usługi hybrydowego zabezpieczenia danych wysyłają pewne metryki do chmury Webex. Obejmują one metryki systemowe dotyczące maksymalnej sterty, użytej sterty, obciążenia procesora i liczby wątków; metryki wątków synchronicznych i asynchronicznych; metryki alertów dotyczących progu połączeń szyfrowania, opóźnienia lub długości kolejki żądań; metryki w magazynie danych oraz metryki połączeń szyfrowania. Węzły wysyłają zaszyfrowany materiał klucza przez kanał braku pasma (oddzielny od żądania).

Ruch przychodzący

Węzły usługi hybrydowego zabezpieczenia danych odbierają następujące typy ruchu przychodzącego z chmury Webex:

Żądania szyfrowania od klientów trasowane przez usługę szyfrowania
Uaktualnia oprogramowanie węzła

Skonfiguruj serwery proxy Squid dla hybrydowego zabezpieczenia danych

Websocket nie może połączyć się przez Squid Proxy

Serwery proxy Squid, które sprawdzają ruch HTTPS, mogą zakłócać nawiązywanie połączeń Websocket (wss:), których wymaga hybrydowe zabezpieczenia danych. Poniższe sekcje zawierają wskazówki, jak skonfigurować różne wersje Squid, aby ignorować wss: ruchu zapewniającego prawidłowe funkcjonowanie usług.

Kalmary 4 i 5

Dodaj on_unsupported_protocol dyrektywę do squid.conf:

on_unsupported_protocol tunel wszystkie

Kalmary 3.5.27

Z powodzeniem przetestowaliśmy Hybrid Data Security z następującymi regułami dodanymi do squid.conf. Zasady te mogą ulec zmianie w miarę opracowywania funkcji i aktualizowania chmury Webex.

Acl wssMercuryConnection ssl::server_name_regex połączenie z rtęcią ssl_bump splice wssMercuryConnection acl step1 at_step SslBump1 acl step2 at_step SslBump2 acl step3 at_step SslBump3 ssl_bump peek step1 wszystko ssl_bump stare step2 wszystko ssl_bump bump3 wszystko

Nowe i zmienione informacje

Ta tabela zawiera informacje o nowych funkcjach, zmianach w istniejącej zawartości oraz o wszelkich głównych błędach, które zostały usunięte w Przewodniku wdrażania hybrydowego zabezpieczenia danych dla wielu dzierżawców.

Data	Wprowadzono zmiany
30 stycznia 2025 r.	Dodano wersję SQL Server 2022 do listy obsługiwanych serwerów SQL w sekcji Wymagania dotyczące serwera bazy danych.
15 stycznia 2025 r.	Dodano ograniczenia usługi hybrydowego zabezpieczenia danych dla wielu dzierżaw.
08 stycznia 2025 r.	Dodano uwagę w części Wykonaj początkową konfigurację i pobierz pliki instalacyjne stwierdzającą, że kliknięcie Skonfiguruj na karcie HDS w Partner Hub jest ważnym etapem procesu instalacji.
07 stycznia 2025 r.	Zaktualizowano wymagania dotyczące hosta wirtualnego, przepływ zadań wdrażania hybrydowego zabezpieczenia danych i Zainstaluj OVA hosta HDS , aby wyświetlić nowe wymagania dotyczące ESXi 7.0.
13 grudnia 2024 r.	Opublikowano po raz pierwszy.

Dezaktywuj hybrydowe zabezpieczenia danych dla wielu dzierżaw

Przepływ zadań dezaktywacji trybu HDS dla wielu dzierżawców

Aby całkowicie dezaktywować usługę HDS dla wielu dzierżaw, wykonaj poniższe czynności.

Przed rozpoczęciem

To zadanie powinien wykonywać tylko administrator partnera z pełnymi uprawnieniami.

1	Usuń wszystkich klientów ze wszystkich klastrów, jak opisano w części Usuń organizacje dzierżaw.
2	Unieważnij CMK wszystkich klientów, jak wspomniano w części Unieważnij CMK dzierżaw usuniętych z HDS..
3	Usuń wszystkie węzły ze wszystkich klastrów zgodnie z opisem w sekcji Usuń węzeł.
4	Usuń wszystkie klastry z Partner Hub za pomocą jednej z dwóch poniższych metod. Kliknij klaster, który chcesz usunąć, a następnie wybierz pozycję Usuń ten klaster w prawym górnym rogu strony przeglądu. Na stronie Zasoby kliknij … po prawej stronie klastra i wybierz opcję Usuń klaster.
5	Kliknij kartę Ustawienia na stronie Przegląd usługi hybrydowego zabezpieczenia danych, a następnie opcję Dezaktywuj usługę HDS na karcie stanu usługi HDS.

Wprowadzenie do hybrydowego zabezpieczenia danych dla wielu dzierżaw

Omówienie hybrydowego zabezpieczenia danych dla wielu dzierżaw

Od pierwszego dnia bezpieczeństwo danych było głównym celem podczas projektowania aplikacji Webex. Podstawą tego zabezpieczenia jest kompleksowe szyfrowanie treści, które umożliwiają klienci aplikacji Webex współpracujący z usługą zarządzania kluczami (KMS). Usługa KMS jest odpowiedzialna za tworzenie kluczy kryptograficznych używanych przez klientów do dynamicznego szyfrowania i odszyfrowywania wiadomości i plików oraz zarządzanie nimi.

Domyślnie wszyscy klienci aplikacji Webex otrzymują kompleksowe szyfrowanie za pomocą kluczy dynamicznych przechowywanych w chmurze KMS, w sferze bezpieczeństwa Cisco. Hybrid Data Security przenosi KMS i inne funkcje związane z bezpieczeństwem do centrum danych przedsiębiorstwa, dzięki czemu nikt poza Tobą nie posiada kluczy do zaszyfrowanej zawartości.

Hybrydowe zabezpieczenia danych dla wielu dzierżawców umożliwia organizacjom korzystanie z usług HDS za pośrednictwem zaufanego lokalnego partnera, który może działać jako dostawca usług i zarządzać lokalnym szyfrowaniem i innymi usługami zabezpieczeń. Ta konfiguracja umożliwia organizacji partnerskiej pełną kontrolę nad wdrażaniem kluczy szyfrowania i zarządzaniem nimi oraz zapewnia bezpieczeństwo danych użytkowników organizacji klientów przed dostępem zewnętrznym. Organizacje partnerskie konfigurują wystąpienia HDS i w razie potrzeby tworzą klastry HDS. Każde wystąpienie może obsługiwać wiele organizacji klientów w przeciwieństwie do zwykłego wdrażania usług HDS, które jest ograniczone do jednej organizacji.

Chociaż organizacje partnerskie mają kontrolę nad wdrażaniem i zarządzaniem, nie mają dostępu do danych ani treści generowanych przez klientów. Ten dostęp jest ograniczony do organizacji klientów i ich użytkowników.

Pozwala to również mniejszym organizacjom na korzystanie z HDS, ponieważ usługi zarządzania kluczami i infrastruktura zabezpieczeń, taka jak centra danych, są własnością zaufanego partnera lokalnego.

Jak hybrydowe zabezpieczenia danych dla wielu dzierżawców zapewnia suwerenność danych i kontrolę danych

Treści generowane przez użytkowników są chronione przed dostępem zewnętrznym, na przykład przed dostawcami usług w chmurze.
Lokalni zaufani partnerzy zarządzają kluczami szyfrowania klientów, z którymi mają już ustalone relacje.
Opcja lokalnej pomocy technicznej, jeśli została dostarczona przez partnera.
Obsługuje treści spotkań, wiadomości i połączeń.

Ten dokument ma na celu pomóc organizacjom partnerskim w konfigurowaniu klientów w systemie hybrydowego zabezpieczenia danych dla wielu dzierżawców i zarządzaniu nimi.

Ograniczenia hybrydowego zabezpieczenia danych dla wielu dzierżaw

Organizacje partnerskie nie mogą mieć żadnego aktywnego wdrożenia usług HDS w Control Hub.
Organizacje najemców lub klientów, które chcą być zarządzane przez partnera, nie mogą mieć żadnego istniejącego wdrożenia usług HDS w Control Hub.
Po wdrożeniu usługi HDS dla wielu dzierżaw przez partnera wszyscy użytkownicy organizacji klientów oraz użytkownicy organizacji partnerskiej zaczynają korzystać z usług szyfrowania HDS dla wielu dzierżaw.

Organizacja partnerska i organizacje klientów, którymi zarządzają, będą korzystać z tego samego wdrożenia usług HDS dla wielu dzierżawców.

Organizacja partnerska nie będzie już korzystać z serwera KMS w chmurze po wdrożeniu usług HDS dla wielu dzierżawców.
Nie ma mechanizmu umożliwiającego powrót kluczy do usługi KMS w chmurze po wdrożeniu usługi HDS.
Obecnie każde wdrożenie HDS dla wielu dzierżawców może mieć tylko jeden klaster z wieloma węzłami.
Role administratora mają pewne ograniczenia. Szczegółowe informacje można znaleźć w poniższej sekcji.

Role w usłudze hybrydowego zabezpieczenia danych dla wielu dzierżaw

Administrator partnera z pełnymi uprawnieniami — może zarządzać ustawieniami wszystkich klientów, którymi zarządza partner. Może również przypisywać role administratora istniejącym użytkownikom w organizacji oraz przypisywać określonych klientów do zarządzania przez administratorów partnera.
Administrator partnera — może zarządzać ustawieniami klientów skonfigurowanych przez administratora lub przypisanych do użytkownika.
Administrator z pełnymi uprawnieniami — administrator organizacji partnerskiej, który ma uprawnienia do wykonywania takich zadań jak modyfikowanie ustawień organizacji, zarządzanie licencjami i przypisywanie ról.

Kompleksowa konfiguracja trybu HDS dla wielu dzierżawców i zarządzanie wszystkimi organizacjami klientów — wymagane uprawnienia administratora partnera z pełnymi uprawnieniami i administratora z pełnymi uprawnieniami.
Zarządzanie przypisanymi organizacjami dzierżaw — wymagane uprawnienia administratora partnera i administratora z pełnymi uprawnieniami.

Architektura Security Realm

Architektura chmury Webex dzieli różne typy usług na oddzielne domeny lub domeny zaufania, jak pokazano poniżej.

Aby lepiej zrozumieć usługę hybrydowego zabezpieczenia danych, przyjrzyjmy się najpierw tej czystej chmurze, w której firma Cisco udostępnia wszystkie funkcje w swoich domenach chmury. Usługa tożsamości, jedyne miejsce, w którym użytkownicy mogą być bezpośrednio skorelowani z ich danymi osobowymi, takimi jak adres e-mail, jest logicznie i fizycznie oddzielona od obszaru bezpieczeństwa w centrum danych B. Oba są z kolei oddzielone od obszaru, w którym docelowo przechowywana jest zaszyfrowana zawartość, w centrum danych C.

Na tym schemacie klient jest aplikacją Webex działającą na laptopie użytkownika i uwierzytelnił się w usłudze tożsamości. Gdy użytkownik tworzy wiadomość do wysłania do obszaru, wykonują następujące czynności:

Klient nawiązuje bezpieczne połączenie z usługą zarządzania kluczami (KMS), a następnie żąda klucza w celu zaszyfrowania wiadomości. Bezpieczne połączenie korzysta z protokołu ECDH, a serwer KMS szyfruje klucz przy użyciu klucza głównego AES-256.
Wiadomość jest szyfrowana przed opuszczeniem klienta. Klient wysyła je do usługi indeksowania, która tworzy zaszyfrowane indeksy wyszukiwania, aby pomóc w przyszłych wyszukiwaniu zawartości.
Zaszyfrowana wiadomość jest wysyłana do usługi zgodności w celu sprawdzenia zgodności.
Zaszyfrowana wiadomość jest przechowywana w obszarze miejsca do przechowywania.

Podczas wdrażania hybrydowego zabezpieczenia danych funkcje domeny zabezpieczeń (KMS, indeksowanie i zgodność) są przenoszone do lokalnego centrum danych. Inne usługi w chmurze tworzące usługę Webex (w tym tożsamość i miejsce do przechowywania zawartości) pozostają w domenach Cisco.

Współpraca z innymi organizacjami

Użytkownicy w Twojej organizacji mogą regularnie korzystać z aplikacji Webex do współpracy z uczestnikami zewnętrznymi w innych organizacjach. Gdy jeden z użytkowników poprosi o klucz obszaru należącego do Twojej organizacji (ponieważ został on utworzony przez jednego z użytkowników), serwer KMS wysyła klucz do klienta przez kanał zabezpieczony ECDH. Jeśli jednak inna organizacja jest właścicielem klucza obszaru, serwer KMS kieruje żądanie do chmury Webex przez oddzielny kanał ECDH, aby pobrać klucz z odpowiedniego serwera KMS, a następnie zwraca klucz do użytkownika w oryginalnym kanale.

Usługa KMS działająca w organizacji A sprawdza poprawność połączeń z urządzeniami KMS w innych organizacjach przy użyciu certyfikatów x.509 PKI. Zobacz Przygotowanie środowiska , aby uzyskać szczegółowe informacje na temat generowania certyfikatu x.509 do użycia z wdrożeniem hybrydowego zabezpieczenia danych dla wielu dzierżawców.

Oczekiwania dotyczące wdrożenia hybrydowego zabezpieczenia danych

Wdrożenie hybrydowego zabezpieczenia danych wymaga znacznego zaangażowania i świadomości ryzyka związanego z posiadaniem kluczy szyfrowania.

Aby wdrożyć usługę hybrydowego zabezpieczenia danych, należy zapewnić:

Bezpieczne centrum danych w kraju, które jest obsługiwaną lokalizacją planów Cisco Webex Teams.
Sprzęt, oprogramowanie i dostęp do sieci opisane w części Przygotowanie środowiska.

Całkowita utrata albo konfiguracji ISO tworzonej dla usługi hybrydowego zabezpieczenia danych, albo dostarczonej bazy danych spowoduje utratę kluczy. Utrata klucza uniemożliwia użytkownikom odszyfrowanie zawartości obszaru i innych zaszyfrowanych danych w aplikacji Webex. W takim przypadku można zbudować nowe wdrożenie, ale widoczna będzie tylko nowa zawartość. Aby uniknąć utraty dostępu do danych, należy:

Zarządzanie kopiowaniem i odzyskiwaniem bazy danych oraz certyfikatem ISO konfiguracji.
Przygotuj się do szybkiego odzyskiwania po awarii w przypadku wystąpienia katastrofy, takiej jak awaria dysku bazy danych lub katastrofa centrum danych.

Nie ma mechanizmu, by przenieść klucze z powrotem do chmury po wdrożeniu HDS.

Proces konfiguracji wysokiego poziomu

Ten dokument dotyczy konfigurowania wdrożenia hybrydowego zabezpieczenia danych dla wielu dzierżawców i zarządzania nim:

Skonfiguruj hybrydowe zabezpieczenia danych — obejmuje przygotowanie wymaganej infrastruktury i zainstalowanie oprogramowania hybrydowego zabezpieczenia danych, budowę klastra HDS, dodawanie organizacji dzierżaw do klastra oraz zarządzanie kluczami głównymi klientów (CMK). Umożliwi to wszystkim użytkownikom w organizacjach klientów korzystanie z klastra hybrydowego zabezpieczenia danych do obsługi funkcji zabezpieczeń.

W kolejnych trzech rozdziałach omówiono szczegółowo etapy konfiguracji, aktywacji i zarządzania.
Kontynuuj wdrożenie usługi hybrydowego zabezpieczenia danych — chmura Webex automatycznie zapewnia ciągłe aktualizacje. Dział IT może zapewnić wsparcie Tier One dla tego wdrożenia i w razie potrzeby zaangażować wsparcie Cisco. Możesz korzystać z powiadomień na ekranie i skonfigurować alerty e-mail w Partner Hub.
Zrozumienie popularnych alertów, czynności rozwiązywania problemów i znanych problemów — w przypadku wystąpienia problemów ze wdrażaniem lub korzystaniem z usługi hybrydowego zabezpieczenia danych ostatni rozdział tego przewodnika i załącznik do znanych problemów mogą pomóc w ustaleniu i usunięciu problemu.

Model wdrażania hybrydowego zabezpieczenia danych

W korporacyjnym centrum danych wdrożysz hybrydowe zabezpieczenia danych jako pojedynczy klaster węzłów na osobnych wirtualnych hostach. Węzły komunikują się z chmurą Webex za pośrednictwem bezpiecznych gniazd WebSockets i bezpiecznego HTTP.

Podczas procesu instalacji udostępniamy plik OVA, aby skonfigurować urządzenie wirtualne na maszynach wirtualnych, które udostępniasz. Za pomocą narzędzia konfiguracji usługi HDS można utworzyć niestandardowy plik ISO konfiguracji klastra, który montujesz na każdym węźle. Klaster usługi hybrydowego zabezpieczenia danych korzysta z dostarczonego serwera Syslogd oraz bazy danych PostgreSQL lub Microsoft SQL Server. (Szczegóły połączenia Syslogd i bazy danych można skonfigurować za pomocą narzędzia konfiguracji HDS).

Model wdrażania hybrydowego zabezpieczenia danych

Minimalna liczba węzłów, które można mieć w klastrze, wynosi dwa. Zalecamy co najmniej trzy klastry. Posiadanie wielu węzłów gwarantuje, że usługa nie zostanie przerwana podczas aktualizacji oprogramowania lub innej konserwacji w węźle. (Chmura Webex uaktualnia tylko jeden węzeł naraz).

Wszystkie węzły w klastrze uzyskują dostęp do tego samego magazynu danych klucza oraz do tego samego serwera dziennika systemowego. Same węzły są bezstanowe i obsługują żądania kluczy w sposób zaokrąglony, zgodnie z kierunkiem chmury.

Węzły stają się aktywne po zarejestrowaniu ich w Partner Hub. Aby wyłączyć pojedynczy węzeł, można go wyrejestrować, a w razie potrzeby ponownie go zarejestrować.

Centrum danych w trybie gotowości do odzyskiwania po awarii

Podczas wdrażania konfigurujesz bezpieczne centrum danych w trybie gotowości. W przypadku awarii centrum danych można ręcznie wykonać wdrożenie do centrum danych w trybie gotowości.

Bazy danych aktywnych i rezerwowych centrów danych są ze sobą synchronizowane, co minimalizuje czas potrzebny na wykonanie przełączania awaryjnego.

Aktywne węzły usługi hybrydowego zabezpieczenia danych muszą zawsze znajdować się w tym samym centrum danych, co aktywny serwer bazy danych.

Obsługa serwera proxy

Hybrid Data Security obsługuje jawne, przejrzyste inspekcje i niekontrolujące serwery proxy. Możesz powiązać te serwery proxy z wdrożeniem, aby zabezpieczyć i monitorować ruch z przedsiębiorstwa do chmury. Interfejsu administratora platformy w węzłach można używać do zarządzania certyfikatami i sprawdzania ogólnego stanu łączności po skonfigurowaniu serwera proxy w węzłach.

Węzły Hybrid Data Security obsługują następujące opcje serwera proxy:

Brak serwera proxy — domyślnie, jeśli do zintegrowania serwera proxy nie używasz konfiguracji węzła HDS usługi Trust Store i proxy. Aktualizacja certyfikatu nie jest wymagana.
Przezroczysty, nieweryfikujący serwer proxy — węzły nie są skonfigurowane do używania konkretnego adresu serwera proxy i nie powinny wymagać żadnych zmian, aby pracować z nieweryfikowanym serwerem proxy. Aktualizacja certyfikatu nie jest wymagana.
Przezroczyste tunelowanie lub inspekcja serwera proxy — węzły nie są skonfigurowane do używania określonego adresu serwera proxy. W węzłach nie są wymagane żadne zmiany konfiguracji HTTP ani HTTPS. Jednak węzły potrzebują certyfikatu głównego, aby ufać serwerowi proxy. Inspekcja serwerów proxy jest zwykle używana przez IT do egzekwowania zasad, na których można odwiedzać witryny internetowe, a które nie są dozwolone. Ten typ serwera proxy odszyfrowuje cały ruch (nawet HTTPS).
Jawny serwer proxy — przy użyciu jawnego serwera proxy można wskazać węzłom HDS, którego serwera proxy i schematu uwierzytelniania mają używać. Aby skonfigurować jawny serwer proxy, należy wprowadzić następujące informacje w każdym węźle:
1. Adres IP/FQDN serwera proxy — adres, za pomocą którego można uzyskać dostęp do maszyny proxy.
2. Port serwera proxy — numer portu, którego serwer proxy używa do nasłuchiwania ruchu proxy.
3. Protokół proxy — w zależności od tego, jakie obsługuje serwer proxy, wybierz jeden z następujących protokołów:
  - HTTP — wyświetla i kontroluje wszystkie żądania wysyłane przez klienta.
  - HTTPS — zapewnia kanał do serwera. Klient odbiera i sprawdza poprawność certyfikatu serwera.
4. Typ uwierzytelniania — wybierz jeden z następujących typów uwierzytelniania:
  - Brak — dalsze uwierzytelnianie nie jest wymagane.
    
    Opcja dostępna po wybraniu protokołu HTTP lub HTTPS jako protokołu proxy.
  - Podstawowe — używane w przypadku agenta użytkownika HTTP w celu podania nazwy użytkownika i hasła podczas wykonywania żądania. Używa kodowania Base64.
    
    Opcja dostępna po wybraniu protokołu HTTP lub HTTPS jako protokołu proxy.
    
    Wymaga wprowadzenia nazwy użytkownika i hasła w każdym węźle.
  - Szyfrowanie — służy do potwierdzania konta przed wysłaniem poufnych informacji. Stosuje funkcję skrótu do nazwy użytkownika i hasła przed wysłaniem przez sieć.
    
    Opcja dostępna tylko po wybraniu protokołu HTTPS jako protokołu proxy.
    
    Wymaga wprowadzenia nazwy użytkownika i hasła w każdym węźle.

Przykład hybrydowych węzłów zabezpieczeń danych i serwera proxy

Ten diagram przedstawia przykładowe połączenie między hybrid data security, siecią i serwerem proxy. W przypadku opcji przezroczystego serwera proxy inspekcji i jawnego sprawdzania HTTPS ten sam certyfikat główny musi być zainstalowany na serwerze proxy i w węzłach Hybrid Data Security.

Zablokowany tryb zewnętrznego rozpoznawania DNS (jawne konfiguracje serwera proxy)

Podczas rejestrowania węzła lub sprawdzania konfiguracji serwera proxy węzła proces testuje wyszukiwanie DNS i łączność z chmurą Cisco Webex. We wdrożeniach z jawnymi konfiguracjami serwera proxy, które nie zezwalają na zewnętrzne rozpoznawanie DNS dla klientów wewnętrznych, jeśli węzeł nie może wysłać kwerendy do serwerów DNS, automatycznie przechodzi w tryb zablokowanego zewnętrznego rozpoznawania DNS. W tym trybie można kontynuować rejestrację węzła i inne testy łączności serwera proxy.

Przygotuj środowisko

Wymagania dotyczące hybrydowego zabezpieczenia danych dla wielu dzierżaw

Wymagania licencyjne usługi Cisco Webex

Aby wdrożyć hybrydowe zabezpieczenia danych dla wielu dzierżaw:

Organizacje partnerskie: Skontaktuj się z partnerem lub opiekunem klienta firmy Cisco i upewnij się, że funkcja wielu dzierżaw jest włączona.
Organizacje dzierżaw: Musisz mieć pakiet Pro Pack dla Cisco Webex Control Hub. (Patrz https://www.cisco.com/go/pro-pack.)

Wymagania pulpitu Docker

Przed zainstalowaniem węzłów HDS należy uruchomić program konfiguracyjny programu Docker Desktop. Docker niedawno zaktualizował swój model licencjonowania. Twoja organizacja może wymagać płatnej subskrypcji platformy Docker Desktop.Your organization might require a paid subscription for Docker Desktop. Aby uzyskać szczegółowe informacje, zobacz wpis na blogu Platformy Docker " Docker aktualizuje i rozszerza nasze subskrypcje produktów".

Wymagania certyfikatu X.509

Łańcuch certyfikatów musi spełniać następujące wymagania:

Tabela 1. Wymagania certyfikatu X.509 dla wdrożenia hybrydowego zabezpieczenia danych
Wymaganie	Szczegóły
Podpisany przez zaufany urząd certyfikacji (CA)	Domyślnie ufamy urzędom certyfikacji na liście Mozilli (z wyjątkiem WoSign i StartCom) pod adresem https://wiki.mozilla.org/CA:IncludedCAs.
Nosi nazwę domeny z nazwą pospolitą (CN), która identyfikuje wdrożenie usługi hybrydowego zabezpieczenia danych Nie jest certyfikatem z symbolem wieloznacznym	Numer CN nie musi być dostępny ani być prowadzącym na żywo. Zalecamy używanie nazwy odzwierciedlającej organizację, na przykład `hds.company.com`. CN nie może zawierać znaku * (symbolu wieloznacznego). Kod CN służy do weryfikowania węzłów usługi hybrydowego zabezpieczenia danych w klientach aplikacji Webex. Wszystkie węzły usługi hybrydowego zabezpieczenia danych w klastrze używają tego samego certyfikatu. Serwer KMS identyfikuje się używając domeny CN, a nie żadnej domeny zdefiniowanej w polach SAN x.509v3. Po zarejestrowaniu węzła z tym certyfikatem nie jest obsługiwana zmiana nazwy domeny CN.
Podpis bez SHA1	Oprogramowanie KMS nie obsługuje podpisów SHA1 w celu walidacji połączeń z modułami KMS innych organizacji.
Sformatowany jako plik PKCS #12 zabezpieczony hasłem Użyj przyjaznej nazwy `kms-private-key` , aby oznaczyć certyfikat, klucz prywatny i wszelkie certyfikaty pośrednie do przesłania.	Możesz użyć konwertera, takiego jak OpenSSL, aby zmienić format certyfikatu. Hasło trzeba będzie wprowadzić podczas uruchamiania narzędzia konfiguracji usług HDS.

Oprogramowanie KMS nie wymuszało użycia kluczy ani rozszerzonych ograniczeń użycia kluczy. Niektóre urzędy certyfikacji wymagają, aby do każdego certyfikatu miały zastosowanie rozszerzone ograniczenia użycia klucza, takie jak uwierzytelnianie serwera. Można używać uwierzytelniania serwera lub innych ustawień.

Wymagania dotyczące hosta wirtualnego

Hosty wirtualne, które skonfigurujesz jako węzły usługi hybrydowego zabezpieczenia danych w klastrze, mają następujące wymagania:

Co najmniej dwa oddzielne hosty (zalecane 3) rozmieszczone w tym samym bezpiecznym centrum danych
Zainstalowano i uruchomiono program VMware ESXi 7.0 (lub nowszy).

Jeśli masz starszą wersję oprogramowania ESXi, musisz ją uaktualnić.
Co najmniej 4 procesory vCPU, 8 GB pamięci głównej, 30 GB miejsca na lokalny dysk twardy na serwer

Wymagania serwera bazy danych

Utwórz nową bazę danych do przechowywania kluczy. Nie należy używać domyślnej bazy danych. Aplikacje HDS, po zainstalowaniu, tworzą schemat bazy danych.

Serwer bazy danych ma dwie opcje. Wymagania dotyczące każdego z nich są następujące:

Tabela 2. Wymagania serwera bazy danych według typu bazy danych
PostgreSQL-a	Serwer Microsoft SQL
PostgreSQL 14, 15 lub 16 jest zainstalowany i uruchomiony.	Zainstalowano oprogramowanie SQL Server 2016, 2017, 2019 lub 2022 (Enterprise lub Standard). Program SQL Server 2016 wymaga pakietu Service Pack 2 i aktualizacji skumulowanej 2 lub nowszej.
Co najmniej 8 procesorów vCPU, 16 GB pamięci głównej, wystarczająca ilość miejsca na dysku twardym i monitorowanie, aby nie było przekroczone (zalecane 2 TB, jeśli chcesz uruchomić bazę danych przez długi czas bez konieczności zwiększania miejsca do przechowywania)	Co najmniej 8 procesorów vCPU, 16 GB pamięci głównej, wystarczająca ilość miejsca na dysku twardym i monitorowanie, aby nie było przekroczone (zalecane 2 TB, jeśli chcesz uruchomić bazę danych przez długi czas bez konieczności zwiększania miejsca do przechowywania)

Oprogramowanie HDS instaluje obecnie następujące wersje sterowników do komunikacji z serwerem bazy danych:

PostgreSQL-a

Serwer Microsoft SQL

Postgres JDBC sterownik 42.2.5

Sterownik SQL Server JDBC 4.6

Ta wersja sterownika obsługuje funkcję SQL Server Always On (zawsze włączone wystąpienia klastra przełączenia awaryjnego i zawsze włączone grupy dostępności).

Dodatkowe wymagania dotyczące uwierzytelniania w systemie Windows przy użyciu programu Microsoft SQL Server

Jeśli chcesz, aby węzły HDS korzystały z uwierzytelniania w systemie Windows w celu uzyskania dostępu do bazy danych magazynu kluczy na serwerze Microsoft SQL Server, potrzebujesz następującej konfiguracji w środowisku:

Wszystkie węzły HDS, infrastruktura Active Directory i oprogramowanie MS SQL Server muszą być synchronizowane z protokołem NTP.
Konto systemu Windows dostarczane węzłom HDS musi mieć dostęp do odczytu/zapisu do bazy danych.
Serwery DNS dostarczane do węzłów HDS muszą być w stanie rozpoznać Twoje centrum dystrybucji kluczy (KDC).
Wystąpienie bazy danych HDS na serwerze Microsoft SQL można zarejestrować jako nazwę główną usługi (SPN) w usłudze Active Directory. Zobacz Rejestrowanie nazwy głównej usługi dla połączeń Kerberos.

Narzędzie konfiguracyjne usługi HDS, uruchamianie usługi HDS i lokalny serwer KMS muszą korzystać z uwierzytelniania systemu Windows, aby uzyskać dostęp do bazy danych magazynu kluczy. Używają oni szczegółów z konfiguracji ISO do skonstruowania SPN przy żądaniu dostępu z uwierzytelnianiem Kerberos.

Wymagania dotyczące łączności zewnętrznej

Skonfiguruj zaporę, aby zezwolić na następującą łączność dla aplikacji HDS:

Aplikacja	Protokół	Port	Kierunek z aplikacji	Miejsce docelowe
Węzły hybrydowego zabezpieczenia danych	TCP	443	Wychodzące HTTPS i WSS	Serwery Webex: .wbx2.com .ciscospark.com Wszyscy prowadzący Common Identity Inne adresy URL wymienione na liście dla hybrydowego zabezpieczenia danych w tabeli Dodatkowe adresy URL dla usług hybrydowych Webex w sekcji Wymagania sieciowe dla usług Webex
Narzędzie konfiguracji usług HDS	TCP	443	Wychodzący HTTPS	*.wbx2.com Wszyscy prowadzący Common Identity hub.docker.com

Węzły usługi hybrydowego zabezpieczenia danych współpracują z tłumaczeniem dostępu do sieci (NAT) lub zaporą, o ile translacja NAT lub zapora sieciowa zezwalają na wymagane połączenia wychodzące z adresami domen w poprzedniej tabeli. W przypadku połączeń przychodzących do węzłów usługi hybrydowego zabezpieczenia danych żadne porty nie powinny być widoczne z Internetu. W centrum danych klienci potrzebują do celów administracyjnych dostępu do węzłów usługi hybrydowego zabezpieczenia danych na portach TCP 443 i 22.

Adresy URL dla hostów usługi Common Identity (CI) są specyficzne dla regionów. Są to bieżące hosty CI:

Region	Adresy URL hosta wspólnej tożsamości
Ameryka	https://idbroker.webex.com https://identity.webex.com https://idbroker-b-us.webex.com https://identity-b-us.webex.com
Unia Europejska	https://idbroker-eu.webex.com https://identity-eu.webex.com
Kanada	https://idbroker-ca.webex.com https://identity-ca.webex.com
Singapur	https://idbroker-sg.webex.com https://identity-sg.webex.com
Zjednoczone Emiraty Arabskie	https://idbroker-ae.webex.com https://identity-ae.webex.com

Wymagania dotyczące serwera proxy

Oficjalnie obsługujemy następujące rozwiązania proxy, które można zintegrować z węzłami Hybrid Data Security.
- Przezroczysty serwer proxy — Cisco Web Security Appliance (WSA).
- Jawny serwer proxy — Squid.
  
  Serwery proxy Squid, które sprawdzają ruch HTTPS, mogą zakłócać nawiązywanie połączeń WebSocket (wss:). Aby rozwiązać ten problem, zobacz Konfigurowanie serwerów proxy Squid na potrzeby hybrydowego zabezpieczenia danych.
Obsługujemy następujące kombinacje typów uwierzytelniania dla jawnych serwerów proxy:
- Brak uwierzytelniania za pomocą protokołu HTTP lub HTTPS
- Uwierzytelnianie podstawowe za pomocą protokołu HTTP lub HTTPS
- Uwierzytelnianie szyfrowane tylko przy użyciu protokołu HTTPS
W przypadku przezroczystego serwera proxy inspekcji lub jawnego serwera proxy HTTPS musisz mieć kopię certyfikatu głównego serwera proxy. Instrukcje wdrażania w tym przewodniku informają, jak przekazać kopię do magazynów zaufania węzłów hybrid Data Security.
Sieć obsługująca węzły HDS musi być skonfigurowana tak, aby wymuszała kierowanie wychodzącego ruchu TCP na porcie 443 przez serwer proxy.
Serwery proxy, które sprawdzają ruch sieci web, mogą zakłócać połączenia gniazd internetowych. Jeśli ten problem wystąpi, ominięcie (nie inspekcja) ruchu do wbx2.com i ciscospark.com rozwiąże problem.

Spełnij wymagania wstępne dotyczące usługi hybrydowego zabezpieczenia danych

Skorzystaj z tej listy kontrolnej, aby upewnić się, że możesz zainstalować i skonfigurować klaster usługi hybrydowego zabezpieczenia danych.

1	Upewnij się, że organizacja partnerska ma włączoną funkcję HDS dla wielu dzierżawców i uzyskaj poświadczenia konta z pełnymi uprawnieniami administratora partnera i pełnego administratora. Upewnij się, że Twoja organizacja klienta Webex jest włączona dla usługi Pro Pack for Cisco Webex Control Hub. Skontaktuj się z partnerem lub opiekunem klienta Cisco w celu uzyskania pomocy w tym procesie. Organizacje klientów nie powinny mieć żadnych istniejących wdrożeń usług HDS.
2	Wybierz nazwę domeny dla wdrożenia HDS (na przykład `hds.company.com`) i uzyskaj łańcuch certyfikatów zawierający certyfikat X.509, klucz prywatny i certyfikaty pośrednie. Łańcuch certyfikatów musi spełniać wymagania określone w wymaganiach certyfikatu X.509.
3	Przygotuj identycznych wirtualnych prowadzących, które zostaną skonfigurowane jako węzły usługi hybrydowego zabezpieczenia danych w klastrze. Potrzebujesz co najmniej dwóch oddzielnych hostów (zalecane 3) rozmieszczonych w tym samym bezpiecznym centrum danych, które spełniają wymagania określone w wymaganiach dotyczących hosta wirtualnego.
4	Przygotuj serwer bazy danych, który będzie pełnił rolę kluczowego magazynu danych dla klastra, zgodnie z wymaganiami serwera bazy danych. Serwer bazy danych musi być umieszczony w bezpiecznym centrum danych z wirtualnymi hostami. Tworzenie bazy danych do przechowywania kluczy. (Należy utworzyć tę bazę danych — nie używaj domyślnej bazy danych. Aplikacje HDS, gdy są zainstalowane, tworzą schemat bazy danych). Zbierz szczegóły, których węzły będą używać do komunikacji z serwerem bazy danych: nazwa hosta lub adres IP (hosta) i port nazwa bazy danych (dbname) do przechowywania klucza nazwa użytkownika i hasło użytkownika z wszystkimi uprawnieniami w bazie danych przechowywania kluczy
5	W celu szybkiego odzyskiwania po awarii skonfiguruj środowisko kopii zapasowej w innym centrum danych. Środowisko tworzenia kopii zapasowych jest lustrzane dla środowiska produkcyjnego maszyn wirtualnych i zapasowego serwera bazy danych. Jeśli na przykład w produkcji są 3 maszyny wirtualne z węzłami HDS, środowisko kopii zapasowej powinno zawierać 3 maszyny wirtualne.
6	Skonfiguruj hosta dziennika systemu, aby zbierał dzienniki z węzłów w klastrze. Zbierz adres sieciowy i port dziennika systemu (domyślnie jest to UDP 514).
7	Utwórz zasady bezpiecznych kopii zapasowych dla węzłów usługi hybrydowego zabezpieczenia danych, serwera bazy danych i hosta dziennika systemowego. Aby zapobiec nieodwracalnej utracie danych, należy wykonać kopię zapasową bazy danych i pliku ISO konfiguracji wygenerowanego dla węzłów usługi hybrydowego zabezpieczenia danych. Ponieważ węzły usługi hybrydowego zabezpieczenia danych przechowują klucze używane do szyfrowania i odszyfrowywania zawartości, niepowodzenie utrzymania operacyjnego wdrożenia spowoduje NIEODWRACALNĄ UTRATĘ tej zawartości. Klienci aplikacji Webex buforują swoje klucze, więc awaria może nie być natychmiast zauważalna, ale z czasem stanie się oczywista. O ile nie można zapobiec tymczasowym awariom, można je odzyskać. Jednak całkowita utrata (brak dostępnych kopii zapasowych) bazy danych lub pliku ISO konfiguracji spowoduje, że dane klienta nie będą mogły zostać odzyskane. Oczekuje się, że operatorzy węzłów usługi hybrydowego zabezpieczenia danych będą utrzymywać częste kopie zapasowe bazy danych i pliku ISO konfiguracji oraz będą przygotowani do odbudowania centrum danych usługi hybrydowego zabezpieczenia danych w przypadku wystąpienia katastrofalnej awarii.
8	Upewnij się, że konfiguracja zapory umożliwia łączność z węzłami usługi hybrydowego zabezpieczenia danych, jak opisano w części Wymagania dotyczące łączności zewnętrznej.
9	Zainstaluj aplikację Docker ( https://www.docker.com) na dowolnym lokalnym komputerze z obsługiwanym systemem operacyjnym (Microsoft Windows 10 Professional lub Enterprise 64-bitowy lub Mac OSX Yosemite 10.10.3 lub nowszym) za pomocą przeglądarki internetowej, która może uzyskać do niej dostęp pod adresem http://127.0.0.1:8080. Wystąpienie usługi Docker umożliwia pobranie i uruchomienie narzędzia konfiguracyjnego HDS, które tworzy informacje o konfiguracji lokalnej dla wszystkich węzłów usługi hybrydowego zabezpieczenia danych. Być może potrzebujesz licencji Docker Desktop. Aby uzyskać więcej informacji, zobacz Wymagania dotyczące pulpitu Docker . Aby zainstalować i uruchomić narzędzie konfiguracji usługi HDS, komputer lokalny musi mieć łączność opisaną w sekcji Wymagania dotyczące łączności zewnętrznej.
10	Jeśli integrujesz serwer proxy z usługą hybrydowego zabezpieczenia danych, upewnij się, że spełnia wymagania serwera proxy.

Skonfiguruj klaster usługi hybrydowego zabezpieczenia danych

Przepływ zadań wdrażania hybrydowego zabezpieczenia danych

Przed rozpoczęciem

1	Wykonywanie pierwszej konfiguracji i pobieranie plików instalacyjnych Pobierz plik OVA na komputer lokalny w celu późniejszego użycia.
2	Tworzenie certyfikatu ISO konfiguracji dla hostów trybu HDS Użyj narzędzia konfiguracji usługi HDS, aby utworzyć plik konfiguracyjny ISO dla węzłów usługi hybrydowego zabezpieczenia danych.
3	Zainstaluj OVA hosta HDS Utwórz maszynę wirtualną z pliku OVA i wykonaj konfigurację początkową, taką jak ustawienia sieciowe. Opcja konfigurowania ustawień sieciowych podczas wdrażania OVA została przetestowana z ESXi 7.0. Opcja może być niedostępna we wcześniejszych wersjach.
4	Skonfiguruj VM usługi hybrydowego zabezpieczenia danych Zaloguj się do konsoli VM i ustaw poświadczenia logowania. Skonfiguruj ustawienia sieciowe węzła, jeśli nie zostały one skonfigurowane w czasie wdrażania OVA.
5	Przesyłanie i montaż obrazu ISO w trybie HDS Skonfiguruj maszynę wirtualną z pliku konfiguracyjnego ISO utworzonego przy użyciu narzędzia konfiguracji HDS.
6	Konfigurowanie węzła HDS do integracji z serwerem proxy Jeśli środowisko sieciowe wymaga konfiguracji serwera proxy, określ typ serwera proxy, który będzie używany dla węzła, a w razie potrzeby dodaj certyfikat serwera proxy do magazynu zaufanych certyfikatów.
7	Zarejestruj pierwszy węzeł w klastrze Zarejestruj maszynę wirtualną w chmurze Cisco Webex jako węzeł usługi hybrydowego zabezpieczenia danych.
8	Utwórz i zarejestruj więcej węzłów Zakończ konfigurację klastra.
9	Aktywuj usługę HDS dla wielu dzierżaw w Partner Hub. Aktywuj usługę HDS i zarządzaj organizacjami dzierżaw w Partner Hub.

Wykonywanie pierwszej konfiguracji i pobieranie plików instalacyjnych

W tym zadaniu pobierasz plik OVA na komputer (a nie na serwery, które są skonfigurowane jako węzły usługi hybrydowego zabezpieczenia danych). Tego pliku używasz później w procesie instalacji.

1	Zaloguj się do Partner Hub, a następnie kliknij pozycję Usługi.
2	W sekcji Usługi chmury znajdź kartę usługi hybrydowego zabezpieczenia danych, a następnie kliknij przycisk Konfiguruj. Kliknięcie opcji Skonfiguruj w Partner Hub ma kluczowe znaczenie dla procesu wdrażania. Nie należy kontynuować instalacji bez wykonania tego kroku.
3	Kliknij opcję Dodaj zasób i kliknij opcję Pobierz plik OVA na karcie Zainstaluj i skonfiguruj oprogramowanie . Starsze wersje pakietu oprogramowania (OVA) nie będą zgodne z najnowszymi aktualizacjami usługi hybrydowego zabezpieczenia danych. Może to powodować problemy podczas uaktualniania aplikacji. Upewnij się, że pobierasz najnowszą wersję pliku OVA. Możesz również pobrać OVA w dowolnym momencie w sekcji Pomoc . Kliknij kolejno opcje Ustawienia > Pomoc > Pobierz oprogramowanie usługi hybrydowego zabezpieczenia danych. Plik OVA automatycznie rozpocznie się pobieranie. Zapisz plik w lokalizacji na komputerze.
4	Opcjonalnie kliknij opcję Zobacz przewodnik wdrażania hybrydowego zabezpieczenia danych , aby sprawdzić, czy jest dostępna nowsza wersja tego przewodnika.

Tworzenie certyfikatu ISO konfiguracji dla hostów trybu HDS

Proces konfiguracji usługi hybrydowego zabezpieczenia danych tworzy plik ISO. Następnie za pomocą interfejsu ISO można skonfigurować hosta usługi hybrydowego zabezpieczenia danych.

Przed rozpoczęciem

Narzędzie HDS Setup działa jako kontener platformy Docker na komputerze lokalnym. Aby uzyskać do niego dostęp, uruchom Docker na tym komputerze. Proces konfiguracji wymaga poświadczeń konta w Partner Hub z pełnymi uprawnieniami administratora.

