Hvala za povratne informacije.

Prenesite datoteko OVA na svoj lokalni računalnik za kasnejšo uporabo.

Z orodjem za nastavitev HDS ustvarite konfiguracijsko datoteko ISO za vozlišča Hybrid Data Security.

Ustvarite virtualni stroj iz datoteke OVA in izvedite začetno konfiguracijo, kot so omrežne nastavitve.

Možnost konfiguracije omrežnih nastavitev med uvajanjem OVA je bila preizkušena z ESXi 6.5. Možnost morda ni na voljo v starejših različicah.

Prijavite se v konzolo VM in nastavite poverilnice za prijavo. Konfigurirajte omrežne nastavitve za vozlišče, če jih niste konfigurirali ob uvedbi OVA.

Konfigurirajte vozlišče HDS za integracijo posrednika

Konfigurirajte VM iz konfiguracijske datoteke ISO, ki ste jo ustvarili z orodjem za namestitev HDS.

Če omrežno okolje zahteva konfiguracijo proxyja, podajte vrsto proxyja, ki ga boste uporabili za vozlišče, in po potrebi dodajte potrdilo proxyja v shrambo zaupanja.

Registrirajte VM v oblaku Cisco Webex kot Hybrid Data Security node.

Dokončajte nastavitev gruče.

Izvedite preizkus in se premaknite v produkcijo (naslednje poglavje)

Dokler ne začnete preizkusa, vaša vozlišča ustvarijo alarm, ki nakazuje, da vaša storitev še ni aktivirana.

Prenesite namestitvene datoteke

Pri tej nalogi prenesete datoteko OVA na svoj računalnik (ne na strežnike, ki ste jih nastavili kot vozlišča Hybrid Data Security). To datoteko uporabite pozneje v postopku namestitve.

Prijavite se v https://admin.webex.comin nato kliknite Storitve.

V razdelku Hybrid Services poiščite kartico Hybrid Data Security in kliknite Nastaviti.

Če je kartica onemogočena ali je ne vidite, se obrnite na skupino za račun ali partnersko organizacijo. Dajte jim svojo številko računa in jih prosite, da vaši organizaciji omogočijo hibridno varnost podatkov. Če želite poiskati številko računa, kliknite zobnik v zgornjem desnem kotu poleg imena vaše organizacije.

OVA lahko kadar koli prenesete tudi iz pomoč razdelek o nastavitve strani. Na kartici Hybrid Data Security kliknite Uredi nastavitve da odprete stran. Nato kliknite Prenesite programsko opremo Hybrid Data Security v pomoč razdelek.

Starejše različice programskega paketa (OVA) ne bodo združljive z najnovejšimi nadgradnjami Hybrid Data Security. To lahko povzroči težave pri nadgradnji aplikacije. Prepričajte se, da ste prenesli najnovejšo različico datoteke OVA.

Izberite št da označite, da vozlišča še niste nastavili, in nato kliknite Naslednji.

Datoteka OVA se samodejno začne prenašati. Datoteko shranite na mesto v vašem računalniku.

Po želji kliknite Odprite vodnik za uvajanje da preverite, ali je na voljo novejša različica tega priročnika.

Ustvarite konfiguracijski ISO za gostitelje HDS

Postopek nastavitve Hybrid Data Security ustvari datoteko ISO. Nato uporabite ISO za konfiguracijo gostitelja Hybrid Data Security.

Preden začneš

Orodje HDS Setup deluje kot vsebnik Docker na lokalnem računalniku. Za dostop do njega zaženite Docker na tem računalniku. Postopek namestitve zahteva poverilnice računa Control Hub s polnimi skrbniškimi pravicami za vašo organizacijo.

Če orodje za namestitev HDS deluje za proxyjem v vašem okolju, podajte nastavitve proxyja (strežnik, vrata, poverilnice) prek spremenljivk okolja Docker, ko prikažete vsebnik Docker v koraku 5. Ta tabela podaja nekaj možnih spremenljivk okolja:

Opis	Spremenljivka
HTTP Proxy brez avtentikacije	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
HTTPS Proxy brez avtentikacije	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
HTTP proxy z avtentikacijo	`GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
HTTPS Proxy z avtentikacijo	`GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

Konfiguracijska datoteka ISO, ki jo ustvarite, vsebuje glavni ključ, ki šifrira bazo podatkov PostgreSQL ali Microsoft SQL Server. Najnovejšo kopijo te datoteke potrebujete vsakič, ko spremenite konfiguracijo, kot je ta:
- Poverilnice baze podatkov
- Posodobitve potrdil
- Spremembe politike avtorizacije
Če nameravate šifrirati povezave z bazo podatkov, nastavite svojo uvedbo PostgreSQL ali SQL Server za TLS.

V ukazno vrstico vašega računalnika vnesite ustrezen ukaz za vaše okolje:

V običajnih okoljih:

docker rmi ciscocitg/hds-setup:stable

V okoljih FedRAMP:

docker rmi ciscocitg/hds-setup-fedramp:stable

Ta korak počisti prejšnje slike orodja za nastavitev HDS. Če ni prejšnjih slik, vrne napako, ki jo lahko prezrete.

Za vpis v register slik Docker vnesite naslednje:

docker login -u hdscustomersro

Ob pozivu za geslo vnesite to zgoščeno vrednost:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

Prenesite najnovejšo stabilno sliko za vaše okolje:

V običajnih okoljih:

docker pull ciscocitg/hds-setup:stable

V okoljih FedRAMP:

docker pull ciscocitg/hds-setup-fedramp:stable

Ko je vlečenje končano, vnesite ustrezen ukaz za vaše okolje:

V običajnih okoljih brez posrednika:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

V običajnih okoljih s strežnikom proxy HTTP:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

V običajnih okoljih s strežnikom proxy HTTPS:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

V okoljih FedRAMP brez posrednika:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

V okoljih FedRAMP s strežnikom proxy HTTP:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

V okoljih FedRAMP s strežnikom proxy HTTPS:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Ko se vsebnik izvaja, vidite »Strežnik Express posluša na vratih 8080«.

Orodje za namestitev ne podpira povezovanja z lokalnim gostiteljem prek http://localhost:8080. Uporaba http://127.0.0.1:8080 za povezavo z lokalnim gostiteljem.

Uporabite spletni brskalnik za dostop do lokalnega gostitelja, http://127.0.0.1:8080 in ob pozivu vnesite uporabniško ime skrbnika stranke za Control Hub.

Orodje uporabi ta prvi vnos uporabniškega imena za nastavitev ustreznega okolja za ta račun. Orodje nato prikaže standardni poziv za prijavo.

Ko ste pozvani, vnesite poverilnice za prijavo skrbnika stranke Control Hub in kliknite Vpiši se da omogočite dostop do zahtevanih storitev za Hybrid Data Security.

Na strani s pregledom orodja za nastavitev kliknite Začeti.

Na ISO uvoz strani, imate te možnosti:

št—Če ustvarjate svoje prvo vozlišče HDS, nimate datoteke ISO za nalaganje.
ja— Če ste že ustvarili vozlišča HDS, potem v brskanju izberete datoteko ISO in jo naložite.

Preverite, ali vaše potrdilo X.509 izpolnjuje zahteve v Zahteve za potrdilo X.509.

Če še nikoli niste naložili potrdila, naložite potrdilo X.509, vnesite geslo in kliknite Nadaljuj.
Če je vaše potrdilo v redu, kliknite Nadaljuj.
Če je vaše potrdilo poteklo ali ga želite zamenjati, izberite št za Želite še naprej uporabljati verigo potrdil HDS in zasebni ključ iz prejšnjega ISO?. Naložite novo potrdilo X.509, vnesite geslo in kliknite Nadaljuj.

Vnesite naslov baze podatkov in račun za HDS za dostop do shrambe ključnih podatkov:

Izberite svojo Vrsta baze podatkov (PostgreSQL oz Microsoft SQL Server).

Če se odločite Microsoft SQL Server, dobite polje Authentication Type.
(Microsoft SQL Server samo) Izberite svojo Vrsta avtentikacije:
- Osnovna avtentikacija: Potrebujete lokalno ime računa SQL Server v Uporabniško ime polje.
- Preverjanje pristnosti sistema Windows: Potrebujete račun Windows v formatu username@DOMAIN v Uporabniško ime polje.
V obrazec vnesite naslov strežnika baze podatkov <hostname>:<port> ali <IP-address>:<port>.

primer:
dbhost.example.org:1433 ali 198.51.100.17:1433

Naslov IP lahko uporabite za osnovno preverjanje pristnosti, če vozlišča ne morejo uporabiti DNS za razrešitev imena gostitelja.

Če uporabljate preverjanje pristnosti sistema Windows, morate v formatu vnesti popolnoma kvalificirano ime domene dbhost.example.org:1433
Vnesite Ime baze podatkov.
Vnesite Uporabniško ime in Geslo uporabnika z vsemi privilegiji v bazi podatkov za shranjevanje ključev.

Izberite a Način povezave z bazo podatkov TLS:

Način

Opis

Raje TLS (privzeta možnost)

Vozlišča HDS ne potrebujejo TLS za povezavo s strežnikom baze podatkov. Če omogočite TLS na strežniku baze podatkov, vozlišča poskušajo vzpostaviti šifrirano povezavo.

Zahtevaj TLS

Vozlišča HDS se povežejo le, če se lahko strežnik baze podatkov pogaja o TLS.

Zahtevaj TLS in preveri podpisnika potrdila

Ta način ni uporaben za baze podatkov SQL Server.

Vozlišča HDS se povežejo le, če se lahko strežnik baze podatkov pogaja o TLS.
Po vzpostavitvi povezave TLS vozlišče primerja podpisnika potrdila iz strežnika baze podatkov z overiteljem potrdil v Korensko potrdilo baze podatkov. Če se ne ujemata, vozlišče prekine povezavo.

Uporabi Korensko potrdilo baze podatkov kontrolnik pod spustnim menijem za nalaganje korenskega potrdila za to možnost.

Zahtevaj TLS in preveri podpisnika potrdila in ime gostitelja

Vozlišča HDS se povežejo le, če se lahko strežnik baze podatkov pogaja o TLS.
Po vzpostavitvi povezave TLS vozlišče primerja podpisnika potrdila iz strežnika baze podatkov z overiteljem potrdil v Korensko potrdilo baze podatkov. Če se ne ujemata, vozlišče prekine povezavo.
Vozlišča tudi preverijo, ali se ime gostitelja v potrdilu strežnika ujema z imenom gostitelja v Gostitelj in vrata baze podatkov polje. Imena se morajo natančno ujemati, sicer vozlišče prekine povezavo.

Uporabi Korensko potrdilo baze podatkov kontrolnik pod spustnim menijem za nalaganje korenskega potrdila za to možnost.

Ko naložite korensko potrdilo (če je potrebno) in kliknite Nadaljuj, orodje za nastavitev HDS preizkusi povezavo TLS s strežnikom baze podatkov. Orodje preveri tudi podpisnika potrdila in ime gostitelja, če je na voljo. Če preizkus ne uspe, orodje prikaže sporočilo o napaki, ki opisuje težavo. Izberete lahko, ali želite napako prezreti in nadaljevati z nastavitvijo. (Zaradi razlik v povezljivosti bodo vozlišča HDS morda lahko vzpostavila povezavo TLS, tudi če naprava z orodjem za nastavitev HDS tega ne more uspešno preizkusiti.)

Na strani Sistemski dnevniki konfigurirajte strežnik Syslogd:

Vnesite URL strežnika syslog.

Če strežnika ni mogoče razrešiti z DNS iz vozlišč za vašo gručo HDS, uporabite naslov IP v URL-ju.

primer:
udp://10.92.43.23:514 označuje prijavo v gostitelja Syslogd 10.92.43.23 na vratih UDP 514.
Če ste strežnik nastavili za uporabo šifriranja TLS, preverite Ali je vaš strežnik syslog konfiguriran za šifriranje SSL?.

Če potrdite to potrditveno polje, se prepričajte, da ste vnesli URL TCP, kot je npr tcp://10.92.43.23:514.
Iz Izberite prekinitev zapisa sistemskega dnevnika spustnem meniju izberite ustrezno nastavitev za vašo datoteko ISO: Za Graylog in Rsyslog TCP se uporablja Choose ali Newline
- Ničelni bajt -- \x00
- Nova vrstica -- \n—Izberite to možnost za Graylog in Rsyslog TCP.
Kliknite Nadaljuj.

(Izbirno) Spremenite lahko privzeto vrednost za nekatere parametre povezave z bazo podatkov v Napredne nastavitve. Na splošno je ta parameter edini, ki bi ga morda želeli spremeniti:

app_datasource_connection_pool_maxSize: 10

Kliknite Nadaljuj na Ponastavite geslo za storitvene račune zaslon.

Gesla storitvenih računov imajo življenjsko dobo devet mesecev. Uporabite ta zaslon, ko se vaša gesla bližajo izteku ali jih želite ponastaviti, da razveljavi prejšnje datoteke ISO.

Kliknite Prenesite datoteko ISO. Datoteko shranite na mesto, ki ga je enostavno najti.

Naredite varnostno kopijo datoteke ISO v vašem lokalnem sistemu.

Varnostno kopijo shranite. Ta datoteka vsebuje glavni šifrirni ključ za vsebino baze podatkov. Omejite dostop samo na tiste skrbnike za hibridno varnost podatkov, ki bi morali spremeniti konfiguracijo.

Če želite zaustaviti orodje za nastavitev, vnesite CTRL+C.

Kaj storiti naprej

Varnostno kopirajte konfiguracijsko datoteko ISO. Potrebujete ga za ustvarjanje več vozlišč za obnovitev ali za spreminjanje konfiguracije. Če izgubite vse kopije datoteke ISO, ste izgubili tudi glavni ključ. Obnovitev ključev iz baze podatkov PostgreSQL ali Microsoft SQL Server ni mogoča.

Nikoli nimamo kopije tega ključa in vam ne moremo pomagati, če ga izgubite.

Namestite HDS Host OVA

S tem postopkom ustvarite virtualni stroj iz datoteke OVA.

Uporabite odjemalca VMware vSphere v vašem računalniku, da se prijavite v navideznega gostitelja ESXi.

Izberite mapa > Namestite predlogo OVF.

V čarovniku določite lokacijo datoteke OVA, ki ste jo prej prenesli, in nato kliknite Naslednji .

Na Izberite ime in mapo strani vnesite a Ime navideznega stroja za vozlišče (na primer "HDS_node_1"), izberite lokacijo, kjer je lahko uvedba vozlišča navideznega stroja, in nato kliknite Naslednji .

Na Izberite računalniški vir izberite ciljni računalniški vir in kliknite Naslednji .

Zažene se preverjanje veljavnosti. Ko se konča, se prikažejo podrobnosti predloge.

Preverite podrobnosti predloge in kliknite Naslednji.

Če ste pozvani, da izberete konfiguracijo vira na Konfiguracija strani, kliknite 4 procesor in nato kliknite Naslednji .

Na Izberite shranjevanje strani, kliknite Naslednji da sprejmete privzeti format diska in politiko shranjevanja VM.

Na Izberite omrežja izberite omrežno možnost s seznama vnosov, da zagotovite želeno povezljivost z VM.

Na Prilagodite predlogo strani, konfigurirajte naslednje omrežne nastavitve:

Ime gostitelja—Vnesite FQDN (ime gostitelja in domeno) ali ime gostitelja z eno besedo za vozlišče.

Ni vam treba nastaviti domene, da se ujema z domeno, ki ste jo uporabili za pridobitev potrdila X.509.
Da zagotovite uspešno registracijo v oblak, uporabite samo male črke v FQDN ali imenu gostitelja, ki ste ga nastavili za vozlišče. Uporaba velikih začetnic trenutno ni podprta.
Skupna dolžina FQDN ne sme presegati 64 znakov.

IP naslov— Vnesite naslov IP za notranji vmesnik vozlišča.

Vaše vozlišče mora imeti notranji naslov IP in ime DNS. DHCP ni podprt.
Maska— Vnesite naslov maske podomrežja v decimalnem zapisu s pikami. na primer 255.255.255.0.
Prehod— Vnesite naslov IP prehoda. Prehod je omrežno vozlišče, ki služi kot dostopna točka do drugega omrežja.
DNS strežniki—Vnesite z vejicami ločen seznam strežnikov DNS, ki upravljajo prevajanje imen domen v številske naslove IP. (Dovoljeni so do 4 vnosi DNS.)
strežniki NTP— Vnesite strežnik NTP vaše organizacije ali drug zunanji strežnik NTP, ki ga lahko uporabljate v vaši organizaciji. Privzeti strežniki NTP morda ne bodo delovali v vseh podjetjih. Za vnos več strežnikov NTP lahko uporabite tudi seznam, ločen z vejicami.

Razmestite vsa vozlišča v istem podomrežju ali VLAN, tako da so vsa vozlišča v gruči dosegljiva odjemalcem v vašem omrežju za skrbniške namene.

Če želite, lahko preskočite konfiguracijo omrežnih nastavitev in sledite korakom v Nastavite Hybrid Data Security VM da konfigurirate nastavitve iz konzole vozlišča.

Možnost konfiguracije omrežnih nastavitev med uvajanjem OVA je bila preizkušena z ESXi 6.5. Možnost morda ni na voljo v starejših različicah.

Z desno miškino tipko kliknite vozlišče VM in nato izberite Moč > Vklop .

Programska oprema Hybrid Data Security je nameščena kot gost na gostitelju VM. Zdaj ste pripravljeni, da se prijavite v konzolo in konfigurirate vozlišče.

Nasveti za odpravljanje težav

Preden se vsebniki vozlišč prikažejo, lahko pride do nekajminutne zamude. Med prvim zagonom se na konzoli pojavi sporočilo mostnega požarnega zidu, med katerim se ne morete prijaviti.

Nastavite Hybrid Data Security VM

S tem postopkom se prvič prijavite v konzolo VM vozlišča Hybrid Data Security in nastavite poverilnice za prijavo. S konzolo lahko konfigurirate tudi omrežne nastavitve za vozlišče, če jih niste konfigurirali ob uvedbi OVA.

1	V odjemalcu VMware vSphere izberite VM vozlišča Hybrid Data Security in izberite Konzola zavihek. VM se zažene in prikaže se poziv za prijavo. Če se poziv za prijavo ne prikaže, pritisnite Vnesite.
2	Za prijavo in spremembo poverilnic uporabite naslednjo privzeto prijavo in geslo: Vpiši se: `admin` geslo: `cisco` Ker se v svoj VM vpisujete prvič, morate spremeniti skrbniško geslo.
3	Če ste že konfigurirali omrežne nastavitve v Namestite HDS Host OVA, preskočite preostanek tega postopka. V nasprotnem primeru v glavnem meniju izberite Uredi konfiguracijo možnost.
4	Nastavite statično konfiguracijo z informacijami o naslovu IP, maski, prehodu in DNS. Vaše vozlišče mora imeti notranji naslov IP in ime DNS. DHCP ni podprt.
5	(Izbirno) Spremenite ime gostitelja, domeno ali strežnike NTP, če je potrebno, da se ujemajo z vašo omrežno politiko. Ni vam treba nastaviti domene, da se ujema z domeno, ki ste jo uporabili za pridobitev potrdila X.509.
6	Shranite omrežno konfiguracijo in znova zaženite VM, da bodo spremembe začele veljati.

Naložite in namestite ISO konfiguracije HDS

S tem postopkom konfigurirajte navidezni stroj iz datoteke ISO, ki ste jo ustvarili z orodjem za namestitev HDS.

Preden začneš

Ker datoteka ISO vsebuje glavni ključ, jo je treba razkriti samo na podlagi "potrebe vedeti" za dostop navideznih računalnikov Hybrid Data Security in vseh skrbnikov, ki bodo morda morali narediti spremembe. Prepričajte se, da imajo samo ti skrbniki dostop do shrambe podatkov.

Naložite datoteko ISO iz računalnika:

V levem navigacijskem podoknu odjemalca VMware vSphere kliknite strežnik ESXi.
Na seznamu strojne opreme zavihka Konfiguracija kliknite Shranjevanje.
Na seznamu Datastores z desno miškino tipko kliknite shrambo podatkov za vaše VM in kliknite Prebrskajte po shrambi podatkov.
Kliknite ikono Naloži datoteke in nato kliknite Naloži datoteko.
V računalniku poiščite mesto, kamor ste prenesli datoteko ISO, in kliknite Odprto.
Kliknite ja da sprejmete opozorilo o operaciji nalaganja/prenosa in zaprete pogovorno okno shrambe podatkov.

Namestite datoteko ISO:

V levem navigacijskem podoknu odjemalca VMware vSphere z desno miškino tipko kliknite VM in kliknite Uredi nastavitve.
Kliknite v redu da sprejmete opozorilo o omejenih možnostih urejanja.
Kliknite CD/DVD Drive 1, izberite možnost priklopa iz datoteke ISO shrambe podatkov in poiščite mesto, kamor ste naložili konfiguracijsko datoteko ISO.
Preverite Povezan in Priključite ob vklopu.
Shranite spremembe in znova zaženite virtualni stroj.

Kaj storiti naprej

Če vaša politika IT zahteva, lahko po želji odklopite datoteko ISO, potem ko vsa vaša vozlišča prevzamejo spremembe konfiguracije. glej (Izbirno) Odpni ISO po konfiguraciji HDS za podrobnosti.

Konfigurirajte vozlišče HDS za integracijo posrednika

Če omrežno okolje zahteva proxy, s tem postopkom določite vrsto proxyja, s katerim se želite integrirati Hibridna varnost podatkov. Če izberete proxy proxy za pregledovanje ali eksplicitni proxy HTTPS, lahko uporabite vmesnik vozlišča za nalaganje in namestitev korenskega potrdila. Povezavo proxy lahko preverite tudi prek vmesnika in odpravite morebitne težave.

Preden začneš

glej Podpora za proxy za pregled podprtih možnosti proxyja.
Zahteve za strežnik proxy

1	Vnesite URL za nastavitev vozlišča HDS `https://[HDS Node IP or FQDN]/setup` v spletni brskalnik vnesite skrbniške poverilnice, ki ste jih nastavili za vozlišče, in nato kliknite Prijava.
2	Pojdi do Trust Store & Proxyin nato izberite možnost: Brez posrednika— Privzeta možnost, preden integrirate proxy. Posodobitev potrdila ni potrebna. Transparentni proxy brez nadzora— Vozlišča niso konfigurirana za uporabo določenega naslova proxy strežnika in ne bi smela zahtevati nobenih sprememb za delo s proxyjem, ki ne preverja. Posodobitev potrdila ni potrebna. Transparentni nadzorni pooblaščenec— Vozlišča niso konfigurirana za uporabo določenega naslova strežnika proxy. Spremembe konfiguracije HTTPS niso potrebne na Hibridna varnost podatkov vendar pa vozlišča HDS potrebujejo korensko potrdilo, da zaupajo proxyju. Inspecting proxy običajno uporablja IT za uveljavljanje pravilnikov o tem, katera spletna mesta je mogoče obiskati in katere vrste vsebine niso dovoljene. Ta vrsta proxyja dešifrira ves vaš promet (tudi HTTPS). Eksplicitni posrednik— Z eksplicitnim posrednikom poveste odjemalcu (vozliščem HDS), kateri strežnik proxy naj uporabi, in ta možnost podpira več vrst preverjanja pristnosti. Ko izberete to možnost, morate vnesti naslednje podatke: Proxy IP/FQDN—Naslov, ki ga je mogoče uporabiti za dostop do proxy naprave. Proxy vrata—Številka vrat, ki jih proxy uporablja za poslušanje prometa prek posrednika. Proxy protokol—Izberi http (pregleduje in nadzoruje vse zahteve, ki jih prejme od naročnika) oz https (zagotavlja kanal strežniku, odjemalec pa prejme in potrdi potrdilo strežnika). Izberite možnost glede na to, kaj podpira vaš proxy strežnik. Vrsta avtentikacije—Izbirajte med naslednjimi vrstami preverjanja pristnosti: Noben— Nadaljnje preverjanje pristnosti ni potrebno. Na voljo za strežnike proxy HTTP ali HTTPS. Osnovno—Uporablja se za uporabniškega agenta HTTP, da zagotovi uporabniško ime in geslo, ko poda zahtevo. Uporablja kodiranje Base64. Na voljo za strežnike proxy HTTP ali HTTPS. Če izberete to možnost, morate vnesti tudi uporabniško ime in geslo. prebaviti— Uporablja se za potrditev računa pred pošiljanjem občutljivih informacij. Uporabi zgoščeno funkcijo za uporabniško ime in geslo pred pošiljanjem po omrežju. Na voljo samo za strežnike proxy HTTPS. Če izberete to možnost, morate vnesti tudi uporabniško ime in geslo. Sledite naslednjim korakom za pregleden proxy za pregledovanje, eksplicitni proxy HTTP z osnovnim preverjanjem pristnosti ali eksplicitni proxy HTTPS.
3	Kliknite Naložite korensko potrdilo ali potrdilo končne entitete, nato pa se pomaknite do izbire korenskega potrdila za proxy. Potrdilo je naloženo, vendar še ni nameščeno, ker morate za namestitev potrdila znova zagnati vozlišče. Kliknite puščico ševrona ob imenu izdajatelja potrdila, da dobite več podrobnosti ali kliknite Izbriši če ste se zmotili in želite znova naložiti datoteko.
4	Kliknite Preverite povezavo proxy da preizkusite omrežno povezljivost med vozliščem in posrednikom. Če preizkus povezave ne uspe, boste videli sporočilo o napaki, ki prikazuje razlog in kako lahko odpravite težavo. Če vidite sporočilo, da zunanja razrešitev DNS ni bila uspešna, vozlišče ni moglo doseči strežnika DNS. Ta pogoj je pričakovan v številnih eksplicitnih konfiguracijah proxyja. Lahko nadaljujete z nastavitvijo in vozlišče bo delovalo v načinu blokirane zunanje ločljivosti DNS. Če menite, da je to napaka, dokončajte te korake in si oglejte Izklopite način razreševanja blokiranega zunanjega DNS-ja.
5	Ko je preskus povezave uspešen, za eksplicitni proxy, nastavljen samo na https, preklopite stikalo na Usmerite vse https zahteve vrat 443/444 iz tega vozlišča prek eksplicitnega proxyja. Ta nastavitev začne veljati po 15 sekundah.
6	Kliknite Namestite vsa potrdila v Trust Store (prikaže se za eksplicitni proxy HTTPS ali pregledni proxy za preverjanje) ali Znova zaženite (prikaže se za eksplicitni proxy HTTP), preberite poziv in kliknite Namestite če si pripravljen. Vozlišče se znova zažene v nekaj minutah.
7	Ko se vozlišče znova zažene, se po potrebi znova vpišite in nato odprite Pregled strani, da preverite preverjanja povezljivosti in se prepričate, ali so vsi v zelenem stanju. Preverjanje povezave posrednika testira samo poddomeno webex.com. Če pride do težav s povezljivostjo, je pogosta težava, da so nekatere domene v oblaku, navedene v navodilih za namestitev, blokirane na strežniku proxy.

Registrirajte prvo vozlišče v gruči

Ta naloga prevzame generično vozlišče, ki ste ga ustvarili v Nastavite Hybrid Data Security VM, registrira vozlišče v oblaku Webex in ga spremeni v vozlišče Hybrid Data Security.

Ko registrirate svoje prvo vozlišče, ustvarite gručo, ki ji je vozlišče dodeljeno. Grozd vsebuje eno ali več vozlišč, nameščenih za zagotavljanje redundance.

Preden začneš

Ko začnete z registracijo vozlišča, jo morate dokončati v 60 minutah ali pa morate začeti znova.
Prepričajte se, da so v vašem brskalniku onemogočeni vsi blokatorji pojavnih oken ali da dovolite izjemo za admin.webex.com.

1	Prijavite se v https://admin.webex.com.
2	V meniju na levi strani zaslona izberite Storitve.
3	V razdelku Hybrid Services poiščite Hybrid Data Security in kliknite Nastaviti. Prikaže se stran Register Hybrid Data Security Node.
4	Izberite ja da označite, da ste nastavili vozlišče in ste ga pripravljeni registrirati, in nato kliknite Naslednji.
5	V prvo polje vnesite ime za gručo, ki ji želite dodeliti vozlišče Hybrid Data Security. Priporočamo, da gručo poimenujete glede na to, kje se geografsko nahajajo vozlišča gruče. Primeri: "San Francisco" ali "New York" ali "Dallas"
6	V drugo polje vnesite notranji naslov IP ali popolnoma kvalificirano ime domene (FQDN) svojega vozlišča in kliknite Naslednji. Ta naslov IP ali FQDN se mora ujemati z naslovom IP ali imenom gostitelja in domeno, ki ste jo uporabili Nastavite Hybrid Data Security VM. Prikaže se sporočilo, ki nakazuje, da lahko svoje vozlišče registrirate v Webex.
7	Kliknite Pojdite na Node.
8	Kliknite Nadaljuj v opozorilnem sporočilu. Po nekaj trenutkih ste preusmerjeni na teste povezljivosti vozlišča za storitve Webex. Če so vsi preizkusi uspešni, se prikaže stran Dovoli dostop do vozlišča Hybrid Data Security Node. Tam potrdite, da želite svoji organizaciji Webex dati dovoljenja za dostop do vašega vozlišča.
9	Preverite Dovolite dostop do vašega vozlišča Hybrid Data Security Node potrditveno polje in nato kliknite Nadaljuj. Vaš račun je potrjen in sporočilo »Registracija je dokončana« nakazuje, da je vaše vozlišče zdaj registrirano v oblaku Webex.
10	Kliknite povezavo ali zaprite zavihek, da se vrnete na stran Hybrid Data Security Control Hub. Na Hibridna varnost podatkov stran, se prikaže nova gruča, ki vsebuje vozlišče, ki ste ga registrirali. Vozlišče bo samodejno preneslo najnovejšo programsko opremo iz oblaka.

Ustvarite in registrirajte več vozlišč

Če želite dodati dodatna vozlišča v vašo gručo, preprosto ustvarite dodatne VM-je in namestite isto konfiguracijsko datoteko ISO, nato pa registrirajte vozlišče. Priporočamo, da imate vsaj 3 vozlišča.

Trenutno so varnostni VM-ji, ki ste jih ustvarili v Izpolnite predpogoje za hibridno varnost podatkov so gostitelji v pripravljenosti, ki se uporabljajo samo v primeru obnovitve po katastrofi; do takrat niso registrirani v sistemu. Za podrobnosti glejte Obnovitev po nesreči z uporabo podatkovnega centra v pripravljenosti.

Preden začneš

Ko začnete z registracijo vozlišča, jo morate dokončati v 60 minutah ali pa morate začeti znova.
Prepričajte se, da so v vašem brskalniku onemogočeni vsi blokatorji pojavnih oken ali da dovolite izjemo za admin.webex.com.

1	Ustvarite nov virtualni stroj iz OVA in ponovite korake Namestite HDS Host OVA.
2	Nastavite začetno konfiguracijo na novem VM in ponovite korake v Nastavite Hybrid Data Security VM.
3	Na novem VM ponovite korake v Naložite in namestite ISO konfiguracije HDS.
4	Če nastavljate proxy za svojo uvedbo, ponovite korake v Konfigurirajte vozlišče HDS za integracijo posrednika kot je potrebno za novo vozlišče.
5	Registrirajte vozlišče. notri https://admin.webex.com, izberite Storitve iz menija na levi strani zaslona. V razdelku Hybrid Services poiščite kartico Hybrid Data Security in kliknite Viri. Prikaže se stran z viri za varnost hibridnih podatkov. Kliknite Dodaj vir. V prvem polju izberite ime obstoječe gruče. V drugo polje vnesite notranji naslov IP ali popolnoma kvalificirano ime domene (FQDN) svojega vozlišča in kliknite Naslednji. Prikaže se sporočilo, ki označuje, da lahko svoje vozlišče registrirate v oblaku Webex. Kliknite Pojdite na Node. Po nekaj trenutkih ste preusmerjeni na teste povezljivosti vozlišča za storitve Webex. Če so vsi preizkusi uspešni, se prikaže stran Dovoli dostop do vozlišča Hybrid Data Security Node. Tam potrdite, da želite svoji organizaciji dati dovoljenja za dostop do vašega vozlišča. Preverite Dovolite dostop do vašega vozlišča Hybrid Data Security Node potrditveno polje in nato kliknite Nadaljuj. Vaš račun je potrjen in sporočilo »Registracija je dokončana« nakazuje, da je vaše vozlišče zdaj registrirano v oblaku Webex. Kliknite povezavo ali zaprite zavihek, da se vrnete na stran Hybrid Data Security Control Hub. Vaše vozlišče je registrirano. Upoštevajte, da dokler ne začnete preizkusa, vaša vozlišča ustvarijo alarm, ki nakazuje, da vaša storitev še ni aktivirana.

Kaj storiti naprej

Izvedite preizkus in se premaknite v produkcijo (naslednje poglavje)

Izvedite preizkus in se premaknite v produkcijo

Potek naloge od poskusa do proizvodnje

Ko nastavite gručo Hybrid Data Security, lahko zaženete pilotni projekt, vanj dodate uporabnike in ga začnete uporabljati za preizkušanje in preverjanje vaše uvedbe v pripravah na selitev v proizvodnjo.

Preden začneš

1	Če je primerno, sinhronizirajte `HdsTrialGroup` predmet skupine. Če vaša organizacija uporablja sinhronizacijo imenikov za uporabnike, morate izbrati `HdsTrialGroup` predmet skupine za sinhronizacijo z oblakom, preden lahko začnete preskusno različico. Za navodila glejte Vodnik za uvajanje za Cisco Directory Connector.
2	Aktiviraj preizkus Začni poskus. Dokler ne opravite te naloge, vaša vozlišča ustvarijo alarm, ki nakazuje, da storitev še ni aktivirana.
3	Preizkusite svojo hibridno uvedbo varnosti podatkov Preverite, ali ključne zahteve prehajajo v vašo uvedbo Hybrid Data Security.
4	Spremljajte varnost hibridnih podatkov Preverite stanje in nastavite e-poštna obvestila za alarme.
5	Dodajte ali odstranite uporabnike iz svojega preizkusa
6	Dokončajte preskusno fazo z enim od naslednjih dejanj: Premaknite se s preskusne različice na produkcijsko Končajte preizkus, ne da bi se preselili v proizvodnjo

Aktiviraj preizkus

Preden začneš

Če vaša organizacija uporablja sinhronizacijo imenikov za uporabnike, morate izbrati HdsTrialGroup predmet skupine za sinhronizacijo z oblakom, preden lahko začnete preskusno obdobje za svojo organizacijo. Za navodila glejte Vodnik za uvajanje za Cisco Directory Connector.

1	Prijavite se v https://admin.webex.comin nato izberite Storitve.
2	V razdelku Hibridna varnost podatkov kliknite nastavitve.
3	V razdelku Status storitve kliknite Začni preizkus. Stanje storitve se spremeni v poskusni način.
4	Kliknite Dodajanje uporabnikov in vnesite e-poštni naslov enega ali več uporabnikov za poskusno uporabo vozlišč Hybrid Data Security za storitve šifriranja in indeksiranja. (Če vaša organizacija uporablja sinhronizacijo imenikov, uporabite Active Directory za upravljanje poskusne skupine, `HdsTrialGroup`.)

Preizkusite svojo hibridno uvedbo varnosti podatkov

S tem postopkom preizkusite scenarije šifriranja Hybrid Data Security.

Preden začneš

Nastavite svojo uvedbo Hybrid Data Security.
Aktivirajte preskusno različico in dodajte več poskusnih uporabnikov.
Prepričajte se, da imate dostop do sistemskega dnevnika, da preverite, ali ključne zahteve prehajajo v vašo uvedbo Hybrid Data Security.

Ključe za določen prostor nastavi ustvarjalec prostora. Prijavite se v aplikacijo Webex kot eden od pilotnih uporabnikov, nato pa ustvarite prostor in povabite vsaj enega pilotnega uporabnika in enega nepilotnega uporabnika.

Če deaktivirate uvedbo Hybrid Data Security, vsebina v prostorih, ki jih ustvarijo pilotni uporabniki, po zamenjavi kopij šifrirnih ključev, shranjenih v odjemalcu, ni več dostopna.

Pošljite sporočila v novi prostor.

Preverite izhod sistemskega dnevnika, da preverite, ali ključne zahteve prehajajo v vašo uvedbo Hybrid Data Security.

Če želite preveriti, ali uporabnik najprej vzpostavi varen kanal za KMS, vklopite filter kms.data.method=create in kms.data.type=EPHEMERAL_KEY_COLLECTION:

Morali bi najti vnos, kot je ta (identifikatorji so skrajšani zaradi berljivosti):

2020-07-21 17:35:34.562 (+0000) INFO  KMS [pool-14-thread-1] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, 
kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

Če želite preveriti, ali uporabnik zahteva obstoječi ključ iz KMS, vklopite filter kms.data.method=retrieve in kms.data.type=KEY:

Morali bi najti vnos, kot je:

2020-07-21 17:44:19.889 (+0000) INFO  KMS [pool-14-thread-31] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, 
kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, 
kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

Če želite preveriti, ali uporabnik zahteva ustvarjanje novega ključa KMS, filtrirajte na kms.data.method=create in kms.data.type=KEY_COLLECTION:

Morali bi najti vnos, kot je:

2020-07-21 17:44:21.975 (+0000) INFO  KMS [pool-14-thread-33] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, 
kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, 
kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

Če želite preveriti, ali uporabnik zahteva ustvarjanje novega predmeta vira KMS (KRO), ko je ustvarjen prostor ali drug zaščiten vir, filtrirajte na kms.data.method=create in kms.data.type=RESOURCE_COLLECTION:

Morali bi najti vnos, kot je:

2020-07-21 17:44:22.808 (+0000) INFO  KMS [pool-15-thread-1] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

Spremljajte varnost hibridnih podatkov

Indikator stanja v Control Hubu vam pokaže, ali je z uvedbo Hybrid Data Security vse v redu. Za bolj proaktivno opozarjanje se prijavite na e-poštna obvestila. Obveščeni boste, ko pride do alarmov ali nadgradenj programske opreme, ki vplivajo na storitev.

1	notri Nadzorno središče, izberite Storitve iz menija na levi strani zaslona.
2	V razdelku Hybrid Services poiščite Hybrid Data Security in kliknite nastavitve. Prikaže se stran z nastavitvami hibridne varnosti podatkov.
3	V razdelku E-poštna obvestila vnesite enega ali več e-poštnih naslovov, ločenih z vejicami, in pritisnite Vnesite.

Dodajte ali odstranite uporabnike iz svojega preizkusa

Ko aktivirate preskusno različico in dodate začetni nabor preskusnih uporabnikov, lahko kadar koli dodate ali odstranite člane preizkusne različice, medtem ko je preskusna različica aktivna.

Če odstranite uporabnika iz preizkusa, bo uporabnikov odjemalec zahteval ključe in ustvarjanje ključa iz oblaka KMS namesto vašega KMS. Če odjemalec potrebuje ključ, ki je shranjen na vašem KMS, ga bo KMS v oblaku pridobil v imenu uporabnika.

Če vaša organizacija uporablja sinhronizacijo imenikov, uporabite Active Directory (namesto tega postopka) za upravljanje poskusne skupine, HdsTrialGroup; člane skupine si lahko ogledate v Nadzornem središču, vendar jih ne morete dodati ali odstraniti.

1	Prijavite se v Control Hub in nato izberite Storitve.
2	V razdelku Hibridna varnost podatkov kliknite nastavitve.
3	V razdelku Preizkusni način v območju Stanje storitve kliknite Dodajanje uporabnikov, ali kliknite ogled in urejanje za odstranitev uporabnikov iz preizkusa.
4	Vnesite e-poštni naslov enega ali več uporabnikov, ki jih želite dodati, ali kliknite X z ID-jem uporabnika, da uporabnika odstranite iz preizkusa. Nato kliknite Shrani.

Premaknite se s preskusne različice na produkcijsko

Ko ste zadovoljni, da vaša uvedba dobro deluje za uporabnike preskusne različice, se lahko premaknete na produkcijo. Ko se premaknete v produkcijo, bodo vsi uporabniki v organizaciji uporabljali vašo domeno Hybrid Data Security na mestu uporabe za šifrirne ključe in druge storitve varnostnega področja. Ne morete se vrniti v preskusni način iz proizvodnje, razen če deaktivirate storitev kot del obnovitve po katastrofi. Ponovna aktivacija storitve zahteva nastavitev novega preizkusa.

1	Prijavite se v Control Hub in nato izberite Storitve.
2	V razdelku Hibridna varnost podatkov kliknite nastavitve.
3	V razdelku Status storitve kliknite Premakni se v proizvodnjo.
4	Potrdite, da želite vse svoje uporabnike premakniti v produkcijo.

Končajte preizkus, ne da bi se preselili v proizvodnjo

Če se med preizkusom odločite, da ne boste nadaljevali z uvedbo Hybrid Data Security, lahko deaktivirate Hybrid Data Security, s čimer se preskus konča in uporabniki preizkusa premaknejo nazaj na storitve varnosti podatkov v oblaku. Uporabniki preskusne različice bodo izgubili dostop do podatkov, ki so bili med preskusno različico šifrirani.

1	Prijavite se v Control Hub in nato izberite Storitve.
2	V razdelku Hibridna varnost podatkov kliknite nastavitve.
3	V razdelku Deaktiviraj kliknite Deaktiviraj.
4	Potrdite, da želite deaktivirati storitev in končati preskusno obdobje.

Upravljajte svojo namestitev HDS

Upravljanje uvajanja HDS

Uporabite tukaj opisane naloge za upravljanje svoje razmestitve Hybrid Data Security.

Nastavite urnik nadgradnje gruče

Nadgradnje programske opreme za Hybrid Data Security se izvajajo samodejno na ravni gruče, kar zagotavlja, da vsa vozlišča vedno izvajajo isto različico programske opreme. Nadgradnje potekajo v skladu z urnikom nadgradnje za gručo. Ko je na voljo nadgradnja programske opreme, imate možnost ročne nadgradnje gruče pred načrtovanim časom nadgradnje. Nastavite lahko določen urnik nadgradnje ali uporabite privzeti urnik 3:00 zjutraj dnevno Združene države: Amerika/Los Angeles. Po potrebi se lahko odločite tudi za odložitev prihajajoče nadgradnje.

Če želite nastaviti urnik nadgradnje:

1	Prijavite se v Nadzorno središče.
2	Na strani Pregled v razdelku Hibridne storitve izberite Hibridna varnost podatkov.
3	Na strani Viri za varnost hibridnih podatkov izberite gručo.
4	Na plošči Pregled na desni v razdelku Nastavitve gruče izberite ime gruče.
5	Na strani z nastavitvami v razdelku Nadgradnja izberite čas in časovni pas za urnik nadgradnje. Opomba: Pod časovnim pasom sta prikazana datum in čas naslednje razpoložljive nadgradnje. Nadgradnjo lahko po potrebi prestavite na naslednji dan s klikom Odložiti.

Spremenite konfiguracijo vozlišča

Občasno boste morda morali spremeniti konfiguracijo svojega vozlišča Hybrid Data Security iz razlogov, kot so:

Spreminjanje potrdil x.509 zaradi poteka veljavnosti ali drugih razlogov.

Ne podpiramo spreminjanja imena domene CN potrdila. Domena se mora ujemati z izvirno domeno, uporabljeno za registracijo gruče.

Posodabljanje nastavitev baze podatkov za spremembo v repliko baze podatkov PostgreSQL ali Microsoft SQL Server.

Ne podpiramo selitve podatkov iz PostgreSQL v Microsoft SQL Server ali obratno. Če želite preklopiti okolje baze podatkov, začnite novo uvedbo Hybrid Data Security.

Ustvarjanje nove konfiguracije za pripravo novega podatkovnega centra.

Poleg tega za varnostne namene Hybrid Data Security uporablja gesla storitvenih računov, ki imajo devetmesečno življenjsko dobo. Ko orodje HDS Setup ustvari ta gesla, jih namestite v vsako od svojih vozlišč HDS v konfiguracijski datoteki ISO. Ko se gesla vaše organizacije bližajo izteku, prejmete obvestilo ekipe Webex za ponastavitev gesla za vaš strojni račun. (E-poštno sporočilo vključuje besedilo »Uporabite API računa stroja za posodobitev gesla.«) Če vaša gesla še niso potekla, vam orodje ponuja dve možnosti:

Mehka ponastavitev— Staro in novo geslo delujeta do 10 dni. To obdobje uporabite za postopno zamenjavo datoteke ISO na vozliščih.
Trda ponastavitev— Stara gesla prenehajo delovati takoj.

Če vaša gesla potečejo brez ponastavitve, to vpliva na vašo storitev HDS, saj zahteva takojšnjo strojno ponastavitev in zamenjavo datoteke ISO na vseh vozliščih.

S tem postopkom ustvarite novo konfiguracijsko datoteko ISO in jo uporabite za vašo gručo.

Preden začneš

Če orodje za namestitev HDS deluje za proxyjem v vašem okolju, podajte nastavitve proxyja (strežnik, vrata, poverilnice) prek spremenljivk okolja Docker, ko prikažete vsebnik Docker v 1.e. Ta tabela podaja nekaj možnih spremenljivk okolja:

Opis	Spremenljivka
HTTP Proxy brez avtentikacije	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
HTTPS Proxy brez avtentikacije	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
HTTP proxy z avtentikacijo	`GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
HTTPS Proxy z avtentikacijo	`GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

Za ustvarjanje nove konfiguracije potrebujete kopijo trenutne konfiguracijske datoteke ISO. ISO vsebuje glavni ključ, ki šifrira bazo podatkov PostgreSQL ali Microsoft SQL Server. ISO potrebujete, ko spreminjate konfiguracijo, vključno s poverilnicami baze podatkov, posodobitvami potrdil ali spremembami pravilnika avtorizacije.

Z Dockerjem na lokalnem računalniku zaženite orodje za namestitev HDS.

V ukazno vrstico vašega računalnika vnesite ustrezen ukaz za vaše okolje:
V običajnih okoljih:
```
docker rmi ciscocitg/hds-setup:stable
```
V okoljih FedRAMP:
```
docker rmi ciscocitg/hds-setup-fedramp:stable
```
Ta korak počisti prejšnje slike orodja za nastavitev HDS. Če ni prejšnjih slik, vrne napako, ki jo lahko prezrete.
Za vpis v register slik Docker vnesite naslednje:
```
docker login -u hdscustomersro
```
Ob pozivu za geslo vnesite to zgoščeno vrednost:
```
dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
```

Prenesite najnovejšo stabilno sliko za vaše okolje:

V običajnih okoljih:

docker pull ciscocitg/hds-setup:stable

V okoljih FedRAMP:

docker pull ciscocitg/hds-setup-fedramp:stable

Prepričajte se, da ste za ta postopek uporabili najnovejšo namestitveno orodje. Različice orodja, ustvarjene pred 22. februarjem 2018, nimajo zaslonov za ponastavitev gesla.

Ko je vlečenje končano, vnesite ustrezen ukaz za vaše okolje:

V običajnih okoljih brez posrednika:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

V običajnih okoljih s strežnikom proxy HTTP:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

V običajnih okoljih s proxyjem HTTPS:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

V okoljih FedRAMP brez posrednika:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

V okoljih FedRAMP s strežnikom proxy HTTP:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

V okoljih FedRAMP s strežnikom proxy HTTPS:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Ko se vsebnik izvaja, vidite »Strežnik Express posluša na vratih 8080«.

Uporabite brskalnik za povezavo z lokalnim gostiteljem, http://127.0.0.1:8080.

Orodje za namestitev ne podpira povezovanja z lokalnim gostiteljem prek http://localhost:8080. Uporaba http://127.0.0.1:8080 za povezavo z lokalnim gostiteljem.

Ko ste pozvani, vnesite svoje poverilnice za prijavo stranke Control Hub in kliknite Sprejmi nadaljevati.
Uvozite trenutno konfiguracijsko datoteko ISO.
Sledite navodilom za dokončanje orodja in prenos posodobljene datoteke.

Če želite zaustaviti orodje za nastavitev, vnesite CTRL+C.
Ustvarite varnostno kopijo posodobljene datoteke v drugem podatkovnem centru.

Če imate samo eno vozlišče HDS, ustvarite nov VM vozlišča Hybrid Data Security in ga registrirajte z novo konfiguracijsko datoteko ISO. Za podrobnejša navodila glejte Ustvarite in registrirajte več vozlišč.

Namestite HDS host OVA.
Nastavite HDS VM.
Namestite posodobljeno konfiguracijsko datoteko.
Registrirajte novo vozlišče v Control Hub.

Za obstoječa vozlišča HDS, ki izvajajo starejšo konfiguracijsko datoteko, namestite datoteko ISO. Izvedite naslednji postopek na vsakem vozlišču po vrsti in posodobite vsako vozlišče, preden izklopite naslednje vozlišče:

Izklopite virtualni stroj.
V levem navigacijskem podoknu odjemalca VMware vSphere z desno miškino tipko kliknite VM in kliknite Uredi nastavitve.
Kliknite CD/DVD Drive 1, izberite možnost za namestitev iz datoteke ISO in poiščite mesto, kamor ste prenesli novo konfiguracijsko datoteko ISO.
Preverite Priključite ob vklopu.
Shranite spremembe in vklopite virtualni stroj.

Ponovite 3. korak, da zamenjate konfiguracijo na vsakem preostalem vozlišču, ki izvaja staro konfiguracijo.

Izklopite način razreševanja blokiranega zunanjega DNS-ja

Ko registrirate vozlišče ali preverite konfiguracijo proxy vozlišča, postopek preizkusi iskanje DNS in povezljivost z oblakom Cisco Webex. Če strežnik DNS vozlišča ne more razrešiti javnih imen DNS, vozlišče samodejno preide v način blokiranega zunanjega razreševanja DNS.

Če lahko vaša vozlišča razrešijo javna imena DNS prek notranjih strežnikov DNS, lahko ta način izklopite tako, da na vsakem vozlišču znova zaženete preskus povezave proxy.

Preden začneš

Zagotovite, da lahko vaši notranji strežniki DNS razrešijo javna imena DNS in da lahko vaša vozlišča komunicirajo z njimi.

1	V spletnem brskalniku odprite vmesnik vozlišča Hybrid Data Security (naslov IP/nastavitev, npr. https://192.0.2.0/setup), vnesite skrbniške poverilnice, ki ste jih nastavili za vozlišče, in nato kliknite Prijava.
2	Pojdi do Pregled (privzeta stran). Ko je omogočeno, Blokirana zunanja razrešitev DNS je nastavljeno na ja.
3	Pojdi na Trust Store & Proxy strani.
4	Kliknite Preverite povezavo proxy. Če vidite sporočilo, da zunanja razrešitev DNS ni bila uspešna, vozlišče ni moglo doseči strežnika DNS in bo ostalo v tem načinu. V nasprotnem primeru, ko znova zaženete vozlišče in se vrnete na Pregled stran, Blokirana zunanja DNS resolucija mora biti nastavljena na št.

Kaj storiti naprej

Ponovite preizkus povezave proxy na vsakem vozlišču v vaši gruči Hybrid Data Security.

Odstranite vozlišče

S tem postopkom odstranite vozlišče Hybrid Data Security iz oblaka Webex. Ko odstranite vozlišče iz gruče, izbrišite navidezni stroj, da preprečite nadaljnji dostop do vaših varnostnih podatkov.

Uporabite odjemalca VMware vSphere v vašem računalniku, da se prijavite v virtualni gostitelj ESXi in izklopite virtualni stroj.

Odstranite vozlišče:

Prijavite se v Control Hub in nato izberite Storitve.
Na kartici Hybrid Data Security kliknite Poglej vse za prikaz strani Hibridni viri za varnost podatkov.
Izberite svojo gručo, da prikažete njeno pregledno ploščo.
Kliknite Odpri seznam vozlišč.
Na zavihku Vozlišča izberite vozlišče, ki ga želite odstraniti.
Kliknite Dejanja > Odjavi vozlišče.

V odjemalcu vSphere izbrišite VM. (V levem podoknu za krmarjenje z desno miškino tipko kliknite VM in kliknite Izbriši.)

Če VM ne izbrišete, ne pozabite odklopiti konfiguracijske datoteke ISO. Brez datoteke ISO ne morete uporabljati VM za dostop do svojih varnostnih podatkov.

Obnovitev po nesreči z uporabo podatkovnega centra v pripravljenosti

Najbolj kritična storitev, ki jo nudi vaša gruča Hybrid Data Security, je ustvarjanje in shranjevanje ključev, ki se uporabljajo za šifriranje sporočil in druge vsebine, shranjene v oblaku Webex. Za vsakega uporabnika v organizaciji, ki je dodeljen Hybrid Data Security, so nove zahteve za ustvarjanje ključev usmerjene v gručo. Grozd je odgovoren tudi za vrnitev ključev, ki jih je ustvaril vsem uporabnikom, ki so pooblaščeni, da jih pridobijo, na primer članom prostora za pogovor.

Ker gruča opravlja kritično funkcijo zagotavljanja teh ključev, je nujno, da gruča še naprej deluje in da se vzdržujejo ustrezne varnostne kopije. Izguba podatkovne baze Hybrid Data Security ali konfiguracijskega ISO, ki se uporablja za shemo, bo povzročila NEPODOLČLJIVO IZGUBO vsebine stranke. Naslednje prakse so obvezne za preprečitev takšne izgube:

Če katastrofa povzroči, da uvedba HDS v primarnem podatkovnem centru postane nerazpoložljiva, sledite temu postopku za ročni samodejni preklop v rezervni podatkovni center.

Zaženite orodje HDS Setup in sledite korakom, navedenim v Ustvarite konfiguracijski ISO za gostitelje HDS.

Ko konfigurirate strežnik Syslogd, kliknite na Napredne nastavitve

Na Napredne nastavitve stran, dodajte spodnjo konfiguracijo ali odstranite passiveMode konfiguracijo, da bo vozlišče aktivno. Vozlišče lahko obravnava promet, ko je to konfigurirano.


passiveMode: 'false'

Dokončajte postopek konfiguracije in shranite datoteko ISO na mesto, ki ga je enostavno najti.

V levem podoknu za krmarjenje odjemalca VMware vSphere z desno miškino tipko kliknite VM in kliknite Uredi nastavitve..

Kliknite Uredi nastavitve >CD/DVD pogon 1 in izberite Datastore ISO File.

Poskrbi Povezan in Priključite ob vklopu so označene, tako da lahko posodobljene konfiguracijske spremembe začnejo veljati po zagonu vozlišč.

Vklopite vozlišče HDS in se prepričajte, da ni alarmov vsaj 15 minut.

Ponovite postopek za vsako vozlišče v podatkovnem centru v pripravljenosti.

Preverite izhod sistemskega dnevnika, da preverite, ali vozlišča podatkovnega centra v pripravljenosti niso v pasivnem načinu. »KMS konfiguriran v pasivnem načinu« se ne sme prikazati v sistemskih dnevnikih.

Kaj storiti naprej

Če primarni podatkovni center po samodejnem preklopu znova postane aktiven, znova prestavite podatkovni center v pripravljenosti v pasivni način, tako da sledite korakom, opisanim v Nastavite podatkovni center v pripravljenosti za obnovitev po katastrofi.

(Izbirno) Odpni ISO po konfiguraciji HDS

Standardna konfiguracija HDS deluje z nameščenim ISO. Toda nekatere stranke raje ne puščajo datotek ISO neprekinjeno nameščenih. Datoteko ISO lahko odklopite, ko vsa vozlišča HDS prevzamejo novo konfiguracijo.

Za spreminjanje konfiguracije še vedno uporabljate datoteke ISO. Ko ustvarite nov ISO ali posodobite ISO prek orodja za nastavitev, morate posodobljeni ISO namestiti na vsa vozlišča HDS. Ko so vsa vaša vozlišča prevzela konfiguracijske spremembe, lahko s tem postopkom znova odklopite ISO.

Preden začneš

Nadgradite vsa svoja vozlišča HDS na različico 2021.01.22.4720 ali novejšo.

1	Zaustavite eno od vozlišč HDS.
2	V strežniški napravi vCenter izberite vozlišče HDS.
3	Izberite Uredi nastavitve > CD/DVD pogon in odkljukajte Datoteka ISO za shranjevanje podatkov.
4	Vklopite vozlišče HDS in zagotovite, da vsaj 20 minut ni alarmov.
5	Ponovite za vsako vozlišče HDS po vrsti.

Odpravljanje težav s hibridno varnostjo podatkov

Ogled opozoril in odpravljanje težav

Uvedba hibridne varnosti podatkov se šteje za nerazpoložljivo, če so vsa vozlišča v gruči nedosegljiva ali če gruča deluje tako počasi, da zahteva preteče čas. Če uporabniki ne morejo doseči vaše gruče Hybrid Data Security, se pojavijo naslednji simptomi:

Novih prostorov ni mogoče ustvariti (ni mogoče ustvariti novih ključev)
Sporočil in naslovov prostorov ni mogoče dešifrirati za:
- Novi uporabniki dodani v prostor (ni mogoče pridobiti ključev)
- Obstoječi uporabniki v prostoru, ki uporabljajo novega odjemalca (ni mogoče pridobiti ključev)
Obstoječi uporabniki v prostoru bodo še naprej uspešno delovali, dokler imajo njihovi odjemalci predpomnilnik šifrirnih ključev

Pomembno je, da pravilno spremljate svojo gručo Hybrid Data Security in nemudoma obravnavate vsa opozorila, da preprečite motnje storitve.

Opozorila

Če pride do težave z nastavitvijo Hybrid Data Security, Control Hub prikaže opozorila skrbniku organizacije in pošlje e-pošto na konfigurirani e-poštni naslov. Opozorila zajemajo številne pogoste scenarije.

Tabela 1. Pogoste težave in koraki za njihovo rešitev
Opozorilo	Akcija
Napaka pri dostopu do lokalne baze podatkov.	Preverite napake baze podatkov ali težave z lokalnim omrežjem.
Napaka povezave z lokalno bazo podatkov.	Preverite, ali je strežnik baze podatkov na voljo in ali so bile v konfiguraciji vozlišča uporabljene prave poverilnice storitvenega računa.
Napaka pri dostopu do storitve v oblaku.	Preverite, ali lahko vozlišča dostopajo do strežnikov Webex, kot je določeno v Zahteve za zunanjo povezljivost.
Podaljšanje registracije storitve v oblaku.	Registracija v storitvah v oblaku je bila opuščena. Podaljšanje registracije je v teku.
Registracija storitve v oblaku je padla.	Registracija v storitve v oblaku je prekinjena. Storitev se zapira.
Storitev še ni aktivirana.	Aktivirajte preskusno različico ali dokončajte premik preizkusne različice v produkcijo.
Konfigurirana domena se ne ujema s potrdilom strežnika.	Prepričajte se, da se vaše potrdilo strežnika ujema s konfigurirano domeno za aktiviranje storitve. Najverjetnejši vzrok je, da je bilo potrdilo CN nedavno spremenjeno in se zdaj razlikuje od CN, ki je bilo uporabljeno med prvotno nastavitvijo.
Preverjanje pristnosti v storitvah v oblaku ni uspelo.	Preverite točnost in morebiten potek poverilnic storitvenega računa.
Lokalne datoteke shrambe ključev ni bilo mogoče odpreti.	Preverite celovitost in točnost gesla v datoteki lokalne shrambe ključev.
Potrdilo lokalnega strežnika ni veljavno.	Preverite datum veljavnosti strežniškega potrdila in potrdite, da ga je izdal zaupanja vreden overitelj potrdil.
Ni mogoče objaviti meritev.	Preverite dostop lokalnega omrežja do zunanjih storitev v oblaku.
Imenik /media/configdrive/hds ne obstaja.	Preverite konfiguracijo namestitve ISO na virtualnem gostitelju. Preverite, ali datoteka ISO obstaja, ali je konfigurirana za namestitev ob ponovnem zagonu in ali je uspešno nameščena.

Odpravljanje težav s hibridno varnostjo podatkov

Pri odpravljanju težav s hibridno varnostjo podatkov upoštevajte naslednje splošne smernice.

1	Preglejte Control Hub za vsa opozorila in popravite vse elemente, ki jih najdete tam.
2	Preglejte izhod strežnika syslog za dejavnost razmestitve Hybrid Data Security.
3	Kontakt Cisco podpora.

Druge opombe

Znane težave pri hibridni varnosti podatkov

Če zaustavite svojo gručo Hybrid Data Security (tako da jo izbrišete v Control Hubu ali tako, da zaustavite vsa vozlišča), izgubite konfiguracijsko datoteko ISO ali izgubite dostop do baze podatkov shrambe ključev, vaši uporabniki aplikacije Webex ne morejo več uporabljati prostorov pod svojimi Ljudje seznam, ki so bili ustvarjeni s ključi iz vašega KMS. To velja tako za poskusno kot za proizvodno uvedbo. Trenutno nimamo rešitve ali popravka za to težavo in vas pozivamo, da ne zaustavite storitev HDS, ko obravnavajo aktivne uporabniške račune.
Odjemalec, ki ima obstoječo povezavo ECDH s KMS, vzdržuje to povezavo nekaj časa (verjetno eno uro). Ko uporabnik postane član preskusne različice Hybrid Data Security, uporabnikov odjemalec nadaljuje z uporabo obstoječe povezave ECDH, dokler ne poteče čas. Druga možnost je, da se uporabnik odjavi in znova prijavi v aplikacijo Webex App, da posodobi lokacijo, s katero se aplikacija obrne za šifrirne ključe.

Enako vedenje se zgodi, ko preizkus premaknete v proizvodnjo za organizacijo. Vsi uporabniki brez preskusne različice z obstoječimi povezavami ECDH s prejšnjimi storitvami za varnost podatkov bodo še naprej uporabljali te storitve, dokler se povezava ECDH ponovno ne dogovori (prek časovne omejitve ali z odjavo in ponovnim vstopom).

Uporabite OpenSSL za ustvarjanje datoteke PKCS12

Preden začneš

OpenSSL je eno orodje, ki ga lahko uporabite za izdelavo datoteke PKCS12 v ustreznem formatu za nalaganje v orodju za nastavitev HDS. Obstajajo drugi načini za to in ne podpiramo ali spodbujamo enega načina namesto drugega.
Če se odločite za uporabo OpenSSL, ponujamo ta postopek kot smernico za pomoč pri ustvarjanju datoteke, ki izpolnjuje zahteve potrdila X.509 v Zahteve za potrdilo X.509. Razumite te zahteve, preden nadaljujete.
Namestite OpenSSL v podprto okolje. glej https://www.openssl.org za programsko opremo in dokumentacijo.
Ustvari zasebni ključ.
Začnite ta postopek, ko prejmete strežniško potrdilo od svojega overitelja potrdil (CA).

1	Ko prejmete strežniško potrdilo od službe za potrdila, ga shranite kot `hdsnode.pem`.
2	Prikažite potrdilo kot besedilo in preverite podrobnosti. `openssl x509 -text -noout -in hdsnode.pem`
3	Z urejevalnikom besedila ustvarite datoteko svežnja potrdil, imenovano `hdsnode-bundle.pem`. Datoteka paketa mora vključevati potrdilo strežnika, vsa vmesna potrdila CA in korenska potrdila CA v spodnji obliki: `-----BEGIN CERTIFICATE----- ### Server certificate. ### -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ### Intermediate CA certificate. ### -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ### Root CA certificate. ### -----END CERTIFICATE-----`
4	Ustvarite datoteko .p12 s prijaznim imenom `kms-private-key`. `openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12`
5	Preverite podrobnosti potrdila strežnika. `openssl pkcs12 -in hdsnode.p12` Ob pozivu vnesite geslo za šifriranje zasebnega ključa, da bo naveden v izhodu. Nato preverite, ali zasebni ključ in prvo potrdilo vključujeta vrstice `friendlyName: kms-private-key`. primer: bash$ openssl pkcs12 -in hdsnode.p12 Enter Import Password: MAC verified OK Bag Attributes friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Key Attributes: <No Attributes> Enter PEM pass phrase: Verifying - Enter PEM pass phrase: -----BEGIN ENCRYPTED PRIVATE KEY----- <redacted> -----END ENCRYPTED PRIVATE KEY----- Bag Attributes friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 -----BEGIN CERTIFICATE----- <redacted> -----END CERTIFICATE----- Bag Attributes friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3 -----BEGIN CERTIFICATE----- <redacted> -----END CERTIFICATE-----

Kaj storiti naprej

Vrnitev na Izpolnite predpogoje za hibridno varnost podatkov. Uporabili boste hdsnode.p12 datoteko in geslo, ki ste ga nastavili zanjo, v Ustvarite konfiguracijski ISO za gostitelje HDS.

Te datoteke lahko znova uporabite za zahtevo po novem potrdilu, ko prvotno potrdilo poteče.

Promet med vozlišči HDS in oblakom

Odhodni promet zbiranja meritev

Vozlišča Hybrid Data Security pošiljajo določene meritve v oblak Webex. Ti vključujejo sistemske meritve za največjo kopico, uporabljeno kopico, obremenitev procesorja in število niti; metrike sinhronih in asinhronih niti; meritve za opozorila, ki vključujejo prag šifrirnih povezav, zakasnitev ali dolžino čakalne vrste zahtev; metrike v shrambi podatkov; in meritve šifrirne povezave. Vozlišča pošiljajo šifrirano ključno gradivo prek zunajpasovnega (ločenega od zahteve) kanala.

Dohodni promet

Vozlišča Hybrid Data Security prejemajo naslednje vrste vhodnega prometa iz oblaka Webex:

Zahteve za šifriranje odjemalcev, ki jih usmeri šifrirna storitev
Nadgradnje programske opreme vozlišča

Konfigurirajte posrednike Squid za hibridno varnost podatkov

Websocket se ne more povezati prek proxyja Squid

Posredniki Squid, ki pregledujejo promet HTTPS, lahko motijo vzpostavitev spletne vtičnice ( wss:) povezave, ki jih zahteva Hybrid Data Security. Ti razdelki dajejo navodila o tem, kako konfigurirati različne različice Squid za prezrtje wss: prometa za pravilno delovanje storitev.

Lignji 4 in 5

Dodajte on_unsupported_protocol direktiva za squid.conf:

on_unsupported_protocol tunnel all

Lignji 3.5.27

Hibridno varnost podatkov smo uspešno preizkusili z dodanimi naslednjimi pravili squid.conf. Ta pravila se lahko spremenijo, ko razvijamo funkcije in posodabljamo oblak Webex.

acl wssMercuryConnection ssl::server_name_regex mercury-connection

ssl_bump splice wssMercuryConnection

acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all

Predgovor

Nove in spremenjene informacije

Datum

Izvedene spremembe

20. oktober 2023

Posodobljene informacije v Zahteve za strežnik baze podatkov.
Dodano Nastavite podatkovni center v pripravljenosti za obnovitev po katastrofi.
Posodobljene informacije v Podatkovni center v pripravljenosti za obnovitev po katastrofi in Obnovitev po nesreči z uporabo podatkovnega centra v pripravljenosti.

7. avgust 2023

Dodal opombo v Prenesite namestitvene datoteke.
Dodal opombo v Ustvarite konfiguracijski ISO za gostitelje HDS in Spremenite konfiguracijo vozlišča.

23. maj 2023

Izbrisane informacije iz Zahteve za strežnik baze podatkov zahtevate, da se omogoči funkcija, tako da stopite v stik z ekipo za račun.
Posodobljene informacije v Zahteve za zunanjo povezljivost in dodal Kanado v tabelo gostiteljev CI.
Dodal opombo v Pričakovanja glede uvajanja hibridne varnosti podatkov glede nerazpoložljivosti mehanizmov za premikanje ključev nazaj v oblak.

6. december 2022

Slike orodja za nastavitev HDS zdaj gostujejo v ciscocitg repozitorij dockerhub.
Posodobljeno Ustvarite konfiguracijski ISO za gostitelje HDS in Spremenite konfiguracijo vozlišča teme za odraz sprememb v ukazih.

23. november 2022

Vozlišča HDS lahko zdaj uporabljajo preverjanje pristnosti sistema Windows proti strežniku Microsoft SQL Server.

Posodobil Zahteve za strežnik baze podatkov tema z dodatnimi zahtevami za ta način preverjanja pristnosti.

Posodobljeno Ustvarite konfiguracijski ISO za gostitelje HDS s postopkom za konfiguracijo preverjanja pristnosti sistema Windows na vozliščih.
Posodobil Zahteve za strežnik baze podatkov tema z novimi najmanj zahtevanimi različicami (PostgreSQL 10).

13. oktober 2021

Docker Desktop mora zagnati namestitveni program, preden lahko namestite vozlišča HDS. glej Zahteve za namizje Docker.

24. junij 2021

Upoštevajte, da lahko znova uporabite datoteko zasebnega ključa in CSR, da zahtevate drugo potrdilo. glej Uporabite OpenSSL za ustvarjanje datoteke PKCS12 za podrobnosti.

30. april 2021

Zahteva VM za lokalni prostor na trdem disku je spremenjena na 30 GB. glej Zahteve za virtualnega gostitelja za podrobnosti.

24. februar 2021

Orodje za nastavitev HDS lahko zdaj deluje za posrednikom. glej Ustvarite konfiguracijski ISO za gostitelje HDS za podrobnosti.

2. februar 2021

HDS lahko zdaj deluje brez nameščene datoteke ISO. glej (Izbirno) Odpni ISO po konfiguraciji HDS za podrobnosti.

11. januar 2021

Dodane informacije o orodju za nastavitev HDS in proxyjih za Ustvarite konfiguracijski ISO za gostitelje HDS.

13. oktober 2020

Posodobljeno Prenesite namestitvene datoteke.

