Скачивание файлов установки

Создание ISO конфигурации для узлов HDS

Установка OVA узла HDS

Создайте виртуальную машину из файла OVA и выполните начальную конфигурацию, например сетевые настройки.

Параметр настройки сетевых настроек во время развертывания OVA протестирован в ESXi 6.5. Этот параметр может быть недоступен в более ранних версиях.

Настройка виртуальной машины безопасности данных гибридного типа

Загрузка и монтаж конфигурации HDS ISO

Настройка узла HDS для интеграции прокси

Регистрация первого узла в кластере

Создание и регистрация дополнительных узлов

Запустить пробную версию и перейти к производству (следующая глава)

Войдите в https://admin.webex.com и щелкните Службы.

В разделе служб гибридного типа найдите карточку безопасности данных гибридного типа и щелкните Настройка.

Если карточка отключена или вы ее не видите, обратитесь в команду по работе с клиентами или партнерскую организацию. Укажите номер своей учетной записи и попросите включить для вашей организации функцию безопасности данных гибридного типа. Чтобы найти номер учетной записи, щелкните шестеренку в правом верхнем углу рядом с названием организации.

Вы также можете скачать OVA в любое время в разделе Справка на странице Настройки . На карточке безопасности данных гибридного типа щелкните Изменить настройки , чтобы открыть страницу. Затем щелкните Скачать программное обеспечение безопасности данных гибридного типа в разделе Справка .

Более старые версии пакета программного обеспечения (OVA) не будут совместимы с последними обновлениями службы безопасности данных гибридного типа. Это может привести к проблемам при модернизации приложения. Обязательно скачайте последнюю версию файла OVA.

Выберите Нет , чтобы указать, что узел еще не настроен, и нажмите Далее.

При необходимости щелкните Открыть руководство по развертыванию , чтобы проверить, доступна ли более поздняя версия этого руководства.

Введите соответствующую команду для вашей среды в командной строке компьютера.

В обычных средах:

docker rmi ciscocitg/hds-setup:stable

В средах FedRAMP:

docker rmi ciscocitg/hds-setup-fedramp:stable

На этом этапе очищаются предыдущие образы инструмента настройки HDS. Если предыдущих образов нет, отображается ошибка, которую можно проигнорировать.

Чтобы войти в реестр образов Docker, введите следующее.

docker login -u hdscustomersro

Введите в запросе пароля этот хеш:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

Скачайте последнюю стабильную версию образа для вашей среды.

docker pull ciscocitg/hds-setup:stable

docker pull ciscocitg/hds-setup-fedramp:stable

По завершении скачивания введите соответствующую команду для вашей среды.

• В обычных средах без прокси:

  docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

• В обычных средах с HTTP-прокси:

  docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

• В обычных средах с HTTPS-прокси:

  docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

• В средах FedRAMP без прокси:

  docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

• В средах FedRAMP с HTTP-прокси:

  docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

• В средах FedRAMP с HTTPS-прокси:

  docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Инструмент настройки не поддерживает подключение к localhost через http://localhost:8080. Используйте http://127.0.0.1:8080 для подключения к локальному узлу.

Используйте веб-браузер для перехода к локальному узлу, http://127.0.0.1:8080 и введите имя пользователя администратора клиента для Control Hub в окне запроса.

По запросу введите учетные данные для входа администратора клиента Control Hub, а затем щелкните Войти, чтобы разрешить доступ к необходимым службам для безопасности данных гибридного типа.

На странице обзора инструмента настройки щелкните Начало работы.

На странице импорта ISO доступны следующие параметры:

• Нет. При создании первого узла HDS у вас нет файла ISO для загрузки.
• Да. Если вы уже создали узлы HDS, выберите файл ISO в окне просмотра и загрузите его.

Убедитесь, что сертификат X.509 соответствует требованиям, изложенным в требованиях к сертификатам X.509.

• Если сертификат ранее не загружался, загрузите сертификат X.509, введите пароль и нажмите Продолжить.
• Если сертификат ОК, нажмите Продолжить.
• Если срок действия сертификата истек или необходимо заменить его, выберите Нет для продолжения использования цепочки сертификатов HDS и закрытого ключа из предыдущего ISO?. Загрузите новый сертификат X.509, введите пароль и нажмите Продолжить.

Введите адрес базы данных и учетную запись HDS для доступа к хранилищу данных ключа:

1. Выберите тип базы данных (PostgreSQL или Microsoft SQL Server).

   Если выбран Microsoft SQL Server, появится поле Authentication Type (Тип аутентификации).

2. (Только Microsoft SQL Server) Выберите тип аутентификации:

   • Базовая аутентификация: В поле Имя пользователя необходимо указать имя учетной записи SQL Server.

   • Аутентификация Windows: Вам нужна учетная запись Windows в формате username@DOMAIN в поле Имя пользователя .

3. Введите адрес сервера базы данных в форме <hostname>:<port> или <IP-address>:<port>.

   Пример.
   dbhost.example.org:1433 или 198.51.100.17:1433

   Для базовой аутентификации можно использовать IP-адрес, если узлы не могут использовать DNS для разрешения имени узла.