Jeśli narzędzie konfiguracji HDS działa za serwerem proxy w środowisku, podaj ustawienia serwera proxy (serwer, port, poświadczenia) za pośrednictwem zmiennych środowiskowych Docker podczas podnoszenia kontenera Docker w kroku 5 poniżej. Ta tabela zawiera kilka możliwych zmiennych środowiskowych:

Opis

Zmienna

Serwer proxy HTTP bez uwierzytelniania

GLOBALNY_AGENT_HTTP_PROXY=http://SERWER_IP:PORT

Serwer proxy HTTPS bez uwierzytelniania

GLOBALNY_AGENT_HTTPS_PROXY=http://SERWER_IP:PORT

Serwer proxy HTTP z uwierzytelnianiem

GLOBALNY_AGENT_HTTP_PROXY=http://NAZWA_UŻYTKOWNIKA:HASŁO@SERWER_IP:PORT

Serwer proxy HTTPS z uwierzytelnianiem

GLOBALNY_AGENT_HTTPS_PROXY=http://NAZWA_UŻYTKOWNIKA:HASŁO@SERWER_IP:PORT
Wygenerowany plik ISO konfiguracji zawiera klucz główny do szyfrowania bazy danych PostgreSQL lub Microsoft SQL Server. Najnowszą kopię tego pliku należy zawsze wprowadzać zmiany w konfiguracji, takie jak:
- Poświadczenia bazy danych
- Aktualizacje certyfikatu
- Zmiany w zasadach autoryzacji
Jeśli planujesz szyfrować połączenia z bazami danych, skonfiguruj wdrożenie PostgreSQL lub SQL Server dla protokołu TLS.

1

W wierszu poleceń komputera wprowadź polecenie odpowiednie dla swojego środowiska:

W zwykłych środowiskach:

docker rmi ciscocitg/hds-konfiguracja:stabilna

W środowiskach FedRAMP:

docker rmi ciscocitg/hds-setup-fedramp:stable

Ten krok czyści poprzednie obrazy narzędzia konfiguracji HDS. Jeśli nie ma poprzednich obrazów, zwraca błąd, który można zignorować.

2

Aby zalogować się do rejestru obrazów platformy Docker, wprowadź następujące informacje:

docker login -u hdscustomersro

3

Po wyświetleniu monitu o hasło wprowadź ten skrót:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

4

Pobierz najnowszy stabilny obraz dla swojego środowiska:

W zwykłych środowiskach:

docker ciągnąć ciscocitg / hds-setup:stable

W środowiskach FedRAMP:

docker ciągnąć ciscocitg/hds-setup-fedramp:stable

5

Po zakończeniu ściągania wprowadź odpowiednie polecenie dla swojego środowiska:

W zwykłych środowiskach bez proxy:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

W zwykłych środowiskach z proxy HTTP:

docker run -p 8080:8080 --rm -it -e GLOBALNY_AGENT_HTTP_PROXY=http://SERWER_IP:PORT ciscocitg/hds-setup:stable

W zwykłych środowiskach z serwerem proxy HTTPS:

docker run -p 8080:8080 --rm -it -e GLOBALNY_AGENT_HTTPS_PROXY=http://SERWER_IP:PORT ciscocitg/hds-setup:stable

W środowiskach FedRAMP bez proxy:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

W środowiskach FedRAMP z proxy HTTP:

docker run -p 8080:8080 --rm -it -e GLOBALNY_AGENT_HTTP_PROXY=http://SERWER_IP:PORT ciscocitg/hds-setup-fedramp:stable

W środowiskach FedRAMP z proxy HTTPS:

docker run -p 8080:8080 --rm -it -e GLOBALNY_AGENT_HTTPS_PROXY=http://SERWER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Gdy kontener jest uruchomiony, zobaczysz komunikat „Serwer ekspresowy nasłuchuje na porcie 8080”.

6

Narzędzie konfiguracyjne nie obsługuje łączenia się z hostem localhost za pośrednictwem serwera http://localhost:8080. Użyj, http://127.0.0.1:8080 aby połączyć się z localhost.

Użyj przeglądarki internetowej, aby przejść do hosta lokalnego http://127.0.0.1:8080i po wyświetleniu monitu wprowadź nazwę użytkownika administratora dla Partner Hub.

Narzędzie używa tego pierwszego wpisu nazwy użytkownika w celu ustawienia środowiska dla tego konta. Następnie narzędzie wyświetla standardowy monit o zalogowanie.

7

Po wyświetleniu monitu wprowadź poświadczenia logowania administratora Partner Hub, a następnie kliknij przycisk Zaloguj , aby zezwolić na dostęp do wymaganych usług hybrydowego zabezpieczenia danych.

8

Na stronie Przegląd narzędzia konfiguracji kliknij przycisk Rozpocznij.

9

Na stronie Import ISO dostępne są następujące opcje:

Nie — jeśli tworzysz pierwszy węzeł HDS, nie masz pliku ISO do przesłania.
Tak — jeśli węzły HDS zostały już utworzone, należy wybrać plik ISO w oknie przeglądarki i przesłać go.

10

Sprawdź, czy certyfikat X.509 spełnia wymagania określone w wymaganiach certyfikatu X.509.

Jeśli nigdy wcześniej nie przesłano certyfikatu, prześlij certyfikat X.509, wprowadź hasło i kliknij przycisk Kontynuuj.
Jeśli certyfikat jest OK, kliknij przycisk Kontynuuj.
Jeśli certyfikat wygasł lub chcesz go zastąpić, wybierz opcję Nie , aby kontynuować używanie łańcucha certyfikatów HDS i klucza prywatnego z poprzedniego certyfikatu ISO?. Prześlij nowy certyfikat X.509, wprowadź hasło i kliknij przycisk Kontynuuj.

11

Wprowadź adres bazy danych i konto usługi HDS, aby uzyskać dostęp do magazynu danych klucza:

Wybierz opcję Typ bazy danych (PostgreSQL lub Microsoft SQL Server).

Po wybraniu opcji Microsoft SQL Server zostanie wyświetlone pole Typ uwierzytelniania.
(Tylko Microsoft SQL Server ) Wybierz typ uwierzytelniania:
- Uwierzytelnianie podstawowe: W polu Nazwa użytkownika należy podać lokalną nazwę konta serwera SQL.
- Uwierzytelnianie w systemie Windows: Wymagane jest konto dla systemu Windows w formacie użytkownik@DOMENA w Nazwa użytkownika pole.
Wprowadź adres serwera bazy danych w formacie : lub :.

Przykład:
dbhost.example.org:1433 lub 198.51.100.17:1433

Do uwierzytelniania podstawowego można użyć adresu IP, jeśli węzły nie mogą używać systemu DNS do rozpoznania nazwy hosta.

Jeśli używasz uwierzytelniania w systemie Windows, musisz wprowadzić w pełni kwalifikowaną nazwę domeny w formacie dbhost.example.org:1433
Wprowadź nazwę bazy danych.
Wprowadź nazwę użytkownika i hasło użytkownika ze wszystkimi uprawnieniami w bazie danych do przechowywania kluczy.

12

Wybierz tryb połączenia bazy danych TLS:

Tryb	Opis
Preferuj protokół TLS (opcja domyślna)	Węzły HDS nie wymagają protokołu TLS do łączenia się z serwerem bazy danych. Po włączeniu protokołu TLS na serwerze bazy danych węzły spróbują nawiązać szyfrowane połączenie.
Wymagaj tlS	Węzły HDS łączą się tylko wtedy, gdy serwer bazy danych może negocjować protokół TLS.
Wymagaj protokołu TLS i weryfikuj sygnatariusza certyfikatu	Ten tryb nie ma zastosowania do baz danych SQL Server. Węzły HDS łączą się tylko wtedy, gdy serwer bazy danych może negocjować protokół TLS. Po nawiązaniu połączenia TLS węzeł porównuje podpisującego certyfikat z serwera bazy danych z urzędem certyfikacji w certyfikacie głównym bazy danych. Jeśli nie są zgodne, węzeł przerywa połączenie. Użyj kontrolki certyfikatu głównego bazy danych poniżej listy rozwijanej, aby przekazać certyfikat główny dla tej opcji.
Wymagaj protokołu TLS i weryfikuj sygnatariusza certyfikatu oraz nazwę hosta	Węzły HDS łączą się tylko wtedy, gdy serwer bazy danych może negocjować protokół TLS. Po nawiązaniu połączenia TLS węzeł porównuje podpisującego certyfikat z serwera bazy danych z urzędem certyfikacji w certyfikacie głównym bazy danych. Jeśli nie są zgodne, węzeł przerywa połączenie. Węzły sprawdzają również, czy nazwa hosta w certyfikacie serwera jest zgodna z nazwą hosta w polu Host i port bazy danych . Nazwy muszą być dokładnie zgodne, w przeciwnym razie węzeł przerywa połączenie. Użyj kontrolki certyfikatu głównego bazy danych poniżej listy rozwijanej, aby przekazać certyfikat główny dla tej opcji.

Po przesłaniu certyfikatu głównego (jeśli jest to konieczne) i kliknięciu przycisku Kontynuuj, narzędzie konfiguracyjne HDS testuje połączenie TLS z serwerem bazy danych. Narzędzie weryfikuje również sygnatariusza certyfikatu i nazwę hosta, jeśli ma to zastosowanie. Jeśli test zakończy się niepowodzeniem, narzędzie wyświetli komunikat o błędzie opisujący problem. Możesz wybrać, czy zignorować błąd i kontynuować konfigurację. (Z powodu różnic w łączności węzły HDS mogą być w stanie ustanowić połączenie TLS, nawet jeśli maszyna narzędziowa do konfiguracji HDS nie może go pomyślnie przetestować).

13

Na stronie Dzienniki systemowe skonfiguruj serwer Syslogd:

Wprowadź adres URL serwera dziennika systemu.

Jeśli serwer nie jest możliwe do rozpoznania DNS z węzłów klastra HDS, użyj adresu IP w adresie URL.

Przykład:
udp://10.92.43.23:514 wskazuje na rejestrowanie do hosta Syslogd 10.92.43.23 na porcie UDP 514.
Jeśli skonfigurowano serwer do korzystania z szyfrowania TLS, zaznacz opcję Czy serwer dziennika systemu jest skonfigurowany do szyfrowania SSL?.

Po zaznaczeniu tego pola wyboru należy wprowadzić adres URL TCP, taki jak tcp://10.92.43.23:514.
Z listy rozwijanej Wybierz zakończenie zapisu dziennika systemowego wybierz odpowiednie ustawienie dla pliku ISO: Wybierz lub nowy wiersz jest używany dla graylogów i rsyslog TCP
- Bajt NULL -- \x00
- Nowy wiersz -- \n — wybierz tę opcję dla graylogów i rsyslog TCP.
Kliknij przycisk Kontynuuj.

14

(Opcjonalnie) Wartość domyślną niektórych parametrów połączenia z bazą danych można zmienić w sekcji Ustawienia zaawansowane. Ogólnie rzecz biorąc, ten parametr jest jedynym parametrem, który można zmienić:

app_datasource_connection_pool_maxRozmiar: 10

15

Kliknij przycisk Kontynuuj na ekranie Resetuj hasło do kont usług .

Okres ważności haseł do konta usługi wynosi dziewięć miesięcy. Użyj tego ekranu, gdy zbliża się wygaśnięcie haseł lub chcesz je zresetować, aby unieważnić poprzednie pliki ISO.

16

Kliknij opcję Pobierz plik ISO. Zapisz plik w miejscu, które jest łatwe do znalezienia.

17

Utwórz kopię zapasową pliku ISO w lokalnym systemie.

Zachowaj bezpieczeństwo kopii zapasowej. Ten plik zawiera główny klucz szyfrowania zawartości bazy danych. Ogranicz dostęp tylko do administratorów usługi hybrydowego zabezpieczenia danych, którzy powinni dokonać zmian w konfiguracji.

18

Aby zamknąć narzędzie konfiguracyjne, wpisz CTRL+C.

Co zrobić dalej

Utwórz kopię zapasową pliku konfiguracyjnego ISO. Potrzebujesz go, aby utworzyć więcej węzłów do odzyskania lub wprowadzić zmiany w konfiguracji. Jeśli stracisz wszystkie kopie pliku ISO, stracisz również klucz główny. Nie można odzyskać kluczy z bazy danych PostgreSQL i Microsoft SQL Server.

Nigdy nie mamy kopii tego klucza i nie możemy pomóc, jeśli go stracisz.

Zainstaluj OVA hosta HDS

Ta procedura służy do utworzenia maszyny wirtualnej z pliku OVA.

1	Użyj klienta VMware vSphere na komputerze, aby zalogować się do wirtualnego hosta ESXi.
2	Wybierz pozycję Plik > Wdróż szablon OVF.
3	W kreatorze określ lokalizację pobranego wcześniej pliku OVA, a następnie kliknij przycisk Dalej.
4	Na stronie Wybierz nazwę i folder wprowadź nazwę maszyny wirtualnej węzła (na przykład „HDS_Node_1”), wybierz lokalizację, w której może znajdować się wdrożenie węzła maszyny wirtualnej, a następnie kliknij przycisk Dalej.
5	Na stronie Wybierz zasób obliczeniowy wybierz docelowy zasób obliczeniowy, a następnie kliknij przycisk Dalej. Uruchamiane jest sprawdzenie poprawności. Po zakończeniu pojawią się szczegóły szablonu.
6	Sprawdź szczegóły szablonu, a następnie kliknij przycisk Dalej.
7	Jeśli zostaniesz poproszony o wybranie konfiguracji zasobu na stronie Konfiguracja , kliknij przycisk 4 procesora , a następnie kliknij przycisk Dalej.
8	Na stronie Wybierz miejsce do przechowywania kliknij przycisk Dalej , aby zaakceptować domyślny format dysku i zasady przechowywania VM.
9	Na stronie Wybierz sieci wybierz opcję sieci z listy pozycji, aby zapewnić żądane łączność z maszyną wirtualną.
10	Na stronie Dostosuj szablon skonfiguruj następujące ustawienia sieciowe: Nazwa hosta — wprowadź nazwę FQDN (nazwę hosta i domenę) lub nazwę hosta pojedynczego słowa dla węzła. Nie trzeba ustawiać domeny tak, aby była zgodna z domeną użytą do uzyskania certyfikatu X.509. Aby zapewnić pomyślną rejestrację w chmurze, należy używać tylko małych znaków w nazwie FQDN lub nazwie hosta ustawionej dla węzła. Kapitalizacja nie jest obecnie obsługiwana. Łączna długość nazwy FQDN nie może przekraczać 64 znaków. Adres IP — wprowadź adres IP interfejsu wewnętrznego węzła. Węzeł powinien mieć wewnętrzny adres IP i nazwę DNS. Protokół DHCP nie jest obsługiwany. Maska — wprowadź adres maski podsieci w notacji kropek. Przykład: 255.255.255.0. Brama — wprowadź adres IP bramy. Brama to węzeł sieciowy, który służy jako punkt dostępu do innej sieci. Serwery DNS — wprowadź listę serwerów DNS, które obsługują przekładanie nazw domen na liczbowe adresy IP. (Dozwolonych jest maksymalnie 4 pozycje DNS). Serwery NTP — wprowadź serwer NTP organizacji lub inny zewnętrzny serwer NTP, który może być używany w organizacji. Domyślne serwery NTP mogą nie działać w przypadku wszystkich przedsiębiorstw. Aby wprowadzić wiele serwerów NTP, można także użyć listy rozdzielonej przecinkami. Wdróż wszystkie węzły w tej samej podsieci lub sieci VLAN, aby wszystkie węzły w klastrze były dostępne od klientów w sieci do celów administracyjnych. Jeśli chcesz, możesz pominąć konfigurację ustawień sieciowych i wykonać czynności opisane w artykule Skonfiguruj maszynę wirtualną usługi hybrydowego zabezpieczenia danych , aby skonfigurować ustawienia z konsoli węzła. Opcja konfigurowania ustawień sieciowych podczas wdrażania OVA została przetestowana z ESXi 7.0. Opcja może być niedostępna we wcześniejszych wersjach.
11	Kliknij prawym przyciskiem myszy VM węzła, a następnie wybierz kolejno opcje Zasilanie > Zasilanie. Oprogramowanie hybrydowego zabezpieczenia danych jest instalowane jako gość na hoście maszyn wirtualnych. Możesz się teraz zalogować do konsoli i skonfigurować węzeł. Wskazówki dotyczące rozwiązywania problemów Może wystąpić opóźnienie o kilka minut przed pojawieniem się kontenerów węzłów. Podczas pierwszego rozruchu na konsoli pojawia się komunikat zapory mostkowej, podczas której nie można się zalogować.

Skonfiguruj VM usługi hybrydowego zabezpieczenia danych

Ta procedura umożliwia zalogowanie się po raz pierwszy w konsoli VM węzła usługi hybrydowego zabezpieczenia danych i ustawienie poświadczeń logowania. Za pomocą konsoli można również skonfigurować ustawienia sieciowe węzła, jeśli nie zostały one skonfigurowane w momencie wdrażania OVA.

1	W kliencie VMware vSphere wybierz swoją maszynę wirtualną węzła usługi hybrydowego zabezpieczenia danych i wybierz kartę Konsola . Zostanie uruchomiona maszyna wirtualna i pojawi się monit o zalogowanie. Jeśli monit o zalogowanie się nie został wyświetlony, naciśnij klawisz Enter.
2	Aby zalogować się i zmienić poświadczenia, należy użyć następującego domyślnego logowania i hasła: Logowanie: `administrator` Hasło: `cisco` Ponieważ logujesz się do maszyny wirtualnej po raz pierwszy, musisz zmienić hasło administratora.
3	Jeśli ustawienia sieciowe zostały już skonfigurowane w sekcji Zainstaluj OVA hosta HDS, pomiń pozostałą część tej procedury. W przeciwnym razie w menu głównym wybierz opcję Edytuj konfigurację .
4	Skonfiguruj statyczną konfigurację z informacjami o adresie IP, maskach, bramie i systemie DNS. Węzeł powinien mieć wewnętrzny adres IP i nazwę DNS. Protokół DHCP nie jest obsługiwany.
5	(Opcjonalnie) Zmień nazwę hosta, domenę lub serwery NTP, jeśli jest to konieczne, aby dostosować ją do zasad sieci. Nie trzeba ustawiać domeny tak, aby była zgodna z domeną użytą do uzyskania certyfikatu X.509.
6	Zapisz konfigurację sieci i uruchom ponownie maszynę wirtualną, aby zmiany zostały zastosowane.

Przesyłanie i montaż obrazu ISO w trybie HDS

Ta procedura służy do konfigurowania maszyny wirtualnej na podstawie pliku ISO utworzonego przy użyciu narzędzia konfiguracji HDS.

Przed rozpoczęciem

Ponieważ plik ISO zawiera klucz główny, powinien być on wyświetlany tylko na zasadzie „need to know”, aby uzyskać dostęp przez maszyny wirtualne usługi hybrydowego zabezpieczenia danych i wszystkich administratorów, którzy mogą potrzebować wprowadzenia zmian. Upewnij się, że tylko ci administratorzy mają dostęp do magazynu danych.

1

Prześlij plik ISO z komputera:

W lewym okienku nawigacyjnym klienta VMware vSphere kliknij serwer ESXi.
Na liście Sprzęt na karcie Konfiguracja kliknij pozycję Miejsce do przechowywania.
Na liście Magazyny danych kliknij prawym przyciskiem myszy magazyn danych dla swoich maszyn wirtualnych i kliknij opcję Przeglądaj magazyn danych.
Kliknij ikonę Prześlij pliki, a następnie kliknij pozycję Prześlij plik.
Przejdź do lokalizacji, w której pobrano plik ISO na swój komputer i kliknij opcję Otwórz.
Kliknij przycisk Tak , aby zaakceptować ostrzeżenie dotyczące operacji przesyłania/pobierania i zamknąć okno dialogowe magazynu danych.

2

Montaż pliku ISO:

W lewym okienku nawigacji klienta VMware vSphere kliknij prawym przyciskiem myszy maszynę wirtualną i kliknij opcję Edytuj ustawienia.
Kliknij OK , aby zaakceptować ostrzeżenie dotyczące opcji edycji ograniczonej.
Kliknij Dysk CD/DVD 1, wybierz opcję montażu z pliku ISO magazynu danych i przejdź do lokalizacji, w której przesłano plik ISO konfiguracji.
Sprawdź Połączono i Połącz przy włączonym zasilaniu.
Zapisz zmiany i ponownie uruchom maszynę wirtualną.

Co zrobić dalej

Jeśli wymagają tego zasady IT, możesz opcjonalnie odinstalować plik ISO, gdy wszystkie węzły przejdą zmiany konfiguracji. Szczegółowe informacje zawiera temat (Opcjonalnie) Odmontowywanie certyfikatu ISO po konfiguracji HDS .

Konfigurowanie węzła HDS do integracji z serwerem proxy

Jeśli środowisko sieciowe wymaga serwera proxy, użyj tej procedury, aby określić typ serwera proxy, który chcesz zintegrować z hybrid Data Security. Jeśli wybierzesz przezroczysty serwer proxy inspekcji lub jawny serwer proxy HTTPS, możesz użyć interfejsu węzła do przekazania i zainstalowania certyfikatu głównego. Możesz także sprawdzić połączenie proxy z poziomu interfejsu i rozwiązać wszelkie potencjalne problemy.

Przed rozpoczęciem

Zobacz Obsługa serwera proxy, aby zapoznać się z omówieniem obsługiwanych opcji serwera proxy.
Wymagania dotyczące serwera proxy

1	Wprowadź adres URL konfiguracji węzła HDS `https://[HDS Node IP or FQDN]/setup` w przeglądarce sieci Web, wprowadź poświadczenia administratora skonfigurowane dla węzła, a następnie kliknij przycisk Zaloguj.
2	Przejdź do pozycji Sklep zaufania i serwer proxy, a następnie wybierz opcję: Brak serwera proxy — opcja domyślna przed zintegrowaniem serwera proxy. Aktualizacja certyfikatu nie jest wymagana. Przezroczysty, nieweryfikujący serwer proxy — węzły nie są skonfigurowane do używania konkretnego adresu serwera proxy i nie powinny wymagać żadnych zmian, aby pracować z nieweryfikowanym serwerem proxy. Aktualizacja certyfikatu nie jest wymagana. Przezroczysty serwer proxy sprawdzający — węzły nie są skonfigurowane do używania konkretnego adresu serwera proxy. We wdrożeniu Hybrid Data Security nie są konieczne żadne zmiany konfiguracji protokołu HTTPS, jednak węzły HDS potrzebują certyfikatu głównego, aby ufać serwerowi proxy. Inspekcja serwerów proxy jest zwykle używana przez IT do egzekwowania zasad, na których można odwiedzać witryny internetowe, a które nie są dozwolone. Ten typ serwera proxy odszyfrowuje cały ruch (nawet HTTPS). Jawny serwer proxy — przy użyciu jawnego serwera proxy można wskazać klientowi (węzły HDS), którego serwera proxy ma być używany, a ta opcja obsługuje kilka typów uwierzytelniania. Po wybraniu tej opcji należy wprowadzić następujące informacje: Adres IP/FQDN serwera proxy — adres, za pomocą którego można uzyskać dostęp do maszyny proxy. Port serwera proxy — numer portu, którego serwer proxy używa do nasłuchiwania ruchu proxy. Protokół proxy Protocol — wybierz opcję http (wyświetla i steruje wszystkimi żądaniami otrzymywanymi od klienta) lub https (udostępnia kanał do serwera, a klient odbiera i sprawdza certyfikat serwera). Wybierz opcję na podstawie tego, co obsługuje Twój serwer proxy. Typ uwierzytelniania — wybierz jeden z następujących typów uwierzytelniania: Brak — dalsze uwierzytelnianie nie jest wymagane. Dostępne dla serwerów proxy HTTP lub HTTPS. Podstawowe — używane w przypadku agenta użytkownika HTTP w celu podania nazwy użytkownika i hasła podczas wykonywania żądania. Używa kodowania Base64. Dostępne dla serwerów proxy HTTP lub HTTPS. W przypadku wybrania tej opcji należy również wprowadzić nazwę użytkownika i hasło. Szyfrowanie — służy do potwierdzania konta przed wysłaniem poufnych informacji. Stosuje funkcję skrótu do nazwy użytkownika i hasła przed wysłaniem przez sieć. Dostępne tylko dla serwerów proxy HTTPS. W przypadku wybrania tej opcji należy również wprowadzić nazwę użytkownika i hasło. Wykonaj kolejne kroki, aby uzyskać przezroczysty serwer proxy inspekcji, jawny serwer proxy HTTP z uwierzytelnianiem podstawowym lub jawny serwer proxy HTTPS.
3	Kliknij przycisk Przekaż certyfikat główny lub Certyfikat jednostkikońcowej , a następnie przejdź do wybierz certyfikat główny dla serwera proxy. Certyfikat został przekazany, ale nie został jeszcze zainstalowany, ponieważ należy ponownie uruchomić węzeł, aby zainstalować certyfikat. Kliknij strzałkę cudzysłów ostrokątnych przy nazwie wystawcy certyfikatu, aby uzyskać więcej szczegółów, lub kliknij przycisk Usuń, jeśli popełnisz błąd i chcesz ponownie przesłać plik.
4	Kliknij przycisk Sprawdź połączenie z serwerem proxy, aby przetestować łączność sieciową między węzłem a serwerem proxy. Jeśli test połączenia zakończy się niepowodzeniem, zostanie wyświetlony komunikat o błędzie z przyczyną i sposobem rozwiązania problemu. Jeśli zostanie wyświetlony komunikat informujący, że zewnętrzne rozpoznawanie nazw DNS nie powiodło się, oznacza to, że węzeł nie może połączyć się z serwerem DNS. Ten warunek jest oczekiwany w wielu jawnych konfiguracjach proxy. Możesz kontynuować konfigurację, a węzeł będzie działać w trybie zablokowanej zewnętrznej rozdzielczości DNS. Jeśli uważasz, że jest to błąd, wykonaj te czynności, a następnie zobacz Wyłącz zablokowany zewnętrzny tryb rozdzielczości DNS.
5	Po przejściu testu połączenia, dla jawnego serwera proxy ustawionego tylko na https, włącz przełącznik na Kieruj wszystkie żądania https portu 443/444 z tego węzła za pośrednictwem jawnego serwera proxy. To ustawienie wymaga 15 sekund, aby zostało wprowadzone.
6	Kliknij opcję Zainstaluj wszystkie certyfikaty w magazynie zaufania (pojawia się w przypadku jawnego serwera proxy HTTPS lub przezroczystego serwera proxy inspekcji) lub Uruchom ponownie (pojawia się w przypadku jawnego serwera proxy HTTP), przeczytaj monit, a następnie kliknij przycisk Zainstaluj, jeśli wszystko jest gotowe. Węzeł uruchomi się ponownie w ciągu kilku minut.
7	Po ponownym uruchomieniu węzła zaloguj się ponownie, jeśli to konieczne, a następnie otwórz stronę Przegląd, aby sprawdzić kontrole łączności, aby upewnić się, że wszystkie są w stanie zielonym. Sprawdzanie połączenia proxy testuje tylko subdomenę webex.com. Jeśli występują problemy z łącznością, typowym problemem jest to, że niektóre domeny chmury wymienione w instrukcjach instalacji są blokowane na serwerze proxy.

Zarejestruj pierwszy węzeł w klastrze

To zadanie pobiera ogólny węzeł utworzony w oknie Skonfiguruj VM usługi hybrydowego zabezpieczenia danych, rejestruje węzeł w chmurze Webex i przekształca go w węzeł usługi hybrydowego zabezpieczenia danych.

Po zarejestrowaniu pierwszego węzła tworzony jest klaster, do którego przypisany jest węzeł. Klaster zawiera co najmniej jeden węzeł wdrożony w celu zapewnienia redundancji.

Przed rozpoczęciem

Po rozpoczęciu rejestracji węzła należy ją wykonać w ciągu 60 minut lub rozpocząć od nowa.
Upewnij się, że wszystkie blokery wyskakujące w przeglądarce są wyłączone lub zezwalasz na wyjątek dla witryny admin.webex.com.

1	Zaloguj się w https://admin.webex.com.
2	Z menu po lewej stronie ekranu wybierz pozycję Usługi.
3	W sekcji Usługi chmury znajdź kartę usługi hybrydowego zabezpieczenia danych i kliknij przycisk Konfiguruj.
4	Na otwieranej stronie kliknij pozycję Dodaj zasób.
5	W pierwszym polu karty Dodaj węzeł wprowadź nazwę klastra, do którego chcesz przypisać węzeł usługi hybrydowego zabezpieczenia danych. Zalecamy nadanie nazwy klastra na podstawie tego, gdzie znajdują się węzły klastra. Przykłady: „San Francisco”, „Nowy Jork” lub „Dallas”
6	W drugim polu wprowadź wewnętrzny adres IP lub w pełni kwalifikowaną nazwę domeny (FQDN) węzła i kliknij opcję Dodaj u dołu ekranu. Ten adres IP lub w pełni kwalifikowana nazwa domeny (FQDN) powinny być zgodne z adresem IP lub nazwą hosta i domeną użytymi w części Konfigurowanie maszyny wirtualnej usługi hybrydowego zabezpieczenia danych. Zostanie wyświetlony komunikat informujący, że możesz zarejestrować węzeł w usłudze Webex.
7	Kliknij opcję Przejdź do węzła. Po kilku chwilach nastąpi przekierowanie do testów łączności z węzłem dla usług Webex. Jeśli wszystkie testy zakończą się pomyślnie, zostanie wyświetlona strona Zezwól na dostęp do węzła usługi hybrydowego zabezpieczenia danych. Tam potwierdzasz, że chcesz przyznać swojej organizacji Webex uprawnienia do dostępu do węzła.
8	Zaznacz pole wyboru Zezwól na dostęp do węzła usługi hybrydowego zabezpieczenia danych , a następnie kliknij przycisk Kontynuuj. Konto zostało zweryfikowane, a komunikat „Rejestracja zakończona” wskazuje, że węzeł jest teraz zarejestrowany w chmurze Webex.
9	Kliknij łącze lub zamknij kartę, aby wrócić do strony hybrydowego zabezpieczenia danych w Partner Hub. Na stronie Hybrydowe zabezpieczenia danych na karcie Zasoby jest wyświetlany nowy klaster zawierający zarejestrowany węzeł. Węzeł automatycznie pobierze najnowsze oprogramowanie z chmury.

Utwórz i zarejestruj więcej węzłów

Aby dodać dodatkowe węzły do klastra, po prostu utwórz dodatkowe maszyny wirtualne i zamontuj ten sam plik ISO konfiguracji, a następnie zarejestruj węzeł. Zalecamy posiadanie co najmniej 3 węzłów.

Przed rozpoczęciem

Po rozpoczęciu rejestracji węzła należy ją wykonać w ciągu 60 minut lub rozpocząć od nowa.
Upewnij się, że wszystkie blokery wyskakujące w przeglądarce są wyłączone lub zezwalasz na wyjątek dla witryny admin.webex.com.

1	Utwórz nową maszynę wirtualną z OVA, powtarzając kroki w Zainstaluj OVA hosta HDS.
2	Skonfiguruj początkową konfigurację na nowej maszynie wirtualnej, powtarzając kroki w artykule Konfigurowanie maszyny wirtualnej usługi hybrydowego zabezpieczenia danych.
3	Na nowej maszynie wirtualnej powtórz czynności opisane w artykule Prześlij i zamontuj certyfikat ISO konfiguracji HDS.
4	Jeśli konfigurujesz serwer proxy dla swojego wdrożenia, powtórz kroki w artykule Konfigurowanie węzła HDS dla integracji serwera proxy w zależności od potrzeb dla nowego węzła.
5	Zarejestruj węzeł. W aplikacji https://admin.webex.com wybierz pozycję Usługi z menu po lewej stronie ekranu. W sekcji Usługi chmury znajdź kartę usługi hybrydowego zabezpieczenia danych i kliknij opcję Wyświetl wszystko. Zastanie wyświetlona strona zasobów hybrydowego zabezpieczenia danych. Nowo utworzony klaster pojawi się na stronie Zasoby . Kliknij klaster, aby wyświetlić węzły przypisane do klastra. Kliknij Dodaj węzeł po prawej stronie ekranu. Wprowadź wewnętrzny adres IP lub w pełni kwalifikowaną nazwę domeny (FQDN) węzła i kliknij przycisk Dodaj. Zostanie otwarta strona z komunikatem informującym, że możesz zarejestrować węzeł w chmurze Webex. Po kilku chwilach nastąpi przekierowanie do testów łączności z węzłem dla usług Webex. Jeśli wszystkie testy zakończą się pomyślnie, zostanie wyświetlona strona Zezwól na dostęp do węzła usługi hybrydowego zabezpieczenia danych. Potwierdzasz tam, że chcesz przyznać swojej organizacji uprawnienia do dostępu do węzła. Zaznacz pole wyboru Zezwól na dostęp do węzła usługi hybrydowego zabezpieczenia danych , a następnie kliknij przycisk Kontynuuj. Konto zostało zweryfikowane, a komunikat „Rejestracja zakończona” wskazuje, że węzeł jest teraz zarejestrowany w chmurze Webex. Kliknij łącze lub zamknij kartę, aby wrócić do strony hybrydowego zabezpieczenia danych w Partner Hub. Komunikat wyskakujący o dodanym węźle pojawia się również w dolnej części ekranu w Partner Hub. Twój węzeł jest zarejestrowany.

Zarządzanie organizacjami dzierżaw w usłudze hybrydowego zabezpieczenia danych dla wielu dzierżaw

Aktywuj usługę HDS dla wielu dzierżaw w Partner Hub

To zadanie gwarantuje, że wszyscy użytkownicy w organizacjach klientów mogą zacząć korzystać z usług HDS dla lokalnych kluczy szyfrowania i innych usług zabezpieczeń.

Przed rozpoczęciem

Upewnij się, że konfiguracja klastra HDS dla wielu dzierżaw została zakończona z wymaganą liczbą węzłów.

1	Zaloguj się w https://admin.webex.com.
2	Z menu po lewej stronie ekranu wybierz pozycję Usługi.
3	W sekcji Usługi chmury znajdź usługę hybrydowego zabezpieczenia danych i kliknij opcję Edytuj ustawienia.
4	Kliknij opcję Aktywuj tryb HDS na karcie Stan trybu HDS .

Dodaj organizacje dzierżawców w Partner Hub

W tym zadaniu przypisujesz organizacje klientów do swojego klastra hybrydowego zabezpieczenia danych.

1	Zaloguj się w https://admin.webex.com.
2	Z menu po lewej stronie ekranu wybierz pozycję Usługi.
3	W sekcji Usługi chmury znajdź usługę hybrydowego zabezpieczenia danych i kliknij opcję Wyświetl wszystko.
4	Kliknij klaster, do którego chcesz przypisać klienta.
5	Przejdź do karty Przypisani klienci .
6	Kliknij opcję Dodaj klientów.
7	Wybierz z menu rozwijanego klienta, którego chcesz dodać.
8	Kliknij Dodaj, klient zostanie dodany do klastra.
9	Powtórz kroki od 6 do 8, aby dodać wielu klientów do klastra.
10	Po dodaniu klientów kliknij przycisk Gotowe w dolnej części ekranu.

Co zrobić dalej

Uruchom narzędzie do konfiguracji usługi HDS zgodnie z opisem w części Utwórz klucze główne klienta (CMK) za pomocą narzędzia do konfiguracji usługi HDS , aby dokończyć proces konfiguracji.

Tworzenie kluczy głównych klientów (CMK) za pomocą narzędzia konfiguracji HDS

Przed rozpoczęciem

Przypisz klientów do odpowiedniego klastra zgodnie z opisem w sekcji Dodaj organizacje dzierżawy w Partner Hub. Uruchom narzędzie Konfiguracja usług HDS, aby zakończyć proces konfiguracji nowo dodanych organizacji klientów.

Narzędzie HDS Setup działa jako kontener platformy Docker na komputerze lokalnym. Aby uzyskać do niego dostęp, uruchom Docker na tym komputerze. Proces konfiguracji wymaga poświadczeń konta w Partner Hub z pełnymi uprawnieniami administratora dla Twojej organizacji.

Jeśli narzędzie konfiguracji HDS działa za serwerem proxy w środowisku, podaj ustawienia serwera proxy (serwer, port, poświadczenia) przez zmienne środowiskowe Docker podczas podnoszenia kontenera Docker w kroku 5. Ta tabela zawiera kilka możliwych zmiennych środowiskowych:

Opis	Zmienna
Serwer proxy HTTP bez uwierzytelniania	`GLOBALNY_AGENT_HTTP_PROXY=http://SERWER_IP:PORT`
Serwer proxy HTTPS bez uwierzytelniania	`GLOBALNY_AGENT_HTTPS_PROXY=http://SERWER_IP:PORT`
Serwer proxy HTTP z uwierzytelnianiem	`GLOBALNY_AGENT_HTTP_PROXY=http://NAZWA_UŻYTKOWNIKA:HASŁO@SERWER_IP:PORT`
Serwer proxy HTTPS z uwierzytelnianiem	`GLOBALNY_AGENT_HTTPS_PROXY=http://NAZWA_UŻYTKOWNIKA:HASŁO@SERWER_IP:PORT`

Wygenerowany plik ISO konfiguracji zawiera klucz główny do szyfrowania bazy danych PostgreSQL lub Microsoft SQL Server. Najnowszą kopię tego pliku należy zawsze wprowadzać zmiany w konfiguracji, takie jak:
- Poświadczenia bazy danych
- Aktualizacje certyfikatu
- Zmiany w zasadach autoryzacji
Jeśli planujesz szyfrować połączenia z bazami danych, skonfiguruj wdrożenie PostgreSQL lub SQL Server dla protokołu TLS.

Proces konfiguracji usługi hybrydowego zabezpieczenia danych tworzy plik ISO. Następnie za pomocą interfejsu ISO można skonfigurować hosta usługi hybrydowego zabezpieczenia danych.

1	W wierszu poleceń komputera wprowadź polecenie odpowiednie dla swojego środowiska: W zwykłych środowiskach: `docker rmi ciscocitg/hds-konfiguracja:stabilna` W środowiskach FedRAMP: `docker rmi ciscocitg/hds-setup-fedramp:stable` Ten krok czyści poprzednie obrazy narzędzia konfiguracji HDS. Jeśli nie ma poprzednich obrazów, zwraca błąd, który można zignorować.
2	Aby zalogować się do rejestru obrazów platformy Docker, wprowadź następujące informacje: `docker login -u hdscustomersro`
3	Po wyświetleniu monitu o hasło wprowadź ten skrót: `dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo`
4	Pobierz najnowszy stabilny obraz dla swojego środowiska: W zwykłych środowiskach: `docker ciągnąć ciscocitg / hds-setup:stable` W środowiskach FedRAMP: `docker ciągnąć ciscocitg/hds-setup-fedramp:stable`
5	Po zakończeniu ściągania wprowadź odpowiednie polecenie dla swojego środowiska: W zwykłych środowiskach bez proxy: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable` W zwykłych środowiskach z proxy HTTP: `docker run -p 8080:8080 --rm -it -e GLOBALNY_AGENT_HTTP_PROXY=http://SERWER_IP:PORT ciscocitg/hds-setup:stable` W zwykłych środowiskach z serwerem proxy HTTPS: `docker run -p 8080:8080 --rm -it -e GLOBALNY_AGENT_HTTPS_PROXY=http://SERWER_IP:PORT ciscocitg/hds-setup:stable` W środowiskach FedRAMP bez proxy: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable` W środowiskach FedRAMP z proxy HTTP: `docker run -p 8080:8080 --rm -it -e GLOBALNY_AGENT_HTTP_PROXY=http://SERWER_IP:PORT ciscocitg/hds-setup-fedramp:stable` W środowiskach FedRAMP z proxy HTTPS: `docker run -p 8080:8080 --rm -it -e GLOBALNY_AGENT_HTTPS_PROXY=http://SERWER_IP:PORT ciscocitg/hds-setup-fedramp:stable` Gdy kontener jest uruchomiony, zobaczysz komunikat „Serwer ekspresowy nasłuchuje na porcie 8080”.
6	Narzędzie konfiguracyjne nie obsługuje łączenia się z hostem localhost za pośrednictwem serwera http://localhost:8080. Użyj, http://127.0.0.1:8080 aby połączyć się z localhost. Użyj przeglądarki internetowej, aby przejść do hosta lokalnego `http://127.0.0.1:8080`i po wyświetleniu monitu wprowadź nazwę użytkownika administratora dla Partner Hub. Narzędzie używa tego pierwszego wpisu nazwy użytkownika w celu ustawienia środowiska dla tego konta. Następnie narzędzie wyświetla standardowy monit o zalogowanie.
7	Po wyświetleniu monitu wprowadź poświadczenia logowania administratora Partner Hub, a następnie kliknij przycisk Zaloguj , aby zezwolić na dostęp do wymaganych usług hybrydowego zabezpieczenia danych.
8	Na stronie Przegląd narzędzia konfiguracji kliknij przycisk Rozpocznij.
9	Na stronie Import ISO kliknij przycisk Tak.
10	Wybierz plik ISO w przeglądarce i prześlij go. Aby wykonać zarządzanie CMK, zapewnij połączenie z bazą danych.
11	Przejdź do karty Zarządzanie CMK dzierżawy , na której znajdziesz następujące trzy sposoby zarządzania CMK dzierżawy. Utwórz CMK dla wszystkich organizacji lub Utwórz CMK — kliknij ten przycisk na banerze u góry ekranu, aby utworzyć CMK dla wszystkich nowo dodanych organizacji. Kliknij przycisk Zarządzaj CMK po prawej stronie ekranu i kliknij przycisk Utwórz CMK , aby utworzyć CMK dla wszystkich nowo dodanych organizacji. Kliknij … w pobliżu oczekującego na status określonej organizacji w tabeli zarządzania CMK i kliknij przycisk Utwórz CMK , aby utworzyć CMK dla tej organizacji.
12	Po pomyślnym utworzeniu CMK stan w tabeli zostanie zmieniony z oczekującego zarządzania CMK na zarządzane CMK.
13	Jeśli tworzenie CMK nie powiedzie się, zostanie wyświetlony błąd.

Usuń organizacje dzierżaw

Przed rozpoczęciem

Po usunięciu użytkownicy organizacji klientów nie będą mogli korzystać z usługi HDS dla potrzeb szyfrowania i utracą wszystkie istniejące obszary. Przed usunięciem organizacji klientów skontaktuj się z partnerem lub opiekunem klienta Cisco.

1	Zaloguj się w https://admin.webex.com.
2	Z menu po lewej stronie ekranu wybierz pozycję Usługi.
3	W sekcji Usługi chmury znajdź usługę hybrydowego zabezpieczenia danych i kliknij opcję Wyświetl wszystko.
4	Na karcie Zasoby kliknij klaster, z którego chcesz usunąć organizacje klientów.
5	Na stronie, która się otworzy, kliknij pozycję Przypisani klienci.
6	Z wyświetlonej listy organizacji klientów kliknij ... po prawej stronie organizacji klienta, którą chcesz usunąć, i kliknij pozycję Usuń z klastra.

Co zrobić dalej

Zakończ proces usuwania, odwołując kody CMK organizacji klientów zgodnie z opisem w części Unieważnij kody CMK dzierżaw usuniętych z HDS.

Unieważnij CMK dzierżaw usuniętych z HDS.

Przed rozpoczęciem

Usuń klientów z odpowiedniego klastra, jak opisano w części Usuń organizacje dzierżawy. Uruchom narzędzie Konfiguracja usług HDS, aby zakończyć proces usuwania organizacji klientów, które zostały usunięte.