8. oktober 2020

Posodobljeno Ustvarite konfiguracijski ISO za gostitelje HDS in Spremenite konfiguracijo vozlišča z ukazi za okolja FedRAMP.

14. avgust 2020

Posodobljeno Ustvarite konfiguracijski ISO za gostitelje HDS in Spremenite konfiguracijo vozlišča s spremembami postopka prijave.

5. avgust 2020

Posodobljeno Preizkusite svojo hibridno uvedbo varnosti podatkov za spremembe v dnevniških sporočilih.

Posodobljeno Zahteve za virtualnega gostitelja da odstranite največje število gostiteljev.

16. junij 2020

Posodobljeno Odstranite vozlišče za spremembe v uporabniškem vmesniku Control Hub.

4. junij 2020

Posodobljeno Ustvarite konfiguracijski ISO za gostitelje HDS za spremembe v naprednih nastavitvah, ki jih lahko nastavite.

29. maj 2020

Posodobljeno Ustvarite konfiguracijski ISO za gostitelje HDS da pokažete, da lahko TLS uporabljate tudi z bazami podatkov SQL Server, spremembami uporabniškega vmesnika in drugimi pojasnili.

5. maj 2020

Posodobljeno Zahteve za virtualnega gostitelja za prikaz novih zahtev ESXi 6.5.

21. april 2020

Posodobljeno Zahteve za zunanjo povezljivost z novimi gostitelji CI Amerike.

1. april 2020

Posodobljeno Zahteve za zunanjo povezljivost z informacijami o regionalnih gostiteljih CI.

20. februar 2020 Posodobljeno Ustvarite konfiguracijski ISO za gostitelje HDS z informacijami o novem izbirnem zaslonu z naprednimi nastavitvami v orodju za nastavitev HDS.

4. februar 2020 Posodobljeno Zahteve za strežnik proxy.

16. december 2019 Pojasnjena je zahteva za delovanje v načinu blokiranega zunanjega razreševanja DNS Zahteve za strežnik proxy.

19. november 2019

Dodane informacije o načinu razreševanja blokiranega zunanjega DNS-ja v naslednjih razdelkih:

Podpora za proxy
Konfigurirajte vozlišče HDS za integracijo posrednika
Izklopite način razreševanja blokiranega zunanjega DNS-ja

8. november 2019

Zdaj lahko konfigurirate omrežne nastavitve za vozlišče med uvajanjem OVA in ne pozneje.

Ustrezno posodobljeni naslednji razdelki:

Potek opravila uvajanja hibridne varnosti podatkov
Namestite HDS Host OVA
Nastavite Hybrid Data Security VM

Možnost konfiguracije omrežnih nastavitev med uvajanjem OVA je bila preizkušena z ESXi 6.5. Možnost morda ni na voljo v starejših različicah.

6. september 2019

Dodan SQL Server Standard Zahteve za strežnik baze podatkov.

29. avgust 2019 Dodano Konfigurirajte posrednike Squid za hibridno varnost podatkov dodatek z navodili za konfiguriranje proxyjev Squid, da za pravilno delovanje prezrejo promet spletnih vtičnic.

20. avgust 2019

Dodani in posodobljeni razdelki za pokrivanje podpore posrednika za komunikacije vozlišča Hybrid Data Security z oblakom Webex.

Podpora za proxy
Zahteve za strežnik proxy
Konfigurirajte vozlišče HDS za integracijo posrednika

Za dostop samo do podporne vsebine proxyja za obstoječo uvedbo glejte Proxy podpora za Hybrid Data Security in Webex Video Mesh članek za pomoč.

6. marec 2019

Zahteve in predpogoje premaknili v ločeno poglavje, Pripravite svoje okolje.
Dodano Potek opravila uvajanja hibridne varnosti podatkov pregled v poglavju Nastavite Hybrid Data Security Cluster.

Upoštevajte, da dokler ne začnete preizkusa (z uporabo navodil v naslednjem poglavju), vaša vozlišča ustvarijo alarm, ki označuje, da vaša storitev še ni aktivirana.
Dodano Potek naloge od preizkusa do proizvodnje v poglavju Izvedite preizkus in se premaknite v produkcijo.

28. februar 2019

Popravljena količina prostora na lokalnem trdem disku na strežnik, ki bi ga morali rezervirati, ko pripravljate virtualne gostitelje, ki postanejo vozlišča Hybrid Data Security, s 50 GB na 20 GB, da odraža velikost diska, ki ga ustvari OVA.

26. februar 2019

Vozlišča Hybrid Data Security zdaj podpirajo šifrirane povezave s strežniki baz podatkov PostgreSQL in šifrirane povezave za beleženje s strežnikom syslog, ki podpira TLS. Posodobljeno Ustvarite konfiguracijski ISO za gostitelje HDS z navodili.
Odstranjeni ciljni URL-ji iz tabele »Zahteve za internetno povezljivost za VM Hybrid Data Security Node«. Tabela se zdaj nanaša na seznam, ki se vzdržuje v tabeli »Dodatni URL-ji za hibridne storitve Webex Teams« Omrežne zahteve za storitve Webex Teams.

24. januar 2019

Podpora za Microsoft SQL Server je namenjena samo novim uvedbam Hybrid Data Security. Trenutno ne podpiramo selitve podatkov iz PostgreSQL v Microsoft SQL Server v obstoječi uvedbi.

5. november 2018

Dodan predhodni korak za čiščenje vseh obstoječih primerkov docker hds Ustvarite konfiguracijski ISO za gostitelje HDS in Spremenite konfiguracijo vozlišča.
Posodobljen je korak v stopnji dostopa do ključa Ustvarite konfiguracijski ISO za gostitelje HDS da se ujema z vmesnikom.

19. oktober 2018

Podatke o povezavi požarnega zidu razdelite na zahteve vozlišča in zahteve stroja za konfiguracijo ISO Izpolnite predpogoje za hibridno varnost podatkov.

31. julij 2018

Dodana vrata 22 (dostop SSH) in informacije o povezavah NAT in požarnega zidu Izpolnite predpogoje za hibridno varnost podatkov.

21. maj 2018

Spremenjena terminologija, ki odraža preimenovanje Cisco Spark:

Cisco Spark Hybrid Data Security je zdaj Hybrid Data Security.
Aplikacija Cisco Spark je zdaj aplikacija Webex App.
Cisco Collaboraton Cloud je zdaj oblak Webex.

11. april 2018

Dodano Podatkovni center v pripravljenosti za obnovitev po katastrofi.
Posodobljeno Izpolnite predpogoje za hibridno varnost podatkov da določite, da mora biti varnostno okolje v drugem podatkovnem centru.
Posodobljeno Obnovitev po nesreči z uporabo podatkovnega centra v pripravljenosti.

22. februar 2018

Dodane informacije o 9-mesečni življenjski dobi gesla za račun storitve in uporabi orodja za nastavitev HDS za ponastavitev gesel za račun storitve v Ustvarite konfiguracijski ISO za gostitelje HDS in Spremenite konfiguracijo vozlišča.

15. februar 2018

V Zahteve za potrdilo X.509 tabela, je določeno, da potrdilo ne more biti potrdilo z nadomestnimi znaki in da KMS uporablja domeno CN, ne katere koli domene, ki je definirana v poljih SAN x.509v3.

18. januar 2018

Dodana priloga, Promet med vozlišči HDS in oblakom.
Odstranjena rešena težava iz Znane težave pri hibridni varnosti podatkov.
Index.docker.io spremenjen v *.docker.io in dodan *.cloudfront.net na seznam zahtev povezljivosti TCP za vozlišča HDS v Izpolnite predpogoje za hibridno varnost podatkov.
Posodobljeno Ustvarite konfiguracijski ISO za gostitelje HDS da označite, da če gostitelja baze podatkov in strežnika Syslogd ni mogoče razrešiti z DNS iz vozlišč HDS, ju morate konfigurirati z uporabo naslovov IP.

2. november 2017

Razjasnjena sinhronizacija imenika za HdsTrialGroup.
Popravljena navodila za nalaganje konfiguracijske datoteke ISO za namestitev v vozlišča VM.

18. avgust 2017

Prvič objavljeno

Začnite s hibridno varnostjo podatkov

Pregled varnosti hibridnih podatkov

Arhitektura varnostnega področja

Arhitektura oblaka Webex ločuje različne vrste storitev v ločena področja ali domene zaupanja, kot je prikazano spodaj.

Odjemalec vzpostavi varno povezavo s storitvijo za upravljanje ključev (KMS), nato pa zahteva ključ za šifriranje sporočila. Varna povezava uporablja ECDH, KMS pa šifrira ključ z glavnim ključem AES-256.
Sporočilo je šifrirano, preden zapusti odjemalca. Odjemalec ga pošlje storitvi indeksiranja, ki ustvari šifrirane iskalne indekse za pomoč pri prihodnjih iskanjih vsebine.
Šifrirano sporočilo je poslano storitvi skladnosti za preverjanje skladnosti.
Šifrirano sporočilo je shranjeno v območju shranjevanja.

Sodelovanje z drugimi organizacijami

Pričakovanja glede uvajanja hibridne varnosti podatkov

Uvedba hibridne varnosti podatkov zahteva veliko predanost strank in zavedanje tveganj, ki jih prinaša posedovanje šifrirnih ključev.

Za uvedbo Hybrid Data Security morate zagotoviti:

Varen podatkovni center v državi, ki je a podprto lokacijo za načrte Cisco Webex Teams.
Oprema, programska oprema in dostop do omrežja, opisani v Pripravite svoje okolje.

Upravljajte varnostno kopiranje in obnovitev baze podatkov in konfiguracije ISO.
Bodite pripravljeni izvesti hitro obnovitev po katastrofi, če pride do katastrofe, kot je okvara diska baze podatkov ali katastrofa podatkovnega centra.

Ni mehanizma za premik ključev nazaj v oblak po uvedbi HDS.

Postopek namestitve na visoki ravni

Ta dokument pokriva nastavitev in upravljanje uvedbe Hybrid Data Security:

Nastavite hibridno varnost podatkov— To vključuje pripravo zahtevane infrastrukture in namestitev programske opreme Hybrid Data Security, testiranje vaše uvedbe s podnaborom uporabnikov v preskusnem načinu in, ko je vaše testiranje končano, premik v proizvodnjo. To pretvori celotno organizacijo v uporabo vaše Hybrid Data Security gruče za varnostne funkcije.
Faze nastavitve, preizkusa in proizvodnje so podrobno obravnavane v naslednjih treh poglavjih.
Ohranite svojo uvedbo Hybrid Data Security— Oblak Webex samodejno zagotavlja stalne nadgradnje. Vaš IT oddelek lahko zagotovi podporo prve stopnje za to uvedbo in po potrebi vključi podporo Cisco. V Control Hubu lahko uporabite obvestila na zaslonu in nastavite opozorila po e-pošti.
Razumevanje pogostih opozoril, korakov za odpravljanje težav in znanih težav—Če naletite na težave pri uvajanju ali uporabi Hybrid Data Security, vam lahko zadnje poglavje tega vodnika in dodatek Znane težave pomagata ugotoviti in odpraviti težavo.

Hibridni model uvajanja varnosti podatkov

Hibridni model uvajanja varnosti podatkov

Vozlišča postanejo aktivna, ko jih registrirate v Control Hub. Če želite posamezno vozlišče izključiti iz uporabe, ga lahko odjavite in pozneje po potrebi znova registrirate.

Podpiramo samo eno gručo na organizacijo.

Preizkusni način hibridne varnosti podatkov

Podatkovni center v pripravljenosti za obnovitev po katastrofi

Med uvajanjem nastavite varen podatkovni center v pripravljenosti. V primeru katastrofe v podatkovnem centru lahko ročno prekinete svojo uvedbo v podatkovni center v pripravljenosti.

Aktivna vozlišča Hybrid Data Security morajo biti vedno v istem podatkovnem centru kot aktivni strežnik baze podatkov.

Nastavite podatkovni center v pripravljenosti za obnovitev po katastrofi

Za konfiguracijo datoteke ISO podatkovnega centra v pripravljenosti sledite spodnjim korakom:

Preden začneš

Podatkovni center v pripravljenosti bi moral zrcaliti produkcijsko okolje navideznih strojev in rezervno bazo podatkov PostgreSQL ali Microsoft SQL Server. Na primer, če ima proizvodnja 3 VM-je, ki poganjajo vozlišča HDS, bi moralo okolje za varnostno kopiranje imeti 3 VM-je. (Glej Podatkovni center v pripravljenosti za obnovitev po katastrofi za pregled tega modela samodejnega preklopa.)
Prepričajte se, da je omogočena sinhronizacija baze podatkov med bazo podatkov aktivnih in pasivnih vozlišč gruče.

Zaženite orodje HDS Setup in sledite korakom, navedenim v Ustvarite konfiguracijski ISO za gostitelje HDS.

Datoteka ISO mora biti kopija izvirne datoteke ISO primarnega podatkovnega centra, na katero bodo izvedene naslednje posodobitve konfiguracije.

Ko konfigurirate strežnik Syslogd, kliknite na Napredne nastavitve


passiveMode: 'true'

Dokončajte postopek konfiguracije in shranite datoteko ISO na mesto, ki ga je enostavno najti.

V levem podoknu za krmarjenje odjemalca VMware vSphere z desno miškino tipko kliknite VM in kliknite Uredi nastavitve..

Kliknite Uredi nastavitve >CD/DVD pogon 1 in izberite Datastore ISO File.

Poskrbi Povezan in Priključite ob vklopu so označene, tako da lahko posodobljene konfiguracijske spremembe začnejo veljati po zagonu vozlišč.

Vklopite vozlišče HDS in se prepričajte, da ni alarmov vsaj 15 minut.

Ponovite postopek za vsako vozlišče v podatkovnem centru v pripravljenosti.

Preverite sistemske dnevnike, da preverite, ali so vozlišča v pasivnem načinu. V sistemskih dnevnikih bi si morali ogledati sporočilo »KMS konfiguriran v pasivnem načinu«.

Kaj storiti naprej

Podpora za proxy

Vozlišča Hybrid Data Security podpirajo naslednje možnosti posrednika:

Brez posrednika— Privzeto, če za integracijo proxyja ne uporabljate nastavitve vozlišča HDS Trust Store & Proxy. Posodobitev potrdila ni potrebna.
Transparenten proxy brez nadzora— Vozlišča niso konfigurirana za uporabo določenega naslova strežnika proxy in ne bi smela zahtevati nobenih sprememb za delo s proxyjem, ki ne preverja. Posodobitev potrdila ni potrebna.
Transparentni proxy za tuneliranje ali pregledovanje— Vozlišča niso konfigurirana za uporabo določenega naslova strežnika proxy. Na vozliščih niso potrebne spremembe konfiguracije HTTP ali HTTPS. Vendar vozlišča potrebujejo korensko potrdilo, da zaupajo proxyju. Inspecting proxy običajno uporablja IT za uveljavljanje pravilnikov o tem, katera spletna mesta je mogoče obiskati in katere vrste vsebine niso dovoljene. Ta vrsta proxyja dešifrira ves vaš promet (tudi HTTPS).
Eksplicitni posrednik— Z eksplicitnim proxy vozliščem HDS poveste, kateri strežnik proxy in shemo preverjanja pristnosti naj uporabijo. Če želite konfigurirati eksplicitni proxy, morate v vsako vozlišče vnesti naslednje informacije:
1. Proxy IP/FQDN—Naslov, ki ga je mogoče uporabiti za dostop do proxy naprave.
2. Proxy vrata—Številka vrat, ki jih proxy uporablja za poslušanje prometa prek posrednika.
3. Proxy protokol—Glede na to, kaj podpira vaš proxy strežnik, izberite med naslednjimi protokoli:
  - HTTP—Ogleda in nadzoruje vse zahteve, ki jih pošlje odjemalec.
  - HTTPS—zagotavlja kanal strežniku. Odjemalec prejme in potrdi potrdilo strežnika.
4. Vrsta avtentikacije—Izbirajte med naslednjimi vrstami preverjanja pristnosti:
  - Noben— Nadaljnje preverjanje pristnosti ni potrebno.
    
    Na voljo, če kot proxy protokol izberete HTTP ali HTTPS.
  - Osnovno—Uporablja se za uporabniškega agenta HTTP, da zagotovi uporabniško ime in geslo, ko poda zahtevo. Uporablja kodiranje Base64.
    
    Na voljo, če kot proxy protokol izberete HTTP ali HTTPS.
    
    Za vsako vozlišče morate vnesti uporabniško ime in geslo.
  - prebaviti— Uporablja se za potrditev računa pred pošiljanjem občutljivih informacij. Uporabi zgoščeno funkcijo za uporabniško ime in geslo pred pošiljanjem po omrežju.
    
    Na voljo samo, če izberete HTTPS kot posredniški protokol.
    
    Za vsako vozlišče morate vnesti uporabniško ime in geslo.

Primer vozlišč hibridne varnosti podatkov in posrednika

Blokiran zunanji način reševanja DNS (eksplicitne konfiguracije proxyja)

Pripravite svoje okolje

Zahteve za hibridno varnost podatkov

Licenčne zahteve za Cisco Webex

Če želite uvesti Hybrid Data Security:

Za Cisco Webex Control Hub morate imeti Pro Pack. (Glej https://www.cisco.com/go/pro-pack.)

Zahteve za namizje Docker

Zahteve za potrdilo X.509

Certifikacijska veriga mora izpolnjevati naslednje zahteve:

Tabela 1. Zahteve za potrdilo X.509 za uvedbo hibridne varnosti podatkov
Zahteva	Podrobnosti
Podpisal zaupanja vreden overitelj potrdil (CA)	Privzeto zaupamo CA-jem na seznamu Mozilla (z izjemo WoSign in StartCom) na https://wiki.mozilla.org/CA:IncludedCAs.
Nosi ime domene Common Name (CN), ki identificira vašo uvedbo Hybrid Data Security Ni potrdilo z nadomestnimi znaki	Ni treba, da je CN dosegljiv ali gostitelj v živo. Priporočamo, da uporabite ime, ki odraža vašo organizacijo, na primer `hds.company.com`. KN ne sme vsebovati * (nadomestni znak). CN se uporablja za preverjanje vozlišč Hybrid Data Security za odjemalce aplikacije Webex. Vsa vozlišča Hybrid Data Security v vaši gruči uporabljajo isto potrdilo. Vaš KMS se identificira z uporabo domene CN, ne katere koli domene, ki je definirana v poljih SAN x.509v3. Ko registrirate vozlišče s tem potrdilom, ne podpiramo spreminjanja imena domene CN. Izberite domeno, ki se lahko uporablja za preskusno in produkcijsko uvedbo.
Podpis, ki ni SHA1	Programska oprema KMS ne podpira podpisov SHA1 za preverjanje povezav s KMS-ji drugih organizacij.
Formatirano kot datoteka PKCS #12, zaščitena z geslom Uporabite prijazno ime `kms-private-key` da označite potrdilo, zasebni ključ in morebitna vmesna potrdila za nalaganje.	Za spremembo oblike potrdila lahko uporabite pretvornik, kot je OpenSSL. Ko zaženete orodje za nastavitev HDS, boste morali vnesti geslo.

Zahteve za virtualnega gostitelja

Navidezni gostitelji, ki jih boste nastavili kot vozlišča Hybrid Data Security v vaši gruči, imajo naslednje zahteve:

Vsaj dva ločena gostitelja (3 priporočljivo), nameščena v istem varnem podatkovnem centru
VMware ESXi 6.5 (ali novejši) nameščen in deluje.

Če imate starejšo različico ESXi, morate nadgraditi.
Najmanj 4 vCPU-ji, 8 GB glavnega pomnilnika, 30 GB lokalnega prostora na trdem disku na strežnik

Zahteve za strežnik baze podatkov

Ustvarite novo bazo podatkov za shranjevanje ključev. Ne uporabljajte privzete zbirke podatkov. Ko so nameščene aplikacije HDS, ustvarijo shemo baze podatkov.

Obstajata dve možnosti za strežnik baze podatkov. Zahteve za vsakega so naslednje:

Tabela 2. Zahteve strežnika baze podatkov glede na vrsto baze podatkov

PostgreSQL

Microsoft SQL Server

PostgreSQL 14, 15 ali 16, nameščen in deluje.

Nameščen SQL Server 2016, 2017 ali 2019 (Enterprise ali Standard).

SQL Server 2016 zahteva servisni paket 2 in kumulativno posodobitev 2 ali novejšo različico.

Programska oprema HDS trenutno namesti naslednje različice gonilnikov za komunikacijo s strežnikom baze podatkov:

PostgreSQL

Microsoft SQL Server

Gonilnik Postgres JDBC 42.2.5

Gonilnik SQL Server JDBC 4.6

Ta različica gonilnika podpira SQL Server Always On ( Always On Failover Cluster Instances in Skupine razpoložljivosti Always On).

Dodatne zahteve za preverjanje pristnosti sistema Windows proti strežniku Microsoft SQL Server

Vozlišča HDS, infrastruktura Active Directory in MS SQL Server morajo biti vsi sinhronizirani z NTP.
Račun Windows, ki ga zagotovite vozliščem HDS, mora imeti dostop za branje/pisanje do baze podatkov.
Strežniki DNS, ki jih zagotovite vozliščem HDS, morajo imeti možnost razrešiti vaš center za distribucijo ključev (KDC).
Primerek baze podatkov HDS lahko registrirate na strežniku Microsoft SQL Server kot glavno ime storitve (SPN) v imeniku Active Directory. glej Registrirajte glavno ime storitve za povezave Kerberos.

Orodje za nastavitev HDS, zaganjalnik HDS in lokalni KMS morajo uporabljati preverjanje pristnosti sistema Windows za dostop do baze podatkov shrambe ključev. Uporabijo podrobnosti iz vaše konfiguracije ISO za izdelavo SPN, ko zahtevajo dostop s preverjanjem pristnosti Kerberos.

Zahteve za zunanjo povezljivost

Konfigurirajte požarni zid, da bo omogočal naslednje povezave za aplikacije HDS:

Aplikacija	Protokol	Pristanišče	Smer iz App	Destinacija
Hibridna varnostna vozlišča podatkov	TCP	443	Odhodni HTTPS in WSS	Strežniki Webex: .wbx2.com .ciscospark.com Vsi gostitelji skupne identitete Drugi URL-ji, ki so navedeni za Hybrid Data Security v Dodatni URL-ji za hibridne storitve Webex tabela od Omrežne zahteve za storitve Webex
Orodje za nastavitev HDS	TCP	443	Odhodni HTTPS	*.wbx2.com Vsi gostitelji skupne identitete hub.docker.com

URL-ji za gostitelje skupne identitete (CI) so specifični za regijo. To so trenutni gostitelji CI:

Regija	URL-ji gostitelja skupne identitete
Amerike	https://idbroker.webex.com https://identity.webex.com https://idbroker-b-us.webex.com https://identity-b-us.webex.com
Evropska unija	https://idbroker-eu.webex.com https://identity-eu.webex.com
Kanada	https://idbroker-ca.webex.com https://identity-ca.webex.com

Zahteve za strežnik proxy

Uradno podpiramo naslednje rešitve proxy, ki se lahko integrirajo z vašimi vozlišči Hybrid Data Security.

Transparent proxy—Cisco Web Security Appliance (WSA).

Eksplicitni proxy—Squid.

Podpiramo naslednje kombinacije vrst preverjanja pristnosti za eksplicitne posrednike:
- Ni avtentikacije s HTTP ali HTTPS
- Osnovna avtentikacija s HTTP ali HTTPS
- Pregled pristnosti samo s HTTPS
Za proxy proxy za pregledovanje ali eksplicitni proxy HTTPS morate imeti kopijo korenskega potrdila proxyja. Navodila za uvajanje v tem priročniku vam povejo, kako naložite kopijo v skrbniške shrambe vozlišč Hybrid Data Security.
Omrežje, ki gosti vozlišča HDS, mora biti konfigurirano tako, da prisili izhodni promet TCP na vratih 443, da se usmeri prek proxyja.
Posredniki, ki pregledujejo spletni promet, lahko motijo povezave s spletnimi vtičnicami. Če pride do te težave, obide (brez pregleda) promet do wbx2.com in ciscospark.com bo rešil problem.

Izpolnite predpogoje za hibridno varnost podatkov

S tem kontrolnim seznamom se prepričajte, da ste pripravljeni na namestitev in konfiguracijo vaše hibridne podatkovne varnostne gruče.

Ustvarite bazo podatkov za shranjevanje ključev. (To zbirko podatkov morate ustvariti—ne uporabljajte privzete baze podatkov. Aplikacije HDS, ko so nameščene, ustvarijo shemo baze podatkov.)
Zberite podrobnosti, ki jih bodo vozlišča uporabljala za komunikacijo s strežnikom baze podatkov:
- ime gostitelja ali naslov IP (gostitelj) in vrata
- ime baze podatkov (dbname) za shranjevanje ključev
- uporabniško ime in geslo uporabnika z vsemi privilegiji v bazi podatkov za shranjevanje ključev

Nastavite gostitelja sistemskega dnevnika za zbiranje dnevnikov iz vozlišč v gruči. Zberite njegov omrežni naslov in vrata sistemskega dnevnika (privzeto je UDP 514).

Zagotovite, da vaša konfiguracija požarnega zidu omogoča povezljivost za vozlišča Hybrid Data Security, kot je opisano v Zahteve za zunanjo povezljivost.

Če želite namestiti in zagnati orodje za nastavitev HDS, mora imeti lokalni računalnik povezljivost, opisano v Zahteve za zunanjo povezljivost.

Če integrirate proxy s Hybrid Data Security, se prepričajte, da ustreza Zahteve za strežnik proxy.

Nastavite Hybrid Data Security Cluster

Potek opravila uvajanja hibridne varnosti podatkov

Preden začneš

Prenesite datoteko OVA na svoj lokalni računalnik za kasnejšo uporabo.

Z orodjem za nastavitev HDS ustvarite konfiguracijsko datoteko ISO za vozlišča Hybrid Data Security.

Ustvarite virtualni stroj iz datoteke OVA in izvedite začetno konfiguracijo, kot so omrežne nastavitve.

Možnost konfiguracije omrežnih nastavitev med uvajanjem OVA je bila preizkušena z ESXi 6.5. Možnost morda ni na voljo v starejših različicah.

Prijavite se v konzolo VM in nastavite poverilnice za prijavo. Konfigurirajte omrežne nastavitve za vozlišče, če jih niste konfigurirali ob uvedbi OVA.

Konfigurirajte vozlišče HDS za integracijo posrednika

Konfigurirajte VM iz konfiguracijske datoteke ISO, ki ste jo ustvarili z orodjem za namestitev HDS.

Če omrežno okolje zahteva konfiguracijo proxyja, podajte vrsto proxyja, ki ga boste uporabili za vozlišče, in po potrebi dodajte potrdilo proxyja v shrambo zaupanja.

Registrirajte VM v oblaku Cisco Webex kot Hybrid Data Security node.

Dokončajte nastavitev gruče.

Izvedite preizkus in se premaknite v produkcijo (naslednje poglavje)

Dokler ne začnete preizkusa, vaša vozlišča ustvarijo alarm, ki nakazuje, da vaša storitev še ni aktivirana.

Prenesite namestitvene datoteke

Pri tej nalogi prenesete datoteko OVA na svoj računalnik (ne na strežnike, ki ste jih nastavili kot vozlišča Hybrid Data Security). To datoteko uporabite pozneje v postopku namestitve.

Prijavite se v https://admin.webex.comin nato kliknite Storitve.

V razdelku Hybrid Services poiščite kartico Hybrid Data Security in kliknite Nastaviti.

Izberite št da označite, da vozlišča še niste nastavili, in nato kliknite Naslednji.

Datoteka OVA se samodejno začne prenašati. Datoteko shranite na mesto v vašem računalniku.

Po želji kliknite Odprite vodnik za uvajanje da preverite, ali je na voljo novejša različica tega priročnika.

Ustvarite konfiguracijski ISO za gostitelje HDS

Postopek nastavitve Hybrid Data Security ustvari datoteko ISO. Nato uporabite ISO za konfiguracijo gostitelja Hybrid Data Security.

Preden začneš

Opis	Spremenljivka
HTTP Proxy brez avtentikacije	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
HTTPS Proxy brez avtentikacije	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
HTTP proxy z avtentikacijo	`GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
HTTPS Proxy z avtentikacijo	`GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

Konfiguracijska datoteka ISO, ki jo ustvarite, vsebuje glavni ključ, ki šifrira bazo podatkov PostgreSQL ali Microsoft SQL Server. Najnovejšo kopijo te datoteke potrebujete vsakič, ko spremenite konfiguracijo, kot je ta:
- Poverilnice baze podatkov
- Posodobitve potrdil
- Spremembe politike avtorizacije
Če nameravate šifrirati povezave z bazo podatkov, nastavite svojo uvedbo PostgreSQL ali SQL Server za TLS.

V ukazno vrstico vašega računalnika vnesite ustrezen ukaz za vaše okolje:

V običajnih okoljih:

docker rmi ciscocitg/hds-setup:stable

V okoljih FedRAMP:

docker rmi ciscocitg/hds-setup-fedramp:stable

Ta korak počisti prejšnje slike orodja za nastavitev HDS. Če ni prejšnjih slik, vrne napako, ki jo lahko prezrete.

Za vpis v register slik Docker vnesite naslednje:

docker login -u hdscustomersro

Ob pozivu za geslo vnesite to zgoščeno vrednost:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

Prenesite najnovejšo stabilno sliko za vaše okolje:

V običajnih okoljih:

docker pull ciscocitg/hds-setup:stable

V okoljih FedRAMP:

docker pull ciscocitg/hds-setup-fedramp:stable

Ko je vlečenje končano, vnesite ustrezen ukaz za vaše okolje:

V običajnih okoljih brez posrednika:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

V običajnih okoljih s strežnikom proxy HTTP:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

V običajnih okoljih s strežnikom proxy HTTPS:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

V okoljih FedRAMP brez posrednika:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

V okoljih FedRAMP s strežnikom proxy HTTP:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

V okoljih FedRAMP s strežnikom proxy HTTPS:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Ko se vsebnik izvaja, vidite »Strežnik Express posluša na vratih 8080«.

Orodje za namestitev ne podpira povezovanja z lokalnim gostiteljem prek http://localhost:8080. Uporaba http://127.0.0.1:8080 za povezavo z lokalnim gostiteljem.

Uporabite spletni brskalnik za dostop do lokalnega gostitelja, http://127.0.0.1:8080 in ob pozivu vnesite uporabniško ime skrbnika stranke za Control Hub.

Orodje uporabi ta prvi vnos uporabniškega imena za nastavitev ustreznega okolja za ta račun. Orodje nato prikaže standardni poziv za prijavo.

Ko ste pozvani, vnesite poverilnice za prijavo skrbnika stranke Control Hub in kliknite Vpiši se da omogočite dostop do zahtevanih storitev za Hybrid Data Security.

Na strani s pregledom orodja za nastavitev kliknite Začeti.

Na ISO uvoz strani, imate te možnosti:

št—Če ustvarjate svoje prvo vozlišče HDS, nimate datoteke ISO za nalaganje.
ja— Če ste že ustvarili vozlišča HDS, potem v brskanju izberete datoteko ISO in jo naložite.

Preverite, ali vaše potrdilo X.509 izpolnjuje zahteve v Zahteve za potrdilo X.509.

Če še nikoli niste naložili potrdila, naložite potrdilo X.509, vnesite geslo in kliknite Nadaljuj.
Če je vaše potrdilo v redu, kliknite Nadaljuj.
Če je vaše potrdilo poteklo ali ga želite zamenjati, izberite št za Želite še naprej uporabljati verigo potrdil HDS in zasebni ključ iz prejšnjega ISO?. Naložite novo potrdilo X.509, vnesite geslo in kliknite Nadaljuj.

Vnesite naslov baze podatkov in račun za HDS za dostop do shrambe ključnih podatkov:

Izberite svojo Vrsta baze podatkov (PostgreSQL oz Microsoft SQL Server).

Če se odločite Microsoft SQL Server, dobite polje Authentication Type.
(Microsoft SQL Server samo) Izberite svojo Vrsta avtentikacije:
- Osnovna avtentikacija: Potrebujete lokalno ime računa SQL Server v Uporabniško ime polje.
- Preverjanje pristnosti sistema Windows: Potrebujete račun Windows v formatu username@DOMAIN v Uporabniško ime polje.
V obrazec vnesite naslov strežnika baze podatkov <hostname>:<port> ali <IP-address>:<port>.

primer:
dbhost.example.org:1433 ali 198.51.100.17:1433

Naslov IP lahko uporabite za osnovno preverjanje pristnosti, če vozlišča ne morejo uporabiti DNS za razrešitev imena gostitelja.

Če uporabljate preverjanje pristnosti sistema Windows, morate v formatu vnesti popolnoma kvalificirano ime domene dbhost.example.org:1433
Vnesite Ime baze podatkov.
Vnesite Uporabniško ime in Geslo uporabnika z vsemi privilegiji v bazi podatkov za shranjevanje ključev.

Izberite a Način povezave z bazo podatkov TLS:

Način

Opis

Raje TLS (privzeta možnost)

Vozlišča HDS ne potrebujejo TLS za povezavo s strežnikom baze podatkov. Če omogočite TLS na strežniku baze podatkov, vozlišča poskušajo vzpostaviti šifrirano povezavo.

Zahtevaj TLS

Vozlišča HDS se povežejo le, če se lahko strežnik baze podatkov pogaja o TLS.

Zahtevaj TLS in preveri podpisnika potrdila

Ta način ni uporaben za baze podatkov SQL Server.

Vozlišča HDS se povežejo le, če se lahko strežnik baze podatkov pogaja o TLS.
Po vzpostavitvi povezave TLS vozlišče primerja podpisnika potrdila iz strežnika baze podatkov z overiteljem potrdil v Korensko potrdilo baze podatkov. Če se ne ujemata, vozlišče prekine povezavo.

Uporabi Korensko potrdilo baze podatkov kontrolnik pod spustnim menijem za nalaganje korenskega potrdila za to možnost.

Zahtevaj TLS in preveri podpisnika potrdila in ime gostitelja

Vozlišča HDS se povežejo le, če se lahko strežnik baze podatkov pogaja o TLS.
Po vzpostavitvi povezave TLS vozlišče primerja podpisnika potrdila iz strežnika baze podatkov z overiteljem potrdil v Korensko potrdilo baze podatkov. Če se ne ujemata, vozlišče prekine povezavo.
Vozlišča tudi preverijo, ali se ime gostitelja v potrdilu strežnika ujema z imenom gostitelja v Gostitelj in vrata baze podatkov polje. Imena se morajo natančno ujemati, sicer vozlišče prekine povezavo.

Uporabi Korensko potrdilo baze podatkov kontrolnik pod spustnim menijem za nalaganje korenskega potrdila za to možnost.

Na strani Sistemski dnevniki konfigurirajte strežnik Syslogd:

Vnesite URL strežnika syslog.

Če strežnika ni mogoče razrešiti z DNS iz vozlišč za vašo gručo HDS, uporabite naslov IP v URL-ju.

primer:
udp://10.92.43.23:514 označuje prijavo v gostitelja Syslogd 10.92.43.23 na vratih UDP 514.
Če ste strežnik nastavili za uporabo šifriranja TLS, preverite Ali je vaš strežnik syslog konfiguriran za šifriranje SSL?.

Če potrdite to potrditveno polje, se prepričajte, da ste vnesli URL TCP, kot je npr tcp://10.92.43.23:514.
Iz Izberite prekinitev zapisa sistemskega dnevnika spustnem meniju izberite ustrezno nastavitev za vašo datoteko ISO: Za Graylog in Rsyslog TCP se uporablja Choose ali Newline
- Ničelni bajt -- \x00
- Nova vrstica -- \n—Izberite to možnost za Graylog in Rsyslog TCP.
Kliknite Nadaljuj.

(Izbirno) Spremenite lahko privzeto vrednost za nekatere parametre povezave z bazo podatkov v Napredne nastavitve. Na splošno je ta parameter edini, ki bi ga morda želeli spremeniti:

app_datasource_connection_pool_maxSize: 10

Kliknite Nadaljuj na Ponastavite geslo za storitvene račune zaslon.

Gesla storitvenih računov imajo življenjsko dobo devet mesecev. Uporabite ta zaslon, ko se vaša gesla bližajo izteku ali jih želite ponastaviti, da razveljavi prejšnje datoteke ISO.

Kliknite Prenesite datoteko ISO. Datoteko shranite na mesto, ki ga je enostavno najti.

Naredite varnostno kopijo datoteke ISO v vašem lokalnem sistemu.

Če želite zaustaviti orodje za nastavitev, vnesite CTRL+C.

Kaj storiti naprej

Nikoli nimamo kopije tega ključa in vam ne moremo pomagati, če ga izgubite.

Namestite HDS Host OVA

S tem postopkom ustvarite virtualni stroj iz datoteke OVA.

Uporabite odjemalca VMware vSphere v vašem računalniku, da se prijavite v navideznega gostitelja ESXi.

Izberite mapa > Namestite predlogo OVF.

V čarovniku določite lokacijo datoteke OVA, ki ste jo prej prenesli, in nato kliknite Naslednji .

Na Izberite računalniški vir izberite ciljni računalniški vir in kliknite Naslednji .

Zažene se preverjanje veljavnosti. Ko se konča, se prikažejo podrobnosti predloge.

Preverite podrobnosti predloge in kliknite Naslednji.

Če ste pozvani, da izberete konfiguracijo vira na Konfiguracija strani, kliknite 4 procesor in nato kliknite Naslednji .

Na Izberite shranjevanje strani, kliknite Naslednji da sprejmete privzeti format diska in politiko shranjevanja VM.

Na Izberite omrežja izberite omrežno možnost s seznama vnosov, da zagotovite želeno povezljivost z VM.

Na Prilagodite predlogo strani, konfigurirajte naslednje omrežne nastavitve:

Ime gostitelja—Vnesite FQDN (ime gostitelja in domeno) ali ime gostitelja z eno besedo za vozlišče.

Ni vam treba nastaviti domene, da se ujema z domeno, ki ste jo uporabili za pridobitev potrdila X.509.
Da zagotovite uspešno registracijo v oblak, uporabite samo male črke v FQDN ali imenu gostitelja, ki ste ga nastavili za vozlišče. Uporaba velikih začetnic trenutno ni podprta.
Skupna dolžina FQDN ne sme presegati 64 znakov.

IP naslov— Vnesite naslov IP za notranji vmesnik vozlišča.

Vaše vozlišče mora imeti notranji naslov IP in ime DNS. DHCP ni podprt.
Maska— Vnesite naslov maske podomrežja v decimalnem zapisu s pikami. na primer 255.255.255.0.
Prehod— Vnesite naslov IP prehoda. Prehod je omrežno vozlišče, ki služi kot dostopna točka do drugega omrežja.
DNS strežniki—Vnesite z vejicami ločen seznam strežnikov DNS, ki upravljajo prevajanje imen domen v številske naslove IP. (Dovoljeni so do 4 vnosi DNS.)
strežniki NTP— Vnesite strežnik NTP vaše organizacije ali drug zunanji strežnik NTP, ki ga lahko uporabljate v vaši organizaciji. Privzeti strežniki NTP morda ne bodo delovali v vseh podjetjih. Za vnos več strežnikov NTP lahko uporabite tudi seznam, ločen z vejicami.

Razmestite vsa vozlišča v istem podomrežju ali VLAN, tako da so vsa vozlišča v gruči dosegljiva odjemalcem v vašem omrežju za skrbniške namene.

Če želite, lahko preskočite konfiguracijo omrežnih nastavitev in sledite korakom v Nastavite Hybrid Data Security VM da konfigurirate nastavitve iz konzole vozlišča.

Možnost konfiguracije omrežnih nastavitev med uvajanjem OVA je bila preizkušena z ESXi 6.5. Možnost morda ni na voljo v starejših različicah.

Z desno miškino tipko kliknite vozlišče VM in nato izberite Moč > Vklop .

Programska oprema Hybrid Data Security je nameščena kot gost na gostitelju VM. Zdaj ste pripravljeni, da se prijavite v konzolo in konfigurirate vozlišče.

Nasveti za odpravljanje težav

Preden se vsebniki vozlišč prikažejo, lahko pride do nekajminutne zamude. Med prvim zagonom se na konzoli pojavi sporočilo mostnega požarnega zidu, med katerim se ne morete prijaviti.

Nastavite Hybrid Data Security VM

1	V odjemalcu VMware vSphere izberite VM vozlišča Hybrid Data Security in izberite Konzola zavihek. VM se zažene in prikaže se poziv za prijavo. Če se poziv za prijavo ne prikaže, pritisnite Vnesite.
2	Za prijavo in spremembo poverilnic uporabite naslednjo privzeto prijavo in geslo: Vpiši se: `admin` geslo: `cisco` Ker se v svoj VM vpisujete prvič, morate spremeniti skrbniško geslo.
3	Če ste že konfigurirali omrežne nastavitve v Namestite HDS Host OVA, preskočite preostanek tega postopka. V nasprotnem primeru v glavnem meniju izberite Uredi konfiguracijo možnost.
4	Nastavite statično konfiguracijo z informacijami o naslovu IP, maski, prehodu in DNS. Vaše vozlišče mora imeti notranji naslov IP in ime DNS. DHCP ni podprt.
5	(Izbirno) Spremenite ime gostitelja, domeno ali strežnike NTP, če je potrebno, da se ujemajo z vašo omrežno politiko. Ni vam treba nastaviti domene, da se ujema z domeno, ki ste jo uporabili za pridobitev potrdila X.509.
6	Shranite omrežno konfiguracijo in znova zaženite VM, da bodo spremembe začele veljati.

Naložite in namestite ISO konfiguracije HDS

S tem postopkom konfigurirajte navidezni stroj iz datoteke ISO, ki ste jo ustvarili z orodjem za namestitev HDS.

Preden začneš

Naložite datoteko ISO iz računalnika:

V levem navigacijskem podoknu odjemalca VMware vSphere kliknite strežnik ESXi.
Na seznamu strojne opreme zavihka Konfiguracija kliknite Shranjevanje.
Na seznamu Datastores z desno miškino tipko kliknite shrambo podatkov za vaše VM in kliknite Prebrskajte po shrambi podatkov.
Kliknite ikono Naloži datoteke in nato kliknite Naloži datoteko.
V računalniku poiščite mesto, kamor ste prenesli datoteko ISO, in kliknite Odprto.
Kliknite ja da sprejmete opozorilo o operaciji nalaganja/prenosa in zaprete pogovorno okno shrambe podatkov.

Namestite datoteko ISO:

V levem navigacijskem podoknu odjemalca VMware vSphere z desno miškino tipko kliknite VM in kliknite Uredi nastavitve.
Kliknite v redu da sprejmete opozorilo o omejenih možnostih urejanja.
Kliknite CD/DVD Drive 1, izberite možnost priklopa iz datoteke ISO shrambe podatkov in poiščite mesto, kamor ste naložili konfiguracijsko datoteko ISO.
Preverite Povezan in Priključite ob vklopu.
Shranite spremembe in znova zaženite virtualni stroj.

Kaj storiti naprej

Če vaša politika IT zahteva, lahko po želji odklopite datoteko ISO, potem ko vsa vaša vozlišča prevzamejo spremembe konfiguracije. glej (Izbirno) Odpni ISO po konfiguraciji HDS za podrobnosti.

Konfigurirajte vozlišče HDS za integracijo posrednika

Preden začneš

glej Podpora za proxy za pregled podprtih možnosti proxyja.
Zahteve za strežnik proxy

1	Vnesite URL za nastavitev vozlišča HDS `https://[HDS Node IP or FQDN]/setup` v spletni brskalnik vnesite skrbniške poverilnice, ki ste jih nastavili za vozlišče, in nato kliknite Prijava.
2	Pojdi do Trust Store & Proxyin nato izberite možnost: Brez posrednika— Privzeta možnost, preden integrirate proxy. Posodobitev potrdila ni potrebna. Transparentni proxy brez nadzora— Vozlišča niso konfigurirana za uporabo določenega naslova proxy strežnika in ne bi smela zahtevati nobenih sprememb za delo s proxyjem, ki ne preverja. Posodobitev potrdila ni potrebna. Transparentni nadzorni pooblaščenec— Vozlišča niso konfigurirana za uporabo določenega naslova strežnika proxy. Spremembe konfiguracije HTTPS niso potrebne na Hibridna varnost podatkov vendar pa vozlišča HDS potrebujejo korensko potrdilo, da zaupajo proxyju. Inspecting proxy običajno uporablja IT za uveljavljanje pravilnikov o tem, katera spletna mesta je mogoče obiskati in katere vrste vsebine niso dovoljene. Ta vrsta proxyja dešifrira ves vaš promet (tudi HTTPS). Eksplicitni posrednik— Z eksplicitnim posrednikom poveste odjemalcu (vozliščem HDS), kateri strežnik proxy naj uporabi, in ta možnost podpira več vrst preverjanja pristnosti. Ko izberete to možnost, morate vnesti naslednje podatke: Proxy IP/FQDN—Naslov, ki ga je mogoče uporabiti za dostop do proxy naprave. Proxy vrata—Številka vrat, ki jih proxy uporablja za poslušanje prometa prek posrednika. Proxy protokol—Izberi http (pregleduje in nadzoruje vse zahteve, ki jih prejme od naročnika) oz https (zagotavlja kanal strežniku, odjemalec pa prejme in potrdi potrdilo strežnika). Izberite možnost glede na to, kaj podpira vaš proxy strežnik. Vrsta avtentikacije—Izbirajte med naslednjimi vrstami preverjanja pristnosti: Noben— Nadaljnje preverjanje pristnosti ni potrebno. Na voljo za strežnike proxy HTTP ali HTTPS. Osnovno—Uporablja se za uporabniškega agenta HTTP, da zagotovi uporabniško ime in geslo, ko poda zahtevo. Uporablja kodiranje Base64. Na voljo za strežnike proxy HTTP ali HTTPS. Če izberete to možnost, morate vnesti tudi uporabniško ime in geslo. prebaviti— Uporablja se za potrditev računa pred pošiljanjem občutljivih informacij. Uporabi zgoščeno funkcijo za uporabniško ime in geslo pred pošiljanjem po omrežju. Na voljo samo za strežnike proxy HTTPS. Če izberete to možnost, morate vnesti tudi uporabniško ime in geslo. Sledite naslednjim korakom za pregleden proxy za pregledovanje, eksplicitni proxy HTTP z osnovnim preverjanjem pristnosti ali eksplicitni proxy HTTPS.
3	Kliknite Naložite korensko potrdilo ali potrdilo končne entitete, nato pa se pomaknite do izbire korenskega potrdila za proxy. Potrdilo je naloženo, vendar še ni nameščeno, ker morate za namestitev potrdila znova zagnati vozlišče. Kliknite puščico ševrona ob imenu izdajatelja potrdila, da dobite več podrobnosti ali kliknite Izbriši če ste se zmotili in želite znova naložiti datoteko.
4	Kliknite Preverite povezavo proxy da preizkusite omrežno povezljivost med vozliščem in posrednikom. Če preizkus povezave ne uspe, boste videli sporočilo o napaki, ki prikazuje razlog in kako lahko odpravite težavo. Če vidite sporočilo, da zunanja razrešitev DNS ni bila uspešna, vozlišče ni moglo doseči strežnika DNS. Ta pogoj je pričakovan v številnih eksplicitnih konfiguracijah proxyja. Lahko nadaljujete z nastavitvijo in vozlišče bo delovalo v načinu blokirane zunanje ločljivosti DNS. Če menite, da je to napaka, dokončajte te korake in si oglejte Izklopite način razreševanja blokiranega zunanjega DNS-ja.
5	Ko je preskus povezave uspešen, za eksplicitni proxy, nastavljen samo na https, preklopite stikalo na Usmerite vse https zahteve vrat 443/444 iz tega vozlišča prek eksplicitnega proxyja. Ta nastavitev začne veljati po 15 sekundah.
6	Kliknite Namestite vsa potrdila v Trust Store (prikaže se za eksplicitni proxy HTTPS ali pregledni proxy za preverjanje) ali Znova zaženite (prikaže se za eksplicitni proxy HTTP), preberite poziv in kliknite Namestite če si pripravljen. Vozlišče se znova zažene v nekaj minutah.
7	Ko se vozlišče znova zažene, se po potrebi znova vpišite in nato odprite Pregled strani, da preverite preverjanja povezljivosti in se prepričate, ali so vsi v zelenem stanju. Preverjanje povezave posrednika testira samo poddomeno webex.com. Če pride do težav s povezljivostjo, je pogosta težava, da so nekatere domene v oblaku, navedene v navodilih za namestitev, blokirane na strežniku proxy.

Registrirajte prvo vozlišče v gruči

Ta naloga prevzame generično vozlišče, ki ste ga ustvarili v Nastavite Hybrid Data Security VM, registrira vozlišče v oblaku Webex in ga spremeni v vozlišče Hybrid Data Security.

Ko registrirate svoje prvo vozlišče, ustvarite gručo, ki ji je vozlišče dodeljeno. Grozd vsebuje eno ali več vozlišč, nameščenih za zagotavljanje redundance.

Preden začneš

Ko začnete z registracijo vozlišča, jo morate dokončati v 60 minutah ali pa morate začeti znova.
Prepričajte se, da so v vašem brskalniku onemogočeni vsi blokatorji pojavnih oken ali da dovolite izjemo za admin.webex.com.

1	Prijavite se v https://admin.webex.com.
2	V meniju na levi strani zaslona izberite Storitve.
3	V razdelku Hybrid Services poiščite Hybrid Data Security in kliknite Nastaviti. Prikaže se stran Register Hybrid Data Security Node.
4	Izberite ja da označite, da ste nastavili vozlišče in ste ga pripravljeni registrirati, in nato kliknite Naslednji.
5	V prvo polje vnesite ime za gručo, ki ji želite dodeliti vozlišče Hybrid Data Security. Priporočamo, da gručo poimenujete glede na to, kje se geografsko nahajajo vozlišča gruče. Primeri: "San Francisco" ali "New York" ali "Dallas"
6	V drugo polje vnesite notranji naslov IP ali popolnoma kvalificirano ime domene (FQDN) svojega vozlišča in kliknite Naslednji. Ta naslov IP ali FQDN se mora ujemati z naslovom IP ali imenom gostitelja in domeno, ki ste jo uporabili Nastavite Hybrid Data Security VM. Prikaže se sporočilo, ki nakazuje, da lahko svoje vozlišče registrirate v Webex.
7	Kliknite Pojdite na Node.
8	Kliknite Nadaljuj v opozorilnem sporočilu. Po nekaj trenutkih ste preusmerjeni na teste povezljivosti vozlišča za storitve Webex. Če so vsi preizkusi uspešni, se prikaže stran Dovoli dostop do vozlišča Hybrid Data Security Node. Tam potrdite, da želite svoji organizaciji Webex dati dovoljenja za dostop do vašega vozlišča.
9	Preverite Dovolite dostop do vašega vozlišča Hybrid Data Security Node potrditveno polje in nato kliknite Nadaljuj. Vaš račun je potrjen in sporočilo »Registracija je dokončana« nakazuje, da je vaše vozlišče zdaj registrirano v oblaku Webex.
10	Kliknite povezavo ali zaprite zavihek, da se vrnete na stran Hybrid Data Security Control Hub. Na Hibridna varnost podatkov stran, se prikaže nova gruča, ki vsebuje vozlišče, ki ste ga registrirali. Vozlišče bo samodejno preneslo najnovejšo programsko opremo iz oblaka.

Ustvarite in registrirajte več vozlišč

Preden začneš

Ko začnete z registracijo vozlišča, jo morate dokončati v 60 minutah ali pa morate začeti znova.
Prepričajte se, da so v vašem brskalniku onemogočeni vsi blokatorji pojavnih oken ali da dovolite izjemo za admin.webex.com.

1	Ustvarite nov virtualni stroj iz OVA in ponovite korake Namestite HDS Host OVA.
2	Nastavite začetno konfiguracijo na novem VM in ponovite korake v Nastavite Hybrid Data Security VM.
3	Na novem VM ponovite korake v Naložite in namestite ISO konfiguracije HDS.
4	Če nastavljate proxy za svojo uvedbo, ponovite korake v Konfigurirajte vozlišče HDS za integracijo posrednika kot je potrebno za novo vozlišče.
5	Registrirajte vozlišče. notri https://admin.webex.com, izberite Storitve iz menija na levi strani zaslona. V razdelku Hybrid Services poiščite kartico Hybrid Data Security in kliknite Viri. Prikaže se stran z viri za varnost hibridnih podatkov. Kliknite Dodaj vir. V prvem polju izberite ime obstoječe gruče. V drugo polje vnesite notranji naslov IP ali popolnoma kvalificirano ime domene (FQDN) svojega vozlišča in kliknite Naslednji. Prikaže se sporočilo, ki označuje, da lahko svoje vozlišče registrirate v oblaku Webex. Kliknite Pojdite na Node. Po nekaj trenutkih ste preusmerjeni na teste povezljivosti vozlišča za storitve Webex. Če so vsi preizkusi uspešni, se prikaže stran Dovoli dostop do vozlišča Hybrid Data Security Node. Tam potrdite, da želite svoji organizaciji dati dovoljenja za dostop do vašega vozlišča. Preverite Dovolite dostop do vašega vozlišča Hybrid Data Security Node potrditveno polje in nato kliknite Nadaljuj. Vaš račun je potrjen in sporočilo »Registracija je dokončana« nakazuje, da je vaše vozlišče zdaj registrirano v oblaku Webex. Kliknite povezavo ali zaprite zavihek, da se vrnete na stran Hybrid Data Security Control Hub. Vaše vozlišče je registrirano. Upoštevajte, da dokler ne začnete preizkusa, vaša vozlišča ustvarijo alarm, ki nakazuje, da vaša storitev še ni aktivirana.

Kaj storiti naprej

Izvedite preizkus in se premaknite v produkcijo (naslednje poglavje)

Izvedite preizkus in se premaknite v produkcijo

Potek naloge od poskusa do proizvodnje

Preden začneš

1	Če je primerno, sinhronizirajte `HdsTrialGroup` predmet skupine. Če vaša organizacija uporablja sinhronizacijo imenikov za uporabnike, morate izbrati `HdsTrialGroup` predmet skupine za sinhronizacijo z oblakom, preden lahko začnete preskusno različico. Za navodila glejte Vodnik za uvajanje za Cisco Directory Connector.
2	Aktiviraj preizkus Začni poskus. Dokler ne opravite te naloge, vaša vozlišča ustvarijo alarm, ki nakazuje, da storitev še ni aktivirana.
3	Preizkusite svojo hibridno uvedbo varnosti podatkov Preverite, ali ključne zahteve prehajajo v vašo uvedbo Hybrid Data Security.
4	Spremljajte varnost hibridnih podatkov Preverite stanje in nastavite e-poštna obvestila za alarme.
5	Dodajte ali odstranite uporabnike iz svojega preizkusa
6	Dokončajte preskusno fazo z enim od naslednjih dejanj: Premaknite se s preskusne različice na produkcijsko Končajte preizkus, ne da bi se preselili v proizvodnjo

Aktiviraj preizkus

Preden začneš

1	Prijavite se v https://admin.webex.comin nato izberite Storitve.
2	V razdelku Hibridna varnost podatkov kliknite nastavitve.
3	V razdelku Status storitve kliknite Začni preizkus. Stanje storitve se spremeni v poskusni način.
4	Kliknite Dodajanje uporabnikov in vnesite e-poštni naslov enega ali več uporabnikov za poskusno uporabo vozlišč Hybrid Data Security za storitve šifriranja in indeksiranja. (Če vaša organizacija uporablja sinhronizacijo imenikov, uporabite Active Directory za upravljanje poskusne skupine, `HdsTrialGroup`.)

Preizkusite svojo hibridno uvedbo varnosti podatkov

S tem postopkom preizkusite scenarije šifriranja Hybrid Data Security.

Preden začneš

Nastavite svojo uvedbo Hybrid Data Security.
Aktivirajte preskusno različico in dodajte več poskusnih uporabnikov.
Prepričajte se, da imate dostop do sistemskega dnevnika, da preverite, ali ključne zahteve prehajajo v vašo uvedbo Hybrid Data Security.

Če deaktivirate uvedbo Hybrid Data Security, vsebina v prostorih, ki jih ustvarijo pilotni uporabniki, po zamenjavi kopij šifrirnih ključev, shranjenih v odjemalcu, ni več dostopna.

Pošljite sporočila v novi prostor.

Preverite izhod sistemskega dnevnika, da preverite, ali ključne zahteve prehajajo v vašo uvedbo Hybrid Data Security.

Če želite preveriti, ali uporabnik najprej vzpostavi varen kanal za KMS, vklopite filter kms.data.method=create in kms.data.type=EPHEMERAL_KEY_COLLECTION:

Morali bi najti vnos, kot je ta (identifikatorji so skrajšani zaradi berljivosti):

2020-07-21 17:35:34.562 (+0000) INFO  KMS [pool-14-thread-1] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, 
kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

Če želite preveriti, ali uporabnik zahteva obstoječi ključ iz KMS, vklopite filter kms.data.method=retrieve in kms.data.type=KEY:

Morali bi najti vnos, kot je:

2020-07-21 17:44:19.889 (+0000) INFO  KMS [pool-14-thread-31] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, 
kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, 
kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

Če želite preveriti, ali uporabnik zahteva ustvarjanje novega ključa KMS, filtrirajte na kms.data.method=create in kms.data.type=KEY_COLLECTION:

Morali bi najti vnos, kot je:

2020-07-21 17:44:21.975 (+0000) INFO  KMS [pool-14-thread-33] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, 
kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, 
kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

Morali bi najti vnos, kot je:

2020-07-21 17:44:22.808 (+0000) INFO  KMS [pool-15-thread-1] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

Spremljajte varnost hibridnih podatkov

1	notri Nadzorno središče, izberite Storitve iz menija na levi strani zaslona.
2	V razdelku Hybrid Services poiščite Hybrid Data Security in kliknite nastavitve. Prikaže se stran z nastavitvami hibridne varnosti podatkov.
3	V razdelku E-poštna obvestila vnesite enega ali več e-poštnih naslovov, ločenih z vejicami, in pritisnite Vnesite.

Dodajte ali odstranite uporabnike iz svojega preizkusa

Ko aktivirate preskusno različico in dodate začetni nabor preskusnih uporabnikov, lahko kadar koli dodate ali odstranite člane preizkusne različice, medtem ko je preskusna različica aktivna.

1	Prijavite se v Control Hub in nato izberite Storitve.
2	V razdelku Hibridna varnost podatkov kliknite nastavitve.
3	V razdelku Preizkusni način v območju Stanje storitve kliknite Dodajanje uporabnikov, ali kliknite ogled in urejanje za odstranitev uporabnikov iz preizkusa.
4	Vnesite e-poštni naslov enega ali več uporabnikov, ki jih želite dodati, ali kliknite X z ID-jem uporabnika, da uporabnika odstranite iz preizkusa. Nato kliknite Shrani.

Premaknite se s preskusne različice na produkcijsko

1	Prijavite se v Control Hub in nato izberite Storitve.
2	V razdelku Hibridna varnost podatkov kliknite nastavitve.
3	V razdelku Status storitve kliknite Premakni se v proizvodnjo.
4	Potrdite, da želite vse svoje uporabnike premakniti v produkcijo.

Končajte preizkus, ne da bi se preselili v proizvodnjo

1	Prijavite se v Control Hub in nato izberite Storitve.
2	V razdelku Hibridna varnost podatkov kliknite nastavitve.
3	V razdelku Deaktiviraj kliknite Deaktiviraj.
4	Potrdite, da želite deaktivirati storitev in končati preskusno obdobje.

Upravljajte svojo namestitev HDS

Upravljanje uvajanja HDS

Uporabite tukaj opisane naloge za upravljanje svoje razmestitve Hybrid Data Security.

Nastavite urnik nadgradnje gruče

Če želite nastaviti urnik nadgradnje:

1	Prijavite se v Nadzorno središče.
2	Na strani Pregled v razdelku Hibridne storitve izberite Hibridna varnost podatkov.
3	Na strani Viri za varnost hibridnih podatkov izberite gručo.
4	Na plošči Pregled na desni v razdelku Nastavitve gruče izberite ime gruče.
5	Na strani z nastavitvami v razdelku Nadgradnja izberite čas in časovni pas za urnik nadgradnje. Opomba: Pod časovnim pasom sta prikazana datum in čas naslednje razpoložljive nadgradnje. Nadgradnjo lahko po potrebi prestavite na naslednji dan s klikom Odložiti.

Spremenite konfiguracijo vozlišča

Občasno boste morda morali spremeniti konfiguracijo svojega vozlišča Hybrid Data Security iz razlogov, kot so:

Spreminjanje potrdil x.509 zaradi poteka veljavnosti ali drugih razlogov.

Ne podpiramo spreminjanja imena domene CN potrdila. Domena se mora ujemati z izvirno domeno, uporabljeno za registracijo gruče.

Posodabljanje nastavitev baze podatkov za spremembo v repliko baze podatkov PostgreSQL ali Microsoft SQL Server.

Ne podpiramo selitve podatkov iz PostgreSQL v Microsoft SQL Server ali obratno. Če želite preklopiti okolje baze podatkov, začnite novo uvedbo Hybrid Data Security.

Ustvarjanje nove konfiguracije za pripravo novega podatkovnega centra.

Mehka ponastavitev— Staro in novo geslo delujeta do 10 dni. To obdobje uporabite za postopno zamenjavo datoteke ISO na vozliščih.
Trda ponastavitev— Stara gesla prenehajo delovati takoj.

Če vaša gesla potečejo brez ponastavitve, to vpliva na vašo storitev HDS, saj zahteva takojšnjo strojno ponastavitev in zamenjavo datoteke ISO na vseh vozliščih.

S tem postopkom ustvarite novo konfiguracijsko datoteko ISO in jo uporabite za vašo gručo.

Preden začneš

Če orodje za namestitev HDS deluje za proxyjem v vašem okolju, podajte nastavitve proxyja (strežnik, vrata, poverilnice) prek spremenljivk okolja Docker, ko prikažete vsebnik Docker v 1.e. Ta tabela podaja nekaj možnih spremenljivk okolja:

Opis	Spremenljivka
HTTP Proxy brez avtentikacije	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
HTTPS Proxy brez avtentikacije	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
HTTP proxy z avtentikacijo	`GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
HTTPS Proxy z avtentikacijo	`GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

Za ustvarjanje nove konfiguracije potrebujete kopijo trenutne konfiguracijske datoteke ISO. ISO vsebuje glavni ključ, ki šifrira bazo podatkov PostgreSQL ali Microsoft SQL Server. ISO potrebujete, ko spreminjate konfiguracijo, vključno s poverilnicami baze podatkov, posodobitvami potrdil ali spremembami pravilnika avtorizacije.

Z Dockerjem na lokalnem računalniku zaženite orodje za namestitev HDS.

V ukazno vrstico vašega računalnika vnesite ustrezen ukaz za vaše okolje:
V običajnih okoljih:
```
docker rmi ciscocitg/hds-setup:stable
```
V okoljih FedRAMP:
```
docker rmi ciscocitg/hds-setup-fedramp:stable
```
Ta korak počisti prejšnje slike orodja za nastavitev HDS. Če ni prejšnjih slik, vrne napako, ki jo lahko prezrete.
Za vpis v register slik Docker vnesite naslednje:
```
docker login -u hdscustomersro
```
Ob pozivu za geslo vnesite to zgoščeno vrednost:
```
dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
```

Prenesite najnovejšo stabilno sliko za vaše okolje:

V običajnih okoljih:

docker pull ciscocitg/hds-setup:stable

V okoljih FedRAMP:

docker pull ciscocitg/hds-setup-fedramp:stable

Prepričajte se, da ste za ta postopek uporabili najnovejšo namestitveno orodje. Različice orodja, ustvarjene pred 22. februarjem 2018, nimajo zaslonov za ponastavitev gesla.

Ko je vlečenje končano, vnesite ustrezen ukaz za vaše okolje:

V običajnih okoljih brez posrednika:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

V običajnih okoljih s strežnikom proxy HTTP:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

V običajnih okoljih s proxyjem HTTPS:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

V okoljih FedRAMP brez posrednika:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

V okoljih FedRAMP s strežnikom proxy HTTP:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

V okoljih FedRAMP s strežnikom proxy HTTPS:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Ko se vsebnik izvaja, vidite »Strežnik Express posluša na vratih 8080«.

Uporabite brskalnik za povezavo z lokalnim gostiteljem, http://127.0.0.1:8080.

Orodje za namestitev ne podpira povezovanja z lokalnim gostiteljem prek http://localhost:8080. Uporaba http://127.0.0.1:8080 za povezavo z lokalnim gostiteljem.

Ko ste pozvani, vnesite svoje poverilnice za prijavo stranke Control Hub in kliknite Sprejmi nadaljevati.
Uvozite trenutno konfiguracijsko datoteko ISO.
Sledite navodilom za dokončanje orodja in prenos posodobljene datoteke.

Če želite zaustaviti orodje za nastavitev, vnesite CTRL+C.
Ustvarite varnostno kopijo posodobljene datoteke v drugem podatkovnem centru.

Namestite HDS host OVA.
Nastavite HDS VM.
Namestite posodobljeno konfiguracijsko datoteko.
Registrirajte novo vozlišče v Control Hub.

Izklopite virtualni stroj.
V levem navigacijskem podoknu odjemalca VMware vSphere z desno miškino tipko kliknite VM in kliknite Uredi nastavitve.
Kliknite CD/DVD Drive 1, izberite možnost za namestitev iz datoteke ISO in poiščite mesto, kamor ste prenesli novo konfiguracijsko datoteko ISO.
Preverite Priključite ob vklopu.
Shranite spremembe in vklopite virtualni stroj.

Ponovite 3. korak, da zamenjate konfiguracijo na vsakem preostalem vozlišču, ki izvaja staro konfiguracijo.

Izklopite način razreševanja blokiranega zunanjega DNS-ja

Če lahko vaša vozlišča razrešijo javna imena DNS prek notranjih strežnikov DNS, lahko ta način izklopite tako, da na vsakem vozlišču znova zaženete preskus povezave proxy.

Preden začneš

Zagotovite, da lahko vaši notranji strežniki DNS razrešijo javna imena DNS in da lahko vaša vozlišča komunicirajo z njimi.

1	V spletnem brskalniku odprite vmesnik vozlišča Hybrid Data Security (naslov IP/nastavitev, npr. https://192.0.2.0/setup), vnesite skrbniške poverilnice, ki ste jih nastavili za vozlišče, in nato kliknite Prijava.
2	Pojdi do Pregled (privzeta stran). Ko je omogočeno, Blokirana zunanja razrešitev DNS je nastavljeno na ja.
3	Pojdi na Trust Store & Proxy strani.
4	Kliknite Preverite povezavo proxy. Če vidite sporočilo, da zunanja razrešitev DNS ni bila uspešna, vozlišče ni moglo doseči strežnika DNS in bo ostalo v tem načinu. V nasprotnem primeru, ko znova zaženete vozlišče in se vrnete na Pregled stran, Blokirana zunanja DNS resolucija mora biti nastavljena na št.

Kaj storiti naprej

Ponovite preizkus povezave proxy na vsakem vozlišču v vaši gruči Hybrid Data Security.

Odstranite vozlišče

Uporabite odjemalca VMware vSphere v vašem računalniku, da se prijavite v virtualni gostitelj ESXi in izklopite virtualni stroj.

Odstranite vozlišče:

Prijavite se v Control Hub in nato izberite Storitve.
Na kartici Hybrid Data Security kliknite Poglej vse za prikaz strani Hibridni viri za varnost podatkov.
Izberite svojo gručo, da prikažete njeno pregledno ploščo.
Kliknite Odpri seznam vozlišč.
Na zavihku Vozlišča izberite vozlišče, ki ga želite odstraniti.
Kliknite Dejanja > Odjavi vozlišče.

V odjemalcu vSphere izbrišite VM. (V levem podoknu za krmarjenje z desno miškino tipko kliknite VM in kliknite Izbriši.)

Če VM ne izbrišete, ne pozabite odklopiti konfiguracijske datoteke ISO. Brez datoteke ISO ne morete uporabljati VM za dostop do svojih varnostnih podatkov.

Obnovitev po nesreči z uporabo podatkovnega centra v pripravljenosti

Če katastrofa povzroči, da uvedba HDS v primarnem podatkovnem centru postane nerazpoložljiva, sledite temu postopku za ročni samodejni preklop v rezervni podatkovni center.

Zaženite orodje HDS Setup in sledite korakom, navedenim v Ustvarite konfiguracijski ISO za gostitelje HDS.

Ko konfigurirate strežnik Syslogd, kliknite na Napredne nastavitve

Na Napredne nastavitve stran, dodajte spodnjo konfiguracijo ali odstranite passiveMode konfiguracijo, da bo vozlišče aktivno. Vozlišče lahko obravnava promet, ko je to konfigurirano.


passiveMode: 'false'

Dokončajte postopek konfiguracije in shranite datoteko ISO na mesto, ki ga je enostavno najti.

V levem podoknu za krmarjenje odjemalca VMware vSphere z desno miškino tipko kliknite VM in kliknite Uredi nastavitve..

Kliknite Uredi nastavitve >CD/DVD pogon 1 in izberite Datastore ISO File.

Poskrbi Povezan in Priključite ob vklopu so označene, tako da lahko posodobljene konfiguracijske spremembe začnejo veljati po zagonu vozlišč.

Vklopite vozlišče HDS in se prepričajte, da ni alarmov vsaj 15 minut.

Ponovite postopek za vsako vozlišče v podatkovnem centru v pripravljenosti.

Kaj storiti naprej

(Izbirno) Odpni ISO po konfiguraciji HDS

Preden začneš

Nadgradite vsa svoja vozlišča HDS na različico 2021.01.22.4720 ali novejšo.