   При использовании аутентификации Windows необходимо ввести полное доменное имя в формате dbhost.example.org:1433

4. Введите имя базы данных.

5. Введите имя пользователя и пароль пользователя со всеми правами в базе данных хранилища ключей.

Выберите режим подключения к базе данных TLS:

Mode	Описание
Предпочтительно использование TLS (параметр по умолчанию)	Узлам HDS не требуется TLS для подключения к серверу базы данных. Если включить TLS на сервере базы данных, узлы попытаются установить зашифрованное соединение.
Обязательное использование TLS	Подключение узлов HDS будет выполнено только в том случае, если сервер базы данных может согласовывать использование TLS.
Обязательное использование TLS и проверка источника подписи сертификата	Этот режим не применим к базам данных SQL Server. Подключение узлов HDS будет выполнено только в том случае, если сервер базы данных может согласовывать использование TLS. После установления соединения TLS узел сравнивает отправителя подписи сертификата от сервера базы данных с центром сертификации в корневом сертификате базы данных. При отсутствии совпадения узел разорвет соединение. Воспользуйтесь элементом управления корневым сертификатом базы данных под раскрывающимся списком, чтобы загрузить корневой сертификат для этого параметра.
Обязательное использование TLS и проверка источника подписи сертификата и имени узла	Подключение узлов HDS будет выполнено только в том случае, если сервер базы данных может согласовывать использование TLS. После установления соединения TLS узел сравнивает отправителя подписи сертификата от сервера базы данных с центром сертификации в корневом сертификате базы данных. При отсутствии совпадения узел разорвет соединение. Узлы также проверяют, соответствует ли имя хоста в сертификате сервера имени хоста в поле Хост базы данных и порт . Необходимо точное совпадение имен. Иначе узел разорвет соединение. Воспользуйтесь элементом управления корневым сертификатом базы данных под раскрывающимся списком, чтобы загрузить корневой сертификат для этого параметра.

На странице «Системные журналы» настройте сервер Syslogd:

1. Введите URL-адрес сервера системного журнала.

   Если сервер не разрешается DNS из узлов кластера HDS, используйте IP-адрес в URL.

   Пример.
   udp://10.92.43.23:514 указывает на вход в хост Syslogd 10.92.43.23 на порту UDP 514.

2. Если вы настроили на сервере использование шифрования TLS, проверьте, настроен ли ваш сервер системного журнала для шифрования SSL?.

   Установив этот флажок, убедитесь, что введен URL-адрес TCP, например tcp://10.92.43.23:514.

3. В раскрывающемся списке Выбор завершения записи системного журнала выберите соответствующую настройку для файла ISO. Выберите или Newline используется для Graylog и Rsyslog TCP

   • Null byte -- \x00

   • Newline -- \n — выберите этот параметр для TCP Graylog и Rsyslog.

4. Щелкните Продолжить.

(Необязательно) Значение по умолчанию для некоторых параметров подключения к базе данных можно изменить в расширенных настройках. Как правило, этот параметр является единственным, который можно изменить:

app_datasource_connection_pool_maxSize: 10

Щелкните Продолжить на экране Сброс пароля учетных записей службы .

Щелкните Скачать файл ISO. Сохраните файл в удобном для поиска местоположении.

Сделайте резервную копию файла ISO в локальной системе.

Чтобы выключить инструмент настройки, введите CTRL+C.

Используйте клиент VMware vSphere на компьютере для входа в виртуальный хост ESXi.

Выберите Файл > Развертывание шаблона OVF.

В мастере укажите расположение скачанного ранее файла OVA и щелкните Далее.

На Выберите имя и папку страница, введите Имя виртуальной машины для узла (например, HDS_Node_1) выберите местоположение, в котором может находиться развертывание узла виртуальной машины, а затем щелкните Далее.

На Выберите вычислительный ресурс выберите целевой вычислительный ресурс, а затем щелкните Далее.

Проверьте сведения о шаблоне и щелкните Далее.

Если вас попросят выбрать конфигурацию ресурса в Конфигурация страница, щелкните 4 ЦП и щелкните Далее.

На Выбрать хранилище страница, щелкните Далее для принятия формата диска по умолчанию и политики хранения VM.

На Выбор сетей выберите параметр сети из списка записей, чтобы обеспечить желаемое подключение к виртуальной машине.

На странице Настройка шаблона настройте следующие сетевые параметры.

• Имя узла. Введите полное доменное имя (имя узла и домен) или одно имя узла для узла.

  Вам не нужно настраивать домен в соответствии с доменом, который вы использовали для получения сертификата X.509. Чтобы обеспечить успешную регистрацию в облаке, используйте только символы нижнего регистра в доменном имени или имени узла, заданном для узла. В настоящее время заглавные буквы не поддерживаются. Общая длина FQDN не должна превышать 64 символов.

• IP-адрес — введите IP-адрес для внутреннего интерфейса узла.

  Ваш узел должен иметь внутренний IP-адрес и имя DNS. DHCP не поддерживается.