Narzędzie HDS Setup działa jako kontener platformy Docker na komputerze lokalnym. Aby uzyskać do niego dostęp, uruchom Docker na tym komputerze. Proces konfiguracji wymaga poświadczeń konta w Partner Hub z pełnymi uprawnieniami administratora dla Twojej organizacji.

Jeśli narzędzie konfiguracji HDS działa za serwerem proxy w środowisku, podaj ustawienia serwera proxy (serwer, port, poświadczenia) przez zmienne środowiskowe Docker podczas podnoszenia kontenera Docker w kroku 5. Ta tabela zawiera kilka możliwych zmiennych środowiskowych:

Opis	Zmienna
Serwer proxy HTTP bez uwierzytelniania	`GLOBALNY_AGENT_HTTP_PROXY=http://SERWER_IP:PORT`
Serwer proxy HTTPS bez uwierzytelniania	`GLOBALNY_AGENT_HTTPS_PROXY=http://SERWER_IP:PORT`
Serwer proxy HTTP z uwierzytelnianiem	`GLOBALNY_AGENT_HTTP_PROXY=http://NAZWA_UŻYTKOWNIKA:HASŁO@SERWER_IP:PORT`
Serwer proxy HTTPS z uwierzytelnianiem	`GLOBALNY_AGENT_HTTPS_PROXY=http://NAZWA_UŻYTKOWNIKA:HASŁO@SERWER_IP:PORT`

Wygenerowany plik ISO konfiguracji zawiera klucz główny do szyfrowania bazy danych PostgreSQL lub Microsoft SQL Server. Najnowszą kopię tego pliku należy zawsze wprowadzać zmiany w konfiguracji, takie jak:
- Poświadczenia bazy danych
- Aktualizacje certyfikatu
- Zmiany w zasadach autoryzacji
Jeśli planujesz szyfrować połączenia z bazami danych, skonfiguruj wdrożenie PostgreSQL lub SQL Server dla protokołu TLS.

Proces konfiguracji usługi hybrydowego zabezpieczenia danych tworzy plik ISO. Następnie za pomocą interfejsu ISO można skonfigurować hosta usługi hybrydowego zabezpieczenia danych.

1	W wierszu poleceń komputera wprowadź polecenie odpowiednie dla swojego środowiska: W zwykłych środowiskach: `docker rmi ciscocitg/hds-konfiguracja:stabilna` W środowiskach FedRAMP: `docker rmi ciscocitg/hds-setup-fedramp:stable` Ten krok czyści poprzednie obrazy narzędzia konfiguracji HDS. Jeśli nie ma poprzednich obrazów, zwraca błąd, który można zignorować.
2	Aby zalogować się do rejestru obrazów platformy Docker, wprowadź następujące informacje: `docker login -u hdscustomersro`
3	Po wyświetleniu monitu o hasło wprowadź ten skrót: `dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo`
4	Pobierz najnowszy stabilny obraz dla swojego środowiska: W zwykłych środowiskach: `docker ciągnąć ciscocitg / hds-setup:stable` W środowiskach FedRAMP: `docker ciągnąć ciscocitg/hds-setup-fedramp:stable`
5	Po zakończeniu ściągania wprowadź odpowiednie polecenie dla swojego środowiska: W zwykłych środowiskach bez proxy: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable` W zwykłych środowiskach z proxy HTTP: `docker run -p 8080:8080 --rm -it -e GLOBALNY_AGENT_HTTP_PROXY=http://SERWER_IP:PORT ciscocitg/hds-setup:stable` W zwykłych środowiskach z serwerem proxy HTTPS: `docker run -p 8080:8080 --rm -it -e GLOBALNY_AGENT_HTTPS_PROXY=http://SERWER_IP:PORT ciscocitg/hds-setup:stable` W środowiskach FedRAMP bez proxy: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable` W środowiskach FedRAMP z proxy HTTP: `docker run -p 8080:8080 --rm -it -e GLOBALNY_AGENT_HTTP_PROXY=http://SERWER_IP:PORT ciscocitg/hds-setup-fedramp:stable` W środowiskach FedRAMP z proxy HTTPS: `docker run -p 8080:8080 --rm -it -e GLOBALNY_AGENT_HTTPS_PROXY=http://SERWER_IP:PORT ciscocitg/hds-setup-fedramp:stable` Gdy kontener jest uruchomiony, zobaczysz komunikat „Serwer ekspresowy nasłuchuje na porcie 8080”.
6	Narzędzie konfiguracyjne nie obsługuje łączenia się z hostem localhost za pośrednictwem serwera http://localhost:8080. Użyj, http://127.0.0.1:8080 aby połączyć się z localhost. Użyj przeglądarki internetowej, aby przejść do hosta lokalnego `http://127.0.0.1:8080`i po wyświetleniu monitu wprowadź nazwę użytkownika administratora dla Partner Hub. Narzędzie używa tego pierwszego wpisu nazwy użytkownika w celu ustawienia środowiska dla tego konta. Następnie narzędzie wyświetla standardowy monit o zalogowanie.
7	Po wyświetleniu monitu wprowadź poświadczenia logowania administratora Partner Hub, a następnie kliknij przycisk Zaloguj , aby zezwolić na dostęp do wymaganych usług hybrydowego zabezpieczenia danych.
8	Na stronie Przegląd narzędzia konfiguracji kliknij przycisk Rozpocznij.
9	Na stronie Import ISO kliknij przycisk Tak.
10	Wybierz plik ISO w przeglądarce i prześlij go.
11	Przejdź do karty Zarządzanie CMK dzierżawy , na której znajdziesz następujące trzy sposoby zarządzania CMK dzierżawy. Unieważnij CMK dla wszystkich organizacji lub Unieważnij CMK — kliknij ten przycisk na banerze u góry ekranu, aby unieważnić CMK wszystkich organizacji, które zostały usunięte. Kliknij przycisk Zarządzaj CMK po prawej stronie ekranu i kliknij przycisk Unieważnij CMK , aby unieważnić CMK wszystkich organizacji, które zostały usunięte. Kliknij w pobliżu stanu CMK, aby unieważnić konkretną organizację, a następnie kliknij przycisk Unieważnij CMK , aby unieważnić CMK dla danej organizacji.
12	Po pomyślnym odwołaniu CMK organizacja klienta nie będzie już widoczna w tabeli.
13	Jeśli unieważnienie CMK nie powiedzie się, zostanie wyświetlony błąd.

Przetestuj swoje wdrożenie usługi hybrydowego zabezpieczenia danych

Ta procedura służy do testowania scenariuszy szyfrowania usługi hybrydowego zabezpieczenia danych dla wielu dzierżaw.

Przed rozpoczęciem

Skonfiguruj wdrożenie usługi hybrydowego zabezpieczenia danych dla wielu dzierżawców.
Upewnij się, że masz dostęp do dziennika systemowego, aby sprawdzić, czy żądania kluczy są przekazywane do wdrożenia hybrydowego zabezpieczenia danych z wieloma dzierżawcami.

1

Twórca obszaru ustawia klawisze dla danego obszaru. Zaloguj się do aplikacji Webex jako jeden z użytkowników organizacji klienta, a następnie utwórz obszar.

Po dezaktywacji wdrożenia usługi hybrydowego zabezpieczenia danych treści w obszarach utworzonych przez użytkowników nie będą już dostępne po zastąpieniu kopii kluczy szyfrowania zapisanych w pamięci podręcznej klienta.

2

Wysyłaj wiadomości do nowego obszaru.

3

Sprawdź dane wyjściowe dziennika systemu, aby sprawdzić, czy żądania kluczy są przekazywane do wdrożenia usługi hybrydowego zabezpieczenia danych.

Aby sprawdzić, czy użytkownik najpierw ustanawia bezpieczny kanał do serwera KMS, odfiltruj w interfejsie kms.data.method=create i kms.data.type=EFEMERAL_KEY_COLLECTION:

Należy znaleźć wpis taki jak następujący (identyfikatory skrócone dla czytelności):

2020-07-21 17:35:34.562 (+0000) INFORMACJE KMS [pool-14-thread-1] — [KMS:REQUEST] odebrano, identyfikator urządzenia: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EFEMERAL_KEY_COLLECTION, kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

Aby sprawdzić, czy użytkownik żąda istniejącego klucza z serwera KMS, odfiltruj dane w interfejsie kms.data.method=retrieve i kms.data.type=KEY:

Znajdziesz tam następujące pozycje:

2020-07-21 17:44:19.889 (+0000) INFORMACJE KMS [pool-14-thread-31] — [KMS:REQUEST] odebrano, identyfikator urządzenia: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

Aby sprawdzić użytkownika z prośbą o utworzenie nowego klucza KMS, odfiltruj według ustawień kms.data.method=create i kms.data.type=KEY_COLLECTION:

Znajdziesz tam następujące pozycje:

2020-07-21 17:44:21.975 (+0000) INFORMACJE KMS [pool-14-thread-33] - [KMS:REQUEST] odebrano, identyfikator urządzenia: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

Aby sprawdzić, czy użytkownik z prośbą o utworzenie nowego obiektu zasobów KMS (KRO) podczas tworzenia obszaru lub innego chronionego zasobu, odfiltruj według ustawień kms.data.method=create i kms.data.type=RESOURCE_COLLECTION:

Znajdziesz tam następujące pozycje:

2020-07-21 17:44:22.808 (+0000) INFORMACJE KMS [pool-15-thread-1] — [KMS:REQUEST] odebrano, identyfikator urządzenia: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

Monitoruj stan hybrydowego zabezpieczenia danych

Wskaźnik stanu w Partner Hub pokazuje, czy wszystko działa dobrze z wdrożeniem hybrydowego zabezpieczenia danych dla wielu dzierżawców. Aby uzyskać bardziej aktywne alerty, zarejestruj się w celu otrzymywania powiadomień e-mail. Będziesz otrzymywać powiadomienia w przypadku alarmów dotyczących usługi lub uaktualnień oprogramowania.

1	W Partner Hub wybierz pozycję Usługi z menu po lewej stronie ekranu.
2	W sekcji Usługi chmury znajdź usługę hybrydowego zabezpieczenia danych i kliknij opcję Edytuj ustawienia. Zastanie wyświetlona strona ustawień usługi hybrydowego zabezpieczenia danych.
3	W sekcji Powiadomienia e-mail wpisz co najmniej jeden adres e-mail oddzielony przecinkami i naciśnij klawisz Enter.

Zarządzaj wdrożeniem urządzeń HDS

Zarządzaj wdrożeniem usług HDS

Do zarządzania wdrożeniem usługi hybrydowego zabezpieczenia danych służą opisane w tym miejscu zadania.

Ustaw harmonogram uaktualniania klastra

Aktualizacje oprogramowania usługi hybrydowego zabezpieczenia danych są wykonywane automatycznie na poziomie klastra, co zapewnia, że na wszystkich węzłach zawsze działa ta sama wersja oprogramowania. Uaktualnienia są wykonywane zgodnie z harmonogramem uaktualniania klastra. Po udostępnieniu uaktualnienia oprogramowania masz możliwość ręcznego uaktualnienia klastra przed zaplanowaną godziną uaktualnienia. Możesz ustawić określony harmonogram uaktualniania lub użyć domyślnego harmonogramu aktualizacji 3:00 czasu AM Daily, Stany Zjednoczone: Ameryka/Los Angeles. W razie potrzeby możesz także zdecydować się na odroczenie nadchodzącego uaktualnienia.

Aby ustawić harmonogram uaktualniania:

1	Zaloguj się do Centrum partnerów.
2	Z menu po lewej stronie ekranu wybierz pozycję Usługi.
3	W sekcji Usługi chmury znajdź usługę hybrydowego zabezpieczenia danych i kliknij opcję Skonfiguruj
4	Na stronie Zasoby hybrydowego zabezpieczenia danych wybierz klaster.
5	Kliknij kartę Ustawienia klastra .
6	Na stronie Ustawienia klastra w obszarze Harmonogram uaktualniania wybierz strefę czasową i strefę czasową harmonogramu uaktualniania. Uwaga: W strefie czasowej wyświetlana jest kolejna dostępna data i godzina uaktualnienia. W razie potrzeby można odroczyć uaktualnienie na następny dzień, klikając opcję Odłóż o 24 godziny.

Zmień konfigurację węzła

Czasami może być konieczna zmiana konfiguracji węzła Hybrid Data Security z takiego powodu, jak:

Zmiana certyfikatów x.509 z powodu wygaśnięcia lub z innych powodów.

Nie obsługujemy zmiany nazwy domeny CN certyfikatu. Domena musi być zgodna z oryginalną domeną użytą do rejestracji klastra.
Aktualizacja ustawień bazy danych w celu zmiany na replikę bazy danych PostgreSQL lub Microsoft SQL Server.

Nie obsługujemy migracji danych z PostgreSQL do Microsoft SQL Server lub odwrotnie. Aby przełączyć środowisko bazy danych, rozpocznij nowe wdrożenie Hybrid Data Security.
Tworzenie nowej konfiguracji w celu przygotowania nowego centrum danych.

Ponadto ze względów bezpieczeństwa usługa Hybrid Data Security używa haseł do kont usług, które mają dziewięciomiesięczny okres użytkowania. Gdy narzędzie HdS Setup wygeneruje te hasła, należy je wdrożyć w każdym z węzłów HDS w pliku konfiguracyjnym ISO. Gdy hasła Twojej organizacji zbliżają się do wygaśnięcia, otrzymasz powiadomienie od zespołu Webex o zresetowaniu hasła do konta komputera. (Wiadomość e-mail zawiera tekst „Użyj interfejsu API konta komputera, aby zaktualizować hasło”). Jeśli Twoje hasła jeszcze nie wygasły, narzędzie oferuje dwie opcje:

Resetowanie programowe — stare i nowe hasła działają przez maksymalnie 10 dni. Wykorzystaj ten okres, aby stopniowo zastępować plik ISO w węzłach.
Zresetuj całkowicie — stare hasła natychmiast przestaną działać.

Jeśli hasła wygasną bez resetowania, ma to wpływ na usługę HDS, wymagając natychmiastowego twardego resetu i wymiany pliku ISO na wszystkich węzłach.

Użyj tej procedury, aby wygenerować nowy konfiguracyjny plik ISO i zastosować go do klastra.

Przed rozpoczęciem

Narzędzie HDS Setup działa jako kontener platformy Docker na komputerze lokalnym. Aby uzyskać do niego dostęp, uruchom Docker na tym komputerze. Proces konfiguracji wymaga poświadczeń konta w Partner Hub z pełnymi uprawnieniami administratora partnera.

Jeśli narzędzie konfiguracji HDS działa za serwerem proxy w środowisku, podaj ustawienia serwera proxy (serwer, port, poświadczenia) przez zmienne środowiskowe Docker podczas wprowadzania kontenera Docker w 1.e. Ta tabela zawiera kilka możliwych zmiennych środowiskowych:

Opis	Zmienna
Serwer proxy HTTP bez uwierzytelniania	`GLOBALNY_AGENT_HTTP_PROXY=http://SERWER_IP:PORT`
Serwer proxy HTTPS bez uwierzytelniania	`GLOBALNY_AGENT_HTTPS_PROXY=http://SERWER_IP:PORT`
Serwer proxy HTTP z uwierzytelnianiem	`GLOBALNY_AGENT_HTTP_PROXY=http://NAZWA_UŻYTKOWNIKA:HASŁO@SERWER_IP:PORT`
Serwer proxy HTTPS z uwierzytelnianiem	`GLOBALNY_AGENT_HTTPS_PROXY=http://NAZWA_UŻYTKOWNIKA:HASŁO@SERWER_IP:PORT`

Do wygenerowania nowej konfiguracji potrzebna jest kopia bieżącego konfiguracyjnego pliku ISO. ISO zawiera klucz główny szyfrujący bazę danych PostgreSQL lub Microsoft SQL Server. Plik ISO jest potrzebny podczas wprowadzania zmian w konfiguracji, w tym poświadczeń bazy danych, aktualizacji certyfikatów lub zmian zasad autoryzacji.

1	Korzystając z platformy Docker na komputerze lokalnym, uruchom narzędzie HDS Setup Tool. W wierszu poleceń komputera wprowadź polecenie odpowiednie dla swojego środowiska: W zwykłych środowiskach: `docker rmi ciscocitg/hds-konfiguracja:stabilna` W środowiskach FedRAMP: `docker rmi ciscocitg/hds-setup-fedramp:stable` Ten krok czyści poprzednie obrazy narzędzia konfiguracji HDS. Jeśli nie ma poprzednich obrazów, zwraca błąd, który można zignorować. Aby zalogować się do rejestru obrazów platformy Docker, wprowadź następujące informacje: `docker login -u hdscustomersro` Po wyświetleniu monitu o hasło wprowadź ten skrót: `dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo` Pobierz najnowszy stabilny obraz dla swojego środowiska: W zwykłych środowiskach: `docker ciągnąć ciscocitg / hds-setup:stable` W środowiskach FedRAMP: `docker ciągnąć ciscocitg/hds-setup-fedramp:stable` Upewnij się, że pobierasz najnowsze narzędzie instalacyjne dla tej procedury. Wersje narzędzia utworzone przed 22 lutego 2018 r. nie mają ekranów resetowania hasła. Po zakończeniu ściągania wprowadź odpowiednie polecenie dla swojego środowiska: W zwykłych środowiskach bez proxy: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable` W zwykłych środowiskach z proxy HTTP: `docker run -p 8080:8080 --rm -it -e GLOBALNY_AGENT_HTTP_PROXY=http://SERWER_IP:PORT ciscocitg/hds-setup:stable` W zwykłych środowiskach z HTTPSproxy: `docker run -p 8080:8080 --rm -it -e GLOBALNY_AGENT_HTTPS_PROXY=http://SERWER_IP:PORT ciscocitg/hds-setup:stable` W środowiskach FedRAMP bez proxy: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable` W środowiskach FedRAMP z proxy HTTP: `docker run -p 8080:8080 --rm -it -e GLOBALNY_AGENT_HTTP_PROXY=http://SERWER_IP:PORT ciscocitg/hds-setup-fedramp:stable` W środowiskach FedRAMP z proxy HTTPS: `docker run -p 8080:8080 --rm -it -e GLOBALNY_AGENT_HTTPS_PROXY=http://SERWER_IP:PORT ciscocitg/hds-setup-fedramp:stable` Gdy kontener jest uruchomiony, widzisz "Serwer ekspresowy nasłuchujący na porcie 8080". Użyj przeglądarki, aby połączyć się z hostem lokalnym, `http://127.0.0.1:8080`. Narzędzie konfiguracyjne nie obsługuje łączenia się z hostem localhost za pośrednictwem serwera http://localhost:8080. Użyj, http://127.0.0.1:8080 aby połączyć się z localhost. Po wyświetleniu monitu wprowadź poświadczenia logowania klienta w Partner Hub, a następnie kliknij przycisk Akceptuj , aby kontynuować. Zaimportuj bieżący konfiguracyjny plik ISO. Postępuj zgodnie z instrukcjami, aby ukończyć narzędzie i pobrać zaktualizowany plik. Aby zamknąć narzędzie konfiguracyjne, wpisz `CTRL+C`. Utwórz kopię zapasową zaktualizowanego pliku w innym centrum danych.
2	Jeśli masz uruchomiony tylko jeden węzeł HDS, utwórz nowy węzeł usługi hybrydowego zabezpieczenia danych i zarejestruj go za pomocą nowego pliku ISO konfiguracji. Aby uzyskać bardziej szczegółowe instrukcje, zobacz Tworzenie i rejestrowanie większej liczby węzłów. Zainstaluj OVA hosta HDS. Skonfiguruj maszynę wirtualną HDS. Zamontuj zaktualizowany plik konfiguracyjny. Zarejestruj nowy węzeł w Partner Hub.
3	W przypadku istniejących węzłów HDS, na których działa starszy plik konfiguracyjny, podłącz plik ISO. Wykonaj następującą procedurę na każdym węźle po kolei, aktualizując każdy węzeł przed wyłączeniem następnego węzła: Wyłącz maszynę wirtualną. W lewym okienku nawigacji klienta VMware vSphere kliknij prawym przyciskiem myszy maszynę wirtualną i kliknij opcję Edytuj ustawienia. Kliknij `pozycję Napęd CD/DVD 1`, wybierz opcję instalacji z pliku ISO i przejdź do lokalizacji, do której pobrano nowy plik konfiguracyjny ISO. Zaznacz Połącz przy włączeniu. Zapisz zmiany i włącz maszynę wirtualną.
4	Powtórz krok 3, aby zastąpić konfigurację na każdym pozostałym węźle, na którym działa stara konfiguracja.

Wyłączanie trybu zablokowanego zewnętrznego rozpoznawania DNS

Podczas rejestrowania węzła lub sprawdzania konfiguracji serwera proxy węzła proces testuje wyszukiwanie DNS i łączność z chmurą Cisco Webex. Jeśli serwer DNS węzła nie może rozpoznać publicznych nazw DNS, węzeł automatycznie przechodzi w tryb zablokowanego zewnętrznego rozpoznawania DNS.

Jeśli węzły są w stanie rozpoznawać publiczne nazwy DNS za pośrednictwem wewnętrznych serwerów DNS, można wyłączyć ten tryb, ponownie uruchamiając test połączenia proxy w każdym węźle.

Przed rozpoczęciem

Upewnij się, że wewnętrzne serwery DNS mogą rozpoznawać publiczne nazwy DNS i że węzły mogą się z nimi komunikować.

1	W przeglądarce sieci Web otwórz interfejs węzła Hybrid Data Security (na przykład adres IP/konfiguracja https://192.0.2.0/setup), wprowadź poświadczenia administratora skonfigurowane dla węzła, a następnie kliknij przycisk Zaloguj.
2	Przejdź do Przegląd (strona domyślna). Gdy ta opcja jest włączona, opcja Zablokowane zewnętrzne rozpoznawanie DNS jest ustawiona na Tak.
3	Przejdź do strony Trust Store & Proxy.
4	Kliknij przycisk Sprawdź połączenie proxy. Jeśli zostanie wyświetlony komunikat informujący, że zewnętrzne rozpoznawanie nazw DNS nie powiodło się, oznacza to, że węzeł nie mógł połączyć się z serwerem DNS i pozostanie w tym trybie. W przeciwnym razie, po ponownym uruchomieniu węzła i powrocie do strony Przegląd, Zablokowane zewnętrzne rozpoznawanie DNS powinno być ustawione na nie.

Co dalej?

Powtórz test połączenia proxy dla każdego węzła w klastrze hybrid Data Security.

Usuń węzeł

Ta procedura umożliwia usunięcie węzła usługi hybrydowego zabezpieczenia danych z chmury Webex. Po usunięciu węzła z klastra usuń maszynę wirtualną, aby zapobiec dalszemu dostępowi do danych zabezpieczeń.

1

Użyj klienta VMware vSphere na komputerze, aby zalogować się do hosta wirtualnego ESXi i wyłączyć maszynę wirtualną.

2

Usuń węzeł:

Zaloguj się do Partner Hub, a następnie wybierz pozycję Usługi.
Na karcie usługi hybrydowego zabezpieczenia danych kliknij przycisk Wyświetl wszystko , aby wyświetlić stronę zasobów usługi hybrydowego zabezpieczenia danych.
Wybierz klaster, aby wyświetlić jego panel Przegląd.
Kliknij węzeł, który chcesz usunąć.
Kliknij Wyrejestruj ten węzeł na panelu wyświetlanym po prawej stronie
Możesz również wyrejestrować węzeł, klikając … po prawej stronie węzła i wybierając opcję Usuń ten węzeł.

3

W kliencie vSphere usuń maszynę wirtualną. (W lewym okienku nawigacyjnym kliknij prawym przyciskiem myszy maszynę wirtualną i kliknij opcję Usuń).

Jeśli nie usuniesz maszyny wirtualnej, pamiętaj, aby odmontować plik ISO konfiguracji. Bez pliku ISO nie możesz korzystać z maszyny wirtualnej w celu uzyskania dostępu do danych zabezpieczeń.

Przywracanie po awarii przy użyciu centrum danych w trybie gotowości

Najważniejszą usługą zapewnianą przez klaster usługi hybrydowego zabezpieczenia danych jest tworzenie i przechowywanie kluczy używanych do szyfrowania wiadomości i innych treści przechowywanych w chmurze Webex. Dla każdego użytkownika w organizacji, który jest przypisany do usługi hybrydowego zabezpieczenia danych, nowe żądania utworzenia kluczy są kierowane do klastra. Klaster jest również odpowiedzialny za zwracanie utworzonych przez siebie kluczy do wszystkich użytkowników uprawnionych do ich pobrania, na przykład członków obszaru konwersacji.

Ponieważ klaster pełni kluczową funkcję dostarczania tych kluczy, konieczne jest, aby klaster nadal działał i aby zachowano odpowiednie kopie zapasowe. Utrata bazy danych usługi hybrydowego zabezpieczenia danych lub konfiguracji ISO użytej do schematu spowoduje NIEODWRACALNĄ UTRATĘ zawartości klienta. Aby zapobiec takiej utracie, obowiązkowe są następujące praktyki:

Jeśli awaria spowoduje niedostępność wdrożenia usług HDS w podstawowym centrum danych, wykonaj tę procedurę, aby ręcznie przełączyć się w tryb awaryjny do centrum danych.

Przed rozpoczęciem

Wyrejestruj wszystkie węzły z Partner Hub, jak opisano w sekcji Usuń węzeł. Aby wykonać opisaną poniżej procedurę przełączenia awaryjnego, użyj najnowszego pliku ISO, który został skonfigurowany w węzłach klastra, który był wcześniej aktywny.

1	Uruchom narzędzie konfiguracji HDS i wykonaj czynności wymienione w części Utwórz konfigurację ISO dla hostów HDS.
2	Zakończ proces konfiguracji i zapisz plik ISO w łatwym do znalezienia miejscu.
3	Utwórz kopię zapasową pliku ISO w lokalnym systemie. Zachowaj bezpieczeństwo kopii zapasowej. Ten plik zawiera główny klucz szyfrowania zawartości bazy danych. Ogranicz dostęp tylko do administratorów usługi hybrydowego zabezpieczenia danych, którzy powinni dokonać zmian w konfiguracji.
4	W lewym okienku nawigacji klienta VMware vSphere kliknij prawym przyciskiem myszy maszynę wirtualną i kliknij opcję Edytuj ustawienia.
5	Kliknij Edytuj ustawienia >Dysk CD/DVD 1 i wybierz Plik ISO magazynu danych. Upewnij się, że opcje Połączono i Połącz po włączeniu zasilania są zaznaczone, aby zaktualizowane zmiany konfiguracji mogły zostać zastosowane po uruchomieniu węzłów.
6	Włącz węzeł HDS i upewnij się, że nie ma alarmów przez co najmniej 15 minut.
7	Zarejestruj węzeł w Partner Hub. Zobacz Zarejestruj pierwszy węzeł w klastrze.
8	Powtórz ten proces dla każdego węzła w centrum danych w trybie gotowości.

Co zrobić dalej

Po przełączeniu awaryjnym, jeśli główne centrum danych ponownie stanie się aktywne, wyrejestruj węzły centrum danych w trybie gotowości i powtórz proces konfiguracji ISO i rejestracji węzłów podstawowego centrum danych, jak wspomniano powyżej.

(Opcjonalnie) Odmontuj ISO po konfiguracji HDS

Standardowa konfiguracja trybu HDS jest uruchomiona z zamontowaną normą ISO. Jednak niektórzy klienci wolą nie pozostawiać plików ISO stale montowanych. Plik ISO można odmontować, gdy wszystkie węzły HDS odbiorą nową konfigurację.

Nadal używasz plików ISO do wprowadzania zmian w konfiguracji. Podczas tworzenia nowego certyfikatu ISO lub aktualizacji certyfikatu ISO za pomocą narzędzia konfiguracji należy zamontować zaktualizowany certyfikat ISO na wszystkich węzłach trybu HDS. Gdy wszystkie węzły odbiorą zmiany konfiguracji, można ponownie odmontować obraz ISO za pomocą tej procedury.

Przed rozpoczęciem

Uaktualnij wszystkie węzły HDS do wersji 2021.01.22.4720 lub nowszej.

1	Wyłącz jeden z węzłów trybu HDS.
2	W urządzeniu vCenter Server Device wybierz węzeł HDS.
3	Wybierz pozycję Edytuj ustawienia > napęd CD/DVD i usuń zaznaczenie pola wyboru Plik ISO magazynu danych.
4	Włącz węzeł HDS i upewnij się, że nie ma alarmów przez co najmniej 20 minut.
5	Powtórz kolejno dla każdego węzła HDS.

Rozwiązywanie problemów z usługą hybrydowego zabezpieczenia danych

Wyświetlanie alertów i rozwiązywanie problemów

Wdrożenie usługi hybrydowego zabezpieczenia danych jest uważane za niedostępne, jeśli wszystkie węzły w klastrze są niedostępne lub klaster działa tak wolno, że wymaga przekroczenia limitu czasu. Jeśli użytkownicy nie mogą połączyć się z klastrem usługi hybrydowego zabezpieczenia danych, wystąpią następujące objawy:

Nie można tworzyć nowych obszarów (nie można utworzyć nowych kluczy)
Nie można odszyfrować wiadomości i tytułów obszarów dla:
- Nowi użytkownicy dodani do obszaru (nie można pobrać kluczy)
- Istniejący użytkownicy w obszarze korzystający z nowego klienta (nie można pobrać kluczy)
Istniejący użytkownicy w obszarze będą nadal działać pomyślnie, o ile ich klienci mają pamięć podręczną kluczy szyfrowania

Ważne jest, aby prawidłowo monitorować klaster usługi hybrydowego zabezpieczenia danych i szybko odpowiadać na wszelkie alerty, aby uniknąć zakłóceń w świadczeniu usług.

Alerty

Jeśli wystąpi problem z konfiguracją usługi hybrydowego zabezpieczenia danych, Partner Hub wyświetla alerty do administratora organizacji i wysyła wiadomości e-mail na skonfigurowany adres e-mail. Alerty obejmują wiele typowych scenariuszy.

Tabela 1. Wspólne problemy i kroki umożliwiające ich rozwiązanie
Alarm	Czynność
Błąd dostępu do lokalnej bazy danych.	Sprawdź, czy nie występują błędy bazy danych lub problemy z siecią lokalną.
Błąd połączenia z lokalną bazą danych.	Sprawdź, czy serwer bazy danych jest dostępny i czy w konfiguracji węzła użyto odpowiednich poświadczeń konta usługi.
Błąd dostępu do usługi chmury.	Sprawdź, czy węzły mogą uzyskać dostęp do serwerów Webex zgodnie z Wymaganiami dotyczącymi łączności zewnętrznej.
Odnawianie rejestracji w usłudze w chmurze.	Przerwano rejestrację w usługach w chmurze. Trwa odnawianie rejestracji.
Rejestracja usługi w chmurze została przerwana.	Rejestracja w usługach w chmurze została zakończona. Usługa jest wyłączana.
Usługa nie została jeszcze aktywowana.	Aktywuj usługę HDS w Partner Hub.
Skonfigurowana domena nie jest zgodna z certyfikatem serwera.	Upewnij się, że certyfikat serwera jest zgodny ze skonfigurowaną domeną aktywacji usługi. Najbardziej prawdopodobną przyczyną jest to, że kod CN certyfikatu został ostatnio zmieniony i różni się teraz od kodu używanego podczas początkowej konfiguracji.
Nie można uwierzytelnić usług w chmurze.	Sprawdź dokładność i możliwe wygaśnięcie poświadczeń konta usługi.
Nie można otworzyć pliku lokalnego magazynu kluczy.	Sprawdź integralność i dokładność haseł w pliku lokalnego magazynu kluczy.
Certyfikat serwera lokalnego jest nieprawidłowy.	Sprawdź datę wygaśnięcia certyfikatu serwera i upewnij się, że został on wydany przez zaufany urząd certyfikacji.
Nie można opublikować metryk.	Sprawdź dostęp sieci lokalnej do usług chmury zewnętrznej.
Katalog /media/configdrive/hds nie istnieje.	Sprawdź konfigurację montażu ISO na hoście wirtualnym. Sprawdź, czy plik ISO istnieje, czy jest skonfigurowany do montażu przy ponownym uruchomieniu i czy zamontowano go pomyślnie.
Konfiguracja organizacji dzierżawy dla dodanych organizacji nie została zakończona	Zakończ konfigurację, tworząc moduły CMK dla nowo dodanych organizacji dzierżaw za pomocą narzędzia konfiguracji HDS.
Nie ukończono konfiguracji organizacji dzierżawy dla usuniętych organizacji	Dokończ konfigurację, odwołując identyfikatory CMK organizacji dzierżaw, które zostały usunięte za pomocą narzędzia konfiguracji HDS.

Rozwiązywanie problemów z usługą hybrydowego zabezpieczenia danych

Podczas rozwiązywania problemów z usługą hybrydowego zabezpieczenia danych należy przestrzegać następujących ogólnych wytycznych.

1	Zapoznaj się z Partner Hub, aby uzyskać alerty i napraw wszystkie znajdujące się w tym miejscu elementy. Zobacz poniższy obrazek w celach informacyjnych.
2	Sprawdź dane wyjściowe serwera dziennika systemu pod kątem aktywności we wdrożeniu usługi hybrydowego zabezpieczenia danych. Filtruj słowa, takie jak „Ostrzeżenie” i „Błąd”, aby pomóc w rozwiązywaniu problemów.
3	Skontaktuj się ze wsparciem Cisco.

Inne uwagi

Znane problemy dotyczące hybrydowego zabezpieczenia danych

Jeśli wyłączysz klaster usługi hybrydowego zabezpieczenia danych (usuwając go w Partner Hub lub zamykając wszystkie węzły), stracisz plik ISO konfiguracji lub stracisz dostęp do bazy danych magazynu kluczy, użytkownicy aplikacji Webex w organizacjach klientów nie będą mogli już korzystać z obszarów z listy Osoby, które zostały utworzone za pomocą kluczy z serwera KMS. Obecnie nie mamy obejścia lub rozwiązania tego problemu i zachęcamy do niezamykania usług HDS po obsłużeniu aktywnych kont użytkowników.
Klient, który ma istniejące połączenie ECDH z serwerem KMS, utrzymuje to połączenie przez pewien czas (prawdopodobnie jedną godzinę).

Użyj OpenSSL do generowania pliku PKCS12

Przed rozpoczęciem

OpenSSL to jedno z narzędzi, które można wykorzystać do tworzenia pliku PKCS12 w odpowiednim formacie do załadowania w narzędziu konfiguracyjnym HDS. Istnieją inne sposoby na to, a my nie popieramy ani nie promujemy jednej drogi nad drugą.
Jeśli zdecydujesz się na użycie protokołu OpenSSL, udostępniamy tę procedurę jako wskazówkę, która pomoże Ci utworzyć plik spełniający wymagania certyfikatu X.509 w wymaganiach certyfikatu X.509. Przed kontynuowaniem zrozum te wymagania.
Zainstaluj protokół OpenSSL w obsługiwanym środowisku. Informacje na temat https://www.openssl.org oprogramowania i dokumentacji można znaleźć.
Utwórz klucz prywatny.
Rozpocznij tę procedurę po otrzymaniu certyfikatu serwera od urzędu certyfikacji (CA).

1	Po otrzymaniu certyfikatu serwera od urzędu certyfikacji zapisz go jako `hdsnode.pem`.
2	Wyświetl certyfikat w postaci tekstu i zweryfikuj szczegóły. `openssl x509 -text -noout -in hdsnode.pem`
3	Użyj edytora tekstu, aby utworzyć plik pakietu certyfikatów o nazwie `hdsnode-bundle.pem`. Plik pakietu musi zawierać certyfikat serwera, wszystkie certyfikaty pośredniego urzędu certyfikacji i certyfikaty głównego urzędu certyfikacji w poniższym formacie: `-----ROZPOCZNIJ CERTYFIKAT------ ### Certyfikat serwera. ### -----ZAKOŃCZ CERTYFIKAT-----------ROZPOCZNIJ CERTYFIKAT------ ### Certyfikat pośredniego urzędu certyfikacji. ### -----ZAKOŃCZ CERTYFIKAT----------------- ### Certyfikat GŁÓWNEGO URZĘDU CERTYFIKACJI. ### -----ZAKOŃCZ CERTYFIKAT-------`
4	Utwórz plik .p12 o przyjaznej nazwie `kms-private-key`. `openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -nazwa kms-private-key -caname kms-private-key -out hdsnode.p12`
5	Sprawdź szczegóły certyfikatu serwera. `openssl pkcs12 - w hdsnode.p12` W wyświetlonym monicie wprowadź hasło, aby zaszyfrować klucz prywatny, tak aby był wyświetlany na wyjściu. Następnie sprawdź, czy klucz prywatny i pierwszy certyfikat zawierają linie `friendlyName: kms-klucz prywatny`. Przykład: bash$ openssl pkcs12 - in hdsnode.p12 Wprowadź hasło importu: Atrybuty MAC zweryfikowane przez OK Bag friendlyName: kms-private-key lokalnyIdentyfikatorKlucza: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Atrybuty kluczowe: Wprowadź zdanie przejścia PEM: Weryfikowanie — wprowadź zdanie przejścia PEM: -----ROZPOCZNIJ ZASZYFROWANY KLUCZ PRYWATNY------ -----ZAKOŃCZ ZASZYFROWANY KLUCZ PRYWATNY------- Atrybuty Bag friendlyName: kms-private-key lokalnyIdentyfikatorKlucza: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 -----BEGIN CERTIFICATE------ -----END CERTIFICATE------ Bag Attributes friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3 -----BEGIN CERTIFICATE----- -----END CERTIFICATE-------

Co zrobić dalej

Wróć do tematu Wymagania wstępne dotyczące usługi hybrydowego zabezpieczenia danych. Będziesz używać pliku hdsnode.p12 i ustawionego dla niego hasła w Utwórz konfigurację ISO dla hostów HDS.

Możesz ponownie użyć tych plików, aby zażądać nowego certyfikatu po wygaśnięciu oryginalnego certyfikatu.

Ruch między węzłami HDS a chmurą

Ruch kolekcji metryk wychodzących

Węzły usługi hybrydowego zabezpieczenia danych wysyłają pewne metryki do chmury Webex. Obejmują one metryki systemowe dotyczące maksymalnej sterty, użytej sterty, obciążenia procesora i liczby wątków; metryki wątków synchronicznych i asynchronicznych; metryki alertów dotyczących progu połączeń szyfrowania, opóźnienia lub długości kolejki żądań; metryki w magazynie danych oraz metryki połączeń szyfrowania. Węzły wysyłają zaszyfrowany materiał klucza przez kanał braku pasma (oddzielny od żądania).

Ruch przychodzący

Węzły usługi hybrydowego zabezpieczenia danych odbierają następujące typy ruchu przychodzącego z chmury Webex:

Żądania szyfrowania od klientów trasowane przez usługę szyfrowania
Uaktualnia oprogramowanie węzła

Skonfiguruj serwery proxy Squid dla hybrydowego zabezpieczenia danych

Websocket nie może połączyć się przez Squid Proxy

Serwery proxy Squid, które sprawdzają ruch HTTPS, mogą zakłócać nawiązywanie połączeń Websocket (wss:), których wymaga hybrydowe zabezpieczenia danych. Poniższe sekcje zawierają wskazówki, jak skonfigurować różne wersje Squid, aby ignorować wss: ruchu zapewniającego prawidłowe funkcjonowanie usług.

Kalmary 4 i 5

Dodaj on_unsupported_protocol dyrektywę do squid.conf:

on_unsupported_protocol tunel wszystkie

Kalmary 3.5.27

Z powodzeniem przetestowaliśmy Hybrid Data Security z następującymi regułami dodanymi do squid.conf. Zasady te mogą ulec zmianie w miarę opracowywania funkcji i aktualizowania chmury Webex.

Acl wssMercuryConnection ssl::server_name_regex połączenie z rtęcią ssl_bump splice wssMercuryConnection acl step1 at_step SslBump1 acl step2 at_step SslBump2 acl step3 at_step SslBump3 ssl_bump peek step1 wszystko ssl_bump stare step2 wszystko ssl_bump bump3 wszystko

Skonfiguruj klaster usługi hybrydowego zabezpieczenia danych

Przepływ zadań wdrażania hybrydowego zabezpieczenia danych

Przed rozpoczęciem

1	Wykonywanie pierwszej konfiguracji i pobieranie plików instalacyjnych Pobierz plik OVA na komputer lokalny w celu późniejszego użycia.
2	Tworzenie certyfikatu ISO konfiguracji dla hostów trybu HDS Użyj narzędzia konfiguracji usługi HDS, aby utworzyć plik konfiguracyjny ISO dla węzłów usługi hybrydowego zabezpieczenia danych.
3	Zainstaluj OVA hosta HDS Utwórz maszynę wirtualną z pliku OVA i wykonaj konfigurację początkową, taką jak ustawienia sieciowe. Opcja konfigurowania ustawień sieciowych podczas wdrażania OVA została przetestowana z ESXi 7.0. Opcja może być niedostępna we wcześniejszych wersjach.
4	Skonfiguruj VM usługi hybrydowego zabezpieczenia danych Zaloguj się do konsoli VM i ustaw poświadczenia logowania. Skonfiguruj ustawienia sieciowe węzła, jeśli nie zostały one skonfigurowane w czasie wdrażania OVA.
5	Przesyłanie i montaż obrazu ISO w trybie HDS Skonfiguruj maszynę wirtualną z pliku konfiguracyjnego ISO utworzonego przy użyciu narzędzia konfiguracji HDS.
6	Konfigurowanie węzła HDS do integracji z serwerem proxy Jeśli środowisko sieciowe wymaga konfiguracji serwera proxy, określ typ serwera proxy, który będzie używany dla węzła, a w razie potrzeby dodaj certyfikat serwera proxy do magazynu zaufanych certyfikatów.
7	Zarejestruj pierwszy węzeł w klastrze Zarejestruj maszynę wirtualną w chmurze Cisco Webex jako węzeł usługi hybrydowego zabezpieczenia danych.
8	Utwórz i zarejestruj więcej węzłów Zakończ konfigurację klastra.
9	Aktywuj usługę HDS dla wielu dzierżaw w Partner Hub. Aktywuj usługę HDS i zarządzaj organizacjami dzierżaw w Partner Hub.

Wykonywanie pierwszej konfiguracji i pobieranie plików instalacyjnych

W tym zadaniu pobierasz plik OVA na komputer (a nie na serwery, które są skonfigurowane jako węzły usługi hybrydowego zabezpieczenia danych). Tego pliku używasz później w procesie instalacji.

1	Zaloguj się do Partner Hub, a następnie kliknij pozycję Usługi.
2	W sekcji Usługi chmury znajdź kartę usługi hybrydowego zabezpieczenia danych, a następnie kliknij przycisk Konfiguruj. Kliknięcie opcji Skonfiguruj w Partner Hub ma kluczowe znaczenie dla procesu wdrażania. Nie należy kontynuować instalacji bez wykonania tego kroku.
3	Kliknij opcję Dodaj zasób i kliknij opcję Pobierz plik OVA na karcie Zainstaluj i skonfiguruj oprogramowanie . Starsze wersje pakietu oprogramowania (OVA) nie będą zgodne z najnowszymi aktualizacjami usługi hybrydowego zabezpieczenia danych. Może to powodować problemy podczas uaktualniania aplikacji. Upewnij się, że pobierasz najnowszą wersję pliku OVA. Możesz również pobrać OVA w dowolnym momencie w sekcji Pomoc . Kliknij kolejno opcje Ustawienia > Pomoc > Pobierz oprogramowanie usługi hybrydowego zabezpieczenia danych. Plik OVA automatycznie rozpocznie się pobieranie. Zapisz plik w lokalizacji na komputerze.
4	Opcjonalnie kliknij opcję Zobacz przewodnik wdrażania hybrydowego zabezpieczenia danych , aby sprawdzić, czy jest dostępna nowsza wersja tego przewodnika.