1	Zaustavite eno od vozlišč HDS.
2	V strežniški napravi vCenter izberite vozlišče HDS.
3	Izberite Uredi nastavitve > CD/DVD pogon in odkljukajte Datoteka ISO za shranjevanje podatkov.
4	Vklopite vozlišče HDS in zagotovite, da vsaj 20 minut ni alarmov.
5	Ponovite za vsako vozlišče HDS po vrsti.

Odpravljanje težav s hibridno varnostjo podatkov

Ogled opozoril in odpravljanje težav

Novih prostorov ni mogoče ustvariti (ni mogoče ustvariti novih ključev)
Sporočil in naslovov prostorov ni mogoče dešifrirati za:
- Novi uporabniki dodani v prostor (ni mogoče pridobiti ključev)
- Obstoječi uporabniki v prostoru, ki uporabljajo novega odjemalca (ni mogoče pridobiti ključev)
Obstoječi uporabniki v prostoru bodo še naprej uspešno delovali, dokler imajo njihovi odjemalci predpomnilnik šifrirnih ključev

Pomembno je, da pravilno spremljate svojo gručo Hybrid Data Security in nemudoma obravnavate vsa opozorila, da preprečite motnje storitve.

Opozorila

Tabela 1. Pogoste težave in koraki za njihovo rešitev
Opozorilo	Dejanje
Napaka pri dostopu do lokalne baze podatkov.	Preverite napake baze podatkov ali težave z lokalnim omrežjem.
Napaka povezave z lokalno bazo podatkov.	Preverite, ali je strežnik baze podatkov na voljo in ali so bile v konfiguraciji vozlišča uporabljene prave poverilnice storitvenega računa.
Napaka pri dostopu do storitve v oblaku.	Preverite, ali lahko vozlišča dostopajo do strežnikov Webex, kot je določeno v Zahteve za zunanjo povezljivost.
Podaljšanje registracije storitve v oblaku.	Registracija v storitvah v oblaku je bila opuščena. Podaljšanje registracije je v teku.
Registracija storitve v oblaku je padla.	Registracija v storitve v oblaku je prekinjena. Storitev se zapira.
Storitev še ni aktivirana.	Aktivirajte preskusno različico ali dokončajte premik preizkusne različice v produkcijo.
Konfigurirana domena se ne ujema s potrdilom strežnika.	Prepričajte se, da se vaše potrdilo strežnika ujema s konfigurirano domeno za aktiviranje storitve. Najverjetnejši vzrok je, da je bilo potrdilo CN nedavno spremenjeno in se zdaj razlikuje od CN, ki je bilo uporabljeno med prvotno nastavitvijo.
Preverjanje pristnosti v storitvah v oblaku ni uspelo.	Preverite točnost in morebiten potek poverilnic storitvenega računa.
Lokalne datoteke shrambe ključev ni bilo mogoče odpreti.	Preverite celovitost in točnost gesla v datoteki lokalne shrambe ključev.
Potrdilo lokalnega strežnika ni veljavno.	Preverite datum veljavnosti strežniškega potrdila in potrdite, da ga je izdal zaupanja vreden overitelj potrdil.
Ni mogoče objaviti meritev.	Preverite dostop lokalnega omrežja do zunanjih storitev v oblaku.
Imenik /media/configdrive/hds ne obstaja.	Preverite konfiguracijo namestitve ISO na virtualnem gostitelju. Preverite, ali datoteka ISO obstaja, ali je konfigurirana za namestitev ob ponovnem zagonu in ali je uspešno nameščena.

Odpravljanje težav s hibridno varnostjo podatkov

Pri odpravljanju težav s hibridno varnostjo podatkov upoštevajte naslednje splošne smernice.

1	Preglejte Control Hub za vsa opozorila in popravite vse elemente, ki jih najdete tam.
2	Preglejte izhod strežnika syslog za dejavnost razmestitve Hybrid Data Security.
3	Kontakt Cisco podpora.

Druge opombe

Znane težave pri hibridni varnosti podatkov

Če zaustavite svojo gručo Hybrid Data Security (tako da jo izbrišete v Control Hubu ali tako, da zaustavite vsa vozlišča), izgubite konfiguracijsko datoteko ISO ali izgubite dostop do baze podatkov shrambe ključev, vaši uporabniki aplikacije Webex ne morejo več uporabljati prostorov pod svojimi Ljudje seznam, ki so bili ustvarjeni s ključi iz vašega KMS. To velja tako za poskusno kot za proizvodno uvedbo. Trenutno nimamo rešitve ali popravka za to težavo in vas pozivamo, da ne zaustavite storitev HDS, ko obravnavajo aktivne uporabniške račune.
Odjemalec, ki ima obstoječo povezavo ECDH s KMS, vzdržuje to povezavo nekaj časa (verjetno eno uro). Ko uporabnik postane član preskusne različice Hybrid Data Security, uporabnikov odjemalec nadaljuje z uporabo obstoječe povezave ECDH, dokler ne poteče čas. Druga možnost je, da se uporabnik odjavi in znova prijavi v aplikacijo Webex App, da posodobi lokacijo, s katero se aplikacija obrne za šifrirne ključe.

Enako vedenje se zgodi, ko preizkus premaknete v proizvodnjo za organizacijo. Vsi uporabniki brez preskusne različice z obstoječimi povezavami ECDH s prejšnjimi storitvami za varnost podatkov bodo še naprej uporabljali te storitve, dokler se povezava ECDH ponovno ne dogovori (prek časovne omejitve ali z odjavo in ponovnim vstopom).

Uporabite OpenSSL za ustvarjanje datoteke PKCS12

Preden začneš

OpenSSL je eno orodje, ki ga lahko uporabite za izdelavo datoteke PKCS12 v ustreznem formatu za nalaganje v orodju za nastavitev HDS. Obstajajo drugi načini za to in ne podpiramo ali spodbujamo enega načina namesto drugega.
Če se odločite za uporabo OpenSSL, ponujamo ta postopek kot smernico za pomoč pri ustvarjanju datoteke, ki izpolnjuje zahteve potrdila X.509 v Zahteve za potrdilo X.509. Razumite te zahteve, preden nadaljujete.
Namestite OpenSSL v podprto okolje. glej https://www.openssl.org za programsko opremo in dokumentacijo.
Ustvari zasebni ključ.
Začnite ta postopek, ko prejmete strežniško potrdilo od svojega overitelja potrdil (CA).

1	Ko prejmete strežniško potrdilo od službe za potrdila, ga shranite kot `hdsnode.pem`.
2	Prikažite potrdilo kot besedilo in preverite podrobnosti. `openssl x509 -text -noout -in hdsnode.pem`
3	Z urejevalnikom besedila ustvarite datoteko svežnja potrdil, imenovano `hdsnode-bundle.pem`. Datoteka paketa mora vključevati potrdilo strežnika, vsa vmesna potrdila CA in korenska potrdila CA v spodnji obliki: `-----BEGIN CERTIFICATE----- ### Server certificate. ### -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ### Intermediate CA certificate. ### -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ### Root CA certificate. ### -----END CERTIFICATE-----`
4	Ustvarite datoteko .p12 s prijaznim imenom `kms-private-key`. `openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12`
5	Preverite podrobnosti potrdila strežnika. `openssl pkcs12 -in hdsnode.p12` Ob pozivu vnesite geslo za šifriranje zasebnega ključa, da bo naveden v izhodu. Nato preverite, ali zasebni ključ in prvo potrdilo vključujeta vrstice `friendlyName: kms-private-key`. primer: bash$ openssl pkcs12 -in hdsnode.p12 Enter Import Password: MAC verified OK Bag Attributes friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Key Attributes: <No Attributes> Enter PEM pass phrase: Verifying - Enter PEM pass phrase: -----BEGIN ENCRYPTED PRIVATE KEY----- <redacted> -----END ENCRYPTED PRIVATE KEY----- Bag Attributes friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 -----BEGIN CERTIFICATE----- <redacted> -----END CERTIFICATE----- Bag Attributes friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3 -----BEGIN CERTIFICATE----- <redacted> -----END CERTIFICATE-----

Kaj storiti naprej

Vrnitev na Izpolnite predpogoje za hibridno varnost podatkov. Uporabili boste hdsnode.p12 datoteko in geslo, ki ste ga nastavili zanjo, v Ustvarite konfiguracijski ISO za gostitelje HDS.

Te datoteke lahko znova uporabite za zahtevo po novem potrdilu, ko prvotno potrdilo poteče.

Promet med vozlišči HDS in oblakom

Odhodni promet zbiranja meritev

Dohodni promet

Vozlišča Hybrid Data Security prejemajo naslednje vrste vhodnega prometa iz oblaka Webex:

Zahteve za šifriranje odjemalcev, ki jih usmeri šifrirna storitev
Nadgradnje programske opreme vozlišča

Konfigurirajte posrednike Squid za hibridno varnost podatkov

Websocket se ne more povezati prek proxyja Squid

Lignji 4 in 5

Dodajte on_unsupported_protocol direktiva za squid.conf:

on_unsupported_protocol tunnel all

Lignji 3.5.27

Hibridno varnost podatkov smo uspešno preizkusili z dodanimi naslednjimi pravili squid.conf. Ta pravila se lahko spremenijo, ko razvijamo funkcije in posodabljamo oblak Webex.

acl wssMercuryConnection ssl::server_name_regex mercury-connection

ssl_bump splice wssMercuryConnection

acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all

Predgovor

Nove in spremenjene informacije

Datum

Izvedene spremembe

20. oktober 2023

Posodobljene informacije v Zahteve za strežnik baze podatkov.
Dodano Nastavite podatkovni center v pripravljenosti za obnovitev po katastrofi.
Posodobljene informacije v Podatkovni center v pripravljenosti za obnovitev po katastrofi in Obnovitev po nesreči z uporabo podatkovnega centra v pripravljenosti.

7. avgust 2023

Dodal opombo v Prenesite namestitvene datoteke.
Dodal opombo v Ustvarite konfiguracijski ISO za gostitelje HDS in Spremenite konfiguracijo vozlišča.

23. maj 2023

Izbrisane informacije iz Zahteve za strežnik baze podatkov zahtevate, da se omogoči funkcija, tako da stopite v stik z ekipo za račun.
Posodobljene informacije v Zahteve za zunanjo povezljivost in dodal Kanado v tabelo gostiteljev CI.
Dodal opombo v Pričakovanja glede uvajanja hibridne varnosti podatkov glede nerazpoložljivosti mehanizmov za premikanje ključev nazaj v oblak.

6. december 2022

Slike orodja za nastavitev HDS zdaj gostujejo v ciscocitg repozitorij dockerhub.
Posodobljeno Ustvarite konfiguracijski ISO za gostitelje HDS in Spremenite konfiguracijo vozlišča teme za odraz sprememb v ukazih.

23. november 2022

Vozlišča HDS lahko zdaj uporabljajo preverjanje pristnosti sistema Windows proti strežniku Microsoft SQL Server.

Posodobil Zahteve za strežnik baze podatkov tema z dodatnimi zahtevami za ta način preverjanja pristnosti.

Posodobljeno Ustvarite konfiguracijski ISO za gostitelje HDS s postopkom za konfiguracijo preverjanja pristnosti sistema Windows na vozliščih.
Posodobil Zahteve za strežnik baze podatkov tema z novimi najmanj zahtevanimi različicami (PostgreSQL 10).

13. oktober 2021

Docker Desktop mora zagnati namestitveni program, preden lahko namestite vozlišča HDS. glej Zahteve za namizje Docker.

24. junij 2021

Upoštevajte, da lahko znova uporabite datoteko zasebnega ključa in CSR, da zahtevate drugo potrdilo. glej Uporabite OpenSSL za ustvarjanje datoteke PKCS12 za podrobnosti.

30. april 2021

Zahteva VM za lokalni prostor na trdem disku je spremenjena na 30 GB. glej Zahteve za virtualnega gostitelja za podrobnosti.

24. februar 2021

Orodje za nastavitev HDS lahko zdaj deluje za posrednikom. glej Ustvarite konfiguracijski ISO za gostitelje HDS za podrobnosti.

2. februar 2021

HDS lahko zdaj deluje brez nameščene datoteke ISO. glej (Izbirno) Odpni ISO po konfiguraciji HDS za podrobnosti.

11. januar 2021

Dodane informacije o orodju za nastavitev HDS in proxyjih za Ustvarite konfiguracijski ISO za gostitelje HDS.

13. oktober 2020

Posodobljeno Prenesite namestitvene datoteke.

8. oktober 2020

Posodobljeno Ustvarite konfiguracijski ISO za gostitelje HDS in Spremenite konfiguracijo vozlišča z ukazi za okolja FedRAMP.

14. avgust 2020

Posodobljeno Ustvarite konfiguracijski ISO za gostitelje HDS in Spremenite konfiguracijo vozlišča s spremembami postopka prijave.

5. avgust 2020

Posodobljeno Preizkusite svojo hibridno uvedbo varnosti podatkov za spremembe v dnevniških sporočilih.

Posodobljeno Zahteve za virtualnega gostitelja da odstranite največje število gostiteljev.

16. junij 2020

Posodobljeno Odstranite vozlišče za spremembe v uporabniškem vmesniku Control Hub.

4. junij 2020

Posodobljeno Ustvarite konfiguracijski ISO za gostitelje HDS za spremembe v naprednih nastavitvah, ki jih lahko nastavite.

29. maj 2020

Posodobljeno Ustvarite konfiguracijski ISO za gostitelje HDS da pokažete, da lahko TLS uporabljate tudi z bazami podatkov SQL Server, spremembami uporabniškega vmesnika in drugimi pojasnili.

5. maj 2020

Posodobljeno Zahteve za virtualnega gostitelja za prikaz novih zahtev ESXi 6.5.

21. april 2020

Posodobljeno Zahteve za zunanjo povezljivost z novimi gostitelji CI Amerike.

1. april 2020

Posodobljeno Zahteve za zunanjo povezljivost z informacijami o regionalnih gostiteljih CI.

20. februar 2020 Posodobljeno Ustvarite konfiguracijski ISO za gostitelje HDS z informacijami o novem izbirnem zaslonu z naprednimi nastavitvami v orodju za nastavitev HDS.

4. februar 2020 Posodobljeno Zahteve za strežnik proxy.

16. december 2019 Pojasnjena je zahteva za delovanje v načinu blokiranega zunanjega razreševanja DNS Zahteve za strežnik proxy.

19. november 2019

Dodane informacije o načinu razreševanja blokiranega zunanjega DNS-ja v naslednjih razdelkih:

Podpora za proxy
Konfigurirajte vozlišče HDS za integracijo posrednika
Izklopite način razreševanja blokiranega zunanjega DNS-ja

8. november 2019

Zdaj lahko konfigurirate omrežne nastavitve za vozlišče med uvajanjem OVA in ne pozneje.

Ustrezno posodobljeni naslednji razdelki:

Potek opravila uvajanja hibridne varnosti podatkov
Namestite HDS Host OVA
Nastavite Hybrid Data Security VM

Možnost konfiguracije omrežnih nastavitev med uvajanjem OVA je bila preizkušena z ESXi 6.5. Možnost morda ni na voljo v starejših različicah.

6. september 2019

Dodan SQL Server Standard Zahteve za strežnik baze podatkov.

29. avgust 2019 Dodano Konfigurirajte posrednike Squid za hibridno varnost podatkov dodatek z navodili za konfiguriranje proxyjev Squid, da za pravilno delovanje prezrejo promet spletnih vtičnic.

20. avgust 2019

Dodani in posodobljeni razdelki za pokrivanje podpore posrednika za komunikacije vozlišča Hybrid Data Security z oblakom Webex.

Podpora za proxy
Zahteve za strežnik proxy
Konfigurirajte vozlišče HDS za integracijo posrednika

Za dostop samo do podporne vsebine proxyja za obstoječo uvedbo glejte Proxy podpora za Hybrid Data Security in Webex Video Mesh članek za pomoč.

6. marec 2019

Zahteve in predpogoje premaknili v ločeno poglavje, Pripravite svoje okolje.
Dodano Potek opravila uvajanja hibridne varnosti podatkov pregled v poglavju Nastavite Hybrid Data Security Cluster.

Upoštevajte, da dokler ne začnete preizkusa (z uporabo navodil v naslednjem poglavju), vaša vozlišča ustvarijo alarm, ki označuje, da vaša storitev še ni aktivirana.
Dodano Potek naloge od preizkusa do proizvodnje v poglavju Izvedite preizkus in se premaknite v produkcijo.

28. februar 2019

Popravljena količina prostora na lokalnem trdem disku na strežnik, ki bi ga morali rezervirati, ko pripravljate virtualne gostitelje, ki postanejo vozlišča Hybrid Data Security, s 50 GB na 20 GB, da odraža velikost diska, ki ga ustvari OVA.

26. februar 2019

Vozlišča Hybrid Data Security zdaj podpirajo šifrirane povezave s strežniki baz podatkov PostgreSQL in šifrirane povezave za beleženje s strežnikom syslog, ki podpira TLS. Posodobljeno Ustvarite konfiguracijski ISO za gostitelje HDS z navodili.
Odstranjeni ciljni URL-ji iz tabele »Zahteve za internetno povezljivost za VM Hybrid Data Security Node«. Tabela se zdaj nanaša na seznam, ki se vzdržuje v tabeli »Dodatni URL-ji za hibridne storitve Webex Teams« Omrežne zahteve za storitve Webex Teams.

24. januar 2019

Podpora za Microsoft SQL Server je namenjena samo novim uvedbam Hybrid Data Security. Trenutno ne podpiramo selitve podatkov iz PostgreSQL v Microsoft SQL Server v obstoječi uvedbi.

5. november 2018

Dodan predhodni korak za čiščenje vseh obstoječih primerkov docker hds Ustvarite konfiguracijski ISO za gostitelje HDS in Spremenite konfiguracijo vozlišča.
Posodobljen je korak v stopnji dostopa do ključa Ustvarite konfiguracijski ISO za gostitelje HDS da se ujema z vmesnikom.

19. oktober 2018

Podatke o povezavi požarnega zidu razdelite na zahteve vozlišča in zahteve stroja za konfiguracijo ISO Izpolnite predpogoje za hibridno varnost podatkov.

31. julij 2018

Dodana vrata 22 (dostop SSH) in informacije o povezavah NAT in požarnega zidu Izpolnite predpogoje za hibridno varnost podatkov.

21. maj 2018

Spremenjena terminologija, ki odraža preimenovanje Cisco Spark:

Cisco Spark Hybrid Data Security je zdaj Hybrid Data Security.
Aplikacija Cisco Spark je zdaj aplikacija Webex App.
Cisco Collaboraton Cloud je zdaj oblak Webex.

11. april 2018

Dodano Podatkovni center v pripravljenosti za obnovitev po katastrofi.
Posodobljeno Izpolnite predpogoje za hibridno varnost podatkov da določite, da mora biti varnostno okolje v drugem podatkovnem centru.
Posodobljeno Obnovitev po nesreči z uporabo podatkovnega centra v pripravljenosti.

22. februar 2018

Dodane informacije o 9-mesečni življenjski dobi gesla za račun storitve in uporabi orodja za nastavitev HDS za ponastavitev gesel za račun storitve v Ustvarite konfiguracijski ISO za gostitelje HDS in Spremenite konfiguracijo vozlišča.

15. februar 2018

V Zahteve za potrdilo X.509 tabela, je določeno, da potrdilo ne more biti potrdilo z nadomestnimi znaki in da KMS uporablja domeno CN, ne katere koli domene, ki je definirana v poljih SAN x.509v3.

18. januar 2018

Dodana priloga, Promet med vozlišči HDS in oblakom.
Odstranjena rešena težava iz Znane težave pri hibridni varnosti podatkov.
Index.docker.io spremenjen v *.docker.io in dodan *.cloudfront.net na seznam zahtev povezljivosti TCP za vozlišča HDS v Izpolnite predpogoje za hibridno varnost podatkov.
Posodobljeno Ustvarite konfiguracijski ISO za gostitelje HDS da označite, da če gostitelja baze podatkov in strežnika Syslogd ni mogoče razrešiti z DNS iz vozlišč HDS, ju morate konfigurirati z uporabo naslovov IP.

2. november 2017

Razjasnjena sinhronizacija imenika za HdsTrialGroup.
Popravljena navodila za nalaganje konfiguracijske datoteke ISO za namestitev v vozlišča VM.

18. avgust 2017

Prvič objavljeno

Začnite s hibridno varnostjo podatkov

Pregled varnosti hibridnih podatkov

Arhitektura varnostnega področja

Arhitektura oblaka Webex ločuje različne vrste storitev v ločena področja ali domene zaupanja, kot je prikazano spodaj.

Odjemalec vzpostavi varno povezavo s storitvijo za upravljanje ključev (KMS), nato pa zahteva ključ za šifriranje sporočila. Varna povezava uporablja ECDH, KMS pa šifrira ključ z glavnim ključem AES-256.
Sporočilo je šifrirano, preden zapusti odjemalca. Odjemalec ga pošlje storitvi indeksiranja, ki ustvari šifrirane iskalne indekse za pomoč pri prihodnjih iskanjih vsebine.
Šifrirano sporočilo je poslano storitvi skladnosti za preverjanje skladnosti.
Šifrirano sporočilo je shranjeno v območju shranjevanja.

Sodelovanje z drugimi organizacijami

Pričakovanja glede uvajanja hibridne varnosti podatkov

Uvedba hibridne varnosti podatkov zahteva veliko predanost strank in zavedanje tveganj, ki jih prinaša posedovanje šifrirnih ključev.

Za uvedbo Hybrid Data Security morate zagotoviti:

Varen podatkovni center v državi, ki je a podprto lokacijo za načrte Cisco Webex Teams.
Oprema, programska oprema in dostop do omrežja, opisani v Pripravite svoje okolje.

Upravljajte varnostno kopiranje in obnovitev baze podatkov in konfiguracije ISO.
Bodite pripravljeni izvesti hitro obnovitev po katastrofi, če pride do katastrofe, kot je okvara diska baze podatkov ali katastrofa podatkovnega centra.

Ni mehanizma za premik ključev nazaj v oblak po uvedbi HDS.

Postopek namestitve na visoki ravni

Ta dokument pokriva nastavitev in upravljanje uvedbe Hybrid Data Security:

Nastavite hibridno varnost podatkov— To vključuje pripravo zahtevane infrastrukture in namestitev programske opreme Hybrid Data Security, testiranje vaše uvedbe s podnaborom uporabnikov v preskusnem načinu in, ko je vaše testiranje končano, premik v proizvodnjo. To pretvori celotno organizacijo v uporabo vaše Hybrid Data Security gruče za varnostne funkcije.
Faze nastavitve, preizkusa in proizvodnje so podrobno obravnavane v naslednjih treh poglavjih.
Ohranite svojo uvedbo Hybrid Data Security— Oblak Webex samodejno zagotavlja stalne nadgradnje. Vaš IT oddelek lahko zagotovi podporo prve stopnje za to uvedbo in po potrebi vključi podporo Cisco. V Control Hubu lahko uporabite obvestila na zaslonu in nastavite opozorila po e-pošti.
Razumevanje pogostih opozoril, korakov za odpravljanje težav in znanih težav—Če naletite na težave pri uvajanju ali uporabi Hybrid Data Security, vam lahko zadnje poglavje tega vodnika in dodatek Znane težave pomagata ugotoviti in odpraviti težavo.

Hibridni model uvajanja varnosti podatkov

Hibridni model uvajanja varnosti podatkov

Vozlišča postanejo aktivna, ko jih registrirate v Control Hub. Če želite posamezno vozlišče izključiti iz uporabe, ga lahko odjavite in pozneje po potrebi znova registrirate.

Podpiramo samo eno gručo na organizacijo.

Preizkusni način hibridne varnosti podatkov

Podatkovni center v pripravljenosti za obnovitev po katastrofi

Med uvajanjem nastavite varen podatkovni center v pripravljenosti. V primeru katastrofe v podatkovnem centru lahko ročno prekinete svojo uvedbo v podatkovni center v pripravljenosti.

Aktivna vozlišča Hybrid Data Security morajo biti vedno v istem podatkovnem centru kot aktivni strežnik baze podatkov.

Nastavite podatkovni center v pripravljenosti za obnovitev po katastrofi

Za konfiguracijo datoteke ISO podatkovnega centra v pripravljenosti sledite spodnjim korakom:

Preden začneš

Podatkovni center v pripravljenosti bi moral zrcaliti produkcijsko okolje navideznih strojev in rezervno bazo podatkov PostgreSQL ali Microsoft SQL Server. Na primer, če ima proizvodnja 3 VM-je, ki poganjajo vozlišča HDS, bi moralo okolje za varnostno kopiranje imeti 3 VM-je. (Glej Podatkovni center v pripravljenosti za obnovitev po katastrofi za pregled tega modela samodejnega preklopa.)
Prepričajte se, da je omogočena sinhronizacija baze podatkov med bazo podatkov aktivnih in pasivnih vozlišč gruče.

Zaženite orodje HDS Setup in sledite korakom, navedenim v Ustvarite konfiguracijski ISO za gostitelje HDS.

Datoteka ISO mora biti kopija izvirne datoteke ISO primarnega podatkovnega centra, na katero bodo izvedene naslednje posodobitve konfiguracije.

Ko konfigurirate strežnik Syslogd, kliknite na Napredne nastavitve


passiveMode: 'true'

Dokončajte postopek konfiguracije in shranite datoteko ISO na mesto, ki ga je enostavno najti.

V levem podoknu za krmarjenje odjemalca VMware vSphere z desno miškino tipko kliknite VM in kliknite Uredi nastavitve..

Kliknite Uredi nastavitve >CD/DVD pogon 1 in izberite Datastore ISO File.

Poskrbi Povezan in Priključite ob vklopu so označene, tako da lahko posodobljene konfiguracijske spremembe začnejo veljati po zagonu vozlišč.

Vklopite vozlišče HDS in se prepričajte, da ni alarmov vsaj 15 minut.

Ponovite postopek za vsako vozlišče v podatkovnem centru v pripravljenosti.

Preverite sistemske dnevnike, da preverite, ali so vozlišča v pasivnem načinu. V sistemskih dnevnikih bi si morali ogledati sporočilo »KMS konfiguriran v pasivnem načinu«.

Kaj storiti naprej

Podpora za proxy

Vozlišča Hybrid Data Security podpirajo naslednje možnosti posrednika:

Brez posrednika— Privzeto, če za integracijo proxyja ne uporabljate nastavitve vozlišča HDS Trust Store & Proxy. Posodobitev potrdila ni potrebna.
Transparenten proxy brez nadzora— Vozlišča niso konfigurirana za uporabo določenega naslova strežnika proxy in ne bi smela zahtevati nobenih sprememb za delo s proxyjem, ki ne preverja. Posodobitev potrdila ni potrebna.
Transparentni proxy za tuneliranje ali pregledovanje— Vozlišča niso konfigurirana za uporabo določenega naslova strežnika proxy. Na vozliščih niso potrebne spremembe konfiguracije HTTP ali HTTPS. Vendar vozlišča potrebujejo korensko potrdilo, da zaupajo proxyju. Inspecting proxy običajno uporablja IT za uveljavljanje pravilnikov o tem, katera spletna mesta je mogoče obiskati in katere vrste vsebine niso dovoljene. Ta vrsta proxyja dešifrira ves vaš promet (tudi HTTPS).
Eksplicitni posrednik— Z eksplicitnim proxy vozliščem HDS poveste, kateri strežnik proxy in shemo preverjanja pristnosti naj uporabijo. Če želite konfigurirati eksplicitni proxy, morate v vsako vozlišče vnesti naslednje informacije:
1. Proxy IP/FQDN—Naslov, ki ga je mogoče uporabiti za dostop do proxy naprave.
2. Proxy vrata—Številka vrat, ki jih proxy uporablja za poslušanje prometa prek posrednika.
3. Proxy protokol—Glede na to, kaj podpira vaš proxy strežnik, izberite med naslednjimi protokoli:
  - HTTP—Ogleda in nadzoruje vse zahteve, ki jih pošlje odjemalec.
  - HTTPS—zagotavlja kanal strežniku. Odjemalec prejme in potrdi potrdilo strežnika.
4. Vrsta avtentikacije—Izbirajte med naslednjimi vrstami preverjanja pristnosti:
  - Noben— Nadaljnje preverjanje pristnosti ni potrebno.
    
    Na voljo, če kot proxy protokol izberete HTTP ali HTTPS.
  - Osnovno—Uporablja se za uporabniškega agenta HTTP, da zagotovi uporabniško ime in geslo, ko poda zahtevo. Uporablja kodiranje Base64.
    
    Na voljo, če kot proxy protokol izberete HTTP ali HTTPS.
    
    Za vsako vozlišče morate vnesti uporabniško ime in geslo.
  - prebaviti— Uporablja se za potrditev računa pred pošiljanjem občutljivih informacij. Uporabi zgoščeno funkcijo za uporabniško ime in geslo pred pošiljanjem po omrežju.
    
    Na voljo samo, če izberete HTTPS kot posredniški protokol.
    
    Za vsako vozlišče morate vnesti uporabniško ime in geslo.

Primer vozlišč hibridne varnosti podatkov in posrednika

Blokiran zunanji način reševanja DNS (eksplicitne konfiguracije proxyja)

Pripravite svoje okolje

Zahteve za hibridno varnost podatkov

Licenčne zahteve za Cisco Webex

Če želite uvesti Hybrid Data Security:

Za Cisco Webex Control Hub morate imeti Pro Pack. (Glej https://www.cisco.com/go/pro-pack.)

Zahteve za namizje Docker

Zahteve za potrdilo X.509

Certifikacijska veriga mora izpolnjevati naslednje zahteve:

Tabela 1. Zahteve za potrdilo X.509 za uvedbo hibridne varnosti podatkov
Zahteva	Podrobnosti
Podpisal zaupanja vreden overitelj potrdil (CA)	Privzeto zaupamo CA-jem na seznamu Mozilla (z izjemo WoSign in StartCom) na https://wiki.mozilla.org/CA:IncludedCAs.
Nosi ime domene Common Name (CN), ki identificira vašo uvedbo Hybrid Data Security Ni potrdilo z nadomestnimi znaki	Ni treba, da je CN dosegljiv ali gostitelj v živo. Priporočamo, da uporabite ime, ki odraža vašo organizacijo, na primer `hds.company.com`. KN ne sme vsebovati * (nadomestni znak). CN se uporablja za preverjanje vozlišč Hybrid Data Security za odjemalce aplikacije Webex. Vsa vozlišča Hybrid Data Security v vaši gruči uporabljajo isto potrdilo. Vaš KMS se identificira z uporabo domene CN, ne katere koli domene, ki je definirana v poljih SAN x.509v3. Ko registrirate vozlišče s tem potrdilom, ne podpiramo spreminjanja imena domene CN. Izberite domeno, ki se lahko uporablja za preskusno in produkcijsko uvedbo.
Podpis, ki ni SHA1	Programska oprema KMS ne podpira podpisov SHA1 za preverjanje povezav s KMS-ji drugih organizacij.
Formatirano kot datoteka PKCS #12, zaščitena z geslom Uporabite prijazno ime `kms-private-key` da označite potrdilo, zasebni ključ in morebitna vmesna potrdila za nalaganje.	Za spremembo oblike potrdila lahko uporabite pretvornik, kot je OpenSSL. Ko zaženete orodje za nastavitev HDS, boste morali vnesti geslo.

Zahteve za virtualnega gostitelja

Navidezni gostitelji, ki jih boste nastavili kot vozlišča Hybrid Data Security v vaši gruči, imajo naslednje zahteve:

Vsaj dva ločena gostitelja (3 priporočljivo), nameščena v istem varnem podatkovnem centru
VMware ESXi 6.5 (ali novejši) nameščen in deluje.

Če imate starejšo različico ESXi, morate nadgraditi.
Najmanj 4 vCPU-ji, 8 GB glavnega pomnilnika, 30 GB lokalnega prostora na trdem disku na strežnik

Zahteve za strežnik baze podatkov

Ustvarite novo bazo podatkov za shranjevanje ključev. Ne uporabljajte privzete zbirke podatkov. Ko so nameščene aplikacije HDS, ustvarijo shemo baze podatkov.

Obstajata dve možnosti za strežnik baze podatkov. Zahteve za vsakega so naslednje:

Tabela 2. Zahteve strežnika baze podatkov glede na vrsto baze podatkov

PostgreSQL

Microsoft SQL Server

PostgreSQL 14, 15 ali 16, nameščen in deluje.

Nameščen SQL Server 2016, 2017 ali 2019 (Enterprise ali Standard).

SQL Server 2016 zahteva servisni paket 2 in kumulativno posodobitev 2 ali novejšo različico.

Programska oprema HDS trenutno namesti naslednje različice gonilnikov za komunikacijo s strežnikom baze podatkov:

PostgreSQL

Microsoft SQL Server

Gonilnik Postgres JDBC 42.2.5

Gonilnik SQL Server JDBC 4.6

Ta različica gonilnika podpira SQL Server Always On ( Always On Failover Cluster Instances in Skupine razpoložljivosti Always On).

Dodatne zahteve za preverjanje pristnosti sistema Windows proti strežniku Microsoft SQL Server

Vozlišča HDS, infrastruktura Active Directory in MS SQL Server morajo biti vsi sinhronizirani z NTP.
Račun Windows, ki ga zagotovite vozliščem HDS, mora imeti dostop za branje/pisanje do baze podatkov.
Strežniki DNS, ki jih zagotovite vozliščem HDS, morajo imeti možnost razrešiti vaš center za distribucijo ključev (KDC).
Primerek baze podatkov HDS lahko registrirate na strežniku Microsoft SQL Server kot glavno ime storitve (SPN) v imeniku Active Directory. glej Registrirajte glavno ime storitve za povezave Kerberos.

Orodje za nastavitev HDS, zaganjalnik HDS in lokalni KMS morajo uporabljati preverjanje pristnosti sistema Windows za dostop do baze podatkov shrambe ključev. Uporabijo podrobnosti iz vaše konfiguracije ISO za izdelavo SPN, ko zahtevajo dostop s preverjanjem pristnosti Kerberos.

Zahteve za zunanjo povezljivost

Konfigurirajte požarni zid, da bo omogočal naslednje povezave za aplikacije HDS:

Aplikacija	Protokol	Pristanišče	Smer iz App	Destinacija
Hibridna varnostna vozlišča podatkov	TCP	443	Odhodni HTTPS in WSS	Strežniki Webex: .wbx2.com .ciscospark.com Vsi gostitelji skupne identitete Drugi URL-ji, ki so navedeni za Hybrid Data Security v Dodatni URL-ji za hibridne storitve Webex tabela od Omrežne zahteve za storitve Webex
Orodje za nastavitev HDS	TCP	443	Odhodni HTTPS	*.wbx2.com Vsi gostitelji skupne identitete hub.docker.com

URL-ji za gostitelje skupne identitete (CI) so specifični za regijo. To so trenutni gostitelji CI:

Regija	URL-ji gostitelja skupne identitete
Amerike	https://idbroker.webex.com https://identity.webex.com https://idbroker-b-us.webex.com https://identity-b-us.webex.com
Evropska unija	https://idbroker-eu.webex.com https://identity-eu.webex.com
Kanada	https://idbroker-ca.webex.com https://identity-ca.webex.com

Zahteve za strežnik proxy

Uradno podpiramo naslednje rešitve proxy, ki se lahko integrirajo z vašimi vozlišči Hybrid Data Security.

Transparent proxy—Cisco Web Security Appliance (WSA).

Eksplicitni proxy—Squid.

Podpiramo naslednje kombinacije vrst preverjanja pristnosti za eksplicitne posrednike:
- Ni avtentikacije s HTTP ali HTTPS
- Osnovna avtentikacija s HTTP ali HTTPS
- Pregled pristnosti samo s HTTPS
Za proxy proxy za pregledovanje ali eksplicitni proxy HTTPS morate imeti kopijo korenskega potrdila proxyja. Navodila za uvajanje v tem priročniku vam povejo, kako naložite kopijo v skrbniške shrambe vozlišč Hybrid Data Security.
Omrežje, ki gosti vozlišča HDS, mora biti konfigurirano tako, da prisili izhodni promet TCP na vratih 443, da se usmeri prek proxyja.
Posredniki, ki pregledujejo spletni promet, lahko motijo povezave s spletnimi vtičnicami. Če pride do te težave, obide (brez pregleda) promet do wbx2.com in ciscospark.com bo rešil problem.

Izpolnite predpogoje za hibridno varnost podatkov

S tem kontrolnim seznamom se prepričajte, da ste pripravljeni na namestitev in konfiguracijo vaše hibridne podatkovne varnostne gruče.

Ustvarite bazo podatkov za shranjevanje ključev. (To zbirko podatkov morate ustvariti—ne uporabljajte privzete baze podatkov. Aplikacije HDS, ko so nameščene, ustvarijo shemo baze podatkov.)
Zberite podrobnosti, ki jih bodo vozlišča uporabljala za komunikacijo s strežnikom baze podatkov:
- ime gostitelja ali naslov IP (gostitelj) in vrata
- ime baze podatkov (dbname) za shranjevanje ključev
- uporabniško ime in geslo uporabnika z vsemi privilegiji v bazi podatkov za shranjevanje ključev

Nastavite gostitelja sistemskega dnevnika za zbiranje dnevnikov iz vozlišč v gruči. Zberite njegov omrežni naslov in vrata sistemskega dnevnika (privzeto je UDP 514).

Zagotovite, da vaša konfiguracija požarnega zidu omogoča povezljivost za vozlišča Hybrid Data Security, kot je opisano v Zahteve za zunanjo povezljivost.

Če želite namestiti in zagnati orodje za nastavitev HDS, mora imeti lokalni računalnik povezljivost, opisano v Zahteve za zunanjo povezljivost.

Če integrirate proxy s Hybrid Data Security, se prepričajte, da ustreza Zahteve za strežnik proxy.

Nastavite Hybrid Data Security Cluster

Potek opravila uvajanja hibridne varnosti podatkov

Preden začneš

Prenesite datoteko OVA na svoj lokalni računalnik za kasnejšo uporabo.

Z orodjem za nastavitev HDS ustvarite konfiguracijsko datoteko ISO za vozlišča Hybrid Data Security.

Ustvarite virtualni stroj iz datoteke OVA in izvedite začetno konfiguracijo, kot so omrežne nastavitve.

Možnost konfiguracije omrežnih nastavitev med uvajanjem OVA je bila preizkušena z ESXi 6.5. Možnost morda ni na voljo v starejših različicah.

Prijavite se v konzolo VM in nastavite poverilnice za prijavo. Konfigurirajte omrežne nastavitve za vozlišče, če jih niste konfigurirali ob uvedbi OVA.

Konfigurirajte vozlišče HDS za integracijo posrednika

Konfigurirajte VM iz konfiguracijske datoteke ISO, ki ste jo ustvarili z orodjem za namestitev HDS.

Če omrežno okolje zahteva konfiguracijo proxyja, podajte vrsto proxyja, ki ga boste uporabili za vozlišče, in po potrebi dodajte potrdilo proxyja v shrambo zaupanja.

Registrirajte VM v oblaku Cisco Webex kot Hybrid Data Security node.

Dokončajte nastavitev gruče.

Izvedite preizkus in se premaknite v produkcijo (naslednje poglavje)

Dokler ne začnete preizkusa, vaša vozlišča ustvarijo alarm, ki nakazuje, da vaša storitev še ni aktivirana.

Prenesite namestitvene datoteke

Pri tej nalogi prenesete datoteko OVA na svoj računalnik (ne na strežnike, ki ste jih nastavili kot vozlišča Hybrid Data Security). To datoteko uporabite pozneje v postopku namestitve.

Prijavite se v https://admin.webex.comin nato kliknite Storitve.

V razdelku Hybrid Services poiščite kartico Hybrid Data Security in kliknite Nastaviti.

Izberite št da označite, da vozlišča še niste nastavili, in nato kliknite Naslednji.

Datoteka OVA se samodejno začne prenašati. Datoteko shranite na mesto v vašem računalniku.

Po želji kliknite Odprite vodnik za uvajanje da preverite, ali je na voljo novejša različica tega priročnika.

Ustvarite konfiguracijski ISO za gostitelje HDS

Postopek nastavitve Hybrid Data Security ustvari datoteko ISO. Nato uporabite ISO za konfiguracijo gostitelja Hybrid Data Security.

Preden začneš

Opis	Spremenljivka
HTTP Proxy brez avtentikacije	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
HTTPS Proxy brez avtentikacije	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
HTTP proxy z avtentikacijo	`GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
HTTPS Proxy z avtentikacijo	`GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

Konfiguracijska datoteka ISO, ki jo ustvarite, vsebuje glavni ključ, ki šifrira bazo podatkov PostgreSQL ali Microsoft SQL Server. Najnovejšo kopijo te datoteke potrebujete vsakič, ko spremenite konfiguracijo, kot je ta:
- Poverilnice baze podatkov
- Posodobitve potrdil
- Spremembe politike avtorizacije
Če nameravate šifrirati povezave z bazo podatkov, nastavite svojo uvedbo PostgreSQL ali SQL Server za TLS.

V ukazno vrstico vašega računalnika vnesite ustrezen ukaz za vaše okolje:

V običajnih okoljih:

docker rmi ciscocitg/hds-setup:stable

V okoljih FedRAMP:

docker rmi ciscocitg/hds-setup-fedramp:stable

Ta korak počisti prejšnje slike orodja za nastavitev HDS. Če ni prejšnjih slik, vrne napako, ki jo lahko prezrete.

Za vpis v register slik Docker vnesite naslednje:

docker login -u hdscustomersro

Ob pozivu za geslo vnesite to zgoščeno vrednost:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

Prenesite najnovejšo stabilno sliko za vaše okolje:

V običajnih okoljih:

docker pull ciscocitg/hds-setup:stable

V okoljih FedRAMP:

docker pull ciscocitg/hds-setup-fedramp:stable

Ko je vlečenje končano, vnesite ustrezen ukaz za vaše okolje:

V običajnih okoljih brez posrednika:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

V običajnih okoljih s strežnikom proxy HTTP:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

V običajnih okoljih s strežnikom proxy HTTPS:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

V okoljih FedRAMP brez posrednika:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

V okoljih FedRAMP s strežnikom proxy HTTP:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

V okoljih FedRAMP s strežnikom proxy HTTPS:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Ko se vsebnik izvaja, vidite »Strežnik Express posluša na vratih 8080«.

Orodje za namestitev ne podpira povezovanja z lokalnim gostiteljem prek http://localhost:8080. Uporaba http://127.0.0.1:8080 za povezavo z lokalnim gostiteljem.

Uporabite spletni brskalnik za dostop do lokalnega gostitelja, http://127.0.0.1:8080 in ob pozivu vnesite uporabniško ime skrbnika stranke za Control Hub.

Orodje uporabi ta prvi vnos uporabniškega imena za nastavitev ustreznega okolja za ta račun. Orodje nato prikaže standardni poziv za prijavo.

Ko ste pozvani, vnesite poverilnice za prijavo skrbnika stranke Control Hub in kliknite Vpiši se da omogočite dostop do zahtevanih storitev za Hybrid Data Security.

Na strani s pregledom orodja za nastavitev kliknite Začeti.

Na ISO uvoz strani, imate te možnosti:

št—Če ustvarjate svoje prvo vozlišče HDS, nimate datoteke ISO za nalaganje.
ja— Če ste že ustvarili vozlišča HDS, potem v brskanju izberete datoteko ISO in jo naložite.

Preverite, ali vaše potrdilo X.509 izpolnjuje zahteve v Zahteve za potrdilo X.509.

Če še nikoli niste naložili potrdila, naložite potrdilo X.509, vnesite geslo in kliknite Nadaljuj.
Če je vaše potrdilo v redu, kliknite Nadaljuj.
Če je vaše potrdilo poteklo ali ga želite zamenjati, izberite št za Želite še naprej uporabljati verigo potrdil HDS in zasebni ključ iz prejšnjega ISO?. Naložite novo potrdilo X.509, vnesite geslo in kliknite Nadaljuj.

Vnesite naslov baze podatkov in račun za HDS za dostop do shrambe ključnih podatkov:

Izberite svojo Vrsta baze podatkov (PostgreSQL oz Microsoft SQL Server).

Če se odločite Microsoft SQL Server, dobite polje Authentication Type.
(Microsoft SQL Server samo) Izberite svojo Vrsta avtentikacije:
- Osnovna avtentikacija: Potrebujete lokalno ime računa SQL Server v Uporabniško ime polje.
- Preverjanje pristnosti sistema Windows: Potrebujete račun Windows v formatu username@DOMAIN v Uporabniško ime polje.
V obrazec vnesite naslov strežnika baze podatkov <hostname>:<port> ali <IP-address>:<port>.

primer:
dbhost.example.org:1433 ali 198.51.100.17:1433

Naslov IP lahko uporabite za osnovno preverjanje pristnosti, če vozlišča ne morejo uporabiti DNS za razrešitev imena gostitelja.

Če uporabljate preverjanje pristnosti sistema Windows, morate v formatu vnesti popolnoma kvalificirano ime domene dbhost.example.org:1433
Vnesite Ime baze podatkov.
Vnesite Uporabniško ime in Geslo uporabnika z vsemi privilegiji v bazi podatkov za shranjevanje ključev.

Izberite a Način povezave z bazo podatkov TLS:

Način

Opis

Raje TLS (privzeta možnost)

Vozlišča HDS ne potrebujejo TLS za povezavo s strežnikom baze podatkov. Če omogočite TLS na strežniku baze podatkov, vozlišča poskušajo vzpostaviti šifrirano povezavo.

Zahtevaj TLS

Vozlišča HDS se povežejo le, če se lahko strežnik baze podatkov pogaja o TLS.

Zahtevaj TLS in preveri podpisnika potrdila

Ta način ni uporaben za baze podatkov SQL Server.

Vozlišča HDS se povežejo le, če se lahko strežnik baze podatkov pogaja o TLS.
Po vzpostavitvi povezave TLS vozlišče primerja podpisnika potrdila iz strežnika baze podatkov z overiteljem potrdil v Korensko potrdilo baze podatkov. Če se ne ujemata, vozlišče prekine povezavo.

Uporabi Korensko potrdilo baze podatkov kontrolnik pod spustnim menijem za nalaganje korenskega potrdila za to možnost.

Zahtevaj TLS in preveri podpisnika potrdila in ime gostitelja

Vozlišča HDS se povežejo le, če se lahko strežnik baze podatkov pogaja o TLS.
Po vzpostavitvi povezave TLS vozlišče primerja podpisnika potrdila iz strežnika baze podatkov z overiteljem potrdil v Korensko potrdilo baze podatkov. Če se ne ujemata, vozlišče prekine povezavo.
Vozlišča tudi preverijo, ali se ime gostitelja v potrdilu strežnika ujema z imenom gostitelja v Gostitelj in vrata baze podatkov polje. Imena se morajo natančno ujemati, sicer vozlišče prekine povezavo.

Uporabi Korensko potrdilo baze podatkov kontrolnik pod spustnim menijem za nalaganje korenskega potrdila za to možnost.

Na strani Sistemski dnevniki konfigurirajte strežnik Syslogd:

Vnesite URL strežnika syslog.

Če strežnika ni mogoče razrešiti z DNS iz vozlišč za vašo gručo HDS, uporabite naslov IP v URL-ju.

primer:
udp://10.92.43.23:514 označuje prijavo v gostitelja Syslogd 10.92.43.23 na vratih UDP 514.
Če ste strežnik nastavili za uporabo šifriranja TLS, preverite Ali je vaš strežnik syslog konfiguriran za šifriranje SSL?.

Če potrdite to potrditveno polje, se prepričajte, da ste vnesli URL TCP, kot je npr tcp://10.92.43.23:514.
Iz Izberite prekinitev zapisa sistemskega dnevnika spustnem meniju izberite ustrezno nastavitev za vašo datoteko ISO: Za Graylog in Rsyslog TCP se uporablja Choose ali Newline
- Ničelni bajt -- \x00
- Nova vrstica -- \n—Izberite to možnost za Graylog in Rsyslog TCP.
Kliknite Nadaljuj.

(Izbirno) Spremenite lahko privzeto vrednost za nekatere parametre povezave z bazo podatkov v Napredne nastavitve. Na splošno je ta parameter edini, ki bi ga morda želeli spremeniti:

app_datasource_connection_pool_maxSize: 10

Kliknite Nadaljuj na Ponastavite geslo za storitvene račune zaslon.

Gesla storitvenih računov imajo življenjsko dobo devet mesecev. Uporabite ta zaslon, ko se vaša gesla bližajo izteku ali jih želite ponastaviti, da razveljavi prejšnje datoteke ISO.

Kliknite Prenesite datoteko ISO. Datoteko shranite na mesto, ki ga je enostavno najti.

Naredite varnostno kopijo datoteke ISO v vašem lokalnem sistemu.

Če želite zaustaviti orodje za nastavitev, vnesite CTRL+C.

Kaj storiti naprej

Nikoli nimamo kopije tega ključa in vam ne moremo pomagati, če ga izgubite.

Namestite HDS Host OVA

S tem postopkom ustvarite virtualni stroj iz datoteke OVA.

Uporabite odjemalca VMware vSphere v vašem računalniku, da se prijavite v navideznega gostitelja ESXi.

Izberite mapa > Namestite predlogo OVF.

V čarovniku določite lokacijo datoteke OVA, ki ste jo prej prenesli, in nato kliknite Naslednji .

Na Izberite računalniški vir izberite ciljni računalniški vir in kliknite Naslednji .

Zažene se preverjanje veljavnosti. Ko se konča, se prikažejo podrobnosti predloge.

Preverite podrobnosti predloge in kliknite Naslednji.

Če ste pozvani, da izberete konfiguracijo vira na Konfiguracija strani, kliknite 4 procesor in nato kliknite Naslednji .

Na Izberite shranjevanje strani, kliknite Naslednji da sprejmete privzeti format diska in politiko shranjevanja VM.

Na Izberite omrežja izberite omrežno možnost s seznama vnosov, da zagotovite želeno povezljivost z VM.

Na Prilagodite predlogo strani, konfigurirajte naslednje omrežne nastavitve:

Ime gostitelja—Vnesite FQDN (ime gostitelja in domeno) ali ime gostitelja z eno besedo za vozlišče.

Ni vam treba nastaviti domene, da se ujema z domeno, ki ste jo uporabili za pridobitev potrdila X.509.
Da zagotovite uspešno registracijo v oblak, uporabite samo male črke v FQDN ali imenu gostitelja, ki ste ga nastavili za vozlišče. Uporaba velikih začetnic trenutno ni podprta.
Skupna dolžina FQDN ne sme presegati 64 znakov.

IP naslov— Vnesite naslov IP za notranji vmesnik vozlišča.

Vaše vozlišče mora imeti notranji naslov IP in ime DNS. DHCP ni podprt.
Maska— Vnesite naslov maske podomrežja v decimalnem zapisu s pikami. na primer 255.255.255.0.
Prehod— Vnesite naslov IP prehoda. Prehod je omrežno vozlišče, ki služi kot dostopna točka do drugega omrežja.
DNS strežniki—Vnesite z vejicami ločen seznam strežnikov DNS, ki upravljajo prevajanje imen domen v številske naslove IP. (Dovoljeni so do 4 vnosi DNS.)
strežniki NTP— Vnesite strežnik NTP vaše organizacije ali drug zunanji strežnik NTP, ki ga lahko uporabljate v vaši organizaciji. Privzeti strežniki NTP morda ne bodo delovali v vseh podjetjih. Za vnos več strežnikov NTP lahko uporabite tudi seznam, ločen z vejicami.

Razmestite vsa vozlišča v istem podomrežju ali VLAN, tako da so vsa vozlišča v gruči dosegljiva odjemalcem v vašem omrežju za skrbniške namene.

Če želite, lahko preskočite konfiguracijo omrežnih nastavitev in sledite korakom v Nastavite Hybrid Data Security VM da konfigurirate nastavitve iz konzole vozlišča.

Možnost konfiguracije omrežnih nastavitev med uvajanjem OVA je bila preizkušena z ESXi 6.5. Možnost morda ni na voljo v starejših različicah.

Z desno miškino tipko kliknite vozlišče VM in nato izberite Moč > Vklop .

Programska oprema Hybrid Data Security je nameščena kot gost na gostitelju VM. Zdaj ste pripravljeni, da se prijavite v konzolo in konfigurirate vozlišče.

Nasveti za odpravljanje težav

Preden se vsebniki vozlišč prikažejo, lahko pride do nekajminutne zamude. Med prvim zagonom se na konzoli pojavi sporočilo mostnega požarnega zidu, med katerim se ne morete prijaviti.

Nastavite Hybrid Data Security VM

1	V odjemalcu VMware vSphere izberite VM vozlišča Hybrid Data Security in izberite Konzola zavihek. VM se zažene in prikaže se poziv za prijavo. Če se poziv za prijavo ne prikaže, pritisnite Vnesite.
2	Za prijavo in spremembo poverilnic uporabite naslednjo privzeto prijavo in geslo: Vpiši se: `admin` geslo: `cisco` Ker se v svoj VM vpisujete prvič, morate spremeniti skrbniško geslo.
3	Če ste že konfigurirali omrežne nastavitve v Namestite HDS Host OVA, preskočite preostanek tega postopka. V nasprotnem primeru v glavnem meniju izberite Uredi konfiguracijo možnost.
4	Nastavite statično konfiguracijo z informacijami o naslovu IP, maski, prehodu in DNS. Vaše vozlišče mora imeti notranji naslov IP in ime DNS. DHCP ni podprt.
5	(Izbirno) Spremenite ime gostitelja, domeno ali strežnike NTP, če je potrebno, da se ujemajo z vašo omrežno politiko. Ni vam treba nastaviti domene, da se ujema z domeno, ki ste jo uporabili za pridobitev potrdila X.509.
6	Shranite omrežno konfiguracijo in znova zaženite VM, da bodo spremembe začele veljati.

Naložite in namestite ISO konfiguracije HDS

S tem postopkom konfigurirajte navidezni stroj iz datoteke ISO, ki ste jo ustvarili z orodjem za namestitev HDS.

Preden začneš

Naložite datoteko ISO iz računalnika:

V levem navigacijskem podoknu odjemalca VMware vSphere kliknite strežnik ESXi.
Na seznamu strojne opreme zavihka Konfiguracija kliknite Shranjevanje.
Na seznamu Datastores z desno miškino tipko kliknite shrambo podatkov za vaše VM in kliknite Prebrskajte po shrambi podatkov.
Kliknite ikono Naloži datoteke in nato kliknite Naloži datoteko.
V računalniku poiščite mesto, kamor ste prenesli datoteko ISO, in kliknite Odprto.
Kliknite ja da sprejmete opozorilo o operaciji nalaganja/prenosa in zaprete pogovorno okno shrambe podatkov.

Namestite datoteko ISO:

V levem navigacijskem podoknu odjemalca VMware vSphere z desno miškino tipko kliknite VM in kliknite Uredi nastavitve.
Kliknite v redu da sprejmete opozorilo o omejenih možnostih urejanja.
Kliknite CD/DVD Drive 1, izberite možnost priklopa iz datoteke ISO shrambe podatkov in poiščite mesto, kamor ste naložili konfiguracijsko datoteko ISO.
Preverite Povezan in Priključite ob vklopu.
Shranite spremembe in znova zaženite virtualni stroj.

Kaj storiti naprej

Če vaša politika IT zahteva, lahko po želji odklopite datoteko ISO, potem ko vsa vaša vozlišča prevzamejo spremembe konfiguracije. glej (Izbirno) Odpni ISO po konfiguraciji HDS za podrobnosti.

Konfigurirajte vozlišče HDS za integracijo posrednika

Preden začneš

glej Podpora za proxy za pregled podprtih možnosti proxyja.
Zahteve za strežnik proxy

1	Vnesite URL za nastavitev vozlišča HDS `https://[HDS Node IP or FQDN]/setup` v spletni brskalnik vnesite skrbniške poverilnice, ki ste jih nastavili za vozlišče, in nato kliknite Prijava.
2	Pojdi do Trust Store & Proxyin nato izberite možnost: Brez posrednika— Privzeta možnost, preden integrirate proxy. Posodobitev potrdila ni potrebna. Transparentni proxy brez nadzora— Vozlišča niso konfigurirana za uporabo določenega naslova proxy strežnika in ne bi smela zahtevati nobenih sprememb za delo s proxyjem, ki ne preverja. Posodobitev potrdila ni potrebna. Transparentni nadzorni pooblaščenec— Vozlišča niso konfigurirana za uporabo določenega naslova strežnika proxy. Spremembe konfiguracije HTTPS niso potrebne na Hibridna varnost podatkov vendar pa vozlišča HDS potrebujejo korensko potrdilo, da zaupajo proxyju. Inspecting proxy običajno uporablja IT za uveljavljanje pravilnikov o tem, katera spletna mesta je mogoče obiskati in katere vrste vsebine niso dovoljene. Ta vrsta proxyja dešifrira ves vaš promet (tudi HTTPS). Eksplicitni posrednik— Z eksplicitnim posrednikom poveste odjemalcu (vozliščem HDS), kateri strežnik proxy naj uporabi, in ta možnost podpira več vrst preverjanja pristnosti. Ko izberete to možnost, morate vnesti naslednje podatke: Proxy IP/FQDN—Naslov, ki ga je mogoče uporabiti za dostop do proxy naprave. Proxy vrata—Številka vrat, ki jih proxy uporablja za poslušanje prometa prek posrednika. Proxy protokol—Izberi http (pregleduje in nadzoruje vse zahteve, ki jih prejme od naročnika) oz https (zagotavlja kanal strežniku, odjemalec pa prejme in potrdi potrdilo strežnika). Izberite možnost glede na to, kaj podpira vaš proxy strežnik. Vrsta avtentikacije—Izbirajte med naslednjimi vrstami preverjanja pristnosti: Noben— Nadaljnje preverjanje pristnosti ni potrebno. Na voljo za strežnike proxy HTTP ali HTTPS. Osnovno—Uporablja se za uporabniškega agenta HTTP, da zagotovi uporabniško ime in geslo, ko poda zahtevo. Uporablja kodiranje Base64. Na voljo za strežnike proxy HTTP ali HTTPS. Če izberete to možnost, morate vnesti tudi uporabniško ime in geslo. prebaviti— Uporablja se za potrditev računa pred pošiljanjem občutljivih informacij. Uporabi zgoščeno funkcijo za uporabniško ime in geslo pred pošiljanjem po omrežju. Na voljo samo za strežnike proxy HTTPS. Če izberete to možnost, morate vnesti tudi uporabniško ime in geslo. Sledite naslednjim korakom za pregleden proxy za pregledovanje, eksplicitni proxy HTTP z osnovnim preverjanjem pristnosti ali eksplicitni proxy HTTPS.
3	Kliknite Naložite korensko potrdilo ali potrdilo končne entitete, nato pa se pomaknite do izbire korenskega potrdila za proxy. Potrdilo je naloženo, vendar še ni nameščeno, ker morate za namestitev potrdila znova zagnati vozlišče. Kliknite puščico ševrona ob imenu izdajatelja potrdila, da dobite več podrobnosti ali kliknite Izbriši če ste se zmotili in želite znova naložiti datoteko.
4	Kliknite Preverite povezavo proxy da preizkusite omrežno povezljivost med vozliščem in posrednikom. Če preizkus povezave ne uspe, boste videli sporočilo o napaki, ki prikazuje razlog in kako lahko odpravite težavo. Če vidite sporočilo, da zunanja razrešitev DNS ni bila uspešna, vozlišče ni moglo doseči strežnika DNS. Ta pogoj je pričakovan v številnih eksplicitnih konfiguracijah proxyja. Lahko nadaljujete z nastavitvijo in vozlišče bo delovalo v načinu blokirane zunanje ločljivosti DNS. Če menite, da je to napaka, dokončajte te korake in si oglejte Izklopite način razreševanja blokiranega zunanjega DNS-ja.
5	Ko je preskus povezave uspešen, za eksplicitni proxy, nastavljen samo na https, preklopite stikalo na Usmerite vse https zahteve vrat 443/444 iz tega vozlišča prek eksplicitnega proxyja. Ta nastavitev začne veljati po 15 sekundah.
6	Kliknite Namestite vsa potrdila v Trust Store (prikaže se za eksplicitni proxy HTTPS ali pregledni proxy za preverjanje) ali Znova zaženite (prikaže se za eksplicitni proxy HTTP), preberite poziv in kliknite Namestite če si pripravljen. Vozlišče se znova zažene v nekaj minutah.
7	Ko se vozlišče znova zažene, se po potrebi znova vpišite in nato odprite Pregled strani, da preverite preverjanja povezljivosti in se prepričate, ali so vsi v zelenem stanju. Preverjanje povezave posrednika testira samo poddomeno webex.com. Če pride do težav s povezljivostjo, je pogosta težava, da so nekatere domene v oblaku, navedene v navodilih za namestitev, blokirane na strežniku proxy.

Registrirajte prvo vozlišče v gruči

Ta naloga prevzame generično vozlišče, ki ste ga ustvarili v Nastavite Hybrid Data Security VM, registrira vozlišče v oblaku Webex in ga spremeni v vozlišče Hybrid Data Security.

Ko registrirate svoje prvo vozlišče, ustvarite gručo, ki ji je vozlišče dodeljeno. Grozd vsebuje eno ali več vozlišč, nameščenih za zagotavljanje redundance.

Preden začneš

Ko začnete z registracijo vozlišča, jo morate dokončati v 60 minutah ali pa morate začeti znova.
Prepričajte se, da so v vašem brskalniku onemogočeni vsi blokatorji pojavnih oken ali da dovolite izjemo za admin.webex.com.

1	Prijavite se v https://admin.webex.com.
2	V meniju na levi strani zaslona izberite Storitve.
3	V razdelku Hybrid Services poiščite Hybrid Data Security in kliknite Nastaviti. Prikaže se stran Register Hybrid Data Security Node.
4	Izberite ja da označite, da ste nastavili vozlišče in ste ga pripravljeni registrirati, in nato kliknite Naslednji.
5	V prvo polje vnesite ime za gručo, ki ji želite dodeliti vozlišče Hybrid Data Security. Priporočamo, da gručo poimenujete glede na to, kje se geografsko nahajajo vozlišča gruče. Primeri: "San Francisco" ali "New York" ali "Dallas"
6	V drugo polje vnesite notranji naslov IP ali popolnoma kvalificirano ime domene (FQDN) svojega vozlišča in kliknite Naslednji. Ta naslov IP ali FQDN se mora ujemati z naslovom IP ali imenom gostitelja in domeno, ki ste jo uporabili Nastavite Hybrid Data Security VM. Prikaže se sporočilo, ki nakazuje, da lahko svoje vozlišče registrirate v Webex.
7	Kliknite Pojdite na Node.
8	Kliknite Nadaljuj v opozorilnem sporočilu. Po nekaj trenutkih ste preusmerjeni na teste povezljivosti vozlišča za storitve Webex. Če so vsi preizkusi uspešni, se prikaže stran Dovoli dostop do vozlišča Hybrid Data Security Node. Tam potrdite, da želite svoji organizaciji Webex dati dovoljenja za dostop do vašega vozlišča.
9	Preverite Dovolite dostop do vašega vozlišča Hybrid Data Security Node potrditveno polje in nato kliknite Nadaljuj. Vaš račun je potrjen in sporočilo »Registracija je dokončana« nakazuje, da je vaše vozlišče zdaj registrirano v oblaku Webex.
10	Kliknite povezavo ali zaprite zavihek, da se vrnete na stran Hybrid Data Security Control Hub. Na Hibridna varnost podatkov stran, se prikaže nova gruča, ki vsebuje vozlišče, ki ste ga registrirali. Vozlišče bo samodejno preneslo najnovejšo programsko opremo iz oblaka.

Ustvarite in registrirajte več vozlišč

Preden začneš

Ko začnete z registracijo vozlišča, jo morate dokončati v 60 minutah ali pa morate začeti znova.
Prepričajte se, da so v vašem brskalniku onemogočeni vsi blokatorji pojavnih oken ali da dovolite izjemo za admin.webex.com.

1	Ustvarite nov virtualni stroj iz OVA in ponovite korake Namestite HDS Host OVA.
2	Nastavite začetno konfiguracijo na novem VM in ponovite korake v Nastavite Hybrid Data Security VM.
3	Na novem VM ponovite korake v Naložite in namestite ISO konfiguracije HDS.
4	Če nastavljate proxy za svojo uvedbo, ponovite korake v Konfigurirajte vozlišče HDS za integracijo posrednika kot je potrebno za novo vozlišče.
5	Registrirajte vozlišče. notri https://admin.webex.com, izberite Storitve iz menija na levi strani zaslona. V razdelku Hybrid Services poiščite kartico Hybrid Data Security in kliknite Viri. Prikaže se stran z viri za varnost hibridnih podatkov. Kliknite Dodaj vir. V prvem polju izberite ime obstoječe gruče. V drugo polje vnesite notranji naslov IP ali popolnoma kvalificirano ime domene (FQDN) svojega vozlišča in kliknite Naslednji. Prikaže se sporočilo, ki označuje, da lahko svoje vozlišče registrirate v oblaku Webex. Kliknite Pojdite na Node. Po nekaj trenutkih ste preusmerjeni na teste povezljivosti vozlišča za storitve Webex. Če so vsi preizkusi uspešni, se prikaže stran Dovoli dostop do vozlišča Hybrid Data Security Node. Tam potrdite, da želite svoji organizaciji dati dovoljenja za dostop do vašega vozlišča. Preverite Dovolite dostop do vašega vozlišča Hybrid Data Security Node potrditveno polje in nato kliknite Nadaljuj. Vaš račun je potrjen in sporočilo »Registracija je dokončana« nakazuje, da je vaše vozlišče zdaj registrirano v oblaku Webex. Kliknite povezavo ali zaprite zavihek, da se vrnete na stran Hybrid Data Security Control Hub. Vaše vozlišče je registrirano. Upoštevajte, da dokler ne začnete preizkusa, vaša vozlišča ustvarijo alarm, ki nakazuje, da vaša storitev še ni aktivirana.

Kaj storiti naprej

Izvedite preizkus in se premaknite v produkcijo (naslednje poglavje)

Izvedite preizkus in se premaknite v produkcijo

Potek naloge od poskusa do proizvodnje

Preden začneš

1	Če je primerno, sinhronizirajte `HdsTrialGroup` predmet skupine. Če vaša organizacija uporablja sinhronizacijo imenikov za uporabnike, morate izbrati `HdsTrialGroup` predmet skupine za sinhronizacijo z oblakom, preden lahko začnete preskusno različico. Za navodila glejte Vodnik za uvajanje za Cisco Directory Connector.
2	Aktiviraj preizkus Začni poskus. Dokler ne opravite te naloge, vaša vozlišča ustvarijo alarm, ki nakazuje, da storitev še ni aktivirana.
3	Preizkusite svojo hibridno uvedbo varnosti podatkov Preverite, ali ključne zahteve prehajajo v vašo uvedbo Hybrid Data Security.
4	Spremljajte varnost hibridnih podatkov Preverite stanje in nastavite e-poštna obvestila za alarme.
5	Dodajte ali odstranite uporabnike iz svojega preizkusa
6	Dokončajte preskusno fazo z enim od naslednjih dejanj: Premaknite se s preskusne različice na produkcijsko Končajte preizkus, ne da bi se preselili v proizvodnjo

Aktiviraj preizkus

Preden začneš

1	Prijavite se v https://admin.webex.comin nato izberite Storitve.
2	V razdelku Hibridna varnost podatkov kliknite nastavitve.
3	V razdelku Status storitve kliknite Začni preizkus. Stanje storitve se spremeni v poskusni način.
4	Kliknite Dodajanje uporabnikov in vnesite e-poštni naslov enega ali več uporabnikov za poskusno uporabo vozlišč Hybrid Data Security za storitve šifriranja in indeksiranja. (Če vaša organizacija uporablja sinhronizacijo imenikov, uporabite Active Directory za upravljanje poskusne skupine, `HdsTrialGroup`.)

Preizkusite svojo hibridno uvedbo varnosti podatkov

S tem postopkom preizkusite scenarije šifriranja Hybrid Data Security.

Preden začneš

Nastavite svojo uvedbo Hybrid Data Security.
Aktivirajte preskusno različico in dodajte več poskusnih uporabnikov.
Prepričajte se, da imate dostop do sistemskega dnevnika, da preverite, ali ključne zahteve prehajajo v vašo uvedbo Hybrid Data Security.

Če deaktivirate uvedbo Hybrid Data Security, vsebina v prostorih, ki jih ustvarijo pilotni uporabniki, po zamenjavi kopij šifrirnih ključev, shranjenih v odjemalcu, ni več dostopna.

Pošljite sporočila v novi prostor.

Preverite izhod sistemskega dnevnika, da preverite, ali ključne zahteve prehajajo v vašo uvedbo Hybrid Data Security.