• Маска — введите адрес маски подсети в десятичной нотации. Например, 255.255.255.0.
• Шлюз — введите IP-адрес шлюза. Шлюз — это сетевой узел, который служит точкой доступа к другой сети.
• DNS-серверы — введите список DNS-серверов с разделителями-запятыми, которые обрабатывают перевод доменных имен на числовые IP-адреса. (Допускается до 4 записей DNS.)
• Серверы NTP. Введите сервер NTP вашей организации или другой внешний сервер NTP, который может использоваться в вашей организации. Серверы NTP по умолчанию могут работать не для всех предприятий. Также можно использовать список с разделителями-запятыми для ввода нескольких серверов NTP.

• Разверните все узлы в одной подсети или VLAN, чтобы все узлы в кластере были доступны клиентам в вашей сети в целях администрирования.

При необходимости можно пропустить конфигурацию сетевых настроек и выполнить действия, описанные в разделе Настройка виртуальной машины безопасности данных гибридного типа , чтобы настроить параметры на консоли узла.

Параметр настройки сетевых настроек во время развертывания OVA протестирован в ESXi 6.5. Этот параметр может быть недоступен в более ранних версиях.

Щелкните правой кнопкой мыши виртуальную машину узла и выберите Питание > Питание включено.

В клиенте VMware vSphere выберите VM узла безопасности данных гибридного типа и перейдите на вкладку Консоль .

Для входа и изменения учетных данных используйте следующие логин и пароль по умолчанию.

1. Вход: admin

2. Пароль: cisco

Если параметры сети уже настроены в разделе Установка узла HDS OVA, пропустите оставшуюся часть этой процедуры. В противном случае в главном меню выберите пункт Редактировать конфигурацию .

Настройте статическую конфигурацию с IP-адресом, маской, шлюзом и информацией о DNS. Ваш узел должен иметь внутренний IP-адрес и имя DNS. DHCP не поддерживается.

(Необязательно) Измените имя узла, домен или серверы NTP, если это необходимо для соответствия политике сети.

Сохраните конфигурацию сети и перезагрузите виртуальную машину, чтобы изменения вступили в силу.

Загрузите файл ISO с компьютера:

1. В левой панели навигации клиента VMware vSphere щелкните сервер ESXi.

2. В списке Аппаратное обеспечение вкладки Конфигурация щелкните Хранилище.

3. В списке Datastores щелкните правой кнопкой мыши хранилище данных для виртуальных машин и нажмите Browse Datastore.

4. Щелкните пиктограмму Загрузить файлы и нажмите Загрузить файл.

5. Перейдите в расположение, где вы скачали файл ISO на свой компьютер, и нажмите Открыть.

6. Нажмите Да , чтобы принять предупреждение операции загрузки и скачивания, и закройте диалоговое окно хранилища данных.

Подключите файл ISO:

1. На левой панели навигации клиента VMware vSphere щелкните виртуальную машину правой кнопкой и щелкните Редактировать параметры.

2. Нажмите OK, чтобы принять предупреждение об ограниченных параметрах редактирования.

3. Щелкните кнопку CD/DVD Drive 1, выберите параметр для подключения из файла ISO хранилища данных и перейдите в расположение, куда загружен файл конфигурации ISO.

4. Установите флажки Подключено и Подключено при включении питания.

5. Сохраните изменения и перезагрузите виртуальную машину.

Введите URL настройки узла HDS https://[HDS Node IP or FQDN]/setup в веб-браузере введите учетные данные администратора, настроенные для узла, и щелкните Войти.

Откройте раздел Trust Store & Proxy (Зона доверия и прокси) и выберите один из следующих параметров.

• No Proxy (Без прокси). Этот параметр применяется по умолчанию до интеграции прокси. Обновление сертификата не требуется.
• Transparent Non-Inspecting Proxy (Прозрачный прокси без проверки). Узлы не настроены для использования адреса определенного прокси-сервера и не должны требовать каких-либо изменений для работы с прокси без проверки. Обновление сертификата не требуется.
• Transparent Inspecting Proxy (Прозрачный прокси с проверкой). Узлы не настроены для использования адреса определенного прокси-сервера. В развертывании службы безопасности данных гибридного типа не нужно вносить изменения в конфигурацию HTTPS, однако для обеспечения доверия прокси узлам HDS необходим корневой сертификат. Как правило, специалисты по ИТ используют прокси с проверкой для обеспечения соблюдения политик посещения веб-сайтов и запрещения определенных типов контента. Этот тип прокси расшифровывает весь трафик (даже HTTPS).
• Explicit Proxy (Явный прокси). При использовании явного прокси необходимо указать прокси-сервер, который должен использовать клиент (узлы HDS). Этот параметр поддерживает несколько типов аутентификации. После выбора этого параметра необходимо ввести указанную далее информацию.

  1. Proxy IP/FQDN (IP-адрес или FQDN прокси). Адрес, который можно использовать для доступа к прокси-машине.

  2. Proxy Port (Порт прокси). Номер порта, который используется прокси для прослушивания трафика, передаваемого через прокси.