Tworzenie certyfikatu ISO konfiguracji dla hostów trybu HDS

Proces konfiguracji usługi hybrydowego zabezpieczenia danych tworzy plik ISO. Następnie za pomocą interfejsu ISO można skonfigurować hosta usługi hybrydowego zabezpieczenia danych.

Przed rozpoczęciem

Narzędzie HDS Setup działa jako kontener platformy Docker na komputerze lokalnym. Aby uzyskać do niego dostęp, uruchom Docker na tym komputerze. Proces konfiguracji wymaga poświadczeń konta w Partner Hub z pełnymi uprawnieniami administratora.

Jeśli nie masz licencji Docker Desktop, możesz użyć programu Podman Desktop do uruchomienia narzędzia konfiguracji HDS w krokach od 1 do 5 w poniższej procedurze. Szczegółowe informacje zawiera temat Uruchamianie narzędzia konfiguracji HDS przy użyciu pulpitu Podmana .

Jeśli narzędzie konfiguracji HDS działa za serwerem proxy w środowisku, podaj ustawienia serwera proxy (serwer, port, poświadczenia) za pośrednictwem zmiennych środowiskowych Docker podczas podnoszenia kontenera Docker w kroku 5 poniżej. Ta tabela zawiera kilka możliwych zmiennych środowiskowych:

Opis

Zmienna

Serwer proxy HTTP bez uwierzytelniania

GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

Serwer proxy HTTPS bez uwierzytelniania

GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

Serwer proxy HTTP z uwierzytelnianiem

GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

Serwer proxy HTTPS z uwierzytelnianiem

GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
Wygenerowany plik ISO konfiguracji zawiera klucz główny do szyfrowania bazy danych PostgreSQL lub Microsoft SQL Server. Najnowszą kopię tego pliku należy zawsze wprowadzać zmiany w konfiguracji, takie jak:
- Poświadczenia bazy danych
- Aktualizacje certyfikatu
- Zmiany w zasadach autoryzacji
Jeśli planujesz szyfrować połączenia z bazami danych, skonfiguruj wdrożenie PostgreSQL lub SQL Server dla protokołu TLS.

1

W wierszu poleceń komputera wprowadź polecenie odpowiednie dla swojego środowiska:

W zwykłych środowiskach:

docker rmi ciscocitg/hds-setup:stable

W środowiskach FedRAMP:

docker rmi ciscocitg/hds-setup-fedramp:stable

Ten krok czyści poprzednie obrazy narzędzia konfiguracji HDS. Jeśli nie ma poprzednich obrazów, zwraca błąd, który można zignorować.

2

Aby zalogować się do rejestru obrazów platformy Docker, wprowadź następujące informacje:

docker login -u hdscustomersro

3

Po wyświetleniu monitu o hasło wprowadź ten skrót:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

4

Pobierz najnowszy stabilny obraz dla swojego środowiska:

W zwykłych środowiskach:

docker pull ciscocitg/hds-setup:stable

W środowiskach FedRAMP:

docker pull ciscocitg/hds-setup-fedramp:stable

5

Po zakończeniu ściągania wprowadź odpowiednie polecenie dla swojego środowiska:

W zwykłych środowiskach bez proxy:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

W zwykłych środowiskach z proxy HTTP:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

W zwykłych środowiskach z serwerem proxy HTTPS:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

W środowiskach FedRAMP bez proxy:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

W środowiskach FedRAMP z proxy HTTP:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

W środowiskach FedRAMP z proxy HTTPS:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Gdy kontener jest uruchomiony, zobaczysz komunikat „Serwer ekspresowy nasłuchuje na porcie 8080”.

6

Narzędzie konfiguracyjne nie obsługuje łączenia się z hostem localhost za pośrednictwem serwera http://localhost:8080. Użyj, http://127.0.0.1:8080 aby połączyć się z localhost.

Użyj przeglądarki internetowej, aby przejść do hosta lokalnego http://127.0.0.1:8080i po wyświetleniu monitu wprowadź nazwę użytkownika administratora dla Partner Hub.

Narzędzie używa tego pierwszego wpisu nazwy użytkownika w celu ustawienia środowiska dla tego konta. Następnie narzędzie wyświetla standardowy monit o zalogowanie.

7

Po wyświetleniu monitu wprowadź poświadczenia logowania administratora Partner Hub, a następnie kliknij przycisk Zaloguj , aby zezwolić na dostęp do wymaganych usług hybrydowego zabezpieczenia danych.

8

Na stronie Przegląd narzędzia konfiguracji kliknij przycisk Rozpocznij.

9

Na stronie Import ISO dostępne są następujące opcje:

Nie — jeśli tworzysz pierwszy węzeł HDS, nie masz pliku ISO do przesłania.
Tak — jeśli węzły HDS zostały już utworzone, należy wybrać plik ISO w oknie przeglądarki i przesłać go.

10

Sprawdź, czy certyfikat X.509 spełnia wymagania określone w wymaganiach certyfikatu X.509.

Jeśli nigdy wcześniej nie przesłano certyfikatu, prześlij certyfikat X.509, wprowadź hasło i kliknij przycisk Kontynuuj.
Jeśli certyfikat jest OK, kliknij przycisk Kontynuuj.
Jeśli certyfikat wygasł lub chcesz go zastąpić, wybierz opcję Nie , aby kontynuować używanie łańcucha certyfikatów HDS i klucza prywatnego z poprzedniego certyfikatu ISO?. Prześlij nowy certyfikat X.509, wprowadź hasło i kliknij przycisk Kontynuuj.

11

Wprowadź adres bazy danych i konto usługi HDS, aby uzyskać dostęp do magazynu danych klucza:

Wybierz opcję Typ bazy danych (PostgreSQL lub Microsoft SQL Server).

Po wybraniu opcji Microsoft SQL Server zostanie wyświetlone pole Typ uwierzytelniania.
(Tylko Microsoft SQL Server ) Wybierz typ uwierzytelniania:
- Uwierzytelnianie podstawowe: W polu Nazwa użytkownika należy podać lokalną nazwę konta serwera SQL.
- Uwierzytelnianie w systemie Windows: Wymagane jest konto systemu Windows w formacie username@DOMAIN w polu Nazwa użytkownika .
Wprowadź adres serwera bazy danych w formularzu : lub :.

Przykład:
dbhost.example.org:1433 lub 198.51.100.17:1433

Do uwierzytelniania podstawowego można użyć adresu IP, jeśli węzły nie mogą używać systemu DNS do rozpoznania nazwy hosta.

Jeśli używasz uwierzytelniania w systemie Windows, musisz wprowadzić w pełni kwalifikowaną nazwę domeny w formacie dbhost.example.org:1433
Wprowadź nazwę bazy danych.
Wprowadź nazwę użytkownika i hasło użytkownika ze wszystkimi uprawnieniami w bazie danych do przechowywania kluczy.

12

Wybierz tryb połączenia bazy danych TLS:

Tryb	Opis
Preferuj protokół TLS (opcja domyślna)	Węzły HDS nie wymagają protokołu TLS do łączenia się z serwerem bazy danych. Po włączeniu protokołu TLS na serwerze bazy danych węzły spróbują nawiązać szyfrowane połączenie.
Wymagaj tlS	Węzły HDS łączą się tylko wtedy, gdy serwer bazy danych może negocjować protokół TLS.
Wymagaj protokołu TLS i weryfikuj sygnatariusza certyfikatu	Ten tryb nie ma zastosowania do baz danych SQL Server. Węzły HDS łączą się tylko wtedy, gdy serwer bazy danych może negocjować protokół TLS. Po nawiązaniu połączenia TLS węzeł porównuje podpisującego certyfikat z serwera bazy danych z urzędem certyfikacji w certyfikacie głównym bazy danych. Jeśli nie są zgodne, węzeł przerywa połączenie. Użyj kontrolki certyfikatu głównego bazy danych poniżej listy rozwijanej, aby przekazać certyfikat główny dla tej opcji.
Wymagaj protokołu TLS i weryfikuj sygnatariusza certyfikatu oraz nazwę hosta	Węzły HDS łączą się tylko wtedy, gdy serwer bazy danych może negocjować protokół TLS. Po nawiązaniu połączenia TLS węzeł porównuje podpisującego certyfikat z serwera bazy danych z urzędem certyfikacji w certyfikacie głównym bazy danych. Jeśli nie są zgodne, węzeł przerywa połączenie. Węzły sprawdzają również, czy nazwa hosta w certyfikacie serwera jest zgodna z nazwą hosta w polu Host i port bazy danych . Nazwy muszą być dokładnie zgodne, w przeciwnym razie węzeł przerywa połączenie. Użyj kontrolki certyfikatu głównego bazy danych poniżej listy rozwijanej, aby przekazać certyfikat główny dla tej opcji.

Po przesłaniu certyfikatu głównego (jeśli jest to konieczne) i kliknięciu przycisku Kontynuuj, narzędzie konfiguracyjne HDS testuje połączenie TLS z serwerem bazy danych. Narzędzie weryfikuje również sygnatariusza certyfikatu i nazwę hosta, jeśli ma to zastosowanie. Jeśli test zakończy się niepowodzeniem, narzędzie wyświetli komunikat o błędzie opisujący problem. Możesz wybrać, czy zignorować błąd i kontynuować konfigurację. (Z powodu różnic w łączności węzły HDS mogą być w stanie ustanowić połączenie TLS, nawet jeśli maszyna narzędziowa do konfiguracji HDS nie może go pomyślnie przetestować).

13

Na stronie Dzienniki systemowe skonfiguruj serwer Syslogd:

Wprowadź adres URL serwera dziennika systemu.

Jeśli serwer nie jest możliwe do rozpoznania DNS z węzłów klastra HDS, użyj adresu IP w adresie URL.

Przykład:
udp://10.92.43.23:514 wskazuje na rejestrowanie do hosta Syslogd w wersji 10.92.43.23 na porcie UDP 514.
Jeśli skonfigurowano serwer do korzystania z szyfrowania TLS, zaznacz opcję Czy serwer dziennika systemu jest skonfigurowany do szyfrowania SSL?.

Po zaznaczeniu tego pola wyboru należy wprowadzić adres URL TCP, taki jak tcp://10.92.43.23:514.
Z listy rozwijanej Wybierz zakończenie zapisu dziennika systemowego wybierz odpowiednie ustawienie dla pliku ISO: Wybierz lub nowy wiersz jest używany dla graylogów i rsyslog TCP
- Bajt NULL -- \x00
- Nowy wiersz -- \n — wybierz tę opcję dla graylogów i rsyslog TCP.
Kliknij przycisk Kontynuuj.

14

(Opcjonalnie) Wartość domyślną niektórych parametrów połączenia z bazą danych można zmienić w sekcji Ustawienia zaawansowane. Ogólnie rzecz biorąc, ten parametr jest jedynym parametrem, który można zmienić:

app_datasource_connection_pool_maxSize: 10

15

Kliknij przycisk Kontynuuj na ekranie Resetuj hasło do kont usług .

Okres ważności haseł do konta usługi wynosi dziewięć miesięcy. Użyj tego ekranu, gdy zbliża się wygaśnięcie haseł lub chcesz je zresetować, aby unieważnić poprzednie pliki ISO.

16

Kliknij opcję Pobierz plik ISO. Zapisz plik w miejscu, które jest łatwe do znalezienia.

17

Utwórz kopię zapasową pliku ISO w lokalnym systemie.

Zachowaj bezpieczeństwo kopii zapasowej. Ten plik zawiera główny klucz szyfrowania zawartości bazy danych. Ogranicz dostęp tylko do administratorów usługi hybrydowego zabezpieczenia danych, którzy powinni dokonać zmian w konfiguracji.

18

Aby zamknąć narzędzie konfiguracyjne, wpisz CTRL+C.

Co zrobić dalej

Utwórz kopię zapasową pliku konfiguracyjnego ISO. Potrzebujesz go, aby utworzyć więcej węzłów do odzyskania lub wprowadzić zmiany w konfiguracji. Jeśli stracisz wszystkie kopie pliku ISO, stracisz również klucz główny. Nie można odzyskać kluczy z bazy danych PostgreSQL i Microsoft SQL Server.

Nigdy nie mamy kopii tego klucza i nie możemy pomóc, jeśli go stracisz.

Zainstaluj OVA hosta HDS

Ta procedura służy do utworzenia maszyny wirtualnej z pliku OVA.

1	Użyj klienta VMware vSphere na komputerze, aby zalogować się do wirtualnego hosta ESXi.
2	Wybierz pozycję Plik > Wdróż szablon OVF.
3	W kreatorze określ lokalizację pobranego wcześniej pliku OVA, a następnie kliknij przycisk Dalej.
4	Na stronie Wybierz nazwę i folder wprowadź nazwę maszyny wirtualnej węzła (na przykład „HDS_Node_1”), wybierz lokalizację, w której może znajdować się wdrożenie węzła maszyny wirtualnej, a następnie kliknij przycisk Dalej.
5	Na stronie Wybierz zasób obliczeniowy wybierz docelowy zasób obliczeniowy, a następnie kliknij przycisk Dalej. Uruchamiane jest sprawdzenie poprawności. Po zakończeniu pojawią się szczegóły szablonu.
6	Sprawdź szczegóły szablonu, a następnie kliknij przycisk Dalej.
7	Jeśli zostaniesz poproszony o wybranie konfiguracji zasobu na stronie Konfiguracja , kliknij przycisk 4 procesora , a następnie kliknij przycisk Dalej.
8	Na stronie Wybierz miejsce do przechowywania kliknij przycisk Dalej , aby zaakceptować domyślny format dysku i zasady przechowywania VM.
9	Na stronie Wybierz sieci wybierz opcję sieci z listy pozycji, aby zapewnić żądane łączność z maszyną wirtualną.
10	Na stronie Dostosuj szablon skonfiguruj następujące ustawienia sieciowe: Nazwa hosta — wprowadź nazwę FQDN (nazwę hosta i domenę) lub nazwę hosta pojedynczego słowa dla węzła. Nie trzeba ustawiać domeny tak, aby była zgodna z domeną użytą do uzyskania certyfikatu X.509. Aby zapewnić pomyślną rejestrację w chmurze, należy używać tylko małych znaków w nazwie FQDN lub nazwie hosta ustawionej dla węzła. Kapitalizacja nie jest obecnie obsługiwana. Łączna długość nazwy FQDN nie może przekraczać 64 znaków. Adres IP — wprowadź adres IP interfejsu wewnętrznego węzła. Węzeł powinien mieć wewnętrzny adres IP i nazwę DNS. Protokół DHCP nie jest obsługiwany. Maska — wprowadź adres maski podsieci w notacji kropek. Przykład: 255.255.255.0. Brama — wprowadź adres IP bramy. Brama to węzeł sieciowy, który służy jako punkt dostępu do innej sieci. Serwery DNS — wprowadź oddzieloną przecinkami listę serwerów DNS, które obsługują przekładanie nazw domen na liczbowe adresy IP. (Dozwolonych jest maksymalnie 4 pozycje DNS). Serwery NTP — wprowadź serwer NTP organizacji lub inny zewnętrzny serwer NTP, który może być używany w organizacji. Domyślne serwery NTP mogą nie działać w przypadku wszystkich przedsiębiorstw. Aby wprowadzić wiele serwerów NTP, można także użyć listy rozdzielonej przecinkami. Wdróż wszystkie węzły w tej samej podsieci lub sieci VLAN, aby wszystkie węzły w klastrze były dostępne od klientów w sieci do celów administracyjnych. Jeśli chcesz, możesz pominąć konfigurację ustawień sieciowych i wykonać czynności opisane w artykule Skonfiguruj maszynę wirtualną usługi hybrydowego zabezpieczenia danych , aby skonfigurować ustawienia z konsoli węzła. Opcja konfigurowania ustawień sieciowych podczas wdrażania OVA została przetestowana z ESXi 7.0. Opcja może być niedostępna we wcześniejszych wersjach.
11	Kliknij prawym przyciskiem myszy VM węzła, a następnie wybierz kolejno opcje Zasilanie > Zasilanie. Oprogramowanie hybrydowego zabezpieczenia danych jest instalowane jako gość na hoście maszyn wirtualnych. Możesz się teraz zalogować do konsoli i skonfigurować węzeł. Wskazówki dotyczące rozwiązywania problemów Może wystąpić opóźnienie o kilka minut przed pojawieniem się kontenerów węzłów. Podczas pierwszego rozruchu na konsoli pojawia się komunikat zapory mostkowej, podczas której nie można się zalogować.

Skonfiguruj VM usługi hybrydowego zabezpieczenia danych

Ta procedura umożliwia zalogowanie się po raz pierwszy w konsoli VM węzła usługi hybrydowego zabezpieczenia danych i ustawienie poświadczeń logowania. Za pomocą konsoli można również skonfigurować ustawienia sieciowe węzła, jeśli nie zostały one skonfigurowane w momencie wdrażania OVA.

1	W kliencie VMware vSphere wybierz swoją maszynę wirtualną węzła usługi hybrydowego zabezpieczenia danych i wybierz kartę Konsola . Zostanie uruchomiona maszyna wirtualna i pojawi się monit o zalogowanie. Jeśli monit o zalogowanie się nie został wyświetlony, naciśnij klawisz Enter.
2	Aby zalogować się i zmienić poświadczenia, należy użyć następującego domyślnego logowania i hasła: Logowanie: `admin` Hasło: `cisco` Ponieważ logujesz się do maszyny wirtualnej po raz pierwszy, musisz zmienić hasło administratora.
3	Jeśli ustawienia sieciowe zostały już skonfigurowane w sekcji Zainstaluj OVA hosta HDS, pomiń pozostałą część tej procedury. W przeciwnym razie w menu głównym wybierz opcję Edytuj konfigurację .
4	Skonfiguruj statyczną konfigurację z informacjami o adresie IP, maskach, bramie i systemie DNS. Węzeł powinien mieć wewnętrzny adres IP i nazwę DNS. Protokół DHCP nie jest obsługiwany.
5	(Opcjonalnie) Zmień nazwę hosta, domenę lub serwery NTP, jeśli jest to konieczne, aby dostosować ją do zasad sieci. Nie trzeba ustawiać domeny tak, aby była zgodna z domeną użytą do uzyskania certyfikatu X.509.
6	Zapisz konfigurację sieci i uruchom ponownie maszynę wirtualną, aby zmiany zostały zastosowane.

Przesyłanie i montaż obrazu ISO w trybie HDS

Ta procedura służy do konfigurowania maszyny wirtualnej na podstawie pliku ISO utworzonego przy użyciu narzędzia konfiguracji HDS.

Przed rozpoczęciem

Ponieważ plik ISO zawiera klucz główny, powinien być on wyświetlany tylko na zasadzie „need to know”, aby uzyskać dostęp przez maszyny wirtualne usługi hybrydowego zabezpieczenia danych i wszystkich administratorów, którzy mogą potrzebować wprowadzenia zmian. Upewnij się, że tylko ci administratorzy mają dostęp do magazynu danych.

1

Prześlij plik ISO z komputera:

W lewym okienku nawigacyjnym klienta VMware vSphere kliknij serwer ESXi.
Na liście Sprzęt na karcie Konfiguracja kliknij pozycję Miejsce do przechowywania.
Na liście Magazyny danych kliknij prawym przyciskiem myszy magazyn danych dla swoich maszyn wirtualnych i kliknij opcję Przeglądaj magazyn danych.
Kliknij ikonę Prześlij pliki, a następnie kliknij pozycję Prześlij plik.
Przejdź do lokalizacji, w której pobrano plik ISO na swój komputer i kliknij opcję Otwórz.
Kliknij przycisk Tak , aby zaakceptować ostrzeżenie dotyczące operacji przesyłania/pobierania i zamknąć okno dialogowe magazynu danych.

2

Montaż pliku ISO:

W lewym okienku nawigacji klienta VMware vSphere kliknij prawym przyciskiem myszy maszynę wirtualną i kliknij opcję Edytuj ustawienia.
Kliknij OK , aby zaakceptować ostrzeżenie dotyczące opcji edycji ograniczonej.
Kliknij CD/DVD Drive 1pozycję , wybierz opcję montażu z pliku ISO magazynu danych i przejdź do lokalizacji, w której przesłano plik ISO konfiguracji.
Sprawdź Połączono i Połącz przy włączonym zasilaniu.
Zapisz zmiany i ponownie uruchom maszynę wirtualną.

Co zrobić dalej

Jeśli wymagają tego zasady IT, możesz opcjonalnie odinstalować plik ISO, gdy wszystkie węzły przejdą zmiany konfiguracji. Szczegółowe informacje zawiera temat (Opcjonalnie) Odmontowywanie certyfikatu ISO po konfiguracji HDS .

Konfigurowanie węzła HDS do integracji z serwerem proxy

Jeśli środowisko sieciowe wymaga serwera proxy, użyj tej procedury, aby określić typ serwera proxy, który chcesz zintegrować z hybrid Data Security. Jeśli wybierzesz przezroczysty serwer proxy inspekcji lub jawny serwer proxy HTTPS, możesz użyć interfejsu węzła do przekazania i zainstalowania certyfikatu głównego. Możesz także sprawdzić połączenie proxy z poziomu interfejsu i rozwiązać wszelkie potencjalne problemy.

Przed rozpoczęciem

Zobacz Obsługa serwera proxy, aby zapoznać się z omówieniem obsługiwanych opcji serwera proxy.
Wymagania dotyczące serwera proxy

1	Wprowadź adres URL konfiguracji węzła HDS `https://[HDS Node IP or FQDN]/setup` w przeglądarce internetowej, wprowadź poświadczenia administratora skonfigurowane dla węzła, a następnie kliknij przycisk Zaloguj.
2	Przejdź do pozycji Sklep zaufania i serwer proxy, a następnie wybierz opcję: Brak serwera proxy — opcja domyślna przed zintegrowaniem serwera proxy. Aktualizacja certyfikatu nie jest wymagana. Przezroczysty, nieweryfikujący serwer proxy — węzły nie są skonfigurowane do używania konkretnego adresu serwera proxy i nie powinny wymagać żadnych zmian, aby pracować z nieweryfikowanym serwerem proxy. Aktualizacja certyfikatu nie jest wymagana. Przezroczysty serwer proxy sprawdzający — węzły nie są skonfigurowane do używania konkretnego adresu serwera proxy. We wdrożeniu Hybrid Data Security nie są konieczne żadne zmiany konfiguracji protokołu HTTPS, jednak węzły HDS potrzebują certyfikatu głównego, aby ufać serwerowi proxy. Inspekcja serwerów proxy jest zwykle używana przez IT do egzekwowania zasad, na których można odwiedzać witryny internetowe, a które nie są dozwolone. Ten typ serwera proxy odszyfrowuje cały ruch (nawet HTTPS). Jawny serwer proxy — przy użyciu jawnego serwera proxy można wskazać klientowi (węzły HDS), którego serwera proxy ma być używany, a ta opcja obsługuje kilka typów uwierzytelniania. Po wybraniu tej opcji należy wprowadzić następujące informacje: Adres IP/FQDN serwera proxy — adres, za pomocą którego można uzyskać dostęp do maszyny proxy. Port serwera proxy — numer portu, którego serwer proxy używa do nasłuchiwania ruchu proxy. Protokół proxy Protocol — wybierz opcję http (wyświetla i steruje wszystkimi żądaniami otrzymywanymi od klienta) lub https (udostępnia kanał do serwera, a klient odbiera i sprawdza certyfikat serwera). Wybierz opcję na podstawie tego, co obsługuje Twój serwer proxy. Typ uwierzytelniania — wybierz jeden z następujących typów uwierzytelniania: Brak — dalsze uwierzytelnianie nie jest wymagane. Dostępne dla serwerów proxy HTTP lub HTTPS. Podstawowe — używane w przypadku agenta użytkownika HTTP w celu podania nazwy użytkownika i hasła podczas wykonywania żądania. Używa kodowania Base64. Dostępne dla serwerów proxy HTTP lub HTTPS. W przypadku wybrania tej opcji należy również wprowadzić nazwę użytkownika i hasło. Szyfrowanie — służy do potwierdzania konta przed wysłaniem poufnych informacji. Stosuje funkcję skrótu do nazwy użytkownika i hasła przed wysłaniem przez sieć. Dostępne tylko dla serwerów proxy HTTPS. W przypadku wybrania tej opcji należy również wprowadzić nazwę użytkownika i hasło. Wykonaj kolejne kroki, aby uzyskać przezroczysty serwer proxy inspekcji, jawny serwer proxy HTTP z uwierzytelnianiem podstawowym lub jawny serwer proxy HTTPS.
3	Kliknij przycisk Przekaż certyfikat główny lub Certyfikat jednostkikońcowej , a następnie przejdź do wybierz certyfikat główny dla serwera proxy. Certyfikat został przekazany, ale nie został jeszcze zainstalowany, ponieważ należy ponownie uruchomić węzeł, aby zainstalować certyfikat. Kliknij strzałkę cudzysłów ostrokątnych przy nazwie wystawcy certyfikatu, aby uzyskać więcej szczegółów, lub kliknij przycisk Usuń, jeśli popełnisz błąd i chcesz ponownie przesłać plik.
4	Kliknij przycisk Sprawdź połączenie z serwerem proxy, aby przetestować łączność sieciową między węzłem a serwerem proxy. Jeśli test połączenia zakończy się niepowodzeniem, zostanie wyświetlony komunikat o błędzie z przyczyną i sposobem rozwiązania problemu. Jeśli zostanie wyświetlony komunikat informujący, że zewnętrzne rozpoznawanie nazw DNS nie powiodło się, oznacza to, że węzeł nie może połączyć się z serwerem DNS. Ten warunek jest oczekiwany w wielu jawnych konfiguracjach proxy. Możesz kontynuować konfigurację, a węzeł będzie działać w trybie zablokowanej zewnętrznej rozdzielczości DNS. Jeśli uważasz, że jest to błąd, wykonaj te czynności, a następnie zobacz Wyłącz zablokowany zewnętrzny tryb rozdzielczości DNS.
5	Po przejściu testu połączenia, dla jawnego serwera proxy ustawionego tylko na https, włącz przełącznik na Kieruj wszystkie żądania https portu 443/444 z tego węzła za pośrednictwem jawnego serwera proxy. To ustawienie wymaga 15 sekund, aby zostało wprowadzone.
6	Kliknij opcję Zainstaluj wszystkie certyfikaty w magazynie zaufania (pojawia się w przypadku jawnego serwera proxy HTTPS lub przezroczystego serwera proxy inspekcji) lub Uruchom ponownie (pojawia się w przypadku jawnego serwera proxy HTTP), przeczytaj monit, a następnie kliknij przycisk Zainstaluj, jeśli wszystko jest gotowe. Węzeł uruchomi się ponownie w ciągu kilku minut.
7	Po ponownym uruchomieniu węzła zaloguj się ponownie, jeśli to konieczne, a następnie otwórz stronę Przegląd, aby sprawdzić kontrole łączności, aby upewnić się, że wszystkie są w stanie zielonym. Sprawdzanie połączenia proxy testuje tylko subdomenę webex.com. Jeśli występują problemy z łącznością, typowym problemem jest to, że niektóre domeny chmury wymienione w instrukcjach instalacji są blokowane na serwerze proxy.

Zarejestruj pierwszy węzeł w klastrze

To zadanie pobiera ogólny węzeł utworzony w oknie Skonfiguruj VM usługi hybrydowego zabezpieczenia danych, rejestruje węzeł w chmurze Webex i przekształca go w węzeł usługi hybrydowego zabezpieczenia danych.

Po zarejestrowaniu pierwszego węzła tworzony jest klaster, do którego przypisany jest węzeł. Klaster zawiera co najmniej jeden węzeł wdrożony w celu zapewnienia redundancji.

Przed rozpoczęciem

Po rozpoczęciu rejestracji węzła należy ją wykonać w ciągu 60 minut lub rozpocząć od nowa.
Upewnij się, że wszystkie blokery wyskakujące w przeglądarce są wyłączone lub zezwalasz na wyjątek dla witryny admin.webex.com.

1	Zaloguj się w https://admin.webex.com.
2	Z menu po lewej stronie ekranu wybierz pozycję Usługi.
3	W sekcji Usługi chmury znajdź kartę usługi hybrydowego zabezpieczenia danych i kliknij przycisk Konfiguruj.
4	Na otwieranej stronie kliknij pozycję Dodaj zasób.
5	W pierwszym polu karty Dodaj węzeł wprowadź nazwę klastra, do którego chcesz przypisać węzeł usługi hybrydowego zabezpieczenia danych. Zalecamy nadanie nazwy klastra na podstawie tego, gdzie znajdują się węzły klastra. Przykłady: „San Francisco”, „Nowy Jork” lub „Dallas”
6	W drugim polu wprowadź wewnętrzny adres IP lub w pełni kwalifikowaną nazwę domeny (FQDN) węzła i kliknij opcję Dodaj u dołu ekranu. Ten adres IP lub w pełni kwalifikowana nazwa domeny (FQDN) powinny być zgodne z adresem IP lub nazwą hosta i domeną użytymi w części Konfigurowanie maszyny wirtualnej usługi hybrydowego zabezpieczenia danych. Zostanie wyświetlony komunikat informujący, że możesz zarejestrować węzeł w usłudze Webex.
7	Kliknij opcję Przejdź do węzła. Po kilku chwilach nastąpi przekierowanie do testów łączności z węzłem dla usług Webex. Jeśli wszystkie testy zakończą się pomyślnie, zostanie wyświetlona strona Zezwól na dostęp do węzła usługi hybrydowego zabezpieczenia danych. Tam potwierdzasz, że chcesz przyznać swojej organizacji Webex uprawnienia do dostępu do węzła.
8	Zaznacz pole wyboru Zezwól na dostęp do węzła usługi hybrydowego zabezpieczenia danych , a następnie kliknij przycisk Kontynuuj. Konto zostało zweryfikowane, a komunikat „Rejestracja zakończona” wskazuje, że węzeł jest teraz zarejestrowany w chmurze Webex.
9	Kliknij łącze lub zamknij kartę, aby wrócić do strony hybrydowego zabezpieczenia danych w Partner Hub. Na stronie Hybrydowe zabezpieczenia danych na karcie Zasoby jest wyświetlany nowy klaster zawierający zarejestrowany węzeł. Węzeł automatycznie pobierze najnowsze oprogramowanie z chmury.

Utwórz i zarejestruj więcej węzłów

Aby dodać dodatkowe węzły do klastra, po prostu utwórz dodatkowe maszyny wirtualne i zamontuj ten sam plik ISO konfiguracji, a następnie zarejestruj węzeł. Zalecamy posiadanie co najmniej 3 węzłów.

Przed rozpoczęciem

Po rozpoczęciu rejestracji węzła należy ją wykonać w ciągu 60 minut lub rozpocząć od nowa.
Upewnij się, że wszystkie blokery wyskakujące w przeglądarce są wyłączone lub zezwalasz na wyjątek dla witryny admin.webex.com.

1	Utwórz nową maszynę wirtualną z OVA, powtarzając kroki w Zainstaluj OVA hosta HDS.
2	Skonfiguruj początkową konfigurację na nowej maszynie wirtualnej, powtarzając kroki w artykule Konfigurowanie maszyny wirtualnej usługi hybrydowego zabezpieczenia danych.
3	Na nowej maszynie wirtualnej powtórz czynności opisane w części Prześlij i zamontuj certyfikat ISO konfiguracji HDS.
4	Jeśli konfigurujesz serwer proxy dla swojego wdrożenia, powtórz kroki w artykule Konfigurowanie węzła HDS dla integracji serwera proxy w zależności od potrzeb dla nowego węzła.
5	Zarejestruj węzeł. W aplikacji https://admin.webex.com wybierz pozycję Usługi z menu po lewej stronie ekranu. W sekcji Usługi chmury znajdź kartę usługi hybrydowego zabezpieczenia danych i kliknij opcję Wyświetl wszystko. Zastanie wyświetlona strona zasobów hybrydowego zabezpieczenia danych. Nowo utworzony klaster pojawi się na stronie Zasoby . Kliknij klaster, aby wyświetlić węzły przypisane do klastra. Kliknij Dodaj węzeł po prawej stronie ekranu. Wprowadź wewnętrzny adres IP lub w pełni kwalifikowaną nazwę domeny (FQDN) węzła i kliknij przycisk Dodaj. Zostanie otwarta strona z komunikatem informującym, że możesz zarejestrować węzeł w chmurze Webex. Po kilku chwilach nastąpi przekierowanie do testów łączności z węzłem dla usług Webex. Jeśli wszystkie testy zakończą się pomyślnie, zostanie wyświetlona strona Zezwól na dostęp do węzła usługi hybrydowego zabezpieczenia danych. Potwierdzasz tam, że chcesz przyznać swojej organizacji uprawnienia do dostępu do węzła. Zaznacz pole wyboru Zezwól na dostęp do węzła usługi hybrydowego zabezpieczenia danych , a następnie kliknij przycisk Kontynuuj. Konto zostało zweryfikowane, a komunikat „Rejestracja zakończona” wskazuje, że węzeł jest teraz zarejestrowany w chmurze Webex. Kliknij łącze lub zamknij kartę, aby wrócić do strony hybrydowego zabezpieczenia danych w Partner Hub. Komunikat wyskakujący o dodanym węźle pojawia się również w dolnej części ekranu w Partner Hub. Twój węzeł jest zarejestrowany.

Zarządzanie organizacjami dzierżaw w usłudze hybrydowego zabezpieczenia danych dla wielu dzierżaw

Aktywuj usługę HDS dla wielu dzierżaw w Partner Hub

To zadanie gwarantuje, że wszyscy użytkownicy w organizacjach klientów mogą zacząć korzystać z usług HDS dla lokalnych kluczy szyfrowania i innych usług zabezpieczeń.

Przed rozpoczęciem

Upewnij się, że konfiguracja klastra HDS dla wielu dzierżaw została zakończona z wymaganą liczbą węzłów.

1	Zaloguj się w https://admin.webex.com.
2	Z menu po lewej stronie ekranu wybierz pozycję Usługi.
3	W sekcji Usługi chmury znajdź usługę hybrydowego zabezpieczenia danych i kliknij opcję Edytuj ustawienia.
4	Kliknij opcję Aktywuj tryb HDS na karcie Stan trybu HDS .

Dodaj organizacje dzierżawców w Partner Hub

W tym zadaniu przypisujesz organizacje klientów do swojego klastra hybrydowego zabezpieczenia danych.

1	Zaloguj się w https://admin.webex.com.
2	Z menu po lewej stronie ekranu wybierz pozycję Usługi.
3	W sekcji Usługi chmury znajdź usługę hybrydowego zabezpieczenia danych i kliknij opcję Wyświetl wszystko.
4	Kliknij klaster, do którego chcesz przypisać klienta.
5	Przejdź do karty Przypisani klienci .
6	Kliknij opcję Dodaj klientów.
7	Wybierz z menu rozwijanego klienta, którego chcesz dodać.
8	Kliknij Dodaj, klient zostanie dodany do klastra.
9	Powtórz kroki od 6 do 8, aby dodać wielu klientów do klastra.
10	Po dodaniu klientów kliknij przycisk Gotowe w dolnej części ekranu.

Co zrobić dalej

Uruchom narzędzie do konfiguracji usługi HDS zgodnie z opisem w części Utwórz klucze główne klienta (CMK) za pomocą narzędzia do konfiguracji usługi HDS , aby dokończyć proces konfiguracji.

Tworzenie kluczy głównych klientów (CMK) za pomocą narzędzia konfiguracji HDS

Przed rozpoczęciem

Przypisz klientów do odpowiedniego klastra zgodnie z opisem w sekcji Dodaj organizacje dzierżawy w Partner Hub. Uruchom narzędzie Konfiguracja usług HDS, aby zakończyć proces konfiguracji nowo dodanych organizacji klientów.

Narzędzie HDS Setup działa jako kontener platformy Docker na komputerze lokalnym. Aby uzyskać do niego dostęp, uruchom Docker na tym komputerze. Proces konfiguracji wymaga poświadczeń konta w Partner Hub z pełnymi uprawnieniami administratora dla Twojej organizacji.

Jeśli narzędzie konfiguracji HDS działa za serwerem proxy w środowisku, podaj ustawienia serwera proxy (serwer, port, poświadczenia) przez zmienne środowiskowe Docker podczas podnoszenia kontenera Docker w kroku 5. Ta tabela zawiera kilka możliwych zmiennych środowiskowych:

Opis	Zmienna
Serwer proxy HTTP bez uwierzytelniania	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
Serwer proxy HTTPS bez uwierzytelniania	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
Serwer proxy HTTP z uwierzytelnianiem	`GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
Serwer proxy HTTPS z uwierzytelnianiem	`GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

Wygenerowany plik ISO konfiguracji zawiera klucz główny do szyfrowania bazy danych PostgreSQL lub Microsoft SQL Server. Najnowszą kopię tego pliku należy zawsze wprowadzać zmiany w konfiguracji, takie jak:
- Poświadczenia bazy danych
- Aktualizacje certyfikatu
- Zmiany w zasadach autoryzacji
Jeśli planujesz szyfrować połączenia z bazami danych, skonfiguruj wdrożenie PostgreSQL lub SQL Server dla protokołu TLS.

Proces konfiguracji usługi hybrydowego zabezpieczenia danych tworzy plik ISO. Następnie za pomocą interfejsu ISO można skonfigurować hosta usługi hybrydowego zabezpieczenia danych.

1	W wierszu poleceń komputera wprowadź polecenie odpowiednie dla swojego środowiska: W zwykłych środowiskach: `docker rmi ciscocitg/hds-setup:stable` W środowiskach FedRAMP: `docker rmi ciscocitg/hds-setup-fedramp:stable` Ten krok czyści poprzednie obrazy narzędzia konfiguracji HDS. Jeśli nie ma poprzednich obrazów, zwraca błąd, który można zignorować.
2	Aby zalogować się do rejestru obrazów platformy Docker, wprowadź następujące informacje: `docker login -u hdscustomersro`
3	Po wyświetleniu monitu o hasło wprowadź ten skrót: `dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo`
4	Pobierz najnowszy stabilny obraz dla swojego środowiska: W zwykłych środowiskach: `docker pull ciscocitg/hds-setup:stable` W środowiskach FedRAMP: `docker pull ciscocitg/hds-setup-fedramp:stable`
5	Po zakończeniu ściągania wprowadź odpowiednie polecenie dla swojego środowiska: W zwykłych środowiskach bez proxy: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable` W zwykłych środowiskach z proxy HTTP: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable` W zwykłych środowiskach z serwerem proxy HTTPS: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable` W środowiskach FedRAMP bez proxy: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable` W środowiskach FedRAMP z proxy HTTP: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable` W środowiskach FedRAMP z proxy HTTPS: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable` Gdy kontener jest uruchomiony, zobaczysz komunikat „Serwer ekspresowy nasłuchuje na porcie 8080”.
6	Narzędzie konfiguracyjne nie obsługuje łączenia się z hostem localhost za pośrednictwem serwera http://localhost:8080. Użyj, http://127.0.0.1:8080 aby połączyć się z localhost. Użyj przeglądarki internetowej, aby przejść do hosta lokalnego `http://127.0.0.1:8080`i po wyświetleniu monitu wprowadź nazwę użytkownika administratora dla Partner Hub. Narzędzie używa tego pierwszego wpisu nazwy użytkownika w celu ustawienia środowiska dla tego konta. Następnie narzędzie wyświetla standardowy monit o zalogowanie.
7	Po wyświetleniu monitu wprowadź poświadczenia logowania administratora Partner Hub, a następnie kliknij przycisk Zaloguj , aby zezwolić na dostęp do wymaganych usług hybrydowego zabezpieczenia danych.
8	Na stronie Przegląd narzędzia konfiguracji kliknij przycisk Rozpocznij.
9	Na stronie Import ISO kliknij przycisk Tak.
10	Wybierz plik ISO w przeglądarce i prześlij go. Aby wykonać zarządzanie CMK, zapewnij połączenie z bazą danych.
11	Przejdź do karty Zarządzanie CMK dzierżawy , na której znajdziesz następujące trzy sposoby zarządzania CMK dzierżawy. Utwórz CMK dla wszystkich organizacji lub Utwórz CMK — kliknij ten przycisk na banerze u góry ekranu, aby utworzyć CMK dla wszystkich nowo dodanych organizacji. Kliknij przycisk Zarządzaj CMK po prawej stronie ekranu i kliknij przycisk Utwórz CMK , aby utworzyć CMK dla wszystkich nowo dodanych organizacji. Kliknij … w pobliżu oczekującego na status określonej organizacji w tabeli zarządzania CMK i kliknij przycisk Utwórz CMK , aby utworzyć CMK dla tej organizacji.
12	Po pomyślnym utworzeniu CMK stan w tabeli zostanie zmieniony z oczekującego zarządzania CMK na zarządzane CMK.
13	Jeśli tworzenie CMK nie powiedzie się, zostanie wyświetlony błąd.

Usuń organizacje dzierżaw

Przed rozpoczęciem

Po usunięciu użytkownicy organizacji klientów nie będą mogli korzystać z usługi HDS dla potrzeb szyfrowania i utracą wszystkie istniejące obszary. Przed usunięciem organizacji klientów skontaktuj się z partnerem lub opiekunem klienta Cisco.

1	Zaloguj się w https://admin.webex.com.
2	Z menu po lewej stronie ekranu wybierz pozycję Usługi.
3	W sekcji Usługi chmury znajdź usługę hybrydowego zabezpieczenia danych i kliknij opcję Wyświetl wszystko.
4	Na karcie Zasoby kliknij klaster, z którego chcesz usunąć organizacje klientów.
5	Na stronie, która się otworzy, kliknij pozycję Przypisani klienci.
6	Z wyświetlonej listy organizacji klientów kliknij ... po prawej stronie organizacji klienta, którą chcesz usunąć, i kliknij pozycję Usuń z klastra.

Co zrobić dalej

Zakończ proces usuwania, odwołując kody CMK organizacji klientów zgodnie z opisem w części Unieważnij kody CMK dzierżaw usuniętych z HDS.

Unieważnij CMK dzierżaw usuniętych z HDS.

Przed rozpoczęciem

Usuń klientów z odpowiedniego klastra, jak opisano w części Usuń organizacje dzierżawy. Uruchom narzędzie Konfiguracja usług HDS, aby zakończyć proces usuwania organizacji klientów, które zostały usunięte.

Narzędzie HDS Setup działa jako kontener platformy Docker na komputerze lokalnym. Aby uzyskać do niego dostęp, uruchom Docker na tym komputerze. Proces konfiguracji wymaga poświadczeń konta w Partner Hub z pełnymi uprawnieniami administratora dla Twojej organizacji.

Jeśli narzędzie konfiguracji HDS działa za serwerem proxy w środowisku, podaj ustawienia serwera proxy (serwer, port, poświadczenia) przez zmienne środowiskowe Docker podczas podnoszenia kontenera Docker w kroku 5. Ta tabela zawiera kilka możliwych zmiennych środowiskowych:

Opis	Zmienna
Serwer proxy HTTP bez uwierzytelniania	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
Serwer proxy HTTPS bez uwierzytelniania	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
Serwer proxy HTTP z uwierzytelnianiem	`GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
Serwer proxy HTTPS z uwierzytelnianiem	`GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

Wygenerowany plik ISO konfiguracji zawiera klucz główny do szyfrowania bazy danych PostgreSQL lub Microsoft SQL Server. Najnowszą kopię tego pliku należy zawsze wprowadzać zmiany w konfiguracji, takie jak:
- Poświadczenia bazy danych
- Aktualizacje certyfikatu
- Zmiany w zasadach autoryzacji
Jeśli planujesz szyfrować połączenia z bazami danych, skonfiguruj wdrożenie PostgreSQL lub SQL Server dla protokołu TLS.