Če želite preveriti, ali uporabnik najprej vzpostavi varen kanal za KMS, vklopite filter kms.data.method=create in kms.data.type=EPHEMERAL_KEY_COLLECTION:

Morali bi najti vnos, kot je ta (identifikatorji so skrajšani zaradi berljivosti):

2020-07-21 17:35:34.562 (+0000) INFO  KMS [pool-14-thread-1] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, 
kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

Če želite preveriti, ali uporabnik zahteva obstoječi ključ iz KMS, vklopite filter kms.data.method=retrieve in kms.data.type=KEY:

Morali bi najti vnos, kot je:

2020-07-21 17:44:19.889 (+0000) INFO  KMS [pool-14-thread-31] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, 
kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, 
kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

Če želite preveriti, ali uporabnik zahteva ustvarjanje novega ključa KMS, filtrirajte na kms.data.method=create in kms.data.type=KEY_COLLECTION:

Morali bi najti vnos, kot je:

2020-07-21 17:44:21.975 (+0000) INFO  KMS [pool-14-thread-33] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, 
kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, 
kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

Morali bi najti vnos, kot je:

2020-07-21 17:44:22.808 (+0000) INFO  KMS [pool-15-thread-1] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

Spremljajte varnost hibridnih podatkov

1	notri Nadzorno središče, izberite Storitve iz menija na levi strani zaslona.
2	V razdelku Hybrid Services poiščite Hybrid Data Security in kliknite nastavitve. Prikaže se stran z nastavitvami hibridne varnosti podatkov.
3	V razdelku E-poštna obvestila vnesite enega ali več e-poštnih naslovov, ločenih z vejicami, in pritisnite Vnesite.

Dodajte ali odstranite uporabnike iz svojega preizkusa

Ko aktivirate preskusno različico in dodate začetni nabor preskusnih uporabnikov, lahko kadar koli dodate ali odstranite člane preizkusne različice, medtem ko je preskusna različica aktivna.

1	Prijavite se v Control Hub in nato izberite Storitve.
2	V razdelku Hibridna varnost podatkov kliknite nastavitve.
3	V razdelku Preizkusni način v območju Stanje storitve kliknite Dodajanje uporabnikov, ali kliknite ogled in urejanje za odstranitev uporabnikov iz preizkusa.
4	Vnesite e-poštni naslov enega ali več uporabnikov, ki jih želite dodati, ali kliknite X z ID-jem uporabnika, da uporabnika odstranite iz preizkusa. Nato kliknite Shrani.

Premaknite se s preskusne različice na produkcijsko

1	Prijavite se v Control Hub in nato izberite Storitve.
2	V razdelku Hibridna varnost podatkov kliknite nastavitve.
3	V razdelku Status storitve kliknite Premakni se v proizvodnjo.
4	Potrdite, da želite vse svoje uporabnike premakniti v produkcijo.

Končajte preizkus, ne da bi se preselili v proizvodnjo

1	Prijavite se v Control Hub in nato izberite Storitve.
2	V razdelku Hibridna varnost podatkov kliknite nastavitve.
3	V razdelku Deaktiviraj kliknite Deaktiviraj.
4	Potrdite, da želite deaktivirati storitev in končati preskusno obdobje.

Upravljajte svojo namestitev HDS

Upravljanje uvajanja HDS

Uporabite tukaj opisane naloge za upravljanje svoje razmestitve Hybrid Data Security.

Nastavite urnik nadgradnje gruče

Če želite nastaviti urnik nadgradnje:

1	Prijavite se v Nadzorno središče.
2	Na strani Pregled v razdelku Hibridne storitve izberite Hibridna varnost podatkov.
3	Na strani Viri za varnost hibridnih podatkov izberite gručo.
4	Na plošči Pregled na desni v razdelku Nastavitve gruče izberite ime gruče.
5	Na strani z nastavitvami v razdelku Nadgradnja izberite čas in časovni pas za urnik nadgradnje. Opomba: Pod časovnim pasom sta prikazana datum in čas naslednje razpoložljive nadgradnje. Nadgradnjo lahko po potrebi prestavite na naslednji dan s klikom Odložiti.

Spremenite konfiguracijo vozlišča

Občasno boste morda morali spremeniti konfiguracijo svojega vozlišča Hybrid Data Security iz razlogov, kot so:

Spreminjanje potrdil x.509 zaradi poteka veljavnosti ali drugih razlogov.

Ne podpiramo spreminjanja imena domene CN potrdila. Domena se mora ujemati z izvirno domeno, uporabljeno za registracijo gruče.

Posodabljanje nastavitev baze podatkov za spremembo v repliko baze podatkov PostgreSQL ali Microsoft SQL Server.

Ne podpiramo selitve podatkov iz PostgreSQL v Microsoft SQL Server ali obratno. Če želite preklopiti okolje baze podatkov, začnite novo uvedbo Hybrid Data Security.

Ustvarjanje nove konfiguracije za pripravo novega podatkovnega centra.

Mehka ponastavitev— Staro in novo geslo delujeta do 10 dni. To obdobje uporabite za postopno zamenjavo datoteke ISO na vozliščih.
Trda ponastavitev— Stara gesla prenehajo delovati takoj.

Če vaša gesla potečejo brez ponastavitve, to vpliva na vašo storitev HDS, saj zahteva takojšnjo strojno ponastavitev in zamenjavo datoteke ISO na vseh vozliščih.

S tem postopkom ustvarite novo konfiguracijsko datoteko ISO in jo uporabite za vašo gručo.

Preden začneš

Če orodje za namestitev HDS deluje za proxyjem v vašem okolju, podajte nastavitve proxyja (strežnik, vrata, poverilnice) prek spremenljivk okolja Docker, ko prikažete vsebnik Docker v 1.e. Ta tabela podaja nekaj možnih spremenljivk okolja:

Opis	Spremenljivka
HTTP Proxy brez avtentikacije	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
HTTPS Proxy brez avtentikacije	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
HTTP proxy z avtentikacijo	`GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
HTTPS Proxy z avtentikacijo	`GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

Za ustvarjanje nove konfiguracije potrebujete kopijo trenutne konfiguracijske datoteke ISO. ISO vsebuje glavni ključ, ki šifrira bazo podatkov PostgreSQL ali Microsoft SQL Server. ISO potrebujete, ko spreminjate konfiguracijo, vključno s poverilnicami baze podatkov, posodobitvami potrdil ali spremembami pravilnika avtorizacije.

Z Dockerjem na lokalnem računalniku zaženite orodje za namestitev HDS.

V ukazno vrstico vašega računalnika vnesite ustrezen ukaz za vaše okolje:
V običajnih okoljih:
```
docker rmi ciscocitg/hds-setup:stable
```
V okoljih FedRAMP:
```
docker rmi ciscocitg/hds-setup-fedramp:stable
```
Ta korak počisti prejšnje slike orodja za nastavitev HDS. Če ni prejšnjih slik, vrne napako, ki jo lahko prezrete.
Za vpis v register slik Docker vnesite naslednje:
```
docker login -u hdscustomersro
```
Ob pozivu za geslo vnesite to zgoščeno vrednost:
```
dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
```

Prenesite najnovejšo stabilno sliko za vaše okolje:

V običajnih okoljih:

docker pull ciscocitg/hds-setup:stable

V okoljih FedRAMP:

docker pull ciscocitg/hds-setup-fedramp:stable

Prepričajte se, da ste za ta postopek uporabili najnovejšo namestitveno orodje. Različice orodja, ustvarjene pred 22. februarjem 2018, nimajo zaslonov za ponastavitev gesla.

Ko je vlečenje končano, vnesite ustrezen ukaz za vaše okolje:

V običajnih okoljih brez posrednika:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

V običajnih okoljih s strežnikom proxy HTTP:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

V običajnih okoljih s proxyjem HTTPS:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

V okoljih FedRAMP brez posrednika:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

V okoljih FedRAMP s strežnikom proxy HTTP:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

V okoljih FedRAMP s strežnikom proxy HTTPS:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Ko se vsebnik izvaja, vidite »Strežnik Express posluša na vratih 8080«.

Uporabite brskalnik za povezavo z lokalnim gostiteljem, http://127.0.0.1:8080.

Orodje za namestitev ne podpira povezovanja z lokalnim gostiteljem prek http://localhost:8080. Uporaba http://127.0.0.1:8080 za povezavo z lokalnim gostiteljem.

Ko ste pozvani, vnesite svoje poverilnice za prijavo stranke Control Hub in kliknite Sprejmi nadaljevati.
Uvozite trenutno konfiguracijsko datoteko ISO.
Sledite navodilom za dokončanje orodja in prenos posodobljene datoteke.

Če želite zaustaviti orodje za nastavitev, vnesite CTRL+C.
Ustvarite varnostno kopijo posodobljene datoteke v drugem podatkovnem centru.

Namestite HDS host OVA.
Nastavite HDS VM.
Namestite posodobljeno konfiguracijsko datoteko.
Registrirajte novo vozlišče v Control Hub.

Izklopite virtualni stroj.
V levem navigacijskem podoknu odjemalca VMware vSphere z desno miškino tipko kliknite VM in kliknite Uredi nastavitve.
Kliknite CD/DVD Drive 1, izberite možnost za namestitev iz datoteke ISO in poiščite mesto, kamor ste prenesli novo konfiguracijsko datoteko ISO.
Preverite Priključite ob vklopu.
Shranite spremembe in vklopite virtualni stroj.

Ponovite 3. korak, da zamenjate konfiguracijo na vsakem preostalem vozlišču, ki izvaja staro konfiguracijo.

Izklopite način razreševanja blokiranega zunanjega DNS-ja

Če lahko vaša vozlišča razrešijo javna imena DNS prek notranjih strežnikov DNS, lahko ta način izklopite tako, da na vsakem vozlišču znova zaženete preskus povezave proxy.

Preden začneš

Zagotovite, da lahko vaši notranji strežniki DNS razrešijo javna imena DNS in da lahko vaša vozlišča komunicirajo z njimi.

1	V spletnem brskalniku odprite vmesnik vozlišča Hybrid Data Security (naslov IP/nastavitev, npr. https://192.0.2.0/setup), vnesite skrbniške poverilnice, ki ste jih nastavili za vozlišče, in nato kliknite Prijava.
2	Pojdi do Pregled (privzeta stran). Ko je omogočeno, Blokirana zunanja razrešitev DNS je nastavljeno na ja.
3	Pojdi na Trust Store & Proxy strani.
4	Kliknite Preverite povezavo proxy. Če vidite sporočilo, da zunanja razrešitev DNS ni bila uspešna, vozlišče ni moglo doseči strežnika DNS in bo ostalo v tem načinu. V nasprotnem primeru, ko znova zaženete vozlišče in se vrnete na Pregled stran, Blokirana zunanja DNS resolucija mora biti nastavljena na št.

Kaj storiti naprej

Ponovite preizkus povezave proxy na vsakem vozlišču v vaši gruči Hybrid Data Security.

Odstranite vozlišče

Uporabite odjemalca VMware vSphere v vašem računalniku, da se prijavite v virtualni gostitelj ESXi in izklopite virtualni stroj.

Odstranite vozlišče:

Prijavite se v Control Hub in nato izberite Storitve.
Na kartici Hybrid Data Security kliknite Poglej vse za prikaz strani Hibridni viri za varnost podatkov.
Izberite svojo gručo, da prikažete njeno pregledno ploščo.
Kliknite Odpri seznam vozlišč.
Na zavihku Vozlišča izberite vozlišče, ki ga želite odstraniti.
Kliknite Dejanja > Odjavi vozlišče.

V odjemalcu vSphere izbrišite VM. (V levem podoknu za krmarjenje z desno miškino tipko kliknite VM in kliknite Izbriši.)

Če VM ne izbrišete, ne pozabite odklopiti konfiguracijske datoteke ISO. Brez datoteke ISO ne morete uporabljati VM za dostop do svojih varnostnih podatkov.

Obnovitev po nesreči z uporabo podatkovnega centra v pripravljenosti

Če katastrofa povzroči, da uvedba HDS v primarnem podatkovnem centru postane nerazpoložljiva, sledite temu postopku za ročni samodejni preklop v rezervni podatkovni center.

Zaženite orodje HDS Setup in sledite korakom, navedenim v Ustvarite konfiguracijski ISO za gostitelje HDS.

Ko konfigurirate strežnik Syslogd, kliknite na Napredne nastavitve

Na Napredne nastavitve stran, dodajte spodnjo konfiguracijo ali odstranite passiveMode konfiguracijo, da bo vozlišče aktivno. Vozlišče lahko obravnava promet, ko je to konfigurirano.


passiveMode: 'false'

Dokončajte postopek konfiguracije in shranite datoteko ISO na mesto, ki ga je enostavno najti.

V levem podoknu za krmarjenje odjemalca VMware vSphere z desno miškino tipko kliknite VM in kliknite Uredi nastavitve..

Kliknite Uredi nastavitve >CD/DVD pogon 1 in izberite Datastore ISO File.

Poskrbi Povezan in Priključite ob vklopu so označene, tako da lahko posodobljene konfiguracijske spremembe začnejo veljati po zagonu vozlišč.

Vklopite vozlišče HDS in se prepričajte, da ni alarmov vsaj 15 minut.

Ponovite postopek za vsako vozlišče v podatkovnem centru v pripravljenosti.

Kaj storiti naprej

(Izbirno) Odpni ISO po konfiguraciji HDS

Preden začneš

Nadgradite vsa svoja vozlišča HDS na različico 2021.01.22.4720 ali novejšo.

1	Zaustavite eno od vozlišč HDS.
2	V strežniški napravi vCenter izberite vozlišče HDS.
3	Izberite Uredi nastavitve > CD/DVD pogon in odkljukajte Datoteka ISO za shranjevanje podatkov.
4	Vklopite vozlišče HDS in zagotovite, da vsaj 20 minut ni alarmov.
5	Ponovite za vsako vozlišče HDS po vrsti.

Odpravljanje težav s hibridno varnostjo podatkov

Ogled opozoril in odpravljanje težav

Novih prostorov ni mogoče ustvariti (ni mogoče ustvariti novih ključev)
Sporočil in naslovov prostorov ni mogoče dešifrirati za:
- Novi uporabniki dodani v prostor (ni mogoče pridobiti ključev)
- Obstoječi uporabniki v prostoru, ki uporabljajo novega odjemalca (ni mogoče pridobiti ključev)
Obstoječi uporabniki v prostoru bodo še naprej uspešno delovali, dokler imajo njihovi odjemalci predpomnilnik šifrirnih ključev

Pomembno je, da pravilno spremljate svojo gručo Hybrid Data Security in nemudoma obravnavate vsa opozorila, da preprečite motnje storitve.

Opozorila

Tabela 1. Pogoste težave in koraki za njihovo rešitev
Opozorilo	Dejanje
Napaka pri dostopu do lokalne baze podatkov.	Preverite napake baze podatkov ali težave z lokalnim omrežjem.
Napaka povezave z lokalno bazo podatkov.	Preverite, ali je strežnik baze podatkov na voljo in ali so bile v konfiguraciji vozlišča uporabljene prave poverilnice storitvenega računa.
Napaka pri dostopu do storitve v oblaku.	Preverite, ali lahko vozlišča dostopajo do strežnikov Webex, kot je določeno v Zahteve za zunanjo povezljivost.
Podaljšanje registracije storitve v oblaku.	Registracija v storitvah v oblaku je bila opuščena. Podaljšanje registracije je v teku.
Registracija storitve v oblaku je padla.	Registracija v storitve v oblaku je prekinjena. Storitev se zapira.
Storitev še ni aktivirana.	Aktivirajte preskusno različico ali dokončajte premik preizkusne različice v produkcijo.
Konfigurirana domena se ne ujema s potrdilom strežnika.	Prepričajte se, da se vaše potrdilo strežnika ujema s konfigurirano domeno za aktiviranje storitve. Najverjetnejši vzrok je, da je bilo potrdilo CN nedavno spremenjeno in se zdaj razlikuje od CN, ki je bilo uporabljeno med prvotno nastavitvijo.
Preverjanje pristnosti v storitvah v oblaku ni uspelo.	Preverite točnost in morebiten potek poverilnic storitvenega računa.
Lokalne datoteke shrambe ključev ni bilo mogoče odpreti.	Preverite celovitost in točnost gesla v datoteki lokalne shrambe ključev.
Potrdilo lokalnega strežnika ni veljavno.	Preverite datum veljavnosti strežniškega potrdila in potrdite, da ga je izdal zaupanja vreden overitelj potrdil.
Ni mogoče objaviti meritev.	Preverite dostop lokalnega omrežja do zunanjih storitev v oblaku.
Imenik /media/configdrive/hds ne obstaja.	Preverite konfiguracijo namestitve ISO na virtualnem gostitelju. Preverite, ali datoteka ISO obstaja, ali je konfigurirana za namestitev ob ponovnem zagonu in ali je uspešno nameščena.

Odpravljanje težav s hibridno varnostjo podatkov

Pri odpravljanju težav s hibridno varnostjo podatkov upoštevajte naslednje splošne smernice.

1	Preglejte Control Hub za vsa opozorila in popravite vse elemente, ki jih najdete tam.
2	Preglejte izhod strežnika syslog za dejavnost razmestitve Hybrid Data Security.
3	Kontakt Cisco podpora.

Druge opombe

Znane težave pri hibridni varnosti podatkov

Če zaustavite svojo gručo Hybrid Data Security (tako da jo izbrišete v Control Hubu ali tako, da zaustavite vsa vozlišča), izgubite konfiguracijsko datoteko ISO ali izgubite dostop do baze podatkov shrambe ključev, vaši uporabniki aplikacije Webex ne morejo več uporabljati prostorov pod svojimi Ljudje seznam, ki so bili ustvarjeni s ključi iz vašega KMS. To velja tako za poskusno kot za proizvodno uvedbo. Trenutno nimamo rešitve ali popravka za to težavo in vas pozivamo, da ne zaustavite storitev HDS, ko obravnavajo aktivne uporabniške račune.
Odjemalec, ki ima obstoječo povezavo ECDH s KMS, vzdržuje to povezavo nekaj časa (verjetno eno uro). Ko uporabnik postane član preskusne različice Hybrid Data Security, uporabnikov odjemalec nadaljuje z uporabo obstoječe povezave ECDH, dokler ne poteče čas. Druga možnost je, da se uporabnik odjavi in znova prijavi v aplikacijo Webex App, da posodobi lokacijo, s katero se aplikacija obrne za šifrirne ključe.

Enako vedenje se zgodi, ko preizkus premaknete v proizvodnjo za organizacijo. Vsi uporabniki brez preskusne različice z obstoječimi povezavami ECDH s prejšnjimi storitvami za varnost podatkov bodo še naprej uporabljali te storitve, dokler se povezava ECDH ponovno ne dogovori (prek časovne omejitve ali z odjavo in ponovnim vstopom).

Uporabite OpenSSL za ustvarjanje datoteke PKCS12

Preden začneš

OpenSSL je eno orodje, ki ga lahko uporabite za izdelavo datoteke PKCS12 v ustreznem formatu za nalaganje v orodju za nastavitev HDS. Obstajajo drugi načini za to in ne podpiramo ali spodbujamo enega načina namesto drugega.
Če se odločite za uporabo OpenSSL, ponujamo ta postopek kot smernico za pomoč pri ustvarjanju datoteke, ki izpolnjuje zahteve potrdila X.509 v Zahteve za potrdilo X.509. Razumite te zahteve, preden nadaljujete.
Namestite OpenSSL v podprto okolje. glej https://www.openssl.org za programsko opremo in dokumentacijo.
Ustvari zasebni ključ.
Začnite ta postopek, ko prejmete strežniško potrdilo od svojega overitelja potrdil (CA).

1	Ko prejmete strežniško potrdilo od službe za potrdila, ga shranite kot `hdsnode.pem`.
2	Prikažite potrdilo kot besedilo in preverite podrobnosti. `openssl x509 -text -noout -in hdsnode.pem`
3	Z urejevalnikom besedila ustvarite datoteko svežnja potrdil, imenovano `hdsnode-bundle.pem`. Datoteka paketa mora vključevati potrdilo strežnika, vsa vmesna potrdila CA in korenska potrdila CA v spodnji obliki: `-----BEGIN CERTIFICATE----- ### Server certificate. ### -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ### Intermediate CA certificate. ### -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ### Root CA certificate. ### -----END CERTIFICATE-----`
4	Ustvarite datoteko .p12 s prijaznim imenom `kms-private-key`. `openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12`
5	Preverite podrobnosti potrdila strežnika. `openssl pkcs12 -in hdsnode.p12` Ob pozivu vnesite geslo za šifriranje zasebnega ključa, da bo naveden v izhodu. Nato preverite, ali zasebni ključ in prvo potrdilo vključujeta vrstice `friendlyName: kms-private-key`. primer: bash$ openssl pkcs12 -in hdsnode.p12 Enter Import Password: MAC verified OK Bag Attributes friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Key Attributes: <No Attributes> Enter PEM pass phrase: Verifying - Enter PEM pass phrase: -----BEGIN ENCRYPTED PRIVATE KEY----- <redacted> -----END ENCRYPTED PRIVATE KEY----- Bag Attributes friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 -----BEGIN CERTIFICATE----- <redacted> -----END CERTIFICATE----- Bag Attributes friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3 -----BEGIN CERTIFICATE----- <redacted> -----END CERTIFICATE-----

Kaj storiti naprej

Vrnitev na Izpolnite predpogoje za hibridno varnost podatkov. Uporabili boste hdsnode.p12 datoteko in geslo, ki ste ga nastavili zanjo, v Ustvarite konfiguracijski ISO za gostitelje HDS.

Te datoteke lahko znova uporabite za zahtevo po novem potrdilu, ko prvotno potrdilo poteče.

Promet med vozlišči HDS in oblakom

Odhodni promet zbiranja meritev

Dohodni promet

Vozlišča Hybrid Data Security prejemajo naslednje vrste vhodnega prometa iz oblaka Webex:

Zahteve za šifriranje odjemalcev, ki jih usmeri šifrirna storitev
Nadgradnje programske opreme vozlišča

Konfigurirajte posrednike Squid za hibridno varnost podatkov

Websocket se ne more povezati prek proxyja Squid

Lignji 4 in 5

Dodajte on_unsupported_protocol direktiva za squid.conf:

on_unsupported_protocol tunnel all

Lignji 3.5.27

Hibridno varnost podatkov smo uspešno preizkusili z dodanimi naslednjimi pravili squid.conf. Ta pravila se lahko spremenijo, ko razvijamo funkcije in posodabljamo oblak Webex.

acl wssMercuryConnection ssl::server_name_regex mercury-connection

ssl_bump splice wssMercuryConnection

acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all

Predgovor

Nove in spremenjene informacije

Datum

Izvedene spremembe

20. oktober 2023

Posodobljene informacije v Zahteve za strežnik baze podatkov.
Dodano Nastavite podatkovni center v pripravljenosti za obnovitev po katastrofi.
Posodobljene informacije v Podatkovni center v pripravljenosti za obnovitev po katastrofi in Obnovitev po nesreči z uporabo podatkovnega centra v pripravljenosti.

7. avgust 2023

Dodal opombo v Prenesite namestitvene datoteke.
Dodal opombo v Ustvarite konfiguracijski ISO za gostitelje HDS in Spremenite konfiguracijo vozlišča.

23. maj 2023

Izbrisane informacije iz Zahteve za strežnik baze podatkov zahtevate, da se omogoči funkcija, tako da stopite v stik z ekipo za račun.
Posodobljene informacije v Zahteve za zunanjo povezljivost in dodal Kanado v tabelo gostiteljev CI.
Dodal opombo v Pričakovanja glede uvajanja hibridne varnosti podatkov glede nerazpoložljivosti mehanizmov za premikanje ključev nazaj v oblak.

6. december 2022

Slike orodja za nastavitev HDS zdaj gostujejo v ciscocitg repozitorij dockerhub.
Posodobljeno Ustvarite konfiguracijski ISO za gostitelje HDS in Spremenite konfiguracijo vozlišča teme za odraz sprememb v ukazih.

23. november 2022

Vozlišča HDS lahko zdaj uporabljajo preverjanje pristnosti sistema Windows proti strežniku Microsoft SQL Server.

Posodobil Zahteve za strežnik baze podatkov tema z dodatnimi zahtevami za ta način preverjanja pristnosti.

Posodobljeno Ustvarite konfiguracijski ISO za gostitelje HDS s postopkom za konfiguracijo preverjanja pristnosti sistema Windows na vozliščih.
Posodobil Zahteve za strežnik baze podatkov tema z novimi najmanj zahtevanimi različicami (PostgreSQL 10).

13. oktober 2021

Docker Desktop mora zagnati namestitveni program, preden lahko namestite vozlišča HDS. glej Zahteve za namizje Docker.

24. junij 2021

Upoštevajte, da lahko znova uporabite datoteko zasebnega ključa in CSR, da zahtevate drugo potrdilo. glej Uporabite OpenSSL za ustvarjanje datoteke PKCS12 za podrobnosti.

30. april 2021

Zahteva VM za lokalni prostor na trdem disku je spremenjena na 30 GB. glej Zahteve za virtualnega gostitelja za podrobnosti.

24. februar 2021

Orodje za nastavitev HDS lahko zdaj deluje za posrednikom. glej Ustvarite konfiguracijski ISO za gostitelje HDS za podrobnosti.

2. februar 2021

HDS lahko zdaj deluje brez nameščene datoteke ISO. glej (Izbirno) Odpni ISO po konfiguraciji HDS za podrobnosti.

11. januar 2021

Dodane informacije o orodju za nastavitev HDS in proxyjih za Ustvarite konfiguracijski ISO za gostitelje HDS.

13. oktober 2020

Posodobljeno Prenesite namestitvene datoteke.

8. oktober 2020

Posodobljeno Ustvarite konfiguracijski ISO za gostitelje HDS in Spremenite konfiguracijo vozlišča z ukazi za okolja FedRAMP.

14. avgust 2020

Posodobljeno Ustvarite konfiguracijski ISO za gostitelje HDS in Spremenite konfiguracijo vozlišča s spremembami postopka prijave.

5. avgust 2020

Posodobljeno Preizkusite svojo hibridno uvedbo varnosti podatkov za spremembe v dnevniških sporočilih.

Posodobljeno Zahteve za virtualnega gostitelja da odstranite največje število gostiteljev.

16. junij 2020

Posodobljeno Odstranite vozlišče za spremembe v uporabniškem vmesniku Control Hub.

4. junij 2020

Posodobljeno Ustvarite konfiguracijski ISO za gostitelje HDS za spremembe v naprednih nastavitvah, ki jih lahko nastavite.

29. maj 2020

Posodobljeno Ustvarite konfiguracijski ISO za gostitelje HDS da pokažete, da lahko TLS uporabljate tudi z bazami podatkov SQL Server, spremembami uporabniškega vmesnika in drugimi pojasnili.

5. maj 2020

Posodobljeno Zahteve za virtualnega gostitelja za prikaz novih zahtev ESXi 6.5.

21. april 2020

Posodobljeno Zahteve za zunanjo povezljivost z novimi gostitelji CI Amerike.

1. april 2020

Posodobljeno Zahteve za zunanjo povezljivost z informacijami o regionalnih gostiteljih CI.

20. februar 2020 Posodobljeno Ustvarite konfiguracijski ISO za gostitelje HDS z informacijami o novem izbirnem zaslonu z naprednimi nastavitvami v orodju za nastavitev HDS.

4. februar 2020 Posodobljeno Zahteve za strežnik proxy.

16. december 2019 Pojasnjena je zahteva za delovanje v načinu blokiranega zunanjega razreševanja DNS Zahteve za strežnik proxy.

19. november 2019

Dodane informacije o načinu razreševanja blokiranega zunanjega DNS-ja v naslednjih razdelkih:

Podpora za proxy
Konfigurirajte vozlišče HDS za integracijo posrednika
Izklopite način razreševanja blokiranega zunanjega DNS-ja

8. november 2019

Zdaj lahko konfigurirate omrežne nastavitve za vozlišče med uvajanjem OVA in ne pozneje.

Ustrezno posodobljeni naslednji razdelki:

Potek opravila uvajanja hibridne varnosti podatkov
Namestite HDS Host OVA
Nastavite Hybrid Data Security VM

Možnost konfiguracije omrežnih nastavitev med uvajanjem OVA je bila preizkušena z ESXi 6.5. Možnost morda ni na voljo v starejših različicah.

6. september 2019

Dodan SQL Server Standard Zahteve za strežnik baze podatkov.

29. avgust 2019 Dodano Konfigurirajte posrednike Squid za hibridno varnost podatkov dodatek z navodili za konfiguriranje proxyjev Squid, da za pravilno delovanje prezrejo promet spletnih vtičnic.

20. avgust 2019

Dodani in posodobljeni razdelki za pokrivanje podpore posrednika za komunikacije vozlišča Hybrid Data Security z oblakom Webex.

Podpora za proxy
Zahteve za strežnik proxy
Konfigurirajte vozlišče HDS za integracijo posrednika

Za dostop samo do podporne vsebine proxyja za obstoječo uvedbo glejte Proxy podpora za Hybrid Data Security in Webex Video Mesh članek za pomoč.

6. marec 2019

Zahteve in predpogoje premaknili v ločeno poglavje, Pripravite svoje okolje.
Dodano Potek opravila uvajanja hibridne varnosti podatkov pregled v poglavju Nastavite Hybrid Data Security Cluster.

Upoštevajte, da dokler ne začnete preizkusa (z uporabo navodil v naslednjem poglavju), vaša vozlišča ustvarijo alarm, ki označuje, da vaša storitev še ni aktivirana.
Dodano Potek naloge od preizkusa do proizvodnje v poglavju Izvedite preizkus in se premaknite v produkcijo.

28. februar 2019

Popravljena količina prostora na lokalnem trdem disku na strežnik, ki bi ga morali rezervirati, ko pripravljate virtualne gostitelje, ki postanejo vozlišča Hybrid Data Security, s 50 GB na 20 GB, da odraža velikost diska, ki ga ustvari OVA.

26. februar 2019

Vozlišča Hybrid Data Security zdaj podpirajo šifrirane povezave s strežniki baz podatkov PostgreSQL in šifrirane povezave za beleženje s strežnikom syslog, ki podpira TLS. Posodobljeno Ustvarite konfiguracijski ISO za gostitelje HDS z navodili.
Odstranjeni ciljni URL-ji iz tabele »Zahteve za internetno povezljivost za VM Hybrid Data Security Node«. Tabela se zdaj nanaša na seznam, ki se vzdržuje v tabeli »Dodatni URL-ji za hibridne storitve Webex Teams« Omrežne zahteve za storitve Webex Teams.

24. januar 2019

Podpora za Microsoft SQL Server je namenjena samo novim uvedbam Hybrid Data Security. Trenutno ne podpiramo selitve podatkov iz PostgreSQL v Microsoft SQL Server v obstoječi uvedbi.

5. november 2018

Dodan predhodni korak za čiščenje vseh obstoječih primerkov docker hds Ustvarite konfiguracijski ISO za gostitelje HDS in Spremenite konfiguracijo vozlišča.
Posodobljen je korak v stopnji dostopa do ključa Ustvarite konfiguracijski ISO za gostitelje HDS da se ujema z vmesnikom.

19. oktober 2018

Podatke o povezavi požarnega zidu razdelite na zahteve vozlišča in zahteve stroja za konfiguracijo ISO Izpolnite predpogoje za hibridno varnost podatkov.

31. julij 2018

Dodana vrata 22 (dostop SSH) in informacije o povezavah NAT in požarnega zidu Izpolnite predpogoje za hibridno varnost podatkov.

21. maj 2018

Spremenjena terminologija, ki odraža preimenovanje Cisco Spark:

Cisco Spark Hybrid Data Security je zdaj Hybrid Data Security.
Aplikacija Cisco Spark je zdaj aplikacija Webex App.
Cisco Collaboraton Cloud je zdaj oblak Webex.

11. april 2018

Dodano Podatkovni center v pripravljenosti za obnovitev po katastrofi.
Posodobljeno Izpolnite predpogoje za hibridno varnost podatkov da določite, da mora biti varnostno okolje v drugem podatkovnem centru.
Posodobljeno Obnovitev po nesreči z uporabo podatkovnega centra v pripravljenosti.

22. februar 2018

Dodane informacije o 9-mesečni življenjski dobi gesla za račun storitve in uporabi orodja za nastavitev HDS za ponastavitev gesel za račun storitve v Ustvarite konfiguracijski ISO za gostitelje HDS in Spremenite konfiguracijo vozlišča.

15. februar 2018

V Zahteve za potrdilo X.509 tabela, je določeno, da potrdilo ne more biti potrdilo z nadomestnimi znaki in da KMS uporablja domeno CN, ne katere koli domene, ki je definirana v poljih SAN x.509v3.

18. januar 2018

Dodana priloga, Promet med vozlišči HDS in oblakom.
Odstranjena rešena težava iz Znane težave pri hibridni varnosti podatkov.
Index.docker.io spremenjen v *.docker.io in dodan *.cloudfront.net na seznam zahtev povezljivosti TCP za vozlišča HDS v Izpolnite predpogoje za hibridno varnost podatkov.
Posodobljeno Ustvarite konfiguracijski ISO za gostitelje HDS da označite, da če gostitelja baze podatkov in strežnika Syslogd ni mogoče razrešiti z DNS iz vozlišč HDS, ju morate konfigurirati z uporabo naslovov IP.

2. november 2017

Razjasnjena sinhronizacija imenika za HdsTrialGroup.
Popravljena navodila za nalaganje konfiguracijske datoteke ISO za namestitev v vozlišča VM.

18. avgust 2017

Prvič objavljeno

Začnite s hibridno varnostjo podatkov

Pregled varnosti hibridnih podatkov

Arhitektura varnostnega področja

Arhitektura oblaka Webex ločuje različne vrste storitev v ločena področja ali domene zaupanja, kot je prikazano spodaj.

Odjemalec vzpostavi varno povezavo s storitvijo za upravljanje ključev (KMS), nato pa zahteva ključ za šifriranje sporočila. Varna povezava uporablja ECDH, KMS pa šifrira ključ z glavnim ključem AES-256.
Sporočilo je šifrirano, preden zapusti odjemalca. Odjemalec ga pošlje storitvi indeksiranja, ki ustvari šifrirane iskalne indekse za pomoč pri prihodnjih iskanjih vsebine.
Šifrirano sporočilo je poslano storitvi skladnosti za preverjanje skladnosti.
Šifrirano sporočilo je shranjeno v območju shranjevanja.

Sodelovanje z drugimi organizacijami

Pričakovanja glede uvajanja hibridne varnosti podatkov

Uvedba hibridne varnosti podatkov zahteva veliko predanost strank in zavedanje tveganj, ki jih prinaša posedovanje šifrirnih ključev.

Za uvedbo Hybrid Data Security morate zagotoviti:

Varen podatkovni center v državi, ki je a podprto lokacijo za načrte Cisco Webex Teams.
Oprema, programska oprema in dostop do omrežja, opisani v Pripravite svoje okolje.

Upravljajte varnostno kopiranje in obnovitev baze podatkov in konfiguracije ISO.
Bodite pripravljeni izvesti hitro obnovitev po katastrofi, če pride do katastrofe, kot je okvara diska baze podatkov ali katastrofa podatkovnega centra.

Ni mehanizma za premik ključev nazaj v oblak po uvedbi HDS.

Postopek namestitve na visoki ravni

Ta dokument pokriva nastavitev in upravljanje uvedbe Hybrid Data Security:

Nastavite hibridno varnost podatkov— To vključuje pripravo zahtevane infrastrukture in namestitev programske opreme Hybrid Data Security, testiranje vaše uvedbe s podnaborom uporabnikov v preskusnem načinu in, ko je vaše testiranje končano, premik v proizvodnjo. To pretvori celotno organizacijo v uporabo vaše Hybrid Data Security gruče za varnostne funkcije.
Faze nastavitve, preizkusa in proizvodnje so podrobno obravnavane v naslednjih treh poglavjih.
Ohranite svojo uvedbo Hybrid Data Security— Oblak Webex samodejno zagotavlja stalne nadgradnje. Vaš IT oddelek lahko zagotovi podporo prve stopnje za to uvedbo in po potrebi vključi podporo Cisco. V Control Hubu lahko uporabite obvestila na zaslonu in nastavite opozorila po e-pošti.
Razumevanje pogostih opozoril, korakov za odpravljanje težav in znanih težav—Če naletite na težave pri uvajanju ali uporabi Hybrid Data Security, vam lahko zadnje poglavje tega vodnika in dodatek Znane težave pomagata ugotoviti in odpraviti težavo.

Hibridni model uvajanja varnosti podatkov

Hibridni model uvajanja varnosti podatkov

Vozlišča postanejo aktivna, ko jih registrirate v Control Hub. Če želite posamezno vozlišče izključiti iz uporabe, ga lahko odjavite in pozneje po potrebi znova registrirate.

Podpiramo samo eno gručo na organizacijo.

Preizkusni način hibridne varnosti podatkov

Podatkovni center v pripravljenosti za obnovitev po katastrofi

Med uvajanjem nastavite varen podatkovni center v pripravljenosti. V primeru katastrofe v podatkovnem centru lahko ročno prekinete svojo uvedbo v podatkovni center v pripravljenosti.

Aktivna vozlišča Hybrid Data Security morajo biti vedno v istem podatkovnem centru kot aktivni strežnik baze podatkov.

Nastavite podatkovni center v pripravljenosti za obnovitev po katastrofi

Za konfiguracijo datoteke ISO podatkovnega centra v pripravljenosti sledite spodnjim korakom:

Preden začneš

Podatkovni center v pripravljenosti bi moral zrcaliti produkcijsko okolje navideznih strojev in rezervno bazo podatkov PostgreSQL ali Microsoft SQL Server. Na primer, če ima proizvodnja 3 VM-je, ki poganjajo vozlišča HDS, bi moralo okolje za varnostno kopiranje imeti 3 VM-je. (Glej Podatkovni center v pripravljenosti za obnovitev po katastrofi za pregled tega modela samodejnega preklopa.)
Prepričajte se, da je omogočena sinhronizacija baze podatkov med bazo podatkov aktivnih in pasivnih vozlišč gruče.

Zaženite orodje HDS Setup in sledite korakom, navedenim v Ustvarite konfiguracijski ISO za gostitelje HDS.

Datoteka ISO mora biti kopija izvirne datoteke ISO primarnega podatkovnega centra, na katero bodo izvedene naslednje posodobitve konfiguracije.

Ko konfigurirate strežnik Syslogd, kliknite na Napredne nastavitve


passiveMode: 'true'

Dokončajte postopek konfiguracije in shranite datoteko ISO na mesto, ki ga je enostavno najti.

V levem podoknu za krmarjenje odjemalca VMware vSphere z desno miškino tipko kliknite VM in kliknite Uredi nastavitve..

Kliknite Uredi nastavitve >CD/DVD pogon 1 in izberite Datastore ISO File.

Poskrbi Povezan in Priključite ob vklopu so označene, tako da lahko posodobljene konfiguracijske spremembe začnejo veljati po zagonu vozlišč.

Vklopite vozlišče HDS in se prepričajte, da ni alarmov vsaj 15 minut.

Ponovite postopek za vsako vozlišče v podatkovnem centru v pripravljenosti.

Preverite sistemske dnevnike, da preverite, ali so vozlišča v pasivnem načinu. V sistemskih dnevnikih bi si morali ogledati sporočilo »KMS konfiguriran v pasivnem načinu«.

Kaj storiti naprej

Podpora za proxy

Vozlišča Hybrid Data Security podpirajo naslednje možnosti posrednika:

Brez posrednika— Privzeto, če za integracijo proxyja ne uporabljate nastavitve vozlišča HDS Trust Store & Proxy. Posodobitev potrdila ni potrebna.
Transparenten proxy brez nadzora— Vozlišča niso konfigurirana za uporabo določenega naslova strežnika proxy in ne bi smela zahtevati nobenih sprememb za delo s proxyjem, ki ne preverja. Posodobitev potrdila ni potrebna.
Transparentni proxy za tuneliranje ali pregledovanje— Vozlišča niso konfigurirana za uporabo določenega naslova strežnika proxy. Na vozliščih niso potrebne spremembe konfiguracije HTTP ali HTTPS. Vendar vozlišča potrebujejo korensko potrdilo, da zaupajo proxyju. Inspecting proxy običajno uporablja IT za uveljavljanje pravilnikov o tem, katera spletna mesta je mogoče obiskati in katere vrste vsebine niso dovoljene. Ta vrsta proxyja dešifrira ves vaš promet (tudi HTTPS).
Eksplicitni posrednik— Z eksplicitnim proxy vozliščem HDS poveste, kateri strežnik proxy in shemo preverjanja pristnosti naj uporabijo. Če želite konfigurirati eksplicitni proxy, morate v vsako vozlišče vnesti naslednje informacije:
1. Proxy IP/FQDN—Naslov, ki ga je mogoče uporabiti za dostop do proxy naprave.
2. Proxy vrata—Številka vrat, ki jih proxy uporablja za poslušanje prometa prek posrednika.
3. Proxy protokol—Glede na to, kaj podpira vaš proxy strežnik, izberite med naslednjimi protokoli:
  - HTTP—Ogleda in nadzoruje vse zahteve, ki jih pošlje odjemalec.
  - HTTPS—zagotavlja kanal strežniku. Odjemalec prejme in potrdi potrdilo strežnika.
4. Vrsta avtentikacije—Izbirajte med naslednjimi vrstami preverjanja pristnosti:
  - Noben— Nadaljnje preverjanje pristnosti ni potrebno.
    
    Na voljo, če kot proxy protokol izberete HTTP ali HTTPS.
  - Osnovno—Uporablja se za uporabniškega agenta HTTP, da zagotovi uporabniško ime in geslo, ko poda zahtevo. Uporablja kodiranje Base64.
    
    Na voljo, če kot proxy protokol izberete HTTP ali HTTPS.
    
    Za vsako vozlišče morate vnesti uporabniško ime in geslo.
  - prebaviti— Uporablja se za potrditev računa pred pošiljanjem občutljivih informacij. Uporabi zgoščeno funkcijo za uporabniško ime in geslo pred pošiljanjem po omrežju.
    
    Na voljo samo, če izberete HTTPS kot posredniški protokol.
    
    Za vsako vozlišče morate vnesti uporabniško ime in geslo.

Primer vozlišč hibridne varnosti podatkov in posrednika

Blokiran zunanji način reševanja DNS (eksplicitne konfiguracije proxyja)

Pripravite svoje okolje

Zahteve za hibridno varnost podatkov

Licenčne zahteve za Cisco Webex

Če želite uvesti Hybrid Data Security:

Za Cisco Webex Control Hub morate imeti Pro Pack. (Glej https://www.cisco.com/go/pro-pack.)

Zahteve za namizje Docker

Zahteve za potrdilo X.509

Certifikacijska veriga mora izpolnjevati naslednje zahteve:

Tabela 1. Zahteve za potrdilo X.509 za uvedbo hibridne varnosti podatkov
Zahteva	Podrobnosti
Podpisal zaupanja vreden overitelj potrdil (CA)	Privzeto zaupamo CA-jem na seznamu Mozilla (z izjemo WoSign in StartCom) na https://wiki.mozilla.org/CA:IncludedCAs.
Nosi ime domene Common Name (CN), ki identificira vašo uvedbo Hybrid Data Security Ni potrdilo z nadomestnimi znaki	Ni treba, da je CN dosegljiv ali gostitelj v živo. Priporočamo, da uporabite ime, ki odraža vašo organizacijo, na primer `hds.company.com`. KN ne sme vsebovati * (nadomestni znak). CN se uporablja za preverjanje vozlišč Hybrid Data Security za odjemalce aplikacije Webex. Vsa vozlišča Hybrid Data Security v vaši gruči uporabljajo isto potrdilo. Vaš KMS se identificira z uporabo domene CN, ne katere koli domene, ki je definirana v poljih SAN x.509v3. Ko registrirate vozlišče s tem potrdilom, ne podpiramo spreminjanja imena domene CN. Izberite domeno, ki se lahko uporablja za preskusno in produkcijsko uvedbo.
Podpis, ki ni SHA1	Programska oprema KMS ne podpira podpisov SHA1 za preverjanje povezav s KMS-ji drugih organizacij.
Formatirano kot datoteka PKCS #12, zaščitena z geslom Uporabite prijazno ime `kms-private-key` da označite potrdilo, zasebni ključ in morebitna vmesna potrdila za nalaganje.	Za spremembo oblike potrdila lahko uporabite pretvornik, kot je OpenSSL. Ko zaženete orodje za nastavitev HDS, boste morali vnesti geslo.

Zahteve za virtualnega gostitelja

Navidezni gostitelji, ki jih boste nastavili kot vozlišča Hybrid Data Security v vaši gruči, imajo naslednje zahteve:

Vsaj dva ločena gostitelja (3 priporočljivo), nameščena v istem varnem podatkovnem centru
VMware ESXi 6.5 (ali novejši) nameščen in deluje.

Če imate starejšo različico ESXi, morate nadgraditi.
Najmanj 4 vCPU-ji, 8 GB glavnega pomnilnika, 30 GB lokalnega prostora na trdem disku na strežnik

Zahteve za strežnik baze podatkov

Ustvarite novo bazo podatkov za shranjevanje ključev. Ne uporabljajte privzete zbirke podatkov. Ko so nameščene aplikacije HDS, ustvarijo shemo baze podatkov.

Obstajata dve možnosti za strežnik baze podatkov. Zahteve za vsakega so naslednje:

Tabela 2. Zahteve strežnika baze podatkov glede na vrsto baze podatkov

PostgreSQL

Microsoft SQL Server

PostgreSQL 14, 15 ali 16, nameščen in deluje.

Nameščen SQL Server 2016, 2017 ali 2019 (Enterprise ali Standard).

SQL Server 2016 zahteva servisni paket 2 in kumulativno posodobitev 2 ali novejšo različico.

Programska oprema HDS trenutno namesti naslednje različice gonilnikov za komunikacijo s strežnikom baze podatkov:

PostgreSQL

Microsoft SQL Server

Gonilnik Postgres JDBC 42.2.5

Gonilnik SQL Server JDBC 4.6

Ta različica gonilnika podpira SQL Server Always On ( Always On Failover Cluster Instances in Skupine razpoložljivosti Always On).

Dodatne zahteve za preverjanje pristnosti sistema Windows proti strežniku Microsoft SQL Server

Vozlišča HDS, infrastruktura Active Directory in MS SQL Server morajo biti vsi sinhronizirani z NTP.
Račun Windows, ki ga zagotovite vozliščem HDS, mora imeti dostop za branje/pisanje do baze podatkov.
Strežniki DNS, ki jih zagotovite vozliščem HDS, morajo imeti možnost razrešiti vaš center za distribucijo ključev (KDC).
Primerek baze podatkov HDS lahko registrirate na strežniku Microsoft SQL Server kot glavno ime storitve (SPN) v imeniku Active Directory. glej Registrirajte glavno ime storitve za povezave Kerberos.

Orodje za nastavitev HDS, zaganjalnik HDS in lokalni KMS morajo uporabljati preverjanje pristnosti sistema Windows za dostop do baze podatkov shrambe ključev. Uporabijo podrobnosti iz vaše konfiguracije ISO za izdelavo SPN, ko zahtevajo dostop s preverjanjem pristnosti Kerberos.

Zahteve za zunanjo povezljivost

Konfigurirajte požarni zid, da bo omogočal naslednje povezave za aplikacije HDS:

Aplikacija	Protokol	Pristanišče	Smer iz App	Destinacija
Hibridna varnostna vozlišča podatkov	TCP	443	Odhodni HTTPS in WSS	Strežniki Webex: .wbx2.com .ciscospark.com Vsi gostitelji skupne identitete Drugi URL-ji, ki so navedeni za Hybrid Data Security v Dodatni URL-ji za hibridne storitve Webex tabela od Omrežne zahteve za storitve Webex
Orodje za nastavitev HDS	TCP	443	Odhodni HTTPS	*.wbx2.com Vsi gostitelji skupne identitete hub.docker.com

URL-ji za gostitelje skupne identitete (CI) so specifični za regijo. To so trenutni gostitelji CI:

Regija	URL-ji gostitelja skupne identitete
Amerike	https://idbroker.webex.com https://identity.webex.com https://idbroker-b-us.webex.com https://identity-b-us.webex.com
Evropska unija	https://idbroker-eu.webex.com https://identity-eu.webex.com
Kanada	https://idbroker-ca.webex.com https://identity-ca.webex.com

Zahteve za strežnik proxy

Uradno podpiramo naslednje rešitve proxy, ki se lahko integrirajo z vašimi vozlišči Hybrid Data Security.

Transparent proxy—Cisco Web Security Appliance (WSA).

Eksplicitni proxy—Squid.

Podpiramo naslednje kombinacije vrst preverjanja pristnosti za eksplicitne posrednike:
- Ni avtentikacije s HTTP ali HTTPS
- Osnovna avtentikacija s HTTP ali HTTPS
- Pregled pristnosti samo s HTTPS
Za proxy proxy za pregledovanje ali eksplicitni proxy HTTPS morate imeti kopijo korenskega potrdila proxyja. Navodila za uvajanje v tem priročniku vam povejo, kako naložite kopijo v skrbniške shrambe vozlišč Hybrid Data Security.
Omrežje, ki gosti vozlišča HDS, mora biti konfigurirano tako, da prisili izhodni promet TCP na vratih 443, da se usmeri prek proxyja.
Posredniki, ki pregledujejo spletni promet, lahko motijo povezave s spletnimi vtičnicami. Če pride do te težave, obide (brez pregleda) promet do wbx2.com in ciscospark.com bo rešil problem.

Izpolnite predpogoje za hibridno varnost podatkov

S tem kontrolnim seznamom se prepričajte, da ste pripravljeni na namestitev in konfiguracijo vaše hibridne podatkovne varnostne gruče.

Ustvarite bazo podatkov za shranjevanje ključev. (To zbirko podatkov morate ustvariti—ne uporabljajte privzete baze podatkov. Aplikacije HDS, ko so nameščene, ustvarijo shemo baze podatkov.)
Zberite podrobnosti, ki jih bodo vozlišča uporabljala za komunikacijo s strežnikom baze podatkov:
- ime gostitelja ali naslov IP (gostitelj) in vrata
- ime baze podatkov (dbname) za shranjevanje ključev
- uporabniško ime in geslo uporabnika z vsemi privilegiji v bazi podatkov za shranjevanje ključev

Nastavite gostitelja sistemskega dnevnika za zbiranje dnevnikov iz vozlišč v gruči. Zberite njegov omrežni naslov in vrata sistemskega dnevnika (privzeto je UDP 514).

Zagotovite, da vaša konfiguracija požarnega zidu omogoča povezljivost za vozlišča Hybrid Data Security, kot je opisano v Zahteve za zunanjo povezljivost.

Če želite namestiti in zagnati orodje za nastavitev HDS, mora imeti lokalni računalnik povezljivost, opisano v Zahteve za zunanjo povezljivost.

Če integrirate proxy s Hybrid Data Security, se prepričajte, da ustreza Zahteve za strežnik proxy.

Nastavite Hybrid Data Security Cluster

Potek opravila uvajanja hibridne varnosti podatkov

Preden začneš

Prenesite datoteko OVA na svoj lokalni računalnik za kasnejšo uporabo.

Z orodjem za nastavitev HDS ustvarite konfiguracijsko datoteko ISO za vozlišča Hybrid Data Security.

Ustvarite virtualni stroj iz datoteke OVA in izvedite začetno konfiguracijo, kot so omrežne nastavitve.

Možnost konfiguracije omrežnih nastavitev med uvajanjem OVA je bila preizkušena z ESXi 6.5. Možnost morda ni na voljo v starejših različicah.

Prijavite se v konzolo VM in nastavite poverilnice za prijavo. Konfigurirajte omrežne nastavitve za vozlišče, če jih niste konfigurirali ob uvedbi OVA.

Konfigurirajte vozlišče HDS za integracijo posrednika

Konfigurirajte VM iz konfiguracijske datoteke ISO, ki ste jo ustvarili z orodjem za namestitev HDS.

Če omrežno okolje zahteva konfiguracijo proxyja, podajte vrsto proxyja, ki ga boste uporabili za vozlišče, in po potrebi dodajte potrdilo proxyja v shrambo zaupanja.

Registrirajte VM v oblaku Cisco Webex kot Hybrid Data Security node.

Dokončajte nastavitev gruče.

Izvedite preizkus in se premaknite v produkcijo (naslednje poglavje)

Dokler ne začnete preizkusa, vaša vozlišča ustvarijo alarm, ki nakazuje, da vaša storitev še ni aktivirana.

Prenesite namestitvene datoteke

Pri tej nalogi prenesete datoteko OVA na svoj računalnik (ne na strežnike, ki ste jih nastavili kot vozlišča Hybrid Data Security). To datoteko uporabite pozneje v postopku namestitve.

Prijavite se v https://admin.webex.comin nato kliknite Storitve.

V razdelku Hybrid Services poiščite kartico Hybrid Data Security in kliknite Nastaviti.

Izberite št da označite, da vozlišča še niste nastavili, in nato kliknite Naslednji.

Datoteka OVA se samodejno začne prenašati. Datoteko shranite na mesto v vašem računalniku.

Po želji kliknite Odprite vodnik za uvajanje da preverite, ali je na voljo novejša različica tega priročnika.

Ustvarite konfiguracijski ISO za gostitelje HDS

Postopek nastavitve Hybrid Data Security ustvari datoteko ISO. Nato uporabite ISO za konfiguracijo gostitelja Hybrid Data Security.

Preden začneš

Opis	Spremenljivka
HTTP Proxy brez avtentikacije	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
HTTPS Proxy brez avtentikacije	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
HTTP proxy z avtentikacijo	`GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
HTTPS Proxy z avtentikacijo	`GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

Konfiguracijska datoteka ISO, ki jo ustvarite, vsebuje glavni ključ, ki šifrira bazo podatkov PostgreSQL ali Microsoft SQL Server. Najnovejšo kopijo te datoteke potrebujete vsakič, ko spremenite konfiguracijo, kot je ta:
- Poverilnice baze podatkov
- Posodobitve potrdil
- Spremembe politike avtorizacije
Če nameravate šifrirati povezave z bazo podatkov, nastavite svojo uvedbo PostgreSQL ali SQL Server za TLS.

V ukazno vrstico vašega računalnika vnesite ustrezen ukaz za vaše okolje:

V običajnih okoljih:

docker rmi ciscocitg/hds-setup:stable

V okoljih FedRAMP:

docker rmi ciscocitg/hds-setup-fedramp:stable

Ta korak počisti prejšnje slike orodja za nastavitev HDS. Če ni prejšnjih slik, vrne napako, ki jo lahko prezrete.

Za vpis v register slik Docker vnesite naslednje:

docker login -u hdscustomersro

Ob pozivu za geslo vnesite to zgoščeno vrednost:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

Prenesite najnovejšo stabilno sliko za vaše okolje:

V običajnih okoljih:

docker pull ciscocitg/hds-setup:stable

V okoljih FedRAMP:

docker pull ciscocitg/hds-setup-fedramp:stable

Ko je vlečenje končano, vnesite ustrezen ukaz za vaše okolje:

V običajnih okoljih brez posrednika:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

V običajnih okoljih s strežnikom proxy HTTP:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

V običajnih okoljih s strežnikom proxy HTTPS:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

V okoljih FedRAMP brez posrednika:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

V okoljih FedRAMP s strežnikom proxy HTTP:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

V okoljih FedRAMP s strežnikom proxy HTTPS:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Ko se vsebnik izvaja, vidite »Strežnik Express posluša na vratih 8080«.

Orodje za namestitev ne podpira povezovanja z lokalnim gostiteljem prek http://localhost:8080. Uporaba http://127.0.0.1:8080 za povezavo z lokalnim gostiteljem.

Uporabite spletni brskalnik za dostop do lokalnega gostitelja, http://127.0.0.1:8080 in ob pozivu vnesite uporabniško ime skrbnika stranke za Control Hub.

Orodje uporabi ta prvi vnos uporabniškega imena za nastavitev ustreznega okolja za ta račun. Orodje nato prikaže standardni poziv za prijavo.

Ko ste pozvani, vnesite poverilnice za prijavo skrbnika stranke Control Hub in kliknite Vpiši se da omogočite dostop do zahtevanih storitev za Hybrid Data Security.

Na strani s pregledom orodja za nastavitev kliknite Začeti.

Na ISO uvoz strani, imate te možnosti:

št—Če ustvarjate svoje prvo vozlišče HDS, nimate datoteke ISO za nalaganje.
ja— Če ste že ustvarili vozlišča HDS, potem v brskanju izberete datoteko ISO in jo naložite.

Preverite, ali vaše potrdilo X.509 izpolnjuje zahteve v Zahteve za potrdilo X.509.

Če še nikoli niste naložili potrdila, naložite potrdilo X.509, vnesite geslo in kliknite Nadaljuj.
Če je vaše potrdilo v redu, kliknite Nadaljuj.
Če je vaše potrdilo poteklo ali ga želite zamenjati, izberite št za Želite še naprej uporabljati verigo potrdil HDS in zasebni ključ iz prejšnjega ISO?. Naložite novo potrdilo X.509, vnesite geslo in kliknite Nadaljuj.

Vnesite naslov baze podatkov in račun za HDS za dostop do shrambe ključnih podatkov:

Izberite svojo Vrsta baze podatkov (PostgreSQL oz Microsoft SQL Server).

Če se odločite Microsoft SQL Server, dobite polje Authentication Type.
(Microsoft SQL Server samo) Izberite svojo Vrsta avtentikacije:
- Osnovna avtentikacija: Potrebujete lokalno ime računa SQL Server v Uporabniško ime polje.
- Preverjanje pristnosti sistema Windows: Potrebujete račun Windows v formatu username@DOMAIN v Uporabniško ime polje.
V obrazec vnesite naslov strežnika baze podatkov <hostname>:<port> ali <IP-address>:<port>.

primer:
dbhost.example.org:1433 ali 198.51.100.17:1433

Naslov IP lahko uporabite za osnovno preverjanje pristnosti, če vozlišča ne morejo uporabiti DNS za razrešitev imena gostitelja.

Če uporabljate preverjanje pristnosti sistema Windows, morate v formatu vnesti popolnoma kvalificirano ime domene dbhost.example.org:1433
Vnesite Ime baze podatkov.
Vnesite Uporabniško ime in Geslo uporabnika z vsemi privilegiji v bazi podatkov za shranjevanje ključev.

Izberite a Način povezave z bazo podatkov TLS:

Način

Opis

Raje TLS (privzeta možnost)

Vozlišča HDS ne potrebujejo TLS za povezavo s strežnikom baze podatkov. Če omogočite TLS na strežniku baze podatkov, vozlišča poskušajo vzpostaviti šifrirano povezavo.

Zahtevaj TLS

Vozlišča HDS se povežejo le, če se lahko strežnik baze podatkov pogaja o TLS.

Zahtevaj TLS in preveri podpisnika potrdila

Ta način ni uporaben za baze podatkov SQL Server.

Vozlišča HDS se povežejo le, če se lahko strežnik baze podatkov pogaja o TLS.
Po vzpostavitvi povezave TLS vozlišče primerja podpisnika potrdila iz strežnika baze podatkov z overiteljem potrdil v Korensko potrdilo baze podatkov. Če se ne ujemata, vozlišče prekine povezavo.

Uporabi Korensko potrdilo baze podatkov kontrolnik pod spustnim menijem za nalaganje korenskega potrdila za to možnost.

Zahtevaj TLS in preveri podpisnika potrdila in ime gostitelja

Vozlišča HDS se povežejo le, če se lahko strežnik baze podatkov pogaja o TLS.
Po vzpostavitvi povezave TLS vozlišče primerja podpisnika potrdila iz strežnika baze podatkov z overiteljem potrdil v Korensko potrdilo baze podatkov. Če se ne ujemata, vozlišče prekine povezavo.
Vozlišča tudi preverijo, ali se ime gostitelja v potrdilu strežnika ujema z imenom gostitelja v Gostitelj in vrata baze podatkov polje. Imena se morajo natančno ujemati, sicer vozlišče prekine povezavo.

Uporabi Korensko potrdilo baze podatkov kontrolnik pod spustnim menijem za nalaganje korenskega potrdila za to možnost.

Na strani Sistemski dnevniki konfigurirajte strežnik Syslogd:

Vnesite URL strežnika syslog.

Če strežnika ni mogoče razrešiti z DNS iz vozlišč za vašo gručo HDS, uporabite naslov IP v URL-ju.

primer:
udp://10.92.43.23:514 označuje prijavo v gostitelja Syslogd 10.92.43.23 na vratih UDP 514.
Če ste strežnik nastavili za uporabo šifriranja TLS, preverite Ali je vaš strežnik syslog konfiguriran za šifriranje SSL?.

Če potrdite to potrditveno polje, se prepričajte, da ste vnesli URL TCP, kot je npr tcp://10.92.43.23:514.
Iz Izberite prekinitev zapisa sistemskega dnevnika spustnem meniju izberite ustrezno nastavitev za vašo datoteko ISO: Za Graylog in Rsyslog TCP se uporablja Choose ali Newline
- Ničelni bajt -- \x00
- Nova vrstica -- \n—Izberite to možnost za Graylog in Rsyslog TCP.
Kliknite Nadaljuj.

(Izbirno) Spremenite lahko privzeto vrednost za nekatere parametre povezave z bazo podatkov v Napredne nastavitve. Na splošno je ta parameter edini, ki bi ga morda želeli spremeniti:

app_datasource_connection_pool_maxSize: 10

Kliknite Nadaljuj na Ponastavite geslo za storitvene račune zaslon.

Gesla storitvenih računov imajo življenjsko dobo devet mesecev. Uporabite ta zaslon, ko se vaša gesla bližajo izteku ali jih želite ponastaviti, da razveljavi prejšnje datoteke ISO.

Kliknite Prenesite datoteko ISO. Datoteko shranite na mesto, ki ga je enostavno najti.

Naredite varnostno kopijo datoteke ISO v vašem lokalnem sistemu.

Če želite zaustaviti orodje za nastavitev, vnesite CTRL+C.

Kaj storiti naprej

Nikoli nimamo kopije tega ključa in vam ne moremo pomagati, če ga izgubite.

Namestite HDS Host OVA

S tem postopkom ustvarite virtualni stroj iz datoteke OVA.

Uporabite odjemalca VMware vSphere v vašem računalniku, da se prijavite v navideznega gostitelja ESXi.

Izberite mapa > Namestite predlogo OVF.

V čarovniku določite lokacijo datoteke OVA, ki ste jo prej prenesli, in nato kliknite Naslednji .

Na Izberite računalniški vir izberite ciljni računalniški vir in kliknite Naslednji .

Zažene se preverjanje veljavnosti. Ko se konča, se prikažejo podrobnosti predloge.

Preverite podrobnosti predloge in kliknite Naslednji.

Če ste pozvani, da izberete konfiguracijo vira na Konfiguracija strani, kliknite 4 procesor in nato kliknite Naslednji .

Na Izberite shranjevanje strani, kliknite Naslednji da sprejmete privzeti format diska in politiko shranjevanja VM.

Na Izberite omrežja izberite omrežno možnost s seznama vnosov, da zagotovite želeno povezljivost z VM.

Na Prilagodite predlogo strani, konfigurirajte naslednje omrežne nastavitve:

Ime gostitelja—Vnesite FQDN (ime gostitelja in domeno) ali ime gostitelja z eno besedo za vozlišče.

Ni vam treba nastaviti domene, da se ujema z domeno, ki ste jo uporabili za pridobitev potrdila X.509.
Da zagotovite uspešno registracijo v oblak, uporabite samo male črke v FQDN ali imenu gostitelja, ki ste ga nastavili za vozlišče. Uporaba velikih začetnic trenutno ni podprta.
Skupna dolžina FQDN ne sme presegati 64 znakov.

IP naslov— Vnesite naslov IP za notranji vmesnik vozlišča.

Vaše vozlišče mora imeti notranji naslov IP in ime DNS. DHCP ni podprt.
Maska— Vnesite naslov maske podomrežja v decimalnem zapisu s pikami. na primer 255.255.255.0.
Prehod— Vnesite naslov IP prehoda. Prehod je omrežno vozlišče, ki služi kot dostopna točka do drugega omrežja.
DNS strežniki—Vnesite z vejicami ločen seznam strežnikov DNS, ki upravljajo prevajanje imen domen v številske naslove IP. (Dovoljeni so do 4 vnosi DNS.)
strežniki NTP— Vnesite strežnik NTP vaše organizacije ali drug zunanji strežnik NTP, ki ga lahko uporabljate v vaši organizaciji. Privzeti strežniki NTP morda ne bodo delovali v vseh podjetjih. Za vnos več strežnikov NTP lahko uporabite tudi seznam, ločen z vejicami.

Razmestite vsa vozlišča v istem podomrežju ali VLAN, tako da so vsa vozlišča v gruči dosegljiva odjemalcem v vašem omrežju za skrbniške namene.

Če želite, lahko preskočite konfiguracijo omrežnih nastavitev in sledite korakom v Nastavite Hybrid Data Security VM da konfigurirate nastavitve iz konzole vozlišča.

Možnost konfiguracije omrežnih nastavitev med uvajanjem OVA je bila preizkušena z ESXi 6.5. Možnost morda ni na voljo v starejših različicah.

Z desno miškino tipko kliknite vozlišče VM in nato izberite Moč > Vklop .

Programska oprema Hybrid Data Security je nameščena kot gost na gostitelju VM. Zdaj ste pripravljeni, da se prijavite v konzolo in konfigurirate vozlišče.

Nasveti za odpravljanje težav

Preden se vsebniki vozlišč prikažejo, lahko pride do nekajminutne zamude. Med prvim zagonom se na konzoli pojavi sporočilo mostnega požarnega zidu, med katerim se ne morete prijaviti.

Nastavite Hybrid Data Security VM

1	V odjemalcu VMware vSphere izberite VM vozlišča Hybrid Data Security in izberite Konzola zavihek. VM se zažene in prikaže se poziv za prijavo. Če se poziv za prijavo ne prikaže, pritisnite Vnesite.
2	Za prijavo in spremembo poverilnic uporabite naslednjo privzeto prijavo in geslo: Vpiši se: `admin` geslo: `cisco` Ker se v svoj VM vpisujete prvič, morate spremeniti skrbniško geslo.
3	Če ste že konfigurirali omrežne nastavitve v Namestite HDS Host OVA, preskočite preostanek tega postopka. V nasprotnem primeru v glavnem meniju izberite Uredi konfiguracijo možnost.
4	Nastavite statično konfiguracijo z informacijami o naslovu IP, maski, prehodu in DNS. Vaše vozlišče mora imeti notranji naslov IP in ime DNS. DHCP ni podprt.
5	(Izbirno) Spremenite ime gostitelja, domeno ali strežnike NTP, če je potrebno, da se ujemajo z vašo omrežno politiko. Ni vam treba nastaviti domene, da se ujema z domeno, ki ste jo uporabili za pridobitev potrdila X.509.
6	Shranite omrežno konfiguracijo in znova zaženite VM, da bodo spremembe začele veljati.

Naložite in namestite ISO konfiguracije HDS

S tem postopkom konfigurirajte navidezni stroj iz datoteke ISO, ki ste jo ustvarili z orodjem za namestitev HDS.

Preden začneš

Naložite datoteko ISO iz računalnika:

V levem navigacijskem podoknu odjemalca VMware vSphere kliknite strežnik ESXi.
Na seznamu strojne opreme zavihka Konfiguracija kliknite Shranjevanje.
Na seznamu Datastores z desno miškino tipko kliknite shrambo podatkov za vaše VM in kliknite Prebrskajte po shrambi podatkov.
Kliknite ikono Naloži datoteke in nato kliknite Naloži datoteko.
V računalniku poiščite mesto, kamor ste prenesli datoteko ISO, in kliknite Odprto.
Kliknite ja da sprejmete opozorilo o operaciji nalaganja/prenosa in zaprete pogovorno okno shrambe podatkov.

Namestite datoteko ISO:

V levem navigacijskem podoknu odjemalca VMware vSphere z desno miškino tipko kliknite VM in kliknite Uredi nastavitve.
Kliknite v redu da sprejmete opozorilo o omejenih možnostih urejanja.
Kliknite CD/DVD Drive 1, izberite možnost priklopa iz datoteke ISO shrambe podatkov in poiščite mesto, kamor ste naložili konfiguracijsko datoteko ISO.
Preverite Povezan in Priključite ob vklopu.
Shranite spremembe in znova zaženite virtualni stroj.

Kaj storiti naprej

Če vaša politika IT zahteva, lahko po želji odklopite datoteko ISO, potem ko vsa vaša vozlišča prevzamejo spremembe konfiguracije. glej (Izbirno) Odpni ISO po konfiguraciji HDS za podrobnosti.