  3. Proxy Protocol (Протокол прокси). Выберите http (просматривает все запросы, получаемые от клиента, и управляет этими запросами) или https (обеспечивает работу канала связи с сервером; клиент получает и проверяет сертификат сервера). Выберите параметр в зависимости от того, какой протокол поддерживает используемый вами прокси-сервер.

  4. Authentication Type (Тип аутентификации). Выберите один из перечисленных ниже типов аутентификации.

     • None (Нет). Дальнейшая аутентификация не требуется.

       Этот параметр доступен для прокси HTTP или HTTPS.

     • Basic (Базовая). Используется для оператора пользователя HTTP в целях предоставления имени пользователя и пароля при совершении запроса. Использует кодировку Base64.

       Этот параметр доступен для прокси HTTP или HTTPS.

       Если вы выберете этот параметр, вам понадобится ввести имя пользователя и пароль.

     • Дайджест. Используется для подтверждения учетной записи перед отправкой конфиденциальной информации. Применяет хэш-функцию к имени пользователя и паролю перед отправкой в сети.

       Этот параметр доступен только для прокси HTTPS.

       Если вы выберете этот параметр, вам понадобится ввести имя пользователя и пароль.

Щелкните Upload a Root Certificate or End Entity Certificate (Загрузить корневой сертификат или сертификат конечного субъекта) и откройте меню для выбора корневого сертификата для прокси.

Чтобы протестировать сетевое соединение между узлом и прокси, щелкните Check Proxy Connection (Проверить соединение с прокси).

Если вы используете явный прокси, настроенный на применение исключительно https, после успешного завершения тестирования соединения включите параметр Маршрутизировать все запросы https портов 443 и 444 от этого узла через явный прокси (Маршрутизировать все запросы https портов 443 и 444 от этого узла через явный прокси). Для вступления в силу этого параметра необходимо 15 секунд.

Щелкните Install All Certificates Into the Trust Store (Установить все сертификаты в зоне доверия) – этот параметр отображается при использовании явного прокси HTTPS или прозрачного прокси с проверкой – или Reboot (Перезагрузить) – этот параметр отображается при использовании явного прокси HTTP. Прочитайте запрос и щелкните Install (Установить), если вы готовы к установке.

После перезагрузки узла повторно войдите в систему, если это необходимо, и откройте страницу Обзор, чтобы выполнить проверки соединений. Состояние всех проверок должно быть обозначено зеленым цветом.

Войдите в https://admin.webex.com.

В меню в левой части экрана выберите Службы.

В разделе служб гибридного типа найдите службу безопасности данных гибридного типа и щелкните Настройка.

Выберите Да , чтобы указать, что узел настроен и готов его зарегистрировать, а затем нажмите Далее.

В первом поле введите имя кластера, которому необходимо назначить узел безопасности данных гибридного типа.

Во втором поле введите внутренний IP-адрес или полное доменное имя узла и нажмите Далее.

Щелкните Перейти к узлу.

В предупреждающем сообщении нажмите Continue (Продолжить).

Установите флажок Разрешить доступ к узлу безопасности данных гибридного типа и нажмите Продолжить.

Щелкните ссылку или закройте вкладку, чтобы вернуться на страницу безопасности данных гибридного типа Control Hub.

Создайте новую виртуальную машину из OVA, повторив шаги, описанные в разделе Установка OVA узла HDS.

Настройте начальную конфигурацию новой виртуальной машины, повторив шаги, описанные в разделе Настройка виртуальной машины безопасности данных гибридного типа.

В новой виртуальной машине повторите шаги, описанные в разделе Загрузить и смонтировать конфигурацию HDS ISO.

При настройке прокси для развертывания повторите действия, описанные в разделе Настройка узла HDS для интеграции прокси , если это необходимо для нового узла.

Зарегистрируйте узел.

1. В https://admin.webex.com выберите Службы в меню в левой части экрана.

2. В разделе служб гибридного типа найдите карточку безопасности данных гибридного типа и щелкните Ресурсы.

   Отобразится страница ресурсов безопасности данных гибридного типа.

3. Щелкните Добавить ресурс.

4. В первом поле выберите имя существующего кластера.

5. Во втором поле введите внутренний IP-адрес или полное доменное имя узла и нажмите Далее.

   Отобразится сообщение о том, что узел можно зарегистрировать в облаке Webex.

6. Щелкните Перейти к узлу.

   Через несколько минут вы будете перенаправлены на тесты подключения узлов для служб Webex. Если все тесты прошли успешно, отобразится страница "Разрешить доступ к узлу безопасности данных гибридного типа". Там вы подтверждаете, что хотите предоставить вашей организации полномочия на доступ к узлу.

7. Установите флажок Разрешить доступ к узлу безопасности данных гибридного типа и нажмите Продолжить.

   Ваша учетная запись проверена, и в сообщении "Регистрация завершена" указывается, что ваш узел теперь зарегистрирован в облаке Webex.

8. Щелкните ссылку или закройте вкладку, чтобы вернуться на страницу безопасности данных гибридного типа Control Hub.