Proces konfiguracji usługi hybrydowego zabezpieczenia danych tworzy plik ISO. Następnie za pomocą interfejsu ISO można skonfigurować hosta usługi hybrydowego zabezpieczenia danych.

1	W wierszu poleceń komputera wprowadź polecenie odpowiednie dla swojego środowiska: W zwykłych środowiskach: `docker rmi ciscocitg/hds-setup:stable` W środowiskach FedRAMP: `docker rmi ciscocitg/hds-setup-fedramp:stable` Ten krok czyści poprzednie obrazy narzędzia konfiguracji HDS. Jeśli nie ma poprzednich obrazów, zwraca błąd, który można zignorować.
2	Aby zalogować się do rejestru obrazów platformy Docker, wprowadź następujące informacje: `docker login -u hdscustomersro`
3	Po wyświetleniu monitu o hasło wprowadź ten skrót: `dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo`
4	Pobierz najnowszy stabilny obraz dla swojego środowiska: W zwykłych środowiskach: `docker pull ciscocitg/hds-setup:stable` W środowiskach FedRAMP: `docker pull ciscocitg/hds-setup-fedramp:stable`
5	Po zakończeniu ściągania wprowadź odpowiednie polecenie dla swojego środowiska: W zwykłych środowiskach bez proxy: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable` W zwykłych środowiskach z proxy HTTP: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable` W zwykłych środowiskach z serwerem proxy HTTPS: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable` W środowiskach FedRAMP bez proxy: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable` W środowiskach FedRAMP z proxy HTTP: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable` W środowiskach FedRAMP z proxy HTTPS: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable` Gdy kontener jest uruchomiony, zobaczysz komunikat „Serwer ekspresowy nasłuchuje na porcie 8080”.
6	Narzędzie konfiguracyjne nie obsługuje łączenia się z hostem localhost za pośrednictwem serwera http://localhost:8080. Użyj, http://127.0.0.1:8080 aby połączyć się z localhost. Użyj przeglądarki internetowej, aby przejść do hosta lokalnego `http://127.0.0.1:8080`i po wyświetleniu monitu wprowadź nazwę użytkownika administratora dla Partner Hub. Narzędzie używa tego pierwszego wpisu nazwy użytkownika w celu ustawienia środowiska dla tego konta. Następnie narzędzie wyświetla standardowy monit o zalogowanie.
7	Po wyświetleniu monitu wprowadź poświadczenia logowania administratora Partner Hub, a następnie kliknij przycisk Zaloguj , aby zezwolić na dostęp do wymaganych usług hybrydowego zabezpieczenia danych.
8	Na stronie Przegląd narzędzia konfiguracji kliknij przycisk Rozpocznij.
9	Na stronie Import ISO kliknij przycisk Tak.
10	Wybierz plik ISO w przeglądarce i prześlij go.
11	Przejdź do karty Zarządzanie CMK dzierżawy , na której znajdziesz następujące trzy sposoby zarządzania CMK dzierżawy. Unieważnij CMK dla wszystkich organizacji lub Unieważnij CMK — kliknij ten przycisk na banerze u góry ekranu, aby unieważnić CMK wszystkich organizacji, które zostały usunięte. Kliknij przycisk Zarządzaj CMK po prawej stronie ekranu i kliknij przycisk Unieważnij CMK , aby unieważnić CMK wszystkich organizacji, które zostały usunięte. Kliknij w pobliżu stanu CMK, aby unieważnić konkretną organizację, a następnie kliknij przycisk Unieważnij CMK , aby unieważnić CMK dla danej organizacji.
12	Po pomyślnym odwołaniu CMK organizacja klienta nie będzie już widoczna w tabeli.
13	Jeśli unieważnienie CMK nie powiedzie się, zostanie wyświetlony błąd.

Przetestuj swoje wdrożenie usługi hybrydowego zabezpieczenia danych

Ta procedura służy do testowania scenariuszy szyfrowania usługi hybrydowego zabezpieczenia danych dla wielu dzierżaw.

Przed rozpoczęciem

Skonfiguruj wdrożenie usługi hybrydowego zabezpieczenia danych dla wielu dzierżawców.
Upewnij się, że masz dostęp do dziennika systemowego, aby sprawdzić, czy żądania kluczy są przekazywane do wdrożenia hybrydowego zabezpieczenia danych z wieloma dzierżawcami.

1

Twórca obszaru ustawia klawisze dla danego obszaru. Zaloguj się do aplikacji Webex jako jeden z użytkowników organizacji klienta, a następnie utwórz obszar.

Po dezaktywacji wdrożenia usługi hybrydowego zabezpieczenia danych treści w obszarach utworzonych przez użytkowników nie będą już dostępne po zastąpieniu kopii kluczy szyfrowania zapisanych w pamięci podręcznej klienta.

2

Wysyłaj wiadomości do nowego obszaru.

3

Sprawdź dane wyjściowe dziennika systemu, aby sprawdzić, czy żądania kluczy są przekazywane do wdrożenia usługi hybrydowego zabezpieczenia danych.

Aby sprawdzić, czy użytkownik najpierw ustanawia bezpieczny kanał do serwera KMS, włącz filtr kms.data.method=create i kms.data.type=EPHEMERAL_KEY_COLLECTION:

Należy znaleźć wpis taki jak następujący (identyfikatory skrócone dla czytelności):

2020-07-21 17:35:34.562 (+0000) INFO  KMS [pool-14-thread-1] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, 
kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

Aby sprawdzić, czy użytkownik żąda istniejącego klucza z serwera KMS, należy włączyć filtr kms.data.method=retrieve i kms.data.type=KEY:

Znajdziesz tam następujące pozycje:

2020-07-21 17:44:19.889 (+0000) INFO  KMS [pool-14-thread-31] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, 
kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, 
kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

Aby sprawdzić użytkownika z prośbą o utworzenie nowego klucza KMS, należy włączyć filtr kms.data.method=create i kms.data.type=KEY_COLLECTION:

Znajdziesz tam następujące pozycje:

2020-07-21 17:44:21.975 (+0000) INFO  KMS [pool-14-thread-33] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, 
kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, 
kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

Aby sprawdzić, czy użytkownik prosi o utworzenie nowego obiektu zasobów KMS (KRO) podczas tworzenia obszaru lub innego chronionego zasobu, należy włączyć filtr kms.data.method=create i kms.data.type=RESOURCE_COLLECTION:

Znajdziesz tam następujące pozycje:

2020-07-21 17:44:22.808 (+0000) INFO  KMS [pool-15-thread-1] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

Monitoruj stan hybrydowego zabezpieczenia danych

Wskaźnik stanu w Partner Hub pokazuje, czy wszystko działa dobrze z wdrożeniem hybrydowego zabezpieczenia danych dla wielu dzierżawców. Aby uzyskać bardziej aktywne alerty, zarejestruj się w celu otrzymywania powiadomień e-mail. Będziesz otrzymywać powiadomienia w przypadku alarmów dotyczących usługi lub uaktualnień oprogramowania.

1	W Partner Hub wybierz pozycję Usługi z menu po lewej stronie ekranu.
2	W sekcji Usługi chmury znajdź usługę hybrydowego zabezpieczenia danych i kliknij opcję Edytuj ustawienia. Zastanie wyświetlona strona ustawień usługi hybrydowego zabezpieczenia danych.
3	W sekcji Powiadomienia e-mail wpisz co najmniej jeden adres e-mail oddzielony przecinkami i naciśnij klawisz Enter.

Zarządzaj wdrożeniem urządzeń HDS

Zarządzaj wdrożeniem usług HDS

Do zarządzania wdrożeniem usługi hybrydowego zabezpieczenia danych służą opisane w tym miejscu zadania.

Ustaw harmonogram uaktualniania klastra

Aktualizacje oprogramowania usługi hybrydowego zabezpieczenia danych są wykonywane automatycznie na poziomie klastra, co zapewnia, że na wszystkich węzłach zawsze działa ta sama wersja oprogramowania. Uaktualnienia są wykonywane zgodnie z harmonogramem uaktualniania klastra. Po udostępnieniu uaktualnienia oprogramowania masz możliwość ręcznego uaktualnienia klastra przed zaplanowaną godziną uaktualnienia. Możesz ustawić określony harmonogram uaktualniania lub użyć domyślnego harmonogramu aktualizacji 3:00 czasu AM Daily, Stany Zjednoczone: Ameryka/Los Angeles. W razie potrzeby możesz także zdecydować się na odroczenie nadchodzącego uaktualnienia.

Aby ustawić harmonogram uaktualniania:

1	Zaloguj się do Centrum partnerów.
2	Z menu po lewej stronie ekranu wybierz pozycję Usługi.
3	W sekcji Usługi chmury znajdź usługę hybrydowego zabezpieczenia danych i kliknij opcję Skonfiguruj
4	Na stronie Zasoby hybrydowego zabezpieczenia danych wybierz klaster.
5	Kliknij kartę Ustawienia klastra .
6	Na stronie Ustawienia klastra w obszarze Harmonogram uaktualniania wybierz strefę czasową i strefę czasową harmonogramu uaktualniania. Uwaga: W strefie czasowej wyświetlana jest kolejna dostępna data i godzina uaktualnienia. W razie potrzeby można odroczyć uaktualnienie na następny dzień, klikając opcję Odłóż o 24 godziny.

Zmień konfigurację węzła

Czasami może być konieczna zmiana konfiguracji węzła Hybrid Data Security z takiego powodu, jak:

Zmiana certyfikatów x.509 z powodu wygaśnięcia lub z innych powodów.

Nie obsługujemy zmiany nazwy domeny CN certyfikatu. Domena musi być zgodna z oryginalną domeną użytą do rejestracji klastra.
Aktualizacja ustawień bazy danych w celu zmiany na replikę bazy danych PostgreSQL lub Microsoft SQL Server.

Nie obsługujemy migracji danych z PostgreSQL do Microsoft SQL Server lub odwrotnie. Aby przełączyć środowisko bazy danych, rozpocznij nowe wdrożenie Hybrid Data Security.
Tworzenie nowej konfiguracji w celu przygotowania nowego centrum danych.

Ponadto ze względów bezpieczeństwa usługa Hybrid Data Security używa haseł do kont usług, które mają dziewięciomiesięczny okres użytkowania. Gdy narzędzie HdS Setup wygeneruje te hasła, należy je wdrożyć w każdym z węzłów HDS w pliku konfiguracyjnym ISO. Gdy hasła Twojej organizacji zbliżają się do wygaśnięcia, otrzymasz powiadomienie od zespołu Webex o zresetowaniu hasła do konta komputera. (Wiadomość e-mail zawiera tekst „Użyj interfejsu API konta komputera, aby zaktualizować hasło”). Jeśli Twoje hasła jeszcze nie wygasły, narzędzie oferuje dwie opcje:

Resetowanie programowe — stare i nowe hasła działają przez maksymalnie 10 dni. Wykorzystaj ten okres, aby stopniowo zastępować plik ISO w węzłach.
Zresetuj całkowicie — stare hasła natychmiast przestaną działać.

Jeśli hasła wygasną bez resetowania, ma to wpływ na usługę HDS, wymagając natychmiastowego twardego resetu i wymiany pliku ISO na wszystkich węzłach.

Użyj tej procedury, aby wygenerować nowy konfiguracyjny plik ISO i zastosować go do klastra.

Przed rozpoczęciem

Narzędzie HDS Setup działa jako kontener platformy Docker na komputerze lokalnym. Aby uzyskać do niego dostęp, uruchom Docker na tym komputerze. Proces konfiguracji wymaga poświadczeń konta w Partner Hub z pełnymi uprawnieniami administratora partnera.

Jeśli nie posiadasz licencji Docker Desktop, możesz użyć programu Podman Desktop do uruchomienia narzędzia konfiguracji HDS w krokach od 1.a do 1.e w poniższej procedurze. Szczegółowe informacje zawiera temat Uruchamianie narzędzia konfiguracji HDS przy użyciu pulpitu Podmana .

Jeśli narzędzie konfiguracji HDS działa za serwerem proxy w środowisku, podaj ustawienia serwera proxy (serwer, port, poświadczenia) przez zmienne środowiskowe Docker podczas wprowadzania kontenera Docker w 1.e. Ta tabela zawiera kilka możliwych zmiennych środowiskowych:

Opis	Zmienna
Serwer proxy HTTP bez uwierzytelniania	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
Serwer proxy HTTPS bez uwierzytelniania	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
Serwer proxy HTTP z uwierzytelnianiem	`GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
Serwer proxy HTTPS z uwierzytelnianiem	`GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

Do wygenerowania nowej konfiguracji potrzebna jest kopia bieżącego konfiguracyjnego pliku ISO. ISO zawiera klucz główny szyfrujący bazę danych PostgreSQL lub Microsoft SQL Server. Plik ISO jest potrzebny podczas wprowadzania zmian w konfiguracji, w tym poświadczeń bazy danych, aktualizacji certyfikatów lub zmian zasad autoryzacji.

1	Korzystając z platformy Docker na komputerze lokalnym, uruchom narzędzie HDS Setup Tool. W wierszu poleceń komputera wprowadź polecenie odpowiednie dla swojego środowiska: W zwykłych środowiskach: `docker rmi ciscocitg/hds-setup:stable` W środowiskach FedRAMP: `docker rmi ciscocitg/hds-setup-fedramp:stable` Ten krok czyści poprzednie obrazy narzędzia konfiguracji HDS. Jeśli nie ma poprzednich obrazów, zwraca błąd, który można zignorować. Aby zalogować się do rejestru obrazów platformy Docker, wprowadź następujące informacje: `docker login -u hdscustomersro` Po wyświetleniu monitu o hasło wprowadź ten skrót: `dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo` Pobierz najnowszy stabilny obraz dla swojego środowiska: W zwykłych środowiskach: `docker pull ciscocitg/hds-setup:stable` W środowiskach FedRAMP: `docker pull ciscocitg/hds-setup-fedramp:stable` Upewnij się, że pobierasz najnowsze narzędzie instalacyjne dla tej procedury. Wersje narzędzia utworzone przed 22 lutego 2018 r. nie mają ekranów resetowania hasła. Po zakończeniu ściągania wprowadź odpowiednie polecenie dla swojego środowiska: W zwykłych środowiskach bez proxy: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable` W zwykłych środowiskach z proxy HTTP: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable` W zwykłych środowiskach z HTTPSproxy: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable` W środowiskach FedRAMP bez proxy: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable` W środowiskach FedRAMP z proxy HTTP: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable` W środowiskach FedRAMP z proxy HTTPS: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable` Gdy kontener jest uruchomiony, zobaczysz komunikat „Serwer ekspresowy nasłuchuje na porcie 8080”. Użyj przeglądarki, aby połączyć się z hostem lokalnym, `http://127.0.0.1:8080`. Narzędzie konfiguracyjne nie obsługuje łączenia się z hostem localhost za pośrednictwem serwera http://localhost:8080. Użyj, http://127.0.0.1:8080 aby połączyć się z localhost. Po wyświetleniu monitu wprowadź poświadczenia logowania klienta w Partner Hub, a następnie kliknij przycisk Akceptuj , aby kontynuować. Zaimportuj bieżący konfiguracyjny plik ISO. Postępuj zgodnie z instrukcjami, aby ukończyć narzędzie i pobrać zaktualizowany plik. Aby zamknąć narzędzie konfiguracyjne, wpisz `CTRL+C`. Utwórz kopię zapasową zaktualizowanego pliku w innym centrum danych.
2	Jeśli masz uruchomiony tylko jeden węzeł HDS, utwórz nowy węzeł usługi hybrydowego zabezpieczenia danych i zarejestruj go za pomocą nowego pliku ISO konfiguracji. Aby uzyskać bardziej szczegółowe instrukcje, zobacz Tworzenie i rejestrowanie większej liczby węzłów. Zainstaluj OVA hosta HDS. Skonfiguruj maszynę wirtualną HDS. Zamontuj zaktualizowany plik konfiguracyjny. Zarejestruj nowy węzeł w Partner Hub.
3	W przypadku istniejących węzłów HDS, na których działa starszy plik konfiguracyjny, podłącz plik ISO. Wykonaj następującą procedurę na każdym węźle po kolei, aktualizując każdy węzeł przed wyłączeniem następnego węzła: Wyłącz maszynę wirtualną. W lewym okienku nawigacji klienta VMware vSphere kliknij prawym przyciskiem myszy maszynę wirtualną i kliknij opcję Edytuj ustawienia. Kliknij `CD/DVD Drive 1`pozycję , wybierz opcję montażu z pliku ISO i przejdź do lokalizacji, w której pobrano nowy plik ISO konfiguracji. Zaznacz Połącz przy włączeniu. Zapisz zmiany i włącz maszynę wirtualną.
4	Powtórz krok 3, aby zastąpić konfigurację na każdym pozostałym węźle, na którym działa stara konfiguracja.

Wyłączanie trybu zablokowanego zewnętrznego rozpoznawania DNS

Podczas rejestrowania węzła lub sprawdzania konfiguracji serwera proxy węzła proces testuje wyszukiwanie DNS i łączność z chmurą Cisco Webex. Jeśli serwer DNS węzła nie może rozpoznać publicznych nazw DNS, węzeł automatycznie przechodzi w tryb zablokowanego zewnętrznego rozpoznawania DNS.

Jeśli węzły są w stanie rozpoznawać publiczne nazwy DNS za pośrednictwem wewnętrznych serwerów DNS, można wyłączyć ten tryb, ponownie uruchamiając test połączenia proxy w każdym węźle.

Przed rozpoczęciem

Upewnij się, że wewnętrzne serwery DNS mogą rozpoznawać publiczne nazwy DNS i że węzły mogą się z nimi komunikować.

1	W przeglądarce sieci Web otwórz interfejs węzła Hybrid Data Security (na przykład adres IP/konfiguracja https://192.0.2.0/setup), wprowadź poświadczenia administratora skonfigurowane dla węzła, a następnie kliknij przycisk Zaloguj.
2	Przejdź do Przegląd (strona domyślna). Gdy ta opcja jest włączona, opcja Zablokowane zewnętrzne rozpoznawanie DNS jest ustawiona na Tak.
3	Przejdź do strony Trust Store & Proxy.
4	Kliknij przycisk Sprawdź połączenie proxy. Jeśli zostanie wyświetlony komunikat informujący, że zewnętrzne rozpoznawanie nazw DNS nie powiodło się, oznacza to, że węzeł nie mógł połączyć się z serwerem DNS i pozostanie w tym trybie. W przeciwnym razie, po ponownym uruchomieniu węzła i powrocie do strony Przegląd, Zablokowane zewnętrzne rozpoznawanie DNS powinno być ustawione na nie.

Co dalej?

Powtórz test połączenia proxy dla każdego węzła w klastrze hybrid Data Security.

Usuń węzeł

Ta procedura umożliwia usunięcie węzła usługi hybrydowego zabezpieczenia danych z chmury Webex. Po usunięciu węzła z klastra usuń maszynę wirtualną, aby zapobiec dalszemu dostępowi do danych zabezpieczeń.

1

Użyj klienta VMware vSphere na komputerze, aby zalogować się do hosta wirtualnego ESXi i wyłączyć maszynę wirtualną.

2

Usuń węzeł:

Zaloguj się do Partner Hub, a następnie wybierz pozycję Usługi.
Na karcie usługi hybrydowego zabezpieczenia danych kliknij przycisk Wyświetl wszystko , aby wyświetlić stronę zasobów usługi hybrydowego zabezpieczenia danych.
Wybierz klaster, aby wyświetlić jego panel Przegląd.
Kliknij węzeł, który chcesz usunąć.
Kliknij Wyrejestruj ten węzeł na panelu wyświetlanym po prawej stronie
Możesz również wyrejestrować węzeł, klikając … po prawej stronie węzła i wybierając opcję Usuń ten węzeł.

3

W kliencie vSphere usuń maszynę wirtualną. (W lewym okienku nawigacyjnym kliknij prawym przyciskiem myszy maszynę wirtualną i kliknij opcję Usuń).

Jeśli nie usuniesz maszyny wirtualnej, pamiętaj, aby odmontować plik ISO konfiguracji. Bez pliku ISO nie możesz korzystać z maszyny wirtualnej w celu uzyskania dostępu do danych zabezpieczeń.

Przywracanie po awarii przy użyciu centrum danych w trybie gotowości

Najważniejszą usługą zapewnianą przez klaster usługi hybrydowego zabezpieczenia danych jest tworzenie i przechowywanie kluczy używanych do szyfrowania wiadomości i innych treści przechowywanych w chmurze Webex. Dla każdego użytkownika w organizacji, który jest przypisany do usługi hybrydowego zabezpieczenia danych, nowe żądania utworzenia kluczy są kierowane do klastra. Klaster jest również odpowiedzialny za zwracanie utworzonych przez siebie kluczy do wszystkich użytkowników uprawnionych do ich pobrania, na przykład członków obszaru konwersacji.

Ponieważ klaster pełni kluczową funkcję dostarczania tych kluczy, konieczne jest, aby klaster nadal działał i aby zachowano odpowiednie kopie zapasowe. Utrata bazy danych usługi hybrydowego zabezpieczenia danych lub konfiguracji ISO użytej do schematu spowoduje NIEODWRACALNĄ UTRATĘ zawartości klienta. Aby zapobiec takiej utracie, obowiązkowe są następujące praktyki:

Jeśli awaria spowoduje niedostępność wdrożenia usług HDS w podstawowym centrum danych, wykonaj tę procedurę, aby ręcznie przełączyć się w tryb awaryjny do centrum danych.

Przed rozpoczęciem

Wyrejestruj wszystkie węzły z Partner Hub, jak opisano w sekcji Usuń węzeł. Aby wykonać opisaną poniżej procedurę przełączenia awaryjnego, użyj najnowszego pliku ISO, który został skonfigurowany w węzłach klastra, który był wcześniej aktywny.

1	Uruchom narzędzie konfiguracji HDS i wykonaj czynności wymienione w części Utwórz konfigurację ISO dla hostów HDS.
2	Zakończ proces konfiguracji i zapisz plik ISO w łatwym do znalezienia miejscu.
3	Utwórz kopię zapasową pliku ISO w lokalnym systemie. Zachowaj bezpieczeństwo kopii zapasowej. Ten plik zawiera główny klucz szyfrowania zawartości bazy danych. Ogranicz dostęp tylko do administratorów usługi hybrydowego zabezpieczenia danych, którzy powinni dokonać zmian w konfiguracji.
4	W lewym okienku nawigacji klienta VMware vSphere kliknij prawym przyciskiem myszy maszynę wirtualną i kliknij opcję Edytuj ustawienia.
5	Kliknij Edytuj ustawienia >Dysk CD/DVD 1 i wybierz Plik ISO magazynu danych. Upewnij się, że opcje Połączono i Połącz po włączeniu zasilania są zaznaczone, aby zaktualizowane zmiany konfiguracji mogły zostać zastosowane po uruchomieniu węzłów.
6	Włącz węzeł HDS i upewnij się, że nie ma alarmów przez co najmniej 15 minut.
7	Zarejestruj węzeł w Partner Hub. Zobacz Zarejestruj pierwszy węzeł w klastrze.
8	Powtórz ten proces dla każdego węzła w centrum danych w trybie gotowości.

Co zrobić dalej

Po przełączeniu awaryjnym, jeśli główne centrum danych ponownie stanie się aktywne, wyrejestruj węzły centrum danych w trybie gotowości i powtórz proces konfiguracji ISO i rejestracji węzłów podstawowego centrum danych, jak wspomniano powyżej.

(Opcjonalnie) Odmontuj ISO po konfiguracji HDS

Standardowa konfiguracja trybu HDS jest uruchomiona z zamontowaną normą ISO. Jednak niektórzy klienci wolą nie pozostawiać plików ISO stale montowanych. Plik ISO można odmontować, gdy wszystkie węzły HDS odbiorą nową konfigurację.

Nadal używasz plików ISO do wprowadzania zmian w konfiguracji. Podczas tworzenia nowego certyfikatu ISO lub aktualizacji certyfikatu ISO za pomocą narzędzia konfiguracji należy zamontować zaktualizowany certyfikat ISO na wszystkich węzłach trybu HDS. Gdy wszystkie węzły odbiorą zmiany konfiguracji, można ponownie odmontować obraz ISO za pomocą tej procedury.

Przed rozpoczęciem

Uaktualnij wszystkie węzły HDS do wersji 2021.01.22.4720 lub nowszej.

1	Wyłącz jeden z węzłów trybu HDS.
2	W urządzeniu vCenter Server Device wybierz węzeł HDS.
3	Wybierz pozycję Edytuj ustawienia > napęd CD/DVD i usuń zaznaczenie pola wyboru Plik ISO magazynu danych.
4	Włącz węzeł HDS i upewnij się, że nie ma alarmów przez co najmniej 20 minut.
5	Powtórz kolejno dla każdego węzła HDS.

Rozwiązywanie problemów z usługą hybrydowego zabezpieczenia danych

Wyświetlanie alertów i rozwiązywanie problemów

Wdrożenie usługi hybrydowego zabezpieczenia danych jest uważane za niedostępne, jeśli wszystkie węzły w klastrze są niedostępne lub klaster działa tak wolno, że wymaga przekroczenia limitu czasu. Jeśli użytkownicy nie mogą połączyć się z klastrem usługi hybrydowego zabezpieczenia danych, wystąpią następujące objawy:

Nie można tworzyć nowych obszarów (nie można utworzyć nowych kluczy)
Nie można odszyfrować wiadomości i tytułów obszarów dla:
- Nowi użytkownicy dodani do obszaru (nie można pobrać kluczy)
- Istniejący użytkownicy w obszarze korzystający z nowego klienta (nie można pobrać kluczy)
Istniejący użytkownicy w obszarze będą nadal działać pomyślnie, o ile ich klienci mają pamięć podręczną kluczy szyfrowania

Ważne jest, aby prawidłowo monitorować klaster usługi hybrydowego zabezpieczenia danych i szybko odpowiadać na wszelkie alerty, aby uniknąć zakłóceń w świadczeniu usług.

Alerty

Jeśli wystąpi problem z konfiguracją usługi hybrydowego zabezpieczenia danych, Partner Hub wyświetla alerty do administratora organizacji i wysyła wiadomości e-mail na skonfigurowany adres e-mail. Alerty obejmują wiele typowych scenariuszy.

Tabela 1. Wspólne problemy i kroki umożliwiające ich rozwiązanie
Alarm	Czynność
Błąd dostępu do lokalnej bazy danych.	Sprawdź, czy nie występują błędy bazy danych lub problemy z siecią lokalną.
Błąd połączenia z lokalną bazą danych.	Sprawdź, czy serwer bazy danych jest dostępny i czy w konfiguracji węzła użyto odpowiednich poświadczeń konta usługi.
Błąd dostępu do usługi chmury.	Sprawdź, czy węzły mogą uzyskać dostęp do serwerów Webex zgodnie z Wymaganiami dotyczącymi łączności zewnętrznej.
Odnawianie rejestracji w usłudze w chmurze.	Przerwano rejestrację w usługach w chmurze. Trwa odnawianie rejestracji.
Rejestracja usługi w chmurze została przerwana.	Rejestracja w usługach w chmurze została zakończona. Usługa jest wyłączana.
Usługa nie została jeszcze aktywowana.	Aktywuj usługę HDS w Partner Hub.
Skonfigurowana domena nie jest zgodna z certyfikatem serwera.	Upewnij się, że certyfikat serwera jest zgodny ze skonfigurowaną domeną aktywacji usługi. Najbardziej prawdopodobną przyczyną jest to, że kod CN certyfikatu został ostatnio zmieniony i różni się teraz od kodu używanego podczas początkowej konfiguracji.
Nie można uwierzytelnić usług w chmurze.	Sprawdź dokładność i możliwe wygaśnięcie poświadczeń konta usługi.
Nie można otworzyć pliku lokalnego magazynu kluczy.	Sprawdź integralność i dokładność haseł w pliku lokalnego magazynu kluczy.
Certyfikat serwera lokalnego jest nieprawidłowy.	Sprawdź datę wygaśnięcia certyfikatu serwera i upewnij się, że został on wydany przez zaufany urząd certyfikacji.
Nie można opublikować metryk.	Sprawdź dostęp sieci lokalnej do usług chmury zewnętrznej.
Katalog /media/configdrive/hds nie istnieje.	Sprawdź konfigurację montażu ISO na hoście wirtualnym. Sprawdź, czy plik ISO istnieje, czy jest skonfigurowany do montażu przy ponownym uruchomieniu i czy zamontowano go pomyślnie.
Konfiguracja organizacji dzierżawy dla dodanych organizacji nie została zakończona	Zakończ konfigurację, tworząc moduły CMK dla nowo dodanych organizacji dzierżaw za pomocą narzędzia konfiguracji HDS.
Nie ukończono konfiguracji organizacji dzierżawy dla usuniętych organizacji	Dokończ konfigurację, odwołując identyfikatory CMK organizacji dzierżaw, które zostały usunięte za pomocą narzędzia konfiguracji HDS.

Rozwiązywanie problemów z usługą hybrydowego zabezpieczenia danych

Podczas rozwiązywania problemów z usługą hybrydowego zabezpieczenia danych należy przestrzegać następujących ogólnych wytycznych.

1	Zapoznaj się z Partner Hub, aby uzyskać alerty i napraw wszystkie znajdujące się w tym miejscu elementy. Zobacz poniższy obrazek w celach informacyjnych.
2	Sprawdź dane wyjściowe serwera dziennika systemu pod kątem aktywności we wdrożeniu usługi hybrydowego zabezpieczenia danych. Filtruj słowa, takie jak „Ostrzeżenie” i „Błąd”, aby pomóc w rozwiązywaniu problemów.
3	Skontaktuj się ze wsparciem Cisco.

Inne uwagi

Znane problemy dotyczące hybrydowego zabezpieczenia danych

Jeśli wyłączysz klaster usługi hybrydowego zabezpieczenia danych (usuwając go w Partner Hub lub zamykając wszystkie węzły), stracisz plik ISO konfiguracji lub stracisz dostęp do bazy danych magazynu kluczy, użytkownicy aplikacji Webex w organizacjach klientów nie będą mogli już korzystać z obszarów z listy Osoby, które zostały utworzone za pomocą kluczy z serwera KMS. Obecnie nie mamy obejścia lub rozwiązania tego problemu i zachęcamy do niezamykania usług HDS po obsłużeniu aktywnych kont użytkowników.
Klient, który ma istniejące połączenie ECDH z serwerem KMS, utrzymuje to połączenie przez pewien czas (prawdopodobnie jedną godzinę).

Menedżer ustawień HDS przy użyciu pulpitu Podman

Podman to bezpłatne i open source narzędzie do zarządzania kontenerami, które zapewnia sposób na zarządzanie i tworzenie kontenerów. Podman Desktop można pobrać z https://podman-desktop.io/downloads.

Narzędzie HDS Setup działa jako kontener platformy Docker na komputerze lokalnym. Aby uzyskać do niego dostęp, pobierz i uruchom Podmana na tym komputerze. Proces konfiguracji wymaga poświadczeń konta Control Hub z pełnymi uprawnieniami administratora w organizacji.

Jeśli narzędzie konfiguracji HDS działa za serwerem proxy w środowisku, podaj ustawienia serwera proxy (serwer, port, poświadczenia) przez zmienne środowiskowe Docker podczas podnoszenia kontenera Docker w kroku 5. Ta tabela zawiera kilka możliwych zmiennych środowiskowych:

Opis	Zmienna
Serwer proxy HTTP bez uwierzytelniania	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
Serwer proxy HTTPS bez uwierzytelniania	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
Serwer proxy HTTP z uwierzytelnianiem	`GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
Serwer proxy HTTPS z uwierzytelnianiem	`GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

Wygenerowany plik ISO konfiguracji zawiera klucz główny do szyfrowania bazy danych PostgreSQL lub Microsoft SQL Server. Najnowszą kopię tego pliku należy zawsze wprowadzać zmiany w konfiguracji, takie jak:
- Poświadczenia bazy danych
- Aktualizacje certyfikatu
- Zmiany w zasadach autoryzacji
Jeśli planujesz szyfrować połączenia z bazami danych, skonfiguruj wdrożenie PostgreSQL lub SQL Server dla protokołu TLS.

Proces konfiguracji usługi hybrydowego zabezpieczenia danych tworzy plik ISO. Następnie za pomocą interfejsu ISO można skonfigurować hosta usługi hybrydowego zabezpieczenia danych.

podman rmi ciscocitg/hds-setup:stable  
podman login docker.io -u hdscustomersro
dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
podman pull ciscocitg/hds-setup:stable
podman run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

Co zrobić dalej

Wykonaj pozostałe czynności w sekcji Utwórz konfigurację ISO dla hostów HDS lub Zmień konfigurację węzła , aby utworzyć lub zmienić konfigurację ISO.

Użyj OpenSSL do generowania pliku PKCS12

Przed rozpoczęciem

OpenSSL to jedno z narzędzi, które można wykorzystać do tworzenia pliku PKCS12 w odpowiednim formacie do załadowania w narzędziu konfiguracyjnym HDS. Istnieją inne sposoby na to, a my nie popieramy ani nie promujemy jednej drogi nad drugą.
Jeśli zdecydujesz się na użycie protokołu OpenSSL, udostępniamy tę procedurę jako wskazówkę, która pomoże Ci utworzyć plik spełniający wymagania certyfikatu X.509 w wymaganiach certyfikatu X.509. Przed kontynuowaniem zrozum te wymagania.
Zainstaluj protokół OpenSSL w obsługiwanym środowisku. Informacje na temat https://www.openssl.org oprogramowania i dokumentacji można znaleźć.
Utwórz klucz prywatny.
Rozpocznij tę procedurę po otrzymaniu certyfikatu serwera od urzędu certyfikacji (CA).

1	Po otrzymaniu certyfikatu serwera od urzędu certyfikacji zapisz go jako `hdsnode.pem`.
2	Wyświetl certyfikat w postaci tekstu i zweryfikuj szczegóły. `openssl x509 -text -noout -in hdsnode.pem`
3	Użyj edytora tekstu, aby utworzyć plik pakietów certyfikatów o nazwie `hdsnode-bundle.pem`. Plik pakietu musi zawierać certyfikat serwera, wszystkie certyfikaty pośredniego urzędu certyfikacji i certyfikaty głównego urzędu certyfikacji w poniższym formacie: `-----BEGIN CERTIFICATE----- ### Server certificate. ### -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ### Intermediate CA certificate. ### -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ### Root CA certificate. ### -----END CERTIFICATE-----`
4	Utwórz plik .p12 o przyjaznej nazwie `kms-private-key`. `openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12`
5	Sprawdź szczegóły certyfikatu serwera. `openssl pkcs12 -in hdsnode.p12` W wyświetlonym monicie wprowadź hasło, aby zaszyfrować klucz prywatny, tak aby był wyświetlany na wyjściu. Następnie sprawdź, czy klucz prywatny i pierwszy certyfikat zawierają wiersze `friendlyName: kms-private-key`. Przykład: bash$ openssl pkcs12 -in hdsnode.p12 Enter Import Password: MAC verified OK Bag Attributes friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Key Attributes: Enter PEM pass phrase: Verifying - Enter PEM pass phrase: -----BEGIN ENCRYPTED PRIVATE KEY----- -----END ENCRYPTED PRIVATE KEY----- Bag Attributes friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 -----BEGIN CERTIFICATE----- -----END CERTIFICATE----- Bag Attributes friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3 -----BEGIN CERTIFICATE----- -----END CERTIFICATE-----

Co zrobić dalej

Wróć do tematu Wymagania wstępne dotyczące usługi hybrydowego zabezpieczenia danych. Będziesz użyć hdsnode.p12 pliku i ustawionego dla niego hasła w sekcji Utwórz konfigurację ISO dla hostów usług HDS.

Możesz ponownie użyć tych plików, aby zażądać nowego certyfikatu po wygaśnięciu oryginalnego certyfikatu.

Ruch między węzłami HDS a chmurą

Ruch kolekcji metryk wychodzących

Węzły usługi hybrydowego zabezpieczenia danych wysyłają pewne metryki do chmury Webex. Obejmują one metryki systemowe dotyczące maksymalnej sterty, użytej sterty, obciążenia procesora i liczby wątków; metryki wątków synchronicznych i asynchronicznych; metryki alertów dotyczących progu połączeń szyfrowania, opóźnienia lub długości kolejki żądań; metryki w magazynie danych oraz metryki połączeń szyfrowania. Węzły wysyłają zaszyfrowany materiał klucza przez kanał braku pasma (oddzielny od żądania).

Ruch przychodzący

Węzły usługi hybrydowego zabezpieczenia danych odbierają następujące typy ruchu przychodzącego z chmury Webex:

Żądania szyfrowania od klientów trasowane przez usługę szyfrowania
Uaktualnia oprogramowanie węzła

Skonfiguruj serwery proxy Squid dla hybrydowego zabezpieczenia danych

Websocket nie może połączyć się przez Squid Proxy

Serwery proxy Squid, które sprawdzają ruch HTTPS, mogą zakłócać nawiązywanie połączeń WebSocket (wss:), których wymaga hybrydowe zabezpieczenia danych. Te sekcje zawierają wskazówki, jak skonfigurować różne wersje Squid, aby ignorować wss: ruch dla prawidłowego działania usług.

Kalmary 4 i 5

Dodaj on_unsupported_protocol dyrektywę do squid.conf:

on_unsupported_protocol tunnel all

Kalmary 3.5.27

Pomyślnie przetestowaliśmy hybrydowe zabezpieczenia danych z następującymi regułami dodanymi do części squid.conf. Zasady te mogą ulec zmianie w miarę opracowywania funkcji i aktualizowania chmury Webex.

acl wssMercuryConnection ssl::server_name_regex mercury-connection

ssl_bump splice wssMercuryConnection

acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all

Informacje nowe i zmienione

W tej tabeli opisano nowe funkcje lub funkcjonalności, zmiany w istniejącej zawartości i wszelkie główne błędy, które zostały naprawione w Podręczniku wdrażania zabezpieczeń danych hybrydowych dla wielu dzierżawców.

Data	Wprowadzone zmiany
8 maja 2025 r.	Dodano Przeniesiono istniejące wdrożenie HDS dla pojedynczego dzierżawcy organizacji partnerskiej w Control Hub do konfiguracji HDS dla wielu dzierżawców w sekcji Partner Hub. Zaktualizowano dane wyjściowe syslog w celu zwiększenia czytelności sekcji Testowanie wdrożenia hybrydowego zabezpieczenia danych. Zaktualizowano Wymagania dotyczące hosta wirtualnego, Przebieg zadań wdrożenia hybrydowego zabezpieczenia danychi Zainstaluj plik OVA hosta HDS w celu dodania obsługi ESXi 8.0.
4 marca 2025 r.	Dodano sekcję Uruchom narzędzie instalacyjne HDS przy użyciu pulpitu Podman. Dodano notatkę w Wymaganiach Docker Desktop informującą klientów o alternatywnej opcji typu open source. Zaktualizowano Utworzono konfigurację ISO dla hostów HDS i Zmieniono konfigurację węzła z instrukcjami dotyczącymi korzystania z pulpitu Podman Desktop dla klientów bez licencji Docker Desktop.
30 stycznia 2025 r.	Dodano wersję SQL Server 2022 do listy obsługiwanych serwerów SQL w Wymagania dotyczące serwera bazy danych.
15 stycznia 2025 r.	Dodano Ograniczenia hybrydowego bezpieczeństwa danych wielodostępnego.
8 stycznia 2025 r.	Dodano notatkę w Wykonaj początkową konfigurację i pobierz pliki instalacyjne stwierdzającą, że kliknięcie Skonfiguruj na karcie HDS w Partner Hub jest ważnym krokiem procesu instalacji.
7 stycznia 2025 r.	Zaktualizowano Wymagania dotyczące hosta wirtualnego, Przebieg zadania wdrożenia hybrydowego zabezpieczenia danychi Zainstaluj plik OVA hosta HDS, aby wyświetlić nowe wymagania dotyczące ESXi 7.0.
13 grudnia 2024 r.	Pierwsze wydanie.

Dezaktywuj hybrydowe zabezpieczenia danych dla wielu najemców

Przepływ zadań dezaktywacji HDS dla wielu najemców

Aby całkowicie dezaktywować usługę Multi-Tenant HDS, wykonaj poniższe czynności.

Przed rozpoczęciem

To zadanie powinno być wykonywane wyłącznie przez administratora Partnera z pełnymi uprawnieniami.

1	Usuń wszystkich klientów ze wszystkich klastrów, jak opisano w Usuwanie organizacji dzierżawców.
2	Unieważnij klucze CMK wszystkich klientów, jak wspomniano w Unieważnij klucze CMK najemców usuniętych z HDS..
3	Usuń wszystkie węzły ze wszystkich klastrów, jak opisano w Usuwanie węzła.
4	Usuń wszystkie klastry z Partner Hub, korzystając z jednej z dwóch poniższych metod. Kliknij klaster, który chcesz usunąć i wybierz opcję Usuń ten klaster w prawym górnym rogu strony przeglądu. Na stronie Zasoby kliknij … po prawej stronie klastra i wybierz Usuń klaster.
5	Kliknij kartę Ustawienia na stronie przeglądu Hybrid Data Security i kliknij Dezaktywuj HDS na karcie Stan HDS.

Rozpocznij korzystanie z hybrydowego zabezpieczenia danych Multi-Tenant

Przegląd hybrydowego bezpieczeństwa danych dla wielu najemców

Od samego początku bezpieczeństwo danych było najważniejszym celem przy projektowaniu aplikacji Webex. Podstawą tego zabezpieczenia jest kompleksowe szyfrowanie treści, które jest możliwe dzięki interakcji klientów Webex App z usługą Key Management Service (KMS). Usługa KMS jest odpowiedzialna za tworzenie kluczy kryptograficznych używanych przez klientów do dynamicznego szyfrowania i odszyfrowywania wiadomości i plików oraz zarządzanie nimi.

Domyślnie wszyscy klienci aplikacji Webex otrzymują kompleksowe szyfrowanie za pomocą kluczy dynamicznych przechowywanych w chmurze KMS, w obszarze zabezpieczeń firmy Cisco. Hybrid Data Security przenosi KMS i inne funkcje związane z bezpieczeństwem do centrum danych przedsiębiorstwa, dzięki czemu nikt poza Tobą nie posiada kluczy do zaszyfrowanej zawartości.

Rozwiązanie Multi-Tenant Hybrid Data Security umożliwia organizacjom korzystanie z HDS za pośrednictwem zaufanego lokalnego partnera, który może działać jako dostawca usług i zarządzać lokalnym szyfrowaniem i innymi usługami bezpieczeństwa. Taka konfiguracja pozwala organizacji partnerskiej mieć pełną kontrolę nad wdrażaniem i zarządzaniem kluczami szyfrującymi oraz gwarantuje, że dane użytkowników organizacji klientów są chronione przed dostępem z zewnątrz. Organizacje partnerskie konfigurują instancje HDS i tworzą klastry HDS w razie potrzeby. Każda instancja może obsługiwać wiele organizacji klientów, w przeciwieństwie do standardowej instalacji HDS, która jest ograniczona do jednej organizacji.

Choć organizacje partnerskie mają kontrolę nad wdrażaniem i zarządzaniem, nie mają dostępu do danych i treści generowanych przez klientów. Dostęp ten jest ograniczony do organizacji klienckich i ich użytkowników.

Dzięki temu mniejsze organizacje mogą również korzystać z HDS, ponieważ usługi zarządzania kluczami i infrastruktura bezpieczeństwa, taka jak centra danych, są własnością zaufanego lokalnego partnera.