Konfigurirajte vozlišče HDS za integracijo posrednika

Preden začneš

glej Podpora za proxy za pregled podprtih možnosti proxyja.
Zahteve za strežnik proxy

1	Vnesite URL za nastavitev vozlišča HDS `https://[HDS Node IP or FQDN]/setup` v spletni brskalnik vnesite skrbniške poverilnice, ki ste jih nastavili za vozlišče, in nato kliknite Prijava.
2	Pojdi do Trust Store & Proxyin nato izberite možnost: Brez posrednika— Privzeta možnost, preden integrirate proxy. Posodobitev potrdila ni potrebna. Transparentni proxy brez nadzora— Vozlišča niso konfigurirana za uporabo določenega naslova proxy strežnika in ne bi smela zahtevati nobenih sprememb za delo s proxyjem, ki ne preverja. Posodobitev potrdila ni potrebna. Transparentni nadzorni pooblaščenec— Vozlišča niso konfigurirana za uporabo določenega naslova strežnika proxy. Spremembe konfiguracije HTTPS niso potrebne na Hibridna varnost podatkov vendar pa vozlišča HDS potrebujejo korensko potrdilo, da zaupajo proxyju. Inspecting proxy običajno uporablja IT za uveljavljanje pravilnikov o tem, katera spletna mesta je mogoče obiskati in katere vrste vsebine niso dovoljene. Ta vrsta proxyja dešifrira ves vaš promet (tudi HTTPS). Eksplicitni posrednik— Z eksplicitnim posrednikom poveste odjemalcu (vozliščem HDS), kateri strežnik proxy naj uporabi, in ta možnost podpira več vrst preverjanja pristnosti. Ko izberete to možnost, morate vnesti naslednje podatke: Proxy IP/FQDN—Naslov, ki ga je mogoče uporabiti za dostop do proxy naprave. Proxy vrata—Številka vrat, ki jih proxy uporablja za poslušanje prometa prek posrednika. Proxy protokol—Izberi http (pregleduje in nadzoruje vse zahteve, ki jih prejme od naročnika) oz https (zagotavlja kanal strežniku, odjemalec pa prejme in potrdi potrdilo strežnika). Izberite možnost glede na to, kaj podpira vaš proxy strežnik. Vrsta avtentikacije—Izbirajte med naslednjimi vrstami preverjanja pristnosti: Noben— Nadaljnje preverjanje pristnosti ni potrebno. Na voljo za strežnike proxy HTTP ali HTTPS. Osnovno—Uporablja se za uporabniškega agenta HTTP, da zagotovi uporabniško ime in geslo, ko poda zahtevo. Uporablja kodiranje Base64. Na voljo za strežnike proxy HTTP ali HTTPS. Če izberete to možnost, morate vnesti tudi uporabniško ime in geslo. prebaviti— Uporablja se za potrditev računa pred pošiljanjem občutljivih informacij. Uporabi zgoščeno funkcijo za uporabniško ime in geslo pred pošiljanjem po omrežju. Na voljo samo za strežnike proxy HTTPS. Če izberete to možnost, morate vnesti tudi uporabniško ime in geslo. Sledite naslednjim korakom za pregleden proxy za pregledovanje, eksplicitni proxy HTTP z osnovnim preverjanjem pristnosti ali eksplicitni proxy HTTPS.
3	Kliknite Naložite korensko potrdilo ali potrdilo končne entitete, nato pa se pomaknite do izbire korenskega potrdila za proxy. Potrdilo je naloženo, vendar še ni nameščeno, ker morate za namestitev potrdila znova zagnati vozlišče. Kliknite puščico ševrona ob imenu izdajatelja potrdila, da dobite več podrobnosti ali kliknite Izbriši če ste se zmotili in želite znova naložiti datoteko.
4	Kliknite Preverite povezavo proxy da preizkusite omrežno povezljivost med vozliščem in posrednikom. Če preizkus povezave ne uspe, boste videli sporočilo o napaki, ki prikazuje razlog in kako lahko odpravite težavo. Če vidite sporočilo, da zunanja razrešitev DNS ni bila uspešna, vozlišče ni moglo doseči strežnika DNS. Ta pogoj je pričakovan v številnih eksplicitnih konfiguracijah proxyja. Lahko nadaljujete z nastavitvijo in vozlišče bo delovalo v načinu blokirane zunanje ločljivosti DNS. Če menite, da je to napaka, dokončajte te korake in si oglejte Izklopite način razreševanja blokiranega zunanjega DNS-ja.
5	Ko je preskus povezave uspešen, za eksplicitni proxy, nastavljen samo na https, preklopite stikalo na Usmerite vse https zahteve vrat 443/444 iz tega vozlišča prek eksplicitnega proxyja. Ta nastavitev začne veljati po 15 sekundah.
6	Kliknite Namestite vsa potrdila v Trust Store (prikaže se za eksplicitni proxy HTTPS ali pregledni proxy za preverjanje) ali Znova zaženite (prikaže se za eksplicitni proxy HTTP), preberite poziv in kliknite Namestite če si pripravljen. Vozlišče se znova zažene v nekaj minutah.
7	Ko se vozlišče znova zažene, se po potrebi znova vpišite in nato odprite Pregled strani, da preverite preverjanja povezljivosti in se prepričate, ali so vsi v zelenem stanju. Preverjanje povezave posrednika testira samo poddomeno webex.com. Če pride do težav s povezljivostjo, je pogosta težava, da so nekatere domene v oblaku, navedene v navodilih za namestitev, blokirane na strežniku proxy.

Registrirajte prvo vozlišče v gruči

Ta naloga prevzame generično vozlišče, ki ste ga ustvarili v Nastavite Hybrid Data Security VM, registrira vozlišče v oblaku Webex in ga spremeni v vozlišče Hybrid Data Security.

Ko registrirate svoje prvo vozlišče, ustvarite gručo, ki ji je vozlišče dodeljeno. Grozd vsebuje eno ali več vozlišč, nameščenih za zagotavljanje redundance.

Preden začneš

Ko začnete z registracijo vozlišča, jo morate dokončati v 60 minutah ali pa morate začeti znova.
Prepričajte se, da so v vašem brskalniku onemogočeni vsi blokatorji pojavnih oken ali da dovolite izjemo za admin.webex.com.

1	Prijavite se v https://admin.webex.com.
2	V meniju na levi strani zaslona izberite Storitve.
3	V razdelku Hybrid Services poiščite Hybrid Data Security in kliknite Nastaviti. Prikaže se stran Register Hybrid Data Security Node.
4	Izberite ja da označite, da ste nastavili vozlišče in ste ga pripravljeni registrirati, in nato kliknite Naslednji.
5	V prvo polje vnesite ime za gručo, ki ji želite dodeliti vozlišče Hybrid Data Security. Priporočamo, da gručo poimenujete glede na to, kje se geografsko nahajajo vozlišča gruče. Primeri: "San Francisco" ali "New York" ali "Dallas"
6	V drugo polje vnesite notranji naslov IP ali popolnoma kvalificirano ime domene (FQDN) svojega vozlišča in kliknite Naslednji. Ta naslov IP ali FQDN se mora ujemati z naslovom IP ali imenom gostitelja in domeno, ki ste jo uporabili Nastavite Hybrid Data Security VM. Prikaže se sporočilo, ki nakazuje, da lahko svoje vozlišče registrirate v Webex.
7	Kliknite Pojdite na Node.
8	Kliknite Nadaljuj v opozorilnem sporočilu. Po nekaj trenutkih ste preusmerjeni na teste povezljivosti vozlišča za storitve Webex. Če so vsi preizkusi uspešni, se prikaže stran Dovoli dostop do vozlišča Hybrid Data Security Node. Tam potrdite, da želite svoji organizaciji Webex dati dovoljenja za dostop do vašega vozlišča.
9	Preverite Dovolite dostop do vašega vozlišča Hybrid Data Security Node potrditveno polje in nato kliknite Nadaljuj. Vaš račun je potrjen in sporočilo »Registracija je dokončana« nakazuje, da je vaše vozlišče zdaj registrirano v oblaku Webex.
10	Kliknite povezavo ali zaprite zavihek, da se vrnete na stran Hybrid Data Security Control Hub. Na Hibridna varnost podatkov stran, se prikaže nova gruča, ki vsebuje vozlišče, ki ste ga registrirali. Vozlišče bo samodejno preneslo najnovejšo programsko opremo iz oblaka.

Ustvarite in registrirajte več vozlišč

Preden začneš

Ko začnete z registracijo vozlišča, jo morate dokončati v 60 minutah ali pa morate začeti znova.
Prepričajte se, da so v vašem brskalniku onemogočeni vsi blokatorji pojavnih oken ali da dovolite izjemo za admin.webex.com.

1	Ustvarite nov virtualni stroj iz OVA in ponovite korake Namestite HDS Host OVA.
2	Nastavite začetno konfiguracijo na novem VM in ponovite korake v Nastavite Hybrid Data Security VM.
3	Na novem VM ponovite korake v Naložite in namestite ISO konfiguracije HDS.
4	Če nastavljate proxy za svojo uvedbo, ponovite korake v Konfigurirajte vozlišče HDS za integracijo posrednika kot je potrebno za novo vozlišče.
5	Registrirajte vozlišče. notri https://admin.webex.com, izberite Storitve iz menija na levi strani zaslona. V razdelku Hybrid Services poiščite kartico Hybrid Data Security in kliknite Viri. Prikaže se stran z viri za varnost hibridnih podatkov. Kliknite Dodaj vir. V prvem polju izberite ime obstoječe gruče. V drugo polje vnesite notranji naslov IP ali popolnoma kvalificirano ime domene (FQDN) svojega vozlišča in kliknite Naslednji. Prikaže se sporočilo, ki označuje, da lahko svoje vozlišče registrirate v oblaku Webex. Kliknite Pojdite na Node. Po nekaj trenutkih ste preusmerjeni na teste povezljivosti vozlišča za storitve Webex. Če so vsi preizkusi uspešni, se prikaže stran Dovoli dostop do vozlišča Hybrid Data Security Node. Tam potrdite, da želite svoji organizaciji dati dovoljenja za dostop do vašega vozlišča. Preverite Dovolite dostop do vašega vozlišča Hybrid Data Security Node potrditveno polje in nato kliknite Nadaljuj. Vaš račun je potrjen in sporočilo »Registracija je dokončana« nakazuje, da je vaše vozlišče zdaj registrirano v oblaku Webex. Kliknite povezavo ali zaprite zavihek, da se vrnete na stran Hybrid Data Security Control Hub. Vaše vozlišče je registrirano. Upoštevajte, da dokler ne začnete preizkusa, vaša vozlišča ustvarijo alarm, ki nakazuje, da vaša storitev še ni aktivirana.

Kaj storiti naprej

Izvedite preizkus in se premaknite v produkcijo (naslednje poglavje)

Izvedite preizkus in se premaknite v produkcijo

Potek naloge od poskusa do proizvodnje

Preden začneš

1	Če je primerno, sinhronizirajte `HdsTrialGroup` predmet skupine. Če vaša organizacija uporablja sinhronizacijo imenikov za uporabnike, morate izbrati `HdsTrialGroup` predmet skupine za sinhronizacijo z oblakom, preden lahko začnete preskusno različico. Za navodila glejte Vodnik za uvajanje za Cisco Directory Connector.
2	Aktiviraj preizkus Začni poskus. Dokler ne opravite te naloge, vaša vozlišča ustvarijo alarm, ki nakazuje, da storitev še ni aktivirana.
3	Preizkusite svojo hibridno uvedbo varnosti podatkov Preverite, ali ključne zahteve prehajajo v vašo uvedbo Hybrid Data Security.
4	Spremljajte varnost hibridnih podatkov Preverite stanje in nastavite e-poštna obvestila za alarme.
5	Dodajte ali odstranite uporabnike iz svojega preizkusa
6	Dokončajte preskusno fazo z enim od naslednjih dejanj: Premaknite se s preskusne različice na produkcijsko Končajte preizkus, ne da bi se preselili v proizvodnjo

Aktiviraj preizkus

Preden začneš

1	Prijavite se v https://admin.webex.comin nato izberite Storitve.
2	V razdelku Hibridna varnost podatkov kliknite nastavitve.
3	V razdelku Status storitve kliknite Začni preizkus. Stanje storitve se spremeni v poskusni način.
4	Kliknite Dodajanje uporabnikov in vnesite e-poštni naslov enega ali več uporabnikov za poskusno uporabo vozlišč Hybrid Data Security za storitve šifriranja in indeksiranja. (Če vaša organizacija uporablja sinhronizacijo imenikov, uporabite Active Directory za upravljanje poskusne skupine, `HdsTrialGroup`.)

Preizkusite svojo hibridno uvedbo varnosti podatkov

S tem postopkom preizkusite scenarije šifriranja Hybrid Data Security.

Preden začneš

Nastavite svojo uvedbo Hybrid Data Security.
Aktivirajte preskusno različico in dodajte več poskusnih uporabnikov.
Prepričajte se, da imate dostop do sistemskega dnevnika, da preverite, ali ključne zahteve prehajajo v vašo uvedbo Hybrid Data Security.

Če deaktivirate uvedbo Hybrid Data Security, vsebina v prostorih, ki jih ustvarijo pilotni uporabniki, po zamenjavi kopij šifrirnih ključev, shranjenih v odjemalcu, ni več dostopna.

Pošljite sporočila v novi prostor.

Preverite izhod sistemskega dnevnika, da preverite, ali ključne zahteve prehajajo v vašo uvedbo Hybrid Data Security.

Če želite preveriti, ali uporabnik najprej vzpostavi varen kanal za KMS, vklopite filter kms.data.method=create in kms.data.type=EPHEMERAL_KEY_COLLECTION:

Morali bi najti vnos, kot je ta (identifikatorji so skrajšani zaradi berljivosti):

2020-07-21 17:35:34.562 (+0000) INFO  KMS [pool-14-thread-1] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, 
kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

Če želite preveriti, ali uporabnik zahteva obstoječi ključ iz KMS, vklopite filter kms.data.method=retrieve in kms.data.type=KEY:

Morali bi najti vnos, kot je:

2020-07-21 17:44:19.889 (+0000) INFO  KMS [pool-14-thread-31] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, 
kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, 
kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

Če želite preveriti, ali uporabnik zahteva ustvarjanje novega ključa KMS, filtrirajte na kms.data.method=create in kms.data.type=KEY_COLLECTION:

Morali bi najti vnos, kot je:

2020-07-21 17:44:21.975 (+0000) INFO  KMS [pool-14-thread-33] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, 
kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, 
kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

Morali bi najti vnos, kot je:

2020-07-21 17:44:22.808 (+0000) INFO  KMS [pool-15-thread-1] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

Spremljajte varnost hibridnih podatkov

1	notri Nadzorno središče, izberite Storitve iz menija na levi strani zaslona.
2	V razdelku Hybrid Services poiščite Hybrid Data Security in kliknite nastavitve. Prikaže se stran z nastavitvami hibridne varnosti podatkov.
3	V razdelku E-poštna obvestila vnesite enega ali več e-poštnih naslovov, ločenih z vejicami, in pritisnite Vnesite.

Dodajte ali odstranite uporabnike iz svojega preizkusa

Ko aktivirate preskusno različico in dodate začetni nabor preskusnih uporabnikov, lahko kadar koli dodate ali odstranite člane preizkusne različice, medtem ko je preskusna različica aktivna.

1	Prijavite se v Control Hub in nato izberite Storitve.
2	V razdelku Hibridna varnost podatkov kliknite nastavitve.
3	V razdelku Preizkusni način v območju Stanje storitve kliknite Dodajanje uporabnikov, ali kliknite ogled in urejanje za odstranitev uporabnikov iz preizkusa.
4	Vnesite e-poštni naslov enega ali več uporabnikov, ki jih želite dodati, ali kliknite X z ID-jem uporabnika, da uporabnika odstranite iz preizkusa. Nato kliknite Shrani.

Premaknite se s preskusne različice na produkcijsko

1	Prijavite se v Control Hub in nato izberite Storitve.
2	V razdelku Hibridna varnost podatkov kliknite nastavitve.
3	V razdelku Status storitve kliknite Premakni se v proizvodnjo.
4	Potrdite, da želite vse svoje uporabnike premakniti v produkcijo.

Končajte preizkus, ne da bi se preselili v proizvodnjo

1	Prijavite se v Control Hub in nato izberite Storitve.
2	V razdelku Hibridna varnost podatkov kliknite nastavitve.
3	V razdelku Deaktiviraj kliknite Deaktiviraj.
4	Potrdite, da želite deaktivirati storitev in končati preskusno obdobje.

Upravljajte svojo namestitev HDS

Upravljanje uvajanja HDS

Uporabite tukaj opisane naloge za upravljanje svoje razmestitve Hybrid Data Security.

Nastavite urnik nadgradnje gruče

Če želite nastaviti urnik nadgradnje:

1	Prijavite se v Nadzorno središče.
2	Na strani Pregled v razdelku Hibridne storitve izberite Hibridna varnost podatkov.
3	Na strani Viri za varnost hibridnih podatkov izberite gručo.
4	Na plošči Pregled na desni v razdelku Nastavitve gruče izberite ime gruče.
5	Na strani z nastavitvami v razdelku Nadgradnja izberite čas in časovni pas za urnik nadgradnje. Opomba: Pod časovnim pasom sta prikazana datum in čas naslednje razpoložljive nadgradnje. Nadgradnjo lahko po potrebi prestavite na naslednji dan s klikom Odložiti.

Spremenite konfiguracijo vozlišča

Občasno boste morda morali spremeniti konfiguracijo svojega vozlišča Hybrid Data Security iz razlogov, kot so:

Spreminjanje potrdil x.509 zaradi poteka veljavnosti ali drugih razlogov.

Ne podpiramo spreminjanja imena domene CN potrdila. Domena se mora ujemati z izvirno domeno, uporabljeno za registracijo gruče.

Posodabljanje nastavitev baze podatkov za spremembo v repliko baze podatkov PostgreSQL ali Microsoft SQL Server.

Ne podpiramo selitve podatkov iz PostgreSQL v Microsoft SQL Server ali obratno. Če želite preklopiti okolje baze podatkov, začnite novo uvedbo Hybrid Data Security.

Ustvarjanje nove konfiguracije za pripravo novega podatkovnega centra.

Mehka ponastavitev— Staro in novo geslo delujeta do 10 dni. To obdobje uporabite za postopno zamenjavo datoteke ISO na vozliščih.
Trda ponastavitev— Stara gesla prenehajo delovati takoj.

Če vaša gesla potečejo brez ponastavitve, to vpliva na vašo storitev HDS, saj zahteva takojšnjo strojno ponastavitev in zamenjavo datoteke ISO na vseh vozliščih.

S tem postopkom ustvarite novo konfiguracijsko datoteko ISO in jo uporabite za vašo gručo.

Preden začneš

Če orodje za namestitev HDS deluje za proxyjem v vašem okolju, podajte nastavitve proxyja (strežnik, vrata, poverilnice) prek spremenljivk okolja Docker, ko prikažete vsebnik Docker v 1.e. Ta tabela podaja nekaj možnih spremenljivk okolja:

Opis	Spremenljivka
HTTP Proxy brez avtentikacije	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
HTTPS Proxy brez avtentikacije	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
HTTP proxy z avtentikacijo	`GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
HTTPS Proxy z avtentikacijo	`GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

Za ustvarjanje nove konfiguracije potrebujete kopijo trenutne konfiguracijske datoteke ISO. ISO vsebuje glavni ključ, ki šifrira bazo podatkov PostgreSQL ali Microsoft SQL Server. ISO potrebujete, ko spreminjate konfiguracijo, vključno s poverilnicami baze podatkov, posodobitvami potrdil ali spremembami pravilnika avtorizacije.

Z Dockerjem na lokalnem računalniku zaženite orodje za namestitev HDS.

V ukazno vrstico vašega računalnika vnesite ustrezen ukaz za vaše okolje:
V običajnih okoljih:
```
docker rmi ciscocitg/hds-setup:stable
```
V okoljih FedRAMP:
```
docker rmi ciscocitg/hds-setup-fedramp:stable
```
Ta korak počisti prejšnje slike orodja za nastavitev HDS. Če ni prejšnjih slik, vrne napako, ki jo lahko prezrete.
Za vpis v register slik Docker vnesite naslednje:
```
docker login -u hdscustomersro
```
Ob pozivu za geslo vnesite to zgoščeno vrednost:
```
dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
```

Prenesite najnovejšo stabilno sliko za vaše okolje:

V običajnih okoljih:

docker pull ciscocitg/hds-setup:stable

V okoljih FedRAMP:

docker pull ciscocitg/hds-setup-fedramp:stable

Prepričajte se, da ste za ta postopek uporabili najnovejšo namestitveno orodje. Različice orodja, ustvarjene pred 22. februarjem 2018, nimajo zaslonov za ponastavitev gesla.

Ko je vlečenje končano, vnesite ustrezen ukaz za vaše okolje:

V običajnih okoljih brez posrednika:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

V običajnih okoljih s strežnikom proxy HTTP:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

V običajnih okoljih s proxyjem HTTPS:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

V okoljih FedRAMP brez posrednika:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

V okoljih FedRAMP s strežnikom proxy HTTP:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

V okoljih FedRAMP s strežnikom proxy HTTPS:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Ko se vsebnik izvaja, vidite »Strežnik Express posluša na vratih 8080«.

Uporabite brskalnik za povezavo z lokalnim gostiteljem, http://127.0.0.1:8080.

Orodje za namestitev ne podpira povezovanja z lokalnim gostiteljem prek http://localhost:8080. Uporaba http://127.0.0.1:8080 za povezavo z lokalnim gostiteljem.

Ko ste pozvani, vnesite svoje poverilnice za prijavo stranke Control Hub in kliknite Sprejmi nadaljevati.
Uvozite trenutno konfiguracijsko datoteko ISO.
Sledite navodilom za dokončanje orodja in prenos posodobljene datoteke.

Če želite zaustaviti orodje za nastavitev, vnesite CTRL+C.
Ustvarite varnostno kopijo posodobljene datoteke v drugem podatkovnem centru.

Namestite HDS host OVA.
Nastavite HDS VM.
Namestite posodobljeno konfiguracijsko datoteko.
Registrirajte novo vozlišče v Control Hub.

Izklopite virtualni stroj.
V levem navigacijskem podoknu odjemalca VMware vSphere z desno miškino tipko kliknite VM in kliknite Uredi nastavitve.
Kliknite CD/DVD Drive 1, izberite možnost za namestitev iz datoteke ISO in poiščite mesto, kamor ste prenesli novo konfiguracijsko datoteko ISO.
Preverite Priključite ob vklopu.
Shranite spremembe in vklopite virtualni stroj.

Ponovite 3. korak, da zamenjate konfiguracijo na vsakem preostalem vozlišču, ki izvaja staro konfiguracijo.

Izklopite način razreševanja blokiranega zunanjega DNS-ja

Če lahko vaša vozlišča razrešijo javna imena DNS prek notranjih strežnikov DNS, lahko ta način izklopite tako, da na vsakem vozlišču znova zaženete preskus povezave proxy.

Preden začneš

Zagotovite, da lahko vaši notranji strežniki DNS razrešijo javna imena DNS in da lahko vaša vozlišča komunicirajo z njimi.

1	V spletnem brskalniku odprite vmesnik vozlišča Hybrid Data Security (naslov IP/nastavitev, npr. https://192.0.2.0/setup), vnesite skrbniške poverilnice, ki ste jih nastavili za vozlišče, in nato kliknite Prijava.
2	Pojdi do Pregled (privzeta stran). Ko je omogočeno, Blokirana zunanja razrešitev DNS je nastavljeno na ja.
3	Pojdi na Trust Store & Proxy strani.
4	Kliknite Preverite povezavo proxy. Če vidite sporočilo, da zunanja razrešitev DNS ni bila uspešna, vozlišče ni moglo doseči strežnika DNS in bo ostalo v tem načinu. V nasprotnem primeru, ko znova zaženete vozlišče in se vrnete na Pregled stran, Blokirana zunanja DNS resolucija mora biti nastavljena na št.

Kaj storiti naprej

Ponovite preizkus povezave proxy na vsakem vozlišču v vaši gruči Hybrid Data Security.

Odstranite vozlišče

Uporabite odjemalca VMware vSphere v vašem računalniku, da se prijavite v virtualni gostitelj ESXi in izklopite virtualni stroj.

Odstranite vozlišče:

Prijavite se v Control Hub in nato izberite Storitve.
Na kartici Hybrid Data Security kliknite Poglej vse za prikaz strani Hibridni viri za varnost podatkov.
Izberite svojo gručo, da prikažete njeno pregledno ploščo.
Kliknite Odpri seznam vozlišč.
Na zavihku Vozlišča izberite vozlišče, ki ga želite odstraniti.
Kliknite Dejanja > Odjavi vozlišče.

V odjemalcu vSphere izbrišite VM. (V levem podoknu za krmarjenje z desno miškino tipko kliknite VM in kliknite Izbriši.)

Če VM ne izbrišete, ne pozabite odklopiti konfiguracijske datoteke ISO. Brez datoteke ISO ne morete uporabljati VM za dostop do svojih varnostnih podatkov.

Obnovitev po nesreči z uporabo podatkovnega centra v pripravljenosti

Če katastrofa povzroči, da uvedba HDS v primarnem podatkovnem centru postane nerazpoložljiva, sledite temu postopku za ročni samodejni preklop v rezervni podatkovni center.

Zaženite orodje HDS Setup in sledite korakom, navedenim v Ustvarite konfiguracijski ISO za gostitelje HDS.

Ko konfigurirate strežnik Syslogd, kliknite na Napredne nastavitve

Na Napredne nastavitve stran, dodajte spodnjo konfiguracijo ali odstranite passiveMode konfiguracijo, da bo vozlišče aktivno. Vozlišče lahko obravnava promet, ko je to konfigurirano.


passiveMode: 'false'

Dokončajte postopek konfiguracije in shranite datoteko ISO na mesto, ki ga je enostavno najti.

V levem podoknu za krmarjenje odjemalca VMware vSphere z desno miškino tipko kliknite VM in kliknite Uredi nastavitve..

Kliknite Uredi nastavitve >CD/DVD pogon 1 in izberite Datastore ISO File.

Poskrbi Povezan in Priključite ob vklopu so označene, tako da lahko posodobljene konfiguracijske spremembe začnejo veljati po zagonu vozlišč.

Vklopite vozlišče HDS in se prepričajte, da ni alarmov vsaj 15 minut.

Ponovite postopek za vsako vozlišče v podatkovnem centru v pripravljenosti.

Kaj storiti naprej

(Izbirno) Odpni ISO po konfiguraciji HDS

Preden začneš

Nadgradite vsa svoja vozlišča HDS na različico 2021.01.22.4720 ali novejšo.

1	Zaustavite eno od vozlišč HDS.
2	V strežniški napravi vCenter izberite vozlišče HDS.
3	Izberite Uredi nastavitve > CD/DVD pogon in odkljukajte Datoteka ISO za shranjevanje podatkov.
4	Vklopite vozlišče HDS in zagotovite, da vsaj 20 minut ni alarmov.
5	Ponovite za vsako vozlišče HDS po vrsti.

Odpravljanje težav s hibridno varnostjo podatkov

Ogled opozoril in odpravljanje težav

Novih prostorov ni mogoče ustvariti (ni mogoče ustvariti novih ključev)
Sporočil in naslovov prostorov ni mogoče dešifrirati za:
- Novi uporabniki dodani v prostor (ni mogoče pridobiti ključev)
- Obstoječi uporabniki v prostoru, ki uporabljajo novega odjemalca (ni mogoče pridobiti ključev)
Obstoječi uporabniki v prostoru bodo še naprej uspešno delovali, dokler imajo njihovi odjemalci predpomnilnik šifrirnih ključev

Pomembno je, da pravilno spremljate svojo gručo Hybrid Data Security in nemudoma obravnavate vsa opozorila, da preprečite motnje storitve.

Opozorila

Tabela 1. Pogoste težave in koraki za njihovo rešitev
Opozorilo	Dejanje
Napaka pri dostopu do lokalne baze podatkov.	Preverite napake baze podatkov ali težave z lokalnim omrežjem.
Napaka povezave z lokalno bazo podatkov.	Preverite, ali je strežnik baze podatkov na voljo in ali so bile v konfiguraciji vozlišča uporabljene prave poverilnice storitvenega računa.
Napaka pri dostopu do storitve v oblaku.	Preverite, ali lahko vozlišča dostopajo do strežnikov Webex, kot je določeno v Zahteve za zunanjo povezljivost.
Podaljšanje registracije storitve v oblaku.	Registracija v storitvah v oblaku je bila opuščena. Podaljšanje registracije je v teku.
Registracija storitve v oblaku je padla.	Registracija v storitve v oblaku je prekinjena. Storitev se zapira.
Storitev še ni aktivirana.	Aktivirajte preskusno različico ali dokončajte premik preizkusne različice v produkcijo.
Konfigurirana domena se ne ujema s potrdilom strežnika.	Prepričajte se, da se vaše potrdilo strežnika ujema s konfigurirano domeno za aktiviranje storitve. Najverjetnejši vzrok je, da je bilo potrdilo CN nedavno spremenjeno in se zdaj razlikuje od CN, ki je bilo uporabljeno med prvotno nastavitvijo.
Preverjanje pristnosti v storitvah v oblaku ni uspelo.	Preverite točnost in morebiten potek poverilnic storitvenega računa.
Lokalne datoteke shrambe ključev ni bilo mogoče odpreti.	Preverite celovitost in točnost gesla v datoteki lokalne shrambe ključev.
Potrdilo lokalnega strežnika ni veljavno.	Preverite datum veljavnosti strežniškega potrdila in potrdite, da ga je izdal zaupanja vreden overitelj potrdil.
Ni mogoče objaviti meritev.	Preverite dostop lokalnega omrežja do zunanjih storitev v oblaku.
Imenik /media/configdrive/hds ne obstaja.	Preverite konfiguracijo namestitve ISO na virtualnem gostitelju. Preverite, ali datoteka ISO obstaja, ali je konfigurirana za namestitev ob ponovnem zagonu in ali je uspešno nameščena.

Odpravljanje težav s hibridno varnostjo podatkov

Pri odpravljanju težav s hibridno varnostjo podatkov upoštevajte naslednje splošne smernice.

1	Preglejte Control Hub za vsa opozorila in popravite vse elemente, ki jih najdete tam.
2	Preglejte izhod strežnika syslog za dejavnost razmestitve Hybrid Data Security.
3	Kontakt Cisco podpora.

Druge opombe

Znane težave pri hibridni varnosti podatkov

Če zaustavite svojo gručo Hybrid Data Security (tako da jo izbrišete v Control Hubu ali tako, da zaustavite vsa vozlišča), izgubite konfiguracijsko datoteko ISO ali izgubite dostop do baze podatkov shrambe ključev, vaši uporabniki aplikacije Webex ne morejo več uporabljati prostorov pod svojimi Ljudje seznam, ki so bili ustvarjeni s ključi iz vašega KMS. To velja tako za poskusno kot za proizvodno uvedbo. Trenutno nimamo rešitve ali popravka za to težavo in vas pozivamo, da ne zaustavite storitev HDS, ko obravnavajo aktivne uporabniške račune.
Odjemalec, ki ima obstoječo povezavo ECDH s KMS, vzdržuje to povezavo nekaj časa (verjetno eno uro). Ko uporabnik postane član preskusne različice Hybrid Data Security, uporabnikov odjemalec nadaljuje z uporabo obstoječe povezave ECDH, dokler ne poteče čas. Druga možnost je, da se uporabnik odjavi in znova prijavi v aplikacijo Webex App, da posodobi lokacijo, s katero se aplikacija obrne za šifrirne ključe.

Enako vedenje se zgodi, ko preizkus premaknete v proizvodnjo za organizacijo. Vsi uporabniki brez preskusne različice z obstoječimi povezavami ECDH s prejšnjimi storitvami za varnost podatkov bodo še naprej uporabljali te storitve, dokler se povezava ECDH ponovno ne dogovori (prek časovne omejitve ali z odjavo in ponovnim vstopom).

Uporabite OpenSSL za ustvarjanje datoteke PKCS12

Preden začneš

OpenSSL je eno orodje, ki ga lahko uporabite za izdelavo datoteke PKCS12 v ustreznem formatu za nalaganje v orodju za nastavitev HDS. Obstajajo drugi načini za to in ne podpiramo ali spodbujamo enega načina namesto drugega.
Če se odločite za uporabo OpenSSL, ponujamo ta postopek kot smernico za pomoč pri ustvarjanju datoteke, ki izpolnjuje zahteve potrdila X.509 v Zahteve za potrdilo X.509. Razumite te zahteve, preden nadaljujete.
Namestite OpenSSL v podprto okolje. glej https://www.openssl.org za programsko opremo in dokumentacijo.
Ustvari zasebni ključ.
Začnite ta postopek, ko prejmete strežniško potrdilo od svojega overitelja potrdil (CA).

1	Ko prejmete strežniško potrdilo od službe za potrdila, ga shranite kot `hdsnode.pem`.
2	Prikažite potrdilo kot besedilo in preverite podrobnosti. `openssl x509 -text -noout -in hdsnode.pem`
3	Z urejevalnikom besedila ustvarite datoteko svežnja potrdil, imenovano `hdsnode-bundle.pem`. Datoteka paketa mora vključevati potrdilo strežnika, vsa vmesna potrdila CA in korenska potrdila CA v spodnji obliki: `-----BEGIN CERTIFICATE----- ### Server certificate. ### -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ### Intermediate CA certificate. ### -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ### Root CA certificate. ### -----END CERTIFICATE-----`
4	Ustvarite datoteko .p12 s prijaznim imenom `kms-private-key`. `openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12`
5	Preverite podrobnosti potrdila strežnika. `openssl pkcs12 -in hdsnode.p12` Ob pozivu vnesite geslo za šifriranje zasebnega ključa, da bo naveden v izhodu. Nato preverite, ali zasebni ključ in prvo potrdilo vključujeta vrstice `friendlyName: kms-private-key`. primer: bash$ openssl pkcs12 -in hdsnode.p12 Enter Import Password: MAC verified OK Bag Attributes friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Key Attributes: <No Attributes> Enter PEM pass phrase: Verifying - Enter PEM pass phrase: -----BEGIN ENCRYPTED PRIVATE KEY----- <redacted> -----END ENCRYPTED PRIVATE KEY----- Bag Attributes friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 -----BEGIN CERTIFICATE----- <redacted> -----END CERTIFICATE----- Bag Attributes friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3 -----BEGIN CERTIFICATE----- <redacted> -----END CERTIFICATE-----

Kaj storiti naprej

Vrnitev na Izpolnite predpogoje za hibridno varnost podatkov. Uporabili boste hdsnode.p12 datoteko in geslo, ki ste ga nastavili zanjo, v Ustvarite konfiguracijski ISO za gostitelje HDS.

Te datoteke lahko znova uporabite za zahtevo po novem potrdilu, ko prvotno potrdilo poteče.

Promet med vozlišči HDS in oblakom

Odhodni promet zbiranja meritev

Dohodni promet

Vozlišča Hybrid Data Security prejemajo naslednje vrste vhodnega prometa iz oblaka Webex:

Zahteve za šifriranje odjemalcev, ki jih usmeri šifrirna storitev
Nadgradnje programske opreme vozlišča

Konfigurirajte posrednike Squid za hibridno varnost podatkov

Websocket se ne more povezati prek proxyja Squid

Lignji 4 in 5

Dodajte on_unsupported_protocol direktiva za squid.conf:

on_unsupported_protocol tunnel all

Lignji 3.5.27

Hibridno varnost podatkov smo uspešno preizkusili z dodanimi naslednjimi pravili squid.conf. Ta pravila se lahko spremenijo, ko razvijamo funkcije in posodabljamo oblak Webex.

acl wssMercuryConnection ssl::server_name_regex mercury-connection

ssl_bump splice wssMercuryConnection

acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all

Predgovor

Nove in spremenjene informacije

Datum

Izvedene spremembe

20. oktober 2023

Posodobljene informacije v Zahteve za strežnik baze podatkov.
Dodano Nastavite podatkovni center v pripravljenosti za obnovitev po katastrofi.
Posodobljene informacije v Podatkovni center v pripravljenosti za obnovitev po katastrofi in Obnovitev po nesreči z uporabo podatkovnega centra v pripravljenosti.

7. avgust 2023

Dodal opombo v Prenesite namestitvene datoteke.
Dodal opombo v Ustvarite konfiguracijski ISO za gostitelje HDS in Spremenite konfiguracijo vozlišča.

23. maj 2023

Izbrisane informacije iz Zahteve za strežnik baze podatkov zahtevate, da se omogoči funkcija, tako da stopite v stik z ekipo za račun.
Posodobljene informacije v Zahteve za zunanjo povezljivost in dodal Kanado v tabelo gostiteljev CI.
Dodal opombo v Pričakovanja glede uvajanja hibridne varnosti podatkov glede nerazpoložljivosti mehanizmov za premikanje ključev nazaj v oblak.

6. december 2022

Slike orodja za nastavitev HDS zdaj gostujejo v ciscocitg repozitorij dockerhub.
Posodobljeno Ustvarite konfiguracijski ISO za gostitelje HDS in Spremenite konfiguracijo vozlišča teme za odraz sprememb v ukazih.

23. november 2022

Vozlišča HDS lahko zdaj uporabljajo preverjanje pristnosti sistema Windows proti strežniku Microsoft SQL Server.

Posodobil Zahteve za strežnik baze podatkov tema z dodatnimi zahtevami za ta način preverjanja pristnosti.

Posodobljeno Ustvarite konfiguracijski ISO za gostitelje HDS s postopkom za konfiguracijo preverjanja pristnosti sistema Windows na vozliščih.
Posodobil Zahteve za strežnik baze podatkov tema z novimi najmanj zahtevanimi različicami (PostgreSQL 10).

13. oktober 2021

Docker Desktop mora zagnati namestitveni program, preden lahko namestite vozlišča HDS. glej Zahteve za namizje Docker.

24. junij 2021

Upoštevajte, da lahko znova uporabite datoteko zasebnega ključa in CSR, da zahtevate drugo potrdilo. glej Uporabite OpenSSL za ustvarjanje datoteke PKCS12 za podrobnosti.

30. april 2021

Zahteva VM za lokalni prostor na trdem disku je spremenjena na 30 GB. glej Zahteve za virtualnega gostitelja za podrobnosti.

24. februar 2021

Orodje za nastavitev HDS lahko zdaj deluje za posrednikom. glej Ustvarite konfiguracijski ISO za gostitelje HDS za podrobnosti.

2. februar 2021

HDS lahko zdaj deluje brez nameščene datoteke ISO. glej (Izbirno) Odpni ISO po konfiguraciji HDS za podrobnosti.

11. januar 2021

Dodane informacije o orodju za nastavitev HDS in proxyjih za Ustvarite konfiguracijski ISO za gostitelje HDS.

13. oktober 2020

Posodobljeno Prenesite namestitvene datoteke.

8. oktober 2020

Posodobljeno Ustvarite konfiguracijski ISO za gostitelje HDS in Spremenite konfiguracijo vozlišča z ukazi za okolja FedRAMP.

14. avgust 2020

Posodobljeno Ustvarite konfiguracijski ISO za gostitelje HDS in Spremenite konfiguracijo vozlišča s spremembami postopka prijave.

5. avgust 2020

Posodobljeno Preizkusite svojo hibridno uvedbo varnosti podatkov za spremembe v dnevniških sporočilih.

Posodobljeno Zahteve za virtualnega gostitelja da odstranite največje število gostiteljev.

16. junij 2020

Posodobljeno Odstranite vozlišče za spremembe v uporabniškem vmesniku Control Hub.

4. junij 2020

Posodobljeno Ustvarite konfiguracijski ISO za gostitelje HDS za spremembe v naprednih nastavitvah, ki jih lahko nastavite.

29. maj 2020

Posodobljeno Ustvarite konfiguracijski ISO za gostitelje HDS da pokažete, da lahko TLS uporabljate tudi z bazami podatkov SQL Server, spremembami uporabniškega vmesnika in drugimi pojasnili.

5. maj 2020

Posodobljeno Zahteve za virtualnega gostitelja za prikaz novih zahtev ESXi 6.5.

21. april 2020

Posodobljeno Zahteve za zunanjo povezljivost z novimi gostitelji CI Amerike.

1. april 2020

Posodobljeno Zahteve za zunanjo povezljivost z informacijami o regionalnih gostiteljih CI.

20. februar 2020 Posodobljeno Ustvarite konfiguracijski ISO za gostitelje HDS z informacijami o novem izbirnem zaslonu z naprednimi nastavitvami v orodju za nastavitev HDS.

4. februar 2020 Posodobljeno Zahteve za strežnik proxy.

16. december 2019 Pojasnjena je zahteva za delovanje v načinu blokiranega zunanjega razreševanja DNS Zahteve za strežnik proxy.

19. november 2019

Dodane informacije o načinu razreševanja blokiranega zunanjega DNS-ja v naslednjih razdelkih:

Podpora za proxy
Konfigurirajte vozlišče HDS za integracijo posrednika
Izklopite način razreševanja blokiranega zunanjega DNS-ja

8. november 2019

Zdaj lahko konfigurirate omrežne nastavitve za vozlišče med uvajanjem OVA in ne pozneje.

Ustrezno posodobljeni naslednji razdelki:

Potek opravila uvajanja hibridne varnosti podatkov
Namestite HDS Host OVA
Nastavite Hybrid Data Security VM

Možnost konfiguracije omrežnih nastavitev med uvajanjem OVA je bila preizkušena z ESXi 6.5. Možnost morda ni na voljo v starejših različicah.

6. september 2019

Dodan SQL Server Standard Zahteve za strežnik baze podatkov.

29. avgust 2019 Dodano Konfigurirajte posrednike Squid za hibridno varnost podatkov dodatek z navodili za konfiguriranje proxyjev Squid, da za pravilno delovanje prezrejo promet spletnih vtičnic.

20. avgust 2019

Dodani in posodobljeni razdelki za pokrivanje podpore posrednika za komunikacije vozlišča Hybrid Data Security z oblakom Webex.

Podpora za proxy
Zahteve za strežnik proxy
Konfigurirajte vozlišče HDS za integracijo posrednika

Za dostop samo do podporne vsebine proxyja za obstoječo uvedbo glejte Proxy podpora za Hybrid Data Security in Webex Video Mesh članek za pomoč.

6. marec 2019

Zahteve in predpogoje premaknili v ločeno poglavje, Pripravite svoje okolje.
Dodano Potek opravila uvajanja hibridne varnosti podatkov pregled v poglavju Nastavite Hybrid Data Security Cluster.

Upoštevajte, da dokler ne začnete preizkusa (z uporabo navodil v naslednjem poglavju), vaša vozlišča ustvarijo alarm, ki označuje, da vaša storitev še ni aktivirana.
Dodano Potek naloge od preizkusa do proizvodnje v poglavju Izvedite preizkus in se premaknite v produkcijo.

28. februar 2019

Popravljena količina prostora na lokalnem trdem disku na strežnik, ki bi ga morali rezervirati, ko pripravljate virtualne gostitelje, ki postanejo vozlišča Hybrid Data Security, s 50 GB na 20 GB, da odraža velikost diska, ki ga ustvari OVA.

26. februar 2019

Vozlišča Hybrid Data Security zdaj podpirajo šifrirane povezave s strežniki baz podatkov PostgreSQL in šifrirane povezave za beleženje s strežnikom syslog, ki podpira TLS. Posodobljeno Ustvarite konfiguracijski ISO za gostitelje HDS z navodili.
Odstranjeni ciljni URL-ji iz tabele »Zahteve za internetno povezljivost za VM Hybrid Data Security Node«. Tabela se zdaj nanaša na seznam, ki se vzdržuje v tabeli »Dodatni URL-ji za hibridne storitve Webex Teams« Omrežne zahteve za storitve Webex Teams.

24. januar 2019

Podpora za Microsoft SQL Server je namenjena samo novim uvedbam Hybrid Data Security. Trenutno ne podpiramo selitve podatkov iz PostgreSQL v Microsoft SQL Server v obstoječi uvedbi.

5. november 2018

Dodan predhodni korak za čiščenje vseh obstoječih primerkov docker hds Ustvarite konfiguracijski ISO za gostitelje HDS in Spremenite konfiguracijo vozlišča.
Posodobljen je korak v stopnji dostopa do ključa Ustvarite konfiguracijski ISO za gostitelje HDS da se ujema z vmesnikom.

19. oktober 2018

Podatke o povezavi požarnega zidu razdelite na zahteve vozlišča in zahteve stroja za konfiguracijo ISO Izpolnite predpogoje za hibridno varnost podatkov.

31. julij 2018

Dodana vrata 22 (dostop SSH) in informacije o povezavah NAT in požarnega zidu Izpolnite predpogoje za hibridno varnost podatkov.

21. maj 2018

Spremenjena terminologija, ki odraža preimenovanje Cisco Spark:

Cisco Spark Hybrid Data Security je zdaj Hybrid Data Security.
Aplikacija Cisco Spark je zdaj aplikacija Webex App.
Cisco Collaboraton Cloud je zdaj oblak Webex.

11. april 2018

Dodano Podatkovni center v pripravljenosti za obnovitev po katastrofi.
Posodobljeno Izpolnite predpogoje za hibridno varnost podatkov da določite, da mora biti varnostno okolje v drugem podatkovnem centru.
Posodobljeno Obnovitev po nesreči z uporabo podatkovnega centra v pripravljenosti.

22. februar 2018

Dodane informacije o 9-mesečni življenjski dobi gesla za račun storitve in uporabi orodja za nastavitev HDS za ponastavitev gesel za račun storitve v Ustvarite konfiguracijski ISO za gostitelje HDS in Spremenite konfiguracijo vozlišča.

15. februar 2018

V Zahteve za potrdilo X.509 tabela, je določeno, da potrdilo ne more biti potrdilo z nadomestnimi znaki in da KMS uporablja domeno CN, ne katere koli domene, ki je definirana v poljih SAN x.509v3.

18. januar 2018

Dodana priloga, Promet med vozlišči HDS in oblakom.
Odstranjena rešena težava iz Znane težave pri hibridni varnosti podatkov.
Index.docker.io spremenjen v *.docker.io in dodan *.cloudfront.net na seznam zahtev povezljivosti TCP za vozlišča HDS v Izpolnite predpogoje za hibridno varnost podatkov.
Posodobljeno Ustvarite konfiguracijski ISO za gostitelje HDS da označite, da če gostitelja baze podatkov in strežnika Syslogd ni mogoče razrešiti z DNS iz vozlišč HDS, ju morate konfigurirati z uporabo naslovov IP.

2. november 2017

Razjasnjena sinhronizacija imenika za HdsTrialGroup.
Popravljena navodila za nalaganje konfiguracijske datoteke ISO za namestitev v vozlišča VM.

18. avgust 2017

Prvič objavljeno

Začnite s hibridno varnostjo podatkov

Pregled varnosti hibridnih podatkov

Arhitektura varnostnega področja

Arhitektura oblaka Webex ločuje različne vrste storitev v ločena področja ali domene zaupanja, kot je prikazano spodaj.

Odjemalec vzpostavi varno povezavo s storitvijo za upravljanje ključev (KMS), nato pa zahteva ključ za šifriranje sporočila. Varna povezava uporablja ECDH, KMS pa šifrira ključ z glavnim ključem AES-256.
Sporočilo je šifrirano, preden zapusti odjemalca. Odjemalec ga pošlje storitvi indeksiranja, ki ustvari šifrirane iskalne indekse za pomoč pri prihodnjih iskanjih vsebine.
Šifrirano sporočilo je poslano storitvi skladnosti za preverjanje skladnosti.
Šifrirano sporočilo je shranjeno v območju shranjevanja.

Sodelovanje z drugimi organizacijami

Pričakovanja glede uvajanja hibridne varnosti podatkov

Uvedba hibridne varnosti podatkov zahteva veliko predanost strank in zavedanje tveganj, ki jih prinaša posedovanje šifrirnih ključev.

Za uvedbo Hybrid Data Security morate zagotoviti:

Varen podatkovni center v državi, ki je a podprto lokacijo za načrte Cisco Webex Teams.
Oprema, programska oprema in dostop do omrežja, opisani v Pripravite svoje okolje.

Upravljajte varnostno kopiranje in obnovitev baze podatkov in konfiguracije ISO.
Bodite pripravljeni izvesti hitro obnovitev po katastrofi, če pride do katastrofe, kot je okvara diska baze podatkov ali katastrofa podatkovnega centra.

Ni mehanizma za premik ključev nazaj v oblak po uvedbi HDS.

Postopek namestitve na visoki ravni

Ta dokument pokriva nastavitev in upravljanje uvedbe Hybrid Data Security:

Nastavite hibridno varnost podatkov— To vključuje pripravo zahtevane infrastrukture in namestitev programske opreme Hybrid Data Security, testiranje vaše uvedbe s podnaborom uporabnikov v preskusnem načinu in, ko je vaše testiranje končano, premik v proizvodnjo. To pretvori celotno organizacijo v uporabo vaše Hybrid Data Security gruče za varnostne funkcije.
Faze nastavitve, preizkusa in proizvodnje so podrobno obravnavane v naslednjih treh poglavjih.
Ohranite svojo uvedbo Hybrid Data Security— Oblak Webex samodejno zagotavlja stalne nadgradnje. Vaš IT oddelek lahko zagotovi podporo prve stopnje za to uvedbo in po potrebi vključi podporo Cisco. V Control Hubu lahko uporabite obvestila na zaslonu in nastavite opozorila po e-pošti.
Razumevanje pogostih opozoril, korakov za odpravljanje težav in znanih težav—Če naletite na težave pri uvajanju ali uporabi Hybrid Data Security, vam lahko zadnje poglavje tega vodnika in dodatek Znane težave pomagata ugotoviti in odpraviti težavo.

Hibridni model uvajanja varnosti podatkov

Hibridni model uvajanja varnosti podatkov

Vozlišča postanejo aktivna, ko jih registrirate v Control Hub. Če želite posamezno vozlišče izključiti iz uporabe, ga lahko odjavite in pozneje po potrebi znova registrirate.

Podpiramo samo eno gručo na organizacijo.

Preizkusni način hibridne varnosti podatkov

Podatkovni center v pripravljenosti za obnovitev po katastrofi

Med uvajanjem nastavite varen podatkovni center v pripravljenosti. V primeru katastrofe v podatkovnem centru lahko ročno prekinete svojo uvedbo v podatkovni center v pripravljenosti.

Aktivna vozlišča Hybrid Data Security morajo biti vedno v istem podatkovnem centru kot aktivni strežnik baze podatkov.

Nastavite podatkovni center v pripravljenosti za obnovitev po katastrofi

Za konfiguracijo datoteke ISO podatkovnega centra v pripravljenosti sledite spodnjim korakom:

Preden začneš

Podatkovni center v pripravljenosti bi moral zrcaliti produkcijsko okolje navideznih strojev in rezervno bazo podatkov PostgreSQL ali Microsoft SQL Server. Na primer, če ima proizvodnja 3 VM-je, ki poganjajo vozlišča HDS, bi moralo okolje za varnostno kopiranje imeti 3 VM-je. (Glej Podatkovni center v pripravljenosti za obnovitev po katastrofi za pregled tega modela samodejnega preklopa.)
Prepričajte se, da je omogočena sinhronizacija baze podatkov med bazo podatkov aktivnih in pasivnih vozlišč gruče.

Zaženite orodje HDS Setup in sledite korakom, navedenim v Ustvarite konfiguracijski ISO za gostitelje HDS.

Datoteka ISO mora biti kopija izvirne datoteke ISO primarnega podatkovnega centra, na katero bodo izvedene naslednje posodobitve konfiguracije.

Ko konfigurirate strežnik Syslogd, kliknite na Napredne nastavitve


passiveMode: 'true'

Dokončajte postopek konfiguracije in shranite datoteko ISO na mesto, ki ga je enostavno najti.

V levem podoknu za krmarjenje odjemalca VMware vSphere z desno miškino tipko kliknite VM in kliknite Uredi nastavitve..

Kliknite Uredi nastavitve >CD/DVD pogon 1 in izberite Datastore ISO File.

Poskrbi Povezan in Priključite ob vklopu so označene, tako da lahko posodobljene konfiguracijske spremembe začnejo veljati po zagonu vozlišč.

Vklopite vozlišče HDS in se prepričajte, da ni alarmov vsaj 15 minut.

Ponovite postopek za vsako vozlišče v podatkovnem centru v pripravljenosti.

Preverite sistemske dnevnike, da preverite, ali so vozlišča v pasivnem načinu. V sistemskih dnevnikih bi si morali ogledati sporočilo »KMS konfiguriran v pasivnem načinu«.

Kaj storiti naprej

Podpora za proxy

Vozlišča Hybrid Data Security podpirajo naslednje možnosti posrednika:

Brez posrednika— Privzeto, če za integracijo proxyja ne uporabljate nastavitve vozlišča HDS Trust Store & Proxy. Posodobitev potrdila ni potrebna.
Transparenten proxy brez nadzora— Vozlišča niso konfigurirana za uporabo določenega naslova strežnika proxy in ne bi smela zahtevati nobenih sprememb za delo s proxyjem, ki ne preverja. Posodobitev potrdila ni potrebna.
Transparentni proxy za tuneliranje ali pregledovanje— Vozlišča niso konfigurirana za uporabo določenega naslova strežnika proxy. Na vozliščih niso potrebne spremembe konfiguracije HTTP ali HTTPS. Vendar vozlišča potrebujejo korensko potrdilo, da zaupajo proxyju. Inspecting proxy običajno uporablja IT za uveljavljanje pravilnikov o tem, katera spletna mesta je mogoče obiskati in katere vrste vsebine niso dovoljene. Ta vrsta proxyja dešifrira ves vaš promet (tudi HTTPS).
Eksplicitni posrednik— Z eksplicitnim proxy vozliščem HDS poveste, kateri strežnik proxy in shemo preverjanja pristnosti naj uporabijo. Če želite konfigurirati eksplicitni proxy, morate v vsako vozlišče vnesti naslednje informacije:
1. Proxy IP/FQDN—Naslov, ki ga je mogoče uporabiti za dostop do proxy naprave.
2. Proxy vrata—Številka vrat, ki jih proxy uporablja za poslušanje prometa prek posrednika.
3. Proxy protokol—Glede na to, kaj podpira vaš proxy strežnik, izberite med naslednjimi protokoli:
  - HTTP—Ogleda in nadzoruje vse zahteve, ki jih pošlje odjemalec.
  - HTTPS—zagotavlja kanal strežniku. Odjemalec prejme in potrdi potrdilo strežnika.
4. Vrsta avtentikacije—Izbirajte med naslednjimi vrstami preverjanja pristnosti:
  - Noben— Nadaljnje preverjanje pristnosti ni potrebno.
    
    Na voljo, če kot proxy protokol izberete HTTP ali HTTPS.
  - Osnovno—Uporablja se za uporabniškega agenta HTTP, da zagotovi uporabniško ime in geslo, ko poda zahtevo. Uporablja kodiranje Base64.
    
    Na voljo, če kot proxy protokol izberete HTTP ali HTTPS.
    
    Za vsako vozlišče morate vnesti uporabniško ime in geslo.
  - prebaviti— Uporablja se za potrditev računa pred pošiljanjem občutljivih informacij. Uporabi zgoščeno funkcijo za uporabniško ime in geslo pred pošiljanjem po omrežju.
    
    Na voljo samo, če izberete HTTPS kot posredniški protokol.
    
    Za vsako vozlišče morate vnesti uporabniško ime in geslo.

Primer vozlišč hibridne varnosti podatkov in posrednika

Blokiran zunanji način reševanja DNS (eksplicitne konfiguracije proxyja)

Pripravite svoje okolje

Zahteve za hibridno varnost podatkov

Licenčne zahteve za Cisco Webex

Če želite uvesti Hybrid Data Security:

Za Cisco Webex Control Hub morate imeti Pro Pack. (Glej https://www.cisco.com/go/pro-pack.)

Zahteve za namizje Docker

Zahteve za potrdilo X.509

Certifikacijska veriga mora izpolnjevati naslednje zahteve:

Tabela 1. Zahteve za potrdilo X.509 za uvedbo hibridne varnosti podatkov
Zahteva	Podrobnosti
Podpisal zaupanja vreden overitelj potrdil (CA)	Privzeto zaupamo CA-jem na seznamu Mozilla (z izjemo WoSign in StartCom) na https://wiki.mozilla.org/CA:IncludedCAs.
Nosi ime domene Common Name (CN), ki identificira vašo uvedbo Hybrid Data Security Ni potrdilo z nadomestnimi znaki	Ni treba, da je CN dosegljiv ali gostitelj v živo. Priporočamo, da uporabite ime, ki odraža vašo organizacijo, na primer `hds.company.com`. KN ne sme vsebovati * (nadomestni znak). CN se uporablja za preverjanje vozlišč Hybrid Data Security za odjemalce aplikacije Webex. Vsa vozlišča Hybrid Data Security v vaši gruči uporabljajo isto potrdilo. Vaš KMS se identificira z uporabo domene CN, ne katere koli domene, ki je definirana v poljih SAN x.509v3. Ko registrirate vozlišče s tem potrdilom, ne podpiramo spreminjanja imena domene CN. Izberite domeno, ki se lahko uporablja za preskusno in produkcijsko uvedbo.
Podpis, ki ni SHA1	Programska oprema KMS ne podpira podpisov SHA1 za preverjanje povezav s KMS-ji drugih organizacij.
Formatirano kot datoteka PKCS #12, zaščitena z geslom Uporabite prijazno ime `kms-private-key` da označite potrdilo, zasebni ključ in morebitna vmesna potrdila za nalaganje.	Za spremembo oblike potrdila lahko uporabite pretvornik, kot je OpenSSL. Ko zaženete orodje za nastavitev HDS, boste morali vnesti geslo.

Zahteve za virtualnega gostitelja

Navidezni gostitelji, ki jih boste nastavili kot vozlišča Hybrid Data Security v vaši gruči, imajo naslednje zahteve:

Vsaj dva ločena gostitelja (3 priporočljivo), nameščena v istem varnem podatkovnem centru
VMware ESXi 6.5 (ali novejši) nameščen in deluje.

Če imate starejšo različico ESXi, morate nadgraditi.
Najmanj 4 vCPU-ji, 8 GB glavnega pomnilnika, 30 GB lokalnega prostora na trdem disku na strežnik

Zahteve za strežnik baze podatkov

Ustvarite novo bazo podatkov za shranjevanje ključev. Ne uporabljajte privzete zbirke podatkov. Ko so nameščene aplikacije HDS, ustvarijo shemo baze podatkov.

Obstajata dve možnosti za strežnik baze podatkov. Zahteve za vsakega so naslednje:

Tabela 2. Zahteve strežnika baze podatkov glede na vrsto baze podatkov

PostgreSQL

Microsoft SQL Server

PostgreSQL 14, 15 ali 16, nameščen in deluje.

Nameščen SQL Server 2016, 2017 ali 2019 (Enterprise ali Standard).

SQL Server 2016 zahteva servisni paket 2 in kumulativno posodobitev 2 ali novejšo različico.

Programska oprema HDS trenutno namesti naslednje različice gonilnikov za komunikacijo s strežnikom baze podatkov:

PostgreSQL

Microsoft SQL Server

Gonilnik Postgres JDBC 42.2.5

Gonilnik SQL Server JDBC 4.6

Ta različica gonilnika podpira SQL Server Always On ( Always On Failover Cluster Instances in Skupine razpoložljivosti Always On).

Dodatne zahteve za preverjanje pristnosti sistema Windows proti strežniku Microsoft SQL Server

Vozlišča HDS, infrastruktura Active Directory in MS SQL Server morajo biti vsi sinhronizirani z NTP.
Račun Windows, ki ga zagotovite vozliščem HDS, mora imeti dostop za branje/pisanje do baze podatkov.
Strežniki DNS, ki jih zagotovite vozliščem HDS, morajo imeti možnost razrešiti vaš center za distribucijo ključev (KDC).
Primerek baze podatkov HDS lahko registrirate na strežniku Microsoft SQL Server kot glavno ime storitve (SPN) v imeniku Active Directory. glej Registrirajte glavno ime storitve za povezave Kerberos.

Orodje za nastavitev HDS, zaganjalnik HDS in lokalni KMS morajo uporabljati preverjanje pristnosti sistema Windows za dostop do baze podatkov shrambe ključev. Uporabijo podrobnosti iz vaše konfiguracije ISO za izdelavo SPN, ko zahtevajo dostop s preverjanjem pristnosti Kerberos.

Zahteve za zunanjo povezljivost

Konfigurirajte požarni zid, da bo omogočal naslednje povezave za aplikacije HDS:

Aplikacija	Protokol	Pristanišče	Smer iz App	Destinacija
Hibridna varnostna vozlišča podatkov	TCP	443	Odhodni HTTPS in WSS	Strežniki Webex: .wbx2.com .ciscospark.com Vsi gostitelji skupne identitete Drugi URL-ji, ki so navedeni za Hybrid Data Security v Dodatni URL-ji za hibridne storitve Webex tabela od Omrežne zahteve za storitve Webex
Orodje za nastavitev HDS	TCP	443	Odhodni HTTPS	*.wbx2.com Vsi gostitelji skupne identitete hub.docker.com

URL-ji za gostitelje skupne identitete (CI) so specifični za regijo. To so trenutni gostitelji CI:

Regija	URL-ji gostitelja skupne identitete
Amerike	https://idbroker.webex.com https://identity.webex.com https://idbroker-b-us.webex.com https://identity-b-us.webex.com
Evropska unija	https://idbroker-eu.webex.com https://identity-eu.webex.com
Kanada	https://idbroker-ca.webex.com https://identity-ca.webex.com

Zahteve za strežnik proxy

Uradno podpiramo naslednje rešitve proxy, ki se lahko integrirajo z vašimi vozlišči Hybrid Data Security.

Transparent proxy—Cisco Web Security Appliance (WSA).

Eksplicitni proxy—Squid.

Podpiramo naslednje kombinacije vrst preverjanja pristnosti za eksplicitne posrednike:
- Ni avtentikacije s HTTP ali HTTPS
- Osnovna avtentikacija s HTTP ali HTTPS
- Pregled pristnosti samo s HTTPS
Za proxy proxy za pregledovanje ali eksplicitni proxy HTTPS morate imeti kopijo korenskega potrdila proxyja. Navodila za uvajanje v tem priročniku vam povejo, kako naložite kopijo v skrbniške shrambe vozlišč Hybrid Data Security.
Omrežje, ki gosti vozlišča HDS, mora biti konfigurirano tako, da prisili izhodni promet TCP na vratih 443, da se usmeri prek proxyja.
Posredniki, ki pregledujejo spletni promet, lahko motijo povezave s spletnimi vtičnicami. Če pride do te težave, obide (brez pregleda) promet do wbx2.com in ciscospark.com bo rešil problem.

Izpolnite predpogoje za hibridno varnost podatkov

S tem kontrolnim seznamom se prepričajte, da ste pripravljeni na namestitev in konfiguracijo vaše hibridne podatkovne varnostne gruče.

Ustvarite bazo podatkov za shranjevanje ključev. (To zbirko podatkov morate ustvariti—ne uporabljajte privzete baze podatkov. Aplikacije HDS, ko so nameščene, ustvarijo shemo baze podatkov.)
Zberite podrobnosti, ki jih bodo vozlišča uporabljala za komunikacijo s strežnikom baze podatkov:
- ime gostitelja ali naslov IP (gostitelj) in vrata
- ime baze podatkov (dbname) za shranjevanje ključev
- uporabniško ime in geslo uporabnika z vsemi privilegiji v bazi podatkov za shranjevanje ključev

Nastavite gostitelja sistemskega dnevnika za zbiranje dnevnikov iz vozlišč v gruči. Zberite njegov omrežni naslov in vrata sistemskega dnevnika (privzeto je UDP 514).

Zagotovite, da vaša konfiguracija požarnega zidu omogoča povezljivost za vozlišča Hybrid Data Security, kot je opisano v Zahteve za zunanjo povezljivost.

Če želite namestiti in zagnati orodje za nastavitev HDS, mora imeti lokalni računalnik povezljivost, opisano v Zahteve za zunanjo povezljivost.

Če integrirate proxy s Hybrid Data Security, se prepričajte, da ustreza Zahteve za strežnik proxy.

Nastavite Hybrid Data Security Cluster

Potek opravila uvajanja hibridne varnosti podatkov

Preden začneš

Prenesite datoteko OVA na svoj lokalni računalnik za kasnejšo uporabo.

Z orodjem za nastavitev HDS ustvarite konfiguracijsko datoteko ISO za vozlišča Hybrid Data Security.

Ustvarite virtualni stroj iz datoteke OVA in izvedite začetno konfiguracijo, kot so omrežne nastavitve.

Možnost konfiguracije omrežnih nastavitev med uvajanjem OVA je bila preizkušena z ESXi 6.5. Možnost morda ni na voljo v starejših različicah.

Prijavite se v konzolo VM in nastavite poverilnice za prijavo. Konfigurirajte omrežne nastavitve za vozlišče, če jih niste konfigurirali ob uvedbi OVA.

Konfigurirajte vozlišče HDS za integracijo posrednika

Konfigurirajte VM iz konfiguracijske datoteke ISO, ki ste jo ustvarili z orodjem za namestitev HDS.

Če omrežno okolje zahteva konfiguracijo proxyja, podajte vrsto proxyja, ki ga boste uporabili za vozlišče, in po potrebi dodajte potrdilo proxyja v shrambo zaupanja.

Registrirajte VM v oblaku Cisco Webex kot Hybrid Data Security node.

Dokončajte nastavitev gruče.

Izvedite preizkus in se premaknite v produkcijo (naslednje poglavje)

Dokler ne začnete preizkusa, vaša vozlišča ustvarijo alarm, ki nakazuje, da vaša storitev še ni aktivirana.

Prenesite namestitvene datoteke

Pri tej nalogi prenesete datoteko OVA na svoj računalnik (ne na strežnike, ki ste jih nastavili kot vozlišča Hybrid Data Security). To datoteko uporabite pozneje v postopku namestitve.

Prijavite se v https://admin.webex.comin nato kliknite Storitve.

V razdelku Hybrid Services poiščite kartico Hybrid Data Security in kliknite Nastaviti.

Izberite št da označite, da vozlišča še niste nastavili, in nato kliknite Naslednji.

Datoteka OVA se samodejno začne prenašati. Datoteko shranite na mesto v vašem računalniku.

Po želji kliknite Odprite vodnik za uvajanje da preverite, ali je na voljo novejša različica tega priročnika.

Ustvarite konfiguracijski ISO za gostitelje HDS

Postopek nastavitve Hybrid Data Security ustvari datoteko ISO. Nato uporabite ISO za konfiguracijo gostitelja Hybrid Data Security.

Preden začneš

Opis	Spremenljivka
HTTP Proxy brez avtentikacije	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
HTTPS Proxy brez avtentikacije	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
HTTP proxy z avtentikacijo	`GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
HTTPS Proxy z avtentikacijo	`GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

Konfiguracijska datoteka ISO, ki jo ustvarite, vsebuje glavni ključ, ki šifrira bazo podatkov PostgreSQL ali Microsoft SQL Server. Najnovejšo kopijo te datoteke potrebujete vsakič, ko spremenite konfiguracijo, kot je ta:
- Poverilnice baze podatkov
- Posodobitve potrdil
- Spremembe politike avtorizacije
Če nameravate šifrirati povezave z bazo podatkov, nastavite svojo uvedbo PostgreSQL ali SQL Server za TLS.

V ukazno vrstico vašega računalnika vnesite ustrezen ukaz za vaše okolje:

V običajnih okoljih:

docker rmi ciscocitg/hds-setup:stable

V okoljih FedRAMP:

docker rmi ciscocitg/hds-setup-fedramp:stable

Ta korak počisti prejšnje slike orodja za nastavitev HDS. Če ni prejšnjih slik, vrne napako, ki jo lahko prezrete.

Za vpis v register slik Docker vnesite naslednje:

docker login -u hdscustomersro

Ob pozivu za geslo vnesite to zgoščeno vrednost:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

Prenesite najnovejšo stabilno sliko za vaše okolje:

V običajnih okoljih:

docker pull ciscocitg/hds-setup:stable

V okoljih FedRAMP:

docker pull ciscocitg/hds-setup-fedramp:stable

Ko je vlečenje končano, vnesite ustrezen ukaz za vaše okolje:

V običajnih okoljih brez posrednika:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

V običajnih okoljih s strežnikom proxy HTTP:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

V običajnih okoljih s strežnikom proxy HTTPS:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

V okoljih FedRAMP brez posrednika:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

V okoljih FedRAMP s strežnikom proxy HTTP:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

V okoljih FedRAMP s strežnikom proxy HTTPS:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Ko se vsebnik izvaja, vidite »Strežnik Express posluša na vratih 8080«.

Orodje za namestitev ne podpira povezovanja z lokalnim gostiteljem prek http://localhost:8080. Uporaba http://127.0.0.1:8080 za povezavo z lokalnim gostiteljem.

Uporabite spletni brskalnik za dostop do lokalnega gostitelja, http://127.0.0.1:8080 in ob pozivu vnesite uporabniško ime skrbnika stranke za Control Hub.

Orodje uporabi ta prvi vnos uporabniškega imena za nastavitev ustreznega okolja za ta račun. Orodje nato prikaže standardni poziv za prijavo.

Ko ste pozvani, vnesite poverilnice za prijavo skrbnika stranke Control Hub in kliknite Vpiši se da omogočite dostop do zahtevanih storitev za Hybrid Data Security.

Na strani s pregledom orodja za nastavitev kliknite Začeti.

Na ISO uvoz strani, imate te možnosti:

št—Če ustvarjate svoje prvo vozlišče HDS, nimate datoteke ISO za nalaganje.
ja— Če ste že ustvarili vozlišča HDS, potem v brskanju izberete datoteko ISO in jo naložite.

Preverite, ali vaše potrdilo X.509 izpolnjuje zahteve v Zahteve za potrdilo X.509.

Če še nikoli niste naložili potrdila, naložite potrdilo X.509, vnesite geslo in kliknite Nadaljuj.
Če je vaše potrdilo v redu, kliknite Nadaljuj.
Če je vaše potrdilo poteklo ali ga želite zamenjati, izberite št za Želite še naprej uporabljati verigo potrdil HDS in zasebni ključ iz prejšnjega ISO?. Naložite novo potrdilo X.509, vnesite geslo in kliknite Nadaljuj.

Vnesite naslov baze podatkov in račun za HDS za dostop do shrambe ključnih podatkov:

Izberite svojo Vrsta baze podatkov (PostgreSQL oz Microsoft SQL Server).

Če se odločite Microsoft SQL Server, dobite polje Authentication Type.
(Microsoft SQL Server samo) Izberite svojo Vrsta avtentikacije:
- Osnovna avtentikacija: Potrebujete lokalno ime računa SQL Server v Uporabniško ime polje.
- Preverjanje pristnosti sistema Windows: Potrebujete račun Windows v formatu username@DOMAIN v Uporabniško ime polje.
V obrazec vnesite naslov strežnika baze podatkov <hostname>:<port> ali <IP-address>:<port>.

primer:
dbhost.example.org:1433 ali 198.51.100.17:1433

Naslov IP lahko uporabite za osnovno preverjanje pristnosti, če vozlišča ne morejo uporabiti DNS za razrešitev imena gostitelja.