Скачивание файлов установки

Создание ISO конфигурации для узлов HDS

Установка OVA узла HDS

Создайте виртуальную машину из файла OVA и выполните начальную конфигурацию, например сетевые настройки.

Параметр настройки сетевых настроек во время развертывания OVA протестирован в ESXi 6.5. Этот параметр может быть недоступен в более ранних версиях.

Настройка виртуальной машины безопасности данных гибридного типа

Загрузка и монтаж конфигурации HDS ISO

Настройка узла HDS для интеграции прокси

Регистрация первого узла в кластере

Создание и регистрация дополнительных узлов

Запустить пробную версию и перейти к производству (следующая глава)

Войдите в https://admin.webex.com и щелкните Службы.

В разделе служб гибридного типа найдите карточку безопасности данных гибридного типа и щелкните Настройка.

Если карточка отключена или вы ее не видите, обратитесь в команду по работе с клиентами или партнерскую организацию. Укажите номер своей учетной записи и попросите включить для вашей организации функцию безопасности данных гибридного типа. Чтобы найти номер учетной записи, щелкните шестеренку в правом верхнем углу рядом с названием организации.

Вы также можете скачать OVA в любое время в разделе Справка на странице Настройки . На карточке безопасности данных гибридного типа щелкните Изменить настройки , чтобы открыть страницу. Затем щелкните Скачать программное обеспечение безопасности данных гибридного типа в разделе Справка .

Более старые версии пакета программного обеспечения (OVA) не будут совместимы с последними обновлениями службы безопасности данных гибридного типа. Это может привести к проблемам при модернизации приложения. Обязательно скачайте последнюю версию файла OVA.

Выберите Нет , чтобы указать, что узел еще не настроен, и нажмите Далее.

При необходимости щелкните Открыть руководство по развертыванию , чтобы проверить, доступна ли более поздняя версия этого руководства.

Введите соответствующую команду для вашей среды в командной строке компьютера.

В обычных средах:

docker rmi ciscocitg/hds-setup:stable

В средах FedRAMP:

docker rmi ciscocitg/hds-setup-fedramp:stable

На этом этапе очищаются предыдущие образы инструмента настройки HDS. Если предыдущих образов нет, отображается ошибка, которую можно проигнорировать.

Чтобы войти в реестр образов Docker, введите следующее.

docker login -u hdscustomersro

Введите в запросе пароля этот хеш:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

Скачайте последнюю стабильную версию образа для вашей среды.

docker pull ciscocitg/hds-setup:stable

docker pull ciscocitg/hds-setup-fedramp:stable

По завершении скачивания введите соответствующую команду для вашей среды.

• В обычных средах без прокси:

  docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

• В обычных средах с HTTP-прокси:

  docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

• В обычных средах с HTTPS-прокси:

  docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

• В средах FedRAMP без прокси:

  docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

• В средах FedRAMP с HTTP-прокси:

  docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

• В средах FedRAMP с HTTPS-прокси:

  docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Инструмент настройки не поддерживает подключение к localhost через http://localhost:8080. Используйте http://127.0.0.1:8080 для подключения к локальному узлу.

Используйте веб-браузер для перехода к локальному узлу, http://127.0.0.1:8080 и введите имя пользователя администратора клиента для Control Hub в окне запроса.

По запросу введите учетные данные для входа администратора клиента Control Hub, а затем щелкните Войти, чтобы разрешить доступ к необходимым службам для безопасности данных гибридного типа.

На странице обзора инструмента настройки щелкните Начало работы.

На странице импорта ISO доступны следующие параметры:

• Нет. При создании первого узла HDS у вас нет файла ISO для загрузки.
• Да. Если вы уже создали узлы HDS, выберите файл ISO в окне просмотра и загрузите его.

Убедитесь, что сертификат X.509 соответствует требованиям, изложенным в требованиях к сертификатам X.509.

• Если сертификат ранее не загружался, загрузите сертификат X.509, введите пароль и нажмите Продолжить.
• Если сертификат ОК, нажмите Продолжить.
• Если срок действия сертификата истек или необходимо заменить его, выберите Нет для продолжения использования цепочки сертификатов HDS и закрытого ключа из предыдущего ISO?. Загрузите новый сертификат X.509, введите пароль и нажмите Продолжить.

Введите адрес базы данных и учетную запись HDS для доступа к хранилищу данных ключа:

1. Выберите тип базы данных (PostgreSQL или Microsoft SQL Server).

   Если выбран Microsoft SQL Server, появится поле Authentication Type (Тип аутентификации).

2. (Только Microsoft SQL Server) Выберите тип аутентификации:

   • Базовая аутентификация: В поле Имя пользователя необходимо указать имя учетной записи SQL Server.

   • Аутентификация Windows: Вам нужна учетная запись Windows в формате username@DOMAIN в поле Имя пользователя .

3. Введите адрес сервера базы данных в форме <hostname>:<port> или <IP-address>:<port>.

   Пример.
   dbhost.example.org:1433 или 198.51.100.17:1433

   Для базовой аутентификации можно использовать IP-адрес, если узлы не могут использовать DNS для разрешения имени узла.