W jaki sposób hybrydowe zabezpieczenia danych Multi-Tenant zapewniają suwerenność i kontrolę danych

Treści tworzone przez użytkowników są chronione przed dostępem zewnętrznym, np. przez dostawców usług w chmurze.
Lokalni zaufani partnerzy zarządzają kluczami szyfrującymi klientów, z którymi mają już ugruntowaną współpracę.
Możliwość skorzystania z lokalnego wsparcia technicznego, jeśli jest ono zapewniane przez partnera.
Obsługuje spotkania, wiadomości i połączenia telefoniczne.

Niniejszy dokument ma na celu pomóc organizacjom partnerskim w konfiguracji i zarządzaniu klientami w ramach hybrydowego systemu bezpieczeństwa danych obsługującego wielu najemców.

Ograniczenia hybrydowego bezpieczeństwa danych wielodostępnego

Organizacje partnerskie nie mogą mieć żadnych aktywnych wdrożeń HDS w Control Hub.
Organizacje dzierżawców lub klientów, które chcą być zarządzane przez partnera, nie mogą mieć żadnych istniejących wdrożeń HDS w Control Hub.
Po wdrożeniu rozwiązania Multi-Tenant HDS przez partnera wszyscy użytkownicy w organizacjach klientów, a także użytkownicy w organizacjach partnerskich zaczną korzystać z rozwiązania Multi-Tenant HDS w ramach swoich usług szyfrowania.

Organizacja partnerska i zarządzane przez nią organizacje klientów będą znajdować się w ramach tego samego wdrożenia Multi-Tenant HDS.

Organizacja partnerska nie będzie już korzystać z usługi Cloud KMS po wdrożeniu usługi Multi-Tenant HDS.
Nie ma mechanizmu umożliwiającego przeniesienie kluczy z powrotem do Cloud KMS po wdrożeniu HDS.
Obecnie każde wdrożenie Multi-Tenant HDS może obejmować tylko jeden klaster z wieloma węzłami.
Role administratora mają pewne ograniczenia; szczegółowe informacje znajdują się poniżej.

Role w hybrydowym zabezpieczeniu danych wielodostępnych

Partner z pełnym uprawnieniami administratora – może zarządzać ustawieniami wszystkich klientów zarządzanych przez partnera. Może również przypisywać role administratora istniejącym użytkownikom w organizacji oraz przypisywać określonych klientów do zarządzania przez administratorów partnera.
Administrator partnera – może zarządzać ustawieniami klientów, których administrator utworzył lub którzy zostali przypisani do użytkownika.
Pełny administrator – Administrator organizacji partnerskiej, który jest upoważniony do wykonywania zadań, takich jak modyfikowanie ustawień organizacji, zarządzanie licencjami i przypisywanie ról.

Kompleksowa konfiguracja i zarządzanie systemem HDS dla wielu najemców we wszystkich organizacjach klientów - Wymagane są pełne uprawnienia administratora partnera i pełne uprawnienia administratora.
Zarządzanie przypisanymi organizacjami dzierżawców - Wymagane są uprawnienia administratora partnera i pełne uprawnienia administratora.

Architektura sfery bezpieczeństwa

Architektura chmury Webex oddziela różne typy usług, umieszczając je w osobnych obszarach, czyli domenach zaufania, jak pokazano poniżej.

***Krainy Separacji (bez hybrydowego zabezpieczenia danych)***

Aby lepiej zrozumieć hybrydowe bezpieczeństwo danych, przyjrzyjmy się najpierw przypadkowi czystej chmury, w którym Cisco zapewnia wszystkie funkcje w swoich środowiskach chmurowych. Usługa tożsamości, jedyne miejsce, w którym użytkownicy mogą być bezpośrednio skorelowani ze swoimi danymi osobowymi, takimi jak adres e-mail, jest logicznie i fizycznie oddzielona od obszaru bezpieczeństwa w centrum danych B. Oba są z kolei oddzielone od obszaru, w którym ostatecznie przechowywana jest zaszyfrowana treść, w centrum danych C.

Na tym diagramie klientem jest aplikacja Webex działająca na laptopie użytkownika, która uwierzytelniła się za pomocą usługi tożsamości. Gdy użytkownik pisze wiadomość, którą chce wysłać do przestrzeni, wykonywane są następujące kroki:

Klient nawiązuje bezpieczne połączenie z usługą zarządzania kluczami (KMS), a następnie żąda klucza w celu zaszyfrowania wiadomości. Bezpieczne połączenie wykorzystuje ECDH, a KMS szyfruje klucz za pomocą klucza głównego AES-256.
Wiadomość jest szyfrowana zanim opuści klienta. Klient wysyła je do usługi indeksującej, która tworzy zaszyfrowane indeksy wyszukiwania, ułatwiające przyszłe przeszukiwanie treści.
Zaszyfrowana wiadomość jest wysyłana do służby zgodności w celu sprawdzenia zgodności.
Zaszyfrowana wiadomość jest przechowywana w obszarze pamięci masowej.

Wdrażając rozwiązanie Hybrid Data Security, przenosisz funkcje związane z bezpieczeństwem (KMS, indeksowanie i zgodność) do lokalnego centrum danych. Pozostałe usługi w chmurze wchodzące w skład platformy Webex (w tym przechowywanie tożsamości i treści) pozostają w gestii Cisco.

Współpraca z innymi organizacjami

Użytkownicy w Twojej organizacji mogą regularnie używać aplikacji Webex do współpracy z uczestnikami zewnętrznymi z innych organizacji. Gdy któryś z Twoich użytkowników zażąda klucza do przestrzeni należącej do Twojej organizacji (ponieważ została utworzona przez jednego z Twoich użytkowników), Twój system KMS wysyła klucz do klienta za pośrednictwem zabezpieczonego kanału ECDH. Jeśli jednak inna organizacja jest właścicielem klucza do danej przestrzeni, wówczas Twój system KMS kieruje żądanie do chmury Webex przez oddzielny kanał ECDH w celu pobrania klucza z odpowiedniego systemu KMS, a następnie zwraca klucz użytkownikowi za pośrednictwem oryginalnego kanału.

Usługa KMS działająca w organizacji A weryfikuje połączenia z systemami KMS w innych organizacjach przy użyciu certyfikatów x.509 PKI. Szczegółowe informacje na temat generowania certyfikatu x.509 do wykorzystania w ramach wdrożenia hybrydowego zabezpieczenia danych wielodostępnego można znaleźć w temacie Przygotuj środowisko.

Oczekiwania dotyczące wdrażania hybrydowego bezpieczeństwa danych

Wdrożenie hybrydowego rozwiązania zabezpieczającego dane wymaga dużego zaangażowania i świadomości ryzyka, jakie wiąże się z posiadaniem kluczy szyfrujących.

Aby wdrożyć rozwiązanie Hybrid Data Security, należy zapewnić:

Bezpieczne centrum danych w kraju, który jest obsługiwaną lokalizacją dla planów Cisco Webex Teams.
Sprzęt, oprogramowanie i dostęp do sieci opisane w Przygotuj środowisko.

Całkowita utrata konfiguracji ISO utworzonej dla Hybrid Data Security lub udostępnionej bazy danych spowoduje utratę kluczy. Utrata klucza uniemożliwia użytkownikom odszyfrowanie zawartości przestrzeni dyskowej i innych zaszyfrowanych danych w aplikacji Webex. Jeśli tak się stanie, możesz utworzyć nowe wdrożenie, ale widoczna będzie tylko nowa zawartość. Aby uniknąć utraty dostępu do danych, należy:

Zarządzaj kopią zapasową i odzyskiwaniem bazy danych oraz konfiguracją ISO.
Bądź przygotowany na wykonanie szybkiego odzyskiwania danych w przypadku awarii, takiej jak awaria dysku bazy danych lub katastrofa centrum danych.

Nie ma mechanizmu umożliwiającego przeniesienie kluczy z powrotem do chmury po wdrożeniu HDS.

Proces konfiguracji wysokiego poziomu

W niniejszym dokumencie opisano konfigurację i zarządzanie wdrożeniem hybrydowego rozwiązania bezpieczeństwa danych dla wielu dzierżawców:

Konfigurowanie hybrydowego zabezpieczenia danych— obejmuje to przygotowanie wymaganej infrastruktury i zainstalowanie oprogramowania hybrydowego zabezpieczenia danych, utworzenie klastra HDS, dodanie organizacji dzierżawców do klastra i zarządzanie ich głównymi kluczami klientów (CMK). Dzięki temu wszyscy użytkownicy organizacji klientów będą mogli korzystać z klastra Hybrid Data Security w celach bezpieczeństwa.

Fazy konfiguracji, aktywacji i zarządzania omówiono szczegółowo w kolejnych trzech rozdziałach.
Utrzymuj wdrożenie hybrydowego zabezpieczenia danych— Chmura Webex automatycznie zapewnia stałe uaktualnienia. Twój dział IT może zapewnić wsparcie pierwszego poziomu dla tego wdrożenia i w razie potrzeby skontaktować się ze wsparciem Cisco. W Centrum partnerskim możesz korzystać z powiadomień ekranowych i konfigurować alerty wysyłane e-mailem.
Poznaj typowe alerty, kroki rozwiązywania problemów i znane problemy— Jeśli napotkasz problemy podczas wdrażania lub używania rozwiązania Hybrid Data Security, ostatni rozdział tego przewodnika i dodatek Znane problemy mogą pomóc w ustaleniu i rozwiązaniu problemu.

Model wdrażania hybrydowego bezpieczeństwa danych

W centrum danych przedsiębiorstwa można wdrożyć rozwiązanie Hybrid Data Security jako pojedynczy klaster węzłów na oddzielnych hostach wirtualnych. Węzły komunikują się z chmurą Webex za pomocą bezpiecznych gniazd websocket i bezpiecznego protokołu HTTP.

W trakcie procesu instalacji udostępniamy plik OVA potrzebny do skonfigurowania urządzenia wirtualnego na dostarczonych przez Ciebie maszynach wirtualnych. Za pomocą narzędzia HDS Setup Tool można utworzyć niestandardowy plik ISO konfiguracji klastra, który można zamontować na każdym węźle. Klaster Hybrid Data Security korzysta z udostępnionego serwera Syslogd i bazy danych PostgreSQL lub Microsoft SQL Server. (Szczegóły połączenia Syslogd i bazy danych można skonfigurować w narzędziu HDS Setup Tool.)

Model wdrażania hybrydowego bezpieczeństwa danych

Minimalna liczba węzłów, jaką można mieć w klastrze, wynosi dwa. Zalecamy co najmniej trzy na klaster. Zastosowanie wielu węzłów gwarantuje, że usługa nie zostanie przerwana podczas aktualizacji oprogramowania lub innych czynności konserwacyjnych na węźle. (W chmurze Webex można uaktualniać tylko jeden węzeł na raz.)

Wszystkie węzły w klastrze uzyskują dostęp do tego samego magazynu danych kluczy i rejestrują aktywność na tym samym serwerze syslog. Same węzły nie mają stanu i obsługują kluczowe żądania w sposób cykliczny, zgodnie z wytycznymi chmury.

Węzły staną się aktywne po zarejestrowaniu ich w Partner Hub. Aby wyłączyć pojedynczy węzeł z eksploatacji, możesz go wyrejestrować, a później, jeśli zajdzie taka potrzeba, zarejestrować ponownie.

Centrum danych w trybie gotowości do odzyskiwania po awarii

Podczas wdrażania należy skonfigurować bezpieczne, zapasowe centrum danych. W przypadku awarii centrum danych możesz ręcznie przełączyć wdrożenie do zapasowego centrum danych.

Przed przełączeniem awaryjnym centrum danych A miało aktywne węzły HDS i główną bazę danych PostgreSQL lub Microsoft SQL Server, natomiast centrum danych B miało kopię pliku ISO z dodatkowymi konfiguracjami, maszyny wirtualne zarejestrowane w organizacji i zapasową bazę danych. Po przełączeniu w tryb failover w centrum danych B znajdują się aktywne węzły HDS i podstawowa baza danych, natomiast w centrum danych A znajdują się niezarejestrowane maszyny wirtualne i kopia pliku ISO, a baza danych znajduje się w trybie gotowości. — ***Ręczne przełączenie awaryjne do centrum danych w trybie gotowości***

Bazy danych aktywnych i zapasowych centrów danych są ze sobą zsynchronizowane, co minimalizuje czas potrzebny na wykonanie przełączania awaryjnego.

Aktywne węzły Hybrid Data Security muszą zawsze znajdować się w tym samym centrum danych, co aktywny serwer bazy danych.

Obsługa serwera proxy

Hybrid Data Security obsługuje jawne, przejrzyste inspekcje i niekontrolujące serwery proxy. Możesz powiązać te serwery proxy z wdrożeniem, aby zabezpieczyć i monitorować ruch z przedsiębiorstwa do chmury. Interfejsu administratora platformy w węzłach można używać do zarządzania certyfikatami i sprawdzania ogólnego stanu łączności po skonfigurowaniu serwera proxy w węzłach.

Węzły Hybrid Data Security obsługują następujące opcje serwera proxy:

Brak serwera proxy— wartość domyślna, jeśli nie używasz magazynu zaufania konfiguracji węzła HDS & Konfiguracja serwera proxy umożliwiająca integrację serwera proxy. Aktualizacja certyfikatu nie jest wymagana.
Przezroczysty serwer proxy niekontrolujący— Węzły nie są skonfigurowane do używania określonego adresu serwera proxy i nie powinny wymagać żadnych zmian, aby działać z serwerem proxy niekontrolującym. Aktualizacja certyfikatu nie jest wymagana.
Transparentne tunelowanie lub inspekcja proxy— Węzły nie są skonfigurowane do używania określonego adresu serwera proxy. W węzłach nie są wymagane żadne zmiany konfiguracji HTTP ani HTTPS. Jednak węzły potrzebują certyfikatu głównego, aby ufać serwerowi proxy. Inspekcja serwerów proxy jest zwykle używana przez IT do egzekwowania zasad, na których można odwiedzać witryny internetowe, a które nie są dozwolone. Ten typ serwera proxy odszyfrowuje cały ruch (nawet HTTPS).
Jawny serwer proxy— W przypadku jawnego serwera proxy informujesz węzły HDS, którego serwera proxy i schematu uwierzytelniania mają używać. Aby skonfigurować jawny serwer proxy, należy wprowadzić następujące informacje w każdym węźle:
1. Serwer proxy IP/FQDN—Adres, który można wykorzystać do połączenia z komputerem proxy.
2. Port proxy— numer portu, którego serwer proxy używa do nasłuchiwania ruchu proxy.
3. Protokół proxy— W zależności od tego, co obsługuje Twój serwer proxy, wybierz jeden z następujących protokołów:
  - HTTP — wyświetla i kontroluje wszystkie żądania wysyłane przez klienta.
  - HTTPS — zapewnia kanał do serwera. Klient odbiera i sprawdza poprawność certyfikatu serwera.
4. Typ uwierzytelniania— wybierz spośród następujących typów uwierzytelniania:
  - Brak— Nie jest wymagane żadne dalsze uwierzytelnianie.
    
    Opcja dostępna po wybraniu protokołu HTTP lub HTTPS jako protokołu proxy.
  - Podstawowy— używany przez agenta użytkownika HTTP do podania nazwy użytkownika i hasła podczas wysyłania żądania. Używa kodowania Base64.
    
    Opcja dostępna po wybraniu protokołu HTTP lub HTTPS jako protokołu proxy.
    
    Wymaga wprowadzenia nazwy użytkownika i hasła w każdym węźle.
  - Digest— Służy do potwierdzenia konta przed wysłaniem poufnych informacji. Stosuje funkcję skrótu do nazwy użytkownika i hasła przed wysłaniem przez sieć.
    
    Opcja dostępna tylko po wybraniu protokołu HTTPS jako protokołu proxy.
    
    Wymaga wprowadzenia nazwy użytkownika i hasła w każdym węźle.

Przykład hybrydowych węzłów zabezpieczeń danych i serwera proxy

Ten diagram przedstawia przykładowe połączenie między hybrid data security, siecią i serwerem proxy. W przypadku opcji przezroczystego serwera proxy inspekcji i jawnego sprawdzania HTTPS ten sam certyfikat główny musi być zainstalowany na serwerze proxy i w węzłach Hybrid Data Security.

Zablokowany tryb zewnętrznego rozpoznawania DNS (jawne konfiguracje serwera proxy)

Podczas rejestrowania węzła lub sprawdzania konfiguracji serwera proxy węzła proces testuje wyszukiwanie DNS i łączność z chmurą Cisco Webex. We wdrożeniach z jawnymi konfiguracjami serwera proxy, które nie zezwalają na zewnętrzne rozpoznawanie DNS dla klientów wewnętrznych, jeśli węzeł nie może wysłać kwerendy do serwerów DNS, automatycznie przechodzi w tryb zablokowanego zewnętrznego rozpoznawania DNS. W tym trybie można kontynuować rejestrację węzła i inne testy łączności serwera proxy.

Przygotowywanie środowiska

Wymagania dotyczące bezpieczeństwa danych hybrydowych dla wielu najemców

Wymagania licencyjne Cisco Webex

Aby wdrożyć hybrydowe zabezpieczenie danych dla wielu dzierżawców:

Organizacje partnerskie: Skontaktuj się z partnerem Cisco lub menedżerem konta i upewnij się, że funkcja Multi-Tenant jest włączona.
Organizacje najemców: Musisz mieć pakiet Pro Pack dla Cisco Webex Control Hub. (Widzieć https://www.cisco.com/go/pro-pack.)

Wymagania Docker Desktop

Zanim zainstalujesz węzły HDS, potrzebujesz Docker Desktop, aby uruchomić program instalacyjny. Docker niedawno zaktualizował swój model licencjonowania. Twoja organizacja może wymagać płatnej subskrypcji platformy Docker Desktop.Your organization might require a paid subscription for Docker Desktop. Aby uzyskać szczegółowe informacje, zobacz wpis na blogu Platformy Docker " Docker aktualizuje i rozszerza nasze subskrypcje produktów".

Klienci nieposiadający licencji Docker Desktop mogą korzystać z narzędzia typu open source do zarządzania kontenerami, takiego jak Podman Desktop, w celu uruchamiania, zarządzania i tworzenia kontenerów. Więcej szczegółów można znaleźć w temacie Uruchom narzędzie instalacyjne HDS za pomocą pulpitu Podman.

Wymagania dotyczące certyfikatu X.509

Łańcuch certyfikatów musi spełniać następujące wymagania:

Tabela 1. Wymagania dotyczące certyfikatu X.509 dla wdrożenia hybrydowego zabezpieczenia danych
Wymaganie	Szczegóły
Podpisane przez zaufany Urząd Certyfikacji (CA)	Domyślnie ufamy urzędom certyfikacji z listy Mozilli (z wyjątkiem WoSign i StartCom) pod adresem https://wiki.mozilla.org/CA:IncludedCAs.
Posiada nazwę domeny Common Name (CN), która identyfikuje wdrożenie hybrydowego zabezpieczenia danych Nie jest certyfikatem wieloznacznym	CN nie musi być osiągalny ani nie musi być żywym gospodarzem. Zalecamy użycie nazwy odzwierciedlającej Twoją organizację, na przykład `hds.company.com`. CN nie może zawierać * (symbol wieloznaczny). CN służy do weryfikacji węzłów Hybrid Data Security dla klientów aplikacji Webex. Wszystkie węzły Hybrid Data Security w klastrze korzystają z tego samego certyfikatu. Twój system KMS identyfikuje się za pomocą domeny CN, a nie żadnej domeny zdefiniowanej w polach SAN x.509v3. Po zarejestrowaniu węzła przy użyciu tego certyfikatu nie obsługujemy zmiany nazwy domeny CN.
Podpis inny niż SHA1	Oprogramowanie KMS nie obsługuje podpisów SHA1 służących do weryfikacji połączeń z systemami KMS innych organizacji.
Sformatowany jako plik PKCS chroniony hasłem #12 plik Użyj przyjaznej nazwy `kms-private-key`, aby oznaczyć certyfikat, klucz prywatny i wszelkie pośrednie certyfikaty, które chcesz przesłać.	Aby zmienić format certyfikatu, możesz skorzystać z konwertera, np. OpenSSL. Podczas uruchamiania narzędzia HDS Setup Tool konieczne będzie podanie hasła.

Oprogramowanie KMS nie wymusza używania kluczy ani nie nakłada rozszerzonych ograniczeń na ich używanie. Niektóre urzędy certyfikacji wymagają, aby do każdego certyfikatu stosowano rozszerzone ograniczenia dotyczące użycia klucza, np. uwierzytelnianie serwera. Można używać uwierzytelniania serwera i innych ustawień.

Wymagania dotyczące hosta wirtualnego

Wirtualne hosty, które skonfigurujesz jako węzły Hybrid Data Security w swoim klastrze, muszą spełniać następujące wymagania:

Co najmniej dwa oddzielne hosty (zalecane 3) zlokalizowane w tym samym bezpiecznym centrum danych
Zainstalowany i uruchomiony VMware ESXi 7.0 lub 8.0.

Jeśli posiadasz starszą wersję ESXi, musisz dokonać aktualizacji.
Co najmniej 4 procesory wirtualne, 8 GB pamięci głównej, 30 GB miejsca na dysku twardym lokalnym na serwer

Wymagania serwera bazy danych

Utwórz nową bazę danych do przechowywania kluczy. Nie używaj domyślnej bazy danych. Aplikacje HDS po zainstalowaniu tworzą schemat bazy danych.

Istnieją dwie opcje serwera bazy danych. Wymagania dla każdego z nich są następujące:

Tabela 2. Wymagania serwera bazy danych według typu bazy danych
PostgreSQL	Serwer Microsoft SQL
Zainstalowany i uruchomiony PostgreSQL 14, 15 lub 16.	Zainstalowany serwer SQL Server 2016, 2017, 2019 lub 2022 (Enterprise lub Standard). Do działania programu SQL Server 2016 wymagany jest dodatek Service Pack 2 i aktualizacja zbiorcza Cumulative Update 2 lub nowsza.
Co najmniej 8 procesorów wirtualnych, 16 GB pamięci głównej, wystarczająca ilość miejsca na dysku twardym i monitorowanie, aby mieć pewność, że ta ilość nie zostanie przekroczona (zalecane 2 TB, jeśli chcesz korzystać z bazy danych przez długi czas bez konieczności zwiększania pojemności pamięci masowej)	Co najmniej 8 procesorów wirtualnych, 16 GB pamięci głównej, wystarczająca ilość miejsca na dysku twardym i monitorowanie, aby mieć pewność, że ta ilość nie zostanie przekroczona (zalecane 2 TB, jeśli chcesz korzystać z bazy danych przez długi czas bez konieczności zwiększania pojemności pamięci masowej)

Oprogramowanie HDS instaluje obecnie następujące wersje sterowników w celu komunikacji z serwerem bazy danych:

PostgreSQL

Serwer Microsoft SQL

Sterownik JDBC Postgres 42.2.5

Sterownik JDBC dla programu SQL Server 4.6

Ta wersja sterownika obsługuje funkcję SQL Server Always On ( Always On Failover Cluster Instances i Always On availability groups).

Dodatkowe wymagania dotyczące uwierzytelniania systemu Windows w programie Microsoft SQL Server

Jeśli chcesz, aby węzły HDS korzystały z uwierzytelniania systemu Windows w celu uzyskania dostępu do bazy danych magazynu kluczy na serwerze Microsoft SQL Server, w swoim środowisku musisz wprowadzić następującą konfigurację:

Węzły HDS, infrastruktura Active Directory i serwer MS SQL Server muszą być zsynchronizowane za pomocą protokołu NTP.
Konto Windows, które udostępniasz węzłom HDS, musi mieć read/write dostęp do bazy danych.
Serwery DNS udostępniane węzłom HDS muszą być w stanie rozpoznać Twoje Centrum Dystrybucji Kluczy (KDC).
Możesz zarejestrować instancję bazy danych HDS na serwerze Microsoft SQL Server jako nazwę główną usługi (SPN) w usłudze Active Directory. Zobacz Rejestrowanie nazwy głównej usługi dla połączeń Kerberos.

Narzędzie konfiguracji HDS, program uruchamiający HDS i lokalny KMS wymagają uwierzytelniania systemu Windows, aby uzyskać dostęp do bazy danych magazynu kluczy. Używają szczegółów z konfiguracji ISO do skonstruowania nazwy SPN podczas żądania dostępu z uwierzytelnianiem Kerberos.

Wymagania dotyczące łączności zewnętrznej

Skonfiguruj zaporę sieciową tak, aby umożliwić następującą łączność dla aplikacji HDS:

Aplikacja	Protokół	Port	Kierunek z aplikacji	Miejsce docelowe
Węzły hybrydowego bezpieczeństwa danych	TCP	443	Wychodzące HTTPS i WSS	Serwery Webex: .wbx2.com .ciscospark.com Wszystkie hosty Common Identity Inne adresy URL wymienione dla Hybrid Data Security w tabeli Dodatkowe adresy URL dla usług hybrydowych Webex w Wymaganiach sieciowych dla usług Webex
Narzędzie do konfiguracji HDS	TCP	443	Wychodzący HTTPS	*.wbx2.com Wszystkie hosty Common Identity hub.docker.com

Węzły Hybrid Data Security działają z translacją dostępu do sieci (NAT) lub za zaporą sieciową, pod warunkiem, że NAT lub zapora sieciowa zezwalają na wymagane połączenia wychodzące do domen docelowych wymienionych w poprzedniej tabeli. W przypadku połączeń przychodzących do węzłów Hybrid Data Security żaden port nie powinien być widoczny z poziomu Internetu. W obrębie centrum danych klienci muszą mieć dostęp do węzłów Hybrid Data Security na portach TCP 443 i 22 w celach administracyjnych.

Adresy URL hostów Common Identity (CI) są specyficzne dla regionu. Oto obecni gospodarze CI:

Region	Wspólne adresy URL hosta tożsamości
Ameryka	https://idbroker.webex.com https://identity.webex.com https://idbroker-b-us.webex.com https://identity-b-us.webex.com
Unia Europejska	https://idbroker-eu.webex.com https://identity-eu.webex.com
Kanada	https://idbroker-ca.webex.com https://identity-ca.webex.com
Singapur	https://idbroker-sg.webex.com https://identity-sg.webex.com
Zjednoczone Emiraty Arabskie	https://idbroker-ae.webex.com https://identity-ae.webex.com

Wymagania dotyczące serwera proxy

Oficjalnie obsługujemy następujące rozwiązania proxy, które można zintegrować z węzłami Hybrid Data Security.
- Przezroczysty serwer proxy — Cisco Web Security Appliance (WSA).
- Jawny serwer proxy — Squid.
  
  Serwery proxy Squid, które sprawdzają ruch HTTPS, mogą zakłócać ustanawianie protokołu websocket (wss:) znajomości. Aby obejść ten problem, zapoznaj się z artykułem Konfigurowanie serwerów proxy Squid w celu zapewnienia hybrydowego bezpieczeństwa danych.
Obsługujemy następujące kombinacje typów uwierzytelniania dla jawnych serwerów proxy:
- Brak uwierzytelniania za pomocą protokołu HTTP lub HTTPS
- Uwierzytelnianie podstawowe za pomocą protokołu HTTP lub HTTPS
- Uwierzytelnianie szyfrowane tylko przy użyciu protokołu HTTPS
W przypadku przezroczystego serwera proxy inspekcji lub jawnego serwera proxy HTTPS musisz mieć kopię certyfikatu głównego serwera proxy. Instrukcje wdrażania w tym przewodniku informają, jak przekazać kopię do magazynów zaufania węzłów hybrid Data Security.
Sieć obsługująca węzły HDS musi być skonfigurowana tak, aby wymuszała kierowanie wychodzącego ruchu TCP na porcie 443 przez serwer proxy.
Serwery proxy, które sprawdzają ruch sieci web, mogą zakłócać połączenia gniazd internetowych. Jeżeli ten problem wystąpi, pominięcie (niekontrolowanie) ruchu do wbx2.com i ciscospark.com rozwiąże problem.

Spełnij wymagania wstępne dotyczące hybrydowego bezpieczeństwa danych

Użyj tej listy kontrolnej, aby upewnić się, że wszystko jest gotowe do zainstalowania i skonfigurowania klastra Hybrid Data Security.

1	Upewnij się, że Twoja organizacja partnerska ma włączoną funkcję Multi-Tenant HDS i uzyskaj dane uwierzytelniające konta z pełnymi uprawnieniami administratora partnera i pełnymi uprawnieniami administratora. Upewnij się, że Twoja organizacja klienta Webex ma włączoną obsługę pakietu Pro Pack dla Cisco Webex Control Hub. Aby uzyskać pomoc w tej sprawie, skontaktuj się ze swoim partnerem Cisco lub menedżerem ds. kont. Organizacje klientów nie powinny posiadać żadnych istniejących wdrożeń HDS.
2	Wybierz nazwę domeny dla wdrożenia HDS (na przykład `hds.company.com`) i uzyskaj łańcuch certyfikatów zawierający certyfikat X.509, klucz prywatny i wszelkie certyfikaty pośrednie. Łańcuch certyfikatów musi spełniać wymagania określone w Wymagania dotyczące certyfikatu X.509.
3	Przygotuj identyczne wirtualne hosty, które skonfigurujesz jako węzły Hybrid Data Security w swoim klastrze. Potrzebne są co najmniej dwa oddzielne hosty (zalecane są 3) zlokalizowane w tym samym bezpiecznym centrum danych, które spełniają wymagania określone w Wymagania dotyczące hostów wirtualnych.
4	Przygotuj serwer bazy danych, który będzie pełnił funkcję kluczowego magazynu danych dla klastra, zgodnie z Wymaganiami serwera bazy danych. Serwer bazy danych musi być umieszczony w bezpiecznym centrum danych razem z hostami wirtualnymi. Utwórz bazę danych do przechowywania kluczy. (Musisz utworzyć tę bazę danych — nie używaj domyślnej bazy danych. Aplikacje HDS po zainstalowaniu tworzą schemat bazy danych.) Zbierz szczegóły, których węzły będą używać do komunikacji z serwerem bazy danych: nazwa hosta lub adres IP (host) i port nazwa bazy danych (dbname) do przechowywania kluczy nazwa użytkownika i hasło użytkownika posiadającego wszystkie uprawnienia w bazie danych przechowującej klucze
5	Aby szybko odzyskać dane po awarii, skonfiguruj środowisko kopii zapasowych w innym centrum danych. Środowisko kopii zapasowych odzwierciedla środowisko produkcyjne maszyn wirtualnych i serwer bazy danych kopii zapasowych. Na przykład, jeśli w środowisku produkcyjnym znajdują się 3 maszyny wirtualne z węzłem HDS, środowisko kopii zapasowych powinno zawierać 3 maszyny wirtualne.
6	Skonfiguruj hosta syslog w celu zbierania logów z węzłów w klastrze. Zbierz adres sieciowy i port syslog (domyślnie UDP 514).
7	Utwórz bezpieczną politykę tworzenia kopii zapasowych dla węzłów Hybrid Data Security, serwera bazy danych i hosta syslog. Aby zapobiec nieodwracalnej utracie danych, należy przynajmniej wykonać kopię zapasową bazy danych i pliku ISO konfiguracji wygenerowanego dla węzłów Hybrid Data Security. Ponieważ węzły Hybrid Data Security przechowują klucze używane do szyfrowania i odszyfrowywania treści, brak utrzymania wdrożenia operacyjnego spowoduje NIEODWRACALNĄ UTRATĘ tej treści. Klienci aplikacji Webex przechowują swoje klucze w pamięci podręcznej, więc awaria może nie być widoczna od razu, ale stanie się widoczna z czasem. Choć nie da się zapobiec tymczasowym przerwom w działaniu usług, można je naprawić. Jednak całkowita utrata (brak dostępnych kopii zapasowych) bazy danych lub pliku ISO konfiguracji spowoduje, że danych klienta nie będzie można odzyskać. Od operatorów węzłów Hybrid Data Security oczekuje się częstego tworzenia kopii zapasowych bazy danych i pliku ISO konfiguracji oraz gotowości do odbudowy centrum danych Hybrid Data Security w razie wystąpienia poważnej awarii.
8	Upewnij się, że konfiguracja zapory sieciowej umożliwia łączność dla węzłów Hybrid Data Security zgodnie z opisem w Wymagania dotyczące łączności zewnętrznej.
9	Zainstaluj Docker ( https://www.docker.com) na dowolnym komputerze lokalnym z obsługiwanym systemem operacyjnym (Microsoft Windows 10 Professional lub Enterprise 64-bit lub Mac OSX Yosemite 10.10.3 lub nowszym) z przeglądarką internetową, która umożliwia dostęp do niego pod adresem http://127.0.0.1:8080. Za pomocą instancji Docker można pobrać i uruchomić narzędzie HDS Setup Tool, które tworzy lokalne informacje konfiguracyjne dla wszystkich węzłów Hybrid Data Security. Być może będziesz potrzebować licencji Docker Desktop. Więcej informacji można znaleźć w Wymaganiach środowiska Docker Desktop. Aby zainstalować i uruchomić narzędzie HDS Setup Tool, komputer lokalny musi spełniać wymagania dotyczące łączności określone w Wymagania dotyczące łączności zewnętrznej.
10	Jeśli integrujesz serwer proxy z Hybrid Data Security, upewnij się, że spełnia on Wymagania dotyczące serwera proxy.

Konfigurowanie klastra hybrydowego bezpieczeństwa danych

Przepływ zadań wdrożenia hybrydowego bezpieczeństwa danych

Przed rozpoczęciem

1	Wykonaj początkową konfigurację i pobierz pliki instalacyjne Pobierz plik OVA na komputer lokalny w celu późniejszego wykorzystania.
2	Utwórz konfigurację ISO dla hostów HDS Za pomocą narzędzia HDS Setup Tool utwórz plik konfiguracyjny ISO dla węzłów Hybrid Data Security.
3	Zainstaluj HDS Host OVA Utwórz maszynę wirtualną na podstawie pliku OVA i przeprowadź początkową konfigurację, np. ustawienia sieciowe. Opcja konfiguracji ustawień sieciowych podczas wdrażania OVA została przetestowana w ESXi 7.0 i 8.0. Opcja ta może być niedostępna we wcześniejszych wersjach.
4	Skonfiguruj maszynę wirtualną Hybrid Data Security Zaloguj się do konsoli maszyny wirtualnej i ustaw dane logowania. Skonfiguruj ustawienia sieciowe dla węzła, jeśli nie skonfigurowałeś ich podczas wdrażania OVA.
5	Prześlij i zamontuj konfigurację HDS ISO Skonfiguruj maszynę wirtualną z pliku konfiguracyjnego ISO utworzonego za pomocą narzędzia HDS Setup Tool.
6	Konfigurowanie węzła HDS do integracji z serwerem proxy Jeśli środowisko sieciowe wymaga konfiguracji serwera proxy, określ typ serwera proxy, którego będziesz używać dla węzła, a następnie, jeśli to konieczne, dodaj certyfikat serwera proxy do magazynu zaufanych certyfikatów.
7	Zarejestruj pierwszy węzeł w klastrze Zarejestruj maszynę wirtualną w chmurze Cisco Webex jako węzeł Hybrid Data Security.
8	Utwórz i zarejestruj więcej węzłów Zakończ konfigurację klastra.
9	Aktywuj Multi-Tenant HDS na Partner Hub. Aktywuj HDS i zarządzaj organizacjami najemców w Partner Hub.

Wykonaj początkową konfigurację i pobierz pliki instalacyjne

W tym zadaniu pobierasz plik OVA na swój komputer (a nie na serwery skonfigurowane jako węzły Hybrid Data Security). Ten plik będzie Ci potrzebny później w procesie instalacji.

1	Zaloguj się do Partner Hub, a następnie kliknij Usługi.
2	W sekcji Usługi w chmurze znajdź kartę Hybrid Data Security, a następnie kliknij opcję Konfiguruj. Kliknięcie przycisku Skonfiguruj w Centrum partnerskim ma kluczowe znaczenie dla procesu wdrażania. Nie kontynuuj instalacji bez ukończenia tego kroku.
3	Kliknij Dodaj zasób i kliknij Pobierz plik .OVA na karcie Zainstaluj i skonfiguruj oprogramowanie. Starsze wersje pakietu oprogramowania (OVA) nie będą zgodne z najnowszymi aktualizacjami Hybrid Data Security. Może to powodować problemy podczas uaktualniania aplikacji. Upewnij się, że pobierasz najnowszą wersję pliku OVA. Możesz również w każdej chwili pobrać OVA z sekcji Pomoc. Kliknij Ustawienia > Pomoc > Pobierz oprogramowanie Hybrid Data Security. Rozpocznie się automatyczne pobieranie pliku OVA. Zapisz plik w wybranym miejscu na swoim komputerze.
4	Opcjonalnie kliknij Zobacz przewodnik wdrażania zabezpieczeń danych hybrydowych, aby sprawdzić, czy jest dostępna nowsza wersja tego przewodnika.

Utwórz konfigurację ISO dla hostów HDS

Proces instalacji Hybrid Data Security powoduje utworzenie pliku ISO. Następnie należy użyć pliku ISO do skonfigurowania hosta Hybrid Data Security.

Przed rozpoczęciem

Narzędzie HDS Setup działa jako kontener platformy Docker na komputerze lokalnym. Aby uzyskać do niego dostęp, uruchom Docker na tym komputerze. Proces konfiguracji wymaga danych logowania do konta Partner Hub z pełnymi uprawnieniami administratora.

Jeśli nie masz licencji Docker Desktop, możesz użyć Podman Desktop do uruchomienia narzędzia instalacyjnego HDS i wykonania kroków od 1 do 5 poniższej procedury. Więcej szczegółów można znaleźć w temacie Uruchom narzędzie instalacyjne HDS za pomocą pulpitu Podman.

Jeśli narzędzie instalacyjne HDS działa w Twoim środowisku za serwerem proxy, podaj ustawienia serwera proxy (serwer, port, dane uwierzytelniające) za pomocą zmiennych środowiskowych Docker podczas uruchamiania kontenera Docker w kroku 5 poniżej. Ta tabela zawiera kilka możliwych zmiennych środowiskowych:

Opis

Zmienna

Serwer proxy HTTP bez uwierzytelniania

GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

Serwer proxy HTTPS bez uwierzytelniania

GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

Serwer proxy HTTP z uwierzytelnianiem

GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

Serwer proxy HTTPS z uwierzytelnianiem

GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT
Wygenerowany plik ISO konfiguracji zawiera klucz główny szyfrujący bazę danych PostgreSQL lub Microsoft SQL Server. Musisz posiadać najnowszą kopię tego pliku za każdym razem, gdy wprowadzasz zmiany w konfiguracji, takie jak te:
- Dane uwierzytelniające bazy danych
- Aktualizacje certyfikatów
- Zmiany w polityce autoryzacji
Jeśli planujesz szyfrować połączenia z bazą danych, skonfiguruj wdrożenie PostgreSQL lub SQL Server pod kątem protokołu TLS.

1

W wierszu poleceń komputera wprowadź polecenie odpowiednie dla swojego środowiska:

W zwykłych środowiskach:

docker rmi ciscocitg/hds-setup:stable

W środowiskach FedRAMP:

docker rmi ciscocitg/hds-setup-fedramp:stable

Ten krok czyści poprzednie obrazy narzędzia konfiguracji HDS. Jeśli nie ma poprzednich obrazów, zwraca błąd, który można zignorować.

2

Aby zalogować się do rejestru obrazów platformy Docker, wprowadź następujące informacje:

docker login -u hdscustomersro

3

Po wyświetleniu monitu o hasło wprowadź ten skrót:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

4

Pobierz najnowszy stabilny obraz dla swojego środowiska:

W zwykłych środowiskach:

docker pull ciscocitg/hds-setup:stable

W środowiskach FedRAMP:

docker pull ciscocitg/hds-setup-fedramp:stable

5

Po zakończeniu ściągania wprowadź odpowiednie polecenie dla swojego środowiska:

W zwykłych środowiskach bez proxy:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

W zwykłych środowiskach z proxy HTTP:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

W standardowych środowiskach z serwerem proxy HTTPS:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

W środowiskach FedRAMP bez proxy:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

W środowiskach FedRAMP z proxy HTTP:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

W środowiskach FedRAMP z proxy HTTPS:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Gdy kontener jest uruchomiony, zobaczysz komunikat „Serwer ekspresowy nasłuchuje na porcie 8080”.

6

Narzędzie instalacyjne nie obsługuje łączenia się z hostem lokalnym przez http://localhost:8080. Użyj http://127.0.0.1:8080 aby połączyć się z localhostem.

Za pomocą przeglądarki internetowej przejdź do hosta lokalnego http://127.0.0.1:8080i wpisz nazwę użytkownika administratora Partner Hub w wierszu poleceń.

Narzędzie wykorzystuje pierwszy wpis nazwy użytkownika w celu ustawienia odpowiedniego środowiska dla danego konta. Następnie narzędzie wyświetla standardowy monit logowania.

7

Po wyświetleniu monitu wprowadź dane logowania administratora Partner Hub, a następnie kliknij przycisk Zaloguj, aby zezwolić na dostęp do wymaganych usług dla Hybrid Data Security.

8

Na stronie przeglądu narzędzia konfiguracji kliknij Rozpocznij.

9

Na stronie Import ISO masz następujące opcje:

Nie— jeśli tworzysz swój pierwszy węzeł HDS, nie masz pliku ISO do przesłania.
Tak— Jeśli utworzyłeś już węzły HDS, wybierz plik ISO w przeglądarce i prześlij go.

10

Sprawdź, czy Twój certyfikat X.509 spełnia wymagania podane w Wymagania dotyczące certyfikatu X.509.

Jeśli nigdy wcześniej nie przesyłałeś certyfikatu, prześlij certyfikat X.509, wprowadź hasło i kliknij Kontynuuj.
Jeśli certyfikat jest prawidłowy, kliknij Kontynuuj.
Jeśli Twój certyfikat wygasł lub chcesz go wymienić, wybierz opcję Nie w polu Czy kontynuować używanie łańcucha certyfikatu HDS i klucza prywatnego z poprzedniego ISO?. Prześlij nowy certyfikat X.509, wprowadź hasło i kliknij Kontynuuj.

11

Wprowadź adres bazy danych i konto, aby HDS mógł uzyskać dostęp do magazynu danych kluczy:

Wybierz Typ bazy danych (PostgreSQL lub Microsoft SQL Server).

Jeśli wybierzesz Microsoft SQL Server, otrzymasz pole Typ uwierzytelniania.
(Tylko Microsoft SQL Server ) Wybierz swój Typ uwierzytelniania:
- Uwierzytelnianie podstawowe: Potrzebna jest nazwa lokalnego konta SQL Server w polu Nazwa użytkownika.
- Uwierzytelnianie systemu Windows: Potrzebujesz konta Windows w formacie username@DOMAIN w polu Nazwa użytkownika.
Wprowadź adres serwera bazy danych w formacie : lub :.

Przykład:
dbhost.example.org:1433 lub 198.51.100.17:1433

Jeśli węzły nie mogą użyć usługi DNS do rozwiązania nazwy hosta, do podstawowego uwierzytelniania można użyć adresu IP.

Jeśli używasz uwierzytelniania systemu Windows, musisz wprowadzić w pełni kwalifikowaną nazwę domeny w formacie dbhost.example.org:1433
Wprowadź Nazwę bazy danych.
Wprowadź nazwę użytkownika i hasło użytkownika posiadającego wszystkie uprawnienia w bazie danych przechowującej klucze.