Če uporabljate preverjanje pristnosti sistema Windows, morate v formatu vnesti popolnoma kvalificirano ime domene dbhost.example.org:1433
Vnesite Ime baze podatkov.
Vnesite Uporabniško ime in Geslo uporabnika z vsemi privilegiji v bazi podatkov za shranjevanje ključev.

Izberite a Način povezave z bazo podatkov TLS:

Način

Opis

Raje TLS (privzeta možnost)

Vozlišča HDS ne potrebujejo TLS za povezavo s strežnikom baze podatkov. Če omogočite TLS na strežniku baze podatkov, vozlišča poskušajo vzpostaviti šifrirano povezavo.

Zahtevaj TLS

Vozlišča HDS se povežejo le, če se lahko strežnik baze podatkov pogaja o TLS.

Zahtevaj TLS in preveri podpisnika potrdila

Ta način ni uporaben za baze podatkov SQL Server.

Vozlišča HDS se povežejo le, če se lahko strežnik baze podatkov pogaja o TLS.
Po vzpostavitvi povezave TLS vozlišče primerja podpisnika potrdila iz strežnika baze podatkov z overiteljem potrdil v Korensko potrdilo baze podatkov. Če se ne ujemata, vozlišče prekine povezavo.

Uporabi Korensko potrdilo baze podatkov kontrolnik pod spustnim menijem za nalaganje korenskega potrdila za to možnost.

Zahtevaj TLS in preveri podpisnika potrdila in ime gostitelja

Vozlišča HDS se povežejo le, če se lahko strežnik baze podatkov pogaja o TLS.
Po vzpostavitvi povezave TLS vozlišče primerja podpisnika potrdila iz strežnika baze podatkov z overiteljem potrdil v Korensko potrdilo baze podatkov. Če se ne ujemata, vozlišče prekine povezavo.
Vozlišča tudi preverijo, ali se ime gostitelja v potrdilu strežnika ujema z imenom gostitelja v Gostitelj in vrata baze podatkov polje. Imena se morajo natančno ujemati, sicer vozlišče prekine povezavo.

Uporabi Korensko potrdilo baze podatkov kontrolnik pod spustnim menijem za nalaganje korenskega potrdila za to možnost.

Na strani Sistemski dnevniki konfigurirajte strežnik Syslogd:

Vnesite URL strežnika syslog.

Če strežnika ni mogoče razrešiti z DNS iz vozlišč za vašo gručo HDS, uporabite naslov IP v URL-ju.

primer:
udp://10.92.43.23:514 označuje prijavo v gostitelja Syslogd 10.92.43.23 na vratih UDP 514.
Če ste strežnik nastavili za uporabo šifriranja TLS, preverite Ali je vaš strežnik syslog konfiguriran za šifriranje SSL?.

Če potrdite to potrditveno polje, se prepričajte, da ste vnesli URL TCP, kot je npr tcp://10.92.43.23:514.
Iz Izberite prekinitev zapisa sistemskega dnevnika spustnem meniju izberite ustrezno nastavitev za vašo datoteko ISO: Za Graylog in Rsyslog TCP se uporablja Choose ali Newline
- Ničelni bajt -- \x00
- Nova vrstica -- \n—Izberite to možnost za Graylog in Rsyslog TCP.
Kliknite Nadaljuj.

(Izbirno) Spremenite lahko privzeto vrednost za nekatere parametre povezave z bazo podatkov v Napredne nastavitve. Na splošno je ta parameter edini, ki bi ga morda želeli spremeniti:

app_datasource_connection_pool_maxSize: 10

Kliknite Nadaljuj na Ponastavite geslo za storitvene račune zaslon.

Gesla storitvenih računov imajo življenjsko dobo devet mesecev. Uporabite ta zaslon, ko se vaša gesla bližajo izteku ali jih želite ponastaviti, da razveljavi prejšnje datoteke ISO.

Kliknite Prenesite datoteko ISO. Datoteko shranite na mesto, ki ga je enostavno najti.

Naredite varnostno kopijo datoteke ISO v vašem lokalnem sistemu.

Če želite zaustaviti orodje za nastavitev, vnesite CTRL+C.

Kaj storiti naprej

Nikoli nimamo kopije tega ključa in vam ne moremo pomagati, če ga izgubite.

Namestite HDS Host OVA

S tem postopkom ustvarite virtualni stroj iz datoteke OVA.

Uporabite odjemalca VMware vSphere v vašem računalniku, da se prijavite v navideznega gostitelja ESXi.

Izberite mapa > Namestite predlogo OVF.

V čarovniku določite lokacijo datoteke OVA, ki ste jo prej prenesli, in nato kliknite Naslednji .

Na Izberite računalniški vir izberite ciljni računalniški vir in kliknite Naslednji .

Zažene se preverjanje veljavnosti. Ko se konča, se prikažejo podrobnosti predloge.

Preverite podrobnosti predloge in kliknite Naslednji.

Če ste pozvani, da izberete konfiguracijo vira na Konfiguracija strani, kliknite 4 procesor in nato kliknite Naslednji .

Na Izberite shranjevanje strani, kliknite Naslednji da sprejmete privzeti format diska in politiko shranjevanja VM.

Na Izberite omrežja izberite omrežno možnost s seznama vnosov, da zagotovite želeno povezljivost z VM.

Na Prilagodite predlogo strani, konfigurirajte naslednje omrežne nastavitve:

Ime gostitelja—Vnesite FQDN (ime gostitelja in domeno) ali ime gostitelja z eno besedo za vozlišče.

Ni vam treba nastaviti domene, da se ujema z domeno, ki ste jo uporabili za pridobitev potrdila X.509.
Da zagotovite uspešno registracijo v oblak, uporabite samo male črke v FQDN ali imenu gostitelja, ki ste ga nastavili za vozlišče. Uporaba velikih začetnic trenutno ni podprta.
Skupna dolžina FQDN ne sme presegati 64 znakov.

IP naslov— Vnesite naslov IP za notranji vmesnik vozlišča.

Vaše vozlišče mora imeti notranji naslov IP in ime DNS. DHCP ni podprt.
Maska— Vnesite naslov maske podomrežja v decimalnem zapisu s pikami. na primer 255.255.255.0.
Prehod— Vnesite naslov IP prehoda. Prehod je omrežno vozlišče, ki služi kot dostopna točka do drugega omrežja.
DNS strežniki—Vnesite z vejicami ločen seznam strežnikov DNS, ki upravljajo prevajanje imen domen v številske naslove IP. (Dovoljeni so do 4 vnosi DNS.)
strežniki NTP— Vnesite strežnik NTP vaše organizacije ali drug zunanji strežnik NTP, ki ga lahko uporabljate v vaši organizaciji. Privzeti strežniki NTP morda ne bodo delovali v vseh podjetjih. Za vnos več strežnikov NTP lahko uporabite tudi seznam, ločen z vejicami.

Razmestite vsa vozlišča v istem podomrežju ali VLAN, tako da so vsa vozlišča v gruči dosegljiva odjemalcem v vašem omrežju za skrbniške namene.

Če želite, lahko preskočite konfiguracijo omrežnih nastavitev in sledite korakom v Nastavite Hybrid Data Security VM da konfigurirate nastavitve iz konzole vozlišča.

Možnost konfiguracije omrežnih nastavitev med uvajanjem OVA je bila preizkušena z ESXi 6.5. Možnost morda ni na voljo v starejših različicah.

Z desno miškino tipko kliknite vozlišče VM in nato izberite Moč > Vklop .

Programska oprema Hybrid Data Security je nameščena kot gost na gostitelju VM. Zdaj ste pripravljeni, da se prijavite v konzolo in konfigurirate vozlišče.

Nasveti za odpravljanje težav

Preden se vsebniki vozlišč prikažejo, lahko pride do nekajminutne zamude. Med prvim zagonom se na konzoli pojavi sporočilo mostnega požarnega zidu, med katerim se ne morete prijaviti.

Nastavite Hybrid Data Security VM

1	V odjemalcu VMware vSphere izberite VM vozlišča Hybrid Data Security in izberite Konzola zavihek. VM se zažene in prikaže se poziv za prijavo. Če se poziv za prijavo ne prikaže, pritisnite Vnesite.
2	Za prijavo in spremembo poverilnic uporabite naslednjo privzeto prijavo in geslo: Vpiši se: `admin` geslo: `cisco` Ker se v svoj VM vpisujete prvič, morate spremeniti skrbniško geslo.
3	Če ste že konfigurirali omrežne nastavitve v Namestite HDS Host OVA, preskočite preostanek tega postopka. V nasprotnem primeru v glavnem meniju izberite Uredi konfiguracijo možnost.
4	Nastavite statično konfiguracijo z informacijami o naslovu IP, maski, prehodu in DNS. Vaše vozlišče mora imeti notranji naslov IP in ime DNS. DHCP ni podprt.
5	(Izbirno) Spremenite ime gostitelja, domeno ali strežnike NTP, če je potrebno, da se ujemajo z vašo omrežno politiko. Ni vam treba nastaviti domene, da se ujema z domeno, ki ste jo uporabili za pridobitev potrdila X.509.
6	Shranite omrežno konfiguracijo in znova zaženite VM, da bodo spremembe začele veljati.

Naložite in namestite ISO konfiguracije HDS

S tem postopkom konfigurirajte navidezni stroj iz datoteke ISO, ki ste jo ustvarili z orodjem za namestitev HDS.

Preden začneš

Naložite datoteko ISO iz računalnika:

V levem navigacijskem podoknu odjemalca VMware vSphere kliknite strežnik ESXi.
Na seznamu strojne opreme zavihka Konfiguracija kliknite Shranjevanje.
Na seznamu Datastores z desno miškino tipko kliknite shrambo podatkov za vaše VM in kliknite Prebrskajte po shrambi podatkov.
Kliknite ikono Naloži datoteke in nato kliknite Naloži datoteko.
V računalniku poiščite mesto, kamor ste prenesli datoteko ISO, in kliknite Odprto.
Kliknite ja da sprejmete opozorilo o operaciji nalaganja/prenosa in zaprete pogovorno okno shrambe podatkov.

Namestite datoteko ISO:

V levem navigacijskem podoknu odjemalca VMware vSphere z desno miškino tipko kliknite VM in kliknite Uredi nastavitve.
Kliknite v redu da sprejmete opozorilo o omejenih možnostih urejanja.
Kliknite CD/DVD Drive 1, izberite možnost priklopa iz datoteke ISO shrambe podatkov in poiščite mesto, kamor ste naložili konfiguracijsko datoteko ISO.
Preverite Povezan in Priključite ob vklopu.
Shranite spremembe in znova zaženite virtualni stroj.

Kaj storiti naprej

Če vaša politika IT zahteva, lahko po želji odklopite datoteko ISO, potem ko vsa vaša vozlišča prevzamejo spremembe konfiguracije. glej (Izbirno) Odpni ISO po konfiguraciji HDS za podrobnosti.

Konfigurirajte vozlišče HDS za integracijo posrednika

Preden začneš

glej Podpora za proxy za pregled podprtih možnosti proxyja.
Zahteve za strežnik proxy

1	Vnesite URL za nastavitev vozlišča HDS `https://[HDS Node IP or FQDN]/setup` v spletni brskalnik vnesite skrbniške poverilnice, ki ste jih nastavili za vozlišče, in nato kliknite Prijava.
2	Pojdi do Trust Store & Proxyin nato izberite možnost: Brez posrednika— Privzeta možnost, preden integrirate proxy. Posodobitev potrdila ni potrebna. Transparentni proxy brez nadzora— Vozlišča niso konfigurirana za uporabo določenega naslova proxy strežnika in ne bi smela zahtevati nobenih sprememb za delo s proxyjem, ki ne preverja. Posodobitev potrdila ni potrebna. Transparentni nadzorni pooblaščenec— Vozlišča niso konfigurirana za uporabo določenega naslova strežnika proxy. Spremembe konfiguracije HTTPS niso potrebne na Hibridna varnost podatkov vendar pa vozlišča HDS potrebujejo korensko potrdilo, da zaupajo proxyju. Inspecting proxy običajno uporablja IT za uveljavljanje pravilnikov o tem, katera spletna mesta je mogoče obiskati in katere vrste vsebine niso dovoljene. Ta vrsta proxyja dešifrira ves vaš promet (tudi HTTPS). Eksplicitni posrednik— Z eksplicitnim posrednikom poveste odjemalcu (vozliščem HDS), kateri strežnik proxy naj uporabi, in ta možnost podpira več vrst preverjanja pristnosti. Ko izberete to možnost, morate vnesti naslednje podatke: Proxy IP/FQDN—Naslov, ki ga je mogoče uporabiti za dostop do proxy naprave. Proxy vrata—Številka vrat, ki jih proxy uporablja za poslušanje prometa prek posrednika. Proxy protokol—Izberi http (pregleduje in nadzoruje vse zahteve, ki jih prejme od naročnika) oz https (zagotavlja kanal strežniku, odjemalec pa prejme in potrdi potrdilo strežnika). Izberite možnost glede na to, kaj podpira vaš proxy strežnik. Vrsta avtentikacije—Izbirajte med naslednjimi vrstami preverjanja pristnosti: Noben— Nadaljnje preverjanje pristnosti ni potrebno. Na voljo za strežnike proxy HTTP ali HTTPS. Osnovno—Uporablja se za uporabniškega agenta HTTP, da zagotovi uporabniško ime in geslo, ko poda zahtevo. Uporablja kodiranje Base64. Na voljo za strežnike proxy HTTP ali HTTPS. Če izberete to možnost, morate vnesti tudi uporabniško ime in geslo. prebaviti— Uporablja se za potrditev računa pred pošiljanjem občutljivih informacij. Uporabi zgoščeno funkcijo za uporabniško ime in geslo pred pošiljanjem po omrežju. Na voljo samo za strežnike proxy HTTPS. Če izberete to možnost, morate vnesti tudi uporabniško ime in geslo. Sledite naslednjim korakom za pregleden proxy za pregledovanje, eksplicitni proxy HTTP z osnovnim preverjanjem pristnosti ali eksplicitni proxy HTTPS.
3	Kliknite Naložite korensko potrdilo ali potrdilo končne entitete, nato pa se pomaknite do izbire korenskega potrdila za proxy. Potrdilo je naloženo, vendar še ni nameščeno, ker morate za namestitev potrdila znova zagnati vozlišče. Kliknite puščico ševrona ob imenu izdajatelja potrdila, da dobite več podrobnosti ali kliknite Izbriši če ste se zmotili in želite znova naložiti datoteko.
4	Kliknite Preverite povezavo proxy da preizkusite omrežno povezljivost med vozliščem in posrednikom. Če preizkus povezave ne uspe, boste videli sporočilo o napaki, ki prikazuje razlog in kako lahko odpravite težavo. Če vidite sporočilo, da zunanja razrešitev DNS ni bila uspešna, vozlišče ni moglo doseči strežnika DNS. Ta pogoj je pričakovan v številnih eksplicitnih konfiguracijah proxyja. Lahko nadaljujete z nastavitvijo in vozlišče bo delovalo v načinu blokirane zunanje ločljivosti DNS. Če menite, da je to napaka, dokončajte te korake in si oglejte Izklopite način razreševanja blokiranega zunanjega DNS-ja.
5	Ko je preskus povezave uspešen, za eksplicitni proxy, nastavljen samo na https, preklopite stikalo na Usmerite vse https zahteve vrat 443/444 iz tega vozlišča prek eksplicitnega proxyja. Ta nastavitev začne veljati po 15 sekundah.
6	Kliknite Namestite vsa potrdila v Trust Store (prikaže se za eksplicitni proxy HTTPS ali pregledni proxy za preverjanje) ali Znova zaženite (prikaže se za eksplicitni proxy HTTP), preberite poziv in kliknite Namestite če si pripravljen. Vozlišče se znova zažene v nekaj minutah.
7	Ko se vozlišče znova zažene, se po potrebi znova vpišite in nato odprite Pregled strani, da preverite preverjanja povezljivosti in se prepričate, ali so vsi v zelenem stanju. Preverjanje povezave posrednika testira samo poddomeno webex.com. Če pride do težav s povezljivostjo, je pogosta težava, da so nekatere domene v oblaku, navedene v navodilih za namestitev, blokirane na strežniku proxy.

Registrirajte prvo vozlišče v gruči

Ta naloga prevzame generično vozlišče, ki ste ga ustvarili v Nastavite Hybrid Data Security VM, registrira vozlišče v oblaku Webex in ga spremeni v vozlišče Hybrid Data Security.

Ko registrirate svoje prvo vozlišče, ustvarite gručo, ki ji je vozlišče dodeljeno. Grozd vsebuje eno ali več vozlišč, nameščenih za zagotavljanje redundance.

Preden začneš

Ko začnete z registracijo vozlišča, jo morate dokončati v 60 minutah ali pa morate začeti znova.
Prepričajte se, da so v vašem brskalniku onemogočeni vsi blokatorji pojavnih oken ali da dovolite izjemo za admin.webex.com.

1	Prijavite se v https://admin.webex.com.
2	V meniju na levi strani zaslona izberite Storitve.
3	V razdelku Hybrid Services poiščite Hybrid Data Security in kliknite Nastaviti. Prikaže se stran Register Hybrid Data Security Node.
4	Izberite ja da označite, da ste nastavili vozlišče in ste ga pripravljeni registrirati, in nato kliknite Naslednji.
5	V prvo polje vnesite ime za gručo, ki ji želite dodeliti vozlišče Hybrid Data Security. Priporočamo, da gručo poimenujete glede na to, kje se geografsko nahajajo vozlišča gruče. Primeri: "San Francisco" ali "New York" ali "Dallas"
6	V drugo polje vnesite notranji naslov IP ali popolnoma kvalificirano ime domene (FQDN) svojega vozlišča in kliknite Naslednji. Ta naslov IP ali FQDN se mora ujemati z naslovom IP ali imenom gostitelja in domeno, ki ste jo uporabili Nastavite Hybrid Data Security VM. Prikaže se sporočilo, ki nakazuje, da lahko svoje vozlišče registrirate v Webex.
7	Kliknite Pojdite na Node.
8	Kliknite Nadaljuj v opozorilnem sporočilu. Po nekaj trenutkih ste preusmerjeni na teste povezljivosti vozlišča za storitve Webex. Če so vsi preizkusi uspešni, se prikaže stran Dovoli dostop do vozlišča Hybrid Data Security Node. Tam potrdite, da želite svoji organizaciji Webex dati dovoljenja za dostop do vašega vozlišča.
9	Preverite Dovolite dostop do vašega vozlišča Hybrid Data Security Node potrditveno polje in nato kliknite Nadaljuj. Vaš račun je potrjen in sporočilo »Registracija je dokončana« nakazuje, da je vaše vozlišče zdaj registrirano v oblaku Webex.
10	Kliknite povezavo ali zaprite zavihek, da se vrnete na stran Hybrid Data Security Control Hub. Na Hibridna varnost podatkov stran, se prikaže nova gruča, ki vsebuje vozlišče, ki ste ga registrirali. Vozlišče bo samodejno preneslo najnovejšo programsko opremo iz oblaka.

Ustvarite in registrirajte več vozlišč

Preden začneš

Ko začnete z registracijo vozlišča, jo morate dokončati v 60 minutah ali pa morate začeti znova.
Prepričajte se, da so v vašem brskalniku onemogočeni vsi blokatorji pojavnih oken ali da dovolite izjemo za admin.webex.com.

1	Ustvarite nov virtualni stroj iz OVA in ponovite korake Namestite HDS Host OVA.
2	Nastavite začetno konfiguracijo na novem VM in ponovite korake v Nastavite Hybrid Data Security VM.
3	Na novem VM ponovite korake v Naložite in namestite ISO konfiguracije HDS.
4	Če nastavljate proxy za svojo uvedbo, ponovite korake v Konfigurirajte vozlišče HDS za integracijo posrednika kot je potrebno za novo vozlišče.
5	Registrirajte vozlišče. notri https://admin.webex.com, izberite Storitve iz menija na levi strani zaslona. V razdelku Hybrid Services poiščite kartico Hybrid Data Security in kliknite Viri. Prikaže se stran z viri za varnost hibridnih podatkov. Kliknite Dodaj vir. V prvem polju izberite ime obstoječe gruče. V drugo polje vnesite notranji naslov IP ali popolnoma kvalificirano ime domene (FQDN) svojega vozlišča in kliknite Naslednji. Prikaže se sporočilo, ki označuje, da lahko svoje vozlišče registrirate v oblaku Webex. Kliknite Pojdite na Node. Po nekaj trenutkih ste preusmerjeni na teste povezljivosti vozlišča za storitve Webex. Če so vsi preizkusi uspešni, se prikaže stran Dovoli dostop do vozlišča Hybrid Data Security Node. Tam potrdite, da želite svoji organizaciji dati dovoljenja za dostop do vašega vozlišča. Preverite Dovolite dostop do vašega vozlišča Hybrid Data Security Node potrditveno polje in nato kliknite Nadaljuj. Vaš račun je potrjen in sporočilo »Registracija je dokončana« nakazuje, da je vaše vozlišče zdaj registrirano v oblaku Webex. Kliknite povezavo ali zaprite zavihek, da se vrnete na stran Hybrid Data Security Control Hub. Vaše vozlišče je registrirano. Upoštevajte, da dokler ne začnete preizkusa, vaša vozlišča ustvarijo alarm, ki nakazuje, da vaša storitev še ni aktivirana.

Kaj storiti naprej

Izvedite preizkus in se premaknite v produkcijo (naslednje poglavje)

Izvedite preizkus in se premaknite v produkcijo

Potek naloge od poskusa do proizvodnje

Preden začneš

Prenos namestitvenih datotek

1	Če je primerno, sinhronizirajte `HdsTrialGroup` predmet skupine. Če vaša organizacija uporablja sinhronizacijo imenikov za uporabnike, morate izbrati `HdsTrialGroup` predmet skupine za sinhronizacijo z oblakom, preden lahko začnete preskusno različico. Za navodila glejte Vodnik za uvajanje za Cisco Directory Connector.
2	Aktiviraj preizkus Začni poskus. Dokler ne opravite te naloge, vaša vozlišča ustvarijo alarm, ki nakazuje, da storitev še ni aktivirana.
3	Preizkusite svojo hibridno uvedbo varnosti podatkov Preverite, ali ključne zahteve prehajajo v vašo uvedbo Hybrid Data Security.
4	Spremljajte varnost hibridnih podatkov Preverite stanje in nastavite e-poštna obvestila za alarme.
5	Dodajte ali odstranite uporabnike iz svojega preizkusa
6	Dokončajte preskusno fazo z enim od naslednjih dejanj: Premaknite se s preskusne različice na produkcijsko Končajte preizkus, ne da bi se preselili v proizvodnjo

Aktiviraj preizkus

Preden začneš

1	Prijavite se v https://admin.webex.comin nato izberite Storitve.
2	V razdelku Hibridna varnost podatkov kliknite nastavitve.
3	V razdelku Status storitve kliknite Začni preizkus. Stanje storitve se spremeni v poskusni način.
4	Kliknite Dodajanje uporabnikov in vnesite e-poštni naslov enega ali več uporabnikov za poskusno uporabo vozlišč Hybrid Data Security za storitve šifriranja in indeksiranja. (Če vaša organizacija uporablja sinhronizacijo imenikov, uporabite Active Directory za upravljanje poskusne skupine, `HdsTrialGroup`.)

Preizkusite svojo hibridno uvedbo varnosti podatkov

S tem postopkom preizkusite scenarije šifriranja Hybrid Data Security.

Preden začneš

Nastavite svojo uvedbo Hybrid Data Security.
Aktivirajte preskusno različico in dodajte več poskusnih uporabnikov.
Prepričajte se, da imate dostop do sistemskega dnevnika, da preverite, ali ključne zahteve prehajajo v vašo uvedbo Hybrid Data Security.

Če deaktivirate uvedbo Hybrid Data Security, vsebina v prostorih, ki jih ustvarijo pilotni uporabniki, po zamenjavi kopij šifrirnih ključev, shranjenih v odjemalcu, ni več dostopna.

Pošljite sporočila v novi prostor.

Preverite izhod sistemskega dnevnika, da preverite, ali ključne zahteve prehajajo v vašo uvedbo Hybrid Data Security.

Če želite preveriti, ali uporabnik najprej vzpostavi varen kanal za KMS, vklopite filter kms.data.method=create in kms.data.type=EPHEMERAL_KEY_COLLECTION:

Morali bi najti vnos, kot je ta (identifikatorji so skrajšani zaradi berljivosti):

2020-07-21 17:35:34.562 (+0000) INFO  KMS [pool-14-thread-1] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, 
kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

Če želite preveriti, ali uporabnik zahteva obstoječi ključ iz KMS, vklopite filter kms.data.method=retrieve in kms.data.type=KEY:

Morali bi najti vnos, kot je:

2020-07-21 17:44:19.889 (+0000) INFO  KMS [pool-14-thread-31] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, 
kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, 
kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

Če želite preveriti, ali uporabnik zahteva ustvarjanje novega ključa KMS, filtrirajte na kms.data.method=create in kms.data.type=KEY_COLLECTION:

Morali bi najti vnos, kot je:

2020-07-21 17:44:21.975 (+0000) INFO  KMS [pool-14-thread-33] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, 
kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_COLLECTION, 
kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

Morali bi najti vnos, kot je:

2020-07-21 17:44:22.808 (+0000) INFO  KMS [pool-15-thread-1] - [KMS:REQUEST] received, 
deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 
(EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, 
kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, 
kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

Spremljajte varnost hibridnih podatkov

1	notri Nadzorno središče, izberite Storitve iz menija na levi strani zaslona.
2	V razdelku Hybrid Services poiščite Hybrid Data Security in kliknite nastavitve. Prikaže se stran z nastavitvami hibridne varnosti podatkov.
3	V razdelku E-poštna obvestila vnesite enega ali več e-poštnih naslovov, ločenih z vejicami, in pritisnite Vnesite.

Dodajte ali odstranite uporabnike iz svojega preizkusa

Ko aktivirate preskusno različico in dodate začetni nabor preskusnih uporabnikov, lahko kadar koli dodate ali odstranite člane preizkusne različice, medtem ko je preskusna različica aktivna.

1	Prijavite se v Control Hub in nato izberite Storitve.
2	V razdelku Hibridna varnost podatkov kliknite nastavitve.
3	V razdelku Preizkusni način v območju Stanje storitve kliknite Dodajanje uporabnikov, ali kliknite ogled in urejanje za odstranitev uporabnikov iz preizkusa.
4	Vnesite e-poštni naslov enega ali več uporabnikov, ki jih želite dodati, ali kliknite X z ID-jem uporabnika, da uporabnika odstranite iz preizkusa. Nato kliknite Shrani.

Premaknite se s preskusne različice na produkcijsko

1	Prijavite se v Control Hub in nato izberite Storitve.
2	V razdelku Hibridna varnost podatkov kliknite nastavitve.
3	V razdelku Status storitve kliknite Premakni se v proizvodnjo.
4	Potrdite, da želite vse svoje uporabnike premakniti v produkcijo.

Končajte preizkus, ne da bi se preselili v proizvodnjo

1	Prijavite se v Control Hub in nato izberite Storitve.
2	V razdelku Hibridna varnost podatkov kliknite nastavitve.
3	V razdelku Deaktiviraj kliknite Deaktiviraj.
4	Potrdite, da želite deaktivirati storitev in končati preskusno obdobje.

Upravljajte svojo namestitev HDS

Upravljanje uvajanja HDS

Uporabite tukaj opisane naloge za upravljanje svoje razmestitve Hybrid Data Security.

Nastavite urnik nadgradnje gruče

Če želite nastaviti urnik nadgradnje:

1	Prijavite se v Nadzorno središče.
2	Na strani Pregled v razdelku Hibridne storitve izberite Hibridna varnost podatkov.
3	Na strani Viri za varnost hibridnih podatkov izberite gručo.
4	Na plošči Pregled na desni v razdelku Nastavitve gruče izberite ime gruče.
5	Na strani z nastavitvami v razdelku Nadgradnja izberite čas in časovni pas za urnik nadgradnje. Opomba: Pod časovnim pasom sta prikazana datum in čas naslednje razpoložljive nadgradnje. Nadgradnjo lahko po potrebi prestavite na naslednji dan s klikom Odložiti.

Spremenite konfiguracijo vozlišča

Občasno boste morda morali spremeniti konfiguracijo svojega vozlišča Hybrid Data Security iz razlogov, kot so:

Spreminjanje potrdil x.509 zaradi poteka veljavnosti ali drugih razlogov.

Ne podpiramo spreminjanja imena domene CN potrdila. Domena se mora ujemati z izvirno domeno, uporabljeno za registracijo gruče.

Posodabljanje nastavitev baze podatkov za spremembo v repliko baze podatkov PostgreSQL ali Microsoft SQL Server.

Ne podpiramo selitve podatkov iz PostgreSQL v Microsoft SQL Server ali obratno. Če želite preklopiti okolje baze podatkov, začnite novo uvedbo Hybrid Data Security.

Ustvarjanje nove konfiguracije za pripravo novega podatkovnega centra.

Mehka ponastavitev— Staro in novo geslo delujeta do 10 dni. To obdobje uporabite za postopno zamenjavo datoteke ISO na vozliščih.
Trda ponastavitev— Stara gesla prenehajo delovati takoj.

Če vaša gesla potečejo brez ponastavitve, to vpliva na vašo storitev HDS, saj zahteva takojšnjo strojno ponastavitev in zamenjavo datoteke ISO na vseh vozliščih.

S tem postopkom ustvarite novo konfiguracijsko datoteko ISO in jo uporabite za vašo gručo.

Preden začneš

Če orodje za namestitev HDS deluje za proxyjem v vašem okolju, podajte nastavitve proxyja (strežnik, vrata, poverilnice) prek spremenljivk okolja Docker, ko prikažete vsebnik Docker v 1.e. Ta tabela podaja nekaj možnih spremenljivk okolja:

Opis	Spremenljivka
HTTP Proxy brez avtentikacije	`GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
HTTPS Proxy brez avtentikacije	`GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
HTTP proxy z avtentikacijo	`GLOBAL_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
HTTPS Proxy z avtentikacijo	`GLOBAL_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

Za ustvarjanje nove konfiguracije potrebujete kopijo trenutne konfiguracijske datoteke ISO. ISO vsebuje glavni ključ, ki šifrira bazo podatkov PostgreSQL ali Microsoft SQL Server. ISO potrebujete, ko spreminjate konfiguracijo, vključno s poverilnicami baze podatkov, posodobitvami potrdil ali spremembami pravilnika avtorizacije.

Z Dockerjem na lokalnem računalniku zaženite orodje za namestitev HDS.

V ukazno vrstico vašega računalnika vnesite ustrezen ukaz za vaše okolje:
V običajnih okoljih:
```
docker rmi ciscocitg/hds-setup:stable
```
V okoljih FedRAMP:
```
docker rmi ciscocitg/hds-setup-fedramp:stable
```
Ta korak počisti prejšnje slike orodja za nastavitev HDS. Če ni prejšnjih slik, vrne napako, ki jo lahko prezrete.
Za vpis v register slik Docker vnesite naslednje:
```
docker login -u hdscustomersro
```
Ob pozivu za geslo vnesite to zgoščeno vrednost:
```
dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
```

Prenesite najnovejšo stabilno sliko za vaše okolje:

V običajnih okoljih:

docker pull ciscocitg/hds-setup:stable

V okoljih FedRAMP:

docker pull ciscocitg/hds-setup-fedramp:stable

Prepričajte se, da ste za ta postopek uporabili najnovejšo namestitveno orodje. Različice orodja, ustvarjene pred 22. februarjem 2018, nimajo zaslonov za ponastavitev gesla.

Ko je vlečenje končano, vnesite ustrezen ukaz za vaše okolje:

V običajnih okoljih brez posrednika:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

V običajnih okoljih s strežnikom proxy HTTP:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

V običajnih okoljih s proxyjem HTTPS:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

V okoljih FedRAMP brez posrednika:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

V okoljih FedRAMP s strežnikom proxy HTTP:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

V okoljih FedRAMP s strežnikom proxy HTTPS:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Ko se vsebnik izvaja, vidite »Strežnik Express posluša na vratih 8080«.

Uporabite brskalnik za povezavo z lokalnim gostiteljem, http://127.0.0.1:8080.

Orodje za namestitev ne podpira povezovanja z lokalnim gostiteljem prek http://localhost:8080. Uporaba http://127.0.0.1:8080 za povezavo z lokalnim gostiteljem.

Ko ste pozvani, vnesite svoje poverilnice za prijavo stranke Control Hub in kliknite Sprejmi nadaljevati.
Uvozite trenutno konfiguracijsko datoteko ISO.
Sledite navodilom za dokončanje orodja in prenos posodobljene datoteke.

Če želite zaustaviti orodje za nastavitev, vnesite CTRL+C.
Ustvarite varnostno kopijo posodobljene datoteke v drugem podatkovnem centru.

Namestite HDS host OVA.
Nastavite HDS VM.
Namestite posodobljeno konfiguracijsko datoteko.
Registrirajte novo vozlišče v Control Hub.

Izklopite virtualni stroj.
V levem navigacijskem podoknu odjemalca VMware vSphere z desno miškino tipko kliknite VM in kliknite Uredi nastavitve.
Kliknite CD/DVD Drive 1, izberite možnost za namestitev iz datoteke ISO in poiščite mesto, kamor ste prenesli novo konfiguracijsko datoteko ISO.
Preverite Priključite ob vklopu.
Shranite spremembe in vklopite virtualni stroj.

Ponovite 3. korak, da zamenjate konfiguracijo na vsakem preostalem vozlišču, ki izvaja staro konfiguracijo.

Izklopite način razreševanja blokiranega zunanjega DNS-ja

Če lahko vaša vozlišča razrešijo javna imena DNS prek notranjih strežnikov DNS, lahko ta način izklopite tako, da na vsakem vozlišču znova zaženete preskus povezave proxy.

Preden začneš

Zagotovite, da lahko vaši notranji strežniki DNS razrešijo javna imena DNS in da lahko vaša vozlišča komunicirajo z njimi.

1	V spletnem brskalniku odprite vmesnik vozlišča Hybrid Data Security (naslov IP/nastavitev, npr. https://192.0.2.0/setup), vnesite skrbniške poverilnice, ki ste jih nastavili za vozlišče, in nato kliknite Prijava.
2	Pojdi do Pregled (privzeta stran). Ko je omogočeno, Blokirana zunanja razrešitev DNS je nastavljeno na ja.
3	Pojdi na Trust Store & Proxy strani.
4	Kliknite Preverite povezavo proxy. Če vidite sporočilo, da zunanja razrešitev DNS ni bila uspešna, vozlišče ni moglo doseči strežnika DNS in bo ostalo v tem načinu. V nasprotnem primeru, ko znova zaženete vozlišče in se vrnete na Pregled stran, Blokirana zunanja DNS resolucija mora biti nastavljena na št.

Kaj storiti naprej

Ponovite preizkus povezave proxy na vsakem vozlišču v vaši gruči Hybrid Data Security.

Odstranite vozlišče

Uporabite odjemalca VMware vSphere v vašem računalniku, da se prijavite v virtualni gostitelj ESXi in izklopite virtualni stroj.

Odstranite vozlišče:

Prijavite se v Control Hub in nato izberite Storitve.
Na kartici Hybrid Data Security kliknite Poglej vse za prikaz strani Hibridni viri za varnost podatkov.
Izberite svojo gručo, da prikažete njeno pregledno ploščo.
Kliknite Odpri seznam vozlišč.
Na zavihku Vozlišča izberite vozlišče, ki ga želite odstraniti.
Kliknite Dejanja > Odjavi vozlišče.

V odjemalcu vSphere izbrišite VM. (V levem podoknu za krmarjenje z desno miškino tipko kliknite VM in kliknite Izbriši.)

Če VM ne izbrišete, ne pozabite odklopiti konfiguracijske datoteke ISO. Brez datoteke ISO ne morete uporabljati VM za dostop do svojih varnostnih podatkov.

Obnovitev po nesreči z uporabo podatkovnega centra v pripravljenosti

Če katastrofa povzroči, da uvedba HDS v primarnem podatkovnem centru postane nerazpoložljiva, sledite temu postopku za ročni samodejni preklop v rezervni podatkovni center.

Zaženite orodje HDS Setup in sledite korakom, navedenim v Ustvarite konfiguracijski ISO za gostitelje HDS.

Ko konfigurirate strežnik Syslogd, kliknite na Napredne nastavitve

Na Napredne nastavitve stran, dodajte spodnjo konfiguracijo ali odstranite passiveMode konfiguracijo, da bo vozlišče aktivno. Vozlišče lahko obravnava promet, ko je to konfigurirano.


passiveMode: 'false'

Dokončajte postopek konfiguracije in shranite datoteko ISO na mesto, ki ga je enostavno najti.

V levem podoknu za krmarjenje odjemalca VMware vSphere z desno miškino tipko kliknite VM in kliknite Uredi nastavitve..

Kliknite Uredi nastavitve >CD/DVD pogon 1 in izberite Datastore ISO File.

Poskrbi Povezan in Priključite ob vklopu so označene, tako da lahko posodobljene konfiguracijske spremembe začnejo veljati po zagonu vozlišč.

Vklopite vozlišče HDS in se prepričajte, da ni alarmov vsaj 15 minut.

Ponovite postopek za vsako vozlišče v podatkovnem centru v pripravljenosti.

Kaj storiti naprej

(Izbirno) Odpni ISO po konfiguraciji HDS

Preden začneš

Nadgradite vsa svoja vozlišča HDS na različico 2021.01.22.4720 ali novejšo.

1	Zaustavite eno od vozlišč HDS.
2	V strežniški napravi vCenter izberite vozlišče HDS.
3	Izberite Uredi nastavitve > CD/DVD pogon in odkljukajte Datoteka ISO za shranjevanje podatkov.
4	Vklopite vozlišče HDS in zagotovite, da vsaj 20 minut ni alarmov.
5	Ponovite za vsako vozlišče HDS po vrsti.

Odpravljanje težav s hibridno varnostjo podatkov

Ogled opozoril in odpravljanje težav

Novih prostorov ni mogoče ustvariti (ni mogoče ustvariti novih ključev)
Sporočil in naslovov prostorov ni mogoče dešifrirati za:
- Novi uporabniki dodani v prostor (ni mogoče pridobiti ključev)
- Obstoječi uporabniki v prostoru, ki uporabljajo novega odjemalca (ni mogoče pridobiti ključev)
Obstoječi uporabniki v prostoru bodo še naprej uspešno delovali, dokler imajo njihovi odjemalci predpomnilnik šifrirnih ključev

Pomembno je, da pravilno spremljate svojo gručo Hybrid Data Security in nemudoma obravnavate vsa opozorila, da preprečite motnje storitve.

Opozorila

Tabela 1. Pogoste težave in koraki za njihovo rešitev
Opozorilo	Dejanje
Napaka pri dostopu do lokalne baze podatkov.	Preverite napake baze podatkov ali težave z lokalnim omrežjem.
Napaka povezave z lokalno bazo podatkov.	Preverite, ali je strežnik baze podatkov na voljo in ali so bile v konfiguraciji vozlišča uporabljene prave poverilnice storitvenega računa.
Napaka pri dostopu do storitve v oblaku.	Preverite, ali lahko vozlišča dostopajo do strežnikov Webex, kot je določeno v Zahteve za zunanjo povezljivost.
Podaljšanje registracije storitve v oblaku.	Registracija v storitvah v oblaku je bila opuščena. Podaljšanje registracije je v teku.
Registracija storitve v oblaku je padla.	Registracija v storitve v oblaku je prekinjena. Storitev se zapira.
Storitev še ni aktivirana.	Aktivirajte preskusno različico ali dokončajte premik preizkusne različice v produkcijo.
Konfigurirana domena se ne ujema s potrdilom strežnika.	Prepričajte se, da se vaše potrdilo strežnika ujema s konfigurirano domeno za aktiviranje storitve. Najverjetnejši vzrok je, da je bilo potrdilo CN nedavno spremenjeno in se zdaj razlikuje od CN, ki je bilo uporabljeno med prvotno nastavitvijo.
Preverjanje pristnosti v storitvah v oblaku ni uspelo.	Preverite točnost in morebiten potek poverilnic storitvenega računa.
Lokalne datoteke shrambe ključev ni bilo mogoče odpreti.	Preverite celovitost in točnost gesla v datoteki lokalne shrambe ključev.
Potrdilo lokalnega strežnika ni veljavno.	Preverite datum veljavnosti strežniškega potrdila in potrdite, da ga je izdal zaupanja vreden overitelj potrdil.
Ni mogoče objaviti meritev.	Preverite dostop lokalnega omrežja do zunanjih storitev v oblaku.
Imenik /media/configdrive/hds ne obstaja.	Preverite konfiguracijo namestitve ISO na virtualnem gostitelju. Preverite, ali datoteka ISO obstaja, ali je konfigurirana za namestitev ob ponovnem zagonu in ali je uspešno nameščena.

Odpravljanje težav s hibridno varnostjo podatkov

Pri odpravljanju težav s hibridno varnostjo podatkov upoštevajte naslednje splošne smernice.

1	Preglejte Control Hub za vsa opozorila in popravite vse elemente, ki jih najdete tam.
2	Preglejte izhod strežnika syslog za dejavnost razmestitve Hybrid Data Security.
3	Kontakt Cisco podpora.

Druge opombe

Znane težave pri hibridni varnosti podatkov

Če zaustavite svojo gručo Hybrid Data Security (tako da jo izbrišete v Control Hubu ali tako, da zaustavite vsa vozlišča), izgubite konfiguracijsko datoteko ISO ali izgubite dostop do baze podatkov shrambe ključev, vaši uporabniki aplikacije Webex ne morejo več uporabljati prostorov pod svojimi Ljudje seznam, ki so bili ustvarjeni s ključi iz vašega KMS. To velja tako za poskusno kot za proizvodno uvedbo. Trenutno nimamo rešitve ali popravka za to težavo in vas pozivamo, da ne zaustavite storitev HDS, ko obravnavajo aktivne uporabniške račune.
Odjemalec, ki ima obstoječo povezavo ECDH s KMS, vzdržuje to povezavo nekaj časa (verjetno eno uro). Ko uporabnik postane član preskusne različice Hybrid Data Security, uporabnikov odjemalec nadaljuje z uporabo obstoječe povezave ECDH, dokler ne poteče čas. Druga možnost je, da se uporabnik odjavi in znova prijavi v aplikacijo Webex App, da posodobi lokacijo, s katero se aplikacija obrne za šifrirne ključe.

Enako vedenje se zgodi, ko preizkus premaknete v proizvodnjo za organizacijo. Vsi uporabniki brez preskusne različice z obstoječimi povezavami ECDH s prejšnjimi storitvami za varnost podatkov bodo še naprej uporabljali te storitve, dokler se povezava ECDH ponovno ne dogovori (prek časovne omejitve ali z odjavo in ponovnim vstopom).

Uporabite OpenSSL za ustvarjanje datoteke PKCS12

Preden začneš

OpenSSL je eno orodje, ki ga lahko uporabite za izdelavo datoteke PKCS12 v ustreznem formatu za nalaganje v orodju za nastavitev HDS. Obstajajo drugi načini za to in ne podpiramo ali spodbujamo enega načina namesto drugega.
Če se odločite za uporabo OpenSSL, ponujamo ta postopek kot smernico za pomoč pri ustvarjanju datoteke, ki izpolnjuje zahteve potrdila X.509 v Zahteve za potrdilo X.509. Razumite te zahteve, preden nadaljujete.
Namestite OpenSSL v podprto okolje. glej https://www.openssl.org za programsko opremo in dokumentacijo.
Ustvari zasebni ključ.
Začnite ta postopek, ko prejmete strežniško potrdilo od svojega overitelja potrdil (CA).

1	Ko prejmete strežniško potrdilo od službe za potrdila, ga shranite kot `hdsnode.pem`.
2	Prikažite potrdilo kot besedilo in preverite podrobnosti. `openssl x509 -text -noout -in hdsnode.pem`
3	Z urejevalnikom besedila ustvarite datoteko svežnja potrdil, imenovano `hdsnode-bundle.pem`. Datoteka paketa mora vključevati potrdilo strežnika, vsa vmesna potrdila CA in korenska potrdila CA v spodnji obliki: `-----BEGIN CERTIFICATE----- ### Server certificate. ### -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ### Intermediate CA certificate. ### -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ### Root CA certificate. ### -----END CERTIFICATE-----`
4	Ustvarite datoteko .p12 s prijaznim imenom `kms-private-key`. `openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12`
5	Preverite podrobnosti potrdila strežnika. `openssl pkcs12 -in hdsnode.p12` Ob pozivu vnesite geslo za šifriranje zasebnega ključa, da bo naveden v izhodu. Nato preverite, ali zasebni ključ in prvo potrdilo vključujeta vrstice `friendlyName: kms-private-key`. primer: bash$ openssl pkcs12 -in hdsnode.p12 Enter Import Password: MAC verified OK Bag Attributes friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Key Attributes: <No Attributes> Enter PEM pass phrase: Verifying - Enter PEM pass phrase: -----BEGIN ENCRYPTED PRIVATE KEY----- <redacted> -----END ENCRYPTED PRIVATE KEY----- Bag Attributes friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 -----BEGIN CERTIFICATE----- <redacted> -----END CERTIFICATE----- Bag Attributes friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3 -----BEGIN CERTIFICATE----- <redacted> -----END CERTIFICATE-----

Kaj storiti naprej

Vrnitev na Izpolnite predpogoje za hibridno varnost podatkov. Uporabili boste hdsnode.p12 datoteko in geslo, ki ste ga nastavili zanjo, v Ustvarite konfiguracijski ISO za gostitelje HDS.

Te datoteke lahko znova uporabite za zahtevo po novem potrdilu, ko prvotno potrdilo poteče.

Promet med vozlišči HDS in oblakom

Odhodni promet zbiranja meritev

Dohodni promet

Vozlišča Hybrid Data Security prejemajo naslednje vrste vhodnega prometa iz oblaka Webex:

Zahteve za šifriranje odjemalcev, ki jih usmeri šifrirna storitev
Nadgradnje programske opreme vozlišča

Konfigurirajte posrednike Squid za hibridno varnost podatkov

Websocket se ne more povezati prek proxyja Squid

Lignji 4 in 5

Dodajte on_unsupported_protocol direktiva za squid.conf:

on_unsupported_protocol tunnel all

Lignji 3.5.27

Hibridno varnost podatkov smo uspešno preizkusili z dodanimi naslednjimi pravili squid.conf. Ta pravila se lahko spremenijo, ko razvijamo funkcije in posodabljamo oblak Webex.

acl wssMercuryConnection ssl::server_name_regex mercury-connection

ssl_bump splice wssMercuryConnection

acl step1 at_step SslBump1
acl step2 at_step SslBump2
acl step3 at_step SslBump3
ssl_bump peek step1 all
ssl_bump stare step2 all
ssl_bump bump step3 all

Predgovor

Nove in spremenjene informacije

Datum

Izvedene spremembe

20. oktober 2023

Posodobljene informacije v članku Zahteve za strežnik podatkovne zbirke.
Dodano Nastavitev rezervnega podatkovnega centra za obnovitev po nesreči.
Posodobljene informacije v spletnih straneh Rezervni podatkovni center za obnovitev po nesreči in Obnova po nesreči z uporabo rezervnega podatkovnega centra.

07. avgust 2023

Dodana opomba v Prenos namestitvenih datotek.
Dodana je opomba v Ustvari konfiguracijski ISO za gostitelje HDS in Spremeni konfiguracijo vozlišča.

23. maj 2023

Izbrisani podatki iz Zahteve strežnika podatkovne zbirke zahteva, da se funkcija omogoči tako, da se obrnete na ekipo za račune.
Posodobljene informacije v Zahteve za zunanjo povezljivost in dodana Kanada v preglednico gostiteljev CI.
V spletno mesto Expectations for Deploying Hybrid Data Security je dodana opomba o nedostopnosti mehanizmov za prenos ključev nazaj v oblak.

december 06, 2022

Slike orodja HDS Setup Tool zdaj gostujejo v skladišču ciscocitg dockerhub.
Posodobljene teme Ustvari konfiguracijski ISO za gostitelje HDS in Spremeni konfiguracijo vozlišča , da bi upoštevali spremembe ukazov.

november 23, 2022

Vozlišča HDS lahko zdaj uporabljajo avtentikacijo Windows proti strežniku Microsoft SQL Server.

Tema Zahteve za strežnik podatkovne zbirke je posodobljena z dodatnimi zahtevami za ta način preverjanja pristnosti.

Posodobljeno Ustvari konfiguracijski ISO za gostitelje HDS s postopkom za konfiguracijo overjanja Windows v vozliščih.
Posodobitev teme Zahteve za strežnik podatkovne baze z novimi minimalnimi zahtevanimi različicami (PostgreSQL 10).

13. oktober 2021

Preden lahko namestite vozlišča HDS, mora namizje Docker Desktop zagnati namestitveni program. Glejte Zahteve za namizje Docker.

24. junij 2021

Upoštevajte, da lahko datoteko z zasebnim ključem in CSR ponovno uporabite za zahtevo za drugo potrdilo. Za podrobnosti glejte Uporaba OpenSSL za generiranje datoteke PKCS12 .

30. april 2021

Zahtevo VM za prostor na lokalnem trdem disku spremenite na 30 GB. Za podrobnosti glejte Zahteve za virtualne gostitelje .

24. februar 2021

Orodje za namestitev HDS se zdaj lahko zažene za posredniškim strežnikom. Za podrobnosti glejte Create a Configuration ISO for the HDS Hosts .

2. februar 2021

HDS lahko zdaj zaženete brez nameščene datoteke ISO. Za podrobnosti glejte (Optional) Unmount ISO After HDS Configuration .

11. januar 2021

Dodane informacije o orodju za nastavitev HDS in posrednikih na naslov Ustvarite konfiguracijski ISO za gostitelje HDS.

oktober 13, 2020

Posodobljeno Prenesite namestitvene datoteke.

oktober 8, 2020

Posodobljeno Ustvari konfiguracijski ISO za gostitelje HDS in Spremeni konfiguracijo vozlišča z ukazi za okolja FedRAMP.

avgust 14, 2020

Posodobljeno Ustvari konfiguracijski ISO za gostitelje HDS in Spremeni konfiguracijo vozlišča s spremembami postopka prijave.

avgust 5, 2020

Posodobljeno Test Your Hybrid Data Security Deployment za spremembe v dnevniških sporočilih.

Posodobljeno Zahteve za virtualne gostitelje za odstranitev največjega števila gostiteljev.

junij 16, 2020

Posodobljeno Odstranitev vozlišča za spremembe v uporabniškem vmesniku nadzornega vozlišča.

junij 4, 2020

Posodobljeno Ustvari konfiguracijski ISO za gostitelje HDS za spremembe v naprednih nastavitvah, ki jih lahko nastavite.

maj 29, 2020

Posodobljeno Ustvari konfiguracijski ISO za gostitelje HDS za prikaz, da lahko TLS uporabljate tudi s podatkovnimi bazami strežnika SQL Server, spremembe uporabniškega vmesnika in druga pojasnila.

maj 5, 2020

Posodobljeno Zahteve za virtualne gostitelje za prikaz novih zahtev ESXi 6.5.

april 21, 2020

Posodobljeno Zahteve za zunanjo povezljivost z novimi gostitelji Americas CI.

april 1, 2020

Posodobljeno Zahteve za zunanjo povezljivost z informacijami o regionalnih gostiteljih CI.

februar 20, 2020 Posodobljeno Create a Configuration ISO for the HDS Hosts z informacijami o novem izbirnem zaslonu Advanced Settings v orodju HDS Setup Tool.

februar 4, 2020 Posodobljeno Zahteve za strežnik proxy.

16. december 2019 Pojasnjena zahteva za delovanje načina blokirane zunanje resolucije DNS v Zahteve za strežnik proxy.

november 19, 2019

V naslednjih razdelkih so dodane informacije o načinu blokirane zunanje resolucije DNS:

Podpora za proxy strežnike
Konfiguracija vozlišča HDS za integracijo proxy strežnika
Izklopite način blokiranega zunanjega DNS razreševanja

november 8, 2019

Zdaj lahko omrežne nastavitve za vozlišče konfigurirate med nameščanjem OVA in ne šele pozneje.

Ustrezno posodobite naslednje oddelke:

Potek opravil pri uvajanju hibridne varnosti podatkov
Namestitev HDS Host OVA
Nastavitev hibridnega VM za varnost podatkov

Možnost konfiguracije omrežnih nastavitev med namestitvijo OVA je bila preizkušena s sistemom ESXi 6.5. Ta možnost morda ni na voljo v prejšnjih različicah.

6. september 2019

Dodan SQL Server Standard v Zahteve za strežnik podatkovne zbirke.

avgust 29, 2019 Dodan dodatek Configure Squid Proxyies for Hybrid Data Security z navodili za konfiguracijo Squid proxyjev, da za pravilno delovanje ignorirajo promet spletnih vtičnic.

avgust 20, 2019

Dodani in posodobljeni razdelki, ki zajemajo podporo posrednika za komunikacijo vozlišča Hybrid Data Security z oblakom Webex.

Podpora za proxy strežnike
Zahteve za proxy strežnik
Konfiguracija vozlišča HDS za integracijo proxy strežnika

Če želite dostopati samo do vsebine podpore za posrednike za obstoječo namestitev, si oglejte članek pomoči Proxy Support for Hybrid Data Security and Webex Video Mesh .

13. junij 2019 Posodobljen Potek opravil od poskusnega do produkcijskega sistema z opomnikom, da je treba pred začetkom poskusnega delovanja sinhronizirati objekt skupine HdsTrialGroup , če vaša organizacija uporablja sinhronizacijo imenikov.

6. marec 2019

Zahteve in predpogoji so se preselili v ločeno poglavje, Pripravite svoje okolje.
Dodan je pregled poteka nalog za namestitev hibridnega varovanja podatkov v poglavju Nastavitev gruče hibridnega varovanja podatkov.

Upoštevajte, da dokler ne začnete poskusnega delovanja (z uporabo navodil v naslednjem poglavju), vozlišča ustvarjajo alarm, ki označuje, da vaša storitev še ni aktivirana.
Dodan je potek opravil Preizkusno v produkcijo v poglavju Izvedba preizkusa in prenos v produkcijo.

28. februar 2019

Popravljena je količina prostora na lokalnem trdem disku na strežnik, ki jo morate rezervirati pri pripravi navideznih gostiteljev, ki postanejo vozlišča hibridne varnosti podatkov, s 50 GB na 20 GB, da se upošteva velikost diska, ki ga ustvari OVA.

26. februar 2019

Vozlišča hibridne varnosti podatkov zdaj podpirajo šifrirane povezave s strežniki zbirke podatkov PostgreSQL in šifrirane povezave za beleženje s strežnikom syslog, ki podpira TLS. Posodobljeno Ustvari konfiguracijski ISO za gostitelje HDS z navodili.
Iz preglednice "Zahteve glede internetne povezljivosti za virtualne stroje hibridnih vozlišč za varnost podatkov" odstranite ciljne naslove URL. Tabela se zdaj sklicuje na seznam, ki je shranjen v tabeli "Dodatni naslovi URL za hibridne storitve Webex Teams" v Omrežne zahteve za storitve Webex Teams.

januar 24, 2019

Hibridna varnost podatkov zdaj podpira Microsoft SQL Server kot podatkovno zbirko. SQL Server Always On (Always On Failover Clusters in Always on Availability Groups) je podprt z gonilniki JDBC, ki se uporabljajo v sistemu Hybrid Data Security. Dodana vsebina, povezana z nameščanjem s strežnikom SQL Server.

Podpora za Microsoft SQL Server je namenjena samo novim namestitvam hibridnega varovanja podatkov. Trenutno ne podpiramo migracije podatkov iz PostgreSQLa v Microsoft SQL Server v obstoječi namestitvi.

5. november 2018

Dodan je predhodni korak za čiščenje vseh obstoječih instanc docker hds v Ustvarite konfiguracijski ISO za gostitelje HDS in Spremenite konfiguracijo vozlišča.
Posodobljen je korak ravni dostopa do ključa v Create a Configuration ISO for the HDS Hosts , da se ujema z vmesnikom.

oktober 19, 2018

Informacije o povezavi s požarnim zidom razdelite na zahteve za vozlišča in zahteve za konfiguracijski stroj ISO v . Izpolnite Predpogoje za hibridno varnost podatkov.

julij 31, 2018

Dodana so vrata 22 (dostop SSH) in informacije o povezavah NAT in požarnega zidu na naslov Complete the Prerequisites for Hybrid Data Security.

21. maj 2018

Spremenjena terminologija, ki odraža novo blagovno znamko Cisco Spark:

Cisco Spark Hybrid Data Security je zdaj Hybrid Data Security.
Aplikacija Cisco Spark je zdaj aplikacija Webex App.
Oblak Cisco Collaboraton Cloud je zdaj oblak Webex.

april 11, 2018

Dodano Rezervni podatkovni center za obnovitev po nesreči.
Posodobljeno Izpolnite polje Predpogoji za hibridno varnost podatkov in določite, da mora biti okolje za varnostno kopiranje v drugem podatkovnem središču.
Posodobljeno Obnovitev po katastrofi z uporabo rezervnega podatkovnega centra.

22. februar 2018

Dodane so informacije o devetmesečni življenjski dobi gesla servisnega računa in uporabi orodja HDS Setup za ponastavitev gesel servisnega računa v poglavjih Ustvarjanje konfiguracijskega ISO za gostitelje HDS in Sprememba konfiguracije vozlišča.

februar 15, 2018

V preglednici Zahteve za potrdilo X.509 določite, da potrdilo ne sme biti potrdilo z nadomestnimi znaki in da KMS uporablja domeno CN in ne katere koli domene, ki je opredeljena v poljih x.509v3 SAN.

januar 18, 2018

Dodan dodatek, Promet med vozlišči HDS in oblakom.
Odstranjena rešena težava iz spletne strani Znane težave za hibridno varnost podatkov.
Indeks.docker.io spremenite v *.docker.io in dodajte *.cloudfront.net na seznam zahtev za povezljivost TCP za vozlišča HDS v . Dokončajte poglavje Predpogoji za hibridno varnost podatkov.
Posodobljeno Ustvari konfiguracijo ISO za gostitelje HDS za navedbo, da če gostitelj podatkovne zbirke in strežnik Syslogd nista razrešljiva DNS iz vozlišč HDS, ju morate konfigurirati z uporabo naslovov IP.

2. november 2017

Pojasnjena je bila sinhronizacija imenika skupine HdsTrialGroup.
Popravljena navodila za prenos konfiguracijske datoteke ISO za namestitev v vozlišča VM.

avgust 18, 2017

Prva objava

Začnite s hibridno varnostjo podatkov

Pregled hibridne varnosti podatkov

Pri oblikovanju aplikacije Webex je bila varnost podatkov od prvega dne v ospredju. Temelj te varnosti je šifriranje vsebine od konca do konca, ki ga omogočajo odjemalci aplikacije Webex v interakciji s storitvijo za upravljanje ključev (KMS). KMS je odgovoren za ustvarjanje in upravljanje kriptografskih ključev, ki jih odjemalci uporabljajo za dinamično šifriranje in dešifriranje sporočil in datotek.

Privzeto je vsem strankam aplikacije Webex App na voljo šifriranje od konca do konca z dinamičnimi ključi, shranjenimi v oblaku KMS, v Ciscovem varnostnem območju. Hibridno varovanje podatkov prenese sistem KMS in druge funkcije, povezane z varnostjo, v podatkovno središče podjetja, tako da ključe za šifrirano vsebino nima nihče razen vas.

Arhitektura varnostnega območja

Arhitektura oblaka Webex ločuje različne vrste storitev v ločena področja ali domene zaupanja, kot je prikazano spodaj.

***Področja ločitve (brez hibridne varnosti podatkov)***

Da bi bolje razumeli hibridno varnost podatkov, si najprej oglejmo primer čistega oblaka, v katerem Cisco zagotavlja vse funkcije v svojem oblaku. Identitetna storitev, edino mesto, kjer je mogoče uporabnike neposredno povezati z njihovimi osebnimi podatki, kot je e-poštni naslov, je logično in fizično ločena od varnostnega področja v podatkovnem središču B. Oboje pa je ločeno od področja, kjer je šifrirana vsebina shranjena, in sicer v podatkovnem središču C.

V tem diagramu je odjemalec aplikacija Webex, ki teče v uporabnikovem prenosnem računalniku in se je avtentificirala s storitvijo identitete. Ko uporabnik sestavi sporočilo za pošiljanje v prostor, se izvedejo naslednji koraki:

Odjemalec vzpostavi varno povezavo s storitvijo za upravljanje ključev (KMS), nato pa zahteva ključ za šifriranje sporočila. Varna povezava uporablja ECDH, KMS pa šifrira ključ z glavnim ključem AES-256.
Sporočilo je šifrirano, preden zapusti odjemalca. Odjemalec ga pošlje storitvi indeksiranja, ki ustvari šifrirane iskalne indekse za pomoč pri prihodnjih iskanjih vsebine.
Šifrirano sporočilo je poslano storitvi za preverjanje skladnosti.
Šifrirano sporočilo je shranjeno v območju shranjevanja.

Pri uvajanju hibridnega varovanja podatkov prenesete funkcije varnostnega področja (KMS, indeksiranje in skladnost) v lokalno podatkovno središče. Druge storitve v oblaku, ki sestavljajo Webex (vključno z identiteto in shranjevanjem vsebine), ostajajo v Ciscovem dometu.

Sodelovanje z drugimi organizacijami

Uporabniki v vaši organizaciji lahko aplikacijo Webex redno uporabljajo za sodelovanje z zunanjimi udeleženci v drugih organizacijah. Ko eden od vaših uporabnikov zahteva ključ za prostor, ki je v lasti vaše organizacije (ker ga je ustvaril eden od vaših uporabnikov), vaš sistem KMS pošlje ključ odjemalcu prek zaščitenega kanala ECDH. Če pa je ključ za prostor v lasti druge organizacije, vaša KMS posreduje zahtevo v oblak Webex prek ločenega kanala ECDH, da pridobi ključ iz ustrezne KMS, nato pa ključ vrne uporabniku prek prvotnega kanala.

Storitev KMS, ki teče v organizaciji Org A, potrjuje povezave s KMS v drugih organizacijah z uporabo potrdil x.509 PKI. Podrobnosti o ustvarjanju potrdila x.509, ki ga boste uporabili pri uvajanju hibridne zaščite podatkov, najdete na spletnem mestu Prepare Your Environment (Priprava okolja) .

Pričakovanja pri uvajanju hibridne varnosti podatkov

Za uvedbo hibridne varnosti podatkov sta potrebna velika zavezanost stranke in zavedanje tveganj, ki jih prinaša lastništvo šifrirnih ključev.

Če želite namestiti hibridno varovanje podatkov, morate zagotoviti:

Varen podatkovni center v državi, ki je podprta lokacija za načrte Cisco Webex Teams.
Oprema, programska oprema in dostop do omrežja, opisani v poglavju Priprava okolja.

Popolna izguba konfiguracijskega ISO, ki ga sestavite za Hybrid Data Security, ali podatkovne zbirke, ki jo zagotovite, bo povzročila izgubo ključev. Izguba ključa uporabnikom preprečuje dešifriranje vsebine prostora in drugih šifriranih podatkov v aplikaciji Webex. Če se to zgodi, lahko ustvarite novo namestitev, vendar bo vidna le nova vsebina. Če želite preprečiti izgubo dostopa do podatkov, morate:

Upravljanje varnostnega kopiranja in obnovitve podatkovne zbirke ter konfiguracije ISO.
Bodite pripravljeni na hitro obnovitev v primeru katastrofe, kot je odpoved diska podatkovne zbirke ali nesreča podatkovnega centra.

Po namestitvi HDS ni mehanizma za prenos ključev nazaj v oblak.

Postopek nastavitve na visoki ravni

Ta dokument obravnava nastavitev in upravljanje hibridne namestitve varovanja podatkov:

Nastavitev Hybrid Data Security- To vključuje pripravo potrebne infrastrukture in namestitev programske opreme Hybrid Data Security, testiranje namestitve s podskupino uporabnikov v poskusnem načinu in po končanem testiranju prehod v produkcijo. Tako celotna organizacija za varnostne funkcije uporablja vašo gručo Hybrid Data Security.
Faze namestitve, preskušanja in proizvodnje so podrobno opisane v naslednjih treh poglavjih.
Vzdrževanje uvedbe hibridne varnosti podatkov- Oblak Webex samodejno zagotavlja stalne nadgradnje. Vaš oddelek IT lahko zagotovi prvo stopnjo podpore za to namestitev in po potrebi pritegne Ciscovo podporo. V vozlišču Control Hub lahko uporabljate obvestila na zaslonu in nastavite opozorila prek e-pošte.
Razumevanje pogostih opozoril, korakov za odpravljanje težav in znanih težav-Če naletite na težave pri uvajanju ali uporabi Hybrid Data Security, vam lahko zadnje poglavje tega priročnika in dodatek Znane težave pomagata ugotoviti in odpraviti težavo.

Hibridni model uvajanja varnosti podatkov

V podatkovnem središču podjetja namestite hibridno varovanje podatkov kot eno samo gručo vozlišč na ločenih navideznih gostiteljih. Vozlišča komunicirajo z oblakom Webex prek varnih spletnih vtičnikov in varnega protokola HTTP.

Med postopkom namestitve vam zagotovimo datoteko OVA za namestitev virtualne naprave na virtualne računalnike, ki jih zagotovite. Z orodjem HDS Setup Tool ustvarite konfiguracijsko datoteko ISO po meri gruče, ki jo namestite na vsako vozlišče. Grozd Hybrid Data Security uporablja strežnik Syslogd in podatkovno zbirko PostgreSQL ali Microsoft SQL Server. (Podrobnosti o povezavi Syslogd in podatkovne baze konfigurirate v orodju HDS Setup Tool.)

Hibridni model uvajanja varnosti podatkov

Najmanjše število vozlišč v gruči sta dve. Priporočamo vsaj tri, lahko pa tudi do pet. Več vozlišč zagotavlja, da storitev ni prekinjena med nadgradnjo programske opreme ali drugimi vzdrževalnimi dejavnostmi v vozlišču. (Oblak Webex nadgradi le eno vozlišče naenkrat.)

Vsa vozlišča v gruči dostopajo do istega podatkovnega skladišča ključev in beležijo dejavnost v isti strežnik syslog. Sama vozlišča so brez stanja in po navodilih oblaka krožno obdelujejo zahtevke za ključe.

Vozlišča postanejo aktivna, ko jih registrirate v vozlišču Control Hub. Posamezno vozlišče lahko odjavite iz uporabe in ga pozneje po potrebi ponovno registrirate.

Podpiramo le eno gručo na organizacijo.

Poskusni način hibridne varnosti podatkov

Ko nastavite namestitev hibridne varnosti podatkov, jo najprej preizkusite z nizom pilotnih uporabnikov. V poskusnem obdobju ti uporabniki uporabljajo lokalno domeno Hybrid Data Security za šifrirne ključe in druge storitve varnostnega področja. Drugi uporabniki še naprej uporabljajo varnostno območje v oblaku.

Če se odločite, da med poskusnim obdobjem ne boste nadaljevali z uvajanjem, in deaktivirate storitev, bodo pilotni uporabniki in vsi uporabniki, s katerimi so sodelovali z ustvarjanjem novih prostorov med poskusnim obdobjem, izgubili dostop do sporočil in vsebine. V aplikaciji Webex se bo prikazalo sporočilo "This message cannot be decrypted" (Tega sporočila ni mogoče dešifrirati).

Če ste prepričani, da namestitev dobro deluje za poskusne uporabnike, in ste pripravljeni razširiti hibridno varovanje podatkov na vse uporabnike, prenesite namestitev v produkcijo. Pilotni uporabniki imajo še naprej dostop do ključev, ki so jih uporabljali med poskusnim delom. Vendar se ne morete premikati med produkcijskim načinom in prvotnim poskusnim delom. Če morate deaktivirati storitev, na primer zaradi obnovitve po nesreči, morate ob ponovni aktivaciji začeti novo poskusno različico in nastaviti nabor pilotnih uporabnikov za novo poskusno različico, preden se vrnete v produkcijski način. Ali uporabniki na tej točki ohranijo dostop do podatkov, je odvisno od tega, ali ste uspešno vzdrževali varnostne kopije shrambe ključnih podatkov in konfiguracijske datoteke ISO za vozlišča Hybrid Data Security v gruči.

Rezervni podatkovni center za obnovitev po nesreči

Med uvajanjem vzpostavite varen rezervni podatkovni center. V primeru okvare podatkovnega centra lahko namestitev ročno prenesete v rezervni podatkovni center.

Podatkovni center A ima pred prevzemom v okvari aktivna vozlišča HDS in primarno zbirko podatkov PostgreSQL ali Microsoft SQL Server, podatkovni center B pa ima kopijo datoteke ISO z dodatnimi konfiguracijami, virtualne stroje, ki so registrirani v organizaciji, in rezervno zbirko podatkov. Po prevzemu podatkovnega središča B so aktivna vozlišča HDS in primarna zbirka podatkov, medtem ko so v podatkovnem središču A neregistrirani virtualni stroji in kopija datoteke ISO, zbirka podatkov pa je v načinu pripravljenosti. — ***Ročni preklop na rezervno podatkovno središče***

Podatkovne zbirke aktivnega in rezervnega podatkovnega centra so med seboj sinhronizirane, kar skrajša čas, potreben za izvedbo preklopa. Datoteka ISO rezervnega podatkovnega središča je posodobljena z dodatnimi konfiguracijami, ki zagotavljajo, da so vozlišča registrirana v organizaciji, vendar ne obdelujejo prometa. Zato so vozlišča rezervnega podatkovnega centra vedno posodobljena z najnovejšo različico programske opreme HDS.