   При использовании аутентификации Windows необходимо ввести полное доменное имя в формате dbhost.example.org:1433

4. Введите имя базы данных.

5. Введите имя пользователя и пароль пользователя со всеми правами в базе данных хранилища ключей.

Выберите режим подключения к базе данных TLS:

Mode	Описание
Предпочтительно использование TLS (параметр по умолчанию)	Узлам HDS не требуется TLS для подключения к серверу базы данных. Если включить TLS на сервере базы данных, узлы попытаются установить зашифрованное соединение.
Обязательное использование TLS	Подключение узлов HDS будет выполнено только в том случае, если сервер базы данных может согласовывать использование TLS.
Обязательное использование TLS и проверка источника подписи сертификата	Этот режим не применим к базам данных SQL Server. Подключение узлов HDS будет выполнено только в том случае, если сервер базы данных может согласовывать использование TLS. После установления соединения TLS узел сравнивает отправителя подписи сертификата от сервера базы данных с центром сертификации в корневом сертификате базы данных. При отсутствии совпадения узел разорвет соединение. Воспользуйтесь элементом управления корневым сертификатом базы данных под раскрывающимся списком, чтобы загрузить корневой сертификат для этого параметра.
Обязательное использование TLS и проверка источника подписи сертификата и имени узла	Подключение узлов HDS будет выполнено только в том случае, если сервер базы данных может согласовывать использование TLS. После установления соединения TLS узел сравнивает отправителя подписи сертификата от сервера базы данных с центром сертификации в корневом сертификате базы данных. При отсутствии совпадения узел разорвет соединение. Узлы также проверяют, соответствует ли имя хоста в сертификате сервера имени хоста в поле Хост базы данных и порт . Необходимо точное совпадение имен. Иначе узел разорвет соединение. Воспользуйтесь элементом управления корневым сертификатом базы данных под раскрывающимся списком, чтобы загрузить корневой сертификат для этого параметра.

На странице «Системные журналы» настройте сервер Syslogd:

1. Введите URL-адрес сервера системного журнала.

   Если сервер не разрешается DNS из узлов кластера HDS, используйте IP-адрес в URL.

   Пример.
   udp://10.92.43.23:514 указывает на вход в хост Syslogd 10.92.43.23 на порту UDP 514.

2. Если вы настроили на сервере использование шифрования TLS, проверьте, настроен ли ваш сервер системного журнала для шифрования SSL?.

   Установив этот флажок, убедитесь, что введен URL-адрес TCP, например tcp://10.92.43.23:514.

3. В раскрывающемся списке Выбор завершения записи системного журнала выберите соответствующую настройку для файла ISO. Выберите или Newline используется для Graylog и Rsyslog TCP

   • Null byte -- \x00

   • Newline -- \n — выберите этот параметр для TCP Graylog и Rsyslog.

4. Щелкните Продолжить.

(Необязательно) Значение по умолчанию для некоторых параметров подключения к базе данных можно изменить в расширенных настройках. Как правило, этот параметр является единственным, который можно изменить:

app_datasource_connection_pool_maxSize: 10

Щелкните Продолжить на экране Сброс пароля учетных записей службы .

Щелкните Скачать файл ISO. Сохраните файл в удобном для поиска местоположении.

Сделайте резервную копию файла ISO в локальной системе.

Чтобы выключить инструмент настройки, введите CTRL+C.

Используйте клиент VMware vSphere на компьютере для входа в виртуальный хост ESXi.

Выберите Файл > Развертывание шаблона OVF.

В мастере укажите расположение скачанного ранее файла OVA и щелкните Далее.

На Выберите имя и папку страница, введите Имя виртуальной машины для узла (например, HDS_Node_1) выберите местоположение, в котором может находиться развертывание узла виртуальной машины, а затем щелкните Далее.

На Выберите вычислительный ресурс выберите целевой вычислительный ресурс, а затем щелкните Далее.

Проверьте сведения о шаблоне и щелкните Далее.

Если вас попросят выбрать конфигурацию ресурса в Конфигурация страница, щелкните 4 ЦП и щелкните Далее.

На Выбрать хранилище страница, щелкните Далее для принятия формата диска по умолчанию и политики хранения VM.

На Выбор сетей выберите параметр сети из списка записей, чтобы обеспечить желаемое подключение к виртуальной машине.

На странице Настройка шаблона настройте следующие сетевые параметры.

• Имя узла. Введите полное доменное имя (имя узла и домен) или одно имя узла для узла.

  Вам не нужно настраивать домен в соответствии с доменом, который вы использовали для получения сертификата X.509. Чтобы обеспечить успешную регистрацию в облаке, используйте только символы нижнего регистра в доменном имени или имени узла, заданном для узла. В настоящее время заглавные буквы не поддерживаются. Общая длина FQDN не должна превышать 64 символов.

• IP-адрес — введите IP-адрес для внутреннего интерфейса узла.

  Ваш узел должен иметь внутренний IP-адрес и имя DNS. DHCP не поддерживается.

