Иногда может потребоваться изменить конфигурацию узла безопасности данных гибридного типа по одной из причин:

  • Внесение изменений в учетную запись компьютера

  • Изменение сертификатов x.509 по истечении срока действия или по другим причинам.


     

    Изменение доменного имени CN сертификата не поддерживается. Домен должен совпадать с исходным доменом, использованным для регистрации кластера.

  • Обновление настроек базы данных для работы с копией базы данных PostgreSQL или Microsoft SQL Server.


     

    Перенос данных с PostgreSQL на Microsoft SQL Server или в обратном направлении не поддерживается. Чтобы переключить среду базы данных, начните новое развертывание службы безопасности данных гибридного типа.

  • Создание новой конфигурации для подготовки нового центра обработки данных.

Из соображений безопасности для учетных записей в службе безопасности данных гибридного типа используются пароли со сроком действия 9 месяцев. После того как инструмент настройки HDS создаст эти пароли, вам нужно будет развернуть их в каждом из своих узлов HDS в файле конфигурации ISO. При приближении даты окончания срока действия пароля команда Webex пришлет вам уведомление с запросом на сброс пароля учетной записи компьютера. (В сообщении электронной почты будет текст "Использование API учетной записи компьютера для обновления пароля".) Если срок действия паролей еще не истек, средство предоставляет два варианта.

  • Мягкий сброс. Старые и новые пароли работают в течение не более 10 дней. Используйте этот период для постепенной замены файла ISO на узлах.

  • Жесткий сброс. Старые пароли перестанут работать немедленно.

Если срок действия ваших паролей истекает без сброса, это влияет на работу вашей службы HDS. В этом случае требуется немедленный жесткий сброс и замена файла ISO на всех узлах.

Используйте эту процедуру, чтобы создать новый файл конфигурации ISO и применить его к кластеру.

Перед началом работы

  • Инструмент настройки HDS работает как контейнер Docker на локальной машине. Чтобы получить доступ, запустите Docker на этом компьютере. Для процесса настройки требуются учетные данные учетной записи Control Hub с полными правами администратора вашей организации.

    Если инструмент настройки HDS работает в вашей среде под прокси-сервером, при загрузке контейнера Docker указывайте параметры прокси (сервер, порт, учетные данные) с помощью переменных среды Docker. В этой таблице указаны некоторые из возможных переменных среды.


     
    Репозиторий докеров, который мы используем для инструмента настройки HDS, изменен на ciscocitg в декабре 2022 г. (с ciscosparkhds ранее

    Описание

    Переменная

    HTTP-прокси без аутентификации

    GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT

    HTTPS-прокси без аутентификации

    GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT

    HTTP-прокси с аутентификацией

    GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

    HTTPS-прокси с аутентификацией

    GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT

  • Для создания новой конфигурации потребуется копия текущего файла конфигурации ISO. Файл ISO содержит главный ключ шифрования базы данных PostgreSQL или Microsoft SQL Server. Файл ISO необходим для изменения конфигурации, в том числе учетных данных базы данных, обновления сертификатов или изменения политики авторизации.

1.

Запустите инструмент настройки HDS, используя Docker на локальной машине.

  1. Введите соответствующую команду для вашей среды в командной строке компьютера.

    В обычных средах:

    docker rmi ciscocitg/hds-setup:stable

    В средах FedRAMP:

    docker rmi ciscocitg/hds-setup-fedramp:stable

    На этом этапе очищаются предыдущие образы инструмента настройки HDS. Если предыдущих образов нет, отображается ошибка, которую можно проигнорировать.

  2. Чтобы войти в реестр образов Docker, введите следующее.

    docker login -u hdscustomersro

  3. Введите в запросе пароля этот хеш:

    dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

  4. Скачайте последнюю стабильную версию образа для вашей среды.

    В обычных средах:

    docker pull ciscocitg/hds-setup:stable

    В средах FedRAMP:

    docker pull ciscocitg/hds-setup-fedramp:stable

     

    Обязательно скачайте для этой процедуры последнюю версию инструмента настройки. В версиях инструмента, созданных до 22 февраля 2018 г., нет экранов сброса пароля.

  5. По завершении скачивания введите соответствующую команду для вашей среды.

    • В обычных средах без прокси:

      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

    • В обычных средах с HTTP-прокси:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • В обычных средах с HTTPS-прокси:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

    • В средах FedRAMP без прокси:

      docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

    • В средах FedRAMP с HTTP-прокси:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    • В средах FedRAMP с HTTPS-прокси:

      docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

    Когда контейнер запущен, отображается текст "Сервер Express прослушивает порт 8080".

  6. Используйте браузер для подключения к localhost, . http://127.0.0.1:8080.


     

    Инструмент настройки не поддерживает подключение к локальному узлу через http://localhost:8080. Используйте http://127.0.0.1:8080 для подключения к локальному узлу.

  7. При отображении соответствующего запроса введите учетные данные для входа клиента Control Hub и затем щелкните Принять для продолжения.

  8. Импортируйте текущий файл конфигурации ISO.

  9. Следуйте подсказкам, чтобы завершить работу с инструментом и скачать обновленный файл.

    Чтобы выключить инструмент настройки, введите CTRL+C.

  10. Создайте резервную копию обновленного файла в другом центре обработки данных.

2.

Если у вас запущен только один узел HDS, создайте новую виртуальную машину узла безопасности данных гибридного типа и зарегистрируйте ее с помощью нового файла конфигурации ISO. Более подробные инструкции см. в разделе "Создание и регистрация дополнительных узлов" в руководстве по развертыванию.

  1. Установите OVA узла HDS.

  2. Настройте виртуальную машину HDS.

  3. Подключите обновленный файл конфигурации.

  4. Зарегистрируйте новый узел в Control Hub.

3.

Для существующих узлов HDS, в которых используется старый файл конфигурации, необходимо установить файл ISO. Выполните следующую процедуру для каждого узла по очереди, обновив каждый узел до выключения следующего узла.

  1. Выключите виртуальную машину.

  2. На левой панели навигации клиента VMware vSphere щелкните виртуальную машину правой кнопкой и щелкните Редактировать параметры.

  3. Щелкните кнопку CD/DVD Drive 1 Щелкните Дисковод компакт-дисков и DVD-дисков 1, выберите параметр подключения из файла ISO и найдите расположение, куда вы скачали новый файл конфигурации ISO.

  4. Установите флажок Соединять при включении.

  5. Сохраните изменения и включите виртуальную машину.

4.

Повторите шаг 3, чтобы заменить конфигурацию на каждом оставшемся узле со старой конфигурацией.