Aktivna vozlišča Hybrid Data Security morajo biti vedno v istem podatkovnem centru kot aktivni strežnik podatkovne zbirke.

Nastavitev rezervnega podatkovnega centra za obnovitev po nesreči

Po spodnjih korakih konfigurirajte datoteko ISO rezervnega podatkovnega središča:

Preden začnete

Rezervni podatkovni center mora biti zrcalno podoben produkcijskemu okolju virtualnih strojev in rezervni podatkovni bazi PostgreSQL ali Microsoft SQL Server. Če so na primer v produkcijskem okolju 3 virtualni stroji z vozlišči HDS, morajo biti v varnostnem okolju 3 virtualni stroji. (Za pregled tega modela prehoda v sili glejte Rezervni podatkovni center za obnovitev po nesreči .)
Prepričajte se, da je omogočena sinhronizacija zbirke podatkov med zbirko podatkov aktivnega in pasivnega vozlišča gruče.

Zagon orodja HDS Setup in sledite korakom, navedenim v Create a Configuration ISO for the HDS Hosts.

Datoteka ISO mora biti kopija originalne datoteke ISO primarnega podatkovnega centra, na kateri bodo izvedene naslednje posodobitve konfiguracije.

Ko konfigurirate strežnik Syslogd, kliknite na Advanced Settings.

Na strani Advanced Settings dodajte spodnjo konfiguracijo, da vozlišče preklopite v pasivni način. V tem načinu bo vozlišče registrirano v organizaciji in povezano z oblakom, vendar ne bo izvajalo nobenega prometa.

 pasivni način: 'true'

Dokončajte postopek konfiguracije in shranite datoteko ISO na mesto, ki ga boste zlahka našli.

Naredite varnostno kopijo datoteke ISO v lokalnem sistemu. Varnostno kopijo hranite na varnem. Ta datoteka vsebuje glavni šifrirni ključ za vsebino zbirke podatkov. Omejite dostop samo tistim skrbnikom programa Hybrid Data Security, ki morajo izvajati spremembe konfiguracije.

V levem navigacijskem podoknu odjemalca VMware vSphere desno kliknite na VM in kliknite Edit Settings..

Kliknite Edit Settings >CD/DVD Drive 1 in izberite Datastore ISO File.

Prepričajte se, da sta označeni možnosti Connected in Connect at power on , da bodo posodobljene spremembe konfiguracije začele veljati po zagonu vozlišč.

Vključite vozlišče HDS in se prepričajte, da vsaj 15 minut ni alarmov.

Postopek ponovite za vsa vozlišča v rezervnem podatkovnem središču.

V dnevnikih syslog preverite, ali so vozlišča v pasivnem načinu. V dnevniku syslogs bi moralo biti prikazano sporočilo "KMS konfiguriran v pasivnem načinu".

Kaj storiti naprej

Ko v datoteki ISO konfigurirate passiveMode in jo shranite, lahko ustvarite drugo kopijo datoteke ISO brez konfiguracije passiveMode in jo shranite na varno mesto. Ta kopija datoteke ISO brez konfiguriranega passiveMode lahko pomaga pri hitrem postopku preklopa na drugo napravo med obnovitvijo po nesreči. Za podroben postopek preklopa v primeru odpovedi glejte Disaster Recovery using Standby Data Center .

Podpora za proxy strežnike

Hibridna varnost podatkov podpira eksplicitne, pregledne in nepregledne proxyje. Te proxyje lahko povežete z namestitvijo, tako da lahko zaščitite in spremljate promet iz podjetja v oblak. Po nastavitvi posrednika v vozliščih lahko za upravljanje certifikatov in preverjanje splošnega stanja povezljivosti v vozliščih uporabljate upraviteljski vmesnik platforme v vozliščih.

Vozlišča Hybrid Data Security podpirajo naslednje možnosti posrednikov:

No proxy- privzeto, če za vključitev posrednika ne uporabljate konfiguracije HDS Trust Store & Proxy v nastavitvah vozlišča. Posodobitev certifikata ni potrebna.
Transparentni nezahteven posredniški strežnik- Vozlišča niso konfigurirana za uporabo določenega naslova posredniškega strežnika in za delovanje z nezahtevenim posredniškim strežnikom ne bi smela zahtevati nobenih sprememb. Posodobitev certifikata ni potrebna.
Transparent tunneling or inspecting proxy-Vmesniki niso konfigurirani za uporabo določenega naslova strežnika proxy. V vozliščih ni treba spremeniti konfiguracije HTTP ali HTTPS. Vendar pa vozlišča potrebujejo korensko potrdilo, da lahko zaupajo posredniku. Proxyje za pregledovanje običajno uporabljajo oddelki IT za uveljavljanje pravilnikov o tem, katera spletna mesta je mogoče obiskati in katere vrste vsebine niso dovoljene. Ta vrsta posredniškega strežnika dešifrira ves vaš promet (tudi HTTPS).
Izrecni posrednik- Z izrecnim posrednikom vozliščem HDS poveste, kateri posredniški strežnik in shemo overjanja naj uporabijo. Če želite konfigurirati eksplicitni posrednik, morate v vsako vozlišče vnesti naslednje informacije:
1. Proxy IP/FQDN-Adres, s katerim lahko dosežete proxy napravo.
2. Proxy Port-številka vrat, ki jih proxy uporablja za poslušanje posredovanega prometa.
3. Protokol posredniškega strežnika- Glede na to, kaj podpira vaš posredniški strežnik, lahko izbirate med naslednjimi protokoli:
  - HTTP - pregleduje in nadzoruje vse zahteve, ki jih pošlje odjemalec.
  - HTTPS - zagotavlja kanal do strežnika. Odjemalec prejme in potrdi strežnikovo potrdilo.
4. Vrsta avtentikacije- Izberite eno od naslednjih vrst avtentikacije:
  - Ni-Ne zahteva se nobeno dodatno preverjanje pristnosti.
    
    Na voljo, če kot protokol proxy izberete HTTP ali HTTPS.
  - Basic- Uporablja se za uporabniškega agenta HTTP, da pri zahtevku navede uporabniško ime in geslo. Uporablja kodiranje Base64.
    
    Na voljo, če kot protokol proxy izberete HTTP ali HTTPS.
    
    Zahteva vnos uporabniškega imena in gesla na vsakem vozlišču.
  - Digest- Uporablja se za potrditev računa pred pošiljanjem občutljivih informacij. Pred pošiljanjem po omrežju uporabniško ime in geslo opremi s funkcijo hash.
    
    Na voljo samo, če kot protokol posredniškega strežnika izberete HTTPS.
    
    Zahteva vnos uporabniškega imena in gesla na vsakem vozlišču.

Primer hibridnih vozlišč za varnost podatkov in posredniškega strežnika

Ta diagram prikazuje primer povezave med hibridnim sistemom za varnost podatkov, omrežjem in posredniškim strežnikom. Za možnosti preglednega pregledovanja in izrecnega pregledovanja HTTPS prek posrednika mora biti v posredniku in vozliščih Hybrid Data Security nameščeno isto korensko potrdilo.

Način blokirane zunanje resolucije DNS (eksplicitne konfiguracije proxy strežnikov)

Ko registrirate vozlišče ali preverite konfiguracijo posredniškega strežnika vozlišča, postopek preizkusi iskanje DNS in povezljivost z oblakom Cisco Webex. Če v namestitvah z izrecnimi konfiguracijami posrednikov, ki ne omogočajo zunanjega razreševanja DNS za notranje odjemalce, vozlišče ne more poizvedovati po strežnikih DNS, samodejno preide v način blokiranega zunanjega razreševanja DNS. V tem načinu se lahko nadaljuje registracija vozlišča in drugi preskusi povezljivosti posredniškega strežnika.

Priprava okolja

Zahteve za varnost hibridnih podatkov

Zahteve za licenco Cisco Webex

Uvajanje hibridne varnosti podatkov:

Imeti morate paket Pro Pack za Cisco Webex Control Hub. (Glej https://www.cisco.com/go/pro-pack.)

Zahteve za namizje Docker

Preden namestite vozlišča HDS, morate na namizju Docker Desktop zagnati namestitveni program. Docker je pred kratkim posodobil svoj model licenciranja. Vaša organizacija bo morda zahtevala plačljivo naročnino za program Docker Desktop. Za podrobnosti glejte objavo na Dockerjevem blogu " Docker posodablja in razširja naročnine na izdelke".

Zahteve za potrdilo X.509

Veriga potrdil mora izpolnjevati naslednje zahteve:

Tabela 1. Zahteve za potrdilo X.509 za uvajanje hibridne varnosti podatkov
Zahteva	Podrobnosti
Podpisal ga je zaupanja vreden organ za izdajo potrdil (CA).	Privzeto zaupamo CA s seznama Mozilla (razen WoSign in StartCom) na naslovu https://wiki.mozilla.org/CA:IncludedCAs.
nosi ime domene Common Name (CN), ki identificira vašo namestitev hibridnega varovanja podatkov. Ni nadomestno potrdilo	Ni treba, da je CN dosegljiv ali da je gostitelj v živo. Priporočamo, da uporabite ime, ki odraža vašo organizacijo, na primer `hds.company.com`. CN ne sme vsebovati * (nadomestni znak). CN se uporablja za preverjanje vozlišč hibridne varnosti podatkov za odjemalce aplikacije Webex. Vsa vozlišča Hybrid Data Security v gruči uporabljajo isto potrdilo. Vaša KMS se identificira z domeno CN in ne s katero koli domeno, ki je opredeljena v poljih x.509v3 SAN. Ko enkrat registrirate vozlišče s tem potrdilom, ne podpiramo spreminjanja imena domene CN. Izberite domeno, ki lahko velja tako za poskusno kot za produkcijsko namestitev.
Podpis, ki ni podpis SHA1	Programska oprema KMS ne podpira podpisov SHA1 za potrjevanje povezav s KMS drugih organizacij.
oblikovan kot datoteka PKCS #12, zaščitena z geslom. Uporabite prijazno ime `kms-private-key` , da označite potrdilo, zasebni ključ in vsa vmesna potrdila, ki jih želite naložiti.	Za spremembo oblike potrdila lahko uporabite pretvornik, kot je OpenSSL. Geslo boste morali vnesti, ko boste zagnali orodje za nastavitev HDS.

Programska oprema KMS ne uveljavlja omejitev uporabe ključa ali razširjene uporabe ključa. Nekateri organi za potrdila zahtevajo, da se za vsako potrdilo uporabijo razširjene omejitve uporabe ključa, kot je na primer preverjanje pristnosti strežnika. Lahko uporabite preverjanje pristnosti strežnika ali druge nastavitve.

Zahteve za virtualne gostitelje

Navidezni gostitelji, ki jih boste nastavili kot vozlišča hibridne varnosti podatkov v gruči, imajo naslednje zahteve:

Vsaj dva ločena gostitelja (priporočljivo 3), nameščena v istem varnem podatkovnem centru.
Nameščen in zagnan sistem VMware ESXi 6.5 (ali novejši).

Če imate prejšnjo različico ESXi, morate nadgraditi.
Najmanj 4 vCPU, 8 GB glavnega pomnilnika, 30 GB prostora na lokalnem trdem disku na strežnik

Zahteve za strežnik zbirke podatkov

Ustvarite novo zbirko podatkov za shranjevanje ključev. Ne uporabljajte privzete zbirke podatkov. Aplikacije HDS ob namestitvi ustvarijo shemo podatkovne zbirke.

Za strežnik zbirke podatkov sta na voljo dve možnosti. Zahteve za vsako od njih so naslednje:

Preglednica 2. Zahteve za strežnik podatkovne zbirke glede na vrsto podatkovne zbirke

PostgreSQL

Microsoft SQL Server

PostgreSQL 14, 15 ali 16, nameščen in zagnan.

nameščen strežnik SQL Server 2016, 2017 ali 2019 (Enterprise ali Standard).

SQL Server 2016 zahteva servisni paket 2 in kumulativno posodobitev 2 ali novejšo.

Najmanj 8 vCPU, 16 GB glavnega pomnilnika, dovolj prostora na trdem disku in spremljanje, da se zagotovi, da ni presežen (priporočljivo je 2 TB, če želite podatkovno zbirko uporabljati dlje časa brez potrebe po povečanju pomnilnika).

Programska oprema HDS trenutno za komunikacijo s strežnikom podatkovne zbirke namesti naslednje različice gonilnikov:

PostgreSQL

Microsoft SQL Server

Gonilnik Postgres JDBC 42.2.5

Gonilnik SQL Server JDBC 4.6

Ta različica gonilnika podpira SQL Server Always On ( Always On Failover Cluster Instances in Always On availability groups).

Dodatne zahteve za preverjanje pristnosti sistema Windows v strežniku Microsoft SQL Server

Če želite, da vozlišča HDS uporabljajo avtentikacijo Windows za dostop do podatkovne zbirke shrambe ključev v strežniku Microsoft SQL Server, morate v svojem okolju uporabiti naslednjo konfiguracijo:

Vozlišča HDS, infrastruktura Active Directory in strežnik MS SQL Server morajo biti sinhronizirani z NTP.
Račun Windows, ki ga zagotovite vozliščem HDS, mora imeti dostop do podatkovne zbirke za branje in pisanje.
Strežniki DNS, ki jih zagotavljate vozliščem HDS, morajo biti sposobni razrešiti center za distribucijo ključev (KDC).
Primer podatkovne zbirke HDS v strežniku Microsoft SQL Server lahko registrirate kot Service Principal Name (SPN) v imeniku Active Directory. Glejte Registracija glavnega imena storitve za povezave Kerberos.

Orodje za namestitev HDS, zaganjalnik HDS in lokalna KMS morajo za dostop do podatkovne zbirke shrambe ključev uporabljati avtentikacijo Windows. Pri zahtevi za dostop s preverjanjem pristnosti Kerberos uporabijo podrobnosti iz vaše konfiguracije ISO za sestavo SPN.

Zahteve za zunanjo povezljivost

Požarni zid konfigurirajte tako, da aplikacijam HDS omogočite naslednje povezave:

Aplikacija	Protokol	Pristanišče	Smer iz aplikacije	Destinacija
Hibridna vozlišča za varnost podatkov	TCP	443	Odhodni HTTPS in WSS	strežniki Webex: .wbx2.com .ciscospark.com Vsi gostitelji skupne identitete Drugi naslovi URL, ki so za hibridno varnost podatkov navedeni v preglednici Dodatni naslovi URL za hibridne storitve Webex . Omrežne zahteve za storitve Webex
Orodje za nastavitev HDS	TCP	443	Odhodni HTTPS	*.wbx2.com Vsi gostitelji skupne identitete hub.docker.com

Vozlišča Hybrid Data Security delujejo s prevajanjem omrežnega dostopa (NAT) ali za požarnim zidom, če NAT ali požarni zid omogočata zahtevane izhodne povezave do domenskih destinacij iz prejšnje preglednice. Pri povezavah, ki prihajajo v vozlišča Hybrid Data Security, ne smejo biti iz interneta vidna nobena vrata. Odjemalci v podatkovnem središču potrebujejo dostop do vozlišč Hybrid Data Security na vratih TCP 443 in 22 za upravne namene.

URL-ji za gostitelje skupne identitete (CI) so odvisni od regije. To so trenutni gostitelji CI:

Regija	Skupni naslovi URL gostitelja identitete
Americas	https://idbroker.webex.com https://identity.webex.com https://idbroker-b-us.webex.com https://identity-b-us.webex.com
Evropska unija	https://idbroker-eu.webex.com https://identity-eu.webex.com
Kanada	https://idbroker-ca.webex.com https://identity-ca.webex.com

Zahteve za proxy strežnik

Uradno podpiramo naslednje proxy rešitve, ki se lahko povežejo z vašimi vozlišči za hibridno varovanje podatkov.

Transparentni proxy-Cisco Web Security Appliance (WSA).

Izrecni proxy-Squid.

Proksi strežniki Squid, ki pregledujejo promet HTTPS, lahko motijo vzpostavljanje povezav websocket (wss:). Če želite zaobiti to težavo, glejte Configure Squid Proxyies for Hybrid Data Security.

Za eksplicitne pooblaščence podpiramo naslednje kombinacije vrst avtentikacije:
- Brez avtentikacije s HTTP ali HTTPS
- Osnovno preverjanje pristnosti s protokolom HTTP ali HTTPS
- Preverjanje pristnosti Digest samo s protokolom HTTPS
Pri preglednem pregledovalnem posredniku ali izrecnem posredniku HTTPS morate imeti kopijo korenskega potrdila posrednika. V navodilih za namestitev v tem vodniku je opisano, kako naložiti kopijo v shrambe zaupanja vozlišč Hybrid Data Security.
Omrežje, v katerem gostujejo vozlišča HDS, mora biti konfigurirano tako, da se odhodni promet TCP na vratih 443 preusmeri prek posredniškega strežnika.
Proksi strežniki, ki pregledujejo spletni promet, lahko motijo povezave s spletnimi vtičnicami. Če se ta težava pojavi, jo boste rešili z izogibanjem (ne pregledovanjem) prometa na naslovih wbx2.com in ciscospark.com .

Izpolnite predpogoje za hibridno varnost podatkov

S tem kontrolnim seznamom se prepričajte, da ste pripravljeni na namestitev in konfiguracijo gruče Hybrid Data Security.

Prepričajte se, da je v organizaciji Webex omogočen paket Pro Pack za Cisco Webex Control Hub, in pridobite poverilnice računa s polnimi pravicami skrbnika organizacije. Za pomoč pri tem postopku se obrnite na Ciscovega partnerja ali skrbnika računa.

Izberite ime domene za namestitev HDS (na primer hds.company.com) in pridobite verigo potrdil, ki vsebuje potrdilo X.509, zasebni ključ in vsa vmesna potrdila. Veriga potrdil mora izpolnjevati zahteve iz X.509 Certificate Requirements.

Pripravite identične virtualne gostitelje, ki jih boste nastavili kot vozlišča hibridne varnosti podatkov v gruči. Potrebujete vsaj dva ločena gostitelja (priporočamo 3), ki sta nameščena v istem varnem podatkovnem središču in izpolnjujeta zahteve iz Virtual Host Requirements.

Pripravite strežnik podatkovne zbirke, ki bo deloval kot ključna podatkovna shramba za gručo, v skladu z zahtevami strežnika podatkovne zbirke .. Strežnik zbirke podatkov mora biti nameščen v varnem podatkovnem središču skupaj z navideznimi gostitelji.

Ustvarite zbirko podatkov za shranjevanje ključev. (To zbirko podatkov morate ustvariti - ne uporabljajte privzete zbirke podatkov. Aplikacije HDS ob namestitvi ustvarijo shemo podatkovne zbirke.)
Zberite podatke, ki jih bodo vozlišča uporabljala za komunikacijo s strežnikom zbirke podatkov:
- ime gostitelja ali naslov IP (gostitelj) in vrata
- ime zbirke podatkov (dbname) za shranjevanje ključev
- uporabniško ime in geslo uporabnika z vsemi privilegiji v podatkovni bazi za shranjevanje ključev.

Za hitro obnovitev po nesreči vzpostavite rezervno okolje v drugem podatkovnem središču. Varnostno okolje odraža produkcijsko okolje z virtualnimi napravami in strežnikom za varnostno kopijo podatkovne zbirke. Če so na primer v produkcijskem okolju 3 virtualni stroji z vozlišči HDS, morajo biti v varnostnem okolju 3 virtualni stroji.

Nastavite gostitelja syslog za zbiranje dnevniških zapisov iz vozlišč v gruči. Zberite njegov omrežni naslov in vrata sysloga (privzeto je UDP 514).

Ustvarite politiko varnega varnostnega kopiranja za vozlišča Hybrid Data Security, strežnik zbirke podatkov in gostitelja sysloga. Če želite preprečiti izgubo podatkov, ki je ni mogoče obnoviti, morate izdelati vsaj varnostno kopijo podatkovne zbirke in konfiguracijske datoteke ISO, ustvarjene za vozlišča Hybrid Data Security.

Ker se v vozliščih hibridnega varovanja podatkov hranijo ključi, ki se uporabljajo pri šifriranju in dešifriranju vsebine, bo nezmožnost vzdrževanja delujoče namestitve povzročila NEODSTRANJIVO IZGUBO te vsebine.

Odjemalci aplikacije Webex imajo ključe v predpomnilniku, zato izpad morda ne bo takoj opazen, vendar se bo pokazal čez čas. Čeprav začasnih izpadov ni mogoče preprečiti, jih je mogoče odpraviti. Vendar pa popolna izguba (brez razpoložljivih varnostnih kopij) podatkovne zbirke ali konfiguracijske datoteke ISO povzroči, da podatkov o strankah ni mogoče obnoviti. Od upravljavcev vozlišč hibridne varnosti podatkov se pričakuje, da pogosto vzdržujejo varnostne kopije podatkovne zbirke in konfiguracijske datoteke ISO ter so pripravljeni na obnovo podatkovnega centra hibridne varnosti podatkov, če pride do katastrofalne okvare.

Prepričajte se, da konfiguracija požarnega zidu omogoča povezljivost za vozlišča hibridnega varovanja podatkov, kot je opisano v Zahteve za zunanjo povezljivost.

Namestite Docker ( https://www.docker.com) v kateri koli lokalni računalnik s podprtim operacijskim sistemom (Microsoft Windows 10 Professional ali Enterprise 64-bit ali Mac OSX Yosemite 10.10.3 ali novejši) s spletnim brskalnikom, ki omogoča dostop do njega na http://127.0.0.1:8080.

Z instanco Docker prenesete in zaženete orodje HDS Setup Tool, ki ustvari lokalne konfiguracijske informacije za vsa vozlišča Hybrid Data Security. Vaša organizacija bo morda potrebovala licenco Docker Desktop. Za več informacij glejte Zahteve za namizje Docker .

Za namestitev in zagon orodja za namestitev HDS mora imeti lokalni računalnik povezljivost, opisano v Zahteve za zunanjo povezljivost.

Če povezujete posredniški strežnik s sistemom Hybrid Data Security, se prepričajte, da izpolnjuje zahteve strežnika Proxy Server Requirements.

Če vaša organizacija uporablja sinhronizacijo imenikov, v imeniku Active Directory ustvarite skupino z imenom HdsTrialGroup in dodajte pilotne uporabnike. Poskusna skupina ima lahko do 250 uporabnikov. Objekt HdsTrialGroup je treba sinhronizirati z oblakom, preden lahko začnete poskusno obdobje za svojo organizacijo. Če želite sinhronizirati objekt skupine, ga izberite v meniju Configuration > Object Selection programa Directory Connector. (Za podrobna navodila glejte Vodnik za uvajanje za Cisco Directory Connector.)

Ključe za določen prostor določi njegov ustvarjalec. Pri izbiri pilotnih uporabnikov upoštevajte, da če se odločite za trajno deaktiviranje hibridne namestitve varovanja podatkov, vsi uporabniki izgubijo dostop do vsebine v prostorih, ki so jih ustvarili pilotni uporabniki. Izguba je vidna takoj, ko aplikacije uporabnikov osvežijo svoje predpomnilniške kopije vsebine.

Vzpostavitev hibridne gruče za varnost podatkov

Potek opravil pri uvajanju hibridne varnosti podatkov

Preden začnete

Priprava okolja

Datoteko OVA prenesite v lokalni računalnik za poznejšo uporabo.

Ustvarjanje konfiguracijskega ISO za gostitelje HDS

Z orodjem HDS Setup Tool ustvarite konfiguracijsko datoteko ISO za vozlišča Hybrid Data Security.

Namestitev HDS Host OVA

Ustvarite navidezni stroj iz datoteke OVA in izvedite začetno konfiguracijo, kot so omrežne nastavitve.

Možnost konfiguracije omrežnih nastavitev med namestitvijo OVA je bila preizkušena s sistemom ESXi 6.5. Ta možnost morda ni na voljo v prejšnjih različicah.

Nastavitev hibridnega VM za varnost podatkov

Prijavite se v konzolo VM in nastavite poverilnice za prijavo. Konfigurirajte omrežne nastavitve za vozlišče, če jih niste konfigurirali ob namestitvi OVA.

Prenos in namestitev konfiguracijskega ISO HDS

Konfigurirajte VM iz konfiguracijske datoteke ISO, ki ste jo ustvarili z orodjem HDS Setup Tool.

Konfiguracija vozlišča HDS za integracijo proxy

Če omrežno okolje zahteva konfiguracijo posrednika, določite vrsto posrednika, ki ga boste uporabili za vozlišče, in po potrebi dodajte potrdilo posrednika v shrambo zaupanja.

Registracija prvega vozlišča v gruči

Registrirajte VM v oblaku Cisco Webex kot vozlišče hibridne varnosti podatkov.

Ustvarjanje in registracija več vozlišč

Dokončajte nastavitev gruče.

Poskusno izvajanje in prehod na produkcijo (naslednje poglavje)

Dokler ne začnete poskusnega delovanja, vozlišča ustvarjajo alarm, ki označuje, da vaša storitev še ni aktivirana.

Prenos namestitvenih datotek

V tem opravilu prenesete datoteko OVA v svoj računalnik (ne v strežnike, ki ste jih nastavili kot vozlišča Hybrid Data Security). To datoteko uporabite pozneje v postopku namestitve.

Prijavite se v spletno mesto https://admin.webex.com in nato kliknite Storitve.

V razdelku Hibridne storitve poiščite kartico Hybrid Data Security in kliknite Set up.

Če je kartica onemogočena ali je ne vidite, se obrnite na svojo ekipo za račune ali partnersko organizacijo. Navedite številko računa in prosite, da vaši organizaciji omogočijo hibridno varnost podatkov. Če želite poiskati številko računa, kliknite zobnik v zgornjem desnem kotu poleg imena organizacije.

OVA lahko kadar koli prenesete tudi iz razdelka Pomoč na strani Nastavitve . Na kartici Hibridna varnost podatkov kliknite Uredi nastavitve , da se odpre stran. Nato v razdelku Pomoč kliknite Prenesi programsko opremo Hybrid Data Security .

Izberite No , da označite, da vozlišča še niste nastavili, in kliknite Next.

Datoteka OVA se samodejno začne prenašati. Datoteko shranite na mesto v računalniku.

Po želji kliknite Open Deployment Guide in preverite, ali je na voljo novejša različica tega vodnika.

Ustvarjanje konfiguracijskega ISO za gostitelje HDS

Postopek nastavitve hibridne zaščite podatkov ustvari datoteko ISO. ISO nato uporabite za konfiguracijo gostitelja za hibridno varnost podatkov.

Preden začnete

Orodje HDS Setup se zažene kot vsebnik Docker v lokalnem računalniku. Če želite do njega dostopati, zaženite program Docker v tem računalniku. Postopek namestitve zahteva poverilnice računa Control Hub s polnimi skrbniškimi pravicami za vašo organizacijo.

Če se orodje HDS Setup v vašem okolju izvaja za posrednikom, določite nastavitve posrednika (strežnik, vrata, poverilnice) s spremenljivkami okolja Docker, ko v koraku prikličete vsebnik Docker 5. V tej tabeli so navedene nekatere možne spremenljivke okolja:

Opis	Spremenljivka
Proxy strežnik HTTP brez avtentikacije	`GLOBALNO_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
Proxy HTTPS brez avtentikacije	`GLOBALNO_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
Proxy strežnik HTTP z avtentikacijo	`GLOBALNO_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
Proxy HTTPS z avtentikacijo	`GLOBALNO_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

Konfiguracijska datoteka ISO, ki jo ustvarite, vsebuje glavni ključ za šifriranje podatkovne zbirke PostgreSQL ali Microsoft SQL Server. Najnovejšo kopijo te datoteke potrebujete vedno, ko spreminjate konfiguracijo, kot so te spremembe:
- Pooblastila zbirke podatkov
- Posodobitve certifikata
- Spremembe pravilnika o avtorizaciji
Če nameravate šifrirati povezave s podatkovno bazo, nastavite namestitev PostgreSQL ali SQL Serverja za TLS.

V ukazno vrstico računalnika vnesite ukaz, ki ustreza vašemu okolju:

V običajnih okoljih:

docker rmi ciscocitg/hds-setup:stable

V okoljih FedRAMP:

docker rmi ciscocitg/hds-setup-fedramp:stable

V tem koraku očistite prejšnje slike orodja za nastavitev HDS. Če ni prejšnjih slik, vrne napako, ki jo lahko prezrete.

Če se želite prijaviti v register slik Docker, vnesite naslednje:

docker login -u hdscustomersro

Na poziv za geslo vnesite to geslo:

dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo

Prenesite najnovejšo stabilno sliko za svoje okolje:

V običajnih okoljih:

docker pull ciscocitg/hds-setup:stable

V okoljih FedRAMP:

docker pull ciscocitg/hds-setup-fedramp:stable

Ko se poteg konča, vnesite ustrezen ukaz za svoje okolje:

V običajnih okoljih brez posrednika:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

V običajnih okoljih s posredniškim strežnikom HTTP:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

V običajnih okoljih s posrednikom HTTPS:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

V okoljih FedRAMP brez posrednika:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

V okoljih FedRAMP s posrednikom HTTP:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

V okoljih FedRAMP s posrednikom HTTPS:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Ko se vsebnik zažene, se prikaže "Express strežnik posluša na vratih 8080."

Orodje za namestitev ne podpira povezovanja z lokalnim gostiteljem prek spletne strani http://localhost:8080. Uporabite http://127.0.0.1:8080 za povezavo z lokalnim gostiteljem.

S spletnim brskalnikom pojdite na lokalni gostitelj, http://127.0.0.1:8080, in na poziv vnesite uporabniško ime skrbnika stranke za Control Hub.

Orodje ta prvi vnos uporabniškega imena uporabi za nastavitev ustreznega okolja za ta račun. Orodje nato prikaže standardni poziv za prijavo.

Ko se prikaže poziv, vnesite svoje prijavne podatke skrbnika stranke Control Hub in nato kliknite Prijava v , da omogočite dostop do zahtevanih storitev za Hybrid Data Security.

Na strani s pregledom orodja Setup Tool kliknite Get Started.

Na strani ISO Import so na voljo naslednje možnosti:

Ni- Če ustvarjate prvo vozlišče HDS, nimate datoteke ISO, ki bi jo lahko prenesli.
Da- Če ste že ustvarili vozlišča HDS, v brskalniku izberite datoteko ISO in jo naložite.

Preverite, ali vaše potrdilo X.509 izpolnjuje zahteve iz X.509 Certificate Requirements.

Če potrdila še niste prenesli, prenesite potrdilo X.509, vnesite geslo in kliknite Nadaljuj.
Če je vaše potrdilo v redu, kliknite Nadaljuj.
Če je vaše potrdilo poteklo ali ga želite zamenjati, izberite No za Continue using HDS certificate chain and private key from previous ISO?. Naložite novo potrdilo X.509, vnesite geslo in kliknite Nadaljuj.

Vnesite naslov podatkovne zbirke in račun za dostop do ključnega podatkovnega skladišča HDS:

Izberite Vrsta podatkovne zbirke (PostgreSQL ali Microsoft SQL Server).

Če izberete Microsoft SQL Server, dobite polje Vrsta preverjanja pristnosti.
(Samo za Microsoft SQL Server ) Izberite Vrsto preverjanja pristnosti:
- Osnovno preverjanje pristnosti: V polju Uporabniško ime morate navesti ime lokalnega računa strežnika SQL Server.
- Preverjanje pristnosti sistema Windows: V polju Uporabniško ime potrebujete račun Windows v obliki uporabniško ime@DOMENA .
Vnesite naslov strežnika zbirke podatkov v obliki : ali :.

Primer:
dbhost.example.org:1433 ali 198.51.100.17:1433

Za osnovno preverjanje pristnosti lahko uporabite naslov IP, če vozlišča za razrešitev imena gostitelja ne morejo uporabiti DNS.

Če uporabljate avtentikacijo Windows, morate vnesti popolnoma kvalificirano domensko ime v obliki dbhost.example.org:1433
Vnesite ime podatkovne zbirke .
Vnesite Uporabniško ime in Geslo uporabnika z vsemi pravicami v podatkovni zbirki za shranjevanje ključev.

Izberite način povezave s podatkovno bazo TLS:

Način

Opis

Raje TLS (privzeta možnost)

Vozlišča HDS za povezavo s strežnikom zbirke podatkov ne potrebujejo protokola TLS. Če v strežniku zbirke podatkov omogočite TLS, vozlišča poskušajo vzpostaviti šifrirano povezavo.

Zahteva TLS

Vozlišča HDS se povežejo le, če se strežnik podatkovne zbirke lahko pogaja o TLS.

Zahtevajte TLS in preverite podpisnika potrdila

Ta način ni uporaben za podatkovne zbirke strežnika SQL Server.

Vozlišča HDS se povežejo le, če se strežnik podatkovne zbirke lahko pogaja o TLS.
Po vzpostavitvi povezave TLS vozlišče primerja podpisnika potrdila iz strežnika zbirke podatkov z overiteljem potrdil v korenskem potrdilu zbirke podatkov. Če se ne ujemata, vozlišče prekine povezavo.

Za prenos korenskega potrdila za to možnost uporabite kontrolnik Korensko potrdilo podatkovne zbirke pod spustnim seznamom.

Zahtevajte TLS ter preverite podpisnika potrdila in ime gostitelja

Vozlišča HDS se povežejo le, če se strežnik podatkovne zbirke lahko pogaja o TLS.
Po vzpostavitvi povezave TLS vozlišče primerja podpisnika potrdila iz strežnika zbirke podatkov z overiteljem potrdil v korenskem potrdilu zbirke podatkov. Če se ne ujemata, vozlišče prekine povezavo.
Vozlišča tudi preverijo, ali se ime gostitelja v potrdilu strežnika ujema z imenom gostitelja v polju Database host and port . Imena se morajo popolnoma ujemati, sicer vozlišče prekine povezavo.

Za prenos korenskega potrdila za to možnost uporabite kontrolnik Korensko potrdilo podatkovne zbirke pod spustnim seznamom.

Ko naložite korensko potrdilo (če je potrebno) in kliknete Nadaljuj, orodje HDS Setup Tool preizkusi povezavo TLS s strežnikom podatkovne zbirke. Orodje preveri tudi podpisnika potrdila in ime gostitelja, če je primerno. Če test ni uspešen, orodje prikaže sporočilo o napaki z opisom težave. Odločite se lahko, ali boste napako prezrli in nadaljevali z nastavitvijo. (Zaradi razlik v povezljivosti lahko vozlišča HDS vzpostavijo povezavo TLS, čeprav je naprava HDS Setup Tool ne more uspešno preizkusiti.)

Na strani Sistemski dnevniki konfigurirajte strežnik Syslogd:

Vnesite naslov URL strežnika syslog.

Če strežnika ni mogoče rešiti z DNS iz vozlišč gruče HDS, v naslovu URL uporabite naslov IP.

Primer:
udp://10.92.43.23:514 označuje prijavo v gostitelja Syslogd 10.92.43.23 na vrata UDP 514.
Če ste strežnik nastavili tako, da uporablja šifriranje TLS, preverite Is your syslog server configred for SSL encryption?.

Če potrdite to potrditveno polje, vnesite naslov URL TCP, na primer tcp://10.92.43.23:514.
V spustnem polju Choose syslog record termination izberite ustrezno nastavitev za svojo datoteko ISO: Izberite ali Nova vrstica se uporablja za Graylog in Rsyslog TCP
- Ničelni bajt -- \x00
- Nova vrstica -- \n-To možnost izberite za Graylog in Rsyslog TCP.
Kliknite Nadaljuj.

(Neobvezno) Privzeto vrednost nekaterih parametrov povezave s podatkovno bazo lahko spremenite v razdelku Dodatne nastavitve. Na splošno je ta parameter edini, ki ga boste morda želeli spremeniti:

app_datasource_connection_pool_maxVelikost: 10

Kliknite Nadaljuj na zaslonu Ponastavitev gesla za storitvene račune .

Gesla za storitvene račune imajo devetmesečno življenjsko dobo. Ta zaslon uporabite, ko geslom poteče veljavnost ali jih želite ponastaviti, da razveljavite prejšnje datoteke ISO.

Kliknite Prenos datoteke ISO. Datoteko shranite na mesto, ki ga boste zlahka našli.

Naredite varnostno kopijo datoteke ISO v lokalnem sistemu.

Varnostno kopijo hranite na varnem. Ta datoteka vsebuje glavni šifrirni ključ za vsebino zbirke podatkov. Omejite dostop samo tistim skrbnikom programa Hybrid Data Security, ki morajo izvajati spremembe konfiguracije.

Če želite zaustaviti orodje Setup, vnesite CTRL+C.

Kaj storiti naprej

Ustvarite varnostno kopijo konfiguracijske datoteke ISO. Potrebujete ga za ustvarjanje več vozlišč za obnovitev ali za spreminjanje konfiguracije. Če izgubite vse kopije datoteke ISO, ste izgubili tudi glavni ključ. Obnovitev ključev iz podatkovne zbirke PostgreSQL ali Microsoft SQL Server ni mogoča.

Nikoli nimamo kopije tega ključa in vam ne moremo pomagati, če ga izgubite.

Namestitev HDS Host OVA

S tem postopkom ustvarite navidezni stroj iz datoteke OVA.

Z odjemalcem VMware vSphere v računalniku se prijavite v navidezni gostitelj ESXi.

Izberite Datoteka > Namestitev predloge OVF.

V čarovniku določite lokacijo datoteke OVA, ki ste jo prenesli prej, in kliknite Next.

Na strani Select a name and folder vnesite Virtual machine name za vozlišče (na primer "HDS_Node_1"), izberite lokacijo, kjer se lahko nahaja namestitev vozlišča virtualnega stroja, in nato kliknite Next.

Na strani Select a compute resource izberite ciljni računski vir in kliknite Next.

Izvede se preverjanje veljavnosti. Ko se zaključi, se prikažejo podrobnosti o predlogi.

Preverite podrobnosti predloge in kliknite Next.

Če morate na strani Configuration izbrati konfiguracijo virov, kliknite 4 CPU in nato kliknite Next.

Na strani Select storage kliknite Next , da sprejmete privzeto obliko diska in politiko shranjevanja VM.

Na strani Izberite omrežja s seznama vnosov izberite možnost omrežja, ki zagotavlja želeno povezljivost z VM.

Na strani Prilagodi predlogo konfigurirajte naslednje omrežne nastavitve:

Ime gostitelja- Vnesite FQDN (ime gostitelja in domene) ali eno besedo gostiteljskega imena vozlišča.

Domene ni treba nastaviti tako, da se ujema z domeno, ki ste jo uporabili za pridobitev potrdila X.509.
Če želite zagotoviti uspešno registracijo v oblak, v imenu FQDN ali imenu gostitelja, ki ste ga nastavili za vozlišče, uporabljajte samo male črke. Kapitalizacija trenutno ni podprta.
Skupna dolžina imena FQDN ne sme presegati 64 znakov.

Naslov IP- Vnesite naslov IP za notranji vmesnik vozlišča.

Vozlišče mora imeti notranji naslov IP in ime DNS. DHCP ni podprt.
Mask-Vnesite naslov maske podomrežja v decimalni obliki. Na primer 255.255.255.255.0.
Gateway-Vnesite naslov IP prehoda. Prehod je omrežno vozlišče, ki služi kot dostopna točka do drugega omrežja.
Strežniki DNS-Vnesite z vejico ločen seznam strežnikov DNS, ki skrbijo za prevajanje domenskih imen v številčne naslove IP. (Dovoljeni so do 4 vnosi DNS.)
Strežniki NTP-Vnesite strežnik NTP svoje organizacije ali drug zunanji strežnik NTP, ki se lahko uporablja v vaši organizaciji. Privzeti strežniki NTP morda ne bodo ustrezali vsem podjetjem. Za vnos več strežnikov NTP lahko uporabite tudi seznam, ločen z vejico.

Vsa vozlišča namestite v istem podomrežju ali VLAN, tako da so vsa vozlišča v gruči dosegljiva iz odjemalcev v omrežju za upravne namene.

Če želite, lahko preskočite konfiguracijo omrežnih nastavitev in za konfiguracijo nastavitev iz konzole vozlišča sledite korakom v razdelku Set up the Hybrid Data Security VM .

Možnost konfiguracije omrežnih nastavitev med namestitvijo OVA je bila preizkušena s sistemom ESXi 6.5. Ta možnost morda ni na voljo v prejšnjih različicah.

Z desno tipko miške kliknite vozlišče VM in izberite Power > Power On.

Programska oprema Hybrid Data Security je nameščena kot gost v gostitelju VM. Zdaj se lahko prijavite v konzolo in konfigurirate vozlišče.

Nasveti za odpravljanje težav

Preden se zabojniki vozlišča prikažejo, lahko pride do nekajminutne zamude. Med prvim zagonom, med katerim se ne morete prijaviti, se na konzoli prikaže sporočilo o požarnem zidu mostu.

Nastavitev hibridnega VM za varnost podatkov

S tem postopkom se prvič prijavite v konzolo VM vozlišča Hybrid Data Security in nastavite poverilnice za prijavo. V konzoli lahko tudi konfigurirate omrežne nastavitve za vozlišče, če jih niste konfigurirali ob namestitvi OVA.

1	V odjemalcu VMware vSphere izberite VM vozlišča Hybrid Data Security in zavihek Console . VM se zažene in pojavi se poziv za prijavo. Če se poziv za prijavo ne prikaže, pritisnite Enter.
2	Za prijavo in spremembo poverilnic uporabite naslednje privzeto uporabniško ime in geslo: Prijava: `admin` Geslo: `cisco` Ker se prvič prijavljate v svoj virtualni stroj, morate spremeniti skrbniško geslo.
3	Če ste omrežne nastavitve že konfigurirali v razdelku Namestitev HDS Host OVA, preskočite preostanek tega postopka. V nasprotnem primeru v glavnem meniju izberite možnost Edit Configuration .
4	Nastavite statično konfiguracijo z naslovom IP, masko, prehodom in informacijami DNS. Vozlišče mora imeti notranji naslov IP in ime DNS. DHCP ni podprt.
5	(Neobvezno) Po potrebi spremenite ime gostitelja, domeno ali strežnik(-e) NTP, da bo ustrezal vaši politiki omrežja. Domene ni treba nastaviti tako, da se ujema z domeno, ki ste jo uporabili za pridobitev potrdila X.509.
6	Shranite omrežno konfiguracijo in ponovno zaženite VM, da bodo spremembe začele veljati.

Prenos in namestitev konfiguracijskega ISO HDS

Ta postopek uporabite za konfiguracijo navideznega stroja iz datoteke ISO, ki ste jo ustvarili z orodjem HDS Setup Tool.

Preden začnete

Ker je v datoteki ISO shranjen glavni ključ, mora biti izpostavljen le na podlagi "potrebe po seznanitvi", in sicer za dostop hibridnih virtualnih strojev za varnost podatkov in vseh skrbnikov, ki bi morda morali uvesti spremembe. Prepričajte se, da lahko do podatkovnega skladišča dostopajo samo ti skrbniki.

Datoteko ISO prenesite iz računalnika:

V levem navigacijskem podoknu odjemalca VMware vSphere kliknite strežnik ESXi.
Na seznamu strojne opreme v zavihku Konfiguracija kliknite Storage.
Na seznamu podatkovnih skladišč desno kliknite podatkovno skladišče za svoje virtualne stroje in kliknite Browse Datastore.
Kliknite ikono Prenos datotek in nato kliknite Prenos datotek.
Poiščite mesto, kamor ste prenesli datoteko ISO v računalnik, in kliknite Open.
Kliknite Yes , da sprejmete opozorilo o operaciji nalaganja/prevzemanja in zaprete pogovorno okno podatkovnega skladišča.

Namestite datoteko ISO:

V levem navigacijskem podoknu odjemalca VMware vSphere desno kliknite na VM in kliknite Edit Settings.
Kliknite OK , da sprejmete opozorilo o omejenih možnostih urejanja.
Kliknite Pogon CD/DVD 1, izberite možnost za namestitev iz datoteke ISO podatkovnega skladišča in poiščite mesto, kamor ste naložili konfiguracijsko datoteko ISO.
Preverite Povezano in Povežite ob vklopu.
Shranite spremembe in ponovno zaženite navidezni računalnik.

Kaj storiti naprej

Če to zahteva vaš pravilnik IT, lahko po želji odstranite datoteko ISO, ko vsa vozlišča prevzamejo spremembe konfiguracije. Za podrobnosti glejte (Optional) Unmount ISO After HDS Configuration .

Konfiguracija vozlišča HDS za integracijo proxy

Če omrežno okolje zahteva posrednika, s tem postopkom določite vrsto posrednika, ki ga želite integrirati s sistemom Hybrid Data Security. Če izberete pregledni pregledovalni posrednik ali eksplicitni posrednik HTTPS, lahko za prenos in namestitev korenskega potrdila uporabite vmesnik vozlišča. V vmesniku lahko preverite tudi povezavo proxy in odpravite morebitne težave.

Preden začnete

Za pregled podprtih možnosti posredniškega strežnika glejte Proxy Support .
Zahteve za proxy strežnik

1	V spletni brskalnik vnesite URL za nastavitev vozlišča HDS `https://[HDS Node IP ali FQDN]/setup` , vnesite poverilnice upravitelja, ki ste jih nastavili za vozlišče, in nato kliknite Sign In.
2	Pojdite na Trust Store & Proxy, nato pa izberite možnost: No Proxy-privzeta možnost pred vključitvijo posrednika. Posodobitev certifikata ni potrebna. Transparent Non-Inspecting Proxy- Vozlišča niso konfigurirana za uporabo določenega naslova strežnika proxy in za delovanje z neinspecting proxy strežnikom ne bi smela potrebovati nobenih sprememb. Posodobitev certifikata ni potrebna. Transparentno pregledovanje strežnika proxy-Vzhodišča niso konfigurirana za uporabo določenega naslova strežnika proxy. Pri uvajanju sistema Hybrid Data Security niso potrebne spremembe konfiguracije HTTPS, vendar vozlišča HDS potrebujejo korensko potrdilo, da lahko zaupajo posredniku. Proxyje za pregledovanje običajno uporabljajo oddelki IT za uveljavljanje pravilnikov o tem, katera spletna mesta je mogoče obiskati in katere vrste vsebine niso dovoljene. Ta vrsta posredniškega strežnika dešifrira ves vaš promet (tudi HTTPS). Explicit Proxy- Z eksplicitnim proxyjem odjemalcu (vozliščem HDS) poveste, kateri proxy strežnik naj uporabi, ta možnost pa podpira več vrst avtentikacije. Ko izberete to možnost, morate vnesti naslednje podatke: Proxy IP/FQDN-Adres, s katerim lahko dosežete proxy napravo. Proxy Port-številka vrat, ki jih proxy uporablja za poslušanje posredovanega prometa. Protokol proxy-izberite http (pregleduje in nadzoruje vse zahteve, ki jih prejme odjemalec) ali https (zagotavlja kanal do strežnika, odjemalec pa prejme in potrdi strežnikovo potrdilo). Izberite možnost glede na to, kaj podpira vaš strežnik proxy. Vrsta avtentikacije- Izberite eno od naslednjih vrst avtentikacije: Ni-Ne zahteva se nobeno dodatno preverjanje pristnosti. Na voljo za posrednike HTTP ali HTTPS. Basic- Uporablja se za uporabniškega agenta HTTP, da pri zahtevku navede uporabniško ime in geslo. Uporablja kodiranje Base64. Na voljo za posrednike HTTP ali HTTPS. Če izberete to možnost, morate vnesti tudi uporabniško ime in geslo. Digest- Uporablja se za potrditev računa pred pošiljanjem občutljivih informacij. Pred pošiljanjem po omrežju uporabniško ime in geslo opremi s funkcijo hash. Na voljo samo za posrednike HTTPS. Če izberete to možnost, morate vnesti tudi uporabniško ime in geslo. Sledite naslednjim korakom za pregledni pregledovalni posrednik, izrecni posrednik HTTP z osnovnim preverjanjem pristnosti ali izrecni posrednik HTTPS.
3	Kliknite Upload a Root Certificate or End Entity Certificate, nato pa se pomaknite do in izberite korensko potrdilo za posrednika. Potrdilo je naloženo, vendar še ni nameščeno, saj morate vozlišče znova zagnati, da bi namestili potrdilo. Če želite dobiti več podrobnosti, kliknite šivankino puščico ob imenu izdajatelja potrdila ali kliknite Delete , če ste se zmotili in želite ponovno naložiti datoteko.
4	Kliknite Check Proxy Connection , da preverite omrežno povezljivost med vozliščem in posrednikom. Če preizkus povezave ni uspešen, se prikaže sporočilo o napaki, v katerem je naveden razlog in kako lahko težavo odpravite. Če se prikaže sporočilo, da zunanja resolucija DNS ni bila uspešna, vozlišče ni moglo doseči strežnika DNS. Ta pogoj je pričakovan v številnih konfiguracijah eksplicitnih posrednikov. Nadaljujete lahko z nastavitvijo in vozlišče bo delovalo v načinu blokirane zunanje resolucije DNS. Če menite, da gre za napako, dokončajte te korake in si oglejte spletno mesto Turn off Blocked External DNS Resolution Mode.
5	Ko je test povezave uspešno opravljen, za eksplicitni posrednik, nastavljen samo na https, vklopite preklopno stikalo na . Vse zahteve https na vratih 443/444 iz tega vozlišča usmerite prek eksplicitnega posrednika. Ta nastavitev začne učinkovati šele po 15 sekundah.
6	Kliknite Install All Certificates Into the Trust Store (Namesti vsa potrdila v shrambo zaupanja) (prikaže se pri eksplicitnem posredniku HTTPS ali preglednem pregledovalnem posredniku) ali Reboot (Ponovni zagon) (prikaže se pri eksplicitnem posredniku HTTP), preberite poziv in nato kliknite Install , če ste pripravljeni. Vozlišče se ponovno zažene v nekaj minutah.
7	Po ponovnem zagonu vozlišča se po potrebi znova prijavite in odprite stran Overview ter preverite preverjanja povezljivosti in se prepričajte, da so vsa v zelenem stanju. Pri preverjanju povezave s posrednikom se preveri samo poddomena webex.com. Če pride do težav s povezljivostjo, je pogosta težava ta, da so nekatere domene v oblaku, navedene v navodilih za namestitev, blokirane v posredniškem strežniku.

Registracija prvega vozlišča v gruči

To opravilo vzame generično vozlišče, ki ste ga ustvarili v razdelku Set up the Hybrid Data Security VM, registrira vozlišče v oblaku Webex in ga spremeni v vozlišče Hybrid Data Security.

Ko registrirate prvo vozlišče, ustvarite gručo, v katero je vozlišče dodeljeno. Grozd vsebuje eno ali več vozlišč, nameščenih za zagotavljanje redundance.

Preden začnete

Ko začnete registracijo vozlišča, jo morate dokončati v 60 minutah, sicer morate začeti znova.
Prepričajte se, da so blokatorji pojavnih oken v brskalniku onemogočeni ali da ste dovolili izjemo za admin.webex.com.

1	Prijavite se na https://admin.webex.com.
2	V meniju na levi strani zaslona izberite Storitve.
3	V razdelku Hibridne storitve poiščite možnost Hibridna varnost podatkov in kliknite Set up. Prikaže se stran Register Hybrid Data Security Node.
4	Izberite Yes , da označite, da ste nastavili vozlišče in ste ga pripravljeni registrirati, nato pa kliknite Next.
5	V prvo polje vnesite ime gruče, ki ji želite dodeliti vozlišče Hybrid Data Security. Priporočamo, da gručo poimenujete glede na geografsko lokacijo vozlišč v gruči. Primeri: "San Francisco" ali "New York" ali "Dallas".
6	V drugo polje vnesite notranji naslov IP ali polno kvalificirano domensko ime (FQDN) svojega vozlišča in kliknite Next. Ta naslov IP ali FQDN se mora ujemati z naslovom IP ali imenom gostitelja in domeno, ki ste jih uporabili v Nastavitev hibridnega VM za varnost podatkov. Prikaže se sporočilo, da lahko vozlišče registrirate v Webex.
7	Kliknite Pojdi na vozlišče.
8	V opozorilnem sporočilu kliknite Nadaljuj . Po nekaj trenutkih boste preusmerjeni na teste povezljivosti vozlišča za storitve Webex. Če so vsi preskusi uspešni, se prikaže stran Dovolite dostop do vozlišča hibridne varnosti podatkov. Tam potrdite, da želite organizaciji Webex dodeliti dovoljenja za dostop do vašega vozlišča.
9	Označite potrditveno polje Allow Access to Your Hybrid Data Security Node in kliknite Continue. Vaš račun je potrjen in sporočilo "Registracija je končana" označuje, da je vaše vozlišče zdaj registrirano v oblaku Webex.
10	Kliknite povezavo ali zaprite zavihek, da se vrnete na stran Control Hub Hybrid Data Security. Na strani Hybrid Data Security je prikazana nova gruča, ki vsebuje vozlišče, ki ste ga registrirali. Vozlišče bo samodejno preneslo najnovejšo programsko opremo iz oblaka.

Ustvarjanje in registracija več vozlišč

Če želite v gručo dodati dodatna vozlišča, preprosto ustvarite dodatne virtualne računalnike in namestite isto konfiguracijsko datoteko ISO, nato pa vozlišče registrirajte. Priporočamo, da imate vsaj 3 vozlišča.

Trenutno so rezervni virtualni stroji, ki ste jih ustvarili v Complete the Prerequisites for Hybrid Data Security , rezervni gostitelji, ki se uporabljajo samo v primeru obnovitve po nesreči; do takrat niso registrirani v sistemu. Za podrobnosti glejte Obnovitev po katastrofi z uporabo rezervnega podatkovnega središča.

Preden začnete

Ko začnete registracijo vozlišča, jo morate dokončati v 60 minutah, sicer morate začeti znova.
Prepričajte se, da so blokatorji pojavnih oken v brskalniku onemogočeni ali da ste dovolili izjemo za admin.webex.com.

1	Ustvarite nov virtualni stroj iz OVA in ponovite korake v poglavju Namestitev HDS Host OVA.
2	Nastavite začetno konfiguracijo v novem virtualnem stroju, pri čemer ponovite korake iz Set up the Hybrid Data Security VM (Nastavitev hibridnega virtualnega stroja za varnost podatkov).
3	V novem virtualnem stroju ponovite korake iz poglavja Naložite in namestite konfiguracijski ISO HDS.
4	Če za namestitev nastavljate posrednika, ponovite korake v Configure the HDS Node for Proxy Integration , kot je potrebno za novo vozlišče.
5	Registrirajte vozlišče. V spletnem mestu https://admin.webex.com z menija na levi strani zaslona izberite Storitve . V razdelku Hibridne storitve poiščite kartico Hibridna varnost podatkov in kliknite Viri. Prikaže se stran Hibridna sredstva za varnost podatkov. Kliknite Dodaj vir. V prvem polju izberite ime obstoječe gruče. V drugo polje vnesite notranji naslov IP ali polno kvalificirano domensko ime (FQDN) svojega vozlišča in kliknite Next. Prikaže se sporočilo, da lahko vozlišče registrirate v oblak Webex. Kliknite Pojdi na vozlišče. Po nekaj trenutkih boste preusmerjeni na teste povezljivosti vozlišča za storitve Webex. Če so vsi preskusi uspešni, se prikaže stran Dovolite dostop do vozlišča hibridne varnosti podatkov. Tam potrdite, da želite svoji organizaciji dodeliti dovoljenja za dostop do vozlišča. Označite potrditveno polje Allow Access to Your Hybrid Data Security Node in kliknite Continue. Vaš račun je potrjen in sporočilo "Registracija je končana" označuje, da je vaše vozlišče zdaj registrirano v oblaku Webex. Kliknite povezavo ali zaprite zavihek, da se vrnete na stran Control Hub Hybrid Data Security. Vozlišče je registrirano. Upoštevajte, da dokler ne začnete poskusnega delovanja, vozlišča ustvarjajo alarm, ki označuje, da vaša storitev še ni aktivirana.

Kaj storiti naprej

Poskusno izvajanje in prehod na produkcijo (naslednje poglavje)

Izvedite poskusno različico in jo prenesite v produkcijo

Potek opravil od poskusnega do proizvodnega postopka

Ko nastavite gručo Hybrid Data Security, lahko zaženete pilotni projekt, vanjo dodate uporabnike in jo začnete uporabljati za preizkušanje in preverjanje svoje namestitve v okviru priprav na prehod v produkcijo.

Preden začnete

Vzpostavitev hibridne gruče za varnost podatkov

1	Če je primerno, sinhronizirajte objekt skupine `HdsTrialGroup` . Če vaša organizacija uporablja sinhronizacijo imenikov za uporabnike, morate za sinhronizacijo v oblak izbrati objekt skupine `HdsTrialGroup` , preden lahko začnete poskusno obdobje. Navodila so na voljo v Vodniku za namestitev za Cisco Directory Connector na spletnem mestu .
2	Aktivirajte poskusno različico Začnite poskusno preskušanje. Dokler ne opravite tega opravila, vozlišča ustvarijo alarm, ki označuje, da storitev še ni aktivirana.
3	Preizkusite namestitev hibridne varnosti podatkov Preverite, ali so ključne zahteve posredovane v hibridno namestitev za varnost podatkov.
4	Spremljanje stanja varnosti hibridnih podatkov Preverite stanje in nastavite e-poštna obvestila za alarme.
5	Dodajanje ali odstranjevanje uporabnikov iz poskusa
6	Poskusno fazo zaključite z enim od naslednjih dejanj: Prehod iz poskusnega v proizvodni proces Zaključite poskusno različico brez prehoda v produkcijo

Aktivirajte poskusno različico

Preden začnete

Če vaša organizacija uporablja sinhronizacijo imenikov za uporabnike, morate izbrati objekt skupine HdsTrialGroup za sinhronizacijo v oblak, preden lahko zaženete poskusno različico za svojo organizacijo. Navodila so na voljo v Vodniku za namestitev za Cisco Directory Connector na spletnem mestu .

1	Prijavite se v spletno stran https://admin.webex.com in nato izberite Storitve.
2	V razdelku Hibridna varnost podatkov kliknite Settings.
3	V razdelku Status storitve kliknite Start Trial. Status storitve se spremeni v poskusni način.
4	Kliknite Dodaj uporabnike in vnesite e-poštni naslov enega ali več uporabnikov, ki bodo poskusno uporabljali vaša vozlišča Hybrid Data Security za storitve šifriranja in indeksiranja. (Če vaša organizacija uporablja sinhronizacijo imenikov, za upravljanje poskusne skupine uporabite imenik Active Directory, `HdsTrialGroup`.)

Preizkusite namestitev hibridne varnosti podatkov

S tem postopkom preizkusite scenarije šifriranja hibridne varnosti podatkov.

Preden začnete

Nastavite namestitev hibridne varnosti podatkov.
Aktivirajte poskusno različico in dodajte več poskusnih uporabnikov.
Zagotovite si dostop do dnevnika syslog, da preverite, ali so zahteve za ključe posredovane v namestitev hibridnega varovanja podatkov.

Ključe za določen prostor določi njegov ustvarjalec. Prijavite se v aplikacijo Webex kot eden od pilotnih uporabnikov, nato pa ustvarite prostor in povabite vsaj enega pilotnega in enega nepilotnega uporabnika.

Če deaktivirate namestitev hibridnega varovanja podatkov, vsebina v prostorih, ki jih ustvarijo pilotski uporabniki, ni več dostopna, ko se zamenjajo kopije šifrirnih ključev, shranjene v odjemalcu.

Pošljite sporočila v nov prostor.

Preverite izhod sysloga, da preverite, ali so zahteve za ključe posredovane vaši namestitvi Hybrid Data Security.

Če želite preveriti, ali je uporabnik najprej vzpostavil varen kanal s sistemom KMS, filtrirajte kms.data.method=create in kms.data.type=EPHEMERAL_KEY_COLLECTION:

Najdete vnos, kot je naslednji (identifikatorji so skrajšani zaradi lažjega branja):

2020-07-21 17:35:34.562 (10000) INFO KMS [pool-14-thread-1] - [KMS:REQUEST] prejeto, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/0[~]9 ecdheKid: kms://hds2.org5.portun.us/statickeys/3[~]0 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=8[~]a, kms.merc.sync=false, kms.data.uriHost=hds2.org5.portun.us, kms.data.type=EPHEMERAL_KEY_COLLECTION, kms.data.requestId=9[~]6, kms.data.uri=kms://hds2.org5.portun.us/ecdhe, kms.data.userId=0[~]2

Če želite preveriti, ali uporabnik zahteva obstoječi ključ iz sistema KMS, filtrirajte kms.data.method=retrieve in kms.data.type=KEY:

Najdete vnos, kot je:

2020-07-21 17:44:19.889 (10000) INFO KMS [pool-14-thread-31] - [KMS:REQUEST] prejeto, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_f[~]0, kms.data.method=retrieve, kms.merc.id=c[~]7, kms.merc.sync=false, kms.data.uriHost=ciscospark.com, kms.data.type=KEY, kms.data.requestId=9[~]3, kms.data.uri=kms://ciscospark.com/keys/d[~]2, kms.data.userId=1[~]b

Če želite preveriti, ali uporabnik zahteva ustvarjanje novega ključa KMS, filtrirajte kms.data.method=create in kms.data.type=KEY_COLLECTION:

Najdete vnos, kot je:

2020-07-21 17:44:21.975 (10000) INFO KMS [pool-14-thread-33] - [KMS:REQUEST] prejeto, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_4[~]0, kms.data.method=create, kms.merc.id=6[~]e, kms.merc.sync=false, kms.data.uriHost=null, kms.data.type=KEY_ZBIRANJE, kms.data.requestId=6[~]4, kms.data.uri=/keys, kms.data.userId=1[~]b

Če želite preveriti, ali uporabnik zahteva ustvarjanje novega objekta vira KMS (KRO), ko je ustvarjen prostor ali drug zaščiten vir, filtrirajte kms.data.method=create in kms.data.type=RESOURCE_COLLECTION:

Najdete vnos, kot je:

2020-07-21 17:44:22.808 (10000) INFO KMS [pool-15-thread-1] - [KMS:REQUEST] prejeto, deviceId: https://wdm-a.wbx2.com/wdm/api/v1/devices/f[~]f ecdheKid: kms://hds2.org5.portun.us/ecdhe/5[~]1 (EncryptionKmsMessageHandler.java:312) WEBEX_TRACKINGID=HdsIntTest_d[~]0, kms.data.method=create, kms.merc.id=5[~]3, kms.merc.sync=true, kms.data.uriHost=null, kms.data.type=RESOURCE_COLLECTION, kms.data.requestId=d[~]e, kms.data.uri=/resources, kms.data.userId=1[~]b

Spremljanje stanja varnosti hibridnih podatkov

Indikator stanja v nadzornem središču Control Hub vam pokaže, ali je z namestitvijo hibridnega varovanja podatkov vse v redu. Če želite bolj proaktivno opozarjanje, se prijavite na e-poštna obvestila. Obveščeni boste o alarmih ali nadgradnjah programske opreme, ki vplivajo na storitve.

1	V nadzornem središču Control Hub z menija na levi strani zaslona izberite Services .
2	V razdelku Hibridne storitve poiščite Hibridna varnost podatkov in kliknite Nastavitve. Prikaže se stran Hybrid Data Security Settings (Nastavitve varnosti hibridnih podatkov).
3	V razdelku E-poštna obvestila vnesite enega ali več e-poštnih naslovov, ločenih z vejicami, in pritisnite Enter.

Dodajanje ali odstranjevanje uporabnikov iz poskusa

Ko aktivirate poskusno različico in dodate začetni nabor poskusnih uporabnikov, lahko kadar koli med trajanjem poskusne različice dodajate ali odstranjujete poskusne uporabnike.

Če uporabnika odstranite iz poskusnega obdobja, bo njegov odjemalec zahteval ključe in ustvarjanje ključev iz sistema KMS v oblaku namesto iz vašega sistema KMS. Če odjemalec potrebuje ključ, ki je shranjen v vaši KMS, ga KMS v oblaku pridobi v imenu uporabnika.

Če vaša organizacija uporablja sinhronizacijo imenikov, za upravljanje poskusne skupine uporabite Active Directory (namesto tega postopka), HdsTrialGroup; člane skupine si lahko ogledate v Control Hubu, vendar jih ne morete dodajati ali odstranjevati.

1	Prijavite se v Control Hub in izberite Services.
2	V razdelku Hibridna varnost podatkov kliknite Settings.
3	V razdelku Poskusni način (Trial Mode) na področju Stanje storitve kliknite Dodajanje uporabnikov (Add Users) ali kliknite Pogled in urejanje (view and edit) , če želite odstraniti uporabnike iz poskusnega obdobja.
4	Vnesite e-poštni naslov enega ali več uporabnikov, ki jih želite dodati, ali kliknite X ob ID uporabnika, če želite uporabnika odstraniti iz preizkusa. Nato kliknite Save.

Prehod iz poskusnega v proizvodni proces

Ko ste prepričani, da namestitev dobro deluje za poskusne uporabnike, lahko preidete na produkcijo. Ko preidete v produkcijo, bodo vsi uporabniki v organizaciji uporabljali lokalno domeno Hybrid Data Security za šifrirne ključe in druge storitve varnostnega področja. Iz produkcijskega načina se ne morete premakniti nazaj v poskusni način, razen če storitev deaktivirate v okviru obnovitve po nesreči. Ob ponovnem aktiviranju storitve morate nastaviti novo poskusno različico.

1	Prijavite se v Control Hub in izberite Services.
2	V razdelku Hibridna varnost podatkov kliknite Settings.
3	V razdelku Status storitve kliknite Move to Production.
4	Potrdite, da želite vse uporabnike premakniti v produkcijo.

Zaključite poskusno različico brez prehoda v produkcijo

Če se med preizkusom odločite, da ne boste nadaljevali z uvajanjem storitve Hybrid Data Security, lahko deaktivirate Hybrid Data Security, s čimer se zaključi preizkus in preizkusni uporabniki se premaknejo nazaj na storitve varnosti podatkov v oblaku. Poskusni uporabniki bodo izgubili dostop do podatkov, ki so bili šifrirani med preizkusom.

1	Prijavite se v Control Hub in izberite Services.
2	V razdelku Hibridna varnost podatkov kliknite Settings.
3	V razdelku Deaktivirati kliknite Deaktivirati.
4	Potrdite, da želite deaktivirati storitev in končati poskusno obdobje.

Upravljanje namestitve HDS

Z nalogami, opisanimi v tem poglavju, upravljate uvajanje hibridnega varovanja podatkov.

Nastavitev urnika nadgradnje gruče

Nadgradnje programske opreme za hibridno varovanje podatkov potekajo samodejno na ravni gruče, kar zagotavlja, da je v vseh vozliščih vedno nameščena ista različica programske opreme. Nadgradnje se izvajajo v skladu z urnikom nadgradenj za gručo. Ko je nadgradnja programske opreme na voljo, lahko gručo ročno nadgradite pred načrtovanim časom nadgradnje. Nastavite lahko poseben urnik nadgradnje ali uporabite privzeti urnik 3:00 AM Daily United States: Amerika/Los Angeles. Po potrebi lahko tudi preložite prihajajočo nadgradnjo.

Nastavitev urnika nadgradnje:

1	Prijavite se v nadzorno vozlišče.
2	Na strani s pregledom v razdelku Hibridne storitve izberite Hibridna varnost podatkov.
3	Na strani Sredstva za hibridno varnost podatkov izberite gručo.
4	Na desni strani plošče s pregledom v razdelku Nastavitve gruče izberite ime gruče.
5	Na strani z nastavitvami v razdelku Nadgradnja izberite čas in časovni pas za urnik nadgradnje. Opomba: Pod časovnim pasom se prikaže naslednji razpoložljivi datum in ura nadgradnje. Nadgradnjo lahko po potrebi preložite na naslednji dan, tako da kliknete Postpone.

Spreminjanje konfiguracije vozlišča

Občasno boste morali spremeniti konfiguracijo vozlišča Hybrid Data Security zaradi razlogov, kot so:

spreminjanje potrdil x.509 zaradi poteka veljavnosti ali drugih razlogov.

Ne podpiramo spreminjanja imena domene CN potrdila. Domena se mora ujemati s prvotno domeno, ki je bila uporabljena za registracijo gruče.

Posodabljanje nastavitev podatkovne zbirke za spremembo na repliko podatkovne zbirke PostgreSQL ali Microsoft SQL Server.

Ne podpiramo prenosa podatkov iz PostgreSQLa v Microsoft SQL Server ali obratno. Če želite zamenjati okolje podatkovne zbirke, začnite novo uvajanje hibridne varnosti podatkov.

Ustvarjanje nove konfiguracije za pripravo novega podatkovnega središča.

Poleg tega družba Hybrid Data Security zaradi varnosti uporablja gesla za storitvene račune z devetmesečno življenjsko dobo. Ko orodje HDS Setup ustvari ta gesla, jih namestite v vsako vozlišče HDS v konfiguracijski datoteki ISO. Ko geslom vaše organizacije poteče veljavnost, prejmete obvestilo od ekipe Webex, da ponastavite geslo za svoj račun naprave. (E-poštno sporočilo vsebuje besedilo: "Za posodobitev gesla uporabite vmesnik API strojnega računa.") Če veljavnost gesel še ni potekla, vam orodje ponudi dve možnosti:

Mehka ponastavitev- Staro in novo geslo delujeta do 10 dni. To obdobje uporabite za postopno zamenjavo datoteke ISO v vozliščih.
Trda ponastavitev-Stara gesla takoj prenehajo delovati.