• Маска — введите адрес маски подсети в десятичной нотации. Например, 255.255.255.0.
• Шлюз — введите IP-адрес шлюза. Шлюз — это сетевой узел, который служит точкой доступа к другой сети.
• DNS-серверы — введите список DNS-серверов с разделителями-запятыми, которые обрабатывают перевод доменных имен на числовые IP-адреса. (Допускается до 4 записей DNS.)
• Серверы NTP. Введите сервер NTP вашей организации или другой внешний сервер NTP, который может использоваться в вашей организации. Серверы NTP по умолчанию могут работать не для всех предприятий. Также можно использовать список с разделителями-запятыми для ввода нескольких серверов NTP.

• Разверните все узлы в одной подсети или VLAN, чтобы все узлы в кластере были доступны клиентам в вашей сети в целях администрирования.

При необходимости можно пропустить конфигурацию сетевых настроек и выполнить действия, описанные в разделе Настройка виртуальной машины безопасности данных гибридного типа , чтобы настроить параметры на консоли узла.

Параметр настройки сетевых настроек во время развертывания OVA протестирован в ESXi 6.5. Этот параметр может быть недоступен в более ранних версиях.

Щелкните правой кнопкой мыши виртуальную машину узла и выберите Питание > Питание включено.

В клиенте VMware vSphere выберите VM узла безопасности данных гибридного типа и перейдите на вкладку Консоль .

Для входа и изменения учетных данных используйте следующие логин и пароль по умолчанию.

1. Вход: admin

2. Пароль: cisco

Если параметры сети уже настроены в разделе Установка узла HDS OVA, пропустите оставшуюся часть этой процедуры. В противном случае в главном меню выберите пункт Редактировать конфигурацию .

Настройте статическую конфигурацию с IP-адресом, маской, шлюзом и информацией о DNS. Ваш узел должен иметь внутренний IP-адрес и имя DNS. DHCP не поддерживается.

(Необязательно) Измените имя узла, домен или серверы NTP, если это необходимо для соответствия политике сети.

Сохраните конфигурацию сети и перезагрузите виртуальную машину, чтобы изменения вступили в силу.

Загрузите файл ISO с компьютера:

1. В левой панели навигации клиента VMware vSphere щелкните сервер ESXi.

2. В списке Аппаратное обеспечение вкладки Конфигурация щелкните Хранилище.

3. В списке Datastores щелкните правой кнопкой мыши хранилище данных для виртуальных машин и нажмите Browse Datastore.

4. Щелкните пиктограмму Загрузить файлы и нажмите Загрузить файл.

5. Перейдите в расположение, где вы скачали файл ISO на свой компьютер, и нажмите Открыть.

6. Нажмите Да , чтобы принять предупреждение операции загрузки и скачивания, и закройте диалоговое окно хранилища данных.

Подключите файл ISO:

1. На левой панели навигации клиента VMware vSphere щелкните виртуальную машину правой кнопкой и щелкните Редактировать параметры.

2. Нажмите OK, чтобы принять предупреждение об ограниченных параметрах редактирования.

3. Щелкните кнопку CD/DVD Drive 1, выберите параметр для подключения из файла ISO хранилища данных и перейдите в расположение, куда загружен файл конфигурации ISO.

4. Установите флажки Подключено и Подключено при включении питания.

5. Сохраните изменения и перезагрузите виртуальную машину.

Введите URL настройки узла HDS https://[HDS Node IP or FQDN]/setup в веб-браузере введите учетные данные администратора, настроенные для узла, и щелкните Войти.

Откройте раздел Trust Store & Proxy (Зона доверия и прокси) и выберите один из следующих параметров.

• No Proxy (Без прокси). Этот параметр применяется по умолчанию до интеграции прокси. Обновление сертификата не требуется.
• Transparent Non-Inspecting Proxy (Прозрачный прокси без проверки). Узлы не настроены для использования адреса определенного прокси-сервера и не должны требовать каких-либо изменений для работы с прокси без проверки. Обновление сертификата не требуется.
• Transparent Inspecting Proxy (Прозрачный прокси с проверкой). Узлы не настроены для использования адреса определенного прокси-сервера. В развертывании службы безопасности данных гибридного типа не нужно вносить изменения в конфигурацию HTTPS, однако для обеспечения доверия прокси узлам HDS необходим корневой сертификат. Как правило, специалисты по ИТ используют прокси с проверкой для обеспечения соблюдения политик посещения веб-сайтов и запрещения определенных типов контента. Этот тип прокси расшифровывает весь трафик (даже HTTPS).
• Explicit Proxy (Явный прокси). При использовании явного прокси необходимо указать прокси-сервер, который должен использовать клиент (узлы HDS). Этот параметр поддерживает несколько типов аутентификации. После выбора этого параметра необходимо ввести указанную далее информацию.

  1. Proxy IP/FQDN (IP-адрес или FQDN прокси). Адрес, который можно использовать для доступа к прокси-машине.

  2. Proxy Port (Порт прокси). Номер порта, который используется прокси для прослушивания трафика, передаваемого через прокси.

