Ocasionalmente, você pode precisar alterar a configuração do nó de Segurança de dados híbridos por uma razão como:

  • Atualizações de conta de máquina

  • Alteração de certificado x.509 devido à expiração ou outras razões.

    Não suportamos alterar o nome de domínio CN de um certificado. O domínio deve corresponder ao domínio original usado para registrar o grupo.

  • Atualizando as configurações do banco de dados para alterar para uma replica do banco de dados Do PostgreSQL ou do Microsoft SQL Server.

    Não suportamos migrar dados do PostgreSQL para o Microsoft SQL Server ou da maneira oposta. Para alternar o ambiente do banco de dados, inicie uma nova implantação de Segurança de dados híbridos.

  • Criando uma nova configuração para preparar um novo centro de dados.

Além disso, por questões de segurança, a Segurança de dados híbridos usa senhas da conta de serviço com uma vida de nove meses. Após a ferramenta de configuração do HDS gerar essas senhas, você as implanta em cada um dos nós do HDS no arquivo de configuração ISO. Quando as senhas da sua organização estão quase expirando, você recebe um aviso da equipe Webex para redefinir a senha da sua conta de máquina. (O e-mail inclui o texto, "Usar o API da conta de máquina para atualizar a senha.") Se suas senhas ainda não expiraram, a ferramenta lhe dá duas opções:

  • Redefinição suave —As senhas antigas e novas funcionam por até 10 dias. Use este período para substituir o arquivo ISO nos nós gradualmente.

  • Redefinição forçada —As senhas antigas param de funcionar imediatamente.

Se suas senhas expirarem sem uma redefinição, isso impacta o seu serviço HDS, exigindo uma redefinição imediata e substituição do arquivo ISO em todos os nós.

Use este procedimento para gerar um novo arquivo ISO de configuração e aplicá-lo ao seu grupo.

Antes de começar

  • A ferramenta de configuração HDS é executada como um contentor do Docker em uma máquina local. Para acessá-la, execute o Docker nessa máquina. O processo de configuração requer as credenciais de uma conta do Control Hub com direitos de administrador total para a sua organização.

    Se a ferramenta de configuração HDS estiver executando atrás de um proxy no seu ambiente, forneça as configurações proxy (servidor, porta, credenciais) através das variáveis de ambiente Docker ao trazer o contêiner Docker. Esta tabela fornece algumas variáveis de ambiente possíveis:

    O repositório do docker que usamos para a ferramenta de Configuração HDS foi alterado para ciscocitg em dezembro de 2022 ( de ciscosparkhds anteriormente)

    Descrição

    Variável

    Proxy HTTP sem autenticação

    GLOBAL _ AGENT _ HTTP _ PROXY=http://SERVER _ IP:PORT

    Proxy HTTPS sem autenticação

    GLOBAL _ AGENT _ HTTPS _ PROXY=http://SERVER _ IP:PORTA

    Proxy HTTP com autenticação

    GLOBAL _ AGENT _ HTTP _ PROXY=http://NOME DE USUÁRIO:PASSWORD@SERVER _ IP:PORT

    Proxy HTTPS com autenticação

    GLOBAL _ AGENT _ HTTPS _ PROXY=http://NOME DE USUÁRIO:PASSWORD@SERVER _ IP:PORTA

  • Você precisa de uma cópia do arquivo ISO de configuração atual para gerar uma nova configuração. A ISO contém a chave mestra que criptografa o banco de dados PostgreSQL ou Microsoft SQL Server. Você precisa do ISO quando você fizer alterações de configuração, incluindo credenciais do banco de dados, atualizações de certificados ou alterações na política de autorização.

1

Usando o Docker em uma máquina local, execute a Ferramenta de Configuração HDS.

  1. Na linha de comando da sua máquina, insira o comando apropriado para o seu ambiente:

    Em ambientes regulares:

    docker rmi ciscocitg/hds-setup:stable

    Em ambientes FedRAMP:

    docker rmi ciscocitg/hds-setup-fedramp: estável

    Esta etapa limpa as imagens da ferramenta de configuração HDS anterior. Se não houver imagens anteriores, retornará um erro que você pode ignorar.