12

Wybierz Tryb połączenia z bazą danych TLS:

Tryb	Opis
Preferuj TLS (opcja domyślna)	Węzły HDS nie wymagają protokołu TLS do łączenia się z serwerem bazy danych. Jeśli włączysz protokół TLS na serwerze bazy danych, węzły podejmą próbę nawiązania szyfrowanego połączenia.
Wymagaj tlS	Węzły HDS łączą się tylko wtedy, gdy serwer bazy danych może negocjować protokół TLS.
Wymagaj protokołu TLS i weryfikuj sygnatariusza certyfikatu	Ten tryb nie ma zastosowania do baz danych SQL Server. Węzły HDS łączą się tylko wtedy, gdy serwer bazy danych może negocjować protokół TLS. Po nawiązaniu połączenia TLS węzeł porównuje podpisującego certyfikat z serwera bazy danych z urzędem certyfikacji w Certyfikat główny bazy danych. Jeśli nie są zgodne, węzeł przerywa połączenie. Użyj kontrolki certyfikatu głównego bazy danych poniżej listy rozwijanej, aby przekazać certyfikat główny dla tej opcji.
Wymagaj protokołu TLS i weryfikuj sygnatariusza certyfikatu oraz nazwę hosta	Węzły HDS łączą się tylko wtedy, gdy serwer bazy danych może negocjować protokół TLS. Po nawiązaniu połączenia TLS węzeł porównuje podpisującego certyfikat z serwera bazy danych z urzędem certyfikacji w Certyfikat główny bazy danych. Jeśli nie są zgodne, węzeł przerywa połączenie. Węzły weryfikują również, czy nazwa hosta w certyfikacie serwera jest zgodna z nazwą hosta w polu Host i port bazy danych. Nazwy muszą być dokładnie zgodne, w przeciwnym razie węzeł przerywa połączenie. Użyj kontrolki certyfikatu głównego bazy danych poniżej listy rozwijanej, aby przekazać certyfikat główny dla tej opcji.

Po przesłaniu certyfikatu głównego (jeśli to konieczne) i kliknięciu przycisku Kontynuujnarzędzie HDS Setup Tool przetestuje połączenie TLS z serwerem bazy danych. Narzędzie weryfikuje również sygnatariusza certyfikatu i nazwę hosta, jeśli ma to zastosowanie. Jeśli test zakończy się niepowodzeniem, narzędzie wyświetli komunikat o błędzie opisujący problem. Możesz wybrać, czy zignorować błąd i kontynuować konfigurację. (Ze względu na różnice w łączności, węzły HDS mogą nawiązać połączenie TLS, nawet jeśli komputer z narzędziem HDS Setup Tool nie będzie mógł go pomyślnie przetestować.)

13

Na stronie System Logs skonfiguruj serwer Syslogd:

Wprowadź adres URL serwera syslog.

Jeśli serwer nie jest rozpoznawalny przez DNS z węzłów klastra HDS, użyj adresu IP w adresie URL.

Przykład:
udp://10.92.43.23:514 oznacza rejestrowanie do hosta Syslogd 10.92.43.23 na porcie UDP 514.
Jeśli skonfigurowałeś serwer tak, aby korzystał z szyfrowania TLS, sprawdź Czy serwer syslog jest skonfigurowany do szyfrowania SSL?.

Jeśli zaznaczysz to pole wyboru, upewnij się, że wprowadziłeś adres URL TCP, taki jak tcp://10.92.43.23:514.
Z listy rozwijanej Wybierz zakończenie rekordu syslog wybierz odpowiednie ustawienie dla pliku ISO: Wybierz lub Nowa linia jest używana dla Graylog i Rsyslog TCP
- Bajt zerowy -- \x00
- Nowa linia -- \n— Wybierz tę opcję dla protokołów Graylog i Rsyslog TCP.
Kliknij przycisk Kontynuuj.

14

(Opcjonalnie) Możesz zmienić wartości domyślne niektórych parametrów połączenia z bazą danych w Ustawieniach zaawansowanych. Ogólnie rzecz biorąc, ten parametr jest jedynym, który możesz chcieć zmienić:

app_datasource_connection_pool_maxSize: 10

15

Kliknij Kontynuuj na ekranie Resetuj hasło kont usług.

Hasła do kont usług mają dziewięciomiesięczny okres ważności. Użyj tego ekranu, gdy Twoje hasła niedługo wygasną lub chcesz je zresetować, aby unieważnić poprzednie pliki ISO.

16

Kliknij Pobierz plik ISO. Zapisz plik w miejscu, które łatwo znajdziesz.

17

Utwórz kopię zapasową pliku ISO na swoim komputerze lokalnym.

Zachowaj kopię zapasową w bezpiecznym miejscu. Ten plik zawiera główny klucz szyfrujący zawartość bazy danych. Ogranicz dostęp wyłącznie do tych administratorów Hybrid Data Security, którzy powinni wprowadzać zmiany w konfiguracji.

18

Aby zamknąć narzędzie instalacyjne, wpisz CTRL+C.

Co zrobić dalej

Utwórz kopię zapasową pliku ISO konfiguracji. Jest on potrzebny do utworzenia większej liczby węzłów do odzyskiwania lub do wprowadzania zmian w konfiguracji. Jeżeli utracisz wszystkie kopie pliku ISO, utracisz również klucz główny. Odzyskanie kluczy z bazy danych PostgreSQL lub Microsoft SQL Server nie jest możliwe.

Nigdy nie posiadamy kopii tego klucza i nie możemy pomóc, jeśli go zgubisz.

Zainstaluj HDS Host OVA

Użyj tej procedury, aby utworzyć maszynę wirtualną z pliku OVA.

1	Użyj klienta VMware vSphere na swoim komputerze, aby zalogować się do wirtualnego hosta ESXi.
2	Wybierz Plik > Wdróż szablon OVF.
3	W kreatorze określ lokalizację pliku OVA, który wcześniej pobrałeś, a następnie kliknij przycisk Dalej.
4	Na stronie Wybierz nazwę i folder wprowadź Nazwę maszyny wirtualnej dla węzła (na przykład „HDS_Node_1”), wybierz lokalizację, w której może znajdować się wdrożenie węzła maszyny wirtualnej, a następnie kliknij Dalej.
5	Na stronie Wybierz zasób obliczeniowy wybierz zasób obliczeniowy docelowy, a następnie kliknij Dalej. Przeprowadzana jest kontrola poprawności. Po zakończeniu pojawią się szczegóły szablonu.
6	Sprawdź szczegóły szablonu i kliknij Dalej.
7	Jeżeli na stronie Konfiguracja zostaniesz poproszony o wybranie konfiguracji zasobów, kliknij 4 CPU, a następnie kliknij Dalej.
8	Na stronie Wybierz magazyn kliknij Dalej, aby zaakceptować domyślny format dysku i zasady magazynu maszyn wirtualnych.
9	Na stronie Wybierz sieci wybierz opcję sieciową z listy wpisów, aby zapewnić żądaną łączność z maszyną wirtualną.
10	Na stronie Dostosuj szablon skonfiguruj następujące ustawienia sieciowe: Nazwa hosta— wprowadź pełną nazwę domeny (FQDN) lub pojedynczą nazwę hosta dla węzła. Nie musisz ustawiać domeny tak, aby odpowiadała domenie, której użyłeś do uzyskania certyfikatu X.509. Aby mieć pewność, że rejestracja w chmurze przebiegnie pomyślnie, w nazwie FQDN lub nazwie hosta ustawionej dla węzła należy używać wyłącznie małych liter. Kapitalizacja nie jest obecnie obsługiwana. Całkowita długość nazwy FQDN nie może przekraczać 64 znaków. Adres IP— wprowadź adres IP wewnętrznego interfejsu węzła. Twój węzeł powinien mieć wewnętrzny adres IP i nazwę DNS. Protokół DHCP nie jest obsługiwany. Maska— wprowadź adres maski podsieci w notacji dziesiętnej kropkowej. Na przykład 255.255.255.0. Brama— wprowadź adres IP bramy. Brama to węzeł sieciowy, który służy jako punkt dostępu do innej sieci. Serwery DNS— wprowadź listę serwerów DNS oddzielonych przecinkami, które zajmują się tłumaczeniem nazw domen na numeryczne adresy IP. (Dozwolone jest maksymalnie 4 wpisy DNS.) Serwery NTP— wprowadź serwer NTP swojej organizacji lub inny zewnętrzny serwer NTP, który może być używany w Twojej organizacji. Domyślne serwery NTP mogą nie działać we wszystkich przedsiębiorstwach. Można również użyć listy rozdzielonej przecinkami, aby wprowadzić wiele serwerów NTP. Wdróż wszystkie węzły w tej samej podsieci lub sieci VLAN, aby wszystkie węzły w klastrze były dostępne dla klientów w Twojej sieci w celach administracyjnych. Jeśli wolisz, możesz pominąć konfigurację ustawień sieciowych i wykonać kroki opisane w sekcji Konfigurowanie maszyny wirtualnej Hybrid Data Security, aby skonfigurować ustawienia z poziomu konsoli węzła. Opcja konfiguracji ustawień sieciowych podczas wdrażania OVA została przetestowana w ESXi 7.0 i 8.0. Opcja ta może być niedostępna we wcześniejszych wersjach.
11	Kliknij prawym przyciskiem myszy węzeł VM, a następnie wybierz Zasilanie > Włącz. Oprogramowanie Hybrid Data Security jest instalowane jako gość na hoście maszyny wirtualnej. Możesz teraz zalogować się do konsoli i skonfigurować węzeł. Wskazówki dotyczące rozwiązywania problemów Może wystąpić kilkuminutowe opóźnienie przed pojawieniem się kontenerów węzłów. Podczas pierwszego uruchomienia na konsoli pojawia się komunikat zapory mostowej, podczas którego nie można się zalogować.

Skonfiguruj maszynę wirtualną Hybrid Data Security

Użyj tej procedury, aby zalogować się do konsoli maszyny wirtualnej węzła Hybrid Data Security po raz pierwszy i ustawić dane logowania. Możesz także użyć konsoli do skonfigurowania ustawień sieciowych dla węzła, jeśli nie zostały one skonfigurowane podczas wdrażania OVA.

1	W kliencie VMware vSphere wybierz maszynę wirtualną węzła Hybrid Data Security i wybierz kartę Konsola. Maszyna wirtualna uruchamia się i pojawia się monit o zalogowanie. Jeżeli monit logowania nie zostanie wyświetlony, naciśnij Enter.
2	Aby zalogować się i zmienić dane uwierzytelniające, użyj następujących domyślnych danych logowania i hasła: Login: `admin` Hasło: `cisco` Ponieważ logujesz się do maszyny wirtualnej po raz pierwszy, wymagana jest zmiana hasła administratora.
3	Jeżeli ustawienia sieciowe zostały już skonfigurowane w Zainstaluj HDS Host OVA, pomiń resztę tej procedury. W przeciwnym wypadku w menu głównym należy wybrać opcję Edytuj konfigurację.
4	Skonfiguruj statyczną konfigurację zawierającą adres IP, maskę, bramę i informacje o DNS. Twój węzeł powinien mieć wewnętrzny adres IP i nazwę DNS. Protokół DHCP nie jest obsługiwany.
5	(Opcjonalnie) W razie potrzeby zmień nazwę hosta, domenę lub serwer(y) NTP, aby dostosować je do swojej polityki sieciowej. Nie musisz ustawiać domeny tak, aby odpowiadała domenie, której użyłeś do uzyskania certyfikatu X.509.
6	Zapisz konfigurację sieciową i uruchom ponownie maszynę wirtualną, aby zmiany zostały zastosowane.

Prześlij i zamontuj konfigurację HDS ISO

Użyj tej procedury, aby skonfigurować maszynę wirtualną z pliku ISO utworzonego za pomocą narzędzia HDS Setup Tool.

Przed rozpoczęciem

Ponieważ plik ISO zawiera klucz główny, powinien być udostępniany wyłącznie w przypadku „konieczności uzyskania dostępu”, aby mogli z niego korzystać maszyny wirtualne Hybrid Data Security oraz administratorzy, którzy mogą potrzebować wprowadzić zmiany. Upewnij się, że tylko administratorzy mają dostęp do magazynu danych.

1

Prześlij plik ISO ze swojego komputera:

W lewym panelu nawigacyjnym klienta VMware vSphere kliknij serwer ESXi.
Na liście Sprzęt na karcie Konfiguracja kliknij Pamięć masowa.
Na liście magazynów danych kliknij prawym przyciskiem myszy magazyn danych dla swoich maszyn wirtualnych i kliknij opcję Przeglądaj magazyn danych.
Kliknij ikonę Prześlij plik, a następnie kliknij Prześlij plik.
Przejdź do lokalizacji, w której pobrałeś plik ISO na swoim komputerze i kliknij Otwórz.
Kliknij Tak, aby zaakceptować upload/download ostrzeżenie dotyczące operacji i zamknij okno dialogowe magazynu danych.

2

Zamontuj plik ISO:

W lewym okienku nawigacji klienta VMware vSphere kliknij prawym przyciskiem myszy maszynę wirtualną i kliknij opcję Edytuj ustawienia.
Kliknij OK, aby zaakceptować ostrzeżenie o ograniczonych opcjach edycji.
Kliknij CD/DVD Drive 1, wybierz opcję zamontowania z pliku ISO magazynu danych i przejdź do lokalizacji, do której przesłałeś plik ISO konfiguracji.
Zaznacz Podłączono i Podłącz po włączeniu.
Zapisz zmiany i uruchom ponownie maszynę wirtualną.

Co zrobić dalej

Jeśli Twoja polityka IT tego wymaga, możesz opcjonalnie odmontować plik ISO po tym, jak wszystkie węzły odnotują zmiany konfiguracji. Szczegóły można znaleźć w (Opcjonalnie) Odmontuj obraz ISO po skonfigurowaniu HDS.

Konfigurowanie węzła HDS do integracji z serwerem proxy

Jeśli środowisko sieciowe wymaga serwera proxy, użyj tej procedury, aby określić typ serwera proxy, który chcesz zintegrować z hybrid Data Security. Jeśli wybierzesz przezroczysty serwer proxy inspekcji lub jawny serwer proxy HTTPS, możesz użyć interfejsu węzła do przekazania i zainstalowania certyfikatu głównego. Możesz także sprawdzić połączenie proxy z poziomu interfejsu i rozwiązać wszelkie potencjalne problemy.

Przed rozpoczęciem

Zobacz Obsługa serwera proxy, aby zapoznać się z omówieniem obsługiwanych opcji serwera proxy.
Wymagania dotyczące serwera proxy

1	Wprowadź adres URL konfiguracji węzła HDS `https://[HDS Node IP or FQDN]/setup` w przeglądarce internetowej, wprowadź dane uwierzytelniające administratora skonfigurowane dla węzła, a następnie kliknij przycisk Zaloguj się.
2	Przejdź do pozycji Sklep zaufania i serwer proxy, a następnie wybierz opcję: Brak serwera proxy— opcja domyślna przed zintegrowaniem serwera proxy. Aktualizacja certyfikatu nie jest wymagana. Przezroczysty serwer proxy niekontrolujący— Węzły nie są skonfigurowane do używania określonego adresu serwera proxy i nie powinny wymagać żadnych zmian, aby działać z serwerem proxy niekontrolującym. Aktualizacja certyfikatu nie jest wymagana. Transparentny serwer proxy do inspekcji— Węzły nie są skonfigurowane do używania określonego adresu serwera proxy. We wdrożeniu Hybrid Data Security nie są konieczne żadne zmiany konfiguracji protokołu HTTPS, jednak węzły HDS potrzebują certyfikatu głównego, aby ufać serwerowi proxy. Inspekcja serwerów proxy jest zwykle używana przez IT do egzekwowania zasad, na których można odwiedzać witryny internetowe, a które nie są dozwolone. Ten typ serwera proxy odszyfrowuje cały ruch (nawet HTTPS). Jawny serwer proxy— w przypadku jawnego serwera proxy informujesz klienta (węzły HDS), którego serwera proxy użyć. Ta opcja obsługuje kilka typów uwierzytelniania. Po wybraniu tej opcji należy wprowadzić następujące informacje: Serwer proxy IP/FQDN—Adres, który można wykorzystać do połączenia z komputerem proxy. Port proxy— numer portu, którego serwer proxy używa do nasłuchiwania ruchu proxy. Protokół proxy— wybierz http (wyświetla i kontroluje wszystkie żądania otrzymywane od klienta) lub https (zapewnia kanał do serwera, a klient odbiera i weryfikuje certyfikat serwera). Wybierz opcję na podstawie tego, co obsługuje Twój serwer proxy. Typ uwierzytelniania— wybierz spośród następujących typów uwierzytelniania: Brak— Nie jest wymagane żadne dalsze uwierzytelnianie. Dostępne dla serwerów proxy HTTP lub HTTPS. Podstawowy— używany przez agenta użytkownika HTTP do podania nazwy użytkownika i hasła podczas wysyłania żądania. Używa kodowania Base64. Dostępne dla serwerów proxy HTTP lub HTTPS. W przypadku wybrania tej opcji należy również wprowadzić nazwę użytkownika i hasło. Digest— Służy do potwierdzenia konta przed wysłaniem poufnych informacji. Stosuje funkcję skrótu do nazwy użytkownika i hasła przed wysłaniem przez sieć. Dostępne tylko dla serwerów proxy HTTPS. W przypadku wybrania tej opcji należy również wprowadzić nazwę użytkownika i hasło. Wykonaj kolejne kroki, aby uzyskać przezroczysty serwer proxy inspekcji, jawny serwer proxy HTTP z uwierzytelnianiem podstawowym lub jawny serwer proxy HTTPS.
3	Kliknij przycisk Przekaż certyfikat główny lub Certyfikat jednostkikońcowej , a następnie przejdź do wybierz certyfikat główny dla serwera proxy. Certyfikat został przekazany, ale nie został jeszcze zainstalowany, ponieważ należy ponownie uruchomić węzeł, aby zainstalować certyfikat. Kliknij strzałkę cudzysłów ostrokątnych przy nazwie wystawcy certyfikatu, aby uzyskać więcej szczegółów, lub kliknij przycisk Usuń, jeśli popełnisz błąd i chcesz ponownie przesłać plik.
4	Kliknij przycisk Sprawdź połączenie z serwerem proxy, aby przetestować łączność sieciową między węzłem a serwerem proxy. Jeśli test połączenia zakończy się niepowodzeniem, zostanie wyświetlony komunikat o błędzie z przyczyną i sposobem rozwiązania problemu. Jeśli zostanie wyświetlony komunikat informujący, że zewnętrzne rozpoznawanie nazw DNS nie powiodło się, oznacza to, że węzeł nie może połączyć się z serwerem DNS. Ten warunek jest oczekiwany w wielu jawnych konfiguracjach proxy. Możesz kontynuować konfigurację, a węzeł będzie działał w trybie zablokowanego zewnętrznego rozpoznawania nazw DNS. Jeśli uważasz, że to błąd, wykonaj poniższe czynności, a następnie zapoznaj się z artykułem Wyłączanie trybu blokowania zewnętrznego adresu DNS.
5	Po przejściu testu połączenia, dla jawnego serwera proxy ustawionego tylko na https, włącz przełącznik na Kieruj wszystkie żądania https portu 443/444 z tego węzła za pośrednictwem jawnego serwera proxy. To ustawienie wymaga 15 sekund, aby zostało wprowadzone.
6	Kliknij opcję Zainstaluj wszystkie certyfikaty w magazynie zaufania (pojawia się w przypadku jawnego serwera proxy HTTPS lub przezroczystego serwera proxy inspekcji) lub Uruchom ponownie (pojawia się w przypadku jawnego serwera proxy HTTP), przeczytaj monit, a następnie kliknij przycisk Zainstaluj, jeśli wszystko jest gotowe. Węzeł uruchomi się ponownie w ciągu kilku minut.
7	Po ponownym uruchomieniu węzła zaloguj się ponownie, jeśli to konieczne, a następnie otwórz stronę Przegląd, aby sprawdzić kontrole łączności, aby upewnić się, że wszystkie są w stanie zielonym. Sprawdzanie połączenia proxy testuje tylko subdomenę webex.com. Jeśli występują problemy z łącznością, typowym problemem jest to, że niektóre domeny chmury wymienione w instrukcjach instalacji są blokowane na serwerze proxy.

Zarejestruj pierwszy węzeł w klastrze

To zadanie bierze ogólny węzeł utworzony w Skonfiguruj maszynę wirtualną Hybrid Data Security, rejestruje węzeł w chmurze Webex i przekształca go w węzeł Hybrid Data Security.

Rejestrując pierwszy węzeł, tworzysz klaster, do którego węzeł ten zostaje przypisany. Klaster składa się z jednego lub większej liczby węzłów wdrożonych w celu zapewnienia redundancji.

Przed rozpoczęciem

Po rozpoczęciu rejestracji węzła musisz ją ukończyć w ciągu 60 minut, w przeciwnym razie będziesz musiał zacząć od nowa.
Upewnij się, że wszystkie blokady wyskakujących okienek w Twojej przeglądarce są wyłączone lub że zezwalasz na wyjątek dla admin.webex.com.

1	Zaloguj się w https://admin.webex.com.
2	Z menu po lewej stronie ekranu wybierz Usługi.
3	W sekcji Usługi w chmurze znajdź kartę Hybrid Data Security i kliknij Skonfiguruj.
4	Na stronie, która się otworzy, kliknij Dodaj zasób.
5	W pierwszym polu karty Dodaj węzeł wprowadź nazwę klastra, do którego chcesz przypisać węzeł Hybrid Data Security. Zalecamy nadanie klastrowi nazwy uwzględniającej rozmieszczenie geograficzne węzłów klastra. Przykłady: „San Francisco” lub „Nowy Jork” lub „Dallas”
6	W drugim polu wprowadź wewnętrzny adres IP lub w pełni kwalifikowaną nazwę domeny (FQDN) swojego węzła i kliknij Dodaj u dołu ekranu. Ten adres IP lub nazwa FQDN powinna odpowiadać adresowi IP lub nazwie hosta i domenie użytej w Skonfiguruj maszynę wirtualną Hybrid Data Security. Pojawi się komunikat informujący, że możesz zarejestrować swój węzeł w Webex.
7	Kliknij Przejdź do węzła. Po chwili zostaniesz przekierowany do testów łączności węzłów dla usług Webex. Jeśli wszystkie testy zakończą się pomyślnie, zostanie wyświetlona strona Zezwalaj na dostęp do węzła Hybrid Data Security. Tutaj potwierdzasz, że chcesz przyznać swojej organizacji Webex uprawnienia dostępu do swojego węzła.
8	Zaznacz pole wyboru Zezwalaj na dostęp do węzła zabezpieczeń danych hybrydowych, a następnie kliknij przycisk Kontynuuj. Twoje konto zostało zweryfikowane, a komunikat „Rejestracja ukończona” oznacza, że Twój węzeł jest teraz zarejestrowany w chmurze Webex.
9	Kliknij link lub zamknij kartę, aby powrócić do strony Partner Hub Hybrid Data Security. Na stronie Hybrid Data Security nowy klaster zawierający zarejestrowany węzeł jest wyświetlany na karcie Resources. Węzeł automatycznie pobierze najnowsze oprogramowanie z chmury.

Utwórz i zarejestruj więcej węzłów

Aby dodać kolejne węzły do klastra, wystarczy utworzyć dodatkowe maszyny wirtualne i zamontować ten sam plik ISO konfiguracji, a następnie zarejestrować węzeł. Zalecamy posiadanie co najmniej 3 węzłów.

Przed rozpoczęciem

Po rozpoczęciu rejestracji węzła musisz ją ukończyć w ciągu 60 minut, w przeciwnym razie będziesz musiał zacząć od nowa.
Upewnij się, że wszystkie blokady wyskakujących okienek w Twojej przeglądarce są wyłączone lub że zezwalasz na wyjątek dla admin.webex.com.

1	Utwórz nową maszynę wirtualną z OVA, powtarzając kroki opisane w Zainstaluj hosta HDS OVA.
2	Skonfiguruj początkową konfigurację na nowej maszynie wirtualnej, powtarzając kroki opisane w Skonfiguruj maszynę wirtualną Hybrid Data Security.
3	Na nowej maszynie wirtualnej powtórz kroki opisane w Prześlij i zamontuj obraz ISO konfiguracji HDS.
4	Jeśli konfigurujesz serwer proxy dla wdrożenia, powtórz kroki opisane w sekcji Konfigurowanie węzła HDS na potrzeby integracji serwera proxy w przypadku nowego węzła.
5	Zarejestruj węzeł. W https://admin.webex.comwybierz Usługi z menu po lewej stronie ekranu. W sekcji Usługi w chmurze znajdź kartę Hybrid Data Security i kliknij Wyświetl wszystko. Wyświetla się strona Zasoby hybrydowego bezpieczeństwa danych. Nowo utworzony klaster pojawi się na stronie Zasoby. Kliknij klaster, aby wyświetlić węzły przypisane do klastra. Kliknij Dodaj węzeł po prawej stronie ekranu. Wprowadź wewnętrzny adres IP lub w pełni kwalifikowaną nazwę domeny (FQDN) swojego węzła i kliknij Dodaj. Otworzy się strona z komunikatem informującym, że możesz zarejestrować swój węzeł w chmurze Webex. Po chwili zostaniesz przekierowany do testów łączności węzłów dla usług Webex. Jeśli wszystkie testy zakończą się pomyślnie, zostanie wyświetlona strona Zezwalaj na dostęp do węzła Hybrid Data Security. Tutaj potwierdzasz, że chcesz przyznać swojej organizacji uprawnienia dostępu do swojego węzła. Zaznacz pole wyboru Zezwalaj na dostęp do węzła zabezpieczeń danych hybrydowych, a następnie kliknij przycisk Kontynuuj. Twoje konto zostało zweryfikowane, a komunikat „Rejestracja ukończona” oznacza, że Twój węzeł jest teraz zarejestrowany w chmurze Webex. Kliknij link lub zamknij kartę, aby powrócić do strony Partner Hub Hybrid Data Security. Dodano węzeł. Komunikat wyskakujący pojawia się również na dole ekranu w Centrum partnerskim. Twój węzeł jest zarejestrowany.

Zarządzanie organizacjami dzierżawców w hybrydowym systemie bezpieczeństwa danych Multi-Tenant

Aktywuj Multi-Tenant HDS w Partner Hub

Zadanie to zapewnia, że wszyscy użytkownicy organizacji klientów będą mogli zacząć korzystać z HDS w zakresie kluczy szyfrujących lokalnych i innych usług bezpieczeństwa.

Przed rozpoczęciem

Upewnij się, że klaster Multi-Tenant HDS został skonfigurowany z wymaganą liczbą węzłów.

1	Zaloguj się w https://admin.webex.com.
2	Z menu po lewej stronie ekranu wybierz Usługi.
3	W sekcji Usługi w chmurze znajdź opcję Hybrid Data Security i kliknij Edytuj ustawienia.
4	Kliknij Aktywuj HDS na karcie Stan HDS.

Dodaj organizacje dzierżawców w Partner Hub

W tym zadaniu przypisujesz organizacje klientów do swojego hybrydowego klastra bezpieczeństwa danych.

1	Zaloguj się w https://admin.webex.com.
2	Z menu po lewej stronie ekranu wybierz Usługi.
3	W sekcji Usługi w chmurze znajdź Hybrid Data Security i kliknij Wyświetl wszystko.
4	Kliknij klaster, do którego chcesz przypisać klienta.
5	Przejdź do zakładki Przypisani klienci.
6	Kliknij Dodaj klientów.
7	Z menu rozwijanego wybierz klienta, którego chcesz dodać.
8	Kliknij Dodaj, a klient zostanie dodany do klastra.
9	Aby dodać wielu klientów do klastra, powtórz kroki od 6 do 8.
10	Po dodaniu klientów kliknij przycisk Gotowe u dołu ekranu.

Co zrobić dalej

Uruchom narzędzie instalacyjne HDS zgodnie ze szczegółowym opisem w sekcji Tworzenie głównych kluczy klienta (CMK) za pomocą narzędzia instalacyjnego HDS, aby dokończyć proces instalacji.

Utwórz główne klucze klienta (CMK) za pomocą narzędzia instalacyjnego HDS

Przed rozpoczęciem

Przypisz klientów do odpowiedniego klastra zgodnie ze szczegółowymi informacjami w Dodaj organizacje dzierżawców w Centrum partnerskim. Uruchom narzędzie instalacyjne HDS, aby dokończyć proces konfiguracji dla nowo dodanych organizacji klientów.

Narzędzie HDS Setup działa jako kontener platformy Docker na komputerze lokalnym. Aby uzyskać do niego dostęp, uruchom Docker na tym komputerze. Proces konfiguracji wymaga podania danych logowania do konta Partner Hub z pełnymi uprawnieniami administratora dla Twojej organizacji.

Jeśli narzędzie instalacyjne HDS działa w Twoim środowisku za serwerem proxy, podaj ustawienia serwera proxy (serwer, port, dane uwierzytelniające) za pomocą zmiennych środowiskowych Docker podczas uruchamiania kontenera Docker w kroku 5. Ta tabela zawiera kilka możliwych zmiennych środowiskowych:

Opis	Zmienna
Serwer proxy HTTP bez uwierzytelniania	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
Serwer proxy HTTPS bez uwierzytelniania	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
Serwer proxy HTTP z uwierzytelnianiem	`GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
Serwer proxy HTTPS z uwierzytelnianiem	`GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

Wygenerowany plik ISO konfiguracji zawiera klucz główny szyfrujący bazę danych PostgreSQL lub Microsoft SQL Server. Musisz posiadać najnowszą kopię tego pliku za każdym razem, gdy wprowadzasz zmiany w konfiguracji, takie jak te:
- Dane uwierzytelniające bazy danych
- Aktualizacje certyfikatów
- Zmiany w polityce autoryzacji
Jeśli planujesz szyfrować połączenia z bazą danych, skonfiguruj wdrożenie PostgreSQL lub SQL Server pod kątem protokołu TLS.

Proces instalacji Hybrid Data Security powoduje utworzenie pliku ISO. Następnie należy użyć pliku ISO do skonfigurowania hosta Hybrid Data Security.

1	W wierszu poleceń komputera wprowadź polecenie odpowiednie dla swojego środowiska: W zwykłych środowiskach: `docker rmi ciscocitg/hds-setup:stable` W środowiskach FedRAMP: `docker rmi ciscocitg/hds-setup-fedramp:stable` Ten krok czyści poprzednie obrazy narzędzia konfiguracji HDS. Jeśli nie ma poprzednich obrazów, zwraca błąd, który można zignorować.
2	Aby zalogować się do rejestru obrazów platformy Docker, wprowadź następujące informacje: `docker login -u hdscustomersro`
3	Po wyświetleniu monitu o hasło wprowadź ten skrót: `dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo`
4	Pobierz najnowszy stabilny obraz dla swojego środowiska: W zwykłych środowiskach: `docker pull ciscocitg/hds-setup:stable` W środowiskach FedRAMP: `docker pull ciscocitg/hds-setup-fedramp:stable`
5	Po zakończeniu ściągania wprowadź odpowiednie polecenie dla swojego środowiska: W zwykłych środowiskach bez proxy: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable` W zwykłych środowiskach z proxy HTTP: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable` W standardowych środowiskach z serwerem proxy HTTPS: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable` W środowiskach FedRAMP bez proxy: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable` W środowiskach FedRAMP z proxy HTTP: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable` W środowiskach FedRAMP z proxy HTTPS: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable` Gdy kontener jest uruchomiony, zobaczysz komunikat „Serwer ekspresowy nasłuchuje na porcie 8080”.
6	Narzędzie instalacyjne nie obsługuje łączenia się z hostem lokalnym przez http://localhost:8080. Użyj http://127.0.0.1:8080 aby połączyć się z localhostem. Za pomocą przeglądarki internetowej przejdź do hosta lokalnego `http://127.0.0.1:8080`i wpisz nazwę użytkownika administratora Partner Hub w wierszu poleceń. Narzędzie wykorzystuje pierwszy wpis nazwy użytkownika w celu ustawienia odpowiedniego środowiska dla danego konta. Następnie narzędzie wyświetla standardowy monit logowania.
7	Po wyświetleniu monitu wprowadź dane logowania administratora Partner Hub, a następnie kliknij przycisk Zaloguj, aby zezwolić na dostęp do wymaganych usług dla Hybrid Data Security.
8	Na stronie przeglądu narzędzia konfiguracji kliknij Rozpocznij.
9	Na stronie Import ISO kliknij Tak.
10	Wybierz plik ISO w przeglądarce i prześlij go. Zapewnij łączność ze swoją bazą danych, aby móc zarządzać kluczami CMK.
11	Przejdź do zakładki Zarządzanie kluczami CMK dzierżawcy, gdzie znajdziesz trzy sposoby zarządzania kluczami CMK dzierżawcy. Utwórz CMK dla wszystkich organizacji lub Utwórz CMK - Kliknij ten przycisk na banerze u góry ekranu, aby utworzyć CMK dla wszystkich nowo dodanych organizacji. Kliknij przycisk Zarządzaj kluczami CMK po prawej stronie ekranu i kliknij Utwórz klucze CMK, aby utworzyć klucze CMK dla wszystkich nowo dodanych organizacji. Kliknij … obok statusu oczekiwania na zarządzanie CMK określonej organizacji w tabeli i kliknij Utwórz CMK, aby utworzyć CMK dla tej organizacji.
12	Po pomyślnym utworzeniu CMK status w tabeli zmieni się z CMK management pending na CMK managed.
13	Jeśli utworzenie klucza CMK się nie powiedzie, zostanie wyświetlony komunikat o błędzie.

Usuń organizacje najemców

Przed rozpoczęciem

Po usunięciu użytkownicy organizacji klienckich nie będą mogli korzystać z HDS do szyfrowania i utracą wszystkie istniejące przestrzenie. Przed usunięciem organizacji klienta skontaktuj się z partnerem Cisco lub menedżerem ds. kont.

1	Zaloguj się w https://admin.webex.com.
2	Z menu po lewej stronie ekranu wybierz Usługi.
3	W sekcji Usługi w chmurze znajdź Hybrid Data Security i kliknij Wyświetl wszystko.
4	Na karcie Zasoby kliknij klaster, z którego chcesz usunąć organizacje klientów.
5	Na stronie, która się otworzy, kliknij Przypisani klienci.
6	Na liście wyświetlonych organizacji klientów kliknij ... po prawej stronie organizacji klienta, którą chcesz usunąć, i kliknij Usuń z klastra.

Co zrobić dalej

Zakończ proces usuwania, odwołując klucze CMK organizacji klientów zgodnie ze szczegółowymi informacjami w Odwołaj klucze CMK najemców usuniętych z HDS.

Cofnij uprawnienia CMK najemców usuniętych z HDS.

Przed rozpoczęciem

Usuń klientów z odpowiedniego klastra zgodnie ze szczegółowymi instrukcjami w Usuń organizacje dzierżawców. Uruchom narzędzie instalacyjne HDS, aby dokończyć proces usuwania organizacji klientów, które zostały usunięte.

Narzędzie HDS Setup działa jako kontener platformy Docker na komputerze lokalnym. Aby uzyskać do niego dostęp, uruchom Docker na tym komputerze. Proces konfiguracji wymaga podania danych logowania do konta Partner Hub z pełnymi uprawnieniami administratora dla Twojej organizacji.

Jeśli narzędzie instalacyjne HDS działa w Twoim środowisku za serwerem proxy, podaj ustawienia serwera proxy (serwer, port, dane uwierzytelniające) za pomocą zmiennych środowiskowych Docker podczas uruchamiania kontenera Docker w kroku 5. Ta tabela zawiera kilka możliwych zmiennych środowiskowych:

Opis	Zmienna
Serwer proxy HTTP bez uwierzytelniania	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
Serwer proxy HTTPS bez uwierzytelniania	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
Serwer proxy HTTP z uwierzytelnianiem	`GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
Serwer proxy HTTPS z uwierzytelnianiem	`GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

Wygenerowany plik ISO konfiguracji zawiera klucz główny szyfrujący bazę danych PostgreSQL lub Microsoft SQL Server. Musisz posiadać najnowszą kopię tego pliku za każdym razem, gdy wprowadzasz zmiany w konfiguracji, takie jak te:
- Dane uwierzytelniające bazy danych
- Aktualizacje certyfikatów
- Zmiany w polityce autoryzacji
Jeśli planujesz szyfrować połączenia z bazą danych, skonfiguruj wdrożenie PostgreSQL lub SQL Server pod kątem protokołu TLS.

Proces instalacji Hybrid Data Security powoduje utworzenie pliku ISO. Następnie należy użyć pliku ISO do skonfigurowania hosta Hybrid Data Security.

1	W wierszu poleceń komputera wprowadź polecenie odpowiednie dla swojego środowiska: W zwykłych środowiskach: `docker rmi ciscocitg/hds-setup:stable` W środowiskach FedRAMP: `docker rmi ciscocitg/hds-setup-fedramp:stable` Ten krok czyści poprzednie obrazy narzędzia konfiguracji HDS. Jeśli nie ma poprzednich obrazów, zwraca błąd, który można zignorować.
2	Aby zalogować się do rejestru obrazów platformy Docker, wprowadź następujące informacje: `docker login -u hdscustomersro`
3	Po wyświetleniu monitu o hasło wprowadź ten skrót: `dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo`
4	Pobierz najnowszy stabilny obraz dla swojego środowiska: W zwykłych środowiskach: `docker pull ciscocitg/hds-setup:stable` W środowiskach FedRAMP: `docker pull ciscocitg/hds-setup-fedramp:stable`
5	Po zakończeniu ściągania wprowadź odpowiednie polecenie dla swojego środowiska: W zwykłych środowiskach bez proxy: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable` W zwykłych środowiskach z proxy HTTP: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable` W standardowych środowiskach z serwerem proxy HTTPS: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable` W środowiskach FedRAMP bez proxy: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable` W środowiskach FedRAMP z proxy HTTP: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable` W środowiskach FedRAMP z proxy HTTPS: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable` Gdy kontener jest uruchomiony, zobaczysz komunikat „Serwer ekspresowy nasłuchuje na porcie 8080”.
6	Narzędzie instalacyjne nie obsługuje łączenia się z hostem lokalnym przez http://localhost:8080. Użyj http://127.0.0.1:8080 aby połączyć się z localhostem. Za pomocą przeglądarki internetowej przejdź do hosta lokalnego `http://127.0.0.1:8080`i wpisz nazwę użytkownika administratora Partner Hub w wierszu poleceń. Narzędzie wykorzystuje pierwszy wpis nazwy użytkownika w celu ustawienia odpowiedniego środowiska dla danego konta. Następnie narzędzie wyświetla standardowy monit logowania.
7	Po wyświetleniu monitu wprowadź dane logowania administratora Partner Hub, a następnie kliknij przycisk Zaloguj, aby zezwolić na dostęp do wymaganych usług dla Hybrid Data Security.
8	Na stronie przeglądu narzędzia konfiguracji kliknij Rozpocznij.
9	Na stronie Import ISO kliknij Tak.
10	Wybierz plik ISO w przeglądarce i prześlij go.
11	Przejdź do zakładki Zarządzanie kluczami CMK dzierżawcy, gdzie znajdziesz trzy sposoby zarządzania kluczami CMK dzierżawcy. Cofnij klucz CMK dla wszystkich organizacji lub Cofnij klucz CMK - Kliknij ten przycisk na banerze u góry ekranu, aby cofnąć klucze CMK wszystkich usuniętych organizacji. Kliknij przycisk Zarządzaj kluczami CMK po prawej stronie ekranu i kliknij Unieważnij klucze CMK, aby unieważnić klucze CMK wszystkich usuniętych organizacji. Kliknij … obok statusu CMK do odwołania konkretnej organizacji w tabeli i kliknij Odwołaj CMK, aby odwołać CMK dla tej konkretnej organizacji.
12	Po pomyślnym odwołaniu klucza CMK organizacja klienta nie będzie już wyświetlana w tabeli.
13	Jeśli odwołanie klucza CMK się nie powiedzie, zostanie wyświetlony komunikat o błędzie.

Przetestuj wdrożenie hybrydowego zabezpieczenia danych

Przetestuj wdrożenie hybrydowego systemu bezpieczeństwa danych

Użyj tej procedury, aby przetestować scenariusze szyfrowania danych hybrydowych Multi-Tenant.

Przed rozpoczęciem

Skonfiguruj wdrożenie hybrydowego rozwiązania do ochrony danych dla wielu dzierżawców.
Upewnij się, że masz dostęp do syslogu, aby zweryfikować, czy kluczowe żądania są przekazywane do wdrożenia hybrydowego rozwiązania bezpieczeństwa danych Multi-Tenant.

1

Klucze do danej przestrzeni ustala twórca danej przestrzeni. Zaloguj się do aplikacji Webex jako jeden z użytkowników organizacji klienta, a następnie utwórz przestrzeń.

Jeśli dezaktywujesz wdrożenie hybrydowego zabezpieczenia danych, zawartość w przestrzeniach tworzonych przez użytkowników nie będzie już dostępna po zastąpieniu kopii kluczy szyfrowania przechowywanych w pamięci podręcznej klienta.

2

Wysyłaj wiadomości do nowej przestrzeni.

3

Sprawdź dane wyjściowe syslog, aby upewnić się, że kluczowe żądania są przekazywane do wdrożenia Hybrid Data Security.

Jeśli użytkownik nowo dodanej organizacji klienta wykona jakąkolwiek czynność, identyfikator organizacji pojawi się w dziennikach, co umożliwi sprawdzenie, czy organizacja korzysta z usługi Multi-Tenant HDS. Sprawdź wartość kms.data.orgId w syslogach.

Aby sprawdzić, czy użytkownik najpierw nawiązuje bezpieczny kanał do KMS, należy zastosować filtr kms.data.method=create i kms.data.type=EPHEMERAL_KEY_COLLECTION:

Powinieneś znaleźć wpis podobny do następującego (identyfikatory skrócone dla lepszej czytelności):

2025-04-10 04:38:20.208 (+0000) INFO  KMS [pool-19-thread-13] - [KMS:REQUEST] received, deviceId: 
https://wdm-a.wbx2.com/wdm/api/v1/devices/4[~]5 ecdheKid: kms://collabdemoorg.cisco.com/statickeys/8[~]3 
clusterConnection: prodachm::0 orgId: 2[~]b (EncryptionKmsMessageHandler.java:558) WEBEX_TRACKINGID=webex-web-client_0[~]6,
 kms.data.method=create, kms.merc.id=d[~]7, kms.merc.sync=false, kms.data.uriHost=collabdemoorg.cisco.com, 
kms.data.type=EPHEMERAL_KEY_COLLECTION, kms.data.requestId=1[~]f, kms.data.orgId=2[~]b,
 kms.data.uri=kms://collabdemoorg.cisco.com/ecdhe, kms.data.userId=1[~]f, kms.data.httpUserAgent=[~]

Aby sprawdzić, czy istnieje użytkownik żądający istniejącego klucza od KMS, filtruj według kms.data.method=retrieve i kms.data.type=KEY:

Powinieneś znaleźć wpis taki jak:

2025-04-10 04:38:24.144 (+0000) INFO  KMS [pool-19-thread-26] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/4[~]5
 ecdheKid: kms://collabdemoorg.cisco.com/ecdhe/b[~]9 clusterConnection: prodachm::0 orgId: 2[~]b (EncryptionKmsMessageHandler.java:558)
 WEBEX_TRACKINGID=webex-web-client_0[~]0, kms.data.method=retrieve, kms.merc.id=5[~]3, kms.merc.sync=false,
 kms.data.uriHost=collabdemoorg.cisco.com, kms.data.type=KEY, kms.data.requestId=4[~]7, kms.data.orgId=2[~]b,
 kms.data.uri=kms://collabdemoorg.cisco.com/keys/2[~]e, kms.data.userId=1[~]f, kms.data.httpUserAgent=[~]

Aby sprawdzić, czy istnieje użytkownik żądający utworzenia nowego klucza KMS, filtruj według kms.data.method=create i kms.data.type=KEY_COLLECTION:

Powinieneś znaleźć wpis taki jak:

2025-04-10 04:42:22.739 (+0000) INFO  KMS [pool-19-thread-29] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/4[~]5
 ecdheKid: kms://collabdemoorg.cisco.com/ecdhe/b[~]9 clusterConnection: prodachm::7 orgId: 2[~]b
 (EncryptionKmsMessageHandler.java:558) WEBEX_TRACKINGID=webex-web-client_0[~]3, kms.data.method=create, 
kms.merc.id=6[~]4, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, kms.data.requestId=6[~]4, 
kms.data.orgId=2[~]b, kms.data.uri=/keys, kms.data.userId=1[~]f, kms.data.httpUserAgent=[~]

Aby sprawdzić, czy istnieje użytkownik żądający utworzenia nowego obiektu zasobu KMS (KRO) podczas tworzenia przestrzeni lub innego chronionego zasobu, należy zastosować filtr według kms.data.method=create i kms.data.type=RESOURCE_COLLECTION:

Powinieneś znaleźć wpis taki jak:

2025-04-10 04:42:23.690 (+0000) INFO  KMS [pool-19-thread-31] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/3[~]6 ecdheKid: kms://collabdemoorg.cisco.com/ecdhe/b[~]9 
clusterConnection: prodachm::1 orgId: 2[~]b (EncryptionKmsMessageHandler.java:558) WEBEX_TRACKINGID=webex-web-client_0[~]2,
 kms.data.method=create, kms.merc.id=3[~]0, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
kms.data.requestId=5[~]8, kms.data.orgId=2[~]b, kms.data.uri=/resources, kms.data.userId=1[~]f, kms.data.httpUserAgent=conversation

Monitoruj stan bezpieczeństwa danych hybrydowych

Wskaźnik stanu w Partner Hub pokazuje, czy wszystko jest w porządku z wdrożeniem hybrydowego rozwiązania Multi-Tenant Data Security. Aby otrzymywać bardziej proaktywne powiadomienia, zarejestruj się, aby otrzymywać powiadomienia e-mailem. Otrzymasz powiadomienie w przypadku alarmów lub aktualizacji oprogramowania mających wpływ na jakość usługi.