Če gesla potečejo brez ponastavitve, to vpliva na storitev HDS in zahteva takojšnjo trdo ponastavitev in zamenjavo datoteke ISO v vseh vozliščih.

S tem postopkom ustvarite novo konfiguracijsko datoteko ISO in jo uporabite v gruči.

Preden začnete

Če se orodje HDS Setup v vašem okolju izvaja za posrednikom, določite nastavitve posrednika (strežnik, vrata, poverilnice) s spremenljivkami okolja Docker, ko zaženete vsebnik Docker v 1.e. V tej tabeli so navedene nekatere možne spremenljivke okolja:

Opis	Spremenljivka
Proxy strežnik HTTP brez avtentikacije	`GLOBALNO_AGENT_HTTP_PROXY=http://SERVER_IP:PORT`
Proxy HTTPS brez avtentikacije	`GLOBALNO_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT`
Proxy strežnik HTTP z avtentikacijo	`GLOBALNO_AGENT_HTTP_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`
Proxy HTTPS z avtentikacijo	`GLOBALNO_AGENT_HTTPS_PROXY=http://USERNAME:PASSWORD@SERVER_IP:PORT`

Za ustvarjanje nove konfiguracije potrebujete kopijo datoteke ISO trenutne konfiguracije. ISO vsebuje glavni ključ za šifriranje podatkovne zbirke PostgreSQL ali Microsoft SQL Server. ISO potrebujete, ko spreminjate konfiguracijo, vključno s poverilnicami podatkovne zbirke, posodobitvami potrdil ali spremembami politike avtorizacije.

V lokalnem računalniku z uporabo programa Docker zaženite orodje za namestitev HDS.

V ukazno vrstico računalnika vnesite ukaz, ki ustreza vašemu okolju:
V običajnih okoljih:
```
docker rmi ciscocitg/hds-setup:stable
```
V okoljih FedRAMP:
```
docker rmi ciscocitg/hds-setup-fedramp:stable
```
V tem koraku očistite prejšnje slike orodja za nastavitev HDS. Če ni prejšnjih slik, vrne napako, ki jo lahko prezrete.
Če se želite prijaviti v register slik Docker, vnesite naslednje:
```
docker login -u hdscustomersro
```
Na poziv za geslo vnesite to geslo:
```
dckr_pat_aDP6V4KkrvpBwaQf6m6ROkvKUIo
```

Prenesite najnovejšo stabilno sliko za svoje okolje:

V običajnih okoljih:

docker pull ciscocitg/hds-setup:stable

V okoljih FedRAMP:

docker pull ciscocitg/hds-setup-fedramp:stable

Prepričajte se, da ste za ta postopek vzeli najnovejše orodje za namestitev. Različice orodja, ustvarjene pred 22. februarjem 2018, nimajo zaslonov za ponastavitev gesla.

Ko se poteg konča, vnesite ustrezen ukaz za svoje okolje:

V običajnih okoljih brez posrednika:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup:stable

V običajnih okoljih s posredniškim strežnikom HTTP:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

V običajnih okoljih s posredniškim strežnikom HTTPS:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup:stable

V okoljih FedRAMP brez posrednika:

docker run -p 8080:8080 --rm -it ciscocitg/hds-setup-fedramp:stable

V okoljih FedRAMP s posrednikom HTTP:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTP_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

V okoljih FedRAMP s posrednikom HTTPS:

docker run -p 8080:8080 --rm -it -e GLOBAL_AGENT_HTTPS_PROXY=http://SERVER_IP:PORT ciscocitg/hds-setup-fedramp:stable

Ko se vsebnik zažene, se prikaže "Express strežnik posluša na vratih 8080."

Z brskalnikom se povežite z lokalnim gostiteljem, http://127.0.0.1:8080.

Orodje za namestitev ne podpira povezovanja z lokalnim gostiteljem prek spletne strani http://localhost:8080. Uporabite http://127.0.0.1:8080 za povezavo z lokalnim gostiteljem.

Ob pozivu vnesite poverilnice za prijavo stranke v vozlišče Control Hub in kliknite Accept , da nadaljujete.
Uvozite trenutno konfiguracijsko datoteko ISO.
Sledite navodilom, da dokončate orodje in prenesete posodobljeno datoteko.

Če želite zaustaviti orodje Setup, vnesite CTRL+C.
Ustvarite varnostno kopijo posodobljene datoteke v drugem podatkovnem središču.

Če imate samo eno vozlišče HDS, na katerem teče, ustvarite novo hibridno vozlišče Hybrid Data Security VM in ga registrirajte z novo konfiguracijsko datoteko ISO. Za podrobnejša navodila glejte Ustvari in registriraj več vozlišč.

Namestite OVA gostitelja HDS.
Nastavite VM HDS.
Namestite posodobljeno konfiguracijsko datoteko.
Novo vozlišče registrirajte v vozlišču Control Hub.

Za obstoječa vozlišča HDS, ki uporabljajo starejšo konfiguracijsko datoteko, namestite datoteko ISO. Naslednji postopek izvedite na vsakem vozlišču zapored, pri čemer posodobite vsako vozlišče, preden izklopite naslednje vozlišče:

Izklopite navidezni stroj.
V levem navigacijskem podoknu odjemalca VMware vSphere desno kliknite na VM in kliknite Edit Settings.
Kliknite CD/DVD pogon 1, izberite možnost za namestitev iz datoteke ISO in poiščite mesto, kamor ste prenesli novo konfiguracijsko datoteko ISO.
Preverite Connect at power on.
Shranite spremembe in vklopite navidezni stroj.

Ponovite korak 3 in zamenjajte konfiguracijo na vsakem preostalem vozlišču, na katerem je nameščena stara konfiguracija.

Izklopite način blokiranega zunanjega DNS razreševanja

Ko registrirate vozlišče ali preverite konfiguracijo posredniškega strežnika vozlišča, postopek preizkusi iskanje DNS in povezljivost z oblakom Cisco Webex. Če strežnik DNS vozlišča ne more razrešiti javnih imen DNS, vozlišče samodejno preklopi v način blokiranega zunanjega razreševanja DNS.

Če lahko vozlišča razrešijo javna imena DNS prek notranjih strežnikov DNS, lahko ta način izklopite tako, da v vsakem vozlišču ponovno zaženete preskus povezave proxy.

Preden začnete

Prepričajte se, da lahko notranji strežniki DNS razrešujejo javna imena DNS in da lahko vozlišča komunicirajo z njimi.

1	V spletnem brskalniku odprite vmesnik vozlišča Hybrid Data Security (na primer IP naslov/nastavitev, https://192.0.2.0/setup), vnesite poverilnice skrbnika, ki ste jih nastavili za vozlišče, in nato kliknite Prijava.
2	Pojdite na Pregled (privzeta stran). Ko je omogočeno, je Blokirana zunanja resolucija DNS nastavljena na Da.
3	Pojdite na stran Trust Store & Proxy .
4	Kliknite Preverite povezavo proxy. Če se prikaže sporočilo, da zunanja resolucija DNS ni bila uspešna, vozlišče ni moglo doseči strežnika DNS in bo ostalo v tem načinu. V nasprotnem primeru morate po ponovnem zagonu vozlišča in vrnitvi na stran Overview nastaviti možnost Blocked External DNS Resolution na ne.

Kaj storiti naprej

Ponovite preskus povezave proxy na vsakem vozlišču v gruči Hybrid Data Security.

Odstranitev vozlišča

S tem postopkom odstranite vozlišče Hybrid Data Security iz oblaka Webex. Ko vozlišče odstranite iz gruče, izbrišite virtualni stroj, da preprečite nadaljnji dostop do varnostnih podatkov.

Z odjemalcem VMware vSphere v računalniku se prijavite v navidezni gostitelj ESXi in izklopite navidezni stroj.

Odstranite vozlišče:

Prijavite se v Control Hub in izberite Services.
Na kartici Hybrid Data Security kliknite View All , da se prikaže stran Hybrid Data Security Resources.
Izberite grozd, da se prikaže njegova plošča s pregledom.
Kliknite Odpri seznam vozlišč.
Na kartici Vozlišča izberite vozlišče, ki ga želite odstraniti.
Kliknite Dejavnosti > Izbriši vozlišče.

V odjemalcu vSphere izbrišite VM. (V levem navigacijskem podoknu z desno tipko miške kliknite VM in kliknite Delete.)

Če VM ne izbrišete, ne pozabite odstraniti konfiguracijske datoteke ISO. Brez datoteke ISO ne morete uporabiti VM za dostop do varnostnih podatkov.

Obnovitev po nesreči z uporabo rezervnega podatkovnega centra

Najpomembnejša storitev, ki jo zagotavlja vaša gruča za hibridno varnost podatkov, je ustvarjanje in shranjevanje ključev, ki se uporabljajo za šifriranje sporočil in druge vsebine, shranjene v oblaku Webex. Za vsakega uporabnika v organizaciji, ki je dodeljen hibridnemu varovanju podatkov, se v gručo posredujejo zahteve za ustvarjanje novih ključev. Grozd je odgovoren tudi za vračanje ključev, ki jih je ustvaril, vsem uporabnikom, ki so pooblaščeni za njihovo pridobitev, na primer članom prostora za pogovore.

Ker gruča opravlja ključno funkcijo zagotavljanja teh ključev, je nujno, da deluje in da se vzdržujejo ustrezne varnostne kopije. Izguba podatkovne zbirke Hybrid Data Security ali konfiguracijskega ISO, ki se uporablja za shemo, bo povzročila NEODSTRANJIVO izgubo vsebine stranke. Da bi preprečili takšno izgubo, je treba upoštevati naslednje prakse:

Če zaradi nesreče namestitev HDS v primarnem podatkovnem središču postane nerazpoložljiva, po tem postopku ročno preklopite na rezervno podatkovno središče.

Zagon orodja HDS Setup in sledite korakom, navedenim v Create a Configuration ISO for the HDS Hosts.

Ko konfigurirate strežnik Syslogd, kliknite na Advanced Settings.

Na strani Advanced Settings dodajte spodnjo konfiguracijo ali odstranite konfiguracijo passiveMode , da vozlišče postane aktivno. Ko je to konfigurirano, lahko vozlišče upravlja promet.

 pasivni način: 'false'

Dokončajte postopek konfiguracije in shranite datoteko ISO na mesto, ki ga boste zlahka našli.

V levem navigacijskem podoknu odjemalca VMware vSphere desno kliknite na VM in kliknite Edit Settings..

Kliknite Edit Settings >CD/DVD Drive 1 in izberite Datastore ISO File.

Prepričajte se, da sta označeni možnosti Connected in Connect at power on , da bodo posodobljene spremembe konfiguracije začele veljati po zagonu vozlišč.

Vključite vozlišče HDS in se prepričajte, da vsaj 15 minut ni alarmov.

Postopek ponovite za vsa vozlišča v rezervnem podatkovnem središču.

Preverite izhod sysloga in preverite, ali vozlišča rezervnega podatkovnega centra niso v pasivnem načinu. "KMS konfiguriran v pasivnem načinu" se ne sme pojaviti v syslogih.

Kaj storiti naprej

Če primarni podatkovni center po prevzemu v okvari spet postane aktiven, prestavite rezervni podatkovni center v pasivni način tako, da sledite korakom, opisanim v poglavju Setup Standby Data Center for Disaster Recovery (Nastavitev rezervnega podatkovnega centra za obnovitev po nesreči).

(Neobvezno) Odstranitev namestitve ISO po konfiguraciji HDS

Standardna konfiguracija HDS deluje z nameščenim ISO. Vendar nekatere stranke raje ne puščajo datotek ISO neprekinjeno nameščenih. Datoteko ISO lahko odstranite, ko vsa vozlišča HDS prevzamejo novo konfiguracijo.

Za spreminjanje konfiguracije še vedno uporabljate datoteke ISO. Ko ustvarite nov ISO ali posodobite ISO z orodjem za namestitev, morate posodobljeni ISO namestiti na vsa vozlišča HDS. Ko vsa vozlišča prevzamejo spremembe konfiguracije, lahko s tem postopkom ponovno odstranite namestitev ISO.

Preden začnete

Nadgradite vsa vozlišča HDS na različico 2021.01.22.4720 ali novejšo.

1	Izklopite eno od vozlišč HDS.
2	V napravi vCenter Server Appliance izberite vozlišče HDS.
3	Izberite Edit Settings > CD/DVD drive in odstranite kljukico Datastore ISO File.
4	Vključite vozlišče HDS in se prepričajte, da vsaj 20 minut ni alarmov.
5	Ponovite za vsako vozlišče HDS po vrsti.

Odpravljanje težav z varnostjo hibridnih podatkov

Oglejte si opozorila in odpravite težave

Hibridna namestitev varovanja podatkov se šteje za nedostopno, če vsa vozlišča v gruči niso dosegljiva ali če gruča deluje tako počasi, da se zahteve prekinejo. Če uporabniki ne morejo doseči gruče Hybrid Data Security, se pojavijo naslednji simptomi:

Ni mogoče ustvariti novih prostorov (ni mogoče ustvariti novih ključev)
Sporočila in naslovi prostora niso dešifrirani:
- V prostor so dodani novi uporabniki (ni mogoče pridobiti ključev)
- obstoječi uporabniki v prostoru, ki uporabljajo novega odjemalca (ne morejo pridobiti ključev)
Obstoječi uporabniki v prostoru bodo še naprej uspešno delovali, dokler bodo njihovi odjemalci imeli predpomnilnik šifrirnih ključev.

Pomembno je, da ustrezno spremljate svojo gručo Hybrid Data Security in takoj obravnavate vsa opozorila, da ne pride do motenj v delovanju.

Opozorila

Če pride do težave z nastavitvijo hibridne varnosti podatkov, vozlišče Control Hub prikaže opozorila skrbniku organizacije in pošlje e-poštna sporočila na konfigurirani e-poštni naslov. Opozorila zajemajo številne pogoste scenarije.

Tabela 1. Najpogostejše težave in koraki za njihovo reševanje
Opozorilo	Dejanje
Neuspešen dostop do lokalne zbirke podatkov.	Preverite napake v zbirki podatkov ali težave v lokalnem omrežju.
Neuspešna povezava z lokalno zbirko podatkov.	Preverite, ali je strežnik zbirke podatkov na voljo in ali so bili pri konfiguraciji vozlišča uporabljeni pravilni poverilnice servisnega računa.
Napaka pri dostopu do storitev v oblaku.	Preverite, ali lahko vozlišča dostopajo do strežnikov Webex, kot je določeno v Zahteve za zunanjo povezljivost.
Podaljšanje registracije storitve v oblaku.	Registracija v storitve v oblaku je bila ukinjena. Podaljšanje registracije je v teku.
Registracija storitve v oblaku je bila prekinjena.	Registracija v storitve v oblaku je prekinjena. Storitev se ustavi.
Storitev še ni aktivirana.	Aktivirajte poskusno različico ali dokončajte prenos poskusne različice v produkcijo.
Konfigurirana domena se ne ujema s certifikatom strežnika.	Prepričajte se, da se potrdilo strežnika ujema z nastavljeno domeno za aktivacijo storitve. Najverjetnejši vzrok je, da je bil CN potrdila nedavno spremenjen in se zdaj razlikuje od CN, ki je bil uporabljen med začetno nastavitvijo.
Neuspešno preverjanje pristnosti v storitvah v oblaku.	Preverite točnost in morebitno prenehanje veljavnosti poverilnic storitvenega računa.
Ni uspelo odpreti lokalne datoteke s ključi.	Preverite celovitost in točnost gesla v lokalni datoteki shrambe ključev.
Potrdilo lokalnega strežnika je neveljavno.	Preverite datum poteka veljavnosti potrdila strežnika in potrdite, da ga je izdal zaupanja vreden organ za potrjevanje.
Ni mogoče objaviti metrike.	Preverite dostop lokalnega omrežja do zunanjih storitev v oblaku.
imenik /media/configdrive/hds ne obstaja.	Preverite konfiguracijo priklopa ISO v navideznem gostitelju. Preverite, ali datoteka ISO obstaja, ali je konfigurirana za namestitev ob ponovnem zagonu in ali se uspešno namesti.

Odpravljanje težav z varnostjo hibridnih podatkov

Pri odpravljanju težav s programom Hybrid Data Security uporabite naslednje splošne smernice.

1	V vozlišču Control Hub preverite morebitna opozorila in popravite vse elemente, ki jih tam najdete.
2	V izhodu strežnika syslog si oglejte dejavnosti iz namestitve Hybrid Data Security.
3	Kontaktirajte Ciscova podpora.

Druge opombe

Znane težave pri hibridni varnosti podatkov

Če zaustavite svojo gručo Hybrid Data Security (tako da jo izbrišete v nadzornem središču ali zaustavite vsa vozlišča), izgubite konfiguracijsko datoteko ISO ali izgubite dostop do podatkovne zbirke shrambe ključev, uporabniki aplikacije Webex ne morejo več uporabljati prostorov na seznamu Ljudje, ki so bili ustvarjeni s ključi iz vaše KMS. To velja za poskusne in produkcijske namestitve. Trenutno nimamo rešitve ali popravka za to težavo, zato vas pozivamo, da ne zapirate storitev HDS, ko te obdelujejo aktivne uporabniške račune.
Odjemalec, ki ima obstoječo povezavo ECDH s KMS, ohrani to povezavo za določen čas (verjetno eno uro). Ko uporabnik postane član hibridne poskusne zaščite podatkov, njegov odjemalec še naprej uporablja obstoječo povezavo ECDH, dokler se ta ne prekine. Uporabnik se lahko tudi odjavi in se ponovno prijavi v aplikacijo Webex App, da posodobi lokacijo, ki jo aplikacija kontaktira za šifrirne ključe.

Enako se obnašanje pojavi, ko poskusno različico premaknete v produkcijsko različico za organizacijo. Vsi uporabniki, ki niso v poskusni fazi, z obstoječimi povezavami ECDH s prejšnjimi storitvami za varnost podatkov bodo te storitve uporabljali še naprej, dokler se o povezavi ECDH ne bodo ponovno pogajali (s časovno omejitvijo ali z izpisom in ponovno prijavo).

Uporaba OpenSSL za generiranje datoteke PKCS12

Preden začnete

OpenSSL je eno od orodij, s katerim lahko datoteko PKCS12 pripravite v ustrezni obliki za nalaganje v orodju HDS Setup Tool. Obstajajo tudi drugi načini, zato ne podpiramo ali spodbujamo enega načina v primerjavi z drugim.
Če se odločite za uporabo OpenSSL, vam ta postopek zagotavljamo kot vodilo, ki vam bo pomagalo ustvariti datoteko, ki izpolnjuje zahteve za potrdilo X.509 v dokumentu X.509 Certificate Requirements (Zahteve za potrdilo X.509). Preden nadaljujete, razumite te zahteve.
Namestite OpenSSL v podprto okolje. Programsko opremo in dokumentacijo najdete na spletni strani https://www.openssl.org .
Ustvarite zasebni ključ.
Ta postopek začnite, ko prejmete strežniško potrdilo od overitelja potrdil (CA).

1	Ko od overitelja prejmete potrdilo strežnika, ga shranite kot `hdsnode.pem`.
2	Prikažite potrdilo kot besedilo in preverite podrobnosti. `openssl x509 -text -noout -in hdsnode.pem`
3	Z urejevalnikom besedila ustvarite datoteko s svežnjem potrdil z imenom `hdsnode-bundle.pem`. Datoteka s svežnjem mora vsebovati potrdilo strežnika, morebitna vmesna potrdila CA in potrdila korenskega CA v spodnji obliki: `-----BEGIN CERTIFICATE----- ### Certifikat strežnika. ### -----ENEND CERTIFICATE----- -----BEGIN CERTIFICATE----- ### Certifikat vmesnega overitelja. ### -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ### Korensko potrdilo CA. ### -----KONEC POTRDILA-----`
4	Ustvarite datoteko .p12 s prijaznim imenom `kms-private-key`. `openssl pkcs12 -export -inkey hdsnode.key -in hdsnode-bundle.pem -name kms-private-key -caname kms-private-key -out hdsnode.p12`
5	Preverite podatke o potrdilu strežnika. `openssl pkcs12 -in hdsnode.p12` Na poziv vnesite geslo za šifriranje zasebnega ključa, tako da bo ta naveden v izpisu. Nato preverite, ali zasebni ključ in prvo potrdilo vsebujeta vrstice `friendlyName: kms-private-key`. Primer: bash$ openssl pkcs12 -in hdsnode.p12 Vnesite uvozno geslo: MAC preverjeno OK Atributi vrečke friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 Ključni atributi: Vnesite geslo PEM: Preverjanje - vnesite geslo PEM: -----BEGIN ENCRYPTED PRIVATE KEY----- -----END ENCRYPTED PRIVATE KEY----- Atributi torbe friendlyName: kms-private-key localKeyID: 54 69 6D 65 20 31 34 39 30 37 33 32 35 30 39 33 31 34 subject=/CN=hds1.org6.portun.us issuer=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 -----BEGIN CERTIFICATE----- -----END CERTIFICATE----- Atributi torbe friendlyName: CN=Let's Encrypt Authority X3,O=Let's Encrypt,C=US subject=/C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3 issuer=/O=Digital Signature Trust Co./CN=DST Root CA X3 -----BEGIN CERTIFICATE----- -----END CERTIFICATE-----

Kaj storiti naprej

Nazaj na Izpolnite predpogoje za hibridno varnost podatkov. Datoteko hdsnode.p12 in geslo, ki ste ga nastavili zanjo, boste uporabili v Ustvarjanje konfiguracijskega ISO za gostitelje HDS.

Te datoteke lahko ponovno uporabite za zahtevek za novo potrdilo, ko poteče veljavnost prvotnega potrdila.

Promet med vozlišči HDS in oblakom

Zbiranje izhodnih metričnih podatkov o prometu

Vozlišča hibridne varnosti podatkov pošiljajo določene metrike v oblak Webex. Mednje spadajo sistemske metrike za največjo kupo, uporabljeno kupo, obremenitev procesorja in število niti; metrike sinhronih in asinhronih niti; metrike opozoril, ki vključujejo prag šifrirnih povezav, zakasnitev ali dolžino čakalne vrste zahtev; metrike podatkovnega skladišča in metrike šifrirnih povezav. Vozlišča pošiljajo šifrirano gradivo ključa po kanalu zunaj pasu (ločeno od zahteve).

Vhodni promet

Vozlišča za hibridno varovanje podatkov prejemajo naslednje vrste vhodnega prometa iz oblaka Webex:

zahteve za šifriranje odjemalcev, ki jih usmerja storitev šifriranja.
Nadgradnje programske opreme vozlišča

Konfiguracija proxyjev Squid za hibridno varnost podatkov

Websocket se ne more povezati prek Squid Proxy

Proksi strežniki Squid, ki pregledujejo promet HTTPS, lahko ovirajo vzpostavitev povezav websocket (wss:), ki jih zahteva sistem Hybrid Data Security. V teh razdelkih so navodila za konfiguracijo različnih različic Squida, da ignorira wss: prometa za pravilno delovanje storitev.

Squid 4 in 5

Dodajte direktivo on_unsupported_protocol v squid.conf:

on_unsupported_protocol predor vse

Squid 3.5.27

Uspešno smo preizkusili hibridno varnost podatkov z naslednjimi pravili, dodanimi v squid.conf. Ta pravila se lahko spremenijo, ko razvijamo funkcije in posodabljamo oblak Webex.

acl wssMercuryPovezava ssl::server_name_regex mercury-connection ssl_bump splice wssMercuryConnection acl step1 at_step SslBump1 acl step2 at_step SslBump2 acl step3 at_step SslBump3 ssl_bump peek step1 all ssl_bump stare step2 all ssl_bump bump step3 all

Predgovor

Nove in spremenjene informacije

Datum

Narejene spremembe

20 oktobra, 2023

Posodobljene informacije v razdelku Zahtevestrežnika zbirke podatkov.
Dodana nastavitev podatkovnega centra v stanju pripravljenosti za obnovitevpo katastrofi.
Posodobljene informacije v podatkovnem središču v stanju pripravljenosti za obnovitev po katastrofi in obnovitev po katastrofi z uporabo podatkovnega središčav stanju pripravljenosti.

Avgust 07, 2023

Dodana je bila opomba v razdelku Prenos namestitvenih datotek.
Dodana je bila opomba v razdelku Ustvarjanje konfiguracije ISO za gostitelje HDS in spreminjanje konfiguracijevozlišča.

23 maja, 2023

Izbrisani podatki iz zahtev strežnika zbirke podatkov, ki zahtevajo omogočanje funkcije, tako da se obrnete na skupino za račune.
Posodobljene informacije v razdelku Zahteve za zunanjo povezljivost in dodana Kanada v tabelo gostiteljev CI.
Dodana opomba v Pričakovanja za uvajanje hibridne varnosti podatkov v zvezi z nerazpoložljivostjo mehanizmov za premik ključev nazaj v oblak.

06 decembra, 2022

Slike orodja za nastavitev HDS so zdaj gostovane v ciscocitg Dockerhub repozitorij.
Posodobljeno Ustvarite konfiguracijski ISO za gostitelje HDS in spremenite teme Konfiguracija vozlišča, da prilagodite spremembe ukazov.

23 novembra, 2022

Vozlišča HDS lahko zdaj uporabljajo preverjanje pristnosti sistema Windows proti strežniku Microsoft SQL Server.

Tema Zahteve za strežnik zbirke podatkov je bila posodobljena z dodatnimi zahtevami za ta način preverjanja pristnosti.

Posodobljeno Ustvarjanje konfiguracije ISO za gostitelje HDS s postopkom za konfiguracijo preverjanja pristnosti sistema Windows na vozliščih.
Tema Zahteve strežnika zbirke podatkov je bila posodobljena z novimi minimalnimi zahtevanimi različicami (PostgreSQL 10).

13 oktobra, 2021

Docker Desktop mora zagnati namestitveni program, preden lahko namestite vozlišča HDS. Glejte Zahteveza namizje Dockerja.

Junij 24, 2021

Upoštevajte, da lahko znova uporabite datoteko zasebnega ključa in CSR, da zahtevate drugo potrdilo. Za podrobnosti glejte Uporaba OpenSSL za ustvarjanje datoteke PKCS12.

30 aprila, 2021

Spremenili smo zahtevo za VM za prostor na trdem disku na lokalnem trdem disku na 30 GB. Za podrobnosti glejte Zahteve za virtualnega gostitelja.

24 februarja, 2021

HDS Setup Tool lahko zdaj deluje za proxyjem. Za podrobnosti glejte Ustvarjanje konfiguracijskega ISO za gostitelje HDS.

2 februarja, 2021

HDS lahko zdaj deluje brez nameščene datoteke ISO. Za podrobnosti glejte (izbirno) Odstranitev ISO po konfiguraciji HDS.

11 januarja, 2021

Dodane so bile informacije o orodju za nastavitev HDS in proxyjih za ustvarjanje konfiguracijskega ISO za gostiteljeHDS.

13 oktobra, 2020

Posodobljen prenos namestitvenih datotek.

8 oktobra, 2020

Posodobljeno Ustvarite konfiguracijski ISO za gostitelje HDS in spremenite konfiguracijo vozlišča z ukazi za okolja FedRAMP.

Avgust 14, 2020

Posodobljeno Ustvarite konfiguracijski ISO za gostitelje HDS in spremenite konfiguracijo vozlišča s spremembami postopka vpisa.

Avgust 5, 2020

Posodobljeno Preskusite uvedbo hibridne varnosti podatkov za spremembe v dnevniških sporočilih.

Posodobljene zahteve za navideznega gostitelja, da odstranite največje število gostiteljev.

16 junija, 2020

Posodobljeno Odstranite vozlišče za spremembe v uporabniškem vmesniku nadzornega središča.

4 junija, 2020

Posodobljeno Ustvarjanje konfiguracije ISO za gostitelje HDS za spremembe v naprednih nastavitvah, ki jih morda nastavite.

29 maja, 2020

Posodobljeno »Ustvarjanje konfiguracijskega ISO-ja za gostitelje HDS«, ki prikazuje, da lahko TLS uporabljate tudi z zbirkami podatkov strežnika SQL Server, spremembami uporabniškega vmesnika in drugimi pojasnili.

5 maja, 2020

Posodobljene zahteve za navideznega gostitelja, da prikažejo nove zahteve ESXi 6.5.

21 aprila, 2020

Posodobljene zahteve za zunanjo povezljivost z novimi gostitelji CI v Ameriki.

1 aprila, 2020

Posodobljene zahteve za zunanjo povezljivost z informacijami o regionalnih gostiteljih CI.

20 februarja, 2020 Posodobljeno Ustvari konfiguracijski ISO za gostitelje HDS z informacijami o novem izbirnem zaslonu Napredne nastavitve v orodju za nastavitev HDS.

4 februarja, 2020 Posodobljene zahteveza strežnik proxy.

16 decembra, 2019 Pojasnjena je zahteva, da način blokiranega zunanjega razreševanja DNS deluje v zahtevahza strežnik proxy.

19 novembra, 2019

Dodane so bile informacije o načinu blokiranega zunanjega razreševanja DNS v teh razdelkih:

Podpora za proxy
Konfiguracija vozlišča HDS za integracijo strežnika proxy
Izklop načina blokiranega zunanjega razločevanja DNS

8 novembra, 2019

Zdaj lahko konfigurirate omrežne nastavitve za vozlišče med uvajanjem OVA in ne kasneje.

V skladu s tem so bili posodobljeni naslednji razdelki:

Potek opravila uvedbe hibridne varnosti podatkov
Namestitev OVA gostitelja HDS
Nastavitev hibridnega varnostnega računalniškega računalnika

Možnost konfiguracije omrežnih nastavitev med uvajanjem OVA je bila preizkušena z ESXi 6.5. Ta možnost morda ni na voljo v starejših različicah.

6 septembra, 2019

Dodane zahtevestrežnika SQL Server Standard v strežnik zbirke podatkov.

Avgust 29, 2019 Dodana je bila priloga Konfiguriraj proxyje lignjev za hibridno varnost podatkov z navodili za konfiguriranje proxyjev lignjev za ignoriranje prometa websocket za pravilno delovanje.

20 avgusta, 2019

Dodani in posodobljeni razdelki za podporo proxy za komunikacijo vozlišča Hybrid Data Security v oblaku Webex.

Podpora za proxy
Zahteve za strežnik proxy
Konfiguracija vozlišča HDS za integracijo strežnika proxy

Če želite dostopati samo do vsebine podpore za proxy za obstoječo uvedbo, si oglejte članek pomoči Podpora proxy za hibridno varnost podatkov in Webex Video Mesh .

13 junija, 2019 Posodobljen potek preskusnega v proizvodnem opravilu z opomnikom za sinhronizacijo HdsTrialGroup Združite predmet pred začetkom preskusne različice, če vaša organizacija uporablja sinhronizacijo imenika.

6 marca, 2019

Zahteve in predpogoje smo premaknili v ločeno poglavje, Priprava okolja.
Dodan je bil pregled poteka opravila uvajanja hibridne varnosti podatkov v poglavju Nastavitev hibridne varnostne skupinepodatkov.

Upoštevajte, da dokler ne začnete preskusne različice (z navodili v naslednjem poglavju), vaša vozlišča generirajo alarm, ki kaže, da vaša storitev še ni aktivirana.
Dodana je bila preskusna različica v potek proizvodnega opravila v poglavju Zagon preskusne različice in Premik v produkcijo.

28 februarja, 2019

Popravljena je bila količina prostora na trdem disku na strežniku, ki jo morate nameniti pri pripravi navideznih gostiteljev, ki postanejo vozlišča hibridne varnosti podatkov, od 50 GB do 20 GB, da odraža velikost diska, ki ga ustvari OVA.

26 februarja, 2019

Vozlišča hibridne varnosti podatkov zdaj podpirajo šifrirane povezave s strežniki baze podatkov PostgreSQL in šifrirane povezave dnevnika s strežnikom syslog, ki podpira TLS. Posodobljeno Ustvarite konfiguracijski ISO za gostitelje HDS z navodili.
Ciljni URL-ji so bili odstranjeni iz tabele »Zahteve za internetno povezljivost za hibridne varnostne vozlišča podatkov«. Tabela se zdaj nanaša na seznam, ki se hrani v tabeli »Dodatni URL-ji za hibridne storitve Webex Teams« v omrežnih zahtevah za storitveWebex Teams.

24 januarja, 2019

Hibridna varnost podatkov zdaj podpira Microsoft SQL Server kot zbirko podatkov. SQL Server Always On (Always On Failover Clusters in Always On Availability Groups) podpirajo gonilniki JDBC, ki se uporabljajo v hibridni varnosti podatkov. Dodana vsebina, povezana z uvajanjem s strežnikom SQL Server.

Podpora za Microsoft SQL Server je namenjena samo novim uvedbam hibridne varnosti podatkov. Trenutno ne podpiramo selitve podatkov iz PostgreSQL v Microsoft SQL Server v obstoječi uvedbi.

5 novembra, 2018

Dodan je bil predhodni korak za čiščenje vseh obstoječih primerkov docker hds v razdelku Ustvarjanje konfiguracije ISO za gostitelje HDS in spreminjanje konfiguracijevozlišča.
Posodobljen je bil korak ravni dostopa ključa v razdelku Ustvarjanje konfiguracije ISO za gostitelje HDS, da se ujema z vmesnikom.

19 oktobra, 2018

Razdelite informacije o povezavi požarnega zidu na zahteve vozlišč in zahteve za konfiguracijo stroja ISO v razdelku Izpolnite predpogoje za hibridno varnostpodatkov.

Julij 31, 2018

Dodana vrata 22 (dostop SSH) in informacije o povezavah NAT in požarnega zidu za izpolnitev predpogojev za hibridno varnostpodatkov.

21 maja, 2018

Spremenjena terminologija, ki odraža preoblikovanje blagovne znamke Cisco Spark:

Cisco Spark Hybrid Data Security je zdaj hibridna varnost podatkov.
Aplikacija Cisco Spark je zdaj aplikacija Webex App.
Cisco Collaboraton Cloud je zdaj oblak Webex.

11 aprila, 2018

Dodan podatkovni center v stanju pripravljenosti za obnovitevpo katastrofi.
Posodobljeno Izpolnite predpogoje za hibridno varnost podatkov, da določite, da mora biti okolje za varnostno kopiranje v drugem podatkovnem središču.
Posodobljena obnovitev po katastrofi z uporabo podatkovnega središčav stanju pripravljenosti.

22 februarja, 2018

Dodane so bile informacije o 9-mesečni življenjski dobi za geslo računa storitve in uporabi orodja za nastavitev HDS za ponastavitev gesel računa storitve v razdelku Ustvarjanje konfiguracije ISO za gostitelje HDS in spreminjanje konfiguracijevozlišča.

15 februarja, 2018

V tabeli Zahteve za potrdilo X.509 določite, da potrdilo ne more biti potrdilo z nadomestnim znakom in da KMS uporablja domeno CN in ne domene, ki je določena v poljih SAN x.509v3.

18 januarja, 2018

Dodan dodatek, Promet med vozlišči HDS in oblakom.
Odpravljena težava je bila odstranjena iz možnosti Znane težave za hibridno varnostpodatkov.
index.docker.io je bil spremenjen v *.docker.io in dodan *.cloudfront.net na seznam zahtev za povezljivost TCP za vozlišča HDS v razdelku Dokončanje predpogojev za hibridno varnostpodatkov.
Posodobljeno »Ustvarjanje konfiguracijskega ISO-ja za gostitelje HDS« označuje, da morate konfigurirati z naslovi IP, če gostitelja zbirke podatkov in strežnika Syslogd ni mogoče razrešiti z DNS iz vozlišč HDS.

2 novembra, 2017

Pojasnjena sinhronizacija imenika HdsTrialGroup.
Popravljena navodila za nalaganje konfiguracijske datoteke ISO za namestitev na vozlišča VM.

Avgust 18, 2017

Prvič objavljeno

Začnite s hibridno varnostjo podatkov

Pregled hibridne varnosti podatkov

Od prvega dne je bila varnost podatkov glavni poudarek pri oblikovanju aplikacije Webex. Temelj te varnosti je šifriranje vsebine od konca do konca, ki ga omogočajo odjemalci aplikacije Webex, ki komunicirajo s storitvijo upravljanja ključev (KMS). Storitev upravljanja ključev je odgovorna za ustvarjanje in upravljanje kriptografskih ključev, ki jih odjemalci uporabljajo za dinamično šifriranje in dešifriranje sporočil in datotek.

Privzeto vse stranke aplikacije Webex dobijo šifriranje od konca do konca z dinamičnimi ključi, shranjenimi v KMS v oblaku v varnostnem kraljestvu Cisco. Hibridna varnost podatkov premakne KMS in druge funkcije, povezane z varnostjo, v podatkovno središče podjetja, tako da nihče razen vas nima ključev do vaše šifrirane vsebine.

Arhitektura varnostnega področja

Arhitektura oblaka Webex ločuje različne vrste storitev v ločena področja ali domene zaupanja, kot je prikazano spodaj.

***Področja ločevanja (brez hibridne varnosti podatkov)***

Da bi bolje razumeli hibridno varnost podatkov, si najprej poglejmo ta čisti primer v oblaku, kjer Cisco zagotavlja vse funkcije v svojem oblaku. Storitev identitete, edino mesto, kjer so uporabniki lahko neposredno povezani s svojimi osebnimi podatki, kot je e-poštni naslov, je logično in fizično ločena od varnostnega področja v podatkovnem centru B. Oba sta ločena od področja, kjer je šifrirana vsebina na koncu shranjena, v podatkovnem centru C.

V tem diagramu je odjemalec aplikacija Webex, ki se izvaja na prenosnem računalniku uporabnika in je preverila pristnost s storitvijo identitete. Ko uporabnik sestavi sporočilo, ki ga pošlje v prostor, se izvedejo naslednji koraki:

Odjemalec vzpostavi varno povezavo s storitvijo za upravljanje ključev (KMS) in nato zahteva ključ za šifriranje sporočila. Varna povezava uporablja ECDH, KMS pa šifrira ključ z glavnim ključem AES-256.
Sporočilo je šifrirano, preden zapusti odjemalca. Odjemalec ga pošlje storitvi indeksiranja, ki ustvari šifrirane iskalne indekse za pomoč pri prihodnjih iskanjih vsebine.
Šifrirano sporočilo je poslano storitvi za skladnost s predpisi za preverjanje skladnosti.
Šifrirano sporočilo je shranjeno v območju shranjevanja.

Ko uvedete hibridno varnost podatkov, premaknete funkcije varnostnega področja (KMS, indeksiranje in skladnost s predpisi) v podatkovno središče na mestu uporabe. Druge storitve v oblaku, ki sestavljajo Webex (vključno z identiteto in shranjevanjem vsebine), ostajajo v Ciscovih domenah.

Sodelovanje z drugimi organizacijami

Uporabniki v vaši organizaciji lahko redno uporabljajo aplikacijo Webex za sodelovanje z zunanjimi udeleženci v drugih organizacijah. Ko eden od vaših uporabnikov zahteva ključ za prostor, ki je v lasti vaše organizacije (ker ga je ustvaril eden od vaših uporabnikov), vaš KMS pošlje ključ odjemalcu prek zaščitenega kanala ECDH. Ko pa ima ključ za prostor v lasti druga organizacija, vaš KMS usmeri zahtevo v oblak Webex prek ločenega kanala ECDH, da dobi ključ iz ustreznega KMS, nato pa ključ vrne uporabniku v prvotnem kanalu.

Storitev KMS, ki se izvaja v organizaciji A, preveri povezave s KMS v drugih organizacijah s potrdili x.509 PKI. Glejte Priprava okolja za podrobnosti o ustvarjanju potrdila x.509 za uporabo z uvedbo hibridne varnosti podatkov.

Pričakovanja glede uvedbe hibridne varnosti podatkov

Uvedba hibridne varnosti podatkov zahteva veliko zavezanost strank in zavedanje o tveganjih, ki jih prinaša lastništvo šifrirnih ključev.

Če želite uvesti hibridno varnost podatkov, morate zagotoviti:

Varno podatkovno središče v državi, ki je podprta lokacija za paketeCisco Webex Teams.
Oprema, programska oprema in dostop do omrežja, opisani v razdelku Priprava okolja.

Popolna izguba konfiguracijskega ISO-ja, ki ga ustvarite za hibridno varnost podatkov, ali zbirke podatkov, ki jo vnesete, bo povzročila izgubo ključev. Izguba ključa uporabnikom preprečuje dešifriranje vsebine prostora in drugih šifriranih podatkov v aplikaciji Webex. Če se to zgodi, lahko ustvarite novo uvedbo, vendar bo vidna le nova vsebina. Če se želite izogniti izgubi dostopa do podatkov, morate:

Upravljajte varnostno kopiranje in obnovitev zbirke podatkov ter konfiguracijski ISO.
Bodite pripravljeni na hitro obnovitev po nesreči, če pride do katastrofe, kot je okvara diska zbirke podatkov ali katastrofa podatkovnega centra.

Ni mehanizma za premikanje ključev nazaj v oblak po uvedbi HDS.

Postopek namestitve na visoki ravni

Ta dokument zajema nastavitev in upravljanje uvedbe hibridne varnosti podatkov:

Nastavitev hibridne varnostipodatkov – to vključuje pripravo zahtevane infrastrukture in namestitev programske opreme za hibridno varnost podatkov, preizkušanje uvedbe s podnaborom uporabnikov v preskusnem načinu in prehod na produkcijo, ko je preskušanje končano. S tem se celotna organizacija pretvori v uporabo gruče hibridne varnosti podatkov za varnostne funkcije.
Nastavitevne, poskusne in proizvodne faze so podrobno obravnavane v naslednjih treh poglavjih.
Ohranite uvedbohibridne varnosti podatkov – oblak Webex samodejno zagotavlja stalne nadgradnje. Vaš oddelek za IT lahko zagotovi podporo prve stopnje za to uvedbo in po potrebi vključi podporo Cisco. Uporabite lahko obvestila na zaslonu in nastavite e-poštna opozorila v nadzornem središču.
Seznanite se z pogostimi opozorili, koraki za odpravljanje težav in znanimi težavami– če naletite na težave pri uvajanju ali uporabi hibridne varnosti podatkov, lahko težavo odkrijete in odpravite v zadnjem poglavju tega priročnika in dodatku Znane težave.

Model uvajanja hibridne varnosti podatkov

V podatkovnem središču podjetja uvedete hibridno varnost podatkov kot eno skupino vozlišč na ločenih virtualnih gostiteljih. Vozlišča komunicirajo z oblakom Webex prek varnih vtičnic in varnega protokola HTTP.

Med postopkom namestitve vam posredujemo datoteko OVA za nastavitev navidezne naprave na VM-jih, ki jih vključite. Z orodjem za namestitev HDS ustvarite datoteko ISO konfiguracije gruče po meri, ki jo namestite na vsako vozlišče. Grozda Hybrid Data Security uporablja vaš strežnik Syslogd in bazo podatkov PostgreSQL ali Microsoft SQL Server. (Podrobnosti o povezavi Syslogd in zbirki podatkov konfigurirate v orodju za namestitev HDS.)

Model uvajanja hibridne varnosti podatkov

Najmanjše število vozlišč, ki jih lahko imate v gruči, je dve. Priporočamo vsaj tri, lahko pa jih imate do pet. Več vozlišč zagotavlja, da storitev ni prekinjena med nadgradnjo programske opreme ali drugo vzdrževalno dejavnostjo na vozlišču. (Oblak Webex nadgrajuje samo eno vozlišče naenkrat.)

Vsa vozlišča v gruči dostopajo do istega shrambe podatkov s ključi in beležijo dejavnost v isti strežnik syslog. Vozlišča so brez stanja in obravnavajo ključne zahteve v krožnem načinu, kot ga usmerja oblak.

Vozlišča postanejo aktivna, ko jih registrirate v nadzornem središču. Če želite posamezno vozlišče izločiti iz uporabe, ga lahko odjavite in pozneje po potrebi znova registrirate.

Podpiramo samo eno skupino na organizacijo.

Preskusni način hibridne varnosti podatkov

Ko nastavite uvedbo hibridne varnosti podatkov, jo najprej poskusite z naborom pilotnih uporabnikov. V preskusnem obdobju ti uporabniki uporabljajo vašo domeno hibridne varnosti podatkov na mestu uporabe za šifrirne ključe in druge varnostne storitve področja. Drugi uporabniki še naprej uporabljajo varnostno področje v oblaku.

Če se odločite, da med preskusno različico ne boste nadaljevali z uvajanjem in deaktivirali storitev, bodo pilotni uporabniki in vsi uporabniki, s katerimi so v poskusnem obdobju sodelovali z ustvarjanjem novih prostorov, izgubili dostop do sporočil in vsebine. V aplikaciji Webex bodo videli »Tega sporočila ni mogoče dešifrirati«.

Če ste prepričani, da vaša uvedba dobro deluje za preskusne uporabnike in ste pripravljeni razširiti hibridno varnost podatkov na vse uporabnike, premaknite uvedbo v produkcijo. Pilotni uporabniki imajo še naprej dostop do ključev, ki so bili uporabljeni med preskusom. Vendar pa se ne morete premikati naprej in nazaj med proizvodnim načinom in prvotno preskusno različico. Če morate deaktivirati storitev, na primer za izvedbo obnovitve po katastrofi, morate ob ponovni aktivaciji začeti novo preskusno različico in nastaviti nabor pilotnih uporabnikov za novo preskusno različico, preden se vrnete v produkcijski način. Ali uporabniki na tej točki ohranijo dostop do podatkov, je odvisno od tega, ali ste uspešno vzdrževali varnostne kopije shrambe ključnih podatkov in konfiguracijske datoteke ISO za vozlišča hibridne varnosti podatkov v gruči.

Podatkovni center v stanju pripravljenosti za obnovitev po katastrofi

Med uvajanjem nastavite varno podatkovno središče v pripravljenosti. V primeru katastrofe podatkovnega centra lahko ročno preklopite uvajanje v podatkovni center v stanju pripravljenosti.

Podatkovne baze aktivnih podatkovnih centrov in podatkovnih centrov v stanju pripravljenosti so med seboj sinhronizirane, kar bo zmanjšalo čas, potreben za izvedbo preklopa na izpad. Datoteka ISO podatkovnega centra v pripravljenosti je posodobljena z dodatnimi konfiguracijami, ki zagotavljajo, da so vozlišča registrirana v organizaciji, vendar ne bodo obravnavala prometa. Zato vozlišča podatkovnega centra v pripravljenosti vedno ostanejo posodobljena z najnovejšo različico programske opreme HDS.

Aktivna vozlišča hibridne varnosti podatkov morajo biti vedno v istem podatkovnem središču kot aktivni strežnik baze podatkov.

Nastavitev podatkovnega središča v stanju pripravljenosti za obnovitev po katastrofi

Sledite spodnjim korakom za konfiguracijo datoteke ISO podatkovnega središča v stanju pripravljenosti:

Preden začnete

Podatkovni center v pripravljenosti mora odražati proizvodno okolje VM-jev in varnostno kopijo baze podatkov PostgreSQL ali Microsoft SQL Server. Če ima na primer produkcija 3 virtualne računalnike, na katerih se izvajajo vozlišča HDS, mora imeti okolje za varnostno kopiranje 3 virtualne računalnike. (Za pregled tega modela preklopa v primeru nesreče glejte Podatkovni center v stanju pripravljenosti za obnovitev po katastrofi.)
Prepričajte se, da je sinhronizacija zbirke podatkov omogočena med zbirko podatkov aktivnih in pasivnih vozlišč gruče.

Zaženite orodje za namestitev HDS in sledite korakom, navedenim v razdelku Ustvarjanje konfiguracijskega ISO za gostiteljeHDS.

Datoteka ISO mora biti kopija izvirne datoteke ISO primarnega podatkovnega centra, v katerem je treba izvesti naslednje posodobitve konfiguracije.

Po konfiguraciji strežnika Syslogd kliknite Napredne nastavitve

Na strani Napredne nastavitve dodajte spodnjo konfiguracijo, da vozlišče postavite v pasivni način. V tem načinu bo vozlišče registrirano v organizaciji in povezano z oblakom, vendar ne bo obravnavalo nobenega prometa.


passiveMode: 'true'

Dokončajte postopek konfiguracije in shranite datoteko ISO na mesto, ki ga je enostavno najti.

Naredite varnostno kopijo datoteke ISO v lokalnem sistemu. Varnostno kopijo hranite na varnem. Ta datoteka vsebuje glavni šifrirni ključ za vsebino zbirke podatkov. Omejite dostop samo na tiste skrbnike hibridne varnosti podatkov, ki morajo spremeniti konfiguracijo.

V levem podoknu za krmarjenje odjemalca VMware vSphere z desno tipko miške kliknite VM in kliknite Uredi nastavitve.

Kliknite Uredi nastavitve >pogon CD/DVD 1 in izberite Datoteka ISO za shranjevanje podatkov.

Prepričajte se, da sta preverjeni možnosti Povezano in Poveži ob vklopu , da lahko posodobljene spremembe konfiguracije začnejo veljati po zagonu vozlišč.

Vklopite vozlišče HDS in se prepričajte, da vsaj 15 minut ni alarmov.

Ponovite postopek za vsako vozlišče v podatkovnem centru v stanju pripravljenosti.

Preverite sysloge in preverite, ali so vozlišča v pasivnem načinu. V syslogih bi si morali ogledati sporočilo »KMS, konfiguriran v pasivnem načinu«.

Kaj storiti naprej

Po konfiguraciji passiveMode v datoteki ISO in jo shranite, lahko ustvarite drugo kopijo datoteke ISO brez možnosti passiveMode konfiguracijo in jo shranite na varno mesto. Ta kopija datoteke ISO brez passiveMode Configured lahko pomaga pri hitrem postopku preklapljanja z izpadom med obnovo po katastrofi. Za podroben postopek preklapljanja z napako glejte Obnovitev po katastrofi z uporabo podatkovnega središča v stanju pripravljenosti.

Podpora za proxy

Hibridna varnost podatkov podpira eksplicitne, pregledne preglede in nepregledne strežnike proxy. Te strežnike proxy lahko povežete z uvajanjem, tako da lahko zavarujete in spremljate promet iz podjetja v oblak. Na vozliščih lahko uporabite skrbniški vmesnik platforme za upravljanje potrdil in preverjanje splošnega stanja povezljivosti po nastavitvi strežnika proxy na vozliščih.

Vozlišča hibridne varnosti podatkov podpirajo te možnosti strežnika proxy:

Brez strežnika proxy– privzeto, če za integracijo strežnika proxy ne uporabljate konfiguracije za nastavitev vozlišča HDS Trust Store & Proxy. Posodobitev potrdila ni potrebna.
Pregleden strežnik proxybrez pregledovanja – vozlišča niso konfigurirana za uporabo določenega naslova strežnika proxy in ne bi smela zahtevati nobenih sprememb za delovanje s strežnikom proxy, ki ne pregleduje. Posodobitev potrdila ni potrebna.
Pregledno tuneliranje ali pregled strežnika proxy– vozlišča niso konfigurirana za uporabo določenega naslova strežnika proxy. Na vozliščih niso potrebne spremembe konfiguracije HTTP ali HTTPS. Vendar pa vozlišča potrebujejo korensko potrdilo, da zaupajo proxyju. Pregledovanje strežnikov proxy običajno uporablja IT za uveljavljanje pravilnikov o tem, katera spletna mesta je mogoče obiskati in katere vrste vsebine niso dovoljene. Ta vrsta proxyja dešifrira ves vaš promet (tudi HTTPS).
Eksplicitni strežnik proxy– z eksplicitnim strežnikom proxy vozliščem HDS poveste, kateri strežnik proxy in shemo preverjanja pristnosti naj uporabijo. Če želite konfigurirati eksplicitni strežnik proxy, morate za vsako vozlišče vnesti te podatke:
1. IP/FQDNstrežnika proxy – naslov, s katerim lahko vzpostavite povezavo s proxyjem.
2. Vrataproxy – številka vrat, ki jih strežnik proxy uporablja za poslušanje prometa proxy.
3. Protokolproxy – odvisno od tega, kaj podpira vaš strežnik proxy, lahko izbirate med temi protokoli:
  - HTTP – ogleda in nadzira vse zahteve, ki jih pošlje odjemalec
  - HTTPS – zagotavlja kanal do strežnika. Odjemalec prejme in preveri veljavnost potrdila strežnika.
4. Vrstapreverjanja pristnosti – izberite eno od teh vrst preverjanja pristnosti:
  - Brez– nadaljnja preverjanja pristnosti ni potrebna.
    
    Na voljo, če za protokol proxy izberete HTTP ali HTTPS.
  - Osnovno– uporablja se za uporabniškega agenta HTTP za vnos uporabniškega imena in gesla pri zahtevi. Uporablja kodiranje Base64.
    
    Na voljo, če za protokol proxy izberete HTTP ali HTTPS.
    
    Zahteva, da vnesete uporabniško ime in geslo za vsako vozlišče.
  - Povzetek– uporablja se za potrditev računa pred pošiljanjem občutljivih podatkov. Uporabi razpršilno funkcijo za uporabniško ime in geslo pred pošiljanjem prek omrežja.
    
    Na voljo le, če kot protokol proxy izberete HTTPS.
    
    Zahteva, da vnesete uporabniško ime in geslo za vsako vozlišče.

Primer hibridnih podatkovnih varnostnih vozlišč in proxy

Ta diagram prikazuje primer povezave med hibridno varnostjo podatkov, omrežjem in proxyjem. Za možnosti preglednega pregleda in eksplicitnega pregleda strežnika proxy HTTPS mora biti na strežniku proxy in na vozliščih hibridne varnosti podatkov nameščeno isto korensko potrdilo.

Blokiran zunanji način razločovanja DNS (eksplicitne konfiguracije strežnika proxy)

Ko registrirate vozlišče ali preverite konfiguracijo proxy vozlišča, postopek preizkusi iskanje DNS in povezljivost z oblakom Cisco Webex. Če vozlišče pri uvajanju z eksplicitnimi konfiguracijami strežnikov proxy, ki ne dovoljujejo zunanjega reševanja DNS za notranje odjemalce, ne more poizvedovati strežnikov DNS, samodejno preide v način blokiranega zunanjega razreševanja DNS. V tem načinu se lahko nadaljuje registracija vozlišč in drugi preskusi povezljivosti proxy.

Priprava okolja

Zahteve za hibridno varnost podatkov

Licenčne zahteve za Cisco Webex

Uvedba hibridne varnosti podatkov:

Imeti morate paket Pro Pack za Cisco Webex Control Hub. (Glej https://www.cisco.com/go/pro-pack.)

Zahteve za namizje Docker

Preden namestite vozlišča HDS, potrebujete Docker Desktop za zagon namestitvenega programa. Docker je pred kratkim posodobil svoj model licenciranja. Vaša organizacija bo morda zahtevala plačljivo naročnino za namizno platformo Docker. Za podrobnosti si oglejte objavo v spletnem dnevniku Dockerja, » Docker posodablja in razširja naše naročnine na izdelke«.

Zahteve za certifikat X.509

Veriga potrdil mora izpolnjevati naslednje zahteve:

Tabela 1. Zahteve za potrdilo X.509 za uvedbo hibridne varnosti podatkov
Zahteva	Podrobnosti
Podpisal ga je zaupanja vreden overitelj potrdil	Privzeto zaupamo CA-jem na seznamu Mozilla (z izjemo WoSign in StartCom) pri https://wiki.mozilla.org/CA:IncludedCAs.
Nosi ime domene Common Name (CN), ki identificira vašo uvedbo hibridne varnosti podatkov Ni nadomestno potrdilo	CN ni treba biti dosegljiv ali gostitelj v živo. Priporočamo, da uporabite ime, ki odraža vašo organizacijo, na primer: `hds.company.com`. KN ne sme vsebovati * (nadomestni znak). CN se uporablja za preverjanje vozlišč hibridne varnosti podatkov za odjemalce aplikacije Webex. Vsa vozlišča hibridne varnosti podatkov v gruči uporabljajo isto potrdilo. Storitev upravljanja zbogom se identificira z domeno CN in ne s katero koli domeno, ki je določena v poljih SAN x.509v3. Ko registrirate vozlišče s tem certifikatom, ne podpiramo spreminjanja imena domene CN. Izberite domeno, ki se lahko uporablja za poskusno in produkcijsko uvedbo.
Podpis, ki ni SHA1	Programska oprema KMS ne podpira podpisov SHA1 za preverjanje povezav s KMS drugih organizacij.
Formatirano kot datoteka PKCS #12, zaščitena z geslom Uporabite prijazno ime `kms-private-key`, da označite potrdilo, zasebni ključ in vmesna potrdila, ki jih želite naložiti.	Za spremembo oblike potrdila lahko uporabite pretvornik, kot je OpenSSL. Geslo boste morali vnesti, ko boste zagnali orodje za namestitev HDS.

Programska oprema za upravljanje ključev ne uveljavlja uporabe ključev ali razširjenih omejitev uporabe ključev. Nekateri overitelji potrdil zahtevajo, da se za vsako potrdilo uporabijo razširjene omejitve uporabe ključev, na primer preverjanje pristnosti strežnika. V redu je, da uporabite preverjanje pristnosti strežnika ali druge nastavitve.

Zahteve za virtualnega gostitelja

Navidezni gostitelji, ki jih boste nastavili kot vozlišča hibridne varnosti podatkov v gruči, imajo te zahteve:

Vsaj dva ločena gostitelja (priporočena 3) v istem varnem podatkovnem središču
VMware ESXi 6.5 (ali novejši) je nameščen in se izvaja.

Nadgradnjo morate nadgraditi, če imate starejšo različico ESXi.
Najmanj 4 vCPU-ji, 8 GB glavnega pomnilnika, 30 GB prostora na trdem disku na strežnik

Zahteve za strežnik zbirke podatkov

Ustvarite novo zbirko podatkov za shranjevanje ključev. Ne uporabljajte privzete zbirke podatkov. Ko so nameščene aplikacije HDS, ustvarijo shemo zbirke podatkov.

Obstajata dve možnosti za strežnik baze podatkov. Zahteve za vsakega so naslednje:

Tabela 2. Zahteve za strežnik zbirke podatkov glede na vrsto zbirke podatkov

PostgreSQL

Microsoft SQL Server

PostgreSQL 14, 15 ali 16, nameščen in se izvaja.

Nameščen strežnik SQL Server 2016, 2017 ali 2019 (Enterprise ali Standard).

SQL Server 2016 zahteva servisni paket SP2 in zbirno posodobitev 2 ali novejšo različico.

Najmanj 8 vCPU-jev, 16 GB glavnega pomnilnika, dovolj prostora na trdem disku in nadzor, da se zagotovi, da ni presežen (priporočeno 2 TB, če želite bazo podatkov zagnati dlje časa, ne da bi morali povečati prostor za shranjevanje)

Programska oprema HDS trenutno namesti naslednje različice gonilnikov za komunikacijo s strežnikom zbirke podatkov:

PostgreSQL

Microsoft SQL Server

Gonilnik Postgres JDBC 42.2.5

Gonilnik SQL Server JDBC 4.6

Ta različica gonilnika podpira SQL Server Always On ( vedno vklopljeni, primerki gruče za preklop pri izpadu in Vednovklopljeni).

Dodatne zahteve za preverjanje pristnosti sistema Windows v strežniku Microsoft SQL Server

Če želite, da vozlišča HDS uporabljajo preverjanje pristnosti sistema Windows za dostop do zbirke podatkov shrambe ključev v strežniku Microsoft SQL Server, potrebujete naslednjo konfiguracijo v svojem okolju:

Vozlišča HDS, infrastruktura Active Directory in MS SQL Server morajo biti sinhronizirani z NTP.
Račun Windows, ki ga vnesete vozliščem HDS, mora imeti dostop za branje/pisanje v zbirko podatkov.
Strežniki DNS, ki jih posredujete vozliščem HDS, morajo biti sposobni razrešiti središče za distribucijo ključev (KDC).
Primerek zbirke podatkov HDS lahko registrirate v strežniku Microsoft SQL Server kot glavno ime storitve (SPN) v imeniku Active Directory. Glejte Registracija glavnega imena storitve za povezaveKerberos.

Orodje za namestitev HDS, zaganjalnik HDS in lokalni KMS morajo za dostop do zbirke podatkov shrambe ključev uporabiti preverjanje pristnosti sistema Windows. S podrobnostmi iz konfiguracije ISO ustvarijo SPN, ko zahtevajo dostop s preverjanjem pristnosti Kerberos.

Zahteve za zunanjo povezljivost

Požarni zid konfigurirajte tako, da omogoča to povezljivost za programe HDS:

Aplikacija	Protokol	Luka	Navodila iz aplikacije	Cilj
Vozlišča hibridne varnosti podatkov	TCP	443	Odhodni HTTPS in WSS	Strežniki Webex: .wbx2.com .ciscospark.com Vsi gostitelji skupne identitete Drugi URL-ji, ki so navedeni za hibridno varnost podatkov v tabeli Dodatni URL-ji za hibridne storitve Webex v omrežnih zahtevah za storitve Webex
Orodje za nastavitev HDS	TCP	443	Odhodni protokol HTTPS	*.wbx2.com Vsi gostitelji skupne identitete hub.docker.com

Vozlišča hibridne varnosti podatkov delujejo s prevajanjem dostopa do omrežja (NAT) ali za požarnim zidom, če NAT ali požarni zid omogoča zahtevane odhodne povezave s cilji domene v prejšnji tabeli. Za povezave, ki prihajajo do vozlišč Hybrid Data Security, iz interneta ne smejo biti vidna nobena vrata. V podatkovnem središču odjemalci potrebujejo dostop do vozlišč Hybrid Data Security na vratih TCP 443 in 22 za skrbniške namene.

URL-ji za gostitelje skupne identitete (CI) so specifični za regijo. To so trenutni gostitelji CI:

Regija	Skupni URL-ji gostitelja identitete
Amerike	https://idbroker.webex.com https://identity.webex.com https://idbroker-b-us.webex.com https://identity-b-us.webex.com
Evropska unija	https://idbroker-eu.webex.com https://identity-eu.webex.com
Kanada	https://idbroker-ca.webex.com https://identity-ca.webex.com

Zahteve za strežnik proxy

Uradno podpiramo naslednje rešitve proxy, ki jih je mogoče integrirati z vašimi vozlišči za hibridno varnost podatkov.

Pregleden proxy – Cisco Web Security Appliance (WSA).

Eksplicitni proxy - lignji.

Proxy lignjev, ki pregledujejo promet HTTPS, lahko motijo vzpostavitev websocketa (wss:) Povezave. Če se želite izogniti tej težavi, glejte Konfiguracija strežnikov proxy lignjev za hibridno varnostpodatkov.

Podpiramo te kombinacije vrst preverjanja pristnosti za eksplicitne proxyje:
- Brez preverjanja pristnosti s protokolom HTTP ali HTTPS
- Osnovno preverjanje pristnosti s protokolom HTTP ali HTTPS
- Povzetek preverjanja pristnosti samo s protokolom HTTPS
Za pregleden pregledni strežnik proxy ali eksplicitni strežnik proxy HTTPS morate imeti kopijo korenskega potrdila strežnika proxy. Navodila za uvajanje v tem priročniku vam povejo, kako naložite kopijo v shrambe zaupanja vozlišč Hybrid Data Security.
Omrežje, ki gosti vozlišča HDS, mora biti konfigurirano tako, da vsiljuje odhodni promet TCP na vratih 443 za usmerjanje prek strežnika proxy.
Strežniki proxy, ki pregledujejo spletni promet, lahko motijo povezave s spletnimi vtičnicami. Če pride do te težave, zaobide (ne pregleduje) promet wbx2.com in ciscospark.com bo rešil težavo.

Izpolnite predpogoje za hibridno varnost podatkov

S tem kontrolnim seznamom se prepričajte, da ste pripravljeni na namestitev in konfiguracijo gruče hibridne varnosti podatkov.

Prepričajte se, da je vaša organizacija Webex omogočena za paket Pro za Cisco Webex Control Hub, in pridobite poverilnice računa s polnimi skrbniškimi pravicami organizacije. Za pomoč pri tem postopku se obrnite na Ciscovega partnerja ali upravitelja računa.

Izberite ime domene za uvedbo HDS (na primer hds.company.com) in pridobite verigo potrdil, ki vsebuje potrdilo X.509, zasebni ključ in vmesna potrdila. Veriga potrdil mora izpolnjevati zahteve v zahtevahza potrdilo X.509.

Pripravite enake navidezne gostitelje, ki jih boste nastavili kot vozlišča hibridne varnosti podatkov v gruči. Potrebujete vsaj dva ločena gostitelja (priporočena 3) v istem varnem podatkovnem centru, ki izpolnjujeta zahteve v razdelku Zahteveza virtualnega gostitelja.

Pripravite strežnik zbirke podatkov, ki bo deloval kot shramba ključnih podatkov za gručo v skladu z zahtevamistrežnika zbirke podatkov. Strežnik baze podatkov mora biti nameščen v varnem podatkovnem centru skupaj z navideznimi gostitelji.

Ustvarite zbirko podatkov za shranjevanje ključev. (To zbirko podatkov morate ustvariti – ne uporabljajte privzete zbirke podatkov. Ko so nameščeni programi HDS, ustvarijo shemo zbirke podatkov.)
Zberite podrobnosti, ki jih bodo vozlišča uporabljala za komunikacijo s strežnikom zbirke podatkov:
- ime gostitelja ali naslov IP (gostitelj) in vrata
- Ime zbirke podatkov (DBNAME) za shranjevanje ključev
- uporabniško ime in geslo uporabnika z vsemi pravicami v zbirki podatkov za shranjevanje ključev

Za hitro obnovitev po katastrofi nastavite okolje za varnostno kopiranje v drugem podatkovnem centru. Okolje za varnostno kopiranje odraža proizvodno okolje VM-jev in strežnika baze podatkov za varnostne kopije. Če ima na primer produkcija 3 virtualne računalnike, v katerih se izvajajo vozlišča HDS, mora imeti okolje za varnostno kopiranje 3 virtualne računalnike.

Nastavite gostitelja syslog za zbiranje dnevnikov iz vozlišč v gruči. Zberite njegov omrežni naslov in vrata syslog (privzeto je UDP 514).

Ustvarite varno varnostno kopiranje za vozlišča hibridne varnosti podatkov, strežnik zbirke podatkov in gostitelja sysloga. Če želite preprečiti nepopravljivo izgubo podatkov, morate varnostno kopirati zbirko podatkov in konfiguracijsko datoteko ISO, ustvarjeno za vozlišča hibridne varnosti podatkov.

Ker vozlišča Hybrid Data Security shranjujejo ključe, ki se uporabljajo za šifriranje in dešifriranje vsebine, bo neuspeh pri vzdrževanju operativne uvedbe povzročil NEPOPRAVLJIVO IZGUBO te vsebine.

Odjemalci aplikacije Webex predpomnijo svoje ključe, zato izpad morda ne bo takoj opazen, vendar bo sčasoma postal očiten. Čeprav začasnih izpadov ni mogoče preprečiti, jih je mogoče obnoviti. Vendar pa bo popolna izguba (varnostne kopije niso na voljo) zbirke podatkov ali konfiguracijske datoteke ISO povzročila neobnovljive podatke strank. Od operaterjev vozlišč hibridne varnosti podatkov se pričakuje, da bodo vzdrževali pogoste varnostne kopije baze podatkov in konfiguracijske datoteke ISO ter bili pripravljeni na obnovo podatkovnega centra Hybrid Data Security, če pride do katastrofalne napake.

Prepričajte se, da konfiguracija požarnega zidu omogoča povezljivost za vozlišča hibridne varnosti podatkov, kot je opisano v razdelku Zahteveza zunanjo povezljivost.

Namestite Docker ( https://www.docker.com) v kateri koli lokalni računalnik s podprtim operacijskim sistemom (Microsoft Windows 10 Professional ali Enterprise 64-bitni ali Mac OSX Yosemite 10.10.3 ali novejši) s spletnim brskalnikom, ki lahko dostopa do njega na http://127.0.0.1:8080.

Z Dockerjevim primerkom lahko prenesete in zaženete orodje za namestitev HDS, ki ustvari informacije o lokalni konfiguraciji za vsa vozlišča hibridne varnosti podatkov. Vaša organizacija bo morda potrebovala licenco za Docker Desktop. Za več informacij glejte Zahteve za namizje Dockerja.

Če želite namestiti in zagnati orodje za namestitev HDS, mora imeti lokalni računalnik povezljivost, opisano v razdelku Zahteve zazunanjo povezljivost.

Če integrirate proxy s hibridno varnostjo podatkov, se prepričajte, da izpolnjuje zahteveza strežnik proxy.

Če vaša organizacija uporablja sinhronizacijo imenikov, ustvarite skupino v imeniku Active Directory, imenovano HdsTrialGroup in dodajte pilotne uporabnike. Preskusna skupina ima lahko do 250 uporabnikov. To HdsTrialGroup Predmet mora biti sinhroniziran z oblakom, preden lahko začnete preskusno različico za svojo organizacijo. Če želite sinhronizirati skupinski predmet, ga izberite v meniju Konfiguracija > izbira predmeta povezovalnika imenika . (Za podrobna navodila glejteVodnik za uvajanje Cisco Directory Connector.)

Tipke za dani prostor nastavi ustvarjalec prostora. Pri izbiri pilotnih uporabnikov upoštevajte, da če se odločite za trajno deaktivacijo uvedbe hibridne varnosti podatkov, vsi uporabniki izgubijo dostop do vsebine v prostorih, ki so jih ustvarili pilotni uporabniki. Izguba postane očitna takoj, ko aplikacije uporabnikov osvežijo svoje predpomnjene kopije vsebine.

Vzpostavitev hibridne gruče za varnost podatkov

Potek opravila uvedbe hibridne varnosti podatkov

Preden začnete