  2. Para se inscrever no registro de imagem do Docker, insira o seguinte:

    docker login -u hdscustomersro

  3. No prompt de senha, digite este hash:

    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

  4. Baixe a imagem estável mais recente para o seu ambiente:

    Em ambientes regulares:

    docker pull ciscocitg/hds-setup: estável

    Em ambientes FedRAMP:

    docker pull ciscocitg/hds-setup-fedramp: estável

    Certifique-se de efetuar o pull da última ferramenta de Configuração para este procedimento. As versões da ferramenta criada antes de 22 de fevereiro de 2018 não possuem as telas de redefinição de senha.

  5. Quando o pull for concluído, insira o comando apropriado para o seu ambiente:

    • Em ambientes regulares sem um proxy:

      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

    • Em ambientes regulares com um proxy HTTP:

       docker run -p 8080:8080 --rm -it -e GLOBAL _ AGENT _ HTTP _ PROXY=http://SERVER _ IP:PORT ciscocitg/hds-setup:stable

    • Em ambientes regulares com um proxy HTTPS:

       docker run -p 8080:8080 --rm -it -e GLOBAL _ AGENT _ HTTPS _ PROXY=http://SERVER _ IP:PORT ciscocitg/hds-setup:stable

    • Em ambientes FedRAMP sem um proxy:

      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

    • Em ambientes FedRAMP com um proxy HTTP:

       docker run -p 8080:8080 --rm -it -e GLOBAL _ AGENT _ HTTP _ PROXY=http://SERVER _ IP:PORT ciscocitg/hds-setup-fedramp:stable

    • Em ambientes FedRAMP com um proxy HTTPS:

       docker run -p 8080:8080 --rm -it -e GLOBAL _ AGENT _ HTTPS _ PROXY=http://SERVER _ IP:PORT ciscocitg/hds-setup-fedramp:stable

    Quando o recipiente está em execução, você vê "Servidor Express escuta na porta 8080".

  6. Use um navegador para se conectar ao anfitrião local, http://127.0.0.1:8080.

    A ferramenta de configuração não suporta a conexão com o localhost por meio do http://localhost:8080 . Use http://127.0.0.1:8080 para se conectar ao host local.

  7. Quando solicitado, insira as credenciais de início de sessão do cliente do Control Hub e clique em Aceitar para continuar.

  8. Importe o arquivo ISO de configuração atual.

  9. Siga as solicitações para completar a ferramenta e baixar o arquivo atualizado.

    Para encerrar a ferramenta de Configuração, digite CTRL+C.

  10. Crie uma cópia de backup do arquivo atualizado em outro centro de dados.

2

Se você tiver apenas um nó HDS em execução , crie um novo nó VM de segurança de dados híbridos e registre-o usando o novo arquivo ISO de configuração. Para obter instruções mais detalhadas, consulte Criar e registrar mais nós no guia de implantação.

  1. Instale o OVA do host HDS.

  2. Configure a VM do HDS.

  3. Monte o arquivo de configuração atualizado.

  4. Registre o novo nó no Control Hub.

3

Para nós HDS existentes que estão executando o arquivo de configuração mais antigo, monte o arquivo ISO. Execute o seguinte procedimento em cada nó por vez, atualizando cada nó antes de desativar o próximo nó:

  1. Desligue a máquina virtual.

  2. No painel de navegação esquerdo do cliente VMware vSphere, clique com o botão direito do mouse na VM e, em seguida, clique em Editar configurações.

  3. Clique em Unidade de CD/DVD 1, selecione a opção para montar de um arquivo ISO e navegue até o local onde você baixou o novo arquivo ISO de configuração.

  4. Marque Conectar ao ligar.

  5. Salve suas alterações e ligue a máquina virtual.

4

Repita a etapa 3 para substituir a configuração em cada nó restante que está executando a configuração antiga.