  3. Proxy Protocol (Протокол прокси). Выберите http (просматривает все запросы, получаемые от клиента, и управляет этими запросами) или https (обеспечивает работу канала связи с сервером; клиент получает и проверяет сертификат сервера). Выберите параметр в зависимости от того, какой протокол поддерживает используемый вами прокси-сервер.

  4. Authentication Type (Тип аутентификации). Выберите один из перечисленных ниже типов аутентификации.

     • None (Нет). Дальнейшая аутентификация не требуется.

       Этот параметр доступен для прокси HTTP или HTTPS.

     • Basic (Базовая). Используется для оператора пользователя HTTP в целях предоставления имени пользователя и пароля при совершении запроса. Использует кодировку Base64.

       Этот параметр доступен для прокси HTTP или HTTPS.

       Если вы выберете этот параметр, вам понадобится ввести имя пользователя и пароль.

     • Дайджест. Используется для подтверждения учетной записи перед отправкой конфиденциальной информации. Применяет хэш-функцию к имени пользователя и паролю перед отправкой в сети.

       Этот параметр доступен только для прокси HTTPS.

       Если вы выберете этот параметр, вам понадобится ввести имя пользователя и пароль.

Щелкните Upload a Root Certificate or End Entity Certificate (Загрузить корневой сертификат или сертификат конечного субъекта) и откройте меню для выбора корневого сертификата для прокси.

Чтобы протестировать сетевое соединение между узлом и прокси, щелкните Check Proxy Connection (Проверить соединение с прокси).

Если вы используете явный прокси, настроенный на применение исключительно https, после успешного завершения тестирования соединения включите параметр Маршрутизировать все запросы https портов 443 и 444 от этого узла через явный прокси (Маршрутизировать все запросы https портов 443 и 444 от этого узла через явный прокси). Для вступления в силу этого параметра необходимо 15 секунд.

Щелкните Install All Certificates Into the Trust Store (Установить все сертификаты в зоне доверия) – этот параметр отображается при использовании явного прокси HTTPS или прозрачного прокси с проверкой – или Reboot (Перезагрузить) – этот параметр отображается при использовании явного прокси HTTP. Прочитайте запрос и щелкните Install (Установить), если вы готовы к установке.

После перезагрузки узла повторно войдите в систему, если это необходимо, и откройте страницу Обзор, чтобы выполнить проверки соединений. Состояние всех проверок должно быть обозначено зеленым цветом.

Войдите в https://admin.webex.com.

В меню в левой части экрана выберите Службы.

В разделе служб гибридного типа найдите службу безопасности данных гибридного типа и щелкните Настройка.

Выберите Да , чтобы указать, что узел настроен и готов его зарегистрировать, а затем нажмите Далее.

В первом поле введите имя кластера, которому необходимо назначить узел безопасности данных гибридного типа.

Во втором поле введите внутренний IP-адрес или полное доменное имя узла и нажмите Далее.

Щелкните Перейти к узлу.

В предупреждающем сообщении нажмите Continue (Продолжить).

Установите флажок Разрешить доступ к узлу безопасности данных гибридного типа и нажмите Продолжить.

Щелкните ссылку или закройте вкладку, чтобы вернуться на страницу безопасности данных гибридного типа Control Hub.

Создайте новую виртуальную машину из OVA, повторив шаги, описанные в разделе Установка OVA узла HDS.

Настройте начальную конфигурацию новой виртуальной машины, повторив шаги, описанные в разделе Настройка виртуальной машины безопасности данных гибридного типа.

В новой виртуальной машине повторите шаги, описанные в разделе Загрузить и смонтировать конфигурацию HDS ISO.

При настройке прокси для развертывания повторите действия, описанные в разделе Настройка узла HDS для интеграции прокси , если это необходимо для нового узла.

Зарегистрируйте узел.

1. В https://admin.webex.com выберите Службы в меню в левой части экрана.

2. В разделе служб гибридного типа найдите карточку безопасности данных гибридного типа и щелкните Ресурсы.

   Отобразится страница ресурсов безопасности данных гибридного типа.

3. Щелкните Добавить ресурс.

4. В первом поле выберите имя существующего кластера.

5. Во втором поле введите внутренний IP-адрес или полное доменное имя узла и нажмите Далее.

   Отобразится сообщение о том, что узел можно зарегистрировать в облаке Webex.

6. Щелкните Перейти к узлу.

   Через несколько минут вы будете перенаправлены на тесты подключения узлов для служб Webex. Если все тесты прошли успешно, отобразится страница "Разрешить доступ к узлу безопасности данных гибридного типа". Там вы подтверждаете, что хотите предоставить вашей организации полномочия на доступ к узлу.

7. Установите флажок Разрешить доступ к узлу безопасности данных гибридного типа и нажмите Продолжить.

   Ваша учетная запись проверена, и в сообщении "Регистрация завершена" указывается, что ваш узел теперь зарегистрирован в облаке Webex.

8. Щелкните ссылку или закройте вкладку, чтобы вернуться на страницу безопасности данных гибридного типа Control Hub.