1	W Partner Hubwybierz Usługi z menu po lewej stronie ekranu.
2	W sekcji Usługi w chmurze znajdź opcję Hybrid Data Security i kliknij Edytuj ustawienia. Wyświetla się strona Ustawienia zabezpieczeń danych hybrydowych.
3	W sekcji Powiadomienia e-mail wpisz jeden lub więcej adresów e-mail oddzielonych przecinkami i naciśnij klawisz Enter.

Zarządzaj wdrożeniem HDS

Aby zarządzać wdrożeniem rozwiązania Hybrid Data Security, skorzystaj z zadań opisanych tutaj.

Ustaw harmonogram aktualizacji klastra

Aktualizacje oprogramowania dla Hybrid Data Security odbywają się automatycznie na poziomie klastra, co gwarantuje, że wszystkie węzły zawsze działają na tej samej wersji oprogramowania. Aktualizacje są wykonywane zgodnie z harmonogramem aktualizacji klastra. Gdy dostępna będzie aktualizacja oprogramowania, będziesz mieć możliwość ręcznej aktualizacji klastra przed zaplanowanym czasem aktualizacji. Możesz ustawić konkretny harmonogram aktualizacji lub użyć domyślnego harmonogramu 3:00 AM Daily Stany Zjednoczone: America/Los Anioły. Jeśli zajdzie taka potrzeba, możesz również zdecydować się na przełożenie nadchodzącej aktualizacji.

Aby ustawić harmonogram aktualizacji:

1	Zaloguj się do Centrum partnerów.
2	Z menu po lewej stronie ekranu wybierz Usługi.
3	W sekcji Usługi w chmurze znajdź opcję Hybrydowe zabezpieczenia danych i kliknij opcję Skonfiguruj
4	Na stronie Zasoby hybrydowego bezpieczeństwa danych wybierz klaster.
5	Kliknij na zakładkę Ustawienia klastra.
6	Na stronie Ustawienia klastra, w obszarze Harmonogram uaktualnień wybierz godzinę i strefę czasową dla harmonogramu uaktualnień. Uwaga: Pod strefą czasową wyświetlana jest data i godzina następnej dostępnej aktualizacji. W razie potrzeby możesz przełożyć aktualizację na następny dzień, klikając Przełóż o 24 godziny.

Zmień konfigurację węzła

Czasami może być konieczna zmiana konfiguracji węzła Hybrid Data Security z takiego powodu, jak:

Zmiana certyfikatów x.509 z powodu wygaśnięcia lub z innych powodów.

Nie obsługujemy zmiany nazwy domeny CN certyfikatu. Domena musi być zgodna z oryginalną domeną użytą do rejestracji klastra.
Aktualizacja ustawień bazy danych w celu zmiany na replikę bazy danych PostgreSQL lub Microsoft SQL Server.

Nie obsługujemy migracji danych z PostgreSQL do Microsoft SQL Server lub odwrotnie. Aby przełączyć środowisko bazy danych, rozpocznij nowe wdrożenie Hybrid Data Security.
Tworzenie nowej konfiguracji w celu przygotowania nowego centrum danych.

Ponadto ze względów bezpieczeństwa usługa Hybrid Data Security używa haseł do kont usług, które mają dziewięciomiesięczny okres użytkowania. Gdy narzędzie HdS Setup wygeneruje te hasła, należy je wdrożyć w każdym z węzłów HDS w pliku konfiguracyjnym ISO. Gdy hasła Twojej organizacji zbliżają się do wygaśnięcia, otrzymasz powiadomienie od zespołu Webex o zresetowaniu hasła do konta komputera. (Wiadomość e-mail zawiera tekst „Użyj interfejsu API konta komputera, aby zaktualizować hasło”). Jeśli Twoje hasła jeszcze nie wygasły, narzędzie oferuje dwie opcje:

Miękki reset— Stare i nowe hasło działają do 10 dni. Wykorzystaj ten okres, aby stopniowo zastępować plik ISO w węzłach.
Twardy reset— Stare hasła przestają działać natychmiast.

Jeśli hasła wygasną bez resetowania, ma to wpływ na usługę HDS, wymagając natychmiastowego twardego resetu i wymiany pliku ISO na wszystkich węzłach.

Użyj tej procedury, aby wygenerować nowy konfiguracyjny plik ISO i zastosować go do klastra.

Przed rozpoczęciem

Narzędzie HDS Setup działa jako kontener platformy Docker na komputerze lokalnym. Aby uzyskać do niego dostęp, uruchom Docker na tym komputerze. Proces konfiguracji wymaga danych logowania do konta Partner Hub z pełnymi uprawnieniami administratora partnera.

Jeśli nie masz licencji Docker Desktop, możesz użyć Podman Desktop do uruchomienia narzędzia instalacyjnego HDS i wykonania kroków od 1.a do 1.e poniższej procedury. Więcej szczegółów można znaleźć w temacie Uruchom narzędzie instalacyjne HDS za pomocą pulpitu Podman.

Jeśli narzędzie instalacyjne HDS działa w Twoim środowisku za serwerem proxy, podaj ustawienia serwera proxy (serwer, port, dane uwierzytelniające) za pomocą zmiennych środowiskowych Docker podczas uruchamiania kontenera Docker w 1.e. Ta tabela zawiera kilka możliwych zmiennych środowiskowych:

Opis	Zmienna
Serwer proxy HTTP bez uwierzytelniania	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
Serwer proxy HTTPS bez uwierzytelniania	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
Serwer proxy HTTP z uwierzytelnianiem	`GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
Serwer proxy HTTPS z uwierzytelnianiem	`GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

Do wygenerowania nowej konfiguracji potrzebna jest kopia bieżącego konfiguracyjnego pliku ISO. ISO zawiera klucz główny szyfrujący bazę danych PostgreSQL lub Microsoft SQL Server. Plik ISO jest potrzebny podczas wprowadzania zmian w konfiguracji, w tym poświadczeń bazy danych, aktualizacji certyfikatów lub zmian zasad autoryzacji.

1	Korzystając z platformy Docker na komputerze lokalnym, uruchom narzędzie HDS Setup Tool. W wierszu poleceń komputera wprowadź polecenie odpowiednie dla swojego środowiska: W zwykłych środowiskach: `docker rmi ciscocitg/hds-setup:stable` W środowiskach FedRAMP: `docker rmi ciscocitg/hds-setup-fedramp:stable` Ten krok czyści poprzednie obrazy narzędzia konfiguracji HDS. Jeśli nie ma poprzednich obrazów, zwraca błąd, który można zignorować. Aby zalogować się do rejestru obrazów platformy Docker, wprowadź następujące informacje: `docker login -u hdscustomersro` Po wyświetleniu monitu o hasło wprowadź ten skrót: `dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo` Pobierz najnowszy stabilny obraz dla swojego środowiska: W zwykłych środowiskach: `docker pull ciscocitg/hds-setup:stable` W środowiskach FedRAMP: `docker pull ciscocitg/hds-setup-fedramp:stable` Upewnij się, że pobierasz najnowsze narzędzie instalacyjne dla tej procedury. Wersje narzędzia utworzone przed 22 lutego 2018 r. nie mają ekranów resetowania hasła. Po zakończeniu ściągania wprowadź odpowiednie polecenie dla swojego środowiska: W zwykłych środowiskach bez proxy: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable` W zwykłych środowiskach z proxy HTTP: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable` W zwykłych środowiskach z HTTPSproxy: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable` W środowiskach FedRAMP bez proxy: `docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable` W środowiskach FedRAMP z proxy HTTP: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable` W środowiskach FedRAMP z proxy HTTPS: `docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable` Gdy kontener jest uruchomiony, zobaczysz komunikat „Serwer ekspresowy nasłuchuje na porcie 8080”. Użyj przeglądarki, aby połączyć się z hostem lokalnym, `http://127.0.0.1:8080`. Narzędzie instalacyjne nie obsługuje łączenia się z hostem lokalnym przez http://localhost:8080. Użyj http://127.0.0.1:8080 aby połączyć się z localhostem. Gdy zostaniesz o to poproszony, wprowadź dane logowania klienta Partner Hub i kliknij Akceptuję, aby kontynuować. Zaimportuj bieżący konfiguracyjny plik ISO. Postępuj zgodnie z instrukcjami, aby ukończyć narzędzie i pobrać zaktualizowany plik. Aby zamknąć narzędzie instalacyjne, wpisz `CTRL+C`. Utwórz kopię zapasową zaktualizowanego pliku w innym centrum danych.
2	Jeśli masz uruchomiony tylko jeden węzeł HDS, utwórz nową maszynę wirtualną węzła Hybrid Data Security i zarejestruj ją przy użyciu nowego pliku ISO konfiguracji. Aby uzyskać bardziej szczegółowe instrukcje, zobacz Tworzenie i rejestrowanie większej liczby węzłów. Zainstaluj OVA hosta HDS. Skonfiguruj maszynę wirtualną HDS. Zamontuj zaktualizowany plik konfiguracyjny. Zarejestruj nowy węzeł w Partner Hub.
3	W przypadku istniejących węzłów HDS, na których działa starszy plik konfiguracyjny, podłącz plik ISO. Wykonaj następującą procedurę na każdym węźle po kolei, aktualizując każdy węzeł przed wyłączeniem następnego węzła: Wyłącz maszynę wirtualną. W lewym okienku nawigacji klienta VMware vSphere kliknij prawym przyciskiem myszy maszynę wirtualną i kliknij opcję Edytuj ustawienia. Kliknij `CD/DVD Drive 1`, wybierz opcję zamontowania z pliku ISO i przejdź do lokalizacji, do której pobrano nowy plik ISO konfiguracji. Zaznacz Połącz przy włączeniu. Zapisz zmiany i włącz maszynę wirtualną.
4	Powtórz krok 3, aby zastąpić konfigurację na każdym pozostałym węźle, na którym działa stara konfiguracja.

Wyłączanie trybu zablokowanego zewnętrznego rozpoznawania DNS

Podczas rejestrowania węzła lub sprawdzania konfiguracji serwera proxy węzła proces testuje wyszukiwanie DNS i łączność z chmurą Cisco Webex. Jeśli serwer DNS węzła nie może rozpoznać publicznych nazw DNS, węzeł automatycznie przechodzi w tryb zablokowanego zewnętrznego rozpoznawania DNS.

Jeśli węzły są w stanie rozpoznawać publiczne nazwy DNS za pośrednictwem wewnętrznych serwerów DNS, można wyłączyć ten tryb, ponownie uruchamiając test połączenia proxy w każdym węźle.

Przed rozpoczęciem

Upewnij się, że wewnętrzne serwery DNS mogą rozpoznawać publiczne nazwy DNS i że węzły mogą się z nimi komunikować.

1	W przeglądarce sieci Web otwórz interfejs węzła Hybrid Data Security (na przykład adres IP/konfiguracja https://192.0.2.0/setup), wprowadź poświadczenia administratora skonfigurowane dla węzła, a następnie kliknij przycisk Zaloguj.
2	Przejdź do Przegląd (strona domyślna). Gdy ta opcja jest włączona, opcja Zablokowane zewnętrzne rozpoznawanie DNS jest ustawiona na Tak.
3	Przejdź do strony Trust Store & Proxy.
4	Kliknij przycisk Sprawdź połączenie proxy. Jeśli zostanie wyświetlony komunikat informujący, że zewnętrzne rozpoznawanie nazw DNS nie powiodło się, oznacza to, że węzeł nie mógł połączyć się z serwerem DNS i pozostanie w tym trybie. W przeciwnym razie, po ponownym uruchomieniu węzła i powrocie do strony Przegląd, Zablokowane zewnętrzne rozpoznawanie DNS powinno być ustawione na nie.

Co dalej?

Powtórz test połączenia proxy dla każdego węzła w klastrze hybrid Data Security.

Usuń węzeł

Użyj tej procedury, aby usunąć węzeł Hybrid Data Security z chmury Webex. Po usunięciu węzła z klastra usuń maszynę wirtualną, aby uniemożliwić dalszy dostęp do danych zabezpieczeń.

1

Za pomocą klienta VMware vSphere na swoim komputerze zaloguj się do wirtualnego hosta ESXi i wyłącz maszynę wirtualną.

2

Usuń węzeł:

Zaloguj się do Partner Hub, a następnie wybierz Usługi.
Na karcie Hybrid Data Security kliknij opcję Wyświetl wszystko, aby wyświetlić stronę Zasoby Hybrid Data Security.
Wybierz klaster, aby wyświetlić jego panel Przegląd.
Kliknij węzeł, który chcesz usunąć.
Kliknij Wyrejestruj ten węzeł w panelu, który pojawi się po prawej stronie
Możesz również wyrejestrować węzeł, klikając … po prawej stronie węzła i wybierając Usuń ten węzeł.

3

Usuń maszynę wirtualną w kliencie vSphere. (W lewym panelu nawigacyjnym kliknij prawym przyciskiem myszy maszynę wirtualną i kliknij Usuń.)

Jeśli nie usuniesz maszyny wirtualnej, pamiętaj o odmontowaniu pliku ISO konfiguracji. Bez pliku ISO nie można używać maszyny wirtualnej do uzyskiwania dostępu do danych zabezpieczeń.

Odzyskiwanie po awarii przy użyciu Centrum danych w trybie gotowości

Najważniejszą usługą świadczoną przez klaster Hybrid Data Security jest tworzenie i przechowywanie kluczy służących do szyfrowania wiadomości i innej treści przechowywanej w chmurze Webex. Dla każdego użytkownika w organizacji, któremu przypisano rozwiązanie Hybrid Data Security, nowe żądania utworzenia klucza są kierowane do klastra. Klaster odpowiada również za zwracanie utworzonych przez siebie kluczy wszystkim użytkownikom upoważnionym do ich pobierania, np. członkom przestrzeni konwersacyjnej.

Ponieważ klaster pełni kluczową funkcję dostarczania tych kluczy, niezwykle ważne jest, aby klaster działał nieustannie i aby były utrzymywane odpowiednie kopie zapasowe. Utrata bazy danych Hybrid Data Security lub konfiguracji ISO użytej dla schematu spowoduje NIEODWRACALNĄ UTRATĘ zawartości klienta. Aby zapobiec tego typu stratom, konieczne jest podjęcie następujących działań:

Jeśli w wyniku awarii wdrożone w głównym centrum danych centrum HDS stanie się niedostępne, należy wykonać poniższą procedurę, aby ręcznie przełączyć się na zapasowe centrum danych.

Przed rozpoczęciem

Wyrejestruj wszystkie węzły z Partner Hub, jak opisano w Usuwanie węzła. Aby wykonać procedurę przełączania awaryjnego, o której mowa poniżej, należy użyć najnowszego pliku ISO skonfigurowanego dla węzłów klastra, który był wcześniej aktywny.

1	Uruchom narzędzie instalacyjne HDS i wykonaj kroki opisane w Tworzenie obrazu ISO konfiguracji dla hostów HDS.
2	Zakończ proces konfiguracji i zapisz plik ISO w miejscu, które łatwo znajdziesz.
3	Utwórz kopię zapasową pliku ISO na swoim komputerze lokalnym. Zachowaj kopię zapasową w bezpiecznym miejscu. Ten plik zawiera główny klucz szyfrujący zawartość bazy danych. Ogranicz dostęp wyłącznie do tych administratorów Hybrid Data Security, którzy powinni wprowadzać zmiany w konfiguracji.
4	W lewym okienku nawigacji klienta VMware vSphere kliknij prawym przyciskiem myszy maszynę wirtualną i kliknij opcję Edytuj ustawienia.
5	Kliknij Edytuj ustawienia >CD/DVD Napęd 1 i wybierz Plik ISO magazynu danych. Upewnij się, że opcje Połączono i Połącz przy włączaniu są zaznaczone, aby zaktualizowane zmiany konfiguracji mogły zostać zastosowane po uruchomieniu węzłów.
6	Włącz węzeł HDS i upewnij się, że przez co najmniej 15 minut nie będzie żadnych alarmów.
7	Zarejestruj węzeł w centrum partnerskim. Zobacz Zarejestruj pierwszy węzeł w klastrze.
8	Powtórz proces dla każdego węzła w zapasowym centrum danych.

Co zrobić dalej

Po przełączeniu w tryb failover, jeśli główne centrum danych stanie się ponownie aktywne, należy wyrejestrować węzły zapasowego centrum danych i powtórzyć proces konfiguracji ISO oraz rejestracji węzłów głównego centrum danych, jak wspomniano powyżej.

(Opcjonalnie) Odmontuj obraz ISO po konfiguracji HDS

Standardowa konfiguracja HDS działa z zamontowanym ISO. Niektórzy klienci wolą jednak nie pozostawiać plików ISO stale zamontowanych. Możesz odmontować plik ISO po tym, jak wszystkie węzły HDS pobiorą nową konfigurację.

W celu wprowadzenia zmian w konfiguracji nadal należy używać plików ISO. Podczas tworzenia nowego obrazu ISO lub aktualizacji obrazu ISO za pomocą narzędzia Setup Tool należy zamontować zaktualizowany obraz ISO na wszystkich węzłach HDS. Gdy wszystkie węzły przejmą zmiany konfiguracji, możesz ponownie odmontować obraz ISO, stosując się do tej procedury.

Przed rozpoczęciem

Zaktualizuj wszystkie węzły HDS do wersji 2021.01.22.4720 lub nowszej.

1	Wyłącz jeden z węzłów HDS.
2	W urządzeniu vCenter Server Appliance wybierz węzeł HDS.
3	Wybierz Edytuj ustawienia > CD/DVD dysk i odznacz Plik ISO magazynu danych.
4	Włącz węzeł HDS i upewnij się, że przez co najmniej 20 minut nie będzie żadnych alarmów.
5	Powtórz tę czynność dla każdego węzła HDS po kolei.

Rozwiązywanie problemów z bezpieczeństwem danych hybrydowych

Wyświetl alerty i rozwiąż problemy

Wdrożenie hybrydowego zabezpieczenia danych uznaje się za niedostępne, jeśli wszystkie węzły w klastrze są nieosiągalne lub klaster działa tak wolno, że żądania przekraczają limit czasu. Jeśli użytkownicy nie mogą nawiązać połączenia z klastrem Hybrid Data Security, występują u nich następujące objawy:

Nie można tworzyć nowych przestrzeni (nie można tworzyć nowych kluczy)
Wiadomości i tytuły przestrzeni nie są odszyfrowywane dla:
- Nowi użytkownicy dodani do przestrzeni (nie można pobrać kluczy)
- Istniejący użytkownicy w przestrzeni korzystający z nowego klienta (nie można pobrać kluczy)
Istniejący użytkownicy w danej przestrzeni będą mogli nadal działać prawidłowo, o ile ich klienci będą mieli pamięć podręczną kluczy szyfrujących

Ważne jest, aby prawidłowo monitorować klaster Hybrid Data Security i bezzwłocznie reagować na wszelkie alerty, aby uniknąć zakłóceń w świadczeniu usług.

Alerty

Jeśli wystąpi problem z konfiguracją funkcji Hybrid Data Security, Partner Hub wyświetli alerty administratorowi organizacji i wyśle wiadomości e-mail na skonfigurowany adres e-mail. Alerty obejmują wiele typowych scenariuszy.

Tabela 1. Typowe problemy i sposoby ich rozwiązania
Alarm	Czynność
Błąd dostępu do lokalnej bazy danych.	Sprawdź, czy nie występują błędy bazy danych lub problemy z siecią lokalną.
Błąd połączenia z lokalną bazą danych.	Sprawdź, czy serwer bazy danych jest dostępny i czy w konfiguracji węzła użyto prawidłowych danych uwierzytelniających konta usługi.
Brak dostępu do usługi w chmurze.	Sprawdź, czy węzły mogą uzyskać dostęp do serwerów Webex, jak określono w Wymagania dotyczące łączności zewnętrznej.
Odnowienie rejestracji usługi w chmurze.	Rejestracja w usługach w chmurze została anulowana. Trwa odnawianie rejestracji.
Rejestracja usług w chmurze spadła.	Rejestracja w usługach w chmurze została zakończona. Usługa jest wyłączana.
Usługa nie została jeszcze aktywowana.	Aktywuj HDS w Partner Hub.
Skonfigurowana domena nie pasuje do certyfikatu serwera.	Upewnij się, że certyfikat serwera jest zgodny ze skonfigurowaną domeną aktywacji usługi. Najbardziej prawdopodobną przyczyną jest niedawna zmiana nazwy certyfikatu, która teraz różni się od nazwy użytej podczas początkowej konfiguracji.
Nie udało się uwierzytelnić w usługach w chmurze.	Sprawdź poprawność i ewentualną datę wygaśnięcia danych logowania do konta usługi.
Nie udało się otworzyć pliku lokalnego magazynu kluczy.	Sprawdź integralność i poprawność hasła w lokalnym pliku kluczy.
Certyfikat serwera lokalnego jest nieprawidłowy.	Sprawdź datę ważności certyfikatu serwera i upewnij się, że został on wydany przez zaufany Urząd Certyfikacji.
Nie można opublikować danych metrycznych.	Sprawdź dostęp do zewnętrznych usług w chmurze za pośrednictwem sieci lokalnej.
/media/configdrive/hds katalog nie istnieje.	Sprawdź konfigurację montowania ISO na hoście wirtualnym. Sprawdź, czy plik ISO istnieje, czy jest skonfigurowany do montowania po ponownym uruchomieniu i czy montowanie odbywa się pomyślnie.
Konfiguracja organizacji dzierżawcy nie została ukończona dla dodanych organizacji	Zakończ konfigurację, tworząc klucze CMK dla nowo dodanych organizacji dzierżawców przy użyciu narzędzia HDS Setup Tool.
Konfiguracja organizacji dzierżawcy nie została ukończona dla usuniętych organizacji	Zakończ konfigurację, cofając klucze CMK organizacji dzierżawców, które zostały usunięte za pomocą narzędzia HDS Setup Tool.

Rozwiązywanie problemów z bezpieczeństwem danych hybrydowych

Podczas rozwiązywania problemów z Hybrid Data Security należy stosować się do poniższych ogólnych wytycznych.

1	Sprawdź Partner Hub pod kątem alertów i popraw wszystkie znalezione tam problemy. Aby uzyskać odniesienie, zobacz poniższy obraz.
2	Przejrzyj dane wyjściowe serwera syslog dotyczące aktywności wdrożenia Hybrid Data Security. Użyj filtra dla słów takich jak „Ostrzeżenie” i „Błąd”, aby ułatwić rozwiązywanie problemów.
3	Skontaktuj się z pomocą techniczną Cisco.

Inne notatki

Znane problemy dotyczące bezpieczeństwa danych hybrydowych

Jeśli zamkniesz klaster Hybrid Data Security (usuwając go w Partner Hub lub zamykając wszystkie węzły), utracisz plik ISO konfiguracji lub utracisz dostęp do bazy danych magazynu kluczy, użytkownicy aplikacji Webex App z organizacji klienckich nie będą już mogli korzystać z przestrzeni na swojej liście osób, które zostały utworzone przy użyciu kluczy z Twojego KMS. Na chwilę obecną nie mamy obejścia ani rozwiązania tego problemu. Apelujemy, aby nie wyłączać usług HDS, gdy obsługują one aktywne konta użytkowników.
Klient, który ma istniejące połączenie ECDH z systemem KMS, utrzymuje to połączenie przez określony czas (prawdopodobnie jedną godzinę).

Uruchom narzędzie instalacyjne HDS za pomocą pulpitu Podman

Podman to bezpłatne i otwarte narzędzie do zarządzania kontenerami, które umożliwia uruchamianie, zarządzanie i tworzenie kontenerów. Aplikację Podman Desktop można pobrać ze strony https://podman-desktop.io/downloads.

Narzędzie HDS Setup działa jako kontener platformy Docker na komputerze lokalnym. Aby uzyskać do niego dostęp, należy pobrać i uruchomić Podman na tym komputerze. Proces konfiguracji wymaga poświadczeń konta Control Hub z pełnymi uprawnieniami administratora w organizacji.

Jeśli narzędzie instalacyjne HDS działa w Twoim środowisku za serwerem proxy, podaj ustawienia serwera proxy (serwer, port, dane uwierzytelniające) za pomocą zmiennych środowiskowych Docker podczas uruchamiania kontenera Docker w kroku 5. Ta tabela zawiera kilka możliwych zmiennych środowiskowych:

Opis	Zmienna
Serwer proxy HTTP bez uwierzytelniania	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
Serwer proxy HTTPS bez uwierzytelniania	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
Serwer proxy HTTP z uwierzytelnianiem	`GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
Serwer proxy HTTPS z uwierzytelnianiem	`GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

Wygenerowany plik ISO konfiguracji zawiera klucz główny szyfrujący bazę danych PostgreSQL lub Microsoft SQL Server. Musisz posiadać najnowszą kopię tego pliku za każdym razem, gdy wprowadzasz zmiany w konfiguracji, takie jak te:
- Dane uwierzytelniające bazy danych
- Aktualizacje certyfikatów
- Zmiany w polityce autoryzacji
Jeśli planujesz szyfrować połączenia z bazą danych, skonfiguruj wdrożenie PostgreSQL lub SQL Server pod kątem protokołu TLS.

Proces instalacji Hybrid Data Security powoduje utworzenie pliku ISO. Następnie należy użyć pliku ISO do skonfigurowania hosta Hybrid Data Security.

podman rmi ciscocitg/hds-setup:stable  
podman login docker.io -u hdscustomersro
dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
podman pull ciscocitg/hds-setup:stable
podman run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

Co zrobić dalej

Wykonaj pozostałe kroki w Utwórz konfigurację ISO dla hostów HDS lub Zmień konfigurację węzła, aby utworzyć lub zmienić konfigurację ISO.

Przenoszenie istniejącego wdrożenia HDS dla pojedynczego dzierżawcy organizacji partnerskiej w Control Hub do konfiguracji HDS dla wielu dzierżawców w Partner Hub

Konwersja istniejącej usługi HDS dla jednego dzierżawcy organizacji partnerskiej zarządzanej w Control Hub do usługi HDS dla wielu dzierżawców zarządzanej w Partner Hub obejmuje przede wszystkim dezaktywację usługi HDS w Control Hub, wyrejestrowanie węzłów i usunięcie klastra. Następnie możesz zalogować się do Partner Hub, zarejestrować węzły, aktywować usługę Multi-Tenant HDS i dodać klientów do klastra.

Termin „pojedynczy najemca” odnosi się po prostu do istniejącego wdrożenia HDS w Control Hub.

Dezaktywuj HDS, wyrejestruj węzły i usuń klaster w Control Hub

1	Zaloguj się do Control Hub. W lewym panelu kliknij Hybrydowy. Na karcie Hybrid Data Security kliknij Edytuj ustawienia.
2	Na stronie ustawień przewiń w dół do sekcji Dezaktywuj i kliknij Dezaktywuj.
3	Po dezaktywacji kliknij na zakładkę Zasoby.
4	Na stronie Zasoby wyświetlana jest lista klastrów wdrożonych w systemie HDS. Kliknij klaster, a otworzy się strona ze wszystkimi węzłami w tym klastrze.
5	Kliknij ... po prawej stronie i kliknij Wyrejestruj węzeł. Powtórz proces dla wszystkich węzłów w klastrze.
6	Jeśli wdrożenie obejmuje wiele klastrów, powtarzaj kroki 4 i 5, aż wszystkie węzły zostaną wyrejestrowane.
7	Kliknij Ustawienia klastra > Usunąć.
8	Kliknij Potwierdź usunięcie, aby wyrejestrować klaster.
9	Powtórz ten proces dla wszystkich klastrów w ramach wdrożenia HDS. Po dezaktywacji HDS, wyrejestrowaniu węzłów i usunięciu klastrów na karcie Hybrid Data Service w Control Hub na dole będzie wyświetlany komunikat Instalacja nie została ukończona.

Aktywuj usługę Multi-Tenant HDS dla organizacji partnerskiej w Partner Hub i dodaj klientów

Przed rozpoczęciem

Wszystkie wymagania wstępne wymienione w Wymagania dotyczące bezpieczeństwa danych hybrydowych dla wielu najemców mają tutaj zastosowanie. Ponadto należy się upewnić, że podczas migracji do Multi-Tenant HDS używana jest ta sama baza danych i certyfikaty.

1	Zaloguj się do Partner Hub. Kliknij Usługi w lewym panelu. Do skonfigurowania węzłów użyj tego samego obrazu ISO, którego użyłeś w poprzednim wdrożeniu HDS. Dzięki temu wiadomości i treści generowane przez użytkowników w ramach poprzedniego wdrożenia HDS będą nadal dostępne w nowej konfiguracji Multi-Tenant.
2	W sekcji Usługi w chmurze znajdź kartę Hybrid Data Security i kliknij Skonfiguruj.
3	Na stronie, która się otworzy, kliknij Dodaj zasób.
4	W pierwszym polu karty Dodaj węzeł wprowadź nazwę klastra, do którego chcesz przypisać węzeł Hybrid Data Security. Zalecamy nadanie klastrowi nazwy uwzględniającej rozmieszczenie geograficzne węzłów klastra. Przykłady: „San Francisco” lub „Nowy Jork” lub „Dallas”
5	W drugim polu wprowadź wewnętrzny adres IP lub w pełni kwalifikowaną nazwę domeny (FQDN) swojego węzła i kliknij Dodaj u dołu ekranu. Ten adres IP lub nazwa FQDN powinna odpowiadać adresowi IP lub nazwie hosta i domenie użytej w Skonfiguruj maszynę wirtualną Hybrid Data Security. Pojawi się komunikat informujący, że możesz zarejestrować swój węzeł w Webex.
6	Kliknij Przejdź do węzła. Po chwili zostaniesz przekierowany do testów łączności węzłów dla usług Webex. Jeśli wszystkie testy zakończą się pomyślnie, zostanie wyświetlona strona Zezwalaj na dostęp do węzła Hybrid Data Security. Tutaj potwierdzasz, że chcesz przyznać swojej organizacji Webex uprawnienia dostępu do swojego węzła.
7	Zaznacz pole wyboru Zezwalaj na dostęp do węzła zabezpieczeń danych hybrydowych, a następnie kliknij przycisk Kontynuuj. Twoje konto zostało zweryfikowane, a komunikat „Rejestracja ukończona” oznacza, że Twój węzeł jest teraz zarejestrowany w chmurze Webex. Na stronie Hybrid Data Security nowy klaster zawierający zarejestrowany węzeł jest wyświetlany na karcie Resources. Węzeł automatycznie pobierze najnowsze oprogramowanie z chmury.
8	Przejdź do zakładki Ustawienia i kliknij Aktywuj na karcie Stan HDS. Na dole ekranu pojawi się komunikatAktywowano HDS.
9	W Zasobykliknij nowo utworzony klaster.
10	Na stronie, która się otworzy, kliknij zakładkę Przypisani klienci.
11	Kliknij Dodaj klientów.
12	Z menu rozwijanego wybierz klienta, którego chcesz dodać.
13	Kliknij Dodaj, a klient zostanie dodany do klastra.
14	Aby dodać wielu klientów do klastra, powtórz kroki od 11 do 13.
15	Po dodaniu klientów kliknij przycisk Gotowe u dołu ekranu.

Co zrobić dalej

Uruchom narzędzie instalacyjne HDS zgodnie ze szczegółowym opisem w sekcji Tworzenie głównych kluczy klienta (CMK) za pomocą narzędzia instalacyjnego HDS, aby dokończyć proces instalacji.

Użyj OpenSSL do wygenerowania pliku PKCS12

Przed rozpoczęciem

OpenSSL to jedno z narzędzi, które można wykorzystać do nadania plikowi PKCS12 właściwego formatu w celu załadowania go do narzędzia HDS Setup Tool. Istnieją inne sposoby, aby to zrobić, nie popieramy ani nie promujemy żadnego z nich kosztem innych.
Jeśli zdecydujesz się na użycie OpenSSL, przedstawiamy tę procedurę jako wytyczne, które pomogą Ci utworzyć plik spełniający wymagania certyfikatu X.509 w Wymagania dotyczące certyfikatu X.509. Zanim przejdziesz dalej, zapoznaj się z tymi wymaganiami.
Zainstaluj OpenSSL w obsługiwanym środowisku. Oprogramowanie i dokumentację można znaleźć w https://www.openssl.org.
Utwórz klucz prywatny.
Rozpocznij tę procedurę po otrzymaniu certyfikatu serwera od Urzędu Certyfikacji (CA).

1	Po otrzymaniu certyfikatu serwera od urzędu certyfikacji zapisz go jako `hdsnode.pem`.
2	Wyświetl certyfikat jako tekst i sprawdź szczegóły. `openssl x509 -text -noout -in hdsnode.pem`
3	Użyj edytora tekstu, aby utworzyć plik pakietu certyfikatów o nazwie `hdsnode-bundle.pem`. Plik pakietu musi zawierać certyfikat serwera, wszelkie pośrednie certyfikaty urzędów certyfikacji oraz certyfikaty głównego urzędu certyfikacji w poniższym formacie: `-----BEGIN CERTIFICATE----- ### Server certificate. ### -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ### Intermediate CA certificate. ### -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ### Root CA certificate. ### -----END CERTIFICATE-----`
4	Utwórz plik .p12 z przyjazną nazwą `kms-private-key`. `openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12`
5	Sprawdź szczegóły certyfikatu serwera. `openssl pkcs12 -in hdsnode.p12` Wprowadź hasło w wierszu poleceń, aby zaszyfrować klucz prywatny. Zostanie on wyświetlony w wynikach. Następnie sprawdź, czy klucz prywatny i pierwszy certyfikat zawierają wiersze `friendlyName: kms-private-key`. Przykład: bash$ openssl pkcs12 -in hdsnode.p12 Enter Import Password: MAC verified OK Bag Attributes friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Key Attributes: Enter PEM pass phrase: Verifying - Enter PEM pass phrase: -----BEGIN ENCRYPTED PRIVATE KEY----- -----END ENCRYPTED PRIVATE KEY----- Bag Attributes friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 -----BEGIN CERTIFICATE----- -----END CERTIFICATE----- Bag Attributes friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3 -----BEGIN CERTIFICATE----- -----END CERTIFICATE-----

Co zrobić dalej

Powrót do Ukończ wymagania wstępne dotyczące hybrydowego bezpieczeństwa danych. Użyjesz pliku hdsnode.p12 i hasła ustawionego dla niego w Utwórz obraz ISO konfiguracji dla hostów HDS.

Możesz ponownie wykorzystać te pliki, aby poprosić o nowy certyfikat, gdy oryginalny certyfikat wygaśnie.

Ruch pomiędzy węzłami HDS a chmurą

Ruch kolekcji metryk wychodzących

Węzły Hybrid Data Security wysyłają określone metryki do chmury Webex. Należą do nich metryki systemowe dotyczące maksymalnej wielkości sterty, wykorzystanej sterty, obciążenia procesora i liczby wątków; metryki wątków synchronicznych i asynchronicznych; metryki alertów dotyczących progu połączeń szyfrowanych, opóźnień lub długości kolejki żądań; metryki magazynu danych; i metryki połączeń szyfrowanych. Węzły wysyłają zaszyfrowany klucz przez kanał poza pasmem (oddzielny od żądania).

Ruch przychodzący

Węzły Hybrid Data Security odbierają następujące typy ruchu przychodzącego z chmury Webex:

Żądania szyfrowania od klientów, które są kierowane przez usługę szyfrowania
Uaktualnienia oprogramowania węzła

Konfigurowanie serwerów proxy Squid w celu zapewnienia hybrydowego bezpieczeństwa danych

Websocket nie może połączyć się przez Squid Proxy

Serwery proxy Squid, które sprawdzają ruch HTTPS, mogą zakłócać nawiązywanie połączeń websocket (wss:), których wymaga Hybrid Data Security. W poniższych sekcjach znajdziesz wskazówki dotyczące konfigurowania różnych wersji programu Squid w celu ignorowania ruchu wss: w celu zapewnienia prawidłowego działania usług.

Kalmary 4 i 5

Dodaj dyrektywę on_unsupported_protocol do squid.conf:

on_unsupported_protocol tunnel all

Kalmary 3.5.27

Pomyślnie przetestowaliśmy hybrydowe zabezpieczenia danych po dodaniu następujących reguł do squid.conf. Zasady te mogą ulec zmianie w miarę opracowywania funkcji i aktualizowania chmury Webex.

acl wssMercuryConnection ssl::server_name_regex mercury-connection

ssl_bump splice wssMercuryConnection

acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all

Dziękujemy za opinię.

Przewodnik wdrażania dla wielodostępnego hybrydowego zabezpieczenia danych (HDS) (wersja beta)

Nowe i zmienione informacje

Nowe i zmienione informacje

Dezaktywuj hybrydowe zabezpieczenia danych dla wielu dzierżaw

Przepływ zadań dezaktywacji trybu HDS dla wielu dzierżawców

Wprowadzenie do hybrydowego zabezpieczenia danych dla wielu dzierżaw

Omówienie hybrydowego zabezpieczenia danych dla wielu dzierżaw

Jak hybrydowe zabezpieczenia danych dla wielu dzierżawców zapewnia suwerenność danych i kontrolę danych

Ograniczenia hybrydowego zabezpieczenia danych dla wielu dzierżaw

Role w usłudze hybrydowego zabezpieczenia danych dla wielu dzierżaw

Architektura Security Realm

Współpraca z innymi organizacjami

Oczekiwania dotyczące wdrożenia hybrydowego zabezpieczenia danych

Proces konfiguracji wysokiego poziomu

Model wdrażania hybrydowego zabezpieczenia danych

Centrum danych w trybie gotowości do odzyskiwania po awarii

Obsługa serwera proxy

Przykład hybrydowych węzłów zabezpieczeń danych i serwera proxy

Zablokowany tryb zewnętrznego rozpoznawania DNS (jawne konfiguracje serwera proxy)

Przygotuj środowisko

Wymagania dotyczące hybrydowego zabezpieczenia danych dla wielu dzierżaw

Wymagania licencyjne usługi Cisco Webex

Wymagania pulpitu Docker

Wymagania certyfikatu X.509

Wymagania dotyczące hosta wirtualnego

Wymagania serwera bazy danych

Dodatkowe wymagania dotyczące uwierzytelniania w systemie Windows przy użyciu programu Microsoft SQL Server

Wymagania dotyczące łączności zewnętrznej

Wymagania dotyczące serwera proxy

Spełnij wymagania wstępne dotyczące usługi hybrydowego zabezpieczenia danych

Nowe i zmienione informacje

Nowe i zmienione informacje

Dezaktywuj hybrydowe zabezpieczenia danych dla wielu dzierżaw

Przepływ zadań dezaktywacji trybu HDS dla wielu dzierżawców

Wprowadzenie do hybrydowego zabezpieczenia danych dla wielu dzierżaw

Omówienie hybrydowego zabezpieczenia danych dla wielu dzierżaw

Jak hybrydowe zabezpieczenia danych dla wielu dzierżawców zapewnia suwerenność danych i kontrolę danych

Role w hybrydowym zabezpieczeniu danych dla wielu dzierżawców

Architektura Security Realm

Współpraca z innymi organizacjami

Oczekiwania dotyczące wdrożenia hybrydowego zabezpieczenia danych

Proces konfiguracji wysokiego poziomu

Model wdrażania hybrydowego zabezpieczenia danych

Centrum danych w trybie gotowości do odzyskiwania po awarii

Obsługa serwera proxy

Przykład hybrydowych węzłów zabezpieczeń danych i serwera proxy

Zablokowany tryb zewnętrznego rozpoznawania DNS (jawne konfiguracje serwera proxy)

Przygotuj środowisko

Wymagania dotyczące hybrydowego zabezpieczenia danych dla wielu dzierżaw

Wymagania licencyjne usługi Cisco Webex

Wymagania pulpitu Docker

Wymagania certyfikatu X.509

Wymagania dotyczące hosta wirtualnego

Wymagania serwera bazy danych

Dodatkowe wymagania dotyczące uwierzytelniania w systemie Windows przy użyciu programu Microsoft SQL Server

Wymagania dotyczące łączności zewnętrznej

Wymagania dotyczące serwera proxy

Spełnij wymagania wstępne dotyczące usługi hybrydowego zabezpieczenia danych

Skonfiguruj klaster usługi hybrydowego zabezpieczenia danych

Przepływ zadań wdrażania hybrydowego zabezpieczenia danych

Wykonywanie pierwszej konfiguracji i pobieranie plików instalacyjnych

Tworzenie certyfikatu ISO konfiguracji dla hostów trybu HDS

Zainstaluj OVA hosta HDS

Skonfiguruj VM usługi hybrydowego zabezpieczenia danych

Przesyłanie i montaż obrazu ISO w trybie HDS

Konfigurowanie węzła HDS do integracji z serwerem proxy

Zarejestruj pierwszy węzeł w klastrze

Utwórz i zarejestruj więcej węzłów

Zarządzanie organizacjami dzierżaw w usłudze hybrydowego zabezpieczenia danych dla wielu dzierżaw

Aktywuj usługę HDS dla wielu dzierżaw w Partner Hub

Dodaj organizacje dzierżawców w Partner Hub

Tworzenie kluczy głównych klientów (CMK) za pomocą narzędzia konfiguracji HDS

Usuń organizacje dzierżaw

Unieważnij CMK dzierżaw usuniętych z HDS.

Przetestuj swoje wdrożenie usługi hybrydowego zabezpieczenia danych

Przetestuj swoje wdrożenie usługi hybrydowego zabezpieczenia danych

Monitoruj stan hybrydowego zabezpieczenia danych

Zarządzaj wdrożeniem urządzeń HDS

Zarządzaj wdrożeniem usług HDS